Cette saison explore les fondamentaux de la gestion de la donnée en entreprise. Elle se concentre sur les architectures de stockage physiques et logicielles (NAS, SAN, SDS), les protocoles d'accès, ainsi que sur les stratégies vitales de sauvegarde et de sécurisation pour garantir l'intégrité et la disponibilité des informations.
💾 B201. Introduction : Sauvegarde & Stockage
La sécurité absolue n'existe pas. Face aux menaces (ex: Ransomware), il faut prévoir l'échec des mesures de protection. La sauvegarde est l'ultime rempart pour ne pas payer de rançon et restaurer l'activité.
1. Concepts Clés & Métriques (SLA)
Pour définir une stratégie de sauvegarde efficace, il faut d'abord s'accorder avec la direction sur deux métriques vitales (SLA) :
-
PDMA / RPO (Perte de Données Maximale Admissible) :
- Recovery Point Objective : C'est le "retour en arrière" acceptable. Combien de temps de travail (données) acceptons-nous de perdre ? (ex: 4h, 24h...).
- Impact : Définit la fréquence des sauvegardes. Si RPO = 1h, il faut sauvegarder toutes les heures.
-
DMIA / RTO (Durée Maximale d'Interruption Admissible) :
- Recovery Time Objective : C'est le temps "chrono" pour remettre le service en route après la panne.
- Impact : Définit la technologie de restauration (disques rapides, réplication, etc.).
PRA / PCA : Ces stratégies s'inscrivent dans un Plan de Reprise (PRA) ou de Continuité (PCA) d'Activité. Important : Une sauvegarde non testée est une sauvegarde inexistante. Il faut tester les restaurations !.
2. Stratégie de Sauvegarde
-
Règle du 3-2-1 (Standard de l'industrie) :
- 3 copies des données minimum (1 production + 2 sauvegardes).
- Sur 2 supports différents (ex: NAS + Bande, ou Disque + Cloud).
- Dont 1 copie conservée hors site (off-site) pour se protéger des sinistres physiques (incendie, vol).
-
Rétention : La durée de conservation des sauvegardes avant suppression (ex: garder les 30 derniers jours, puis 1 an d'archive) .
3. Les Types de Sauvegardes
Comment sauvegarder les données ? Voici les 3 méthodes principales :
| Type | Fonctionnement | Avantages (+) | Inconvénients (-) | Restauration |
|---|---|---|---|---|
| Complète (Full) | Copie 100% des données à chaque fois. | Restauration simple et rapide. | Très long, consomme énormément d'espace. | Juste la dernière Full. |
| Incrémentielle | Copie uniquement les modifs depuis la dernière sauvegarde (quelle qu'elle soit). | Très rapide, fichier de sauvegarde léger. | Restauration complexe et lente. | Dernière Full + toutes les incrémentielles suivantes. |
| Différentielle | Copie les modifs depuis la dernière Full. | Bon compromis vitesse/restauration. | Plus lourd que l'incrémentielle. | Dernière Full + la dernière Différentielle. |
4. Snapshots & Réplication (Ne pas confondre !)
-
Snapshot (Instantané) :
- C'est une "photo" du système à un instant T.
- ⚠️ Ce n'est PAS une sauvegarde à part entière car le snapshot dépend souvent des données originales et est stocké au même endroit.
- Usage : Complément idéal pour des retours en arrière rapides (ex: erreur utilisateur), combiné à une vraie sauvegarde.
-
Réplication :
- Copie des données (synchrone ou asynchrone) vers un autre site/serveur pour assurer la continuité de service (RTO proche de zéro).
5. Stockage : Médias et Architectures
On classe le stockage selon sa "température":
- Hot (Online) : Données accessibles immédiatement (Production, Disques rapides).
- Cold (Offline) : Données archivées, non connectées électriquement (Bandes LTO dans un coffre).
Les 3 Architectures physiques :
- DAS (Direct Attached Storage) : Disque branché directement au serveur (USB/SATA). Rapide mais non partagé.
- NAS (Network Attached Storage) : Serveur de fichiers autonome sur le réseau (Partage via SMB/NFS).
- SAN (Storage Area Network) : Réseau dédié haute performance (Fibre Channel/iSCSI) où le stockage est vu comme un disque local (Bloc) par les serveurs.
Les Protocoles d'Accès :
Selon l'architecture, le langage pour accéder aux données change :
-
Mode Fichier (NAS) :
- SMB (Server Message Block) : Le standard de Windows (et macOS).
- NFS (Network File System) : Le standard du monde Linux/Unix.
-
Mode Bloc (SAN) :
- iSCSI : Transporte des commandes SCSI sur un réseau IP (Ethernet). Permet de monter un disque distant comme s'il était local.
6. Sécurisation Matérielle : Le RAID
Le RAID (Redundant Array of Independent Disks) permet de virtualiser plusieurs disques pour la performance ou la sécurité. Le choix du niveau dépend de ce que l'on privilégie : Performance, Sécurité (Redondance) ou Coût.
| Niveau RAID | Concept & Fonctionnement | Disques Min. | Panne Max. | Avantages | Inconvénients |
|---|---|---|---|---|---|
| RAID 0 | Striping (Agrégation) : Les données sont réparties sur tous les disques. | 2 | 0 ⚠️ | ➕ Performance maximale. | ➖ Si 1 disque lâche, tout est perdu. |
| RAID 1 | Mirroring (Miroir) : Les données sont clonées à l'identique sur 2 disques. | 2 | 1 | ➕ Sécurité simple. | ➖ 50% d'espace perdu. |
| RAID 5 | Parité Distribuée : Données + 1 bloc de parité répartis sur les disques. | 3 | 1 | ➕ Bon compromis Stockage/Sécurité. | ➖ Écriture plus lente (calculs). |
| RAID 6 | Double Parité : Données + 2 blocs de parité répartis sur les disques. | 4 | 2 | ➕ Très haute sécurité. | ➖ Coûteux en disques. |
| RAID 10 | Grappe de Miroirs (1+0) : Combine la vitesse du RAID 0 et la sécurité du RAID 1. | 4 | 1 (par grappe) | ➕ Le plus performant et sécurisé. | ➖ Le plus cher (50% espace perdu). |
SDS (Software Defined Storage) :
L'intelligence du stockage est gérée par un logiciel, indépendamment du matériel (ex: vSAN chez VMware, Ceph, ou TrueNAS). Cela permet une grande flexibilité et évolutivité.
7. Solutions du Marché
-
Matériel (NAS/SAN) : Synology, QNAP, Dell EMC, HPE .
-
OS NAS (DIY) : TrueNAS (celui qu'on va utiliser !), OpenMediaVault, Unraid.
-
Logiciels de Sauvegarde : Veeam (Leader), Proxmox Backup Server, UrBackup .
Challenge B201 : Installation de TrueNAS (Proxmox), configuration ZFS, SMB et snapshots.
📚 Ressources :
- Recommandations ANSSI pour la sauvegarde https://messervices.cyber.gouv.fr/guides/fondamentaux-sauvegarde-systemes-dinformation
- IT-Connect DAS, SAN, NAS et Cloud https://www.it-connect.fr/les-das-san-nas-et-le-stockage-cloud-pour-les-debutants/
- Définition HPE NAS https://www.hpe.com/fr/fr/what-is/nas.html
- Définition HPE SAN https://www.hpe.com/fr/fr/what-is/san-storage.html
- Définition et niveaux de RAID https://www.ip-systemes.com/details-qu+est+ce+qu+un+systeme+raid+-870.html
🗄️ B202. Architecture ZFS & TrueNAS
Ce cours détaille le fonctionnement de ZFS (Zettabyte File System), de fichiers open source de TrueNAS. Contrairement à un système classique, ZFS gère à la fois le système de fichiers et le gestionnaire de volume (RAID), garantissant une intégrité des données absolue.
1. La Pyramide de Stockage ZFS
Pour construire le stockage, ZFS utilise une hiérarchie stricte. On peut imaginer des poupées russes ou des briques Lego :
-
Disques Physiques : Les disques durs réels (HDD ou SSD).
-
Vdev (Virtual Device) :
- C'est une "brique" constituée d'un ou plusieurs disques physiques regroupés.
- C'est au niveau du vdev que l'on configure la redondance (Miroir, RAIDZ1, RAIDZ2).
- Attention : Si un vdev tombe en panne (trop de disques morts), tout le Pool est perdu.
-
Pool de Stockage :
- C'est l'espace de stockage global (le "réservoir").
- Il agrège un ou plusieurs vdevs pour additionner leur capacité.
- Exemple : Un pool
Tankde 20 To formé de deux vdevs de 10 To.
2. Organisation Logique : Les Datasets
Une fois le Pool créé, on découpe l'espace intelligemment.
- Dataset (Jeu de données) :
-
Cela ressemble à un dossier, mais c'est bien plus puissant. C'est un sous-système de fichiers.
-
On peut configurer des propriétés différentes pour chaque Dataset :
- Compression (ex: activée pour les documents, désactivée pour les vidéos).
- Quotas (Limites de taille).
- Snapshots (Fréquence de sauvegarde).
-
Bonne pratique : Créer un Dataset par usage (ex:
Tank/RH,Tank/IT,Tank/Videos).
-
3. Contrôle et Sécurité des Données
ZFS offre des outils granulaires pour gérer qui fait quoi et limiter la consommation.
-
Quotas :
- Limite d'espace disque imposée à un Dataset ou un utilisateur.
- But : Empêcher qu'un service ou un utilisateur ne sature tout le serveur.
-
Permissions (ACL) :
-
Définit qui a le droit de Lire (Read), Écrire (Write) ou Exécuter les fichiers.
-
Essentiel pour la confidentialité (ex: Le groupe "Stagiaires" ne doit pas accéder au Dataset "Compta").
-
Snapshots (Instantanés) :
- Photo de l'état des données à un instant T.
- Immuable : Le snapshot ne peut pas être modifié par un virus ou un ransomware.
- Léger : Ne stocke que les blocs modifiés (Copy-on-Write). Permet de revenir en arrière instantanément si on efface un fichier par erreur.
4. Partage Réseau (Protocoles)
Une fois les données stockées et sécurisées, il faut les rendre accessibles aux clients via le réseau.
| Protocole | Signification | Cible principale | Type d'accès |
|---|---|---|---|
| SMB | Server Message Block | Windows / macOS | Fichier (Dossier partagé classique). |
| NFS | Network File System | Linux / Unix | Fichier (Montage dans l'arborescence). |
| iSCSI | Internet SCSI | Serveurs / VM | Bloc (Vu comme un disque dur local non formaté par le client). |
💡 En résumé : La logique de construction TrueNAS
- J'assemble mes Disques pour créer un Vdev (avec sécurité RAIDZ).
- Je mets mes Vdevs dans un Pool (mon grand réservoir).
- Je découpe mon Pool en Datasets (mes casiers de rangement).
- J'applique des Permissions et Quotas sur ces Datasets.
- Je partage mes Datasets via SMB ou NFS pour que les utilisateurs y accèdent.
Challenge B202 : Installation Veeam Backup & Replication, configuration, restauration.
📚 Ressources :
- (ancien)TP Sauvegarde et Stockage : https://pmaldi.notion.site/Atelier-TP-Sauvegarde-Stockage-1907f06da9c780bd95b3ec2cb4032c52
🛡️ B203. Veeam Backup & Replication
Veeam est la solution de référence pour la sauvegarde des infrastructures virtualisées. Ce cours détaille son architecture modulaire, ses méthodes de sauvegarde intelligente (CBT) et ses mécanismes de restauration rapide, essentiels pour garantir un RPO/RTO optimal en entreprise.
1. Introduction et Philosophie
Veeam Backup & Replication est un logiciel conçu spécifiquement pour les environnements virtuels (VMware vSphere, Microsoft Hyper-V, Nutanix AHV, Proxmox VE).
Contrairement aux solutions traditionnelles qui installaient un "agent" (petit logiciel) dans chaque serveur à sauvegarder, Veeam est Agentless (sans agent) pour les VMs : il communique directement avec l'hyperviseur pour copier les données, ce qui allège la charge sur les serveurs de production.
2. Architecture Modulaire (Les Composants)
Veeam fonctionne comme un jeu de Lego. On peut tout installer sur un seul serveur (pour une PME) ou éclater les rôles sur plusieurs machines (pour une grande entreprise).
-
Veeam Backup Server (Le Cerveau) :
- C'est le chef d'orchestre. Il contient la configuration, la planification des tâches (Jobs) et la base de données catalogue. C'est lui qui donne les ordres.
-
Backup Proxy (Les Bras) :
- C'est le "déménageur". Il se situe entre la source (l'hyperviseur) et la destination.
- Rôle : Il récupère les données, les compresse, les déduplique (pour gagner de la place) et les envoie au dépôt. C'est lui qui consomme le CPU et la RAM lors d'une sauvegarde.
-
Backup Repository (L'Entrepôt) :
- C'est la cible de stockage. C'est là que sont écrits les fichiers de sauvegarde (
.vbk,.vib). - Il peut s'agir d'un serveur Windows/Linux, d'un NAS (via SMB/NFS), ou d'une appliance de déduplication.
- C'est la cible de stockage. C'est là que sont écrits les fichiers de sauvegarde (
3. Mécanismes de Sauvegarde
Comment Veeam fait-il pour être rapide et ne pas saturer le stockage ?
-
Le principe de la Chaîne de Sauvegarde :
- Full Backup (Complète -
.vbk) : Contient 100% des données de la VM. C'est la base, très lourde. - Incremental Backup (Incrémentielle -
.vib) : Ne contient que les données modifiées depuis la dernière sauvegarde. Très léger. - Fonctionnement typique : On fait une "Full" le dimanche, et des "Incrémentielles" du lundi au samedi.
- Full Backup (Complète -
-
CBT (Change Block Tracking) : La technologie clé.
- Au lieu de scanner tout le disque dur pour chercher ce qui a changé (ce qui prendrait des heures), Veeam demande directement à l'hyperviseur : "Quels blocs disque ont été modifiés depuis hier ?".
- L'hyperviseur renvoie la liste exacte, et Veeam ne copie que ces quelques blocs. La sauvegarde prend quelques minutes au lieu de quelques heures.
4. La Règle du 3-2-1 et la Sécurité
Veeam intègre nativement les outils pour respecter les standards de sécurité :
- Backup Job : Sauvegarde locale (sur site) pour la performance (restauration rapide).
- Backup Copy Job : Copie automatique de la sauvegarde vers un site distant ou le Cloud, sans toucher à la production.
- Immuabilité (Hardened Repository) : Protection contre les Ransomwares. Veeam permet de stocker les sauvegardes sur des dépôts Linux verrouillés (WORM - Write Once Read Many). Pendant la durée définie (ex: 10 jours), personne, même pas l'administrateur, ne peut supprimer ou chiffrer ces fichiers.
5. Les Types de Restauration (Restore)
C'est la force principale de Veeam : la granularité.
-
Full VM Restore : On restaure la machine virtuelle entière à son emplacement d'origine. C'est long (il faut tout copier).
-
Instant VM Recovery :
- Permet de démarrer une VM directement depuis le fichier de sauvegarde (le Repository agit comme un Datastore temporaire).
- Intérêt : La VM est up en 2 minutes, même si elle fait 500 Go. On migre les données en arrière-plan pendant que les utilisateurs travaillent. Idéal pour le RTO.
-
File Level Recovery (FLR) : On ouvre le fichier de sauvegarde comme un dossier, et on restaure juste un fichier précis (ex: un Excel écrasé par erreur) vers la VM d'origine.
💡 Synthèse du vocabulaire Veeam
| Terme | Définition |
|---|---|
| Job | Une tâche planifiée (Sauvegarde, Copie, Réplication). |
| Repository | L'emplacement logique où sont stockés les fichiers de backup. |
| Proxy | Le service qui traite la donnée (compression/transport). |
| Retention | Le nombre de points de restauration (jours) que l'on conserve. |
| CBT | Technologie de suivi des blocs modifiés pour accélérer les backups. |
Challenge B202 : Installation Veeam Backup & Replication, configuration, restauration.
📚 Ressources :
♻️ B204. Proxmox Backup Server
PBS est une solution de sauvegarde moderne orientée "déduplication", conçue pour s'intégrer nativement avec Proxmox VE. L'objectif est de déployer une sauvegarde rapide, économe en espace et sécurisée contre les ransomwares.
1. Méthodes d'Installation & Réseau
Avant d'attaquer la sauvegarde, il faut comprendre comment PBS s'implante dans l'infrastructure. Nous avons vu deux méthodes :
-
Installation via ISO : La méthode classique "Bare-metal". On utilise l'ISO officielle sur une machine (ou une VM) pour installer l'OS et le logiciel d'un coup.
-
Installation sur Linux existant : PBS peut s'installer sur une Debian standard déjà en place. Cela demande de gérer les sources APT et d'adapter les dépôts (notamment pour Debian 13).
Architecture Réseau : Pour sécuriser les flux, une configuration à deux cartes réseau est essentielle (et imposée par notre architecture pfSense) :
-
Une interface pour le réseau général/cluster.
-
Une interface dédiée à la communication directe avec Proxmox VE (Management). L'adressage IP doit être configuré manuellement (IP Statique) pour garantir la connectivité.
2. Philosophie : La Déduplication
Contrairement aux sauvegardes classiques, PBS repose sur une approche "Incremental-Forever" et une forte Déduplication. PBS ne stocke pas des fichiers entiers, il stocke des Chunks (morceaux).
-
Le Chunking : Le fichier disque d'une VM est découpé en millions de petits morceaux.
-
Le Hachage : Chaque morceau reçoit une empreinte numérique unique.
-
La Déduplication : Le client demande au serveur : "Tu as déjà ce morceau ?".
- Oui : On ne l'envoie pas (gain de temps et de bande passante).
- Non : On l'envoie et PBS le stocke.
Résultat : Si vous avez 10 VMs Windows identiques, le système d'exploitation n'est stocké qu'une seule fois.
3. Gestion du Stockage (Datastore & RAID)
Dans PBS, l'espace de stockage s'appelle aussi un Datastore. C'est le dossier où sont stockés les Chunks et les Index. Ce stockage repose souvent sur ZFS et des concepts de protection disque :
- RAID : Assure la tolérance aux pannes matérielles.
- RAID-Z : La variante ZFS qui combine performance et protection des données.
- Miroir : Duplication des données sur plusieurs disques.
Garbage Collection (GC) : C'est le "Ramasse-miettes". Une tâche de maintenance essentielle qui scanne le Datastore pour supprimer réellement les "Chunks orphelins" (ceux qui ne sont plus utilisés par aucune sauvegarde) afin de libérer de la place.
4. Intégration PVE & Sécurité
La connexion entre votre hyperviseur (PVE) et votre sauvegarde (PBS) est critique.
- Jointure & Fingerprint : L'ajout du PBS dans Proxmox VE nécessite une validation par Empreinte (Fingerprint). C'est une sécurité cryptographique pour être sûr que l'on parle au bon serveur et éviter les interceptions.
- Chiffrement (Encryption) : Les données peuvent être chiffrées côté client (PVE) avant l'envoi. Le serveur PBS ne voit alors que des données illisibles.
5. Sauvegardes & Restaurations (Validation)
Sauvegarder ne suffit pas, il faut valider la protection des données par des tests :
- Verify Jobs : Tâches planifiées qui relisent les morceaux stockés pour vérifier leur intégrité physique (bit rot).
- Restauration Complète : Remettre une VM entière sur pied.
- File Picking (Collecte de fichiers) : Capacité à restaurer juste un fichier précis à l'intérieur d'une archive de Conteneur ou de VM, sans tout écraser.
- Simulation d'erreurs : Provoquer des pannes volontaires pour valider que les procédures de restauration fonctionnent réellement.
6. Synchronisation & Règle 3-2-1
Pour respecter la règle du 3-2-1, PBS utilise les Remotes et la Sync.
-
Remote : On déclare un autre serveur PBS distant.
-
Sync Job : On configure une tâche qui va "tirer" les sauvegardes d'un PBS A vers un PBS B.
-
Avantage : Grâce à la déduplication, seuls les nouveaux morceaux sont transférés via Internet. C'est extrêmement efficace pour la réplication hors-site.
7. Maintenance : Le Pruning (Élagage)
Comme sur Veeam, il faut définir une politique de rétention pour ne pas saturer le disque. Cela s'appelle le Pruning.
-
Exemple de politique :
keep-last=7(Garder les 7 dernières sauvegardes)keep-daily=1(Garder 1 par jour sur 2 semaines)keep-weekly=4(Garder 1 par semaine...)
-
PBS supprime les index des vieilles sauvegardes, et le Garbage Collector passera plus tard pour nettoyer les blocs.
💡 Résumé : Différences Clés Veeam vs PBS
| Fonctionnalité | Veeam Backup & Replication | Proxmox Backup Server |
|---|---|---|
| Cible | VMware, Hyper-V, Nutanix, Physique | Proxmox VE, Linux (Debian) |
| Format | Fichiers .vbk (Full) et .vib (Incr) | Chunks (Morceaux dédupliqués) |
| Architecture | Agentless (Hyperviseur) ou Agent (Physique) | Client natif intégré dans PVE |
| Installation | Windows (Server ou Desktop) | Bare-metal (ISO) ou sur Debian |
| Licence | Payant (Community limitée) | Open Source (Support payant optionnel) |
En bref : Pour un environnement 100% Proxmox, PBS est plus performant (déduplication native) et léger. Veeam reste incontournable pour les parcs hétérogènes (Windows/VMware).
🚀 Zoom 2026 : L'Écosystème Proxmox Unifié (V9 & Datacenter)
Depuis fin 2025, Proxmox ne se limite plus à un hyperviseur et un serveur de sauvegarde isolés. L'architecture a évolué pour concurrencer directement les géants comme VMware Cloud Foundation.
1. Proxmox VE 9 et les "Nouveaux" Conteneurs
La version 9 (basée sur Debian 13 "Trixie") a brisé une barrière historique dans la virtualisation légère :
-
Support OCI (Open Container Initiative) : Avant, les conteneurs LXC étaient des "petits Linux" (OS complet). Avec la V9, Proxmox peut lancer des images OCI (le format standard utilisé par Docker/Kubernetes) directement dans des conteneurs LXC.
-
Intérêt pour le Backup : PBS 4 (la nouvelle version majeure) sait dédupliquer ces images conteneurs de manière encore plus agressive, car elles partagent toutes les mêmes couches de base (Layers).
2. Proxmox Datacenter Manager
C'est la pièce manquante qui est enfin arrivée (V1.0 sortie en déc. 2025).
-
Le Concept : C'est une troisième brique logicielle qui s'installe au-dessus de tout le reste. Elle offre une interface unique pour piloter plusieurs clusters PVE et plusieurs serveurs PBS disséminés géographiquement.
-
Corrélation : Au lieu de configurer vos sauvegardes PBS cluster par cluster, vous définissez une stratégie globale dans le Datacenter Manager, et il l'applique partout. Il permet aussi la migration à chaud de VMs entre deux clusters différents (Cross-Cluster Migration), ce qui change la stratégie de sauvegarde (le backup doit suivre la VM !).
En résumé : Aujourd'hui, l'admin système gère le trio PVE 9 (Compute) + PBS 4 (Backup) + Datacenter Manager (Orchestration).
Challenge B204 : Installer Proxmox Backup Server, configurer, backup et restore.
📚 Ressources :
- Documentation PBS https://pbs.proxmox.com/docs/
- Transférer des fichiers sous Linux avec SCP https://www.it-connect.fr/transferer-fichiers-linux-scp-exemples-commandes/