Die Welt der IT-Infrastruktur wird zunehmend komplexer, und mit dieser Komplexität wächst auch die Notwendigkeit robuster **Datensicherheit**. Im Herzen vieler Unternehmen und Rechenzentren schlägt VMware ESXi als leistungsstarke Virtualisierungsplattform, die unzählige virtuelle Maschinen (VMs) beherbergt. Diese VMs sind oft die Lebensnerven kritischer Geschäftsanwendungen und -daten. Ein Ausfall oder Datenverlust hier kann katastrophale Folgen haben.
Viele IT-Profis verlassen sich zu Recht auf Lösungen wie **Synology Active Backup for Business** (ABB) für die Sicherung ihrer ESXi-Umgebungen. Doch selbst die beste Primär-Backup-Lösung hat ihre Grenzen. Was passiert, wenn Ihr Synology NAS selbst ausfällt, Opfer eines Cyberangriffs wird oder eine Naturkatastrophe Ihren gesamten Standort lahmlegt? Genau hier setzt das Konzept der **doppelten Sicherheit** an: Neben dem bewährten Synology-Backup erstellen wir eine zusätzliche, physikalisch getrennte Kopie auf einem **USB-Laufwerk**. Dieser Artikel führt Sie detailliert durch die Notwendigkeit und Umsetzung dieser Strategie, um Ihre VMware ESXi-Umgebung umfassend zu schützen.
### Warum doppelte Sicherheit für VMware ESXi unverzichtbar ist
Ihr VMware ESXi-Host ist das Rückgrat Ihrer virtualisierten Infrastruktur. Er verwaltet die Ressourcen, auf denen Ihre VMs laufen, und stellt sicher, dass Ihre Anwendungen verfügbar sind. Ein Ausfall dieses Hosts oder der Verlust seiner Konfiguration kann zu erheblichen Ausfallzeiten führen.
#### Synology Active Backup for Business: Die erste Verteidigungslinie
Synology NAS-Systeme in Kombination mit Active Backup for Business (ABB) bieten eine hervorragende Lösung für die Sicherung von VMware ESXi. ABB ermöglicht Ihnen:
* **Automatisierte Backups:** Regelmäßige, zeitgesteuerte Sicherungen Ihrer VMs.
* **Deduplizierung und Komprimierung:** Effiziente Speichernutzung.
* **Versionierung:** Mehrere Wiederherstellungspunkte für Flexibilität.
* **Sofortige Wiederherstellung:** Schnelle Wiederherstellung einzelner VMs.
* **Granulare Wiederherstellung:** Wiederherstellung auf Datei- oder Anwendungsebene.
All diese Vorteile machen Synology zu einer exzellenten Primärlösung. Aber stellen Sie sich vor:
* **Hardware-Defekt des NAS:** Ein Stromausfall, ein Überspannungsschaden oder ein Defekt an der Synology-Hardware kann den Zugriff auf all Ihre Backups unmöglich machen.
* **Ransomware-Angriff:** Wenn Ihr Netzwerk kompromittiert wird, könnten auch die auf dem NAS gespeicherten Backups verschlüsselt oder gelöscht werden, selbst wenn sie versioniert sind, wenn die Angreifer genügend Zeit haben oder die Backups nicht ausreichend isoliert sind.
* **Standortspezifisches Risiko:** Brand, Überschwemmung oder Diebstahl – wenn Ihr NAS und Ihr ESXi-Host am selben physischen Ort sind, könnten beide gleichzeitig betroffen sein.
#### Die Stärken des USB-Backups: Ihr „Air-Gap”-Lebensretter
Ein **USB-Backup** fungiert als unabhängige zweite Sicherheitsebene und begegnet den oben genannten Risiken effektiv. Die Vorteile sind überzeugend:
* **Air-Gap-Prinzip:** Durch die physische Trennung vom Netzwerk ist ein USB-Laufwerk immun gegen Netzwerk-basierte Angriffe wie Ransomware. Es ist der ultimative **Ransomware-Schutz**, da es physisch getrennt und offline ist, wenn es nicht für das Backup verwendet wird.
* **Portabilität und Offsite-Speicherung:** USB-Laufwerke sind klein und leicht zu transportieren. Sie können sie an einem sicheren externen Standort aufbewahren, um sich gegen Standortrisiken abzusichern (Offsite-Speicherung).
* **Kosteneffizienz:** USB-Festplatten sind im Vergleich zu anderen Backup-Lösungen für sekundäre Kopien relativ günstig.
* **Einfachheit:** Der Prozess ist meist unkompliziert und erfordert keine komplexe Infrastruktur.
* **Schnelle Wiederherstellung bei Katastrophen:** In einem Worst-Case-Szenario kann ein bootfähiger ESXi-Installer mit einer wiederhergestellten Konfiguration von einem USB-Laufwerk oder VMs, die von einem USB-Laufwerk geladen werden, die **Wiederherstellung** erheblich beschleunigen.
### Voraussetzungen für Ihr USB-Backup
Bevor wir ins Detail gehen, stellen Sie sicher, dass Sie die folgenden Punkte beachten:
#### Hardware
* **USB-Festplatte:** Wählen Sie eine **USB-Festplatte** mit ausreichender Kapazität. Bedenken Sie, dass sie entweder die gesamte Konfiguration des ESXi-Hosts oder archivierte VM-Backups vom Synology-NAS aufnehmen muss. Eine **USB 3.0** (oder neuer) Festplatte ist aufgrund der höheren Übertragungsgeschwindigkeiten dringend zu empfehlen. Achten Sie auf Zuverlässigkeit – Markenqualität zahlt sich aus.
* **Zugriff auf den ESXi-Host:** Sie benötigen entweder direkten Zugriff auf die Konsole des Hosts oder via SSH.
* **Synology NAS:** Ihr Synology NAS sollte eingerichtet sein und **Active Backup for Business** bereits für Ihre ESXi-VMs nutzen.
#### Software und Konfiguration
* **SSH auf ESXi aktivieren:** Dies ist notwendig, um über die Befehlszeile auf den Host zuzugreifen und die Konfiguration zu sichern.
* **Grundkenntnisse der Kommandozeile:** Etwas Vertrautheit mit Linux-ähnlichen Befehlen (SCP, SSH) ist von Vorteil.
#### Planung
* **Was soll gesichert werden?** Es gibt zwei Hauptkomponenten: die ESXi-Host-Konfiguration und die VM-Daten selbst. Wir werden beide Aspekte behandeln.
* **Wie oft?** Die Host-Konfiguration ändert sich selten, daher reichen wöchentliche oder monatliche Backups. VM-Backups (via Synology auf USB archiviert) sollten je nach Ihrer Wiederherstellungspunkt-Zielvorgabe (RPO) erfolgen.
* **Wie lange aufbewahren?** Definieren Sie eine Aufbewahrungsrichtlinie (Retention Policy), idealerweise mit einem Rotationsschema (z.B. GFS – Grandfather-Father-Son).
### Methode 1: Sichern der ESXi Host-Konfiguration auf USB (Direkt von ESXi)
Die Konfiguration Ihres ESXi-Hosts umfasst wichtige Einstellungen wie Netzwerkkonfiguration, Datastores, Lizenzen, Benutzerkonten und vieles mehr. Ein schnelles Wiederherstellen eines ESXi-Hosts nach einem Hardware-Defekt ist nur mit einer aktuellen Konfigurationssicherung möglich.
#### Schritt-für-Schritt-Anleitung:
1. **SSH auf Ihrem ESXi-Host aktivieren:**
* Melden Sie sich über den vSphere Client oder direkt an der DCUI (Direct Console User Interface) des ESXi-Hosts an.
* Navigieren Sie zu `Host` > `Aktionen` > `Dienste` > `SSH aktivieren`. Alternativ in der DCUI: `Troubleshooting Options` > `Enable SSH`.
2. **Konfiguration synchronisieren:**
* Öffnen Sie eine SSH-Verbindung zu Ihrem ESXi-Host (z.B. mit PuTTY oder OpenSSH unter Linux/macOS).
* Führen Sie den Befehl aus, um die aktuelle Konfiguration in den nicht-flüchtigen Speicher zu schreiben:
„`bash
vim-cmd hostsvc/firmware/sync_config
„`
* Dieser Schritt stellt sicher, dass alle aktuellen Einstellungen in der Backup-Datei enthalten sind.
3. **Backup-Paket erstellen:**
* Der ESXi-Host erstellt regelmäßig ein Backup-Paket. Sie können es manuell auslösen oder einfach das zuletzt erstellte Paket verwenden. Das Skript zum Erstellen des Backup-Pakets ist:
„`bash
/sbin/auto-backup.sh
„`
* Dieses Skript erstellt eine komprimierte Archivdatei (`state.tgz`) im Verzeichnis `/bootbank/`, die die Host-Konfiguration enthält.
4. **Backup-Datei vom ESXi Host auf eine Workstation kopieren:**
* Verwenden Sie Secure Copy Protocol (SCP), um die `state.tgz`-Datei von Ihrem ESXi-Host auf Ihren lokalen Computer zu übertragen.
* Beispielbefehl (von Ihrem lokalen Computer ausgeführt):
„`bash
scp root@
„`
Ersetzen Sie `
5. **Backup-Datei von Workstation auf USB-Stick übertragen:**
* Sobald die `state.tgz`-Datei auf Ihrer Workstation gespeichert ist, schließen Sie Ihren **USB-Stick** an.
* Kopieren Sie die Datei einfach per Drag-and-Drop oder über das Kontextmenü (Kopieren/Einfügen) auf Ihr USB-Laufwerk.
* **Wichtig:** Benennen Sie die Datei sinnvoll um (z.B. `ESXi-Host-Konfig-2023-10-27.tgz`), um das Datum und den Host zu kennzeichnen.
6. **Wiederherstellung (kurzer Überblick):**
* Bei Bedarf können Sie einen neuen ESXi-Host mit der gleichen Version installieren.
* Nach der Installation kopieren Sie die `state.tgz`-Datei zurück auf den Host.
* Verwenden Sie den Befehl `esxcli system settings advanced set -o /UserVars/ESXiCfgBackup.restore -v 1` und starten Sie den Host neu, um die Konfiguration wiederherzustellen. Beachten Sie, dass der genaue Wiederherstellungsprozess je nach ESXi-Version und der Komplexität Ihrer Konfiguration variieren kann. Eine genaue Dokumentation des Wiederherstellungsprozesses ist hier essenziell.
### Methode 2: Sichern der VMware VM-Backups von Synology auf USB (Sekundäres Archiv)
Diese Methode ist der praktische Weg, um Ihre eigentlichen VM-Daten zusätzlich zum Synology-Backup auf einem USB-Laufwerk zu sichern. Hierbei wird das **USB-Laufwerk** als eine Art „Offline-Archiv” für die bereits auf dem Synology NAS vorhandenen Backups verwendet.
#### Verwendung von Synology-Funktionen für die USB-Archivierung
Wir gehen davon aus, dass Sie **Synology Active Backup for Business** bereits erfolgreich für Ihre VMware ESXi-VMs eingerichtet haben und regelmäßige Backups auf Ihrem Synology NAS erstellen. Jetzt wollen wir diese Backups zusätzlich sichern.
1. **USB-Festplatte an Synology NAS anschließen:**
* Schließen Sie die externe **USB-Festplatte** an einen freien USB-Port Ihres Synology NAS an. Das NAS sollte das Laufwerk automatisch erkennen und unter `Systemsteuerung` > `Externe Geräte` anzeigen.
2. **Synology Hyper Backup für die Archivierung nutzen:**
* Öffnen Sie auf Ihrem Synology NAS das `Hyper Backup`-Paket (falls nicht installiert, aus dem Paket-Zentrum installieren).
* Klicken Sie auf das `+`-Symbol und wählen Sie `Datensicherungsaufgabe`.
* Wählen Sie als `Datensicherungsziel` `Lokaler Ordner & USB`.
* Wählen Sie `Lokalen Ordner oder USB-Gerät` aus und klicken Sie auf `Weiter`.
* Wählen Sie im Dropdown-Menü `Lokales freigegebenes Verzeichnis` Ihre angeschlossene USB-Festplatte aus. Sie können auch einen neuen Ordner auf der USB-Festplatte erstellen, z.B. `ESXi_VM_USB_Backup`.
* Klicken Sie auf `Weiter`.
3. **Quelle der Sicherungsaufgabe konfigurieren:**
* Als `Quelle` wählen Sie nun den Ordner aus, in dem **Active Backup for Business** Ihre VMware ESXi-Backups speichert. Dies ist standardmäßig ein freigegebener Ordner namens `ActiveBackupforBusiness` oder ein ähnlicher Ordner, den Sie bei der Einrichtung von ABB festgelegt haben.
* **Wichtig:** Sichern Sie hier nicht direkt die VM-Dateien vom ESXi-Host, sondern die *von Synology ABB erstellten Backups*. Dies stellt sicher, dass Sie von den Vorteilen der Deduplizierung und Versionierung von ABB profitieren und diese archivieren.
* Klicken Sie auf `Weiter`.
4. **Sicherungseinstellungen und Zeitplan:**
* **Aufgabe benennen:** Geben Sie der Aufgabe einen aussagekräftigen Namen, z.B. `ESXi_VM_USB_Archivierung`.
* **Zeitplan:** Legen Sie einen Zeitplan fest. Dies könnte täglich, wöchentlich oder monatlich sein, je nachdem, wie oft Sie Ihre Offsite-Kopie aktualisieren möchten. Ein wöchentlicher Rythmus ist oft ein guter Kompromiss.
* **Integritätsprüfung:** Aktivieren Sie die `Sicherungs-Integritätsprüfung`, um die Datenkonsistenz zu gewährleisten.
* **Clientseitige Verschlüsselung:** **Dringend empfohlen!** Aktivieren Sie die `Clientseitige Verschlüsselung`, um Ihre Daten auf dem USB-Laufwerk zu schützen, insbesondere wenn Sie das Laufwerk an einem externen Standort aufbewahren. Wählen Sie ein starkes Passwort und bewahren Sie es sicher auf. Ohne dieses Passwort sind die Daten auf dem USB-Laufwerk unlesbar.
* **Sicherungs-Rotation aktivieren:** Konfigurieren Sie eine Versionsverwaltung (z.B. Smart Recycle oder GFS), um Speicherplatz zu sparen und dennoch auf ältere Versionen zugreifen zu können.
5. **Aufgabe erstellen und ausführen:**
* Klicken Sie auf `Übernehmen`, um die Sicherungsaufgabe zu erstellen.
* Sie werden gefragt, ob Sie die Sicherung sofort ausführen möchten. Bestätigen Sie dies, um die erste Kopie zu erstellen.
Von nun an wird Synology Hyper Backup Ihre ABB-Backups gemäß dem festgelegten Zeitplan auf das angeschlossene USB-Laufwerk kopieren. Sie haben somit eine physikalisch getrennte, versionierte und verschlüsselte Kopie Ihrer wichtigsten VM-Daten.
### Best Practices und Tipps für optimale Sicherheit
Ein Backup ist nur so gut wie seine Wiederherstellbarkeit und seine Sicherheit. Beachten Sie folgende zusätzliche Tipps:
* **Regelmäßige Tests der Wiederherstellung:** Der wichtigste Tipp überhaupt! Ein Backup, das nicht getestet wurde, ist kein Backup. Führen Sie in regelmäßigen Abständen eine Test-Wiederherstellung Ihrer ESXi-Host-Konfiguration und einzelner VMs von Ihrem USB-Laufwerk durch.
* **Offsite-Speicherung des USB-Laufwerks:** Nehmen Sie das USB-Laufwerk nach dem Backup vom Synology NAS oder der Workstation ab und lagern Sie es an einem sicheren, externen Ort (z.B. in einem Bankschließfach, einem anderen Bürogebäude). Dies schützt vor Standortrisiken.
* **Verschlüsselung der USB-Festplatte:** Wie bereits erwähnt, nutzen Sie die Software-Verschlüsselung von Hyper Backup. Alternativ können Sie auch Hardware-verschlüsselte USB-Festplatten verwenden oder das Laufwerk auf OS-Ebene verschlüsseln (z.B. BitLocker unter Windows, LUKS unter Linux).
* **Mehrere USB-Laufwerke für Rotation:** Erwägen Sie die Verwendung von zwei oder mehr USB-Laufwerken in einem Rotationsschema (z.B. tägliches, wöchentliches oder monatliches GFS-Prinzip). Während ein Laufwerk Offsite ist, wird das andere für das nächste Backup verwendet.
* **Dokumentation des Backup- und Wiederherstellungsprozesses:** Schreiben Sie eine detaillierte Anleitung, wie die Backups erstellt und im Katastrophenfall wiederhergestellt werden. Dies ist unerlässlich, besonders wenn Sie nicht der einzige Administrator sind.
* **Überwachung des Backup-Status:** Stellen Sie sicher, dass Sie Benachrichtigungen über den Status Ihrer Hyper Backup-Aufgaben erhalten (erfolgreich, fehlgeschlagen).
* **Physische Sicherheit der USB-Laufwerke:** Bewahren Sie die USB-Laufwerke sicher auf, um Diebstahl oder Beschädigung zu verhindern.
### Fazit
Die **Datensicherheit** Ihrer VMware ESXi-Umgebung ist keine Option, sondern eine Notwendigkeit. Während **Synology Active Backup for Business** eine hervorragende erste Verteidigungslinie darstellt, bietet die zusätzliche **USB-Sicherung** eine unverzichtbare zweite Ebene der Absicherung. Durch die Kombination von automatisierten Backups auf dem NAS und einer **Air-Gap**-fähigen, portablen Kopie auf **USB** schaffen Sie eine robuste **doppelte Sicherheit**, die Ihre kritischen Daten vor einer Vielzahl von Bedrohungen schützt – von Hardwareausfällen über Ransomware bis hin zu Standortkatastrophen. Investieren Sie die Zeit und Mühe in diese „doppelte Sicherheit”; im Ernstfall wird es sich auszahlen und die **Disaster Recovery** erheblich vereinfachen. Ihre IT-Infrastruktur und Ihr Seelenfrieden werden es Ihnen danken.