Banana Pi-バックアップサーバー

挑戦する

3つのホストがあります。 ホームネットワークに2つ、リモートに1つ。 バックアップには、ホームネットワークに直接接続するか、リモートでホストできる独立したバックアップサーバーが必要です。 主なタスク：ホームシステムとリモートシステムの両方の定期的なバックアップを作成します。 サーバーはできるだけ経済的でなければなりません。 すべてのホストとバックアップサーバーは、FreeBSDオペレーティングシステムを使用します。



古いコンピューターをサーバーとして使用するのが最も簡単です。 しかし、彼は24時間体制で勤務している必要があるため、多くの電力を消費します。 そのため、ARMプロセッサ上のシングルボードコンピューターに目を向けました。 このプロセッサは、FreeBSDオペレーティングシステムでサポートされています。









最良の選択はBanana Pi M1です。 適切なプロセッサとメモリ。 SATAドライブを接続できます。 このパラメータは、特に急いで行く場所がないバックアップサーバーには非常に満足のいくものです。



BackupPCがソフトウェアソリューションとして選択されました。 アーカイブが暗号化されていないことを除いて、彼にはすべて問題ありません。 アーカイブのコピーをクラウドにアップロードするには（さらにコーシャ以外のmail.ruにアップロードするには）、追加の暗号化が必要です。 しかし、これはこのトピックに関する別の問題ではありません。 BackupPC Webインターフェースにアクセスするには、Webサーバーが必要です。 BackupPCのクラシックインストールでは、Apacheが提供されます。 しかし、小さなバナナPiで手を上げてそのようなモンスターを積み上げることはありません。 したがって、nginxがあります。

鉄

以下の機器がaliexpressで注文されました。



1. Banana Pi A20デュアルコア1GB RAMシングルボードコンピューター

2. バナナPI M1ケース

3. PC Banana piアルミニウム製ヒートシンクCPUおよびRAM

4. Banana Pi M1 SATAケーブル

5.5v 3aマイクロUsb AC / DC電源アダプターEu



コンピュータボードはきれいに行われます。 これにより、正常に機能するという自信が生まれます。 FreeBSD 11をロードしました。動作します。 ケースも非常によくできています。 最初はそうですが。 梱包したくありませんでした。 対称に見えます。 しかし、よく見ると、ケースの底部カバーの片側のストッパーの形状が少し異なることがわかります。 短いサイドカバー（電源ボタンとリセットボタンがある）は、反対側のカバーよりも低い位置にあります。 他のすべてが完全に集まっています。 ネジを締めるだけです。 キットには、ネジで穴に接着されたゴム製の脚があります。



最初のアセンブリはテストであるため、もちろん脚はくっつきませんでした。 ラジエーターを設置するには分解する必要があります。 体は暖かいです。 そこに何があるのか​​、具体的にどのように熱くなるのか、デバイスが通常モードで動作し始めるときを確認します。 2セットのラジエーターを備えたロットが購入されました。 セットには4つあります。 各チップに1つ。 1キットのラジエーターセットは含まれていません。 したがって、それはスペアであることが判明しました。 アリはまた、いくつかのセラミックラジエーターを提供していますが、それらはどのように熱を放散するべきかは不明です。 彼らはrib骨を持っていません-チップ上のちょうど厚いステッカー。 ほとんどの場合、これは中国の記憶、バッテリー、LEDランプなどの無生物のものです。



ケースの換気特性は最高ではありません。 底面カバーにはグリルがありますが、グリルは1つだけであり、空気の通過はありません。 ただし、ケース自体は快適です。 すべてのために確かに作られた穴があります。 ボードに完全にフィットします。 マイク用の穴のみがあります。 しかし、彼は必要ありません。 上部カバーには、コネクタを覆う2つの追加のハッチがありますが、これは使用しません。 ボード上の赤いLEDからシャーシの表面に光を出力するライトガイドもあり、電源接続を示します。 もう1つの欠点は、壁に取り付けるための穴がないことです。



電源は2Aを推奨しますが、3つ注文しました。 外付けの2.5インチHDDで使用する予定です。これには、パワーリザーブ付きの電源が非常に便利です。これは、ピークモードを意味します。現在のモードでは、システム全体の消費は1Aに収まります。

タスク実行

システムがSDカードから起動します。 構成は基本です。 さらに、ニーズに合わせて調整する必要があります。 さらに、rc.confにgrowfs_enable="YES"



オプションが追加されました。 システムの最初の起動時に、カードの全容量を確実に使用できます。 もう1つのワンタイムオプションは、ボードへの初期アクセスのためにDHCPを介してIPアドレスを取得することです。



SSHを介してボードに接続できるようにするため、システムには最初にfreebsdとrootの2人のユーザーがいます。 パスワードは名前と一致します。 それらをより安全なものと交換することを忘れないでください。 まず、新しいrc.confを作成する必要があります。 デフォルトでは、sendmailは無効になっています。 BackupPCメッセージを送信するのに役立ちます。 したがって、設定から切断された行は削除されます。 Sendmailは、localhostからメールを送信できるようになります。

 ## common #apcupsd_enable="YES" hostname="foo.example.com" keymap="us.dvorak.kbd" ntpd_enable="YES" ntpd_sync_on_start="YES" sshd_enable="YES" ## net ifconfig_dwc0_ipv6="inet6 accept_rtadv" rtsold_enable="YES" ipv6_defaultrouter="2a01:348:1f9:29::1" ## nginx nginx_enable="YES" spawn_fcgi_enable="YES" fcgiwrap_enable="YES" fcgiwrap_user="bpc"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

#apcupsd_enable="YES"



-切断中、本番への切り替え時にバックアップ電源が接続されます。 keymap="us.dvorak.kbd"



-これは純粋に私の個人的なものです。 コンソールから接続する場合、必要なキーボードレイアウトを提供する必要があります。 ボードは現在の時刻を保存しません。 ntpサーバーから要求されます。 したがって、対応するデーモンの起動が提供されます。



すべてのホストに住んでいる使い慣れたユーザーを追加しました。 .ssh / authorized_keysファイルも追加し、そのために必要なシェルをインストールしました。 これで、最初のユーザー「freebsd」を削除できます。 また、新しいユーザーを開始することはできませんが、既存のユーザーのままにしてください。 一般に、BackupPCが作成するユーザーでのみアクセスできますが、その後、wheelグループに含めて、ケースが使用するコンソールのパスワードアクセスを許可する必要があります。 シングルボードコンピュータのリソースは限られていることを覚えておく必要があります。 そして、このデバイスは1つのタスク用です。 追加のソフトウェアは必要ありません。



通常、すべてのホストでポートシステムを使用します。 今、私はそれらなしでやろうとします。

 # pkg install 
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

パッケージは柔軟性の低いソリューションですが、時間を節約できます。 したがって、zsh、vim、mcを配置します。 Vim-持っている必要があります。 zshなしでも実行できます-これはデスクトップではありません。 設置したら、壁に釘付けして、そこに住まわせます。 わかりやすくするためにMCが役立つ場合もありますが、MCがなければ生きることができます。



2 GBで選択されたSDカード。 つまり 正しいギガバイトは1.8になります。 そのため、ソフトウェアの一部の「過剰」は余裕があります。 当初、システムは約1 GBを使用していました。 残りはユーザー用です。 バナナに表示されないカードもあります。 そのため、システムが起動しない場合、パニックに陥ることはありませんが、別のSDカードを試すだけです。



BackupPCをインストールします。 いくつかの機能があります。 注意してください-rc.confでは、BackupPCの起動はありません。 手動で起動します。 この方法で起動されたBackupPCは、構成にリストされているすべてのホストにいつでもアクセスできます。 ただし、バックアップユーザーから他のホストにログインするだけでは機能しません。 彼は鍵にアクセスするためのパスフレーズを要求します。 ただし、長時間の電力不足などでサーバーが再起動した場合、バックアップシステムが停止した後にサーバーが起動すると、BackupPCを再度ロードする必要があります。 このようなイベントを見逃さないために、cronは3時間ごとにアクティブなBackupPCをチェックします。 BackupPCプロセスが実行されていない場合、サーバーは電子メールを送信します。



さらに、BackupPC自体は、何か問題がある場合、電子メール通知を送信します。 次のコマンドを使用して、このサービスの動作を確認できます（もちろん、backupc構成の正しく構成されたEmailセクションを使用）。

 BackupPC_sendEmail -u your@email.address
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

現在のバージョンでは、BackupPCはIPv6をサポートしていません。 Githubの記事に従って、少しパッチを適用する必要があります。 1つの機能があります。 configure.plファイルがインストールされた構成にありません。 代わりに、/ usr / local / libexec / backuppc / update.plに変更を加えました。 ファイルを編集した後、BackupPCは6番目のIPアドレスで作業する機会を得ました。 問題は起こりませんでした。



また、p5-File-RsyncP-0.74パッケージ（Perl Rsyncクライアント）をインストールする必要もあります。 バックアップの実装にはrsyncメソッドが使用されます。



BackupPCをインストールすると、最小限の権限で同じ名前のユーザーが作成されます。 実際のユーザーが必要です。 backuppcという名前は長すぎて不快です。 したがって、短いbpcを使用する方が便利です。 これに接続してBackupPCを起動できます。 そして、BackupPCはホストされたホストに彼の名前で行きます。 ユーザー名の変更に関連して、ディレクトリ/ usr / local / www / backuppcの名前を/ usr / local / www / bpcに変更する必要があります。



これで、バックアップマスターは/ etc / passwdを次のように表示します。

 bpc:*:301:301:BackupPC user:/home/bpc:/usr/local/bin/zsh
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ユーザーのホームディレクトリにファイルがあります。

 -rwxr--r-- 1 bpc bpc 304 Nov 13 19:02 agent -rw-r--r-- 1 bpc bpc 110 Nov 20 12:11 agent-info -rwxr--r-- 1 bpc bpc 158 Nov 19 10:21 mailbpc -rw-r--r-- 1 bpc bpc 38 Nov 19 09:51 mailtext
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

agent



-BackupPCを実行するスクリプト。 通常、デスクトップまたはアクセスが許可されている別のコンピューターから呼び出されます。

 ssh bpc@foo.example.com /home/bpc/agent
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

スクリプトの内容：

 #!/usr/local/bin/zsh ## ssh-agent to the file pid=`ps ax| grep ssh-agent | grep -v grep` if [ "$pid" = "" ] then ssh-agent | head -2 > ~/agent-info ## Setup Environment for ssh-agent source ~/agent-info ssh-add fi ## Start BackupPC and term the connection /usr/local/bin/BackupPC -d
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

実行中のssh-agentを確認し、実行されていない場合は起動し、環境をインストールし、ssh-addを起動し、BackupPCを起動します。 開始元のホストへの接続が閉じられます。 ssh-agentプロセスが検出されると、スクリプトは終了し、エージェントが既に実行されているというメッセージが表示されます。



agent-info



環境パラメーターを含むファイル。 エージェントによって作成されます。

mailbpc



-BackupPCが落ちたことを警告する電子メール用のスクリプト：

 #!/usr/local/bin/zsh pid=`ps ax | grep perl | grep -v grep` if [ "$pid" = "" ] then mail -s "bpc failure" postmaster@example.com < /home/bpc/mailtext fi
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

（3時間ごとに）チェックするには、crontab -eでbpcの行を追加します。

 3 */3 * * * /home/bpc/mailbpc
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

mailtext



ここにテキストを自由に追加してください。 「BackupPCが機能していません。 再起動する必要があります。」すべてが正常な場合、メールは届きません。



内容〜bpc / .ssh

 ~ % ls -l .ssh total 20 -rw-r--r-- 1 bpc bpc 400 Oct 28 11:43 authorized_keys -rw------- 1 bpc bpc 35 Nov 7 16:15 config -rw------- 1 bpc bpc 444 Nov 15 12:46 id_ed25519 -rw-r--r-- 1 bpc bpc 90 Nov 15 14:49 id_ed25519.pub -rw-r--r-- 1 bpc bpc 762 Nov 20 14:39 known_hosts
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

authorized_keys



ここに、BackupPCを起動できるホストの公開キーが追加されます。

config



ローカルssh構成ファイル。 新しいホストがBackupPCに追加された場合に必要です。 新しいホストへの自動アクセスを提供します。 デフォルトでは、このキーワードでask引数が使用され、backupcは質問に答えることができません。 内容：

 Host * StrictHostKeyChecking no
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

id_ed25519



-BackupPCがクライアントへのメッセージを暗号化する秘密鍵

id_ed25519.pub



-authorized_keysでクライアントに追加される公開鍵

known_hosts



ファイルの内容を示すことにより自動的に更新されるクライアントのリスト。



BackupPCは、エージェントを介した起動が設定される前に試すことができます。 試運転の場合、初期調整backuppc / config.plを行う必要があります-変​​更されたユーザー名を登録します。 ファイルパスを確認し、サーバー名を示します。 IPアドレスで十分ですが、6番目のバージョンは4番目のバージョンよりも扱いにくいです。 ドメイン名は、/ etc / hostsまたはドメインのサーバーのDNSゾーンファイルに登録する必要があります。 構成は、後でWebインターフェースを使用して詳細に構成できます。 プログラムのWebインターフェースは非常に便利です。 すべてのポイントについて、状況依存ヘルプがあります。



起動するかどうかを確認します。 これを行うには、bpcユーザーの下のサーバーに移動します。

 ssh bpc@foo.example.com
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

その後、テストを実行します。

 /usr/local/bin/BackupPC -d
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

結果はtopまたはpsコマンドで表示できます：

 ~ % ps aux | grep perl bpc 753 0.0 1.1 15252 11908 - I 12:11 0:00.19 /usr/local/bin/perl /usr/local/bin/BackupPC -d bpc 754 0.0 0.8 12748 8084 - IN 12:11 0:00.77 /usr/local/bin/perl /usr/local/bin/BackupPC_trashClean
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

それでは、nginxに取り掛かりましょう。 まず、標準構成で実行します。

 # service nginx start
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

すべてが順調であれば、nginx.confを次の形式にします。

 load_module /usr/local/libexec/nginx/ngx_mail_module.so; load_module /usr/local/libexec/nginx/ngx_stream_module.so; user bpc bpc; worker_processes auto; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout 65; server { listen [::]:80; server_name foo.example.com; index index.html /index.cgi; root /usr/local/www; access_log /var/log/nginx/access.log; error_log /var/log/nginx/error.log; location / { auth_basic "BackupPC admin"; auth_basic_user_file /usr/local/etc/nginx/.passwd; } location ~ \.cgi$ { include fastcgi_params; fastcgi_pass unix:/var/run/fcgiwrap/fcgiwrap.sock; fastcgi_param REMOTE_ADDR $remote_addr; fastcgi_param REMOTE_USER $remote_user; fastcgi_param SCRIPT_FILENAME /usr/local/www/cgi-bin/BackupPC_Admin; error_page 404 /404.html; error_page 500 502 503 504 /50x.html; } } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この構成とrc.confで参照されるパッケージもインストールすることを忘れないでください。

 fcgiwrap-1.1.0_3 Simple FastCGI wrapper for CGI scripts spawn-fcgi-1.6.4_2 Spawns fastcgi applications
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

SSHの標準ポート22を別のポートに置き換えると、愚かなブルートフォーサーがスタックしてしまいます。 sshd_config：ポート12345を修正します。BackupPCが他のホストにアクセスできるように、ssh_configファイルで同様の操作を実行します。



次に、BackupPC Webインターフェースへのアクセスを制限する必要があります。 このために、htdigestを使用したいと思いました。 しかし、これは残念でした。 インストールされたパッケージにはこのオプションはありません。 Nginxはモジュールをプラグインできます。 私はそれをやろうとしています。 目的のモジュールはgithubにあります。 5年前に当てはまります。 私はそれをコンパイルしようとしています。 コードは時代遅れであり、現代のnginxでは良い結果を与えません。 もっと新しいバージョンを見つけました。 すべてがコンパイルされます。 しかし、喜ぶには早すぎます。 プラグインとしてのhtdigestは作成されません。 その結果、通常のhtpasswdを実行し、opensslパスワードを使用してパスワードを作成する必要がありました。 別の方法は、portsまたはsrcからインストールすることです。 不必要に面倒なこと。 BackupPC Webインターフェースはfoo.example.comで利用できます。



私は最初の一歩を踏み出しました。 バックアップのために最初のホストを入力しました。 [保存]ボタンをクリックしました。 すべてが正常に行われているようです。 このクライアントのpingを確認する必要があります。

 ping6 client.your.domain
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

さらに、他方では、つまり、 クライアントでは、誰かがrsyncを呼び出して、クライアントを介してバックアップに必要なファイルを起動できます。

 bpc:*:1006:1006:backuppc from foo:/home/bpc:/bin/csh
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これを行うには、各クライアントでbpcユーザーを作成します。これには、すべてのファイルへのアクセス権が付与されている必要があります。 ただし、これらの権限はタスクの範囲によって厳密に制限される必要があります。 これを行うには、次の行を/ usr / local / etc / sudoersに追加します。

 bpc ALL=NOPASSWD: /usr/local/bin/rsync --server *
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次のステップは、クライアントへのアクセスを確認することです。 sshを介してクライアントにログインしようとしています。 Sshは、キーにアクセスするためのパスフレーズにすぐに関心を持ちます。 すべてがうまくいけば、BackupPCも入ります。 ただし、実際には、BackupPCが「4バイトを読み取れません」と表示しないようにすることは非常に困難です。 これは、彼がクライアントに接続できないことを意味します。 原則として、そのような場合の理由は不注意です。 エラーを修正し、問題を解決します-サーバーはホストに接続されています。



1つの重要なことはまだ行われていません-SATAドライブは、現時点では接続されていないため接続されていません。 これまでのところ、デバッグの目的で、USBフラッシュドライブがドライブとして使用されています。



次に、BackupPCの標準構成とデバッグが必要です。これについては、ドキュメントで詳しく説明されており、このトピックに関する多くの情報をインターネットで見つけることができます。 BackupPCを構成する場合、次のコマンドを使用すると便利です。

 BackupPC_dump -v -f bpc@client.your.domain
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

詳細な結論が得られ、その分析により、正常に機能するbackuppcを取得できます。



これで準備完了です。 システムは機能しています。 最後の仕上げがあります。 SDカードをバックアップする必要があります。

 # dd if=/dev/da0 of=//bpc.img bs=1m
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これで作業は完了し、バックアップコピーがあります。何かが発生した場合は、そこからシステムを新しいSDカードに復元できます。



この記事は、すべてを十分に詳細に反映していません。 実際、BackupPCのセットアッププロセスは実質的にありません。 しかし、主な目標は詳細ではなく、FreeBSD 11オペレーティングシステムの制御下でBanana Pi M1でBackupPCをホストするという基本的な可能性です。