企業 IT 環境入面,備份架構設計往往係最容易被忽略嘅一環。好多人以為「裝咗 Veeam 就得」,但真正出事嗰陣先發現:備份唔夠快、restore 唔到、甚至備份同 production 一齊俾 ransomware 加密埋。
呢篇文會用一個 Oracle Linux KVM 生產環境做例子,示範點樣用 Veeam v12 搭一套符合業界最佳實踐嘅多層備份架構。
👉 延伸閱讀:Linux Server 安全加固 6 步搞掂 — Defense in Depth 實戰指南
## 架構總覽:4 層數據流 + 驗證
graph TB
Compute["Oracle Linux KVM 環境"] --> Veeam["Veeam v12 + Linux Proxy"]
Veeam --> Repo["Performance Tier · Hardened XFS"]
Repo --> QNAP["Capacity Tier · QNAP NAS"]
QNAP --> Tape["Archive Tier · HPE LTO-9"]
Repo -.-> Verify["SureBackup Sandbox"]成個架構分 5 大部分,由生產環境到長期歸檔,每一層都有明確嘅角色同保留策略。
## 第一層:生產環境 — Oracle Linux KVM 虛擬化
生產環境行 **Oracle Linux 8/9 + KVM**,兩部 KVM host 上面跑 4 個關鍵 VM:
| VM | 用途 | 備份考量 |
|—-|——|———|
| Oracle DB | 數據庫 | **RMAN 整合**,application-aware 備份確保 transactional consistency |
| App Server | 應用伺服器 | 標準 guest processing |
| Web Frontend | 前端 | 標準 guest processing |
| AD / DNS | 身份認證 | 需要 authoritative restore 能力 |
兩部 host 行 **Oracle Linux KVM** 嘅好處係同 Oracle DB 嘅支援生態一致,唔會出現 hypervisor 兼容問題。
## 第二層:Veeam Backup & Replication v12
Veeam 部署採用 **組件分離** 策略:
– **VBR Management Server** — 統一管理所有 backup job、policy 同 scheduling
– **Linux Backup Proxy** — 獨立部署喺 Linux VM,行 **Hot-Add 模式**直接掛載 virtual disk,避免 network (NBD) 瓶頸
– **Inline Dedupe + Compression** — 喺 data mover 層就做 dedup,減少寫入 storage 嘅數據量
備份模式選用 **CBT (Changed Block Tracking)** + **Application-Aware Processing**,Oracle DB 額外整合 **RMAN** 做 archive log backup,確保可以做到 point-in-time recovery。
## 第三層:Scale-Out Backup Repository(SOBR)— 3-2-1-1-0 法則
呢層係成個架構嘅核心。Veeam SOBR 將三個唔同性能/成本/用途嘅 storage pool 統一管理:
### ⚡ Performance Tier — Hardened Linux Repository
– **儲存:** 本地 SSD RAID,XFS filesystem
– **用途:** 每日 Primary Backup(Full + Incremental)
– **保留:** 14 天
– **保安:** **Immutable** — 用 Linux Hardened Repository 嘅 XFS immutable flag,即使 attacker 攞咗 root 都無法刪除/加密備份檔案
– **重點:** 絕對唔好用 Windows SMB share 做 primary repo!Windows 係 ransomware 最易打嘅目標
### 📡 Capacity Tier — QNAP NAS
– **儲存:** QNAP NAS,RAID 6,經 SMB/NFS/iSCSI 掛載
– **用途:** Backup Copy Job,用 GFS (Grandfather-Father-Son) 保留策略
– **保留:** 4 Weekly + 3 Monthly,**30 天 Immutable**
– **保安:** QNAP 支援 WORM (Write Once Read Many) 或快照 immutable,防止 backup copy 被篡改
– **重點:** Capacity Tier 同 Performance Tier 應該放喺 **唔同 physical location**(至少唔同機櫃/樓層),滿足 3-2-1 異地要求
### 📼 Archive Tier — HPE StoreEver Tape Library
– **儲存:** HPE StoreEver MSL,LTO-9,FC 介面
– **用途:** 長期歸檔,GFS Tape Job
– **保留:** 12 Monthly + 7 Yearly
– **保安:** **離線 Air-Gap** — 磁帶寫完就拎走,物理上完全隔離,任何 ransomware 都冇可能碰到
– **重點:** LTO-9 每卷 18TB native / 45TB compressed,成本極低,係長期歸檔最經濟方案
### SOBR Tier 自動遷移邏輯
Daily Backup → Performance Tier (0-14 days)
↓ (SOBR Offload Policy: 超過 30 天自動遷移)
Capacity Tier (GFS Weekly/Monthly)
↓ (GFS Tape Job)
Archive Tier (Yearly Tape)SOBR 嘅好處係自動分層 — 你唔使手動管理 backup 搬去邊,set 好 policy 就自動搞掂。
## 第四層:SureBackup 驗證
**有 backup 唔等於 restore 到。** 呢個係災難中最常見嘅悲劇。
SureBackup 功能會:
1. 喺 **isolated sandbox**(隔離網絡)自動 boot 起 backup 入面嘅 VM
2. 執行 **ping test、application heartbeat test**
3. 做完自動 tear down,唔影響 production
4. **每星期自動執行一次**,確保 backup 隨時可用
呢個步驟好多人會 skip,但係 compliance audit(ISO 27001 / SOC2)通常要求有 backup verification 記錄。
## 架構如何滿足 3-2-1-1-0 備份法則
| 法則 | 實作 |
|——|——|
| **3** copies | Production VM → Primary Repo → Capacity Tier |
| **2** media | Disk (Hardened Repo + QNAP) + Tape (LTO-9) |
| **1** offsite | QNAP NAS 放異地 + Tape 拎走 offsite vault |
| **1** immutable | Hardened Linux XFS + QNAP WORM |
| **0** errors | SureBackup weekly verify |
## 成本估算
以呢個規模(4 VMs、~10TB source data、14 天 daily + 3 個月 GFS + 7 年 archive)嚟計:
| 組件 | 估算成本 |
|——|———|
| Veeam VUL License(10-pack) | ~HKD 8,000/year |
| Hardened Linux Repo(4×8TB SSD RAID10) | ~HKD 25,000(一次性) |
| QNAP NAS(4-bay, 4×12TB HDD, RAID6) | ~HKD 12,000(一次性) |
| HPE LTO-9 Tape Drive + Media | ~HKD 40,000(一次性) |
| **一次性總計** | **~HKD 77,000** |
| **每年營運** | **~HKD 8,000** |
對比 ransom 贖金動輒七位數,呢個投資非常合理。
## 總結
一個成熟嘅備份架構唔係「是但搵個 NAS 放 backup」,而係:
1. **分層儲存** — 快嘅 tier 做 restore,平嘅 tier 做長期保留
2. **Immutable** — 確保 backup 本身唔會俾人加密/刪除
3. **Air-Gap** — 磁帶係終極防線,物理隔離勝過任何 software
4. **定時驗證** — SureBackup 確保你嘅 backup 真係 restore 到
5. **組件分離** — Proxy / Repository / Management 分開部署,減少攻擊面
記住一句:「唔好問你有冇 backup,問你 restore 過未。」
—
🔗 參考資料:NVD NIST 漏洞資料庫
*參考資料:Veeam Best Practice Guide、Veeam SOBR Configuration Guide、HPE StoreEver MSL Specification、Oracle Linux KVM Documentation(2026年5月整理)*
#技術分享 #部署 #Linux #IT教學 #備份
