SISR / B2 / M2.2 / C2.2.6 — Séance 2

💾 NAS Synology & Stratégie de sauvegarde

Bloc B2 Module M2.2 Séance 2 / 2 BTS SIO SISR 3h30
FormationBTS SIO option SISR — IRIS Mediaschool
BlocB2 — Administration Systèmes & Réseaux
ModuleM2.2 — Services réseau et systèmes
CompétenceB2.3
Durée3h30
PrérequisAvoir complété la Séance 1 (RAID et LVM)

🎯 Introduction (10 min)

« RAID = sauvegarde » est une idée répandue mais dangereuse : un RAID protège contre la panne matérielle d'un disque, pas contre la suppression accidentelle, la corruption logique ou un ransomware qui chiffre des fichiers en place. Les sauvegardes doivent être séparées, chiffrées si nécessaire, versionnées et — surtout — testées régulièrement ; sans tests de restauration, une sauvegarde vaut peu.

Cette séance montre comment configurer un NAS Synology pour stocker des sauvegardes, comment automatiser et chiffrer des archives avec Borg, et comment définir une politique RTO/RPO adaptée à une PME comme InnovatTech.

À l'issue de cette séance, vous serez capable de :

  • Configurer un volume SHR/RAID5 sur un Synology DS920+ (DSM) et créer des partages SMB/CIFS et NFS avec permissions adaptées.
  • Mettre en œuvre des sauvegardes automatisées : Hyper Backup, Active Backup for Business, et sauvegardes basées sur Borg (chiffrement repokey) vers le NAS.
  • Concevoir une stratégie de sauvegarde (full / incrémental / différentiel), calculer RTO/RPO et appliquer la règle 3-2-1 avec rétention pratique.

📖 1 — NAS Synology DS920+ (DSM) : volumes, partages et permissions (60 min)

Le Synology DS920+ offre un gestionnaire de stockage (Storage Manager) et une interface DSM conviviale. Deux concepts utiles : SHR (Synology Hybrid RAID) qui apporte une flexibilité de disque pour des tailles mixtes, et RAID5 classique. Pour une PME qui a 3 ou 4 disques identiques, SHR se comporte comme RAID5 mais facilite les extensions.

Procédure de création d'un volume

  1. Ouvrir DSM via https://nas01:5001 en administrateur.
  2. Storage Manager → Volume → Create → choisir "Custom" ou "SHR/RAID5" selon les disques.
  3. Sélectionner les disques physiques (ex : Disk 1..4), confirmer le formatage et lancer la création.
💡 Conseils

Documenter l'opération, nommer le volume (ex : volume1_backup), activer la vérification SMART périodique et planifier un test de lecture après création.

Créer un partage SMB/CIFS et NFS

ProtocoleUsageConfiguration DSM
SMB/CIFS Partage Windows Control Panel → File Services → SMB/AFP/NFS → activer SMB (SMB2/SMB3 conseillé), puis Shared Folder → Create
NFS Partage Linux Activer NFS dans File Services, puis lors de la création du Shared Folder, ouvrir NFS Permissions et ajouter les IPs/hostnames de confiance (ex : 192.168.10.10)

Montage depuis debian-srv01

# Montage SMB (avec un utilisateur backupuser) :
mkdir -p /mnt/nas-backup
mount -t cifs //nas01/volume1/backup /mnt/nas-backup \
  -o username=backupuser,uid=1000,gid=1000,vers=3.0

# Montage NFS (préféré pour performance et permissions UNIX) :
mkdir -p /mnt/nas-nfs
mount -t nfs nas01:/volume1/backup /mnt/nas-nfs -o rw,sync

Permissions utilisateurs : créer un utilisateur local backupuser et un groupe backup dans DSM, attribuer les droits read/write sur le dossier partagé, et activer la Corbeille du partage si nécessaire.

Hyper Backup vs Active Backup for Business (ABB)

OutilRôleCas d'usage
Hyper Backup Sauvegarde du NAS vers d'autres destinations NAS distant, rsync, S3… avec versions, planification et rotation
Active Backup for Business Centralisation des sauvegardes de postes/serveurs Agents Windows/Linux, déduplication côté NAS, restauration images/VM/fichiers
💡 Choix en pratique

Pour serveurs Linux/Windows, ABB simplifie la gestion centralisée. Pour plus de contrôle et de chiffrement côté client, on utilisera BorgBackup.

📖 2 — Stratégies de sauvegarde, RTO/RPO, règle 3-2-1 (60 min)

Types de sauvegardes

TypeCe qui est copiéAvantagesInconvénients
Full (complète) Toutes les données à l'instant T Restauration simple et rapide Coûteuse en espace et en durée
Incrémentale Modifications depuis la dernière sauvegarde (full ou incr.) Très efficace en espace et en temps Restauration plus lente (besoin de la dernière full + toutes les incrémentales)
Différentielle Modifications depuis la dernière full Restauration plus rapide que l'incrémentale Prend plus d'espace qu'une incrémentale

Comparatif chiffré (exemple)

Hypothèse : données totales = 500 GB, changement journalier moyen = 10 GB, rétention 7 jours.

StratégieEspace total estimé
Full quotidien7 × 500 GB = 3 500 GB
Full hebdo + incrémental quotidien (1 full + 6 incr.)500 + 6 × 10 = 560 GB
Full hebdo + différentiel quotidien500 + somme croissante ≈ 700–800 GB

RTO et RPO

IndicateurDéfinitionExemple InnovatTech
RPO (Recovery Point Objective) Fenêtre de perte de données acceptable 24 h si sauvegardes journalières
RTO (Recovery Time Objective) Temps maximal acceptable pour restaurer un service 4 h pour un service web non critique

Calcul de temps de restauration (estimation)

  • Volume à restaurer : 500 GB
  • Bande passante effective : 100 Mbps ≈ 12,5 MB/s
  • Temps estimé : 500 000 MB ÷ 12,5 MB/s ≈ 40 000 s ≈ 11 h
⚠️ Réduire le RTO

Prévoir des sauvegardes locales rapides + copies hors site (synchronisation asynchrone) + rétention incrémentale + stockage sur bandes rapides ou réplicas prêts à être montés.

Règle 3-2-1

ChiffreSignificationExemple concret
33 copies des donnéesProduction + NAS local + cloud
22 supports différentsNAS + cloud (ou NAS + bande)
11 copie hors siteCloud (S3, Backblaze B2, etc.) ou site distant

📖 3 — Outils pratiques et commandes (30 min)

rsync — solution simple

# Synchroniser /srv/data vers un partage NAS :
rsync -avz --delete --exclude /proc /srv/data/ backupuser@nas01:/volume1/backup/srv-data/
# --delete supprime sur la cible les fichiers absents de la source : à utiliser avec prudence.

BorgBackup — chiffrement et déduplication

# Initialiser un dépôt borg via SSH vers le NAS :
borg init --encryption=repokey backupuser@nas01:/volume1/backup/innovattech-borg-repo

# Créer une archive (home, etc, var/www) :
borg create --stats \
  backupuser@nas01:/volume1/backup/innovattech-borg-repo::archive-$(date +%Y%m%d) \
  /home /etc /var/www

# Vérifier le dépôt :
borg check backupuser@nas01:/volume1/backup/innovattech-borg-repo

# Lister les archives :
borg list backupuser@nas01:/volume1/backup/innovattech-borg-repo

# Extraire un fichier spécifique :
borg extract \
  backupuser@nas01:/volume1/backup/innovattech-borg-repo::archive-20250201 \
  /home/user/documents/report.pdf

Pruning / rétention

# Conserver 7 daily, 4 weekly, 3 monthly :
borg prune -v --list \
  backupuser@nas01:/volume1/backup/innovattech-borg-repo \
  --keep-daily=7 --keep-weekly=4 --keep-monthly=3
💡 borgmatic

borgmatic fournit un fichier YAML centralisé qui exécute automatiquement borg create, borg prune et les notifications — plus simple en production.

Validation et intégrité

# Extraire un fichier et vérifier l'intégrité par MD5 :
borg extract \
  backupuser@nas01:/volume1/backup/innovattech-borg-repo::archive-20250201 \
  /home/user/documents/report.pdf
md5sum /home/user/documents/report.pdf
# Comparer avec le MD5 enregistré lors de la sauvegarde.

🛠️ Travaux Pratiques (120 min)

Contexte

Vous êtes administrateur sur debian-srv01 (192.168.10.10). L'objectif est de mettre en place des sauvegardes journalières chiffrées sur nas01:/volume1/backup à l'aide de BorgBackup, d'automatiser la rotation et de tester une restauration.

Politique cible : chiffrement repokey, rétention 7 daily / 4 weekly / 3 monthly.

Objectif

  • Initialiser un dépôt borg chiffré sur nas01.
  • Créer une tâche quotidienne pour /home, /etc, /var/www.
  • Vérifier la première archive, effectuer une restauration de fichier.
  • Produire un document de politique de sauvegarde pour InnovatTech.

Prérequis techniques

  • debian-srv01 (Debian 12) avec BorgBackup installé (apt install borgbackup) et clé SSH pour backupuser@nas01.
  • Utilisateur backupuser sur nas01 avec droits d'écriture dans /volume1/backup.
  • Optionnel : monter nas01 via CIFS/NFS pour utiliser un dépôt local.

Étapes

Étape 1 — Créer une paire de clés SSH et la copier sur nas01

ssh-keygen -t ed25519 -f /root/.ssh/id_ed25519_borg -N ""
ssh-copy-id -i /root/.ssh/id_ed25519_borg.pub backupuser@nas01
# Vérifier connexion sans mot de passe :
ssh -i /root/.ssh/id_ed25519_borg backupuser@nas01 'echo OK'

Étape 2 — Initialiser le dépôt borg (chiffrement repokey)

borg init --encryption=repokey backupuser@nas01:/volume1/backup/innovattech-borg-repo
# ⚠️ Conserver la passphrase repokey et son fichier repokey-*.bak dans un coffre sécurisé.

Étape 3 — Créer la première archive et vérifier

borg create --stats \
  backupuser@nas01:/volume1/backup/innovattech-borg-repo::archive-$(date +%Y%m%d) \
  /home /etc /var/www
borg list backupuser@nas01:/volume1/backup/innovattech-borg-repo
borg check backupuser@nas01:/volume1/backup/innovattech-borg-repo

Étape 4 — Automatiser avec cron

# /etc/cron.daily/borg-backup (rendre exécutable : chmod +x)
#!/bin/sh
export BORG_RSH="ssh -i /root/.ssh/id_ed25519_borg"
borg create --stats \
  backupuser@nas01:/volume1/backup/innovattech-borg-repo::archive-$(date +%Y%m%d) \
  /home /etc /var/www
borg prune -v --list \
  backupuser@nas01:/volume1/backup/innovattech-borg-repo \
  --keep-daily=7 --keep-weekly=4 --keep-monthly=3

Étape 5 — Tester la restauration d'un fichier

# Lister les archives disponibles :
borg list backupuser@nas01:/volume1/backup/innovattech-borg-repo
# Extraire un fichier :
borg extract \
  backupuser@nas01:/volume1/backup/innovattech-borg-repo::archive-$(date +%Y%m%d) \
  /home/user/documents/report.pdf
# Vérifier l'intégrité :
md5sum /home/user/documents/report.pdf
# Comparer le MD5 avec celui du rapport de sauvegarde.

Étape 6 — Rédiger la politique de sauvegarde InnovatTech (livrable)

La politique doit inclure :

  • Scope des données sauvegardées
  • Fréquence (journalière) et type (incrémental via Borg)
  • RPO cible (ex : 24 h) et RTO cible (ex : 4 h pour les services web)
  • Chiffrement et gestion des clés (emplacement du repokey)
  • Procédure de restauration étape par étape
  • Tests mensuels obligatoires et responsables désignés

Livrables attendus

  • Script cron/systemd ou configuration borgmatic (fichier YAML) fonctionnelle sur debian-srv01.
  • Rapport de test de restauration : captures de borg list, borg create, borg extract et preuve d'intégrité md5sum.
  • Document politique de sauvegarde InnovatTech (1–2 pages).

Critères de réussite

  • ☐ Le dépôt borg est initialisé et accessible depuis debian-srv01.
  • ☐ Une archive quotidienne est créée automatiquement et visible via borg list.
  • ☐ La restauration d'un fichier a été testée et l'intégrité numérique (md5) vérifiée.
  • ☐ Une politique de sauvegarde concise et applicable a été rédigée.

📝 Synthèse (10 min)

Le NAS apporte une couche de centralisation et d'interface pour le stockage (SMB/NFS), mais la politique de sauvegarde et la vérification des restaurations demeurent essentielles. BorgBackup fournit un excellent compromis entre déduplication, chiffrement et simplicité d'automatisation, tandis que Hyper Backup / Active Backup for Business facilitent la gestion centralisée depuis DSM. Appliquez la règle 3-2-1, automatisez les tests de restauration, et calculez RTO/RPO en fonction des besoins métiers.

💡 Question de vérification

En une phrase, expliquez la différence pratique entre sauvegarde incrémentale et différentielle.

🔮 Cours suivant : C2.2.7 — Annuaire LDAP et Active Directory avancé (déploiement et intégration).

🧠 QCM — Testez vos connaissances

  1. Quelle est la principale différence entre un RAID5 et une sauvegarde ?
  2. Qu'est-ce que le RPO (Recovery Point Objective) ?
  3. Quelle commande BorgBackup initialise un dépôt avec chiffrement repokey via SSH ?
  4. Que signifie la règle 3-2-1 appliquée aux sauvegardes ?
  5. Quelle est la différence pratique entre une sauvegarde incrémentale et une sauvegarde différentielle ?
📝 Afficher les corrections
  1. Le RAID5 protège contre la panne matérielle d'un disque ; il ne protège pas contre la suppression accidentelle, la corruption logique ou un ransomware. Une sauvegarde est une copie séparée, versionnée et idéalement hors site — elle répond à ces cas que le RAID ne couvre pas.
  2. Le RPO est la fenêtre de perte de données acceptable. Il représente la durée maximale de données que l'on accepte de perdre en cas d'incident. Exemple : des sauvegardes journalières donnent un RPO de 24 h — on peut perdre au maximum les données de la dernière journée.
  3. borg init --encryption=repokey backupuser@nas01:/volume1/backup/innovattech-borg-repo. L'option --encryption=repokey chiffre le dépôt avec une clé stockée dans le dépôt lui-même, protégée par une passphrase.
  4. 3 copies des données, sur 2 supports différents, dont 1 copie hors site. Exemple : données en production + copie sur NAS local + copie dans le cloud (S3, Backblaze B2…).
  5. La sauvegarde incrémentale ne sauvegarde que les modifications depuis la dernière sauvegarde quelle qu'elle soit (la plus économe en espace mais la plus longue à restaurer car il faut la dernière full + toutes les incrémentales). La sauvegarde différentielle sauvegarde toutes les modifications depuis la dernière sauvegarde complète (restauration plus rapide qu'une chaîne incrémentale, mais plus volumineuse au fil du temps).
← C2.2.6 Séance 1 — RAID et LVM C2.2.7 Séance 1 — OpenLDAP et SSSD →