Wie sichert man Docker-Container? Docker Container Backup Methoden.

Obwohl Docker – und alle Container – in der Regel etwas neuer in einer IT-Produktionsumgebung sind als die meisten anderen Technologien, besteht dennoch die Notwendigkeit, diese Container, ihre Anwendungen und ihre persistenten Daten zu sichern. Wenn ein IT-Produktionssystem persistente Daten produziert, haben diese Daten wahrscheinlich einen gewissen Wert. Sie können sogar von entscheidender Bedeutung sein. Daher ist es wahrscheinlich notwendig, diese Daten für den Fall zu sichern, dass eine Katastrophe eintritt, z.B. als Folge einer Datenverletzung oder eines menschlichen Fehlers.

Dieses Thema behandelt sowohl die Fähigkeit von Docker, selbst Backups zu erstellen, als auch die Fähigkeit verschiedener Lösungen von Drittanbietern, umfassende Docker-Backups zu erstellen, wie z.B. Bacula Enterprise.

Docker-Container sichern und wiederherstellen

Dies beginnt in der Regel mit dem Commit des betreffenden Containers als Image, indem Sie den folgenden Befehl verwenden:

Dieses Image kann mit einem anderen Befehl als .tar-Datei gespeichert werden:

Die .tar-Datei kann auch auf dem NFS-Einhängepunkt gespeichert werden. Eine Alternative dazu ist, das betreffende Image (backup01) direkt in Ihre lokale Registrierung zu verschieben. Dazu müssen wir das Image zunächst entsprechend kennzeichnen:

In diesem Fall ist localhost der Standortname und 5000 die Portnummer. Beide können bei Bedarf geändert werden. Denken Sie auch daran, dass sowohl der Tag-Name als auch das Repository in Kleinbuchstaben angegeben werden müssen, damit der Tag korrekt angewendet werden kann. Der Prozess ist mit der Initiierung des Push-Befehls abgeschlossen:

Da wir zwei Sicherungsmethoden besprochen haben, gibt es auch zwei Wiederherstellungsmethoden. Um das Backup-Image aus einer .tar-Datei wiederherzustellen, müssen Sie den folgenden Befehl ausführen:

In der Befehlszeile sollten Sie die nachfolgenden Statuszeilen sehen, wenn der Befehl korrekt eingegeben wurde:

Ein weiterer Befehl namens docker run kann verwendet werden, um einen Container aus diesem Image zu erstellen.

Ein gepushtes Image kann mit einem relativ einfachen Befehl direkt gezogen werden:

Wie im vorherigen Beispiel können sowohl der localhost Name als auch die Portnummer bei Bedarf geändert werden.

Docker-Volume-Sicherung und -Wiederherstellung

Eine andere Art von Docker-Backups erfolgt über Volumes – dauerhafte Speicheranbieter für Docker-Container. Diese Volumes müssen für die Datenkontinuität gesichert werden.

Wenn es um die Verwaltung persistenter Daten innerhalb der laufenden Docker-Container geht, sind Docker-Volumes der empfehlenswerteste Weg, alles zu verwalten. Diese Art von Ansatz bietet verschiedene Vorteile. Zum Beispiel werden Daten, die im Docker-Container über Volumes gespeichert werden, effektiv vom restlichen Dateisystem isoliert, was es sehr viel schwieriger macht, von systemweiten Cyberangriffen betroffen zu sein. Diese Art der Isolierung macht es jedoch auch schwieriger, Docker-Backup-Volumes zu erstellen.

Außerdem entfällt bei Volumes die Notwendigkeit, sich um GUI und UID zwischen dem Docker-Container-System und dem Betriebssystem zu kümmern. Volumes selbst sind portabel, wenn es um verschiedene Docker-Installationen geht, d.h. Sie müssen sich nicht um das Betriebssystem des Hosts kümmern. Gleichzeitig ermöglicht dieser portable Ansatz die Verwaltung von Docker-Volumes mit verschiedenen externen Tools – wie Bucket-basierter Speicher, nfs usw.

Da Docker-Volumes im Grunde genommen notwendig sind, um verschiedene Docker-Container mit persistenten Daten zu erstellen, ist es nur natürlich, dass Sie auch über Docker-Backup-Volumes verfügen – diese Art von Daten ist mindestens genauso wichtig wie alle anderen Daten in Ihrem System, wenn nicht sogar noch wichtiger.

Natürlich ist die Verwendung von Docker-Volumes für die Speicherung von Containerdaten nicht unbedingt bequem und es gibt hier und da ein paar Wachstumsschmerzen. So müssten Sie beispielsweise mehrere verschiedene Befehle lernen, um etwas so Einfaches wie das Kopieren von Daten aus dem Container zu tun. Sie müssten auch mehrere Befehle kennen, um eine Shell auf einem laufenden Docker zu öffnen, um den aktuellen Status zu sehen.

Es könnte schwieriger sein, die Gesamtheit der Docker-Volumes in Ihrem zentralisierten Dateisystem sichtbar zu machen, da sie auf eine etwas andere Art und Weise funktionieren als die traditionellen Speicherorte – und Sie müssten Docker-Backup-Volumes für denselben Zweck erstellen, für den Sie normalerweise Backups Ihrer regulären Daten erstellen.

Normalerweise werden Docker-Volumes vom Docker-Daemon verwaltet. Wir werden jedoch überhaupt nicht mit diesem interagieren. Die Idee eines Docker-Backup-Volumes ist es, eine Volume-Kopie als komprimierte Datei in einem der lokalen Verzeichnisse zu erhalten. Diese Kopie ist das Backup, nach dem wir suchen.

In diesem Beispiel heißt unser Container dckr-site mit dem Volume dckr-volume. Er ist unter /var/lib/dckr/content/ gemountet und speichert alle Daten dort.

Der erste Schritt besteht darin, den Container mit folgendem Befehl anzuhalten:

Im nächsten Schritt geht es darum, den Container zu mounten und den Inhalt des Volumes zu sichern:

In diesem Szenario:

• docker run Befehl wird verwendet, um einen neuen Container zu erstellen,
• -rm Befehl weist das System an, den Container zu entfernen, sobald der Vorgang abgeschlossen ist;
• –volumes-from dckr-site montiert die Volumes des Containers in unseren neuen temporären Container;
• bash -c “cd /var/lib/dckr/content && tar cvf /backup/dckr-site.tar” erstellt eine Sicherungskopie des gesamten Inhalts des Verzeichnisses /backup/

Der Wiederherstellungsprozess für diese Backups ist nicht besonders kompliziert. Er beginnt mit der Erstellung eines neuen Volumes mit dem folgenden Befehl:

Dann können Sie den folgenden Befehl verwenden, um das Volume aus einem temporären Container in einer .tar-Datei wiederherzustellen:

Natürlich müssen Sie dieses neue Volume in den neuen Container mounten, damit es richtig funktioniert:

Wenn das Verfahren korrekt durchgeführt wird, sollte der gesamte Zustand der Anwendung wiederhergestellt werden. Es ist wichtig zu erwähnen, dass diese Methode nicht als einzige Backup-Quelle verwendet werden sollte, da die Backup-Daten immer noch auf dem Host gespeichert sind und daher im Falle eines Datenverlusts oder einer Katastrophe, die auch den Host betrifft, verloren gehen würden.

Alternativer Ansatz für Docker Volume Backup & Wiederherstellung

Es ist normal, dass sich alle modernen Systeme im Laufe der Zeit weiterentwickeln und verändern, und Docker bildet da keine Ausnahme, insbesondere bei einer so großen Gemeinschaft von Benutzern und Entwicklern. So gibt es beispielsweise einen alternativen Ansatz für die Sicherung von Docker-Volumes, den einige Benutzer aus dem einen oder anderen Grund gegenüber der ersten Option bevorzugen könnten.

Der erste Schritt wäre hier, den Namen des Volumes zu definieren. Der betreffende Befehl unterscheidet sich für Windows (PowerShell) und Linux/macOS-Benutzer. Erstere benötigen den Befehl $VOLUME=“name_volume“, während letztere sich auf den Befehl VOLUME=“name_volume“ verlassen.

Sobald das erledigt ist, besteht die erste Möglichkeit darin, einen Backup-Befehl auszuführen:

Der Teil /data steht für das Ziel und kann bei Bedarf geändert werden.

Der Befehl Wiederherstellen würde sich davon natürlich unterscheiden und das Beispiel unten zeigt das gut:

Es ist zu beachten, dass der rm -rf /data/{*,.*} Teil existiert, um alle vorhandenen Dateien vor der Wiederherstellung des Backups zu löschen, aber die Natur von Docker bedeutet, dass es zwei verschiedene Befehle enthält – einen für das Löschen aller Dateien und Ordner, die mit einem Punkt beginnen, und den anderen für Dateien, die nicht mit einem Punkt beginnen. Allerdings gibt es in jedem Container zwei unsichtbare „files“ namens „.“ und „..“, die technisch gesehen gar keine Dateien sind, weshalb sie nicht gelöscht werden können.

Die ersten beiden Ausgabemeldungen nach der Ausführung des Wiederherstellungsbefehls beziehen sich also auf die Unfähigkeit, diese Dateien zu entfernen – das ist normal und hat keinerlei Auswirkungen auf den Rest des Prozesses.

Es gibt ein paar wichtige Unterschiede zwischen dieser Methode und den von uns zuvor angebotenen Methoden:

• Die drei bisher vorhandenen tar-Argumente (c, v und f, wie in cvf) sind jetzt als cvzf enthalten – so dass die Backup-Datei nach ihrer Erstellung automatisch komprimiert wird.
• Die Zielpfade der Backup-Volumes werden in jedem Backup-Befehl angegeben, so dass sie hinterher leichter auffindbar sind. Dies ist ein anderer Ansatz als die Verwendung des –volumes-from-Befehls, da letzterer dem betreffenden Benutzer weder Volume-Namen noch deren Zielpfade anzeigt.
• Der Wiederherstellungsprozess beinhaltet den Befehl zum Löschen aller vorhandenen Volume-Daten, bevor eine Wiederherstellung durchgeführt wird, um einen ordnungsgemäßen Wiederherstellungsprozess zu gewährleisten. Außerdem gibt es einen Grund dafür, dass zwischen den Befehlen tar xvzf und rm ein Semikolon verwendet wird, da die Verwendung von && (ähnlich wie bei unserer ersten Methode) bedeutet, dass die gesamte Befehlskette nach dem ersten fehlgeschlagenen Befehl vollständig stoppt.

Natürlich eignet sich dieser spezielle Befehl nur als manuelles Beispiel für Docker-Volume-Backups, da jede einzelne Befehlsausführung ein full Backup erzeugt – etwas, das sowohl in Bezug auf die Zeit als auch auf den Speicherplatz äußerst ineffizient wäre, wenn dieser Befehl automatisiert und regelmäßig ausgeführt werden soll (und nicht einmal Komprimierung kann dieses Problem lösen).

Bewährte Verfahren für die Verwaltung von Docker-Volumes

Die Arbeit mit Docker-Volumes kann eine ziemliche Herausforderung sein – es ist ein sehr nützliches Tool, aber es hat seine eigenen Nuancen, an die sich die meisten Benutzer früher oder später gewöhnen müssen. Um diesen Prozess etwas zu vereinfachen, können wir Ihnen einige Ratschläge und bewährte Verfahren für die Verwaltung von Docker-Volumes vorstellen:

• Implementieren Sie konsistente Methoden für das Anhängen und Lösen von Volumes an Container.
• Einsatz von konsistenten und aussagekräftigen Namenskonventionen zur einfachen Identifizierung und Verwaltung von Volumes.
• Vermeiden Sie die Erstellung unnötiger Volumes, da jedes Volume Ressourcen verbraucht.
• Überprüfen Sie regelmäßig die Volumes, um übermäßige Datenspeicherung oder Kapazitätsprobleme zu erkennen und zu beheben.
• Vermeiden Sie den gleichzeitigen Schreibzugriff auf dasselbe Laufwerk durch mehrere Container, um Datenbeschädigungen zu vermeiden.
• Einführen geeigneter Sicherheitsmaßnahmen zum Schutz sensibler Daten, die in Volumes gespeichert sind.
• Vergeben Sie eindeutige und beschreibende Namen für Volumes zur besseren Organisation und Verwaltung.

Benutzerdefinierte Skripte und Docker-Images

Da Docker über eine recht große Gemeinschaft hochqualifizierter Personen verfügt, sollte es nicht allzu sehr überraschen, dass es viele maßgeschneiderte Skripte und Images für die Sicherung von Docker gibt.

Ein Docker-Image von Offen ist ein gutes Beispiel dafür. Es handelt sich um einen leichtgewichtigen Begleitcontainer, der entweder einzelne oder regelmäßige Docker-Volume-Backups in ein bestimmtes Zielverzeichnis durchführen kann – lokales Verzeichnis, Azure Blob, S3, Dropbox, WebDAV usw. Außerdem kann es ältere Backups rotieren, Backups mit GPG verschlüsseln und bei fehlgeschlagenen Backup-Aufgaben den Benutzer benachrichtigen.

Die Ersteinrichtung ist recht einfach (alle Informationen finden Sie unter dem obigen Link), und die Beispiel-Befehlszeile für einen einzelnen Backup-Vorgang sollte wie folgt aussehen:

Natürlich ist dies nur ein Beispiel, aber es gibt viele andere Optionen auf dem Markt für Benutzer, die bereit sind, Zeit und Mühe zu investieren, um zu lernen, wie man diese benutzt.

Volumes Backup & Share

Benutzer, die mit der Logik einer Befehlszeilenschnittstelle zur Durchführung der oben genannten Aufgaben weniger vertraut sind, suchen vielleicht nach einer einfacheren Möglichkeit, mit Docker-Containern als Ganzes zu arbeiten. Glücklicherweise gibt es eine Lösung für dieses Problem – eine offizielle Docker Desktop App, die eine unkomplizierte Benutzeroberfläche für die Verwaltung von Apps, Containern und mehr bietet.

Dieselbe App verfügt auch über einen Marktplatz für Erweiterungen, auf dem zahlreiche verschiedene Erweiterungen angeboten werden, mit denen Sie die Funktionalität der Lösung in irgendeiner Weise erweitern oder verändern können. Die Erweiterungen können sowohl offiziell sein als auch von Benutzern erstellt werden, aber die, die uns interessiert, wird von Docker selbst bereitgestellt.

Volumes Backup & Share ist die offizielle Docker-Volumenverwaltungserweiterung für Docker Desktop. Sie bietet eine nahtlose Möglichkeit, mit Volumes zu arbeiten, einschließlich ihrer Sicherungs- und Wiederherstellungsvorgänge sowie des Klonens, der gemeinsamen Nutzung und mehr.

Die fragliche Lösung bietet vier verschiedene Backup-Typen:

• Ein neues Image.
• Ein Dateibackup (ein mit gzip komprimierter Tarball, ähnlich dem, den wir zuvor besprochen haben).
• Eine Image-Registrierung.
• Ein vorhandenes Image.

Zu den weiteren Funktionen gehören die Möglichkeit, Volumes zu importieren oder wiederherzustellen, Volumes von einem Host auf einen anderen zu übertragen, und das alles ohne CLI-Befehle – eine großartige Option für eine bestimmte Zielgruppe.

SnapShooter von Digital Ocean

Wenn wir uns auf die Backup-Optionen von Drittanbietern für Docker konzentrieren, können wir mit SnapShooter beginnen. SnapShooter ist eine relativ junge Backup-Lösung, die früher speziell auf DigitalOcean-Angebote ausgerichtet war. Sie wurde einige Jahre später auf andere Anbieter ausgeweitet und Anfang 2023 von DigitalOcean übernommen.

Wie der Name schon sagt, besteht das Hauptangebot von SnapShooter in der Möglichkeit, Snapshots zu erstellen – auch wenn es um Datei-, Datenbank- und App-Backups usw. erweitert wurde. Was die Docker-Fähigkeiten angeht, so bietet SnapShooter Unterstützung für die Sicherung von Docker-Volumes sowie für die Sicherung von Datenbanken wie MongoDB, MySQL und Postgres, die in Docker laufen.

SnapShooter bietet auch eine recht benutzerfreundliche Oberfläche, die den Benutzern bei der Durchführung einer Vielzahl von Aufgaben hilft. Dazu gehören auch die Erstellung von Backups und die Wiederherstellung von Daten für Docker-Volumes.

Duplicati

Eine weitere Backup-Option eines Drittanbieters für Docker-Volumes, die etwas anders ist, ist Duplicati. Duplicati ist eine recht bekannte kostenlose Backup-Lösung mit einer Open-Source-Struktur. Sie bietet die Möglichkeit, Datensicherungen zu erstellen und diese auf eine Vielzahl von Speicherzielen zu verschieben, seien es Remote-Server, NAS oder Cloud-Dienste.

Da es sich bei Duplicati um ein kostenloses und quelloffenes Angebot handelt, ist es für einen durchschnittlichen Benutzer etwas schwieriger, damit zu arbeiten. Dennoch können Sie damit regelmäßige Backups von Docker-Volumes mit einer bestimmten Befehlsfolge einrichten. Es sei darauf hingewiesen, dass dieses Beispiel einen bestimmten Docker-Container verwendet – linuxserver/duplicati.

Der erste Schritt wäre hier, den Befehl id $user auszuführen, um sicherzustellen, dass der aktuelle Host über Root-Rechte für alle zukünftigen Aufgaben verfügt. Der fragliche Befehl sowie die Antwort sollten wie folgt aussehen:

Die Zahl Null in den beiden Feldern gid und uid steht für den Status eines Root-Benutzers.

Der nächste Befehl führt den oben erwähnten Docker-Container linuxserver/duplicati innerhalb Ihres Systems aus:

Sobald dieser Befehl eingegeben ist, können Sie die Web-UI von Duplicati aufrufen, indem Sie http://<server_ip>:8200 in der Suchleiste Ihres Webbrowsers aufrufen.

Sobald der erste Lauf abgeschlossen ist, ist es wichtig, dass der betreffende Container mit dem docker stop <id_cont> Befehl gestoppt wird, in den Sie die eindeutige ID des Containers eintippen.

Die meisten grafischen Benutzeroberflächen für die Docker-Container-Verwaltung sollten diesen nächsten Schritt ebenfalls ausführen können, aber für dieses Beispiel gehen wir auf die CLI-Version davon ein. Hier müssen wir den zuvor verwendeten Befehl zum Starten von Docker-Containern ändern, indem wir das Feld /source durch den genauen Speicherort jedes Volumes ersetzen, das gesichert werden soll.

Sobald dieser Vorgang abgeschlossen ist, sollten Sie den Duplicati-Container neu starten, bevor Sie fortfahren. Unser letzter Schritt besteht darin, die Web-UI von Duplicati zu verwenden, um Backup-Aufträge zu starten. Verwenden Sie die Schaltfläche Add backup und folgen Sie dem Backup-Assistenten, um genau das zu tun. Sie müssen auf die genauen Daten verweisen, die Sie sichern möchten – die Docker-Volumes, die Sie zugeordnet haben, sollten sich unter der Kategorie Source data im Backup-Assistenten befinden. Die Backups selbst werden im Verzeichnis /tmp/backups gespeichert (kann geändert werden).

Wir haben uns mit einer kleinen Docker-Backup-Lösung und einer kostenlosen Docker-Volume-Backup-Option beschäftigt. Jetzt ist es an der Zeit zu sehen, wie Backup-Lösungen für große Unternehmen mit der gleichen Aufgabe funktionieren.

Docker-Sicherung und -Wiederherstellung mit Bacula Enterprise

Bacula Enterprise nutzt seine modulare Fähigkeit, um die native Integration verschiedener Systeme und Dienste, einschließlich Docker, zu ermöglichen. Bacula ist eine vernetzte, umfassende Sicherungs- und Wiederherstellungssoftware, die für die hohen Arbeitslasten mittlerer und großer Unternehmen ausgelegt ist. Im Vergleich zu anderen Lösungen von Backup-Anbietern bietet Bacula ein besonders hohes Maß an Sicherheit und wird daher von der großen Mehrheit der westlichen Militär-, Verteidigungs- und Regierungsorganisationen eingesetzt. Das Docker-Modul von Bacula bietet neben den Kernfunktionen für die Datensicherung und -wiederherstellung eine Vielzahl nützlicher Zusatzfunktionen.

Die Sicherung von Docker mit Bacula Enterprise besteht aus drei einfachen Schritten:

1. Aktueller Zustand des Containers wird in dem neuen Image gespeichert
2. Das Docker-Dienstprogramm wird ausgeführt und die Daten werden gespeichert
3. Der betreffende Snapshot wird entfernt, um den Speicherplatz freizugeben

Das betreffende Backup kann in jedem Zustand auf einen Container durchgeführt werden, und die Bacula-Software zeigt den Status des Backup-Prozesses bei jedem Schritt an. Jedes Container-Image-Backup bedeutet, dass eine weitere .tar-Datei gespeichert wird. Image-Backups werden im /@docker/image//.tar und Container-Backups im /@docker/container//.tar Verzeichnis aufbewahrt.

Der Wiederherstellungsprozess von Docker-Backups mit Bacula Enterprise ist etwas komplizierter und kann auf zwei verschiedene Arten durchgeführt werden:

• Restore to local directory, das den where=/some/path Bacula-Parameter verwendet, um den vollständigen Pfad für das Backup anzugeben, das als Archivdatei oder -dateien wiederhergestellt werden soll;
• Und Restore to Docker service, was bedeutet, dass die Sicherungsdaten mit dem Befehl where= als neuer Container wiederhergestellt werden, ohne sie vorher zu archivieren.

Die Anpassung des Wiederherstellungsprozesses ist auch über verschiedene Parameter möglich, wie container_create, container_run und mehr.

Zum Zeitpunkt der Erstellung dieses Artikels ist Bacula eine der wenigen (oder die einzige) Sicherungs- und Wiederherstellungslösungen für Unternehmen, die eine vollständige und umfassende Sicherung einer Docker-Umgebung durchführen können. Es sichert auch eine breite Palette anderer Container-Technologien und wird aufgrund seiner Skalierbarkeit, Zuverlässigkeit und Ausfallsicherheit für anspruchsvolle und unternehmenskritische IT-Umgebungen empfohlen.

Insgesamt bedeutet die Verfügbarkeit anderer, spezialisierter Docker-Backup-Lösungen in Kombination mit der Docker-eigenen Lösung und dem Docker-Modul von Bacula, dass IT-Managern, die eine Möglichkeit zur Sicherung ihrer Docker-Produktionsumgebung suchen, eine Reihe von Möglichkeiten zur Verfügung steht.