Planifier un PRA pour Proxmox avec Cloud-PBS

La plupart des équipes qui exploitent Proxmox VE ont des sauvegardes. Beaucoup moins ont un plan de reprise d’activité. La différence n’est pas un détail : une sauvegarde est un fichier, un PRA est la réponse documentée et testée à la question « notre infrastructure est tombée, on fait quoi ? ». Cet article s’adresse à celui ou celle qui doit répondre à cette question devant la direction.

Des sauvegardes ne sont pas un plan de reprise

Une sauvegarde indique que la donnée existe quelque part. Un plan de reprise d’activité précise concrètement : où vous restaurez, sur quel matériel, dans quel ordre, qui le fait, et combien de temps cela prend. Si vos sauvegardes résident sur le même site, ou pire le même cluster, que les systèmes qu’elles protègent, un incendie, un dégât des eaux ou un rançongiciel emporte les deux d’un coup. Ce n’est pas un plan de reprise. C’est une copie.

Deux chiffres décident de tout : RTO et RPO

Avant tout choix technique, la direction doit s’accorder sur deux objectifs :

• RPO (Recovery Point Objective) : la quantité de données que vous pouvez vous permettre de perdre, mesurée en temps. Un RPO de 24 h signifie qu’une sauvegarde quotidienne suffit. Un RPO d’1 h, non.
• RTO (Recovery Time Objective) : combien de temps l’activité peut tourner système à l’arrêt avant que l’impact ne devienne sérieux.

Ce sont des décisions métier, pas des décisions IT. Elles fixent le coût du plan. Prétendre que le RTO est nul pour tout, c’est ainsi que les PRA deviennent inabordables, et donc ne sont jamais construits.

Ce que doit contenir un PRA Proxmox

Un plan exploitable répond, par écrit :

• Le périmètre. Quelles VMs sont critiques, lesquelles peuvent attendre, lesquelles n’ont pas d’importance.
• La copie externalisée. Des sauvegardes dans un lieu physique différent, sur un système que des attaquants ne peuvent pas atteindre depuis le réseau de production.
• La cible de restauration. Le matériel ou la plateforme sur laquelle les VMs sont restaurées, dimensionné à l’avance, pas improvisé pendant l’incident.
• La procédure et les responsabilités. Qui déclare le sinistre, qui mène la restauration, dans quel ordre.
• La preuve. Un test de restauration, planifié. Une sauvegarde non testée est une hypothèse.

C’est sur ce dernier point que la plupart des plans échouent. Les sauvegardes réussissent en silence pendant des années ; la première vraie tentative de restauration a lieu pendant le sinistre réel. C’est le pire moment pour découvrir une faille.

Où se situe Cloud-PBS

Cloud-PBS, le service de sauvegarde managée de LenoIT, est conçu pour la copie externalisée et pour la preuve. Il fournit un stockage Proxmox Backup Server managé dans un lieu distinct, isolé de votre réseau de production, avec un chiffrement côté client qui rend la donnée illisible en transit comme au repos. Les tests de restauration font partie du service, pas d’une réflexion après coup, ce qui fait de votre RTO un chiffre mesuré plutôt qu’un espoir.

Couplé à Cloud-PVE pour la plateforme et à Cloud-PBS pour la reprise, le PRA cesse d’être un document que personne ne croit. Parlons de la façon de transformer vos sauvegardes en un plan de reprise sur lequel vous pouvez réellement vous engager.