Backup

• Backup là để khôi phục dữ liệu đã mất (quá khứ).
• HA (Tính sẵn sàng cao) là để đảm bảo dịch vụ không bị gián đoạn (hiện tại).
• Tuy nhiên, việc bạn học HA trong bối cảnh này là hợp lý vì nó là lớp phòng thủ đầu tiên.

💡 Ví dụ so sánh vui:

• HA (High Availability):Giống như xe có lốp dự phòng. Nổ lốp -> Dừng xe -> Thay lốp -> Đi tiếp (Mất 10-15 phút).
• FT (Fault Tolerance): Giống như máy bay có 4 động cơ. Hỏng 1 động cơ -> Máy bay vẫn bay tiếp ngay lập tức, hành khách thậm chí không biết động cơ vừa hỏng.

• Thị trường chứng khoán (Stock Exchange):Một giây ngừng hoạt động có thể làm lệch giá trị giao dịch hàng triệu đô la.
• Dây chuyền sản xuất tự động (Manufacturing): Trong nhà máy chip Intel hay lọc dầu, nếu hệ thống điều khiển dừng 1 giây, toàn bộ mẻ sản phẩm đang làm dở có thể bị hỏng, thiệt hại vật chất cực lớn.
• Y tế & Kiểm soát không lưu: Máy thở, máy theo dõi nhịp tim hoặc hệ thống radar sân bay không được phép có khái niệm “khởi động lại”.

💡 Các bước thực hiện:

1. Bật tính năng FT: Chuột phải vào máy ảo Web Server -> Chọn Turn On Fault Tolerance.
• Điều gì xảy ra bên dưới? Hệ thống sẽ tự động tạo một bản sao “bóng” (Shadow VM) trên máy chủ vật lý thứ 2. Hai máy ảo này bắt đầu đồng bộ từng lệnh CPU (vLockstep).
2. Test thử nghiệm (The Ping Test):
• Từ máy tính của bạn, mở CMD và gõ lệnh ping liên tục tới Web Server: ping -t.
• Bạn thấy tín hiệu trả về đều đặn (Reply… Reply…).
3. Gây sự cố (Simulate Failure):
• Rút dây nguồn của máy chủ vật lý đang chứa máy ảo chính (Primary VM).
4. Quan sát kết quả (Quan trọng):
• Nếu là HA: Lệnh ping sẽ bị “Request timed out” khoảng 2-4 dòng (mất vài giây để máy ảo khởi động lại bên máy kia).
• Nếu là FT: Lệnh ping KHÔNG BỊ MẤT DÒNG NÀO. Nó vẫn chạy liên tục “Reply…”. Máy ảo phụ (Shadow) đã lập tức trở thành máy chính mà không cần khởi động lại.

1. Mô hình Active-Passive:
• Máy Chủ Chính (Active): Xử lý toàn bộ traffic.
• Máy Chủ Dự Phòng (Passive): Ở trạng thái chờ (standby), liên tục nhận dữ liệu đồng bộ từ Active.
• Cơ chế: Khi Active chết, Passive sẽ “lên chức” thành Active.
• Ưu điểm: Dễ cấu hình, đảm bảo tính toàn vẹn dữ liệu.
2. Mô hình Active-Active:
• Cả 2 (hoặc nhiều) máy chủ cùng xử lý traffic.
• Có một Load Balancer (Cân bằng tải) đứng trước để phân chia công việc.
• Ưu điểm: Tận dụng hết tài nguyên phần cứng, hiệu năng cao hơn.

Bản chất: Để đạt được RPO = 0 (không mất dữ liệu), dữ liệu ghi vào Server 1 phải được ghi đồng thời sang Server 2 (Synchronous Replication).

Lý do: Việc ghi đồng thời này yêu cầu tốc độ mạng cực nhanh. Nếu Server 1 ở Hà Nội, Server 2 ở TP.HCM (khác Site), độ trễ đường truyền sẽ làm chậm toàn bộ hệ thống (User phải đợi dữ liệu chạy vào Sài Gòn rồi mới nhận được phản hồi).

Kết luận: Vì vậy, HA thường triển khai trong cùng một tòa nhà (DC) để đường truyền nhanh nhất (qua dây cáp quang nội bộ). Còn Backup/DR đi xa thì chấp nhận RPO cao hơn.

Làm sao Server B biết Server A đã chết để thay thế?

Chúng sử dụng một đường truyền riêng gọi là Heartbeat. Server A liên tục gửi tín hiệu “Tôi còn sống” (I’m alive) cho Server B mỗi giây.

Nếu Server B không nhận được “nhịp tim” của A trong 3 nhịp liên tiếp (ví dụ 3 giây), nó mặc định A đã chết và kích hoạt quy trình chiếm quyền (Failover).

Đây là ranh giới giữa “Phiền toái” và “Thảm họa kinh doanh”. Với các hệ thống giao dịch (E-commerce, Banking), downtime 5 phút có thể thiệt hại hàng tỷ đồng và mất uy tín. HA sinh ra để giữ con số này ở mức thấp nhất, đảm bảo trải nghiệm người dùng liền mạch (Seamless Experience).

Trước khi vào bài, tôi muốn chỉnh lại một tư duy sai lầm cực kỳ phổ biến mà nhiều người mới (thậm chí cả dân chuyên) hay mắc phải

Backup là quá trình tạo ra các bản sao dữ liệu và lưu trữ chúng ở một nơi tách biệt với hệ thống chính, nhằm mục đích khôi phục lại dữ liệu gốc sau khi xảy ra sự cố mất mát dữ liệu.

Từ khóa: Restore (Khôi phục) , Retention (Lưu trữ) , Version (Phiên bản) .

Đây là tiêu chuẩn toàn cầu cho mọi thiết kế Backup. Nếu bạn đi phỏng vấn hay thiết kế hệ thống, đây là câu thần chú bắt buộc phải thuộc.

RAID (Redundancy): Bảo vệ bạn khỏi lỗi phần cứng (Hỏng ổ cứng).

Backup: Bảo vệ bạn khỏi lỗi con người/phần mềm (Xóa nhầm, Virus, Lỗi update Windows).

Ví dụ: Bạn có file luong_thang_1.xlsx. Bạn lỡ tay Shift + Delete.

• Trên RAID: Nó thực thi lệnh xóa ngay lập tức trên các ổ đĩa -> Mất vĩnh viễn.
• Trên Backup: Bạn mở bản backup tối hôm qua ra -> Khôi phục lại được.

Hãy tưởng tượng chế độ “Write Once, Read Many” (WORM). Khi bạn bật tính năng này (thường thấy trên S3 Cloud hoặc các thiết bị Hardened Linux Repository), file backup sẽ bị “khóa cứng” trong một khoảng thời gian (ví dụ 30 ngày).

Trong 30 ngày đó, ngay cả Administrator hay Root cũng không có quyền xóa hay sửa file đó. Hacker có chiếm được quyền Admin cũng “bó tay”.

RPO (Recovery Point Objective) là thời điểm dữ liệu được khôi phục.

Làm sao để có thể khôi phục lại file của ngày hôm qua, tuần trước, hay thậm chí tháng trước để chống Ransomware (vì đôi khi virus ủ bệnh cả tuần mới phát tác)?

Nếu ngày nào cũng giữ 1 bản Full Backup thì ổ cứng sẽ đầy rất nhanh. Chúng ta sử dụng chiến lược GFS (Grandfather-Father-Son). Đây là tiêu chuẩn vàng trong lưu trữ.

Lợi ích: Bạn có lịch sử dữ liệu cả 1 năm, nhưng số lượng file backup lưu trữ là tối thiểu, tiết kiệm chi phí ổ cứng cực lớn.

Với máy chủ vật lý, chúng ta cần cài một Agent (Phần mềm trung gian) để đọc dữ liệu từ ổ cứng vật lý và nén lại. Áp dụng quy tắc 3-2-1 như sau:

3 Bản sao:

• Dữ liệu gốc trên Server Vật lý (Dữ liệu kế toán, file server…).
• Bản Backup 1: Lưu tại NAS (Ổ cứng mạng) đặt tại văn phòng (Local). -> Giúp Restore cực nhanh (RTO thấp).
• Bản Backup 2: Lưu tại Cloud hoặc Ổ cứng rời/Tape mang về nhà. -> Chống cháy nổ văn phòng hoặc Ransomware tấn công cả mạng nội bộ.

Để thực sự nắm vững chiến lược này, mình có một câu hỏi tình huống cho bạn:

Giả sử hệ thống của bạn dính Ransomware vào chiều Thứ Sáu. Theo chiến lược GFS ở trên (Son giữ 7 ngày, Father giữ 4 tuần), nhưng Hacker đã cài virus nằm vùng từ 2 tuần trước.

Theo bạn, chúng ta sẽ phải dùng bản backup thuộc thế hệ nào (Son hay Father) để khôi phục dữ liệu sạch? Và tại sao?

Đưa dữ liệu ra khỏi nơi sản xuất (Off-site) là bắt buộc theo quy tắc 3-2-1. Nhưng đưa lên Cloud (như Google Drive, AWS S3, Azure Blob) thế nào cho đúng?

Thách thức cốt lõi.

Khôi phục máy chủ vật lý khó hơn máy ảo rất nhiều vì sự phụ thuộc vào Phần cứng (Hardware Dependence).

Quy trình cũ (Chậm > 8 tiếng): Mua máy mới $\rightarrow$ Cài Windows/Linux $\rightarrow$ Cài Driver $\rightarrow$ Cài Ứng dụng $\rightarrow$ Chép dữ liệu lại. $\rightarrow$ Vỡ trận RTO.

Để đạt RTO 1-2 giờ, chúng ta buộc phải dùng 3 kỹ thuật sau:

Các kỹ thuật khôi phục thần tốc.

1. Bare Metal Recovery (BMR) – “Khôi phục từ kim loại trần” 🏗️

Định nghĩa: Khôi phục toàn bộ hệ điều hành, ứng dụng và dữ liệu trực tiếp lên một phần cứng “trống rỗng” (Bare Metal) mà không cần cài đặt Windows/Linux trước.

Cách làm:

• Dùng USB Boot (Recovery Media) cắm vào máy chủ mới.
• Phần mềm Backup sẽ format ổ cứng và “đổ” toàn bộ Image backup vào.



Thời gian: Phụ thuộc vào tốc độ copy dữ liệu (TB/giờ).
RTO: Trung bình (2-4 giờ cho vài TB dữ liệu).

2. Hardware Agnostic / Universal Restore (Khôi phục khác phần cứng) 🧩

Vấn đề: Máy cũ là DELL, máy mới mua vội về là HP. Nếu restore thẳng, màn hình xanh chết chóc (BSOD) sẽ hiện ra do xung đột Driver (RAID Controller, Chipset…).

Giải pháp: Tính năng Universal Restore sẽ tự động:

• Inject (tiêm) driver của máy mới vào bản backup trong quá trình restore.
• Đảm bảo hệ điều hành boot lên mượt mà trên phần cứng hoàn toàn khác lạ.
3. Instant VM Recovery (P2V) – “Vũ khí bí mật” cho RTO < 15 phút 🚀

Đây là cách duy nhất để cứu sống dịch vụ ngay lập tức khi máy chủ vật lý chưa kịp mua về.

• Cơ chế P2V (Physical to Virtual):
1. Phần mềm Backup lấy file backup của máy vật lý.
2. Nó “hô biến” file đó thành một máy ảo (VM) chạy tạm trên nền tảng ảo hóa (như VMware/Hyper-V) hoặc ngay trên thiết bị Backup (như Synology/Datto).
3. Dịch vụ online trở lại chỉ trong vài phút trong khi bạn chờ ship máy chủ vật lý mới về
• RTO: Siêu nhanh (< 15 phút)

DEEP DIVE: TẠI SAO INSTANT RECOVERY LẠI NHANH VẬY? 💡