Kết Quả Học Tập
- Cấu hình Tape Library, Tape Server và Media Pools trong Veeam
- Tạo và lên lịch Backup to Tape job với GFS retention policy
- Hiểu GFS (Grandfather-Father-Son) rotation scheme và tính số tapes cần thiết
- Thực hành vaulting: eject tapes offsite và import tapes để restore
- Phân tích tại sao tape vẫn là lựa chọn tối ưu cho air-gap chống ransomware
- Nắm LTFS (Linear Tape File System) — truy cập tape như filesystem thông thường
1 Lý Thuyết: Tape Trong Modern Backup (2026)
Tại Sao Dùng Tape Năm 2026?
Dù cloud storage ngày càng rẻ, tape vẫn là lựa chọn không thể thay thế trong nhiều môi trường doanh nghiệp vì 3 lý do cốt lõi:
Air-Gap Tuyệt Đối
Tape ejected ra khỏi library = offline hoàn toàn. Ransomware không thể mã hóa tape đang nằm trong vault.
Chi Phí Thấp Nhất
LTO-9: ~$0.002/GB. So sánh: AWS Glacier $0.004/GB, Azure Archive $0.00099/GB. Tape rẻ nhất cho lưu trữ dài hạn.
Tuổi Thọ 30+ Năm
LTO cartridge được thiết kế lưu trữ 30 năm trong điều kiện phòng vault. HDD/SSD: 5-10 năm.
LTO Generations — Bảng So Sánh
| Generation | Capacity (Native) | Capacity (2.5:1 compress) | Transfer Speed | Giá tape/cái |
|---|---|---|---|---|
| LTO-7 | 6 TB | 15 TB | 300 MB/s | ~$25 USD |
| LTO-8 (phổ biến) | 12 TB | 30 TB | 360 MB/s | ~$30 USD |
| LTO-9 (current) | 18 TB | 45 TB | 400 MB/s | ~$35 USD |
| LTO-10 (planned) | 36 TB | 90 TB | 900 MB/s | TBD |
* LTO drives đọc được 2 generations cũ hơn, ghi được 1 generation cũ hơn (backward compatibility)
Kiến Trúc Tape Library
┌─────────────────────────────────────────────────────────────────┐
│ TAPE LIBRARY │
│ │
│ ┌──────────┐ ┌──────────────────────────────────────────┐ │
│ │ Robot │ │ TAPE SLOTS │ │
│ │ Arm │ │ [T001][T002][T003]...[T048][T049][T050] │ │
│ │ (chọn │ │ [EMPTY][EMPTY][T006]...[VAULT SLOT] │ │
│ │ tape) │ │ │ │
│ └────┬─────┘ └──────────────────────────────────────────┘ │
│ │ │
│ ┌────▼─────────────────────────────────┐ │
│ │ TAPE DRIVES (LTO-9) │ │
│ │ [Drive 1: Writing - T003] │ │
│ │ [Drive 2: Reading - T015] │ │
│ └──────────────────────────────────────┘ │
│ │ │
│ ┌─────────────────▼────────────────────┐ │
│ │ I/O PORT / MAILSLOT │ │
│ │ (Eject tape ra ngoài để vaulting) │ │
│ └──────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────┘
│
│ SAS / FC connection
▼
Tape Server (Windows)
→ Veeam Tape Service
LTFS — Linear Tape File System
LTFS cho phép mount tape cartridge như một filesystem thông thường — duyệt files bằng Windows Explorer, không cần phần mềm backup đặc biệt để đọc.
Ưu điểm LTFS
- Truy cập file ngẫu nhiên như filesystem
- Self-describing: tape tự chứa metadata
- Open standard (LTFS 2.4) — không vendor lock-in
- Kéo thả files vào tape như USB drive
Hạn chế LTFS
- Overhead metadata ~5% capacity
- Không hiệu quả cho nhiều files nhỏ
- Sequential medium — seek time cao
- Veeam dùng format riêng (VTF) không phải LTFS
2 Lý Thuyết: GFS Retention (Grandfather-Father-Son)
Sơ Đồ GFS Rotation
GFS là phương pháp xoay vòng tape truyền thống: giữ nhiều phiên bản backup ở các mốc thời gian khác nhau với chi phí tape tối thiểu.
GFS Hierarchy:
┌─────────────────────────────────────────────────────────────────┐
│ GRANDFATHER (Yearly) │ Giữ 7 năm │ 1 tape/năm = 7 tapes │
│ FATHER (Monthly) │ Giữ 12 tháng│ 1 tape/tháng = 12 tp │
│ SON (Weekly/Daily) │ Giữ 4 tuần │ 1 tape/tuần = 4 tapes │
└─────────────────────────────────────────────────────────────────┘
THÁNG 1 - Lịch backup:
┌────┬────┬────┬────┬────┬────┬────┐
│ T2 │ T3 │ T4 │ T5 │ T6 │ T7 │ CN │
├────┼────┼────┼────┼────┼────┼────┤
│ D1 │ D2 │ D3 │ D4 │ D5 │ │ W1 │ ← Son (Weekly Full T7)
│ D6 │ D7 │ D8 │ D9 │D10 │ │ W2 │
│D13 │D14 │D15 │D16 │D17 │ │ W3 │
│D20 │D21 │D22 │D23 │D24 │ │ W4 │
│D27 │D28 │D29 │D30 │D31 │ │ M1 │ ← Father (Monthly Full T2)
└────┴────┴────┴────┴────┴────┴────┘
↑
Ngày cuối tháng → Monthly tape (Father)
Tháng 12 → Yearly tape (Grandfather)
Số tapes cần thiết (standard policy D-7/W-4/M-12/Y-7):
Daily tapes: 5 (Mon-Fri, rotate)
Weekly tapes: 4
Monthly tapes: 12
Yearly tapes: 7
TOTAL: 28 tapes minimum (+ spare tapes)
| Retention Level | Tên tape | Giữ bao lâu | Số tapes | Lưu trữ |
|---|---|---|---|---|
| Son (Daily) | MON, TUE, WED, THU, FRI | 1 tuần | 5 | On-site (nhanh restore) |
| Son (Weekly) | WEEK-01, WEEK-02, WEEK-03, WEEK-04 | 4 tuần | 4 | On-site |
| Father (Monthly) | JAN, FEB, MAR ... DEC | 12 tháng | 12 | Off-site Vault |
| Grandfather (Yearly) | YEAR-2019 ... YEAR-2025 | 7 năm | 7 | Off-site Secure Vault |
A LAB 10A: Cấu Hình Tape Library Trong Veeam
Lưu Ý Lab Environment
Lab này yêu cầu tape library vật lý hoặc Virtual Tape Library (VTL) như mhVTL (Linux). Nếu không có phần cứng thật, dùng mhVTL trên Ubuntu VM để mô phỏng toàn bộ quy trình.
Step 1: Cài mhVTL (Virtual Tape Library) Trên Linux
Expected output: mhVTL running, /dev/st0, /dev/st1 (tape drives) và /dev/sg1 (changer/robot) visible trong lsscsi.
Step 2: Thêm Tape Server vào Veeam
Expected output: TapeServer-Win01 xuất hiện trong Tape Infrastructure tree với status "Connected".
Step 3: Inventory Tapes — Phát Hiện Cartridges
Expected output: Tất cả tapes hiển thị trong Tape Slots view với barcode và trạng thái Free/Used.
Step 4: Tạo Media Pools — Daily và Monthly
Expected output: Media Pools "Daily-Pool" và "Monthly-Pool" hiển thị trong tree, mỗi pool có tapes được gán đúng.
B LAB 10B: Tạo Backup to Tape Job
Step 1-2: Tạo Backup to Tape Job
Step 4: Cấu Hình Schedule
Expected output: Job "Daily-Tape-Backup" hiển thị trong Jobs list. Khi chạy, Veeam đọc từ disk repo → write lên tape trong Daily-Pool.
Step 5: Chạy Job và Verify
Expected output: Job status "Success". Tape T000001L9 có trạng thái "Full" hoặc "Used", Contents tab liệt kê đầy đủ VMs và restore points.
C LAB 10C: GFS Configuration & Vaulting
Step 1: Cấu Hình GFS trên Tape Job
Expected output: GFS settings hiển thị trong job properties. Calendar view cho thấy Daily/Weekly/Monthly/Yearly tapes được plan đúng.
Step 2: Export Tapes — Eject Monthly Tapes cho Offsite Vault
Expected output: Tape T000020L9 trạng thái "In Vault", Library Slot empty, I/O Port hiển thị tape chờ được lấy ra.
Step 3: Import Vault Tapes và Restore Test
Expected output: DB-01 restore thành công từ tape, VM boot bình thường. Tape Test Log ghi "Verified OK - 2026-02-01".
B Bài Tập Thực Hành
BT1: Tính Số LTO-8 Tapes Cho 1 Năm
Môi trường: 50 VMs × 100 GB mỗi VM (total 5 TB). Compression ratio 2:1. GFS policy: D-7/W-4/M-12/Y-1.
Dùng LTO-8: 12 TB native capacity. Tính số tapes cần cho 1 năm đầy đủ.
Xem gợi ý giải
BT2: Thiết Kế Tape Rotation Schedule Cho Ngân Hàng
Ngân hàng có yêu cầu compliance 7 năm theo Thông tư 18/2018/TT-NHNN. Thiết kế tape rotation schedule bao gồm:
- 1. Số tapes cần mua và phân loại (Daily/Weekly/Monthly/Yearly)
- 2. Quy trình vaulting: ai lấy tape, lưu ở đâu, kiểm tra định kỳ
- 3. DR procedure: khi cần restore yearly tape từ 3 năm trước
Xem gợi ý giải
Tape inventory: D-5 (7 tapes) + W-4 + M-12 + Y-7 = 30 tapes. Thêm 10 spare = 40 tapes tổng.
Vaulting procedure: IT Manager ký phiếu xuất tape mỗi đầu tháng → Security Officer đưa vào két sắt trong trụ sở chính → Yearly tapes gửi đến DR site (cách 50km+).
Annual verify: Quý 1 mỗi năm: restore ngẫu nhiên 3 tapes (1 monthly + 1 weekly + 1 yearly) → ghi biên bản verify → lưu file audit.
DR restore procedure: Yêu cầu tape từ vault (SLA 4h) → Import vào library → Restore VM sang DR site → Verify → Document RTO achieved.
BT3: Air-Gap Analysis — Tape vs Cloud Cho Ransomware Protection
Phân tích kịch bản ransomware tấn công toàn bộ hệ thống, mã hóa tất cả storage kết nối với mạng. So sánh khả năng phục hồi từ:
- A. Azure Blob Immutable backup (WORM, immutability lock)
- B. Tape ejected và lưu trong vault offsite
- C. Disk-based backup trong isolated network (air-gapped VLAN)
Xem gợi ý giải
A. Azure Blob Immutable: WORM ngăn xóa/sửa data, nhưng nếu Veeam server bị compromised và attacker có credentials, họ vẫn có thể không delete nhưng có thể đọc data (exfiltration). Immutability bảo vệ AVAILABILITY, không bảo vệ CONFIDENTIALITY. Restore cần internet working.
B. Tape offsite (BEST): Tape đang nằm trong vault = hoàn toàn offline. Ransomware KHÔNG THỂ reach tape. Không cần network để restore. Duy nhất hạn chế: RTO cao hơn (cần vật lý lấy tape về). Đây là gold standard cho air-gap.
C. Air-gapped VLAN: Tốt hơn internet-connected backup, nhưng nếu attacker có lateral movement trong internal network, VLAN isolation có thể bị bypass. Phụ thuộc vào firewall rules và network segmentation quality.
Kết luận: Tape > Air-gapped VLAN > Cloud Immutable cho ransomware air-gap protection. Best practice: kết hợp cả ba.