Salut,
Je rebondis sur le post de pidroid qui parle de la fin de vie de C14.
Je suis aussi affecté par cette suppression de service que le "remplaçant" ne remplace pas :-/
Je cherche une solution de stockage avec "quand un fichier est écrit (avec un TTL) il n'est plus jamais modifiable" (même par le proprio du service).
J'ai regardé toutes les offres de type glacier, y'a rien qui répond à ça, le proprio du service ou celui qui a les droits en écriture peut toujours effacer le contenu.
Vous connaissez qq chose qui répondrait à ce besoin ?
Merci
PS: la version longue du besoin
J'ai - des hosts de prod - un host de backup
Le backup peut lire la prod, certaines vm de prod peuvent lire le backup, mais personne peut écrire chez l'autre.
Le seul point faible c'est moi : - même avec des clés ssh distinctes, j'ai quand même accès aux deux (et peut donc potentiellement tout effacer) - c'est le même nic-ovh pour tout le monde (parce que c'était plus simple, et séparer ne suffisait pas à sécuriser à cause du point précédent)
J'utilisais donc C14 comme backup "write only", le host de backup pouvait écrire sur C14 mais ensuite il ne pouvait plus modifier ce qu'il avait déjà écrit, donc en cas de corruption de la prod ET du backup on avait encore accès à un backup clean (le dernier push vers C14 avant corruption).
C'était pas génial, car ça demandait à une tierce personne de m'ouvrir manuellement un conteneur sur C14 avant chaque push, mais au moins ça sécurisait un peu.
La nouvelle offre online ne fonctionne plus de la même manière, si on peut écrire on peut aussi effacer.
Y'a eu une annonce d'Octave disant qu'Ovh allait proposer ça pour sept 2021 : tu envoie un zip en cold backup avec telle durée de vie et une fois stocké il est plus jamais modifiable jusqu'à ce qu'il soit automatiquement effacé en fin de vie.
C'est exactement ce qu'il me faut, mais ça m'ennuie de tourner 9 mois (voire plus si la date est repoussée) avec ceinture mais sans bretelle.
Hello,
Le 01/12/2020 à 17:50, Daniel Caillibaud a écrit :
Vous connaissez qq chose qui répondrait à ce besoin ?
Par ici, on a du GCS pour ce genre de choses /(le service de stockage objet de GCP)/.
Au niveau du bucket, il est possible de définir une durée pendant laquelle tout objet écrit sera incorruptible. Une fois activée et verrouillée, plus personne ne peut supprimer la règle. Couplé à un cycle de vie des objets (suppression automatique après X jours), ça tourne tout seul. De plus, il n'est pas possible de supprimer le bucket si (au moins) un objet n'a pas encore fini sa période de verrouillage.
Cependant, la période de verrouillage des objets est volontairement assez faible afin de pouvoir respecter les demandes de suppression de données personnelles (max. 1 semaine, chez nous).
L'intégrité des backups étant testée automatiquement et vu que nous avons une astreinte 24/7, on pense pouvoir détecter un acte de malveillance suffisamment tôt pour pouvoir récupérer une copie d'un dump /(qui, par ailleurs, est compressé avec Zstd et chiffré avec nos clés GPG à la fin du test d'intégrité)/.
Ça se passe par ici :
* https://registry.terraform.io/providers/hashicorp/google/latest/docs/resourc... * https://registry.terraform.io/providers/hashicorp/google/latest/docs/resourc...
Bonne soirée,
@cleming_
Hello,
On Tue, Dec 1, 2020 at 5:53 PM Daniel Caillibaud ml@lairdutemps.org wrote:
Salut,
Je rebondis sur le post de pidroid qui parle de la fin de vie de C14.
Je suis aussi affecté par cette suppression de service que le "remplaçant" ne remplace pas :-/
Je cherche une solution de stockage avec "quand un fichier est écrit (avec un TTL) il n'est plus jamais modifiable" (même par le proprio du service).
J'ai regardé toutes les offres de type glacier, y'a rien qui répond à ça, le proprio du service ou celui qui a les droits en écriture peut toujours effacer le contenu.
Vous connaissez qq chose qui répondrait à ce besoin ?
AWS S3 supporte le versionning de fichiers. A chaque fois qu'un fichier est écrit, S3 écrit une nouvelle version. Lorsque un fichier est effacé, les anciennes versions sont conservées. Pour effacer entièrement un fichier, il faut commencer par suspendre le versionning avant la suppression. Un utilisateur peut avoir des droits en écritures, sans avoir les droits de suspendre le versionning.
Si Scaleway supporte cette fonctionnalité, est-ce que cela ne pourrait pas te suffire?
Merci
PS: la version longue du besoin
J'ai
- des hosts de prod
- un host de backup
Le backup peut lire la prod, certaines vm de prod peuvent lire le backup, mais personne peut écrire chez l'autre.
Le seul point faible c'est moi :
- même avec des clés ssh distinctes, j'ai quand même accès aux deux (et peut donc potentiellement tout effacer)
- c'est le même nic-ovh pour tout le monde (parce que c'était plus simple, et séparer ne suffisait pas à sécuriser à cause du point précédent)
J'utilisais donc C14 comme backup "write only", le host de backup pouvait écrire sur C14 mais ensuite il ne pouvait plus modifier ce qu'il avait déjà écrit, donc en cas de corruption de la prod ET du backup on avait encore accès à un backup clean (le dernier push vers C14 avant corruption).
C'était pas génial, car ça demandait à une tierce personne de m'ouvrir manuellement un conteneur sur C14 avant chaque push, mais au moins ça sécurisait un peu.
La nouvelle offre online ne fonctionne plus de la même manière, si on peut écrire on peut aussi effacer.
Y'a eu une annonce d'Octave disant qu'Ovh allait proposer ça pour sept 2021 : tu envoie un zip en cold backup avec telle durée de vie et une fois stocké il est plus jamais modifiable jusqu'à ce qu'il soit automatiquement effacé en fin de vie.
C'est exactement ce qu'il me faut, mais ça m'ennuie de tourner 9 mois (voire plus si la date est repoussée) avec ceinture mais sans bretelle.
-- Daniel
Une erreur peut devenir exacte, selon que celui qui l'a commise s'est trompé ou non. Pierre Dac _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 1 déc. 2020 à 21:48, Benoit Garcia benoit.garcia@gmail.com a écrit :
Hello,
On Tue, Dec 1, 2020 at 5:53 PM Daniel Caillibaud <ml@lairdutemps.org mailto:ml@lairdutemps.org> wrote: Salut,
Je rebondis sur le post de pidroid qui parle de la fin de vie de C14.
Je suis aussi affecté par cette suppression de service que le "remplaçant" ne remplace pas :-/
Je cherche une solution de stockage avec "quand un fichier est écrit (avec un TTL) il n'est plus jamais modifiable" (même par le proprio du service).
J'ai regardé toutes les offres de type glacier, y'a rien qui répond à ça, le proprio du service ou celui qui a les droits en écriture peut toujours effacer le contenu.
Vous connaissez qq chose qui répondrait à ce besoin ? AWS S3 supporte le versionning de fichiers. A chaque fois qu'un fichier est écrit, S3 écrit une nouvelle version. Lorsque un fichier est effacé, les anciennes versions sont conservées. Pour effacer entièrement un fichier, il faut commencer par suspendre le versionning avant la suppression. Un utilisateur peut avoir des droits en écritures, sans avoir les droits de suspendre le versionning.
De mon côté la même mais avec Backblaze et niveau tarif il n’y a pas mieux pour moi. Pour du backup/archivage c’est le must à mon sens.
— Kevin Labécot www.labecot.fr http://www.labecot.fr/
Le 01/12/20 à 21h53, Kevin LABECOT kevin@labecot.fr a écrit :
De mon côté la même mais avec Backblaze et niveau tarif il n’y a pas mieux pour moi. Pour du backup/archivage c’est le must à mon sens.
Sauf que pour l'immutable il faut utiliser un client veam, c'est visiblement la seule solution.
Bonjour,
Tu peux utiliser une baie isilon, avec smartlock mais c’est peut être luxueux pour du backup.
Bonne soirée Jonathan
Le mar. 1 déc. 2020 à 21:51, Benoit Garcia benoit.garcia@gmail.com a écrit :
Hello,
On Tue, Dec 1, 2020 at 5:53 PM Daniel Caillibaud ml@lairdutemps.org wrote:
Salut,
Je rebondis sur le post de pidroid qui parle de la fin de vie de C14.
Je suis aussi affecté par cette suppression de service que le "remplaçant" ne remplace pas :-/
Je cherche une solution de stockage avec "quand un fichier est écrit (avec un TTL) il n'est plus jamais modifiable" (même par le proprio du service).
J'ai regardé toutes les offres de type glacier, y'a rien qui répond à ça, le proprio du service ou celui qui a les droits en écriture peut toujours effacer le contenu.
Vous connaissez qq chose qui répondrait à ce besoin ?
AWS S3 supporte le versionning de fichiers. A chaque fois qu'un fichier est écrit, S3 écrit une nouvelle version. Lorsque un fichier est effacé, les anciennes versions sont conservées. Pour effacer entièrement un fichier, il faut commencer par suspendre le versionning avant la suppression. Un utilisateur peut avoir des droits en écritures, sans avoir les droits de suspendre le versionning.
Si Scaleway supporte cette fonctionnalité, est-ce que cela ne pourrait pas te suffire?
Merci
PS: la version longue du besoin
J'ai
- des hosts de prod
- un host de backup
Le backup peut lire la prod, certaines vm de prod peuvent lire le backup, mais personne peut écrire chez l'autre.
Le seul point faible c'est moi :
- même avec des clés ssh distinctes, j'ai quand même accès aux deux (et peut donc potentiellement tout effacer)
- c'est le même nic-ovh pour tout le monde (parce que c'était plus simple, et séparer ne suffisait pas à sécuriser à cause du point précédent)
J'utilisais donc C14 comme backup "write only", le host de backup pouvait écrire sur C14 mais ensuite il ne pouvait plus modifier ce qu'il avait déjà écrit, donc en cas de corruption de la prod ET du backup on avait encore accès à un backup clean (le dernier push vers C14 avant corruption).
C'était pas génial, car ça demandait à une tierce personne de m'ouvrir manuellement un conteneur sur C14 avant chaque push, mais au moins ça sécurisait un peu.
La nouvelle offre online ne fonctionne plus de la même manière, si on peut écrire on peut aussi effacer.
Y'a eu une annonce d'Octave disant qu'Ovh allait proposer ça pour sept 2021 : tu envoie un zip en cold backup avec telle durée de vie et une fois stocké il est plus jamais modifiable jusqu'à ce qu'il soit automatiquement effacé en fin de vie.
C'est exactement ce qu'il me faut, mais ça m'ennuie de tourner 9 mois (voire plus si la date est repoussée) avec ceinture mais sans bretelle.
-- Daniel
Une erreur peut devenir exacte, selon que celui qui l'a commise s'est trompé ou non. Pierre Dac _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Cdlt, Benoit _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Hello,
Pour du pur backup, il y a rsync.net qui a une offre qui semble correspondre au besoin (de mémoire : WORM) https://rsync.net/
Transfert des datas vers leur « cloud » avec les outils standards (rsync, sftp, scp, rclone, …)
Joël
De : FRsAG frsag-bounces@frsag.org De la part de Jonathan Dovillez Envoyé : mardi 1 décembre 2020 22:05 À : Benoit Garcia benoit.garcia@gmail.com Cc : French SysAdmin Group frsag@frsag.org Objet : Re: [FRsAG] cold backup, vous connaissez du "vrai" glacier ?
Bonjour,
Tu peux utiliser une baie isilon, avec smartlock mais c’est peut être luxueux pour du backup.
Bonne soirée Jonathan
Le mar. 1 déc. 2020 à 21:51, Benoit Garcia <benoit.garcia@gmail.commailto:benoit.garcia@gmail.com> a écrit : Hello,
On Tue, Dec 1, 2020 at 5:53 PM Daniel Caillibaud <ml@lairdutemps.orgmailto:ml@lairdutemps.org> wrote: Salut,
Je rebondis sur le post de pidroid qui parle de la fin de vie de C14.
Je suis aussi affecté par cette suppression de service que le "remplaçant" ne remplace pas :-/
Je cherche une solution de stockage avec "quand un fichier est écrit (avec un TTL) il n'est plus jamais modifiable" (même par le proprio du service).
J'ai regardé toutes les offres de type glacier, y'a rien qui répond à ça, le proprio du service ou celui qui a les droits en écriture peut toujours effacer le contenu.
Vous connaissez qq chose qui répondrait à ce besoin ? AWS S3 supporte le versionning de fichiers. A chaque fois qu'un fichier est écrit, S3 écrit une nouvelle version. Lorsque un fichier est effacé, les anciennes versions sont conservées. Pour effacer entièrement un fichier, il faut commencer par suspendre le versionning avant la suppression. Un utilisateur peut avoir des droits en écritures, sans avoir les droits de suspendre le versionning.
Si Scaleway supporte cette fonctionnalité, est-ce que cela ne pourrait pas te suffire?
Merci
PS: la version longue du besoin
J'ai - des hosts de prod - un host de backup
Le backup peut lire la prod, certaines vm de prod peuvent lire le backup, mais personne peut écrire chez l'autre.
Le seul point faible c'est moi : - même avec des clés ssh distinctes, j'ai quand même accès aux deux (et peut donc potentiellement tout effacer) - c'est le même nic-ovh pour tout le monde (parce que c'était plus simple, et séparer ne suffisait pas à sécuriser à cause du point précédent)
J'utilisais donc C14 comme backup "write only", le host de backup pouvait écrire sur C14 mais ensuite il ne pouvait plus modifier ce qu'il avait déjà écrit, donc en cas de corruption de la prod ET du backup on avait encore accès à un backup clean (le dernier push vers C14 avant corruption).
C'était pas génial, car ça demandait à une tierce personne de m'ouvrir manuellement un conteneur sur C14 avant chaque push, mais au moins ça sécurisait un peu.
La nouvelle offre online ne fonctionne plus de la même manière, si on peut écrire on peut aussi effacer.
Y'a eu une annonce d'Octave disant qu'Ovh allait proposer ça pour sept 2021 : tu envoie un zip en cold backup avec telle durée de vie et une fois stocké il est plus jamais modifiable jusqu'à ce qu'il soit automatiquement effacé en fin de vie.
C'est exactement ce qu'il me faut, mais ça m'ennuie de tourner 9 mois (voire plus si la date est repoussée) avec ceinture mais sans bretelle.
-- Daniel
Une erreur peut devenir exacte, selon que celui qui l'a commise s'est trompé ou non. Pierre Dac _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Cdlt, Benoit _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le 02/12/20 à 9h03, Joël DEREFINKO joel.derefinko@118218.fr a écrit :
Pour du pur backup, il y a rsync.net qui a une offre qui semble correspondre au besoin (de mémoire : WORM) https://rsync.net/
Transfert des datas vers leur « cloud » avec les outils standards (rsync, sftp, scp, rclone, …)
Ça c'est cool, car mon client de prédilection c'est justement rsync, c'est l'avantage du block storage.
Mais avec cette solution seuls les snapshots sont immutables (donc max j-7 si < 10To, et j-21 si > 10To).
Depuis mon host de backup, je voudrais chaque mois - archivage (avec tar + compression + chiffrement), probablement N archives pas trop grosses plutôt qu'une seule de 2To - envoi vers un stockage immutable en précisant un TTL de 3 à 6 mois, si ça peut être fait avec rsync directement c'est un gros plus (vs api et object storage)
Par défaut rsync.net propose les 7 snapshots daily et 4 weekly, mais on peut en ajouter (moyennant de payer alors l'espace occupé).
Ça semble le plus adapté à mon besoin, et le plus simple à mettre en place (un rsync mensuel qui va écraser le précédent, les backups des mois précédents sont dans des snapshots custom).
Pour du stockage block le tarif est pas choquant (ovh block storage est 2× plus cher), mais pour ce que j'en fait ça fait quand même cher : 20$/To/mois
Avec 3.3To envoyés par mois à conserver 3mois, ça fait 10To de stockage en permanence (et 3.3To de trafic entrant), ce qui donne les tarifs mensuels - rsync.net 200$ [1] - GCS (coldline) 40$ [2] - backblaze b2: 50$ [3] - AWS S3 glacier 40$ [4] - wasabi 60$ [5]
Et des solutions plus bancales : - scaleway C14 cold storage: 20€ [6] - ovh cold storage: 50€ [7] (20€ stockage + 30€ dépôt)
À voir à quel point c'est bancal, mais on dirait qu'il faut bidouiller pour rendre ça immutable, par ex avec des droits provisoires à gérer manuellement avant chaque envoi.
Et dans tous les cas c'est pas vraiment immutable, car le proprio du service peut toujours supprimer les contenus.
Je suis d'ailleurs étonné que personne ne propose de vrai immutable, on paie lors du dépôt pour toute la durée de conservation voulue et ça peut plus jamais être modifié (même si le proprio voulait, ou s'il oublie de renouveler le service).
Les tarifs [1] https://www.rsync.net/pricing.html [2] https://cloud.google.com/storage/pricing?hl=fr#storage-pricing [3] https://www.backblaze.com/b2/cloud-storage-pricing.html [4] https://aws.amazon.com/fr/s3/pricing/ [5] https://wasabi.com/cloud-storage-pricing/ [6] https://www.scaleway.com/fr/tarifs/#c14-cold-storage [7] https://www.ovhcloud.com/fr/public-cloud/prices/#473
Suivant les solutions y'a un coût +/- élevé pour récupérer les datas, mais vu la très faible proba d'en avoir un jour besoin j'ai ignoré cet aspect (c'est du backup de backup).
Bonjour,
Dans le genre vraiment pas cher, vous avez aussi mega.nz : https://mega.nz/pro
De mon point de vue, pas vraiment pro, mais si tu chiffres bien, ça ne devrait pas poser problème...
Cdlmt
Le 02/12/2020 à 16:53, Daniel Caillibaud a écrit :
Le 02/12/20 à 9h03, Joël DEREFINKO joel.derefinko@118218.fr a écrit :
Pour du pur backup, il y a rsync.net qui a une offre qui semble correspondre au besoin (de mémoire : WORM) https://rsync.net/
Transfert des datas vers leur « cloud » avec les outils standards (rsync, sftp, scp, rclone, …)
Ça c'est cool, car mon client de prédilection c'est justement rsync, c'est l'avantage du block storage.
Mais avec cette solution seuls les snapshots sont immutables (donc max j-7 si < 10To, et j-21 si > 10To).
Depuis mon host de backup, je voudrais chaque mois
- archivage (avec tar + compression + chiffrement), probablement N archives pas trop grosses plutôt qu'une seule de 2To
- envoi vers un stockage immutable en précisant un TTL de 3 à 6 mois, si ça peut être fait avec rsync directement c'est un gros plus (vs api et object storage)
Par défaut rsync.net propose les 7 snapshots daily et 4 weekly, mais on peut en ajouter (moyennant de payer alors l'espace occupé).
Ça semble le plus adapté à mon besoin, et le plus simple à mettre en place (un rsync mensuel qui va écraser le précédent, les backups des mois précédents sont dans des snapshots custom).
Pour du stockage block le tarif est pas choquant (ovh block storage est 2× plus cher), mais pour ce que j'en fait ça fait quand même cher : 20$/To/mois
Avec 3.3To envoyés par mois à conserver 3mois, ça fait 10To de stockage en permanence (et 3.3To de trafic entrant), ce qui donne les tarifs mensuels
- rsync.net 200$ [1]
- GCS (coldline) 40$ [2]
- backblaze b2: 50$ [3]
- AWS S3 glacier 40$ [4]
- wasabi 60$ [5]
Et des solutions plus bancales :
- scaleway C14 cold storage: 20€ [6]
- ovh cold storage: 50€ [7] (20€ stockage + 30€ dépôt)
À voir à quel point c'est bancal, mais on dirait qu'il faut bidouiller pour rendre ça immutable, par ex avec des droits provisoires à gérer manuellement avant chaque envoi.
Et dans tous les cas c'est pas vraiment immutable, car le proprio du service peut toujours supprimer les contenus.
Je suis d'ailleurs étonné que personne ne propose de vrai immutable, on paie lors du dépôt pour toute la durée de conservation voulue et ça peut plus jamais être modifié (même si le proprio voulait, ou s'il oublie de renouveler le service).
Les tarifs [1] https://www.rsync.net/pricing.html [2] https://cloud.google.com/storage/pricing?hl=fr#storage-pricing [3] https://www.backblaze.com/b2/cloud-storage-pricing.html [4] https://aws.amazon.com/fr/s3/pricing/ [5] https://wasabi.com/cloud-storage-pricing/ [6] https://www.scaleway.com/fr/tarifs/#c14-cold-storage [7] https://www.ovhcloud.com/fr/public-cloud/prices/#473
Suivant les solutions y'a un coût +/- élevé pour récupérer les datas, mais vu la très faible proba d'en avoir un jour besoin j'ai ignoré cet aspect (c'est du backup de backup).
Le 02/12/20 à 17h11, Rémy Dernat remy.dernat@umontpellier.fr a écrit :
Bonjour,
Dans le genre vraiment pas cher, vous avez aussi mega.nz : https://mega.nz/pro
De mon point de vue, pas vraiment pro, mais si tu chiffres bien, ça ne devrait pas poser problème...
Oui, de toute façon c'est chiffré (je ne fais pas confiance non plus à Google ou Amazon), mais ici ça semble prévu pour de la synchro façon dropbox, je vois pas où est le coté immutable que je cherchais.
J'ai raté un truc ?
Le 02/12/20 à 16h53, Daniel Caillibaud ml@lairdutemps.org a écrit :
Avec 3.3To envoyés par mois à conserver 3mois, ça fait 10To de stockage en permanence (et 3.3To de trafic entrant), ce qui donne les tarifs mensuels
- GCS (coldline) 40$ [2]
- backblaze b2 50$ [3]
- AWS S3 glacier 40$ [4]
- wasabi 60$ [5]
Et des solutions plus bancales :
- scaleway C14 cold storage: 20€ [6]
- ovh cold storage: 50€ [7] (20€ stockage + 30€ dépôt)
Pas si bancal pour scaleway, ils n'implémentent pas les fonctionnalités de vault lock de l'api S3 glacier mais y'a moyen de poser du lock sur les objets https://www.scaleway.com/en/docs/s3-object-lock/
Pour ovh j'ai pas trouvé l'info, mais pas bcp cherché
Les tarifs [1] https://www.rsync.net/pricing.html [2] https://cloud.google.com/storage/pricing?hl=fr#storage-pricing [3] https://www.backblaze.com/b2/cloud-storage-pricing.html [4] https://aws.amazon.com/fr/s3/pricing/ [5] https://wasabi.com/cloud-storage-pricing/ [6] https://www.scaleway.com/fr/tarifs/#c14-cold-storage [7] https://www.ovhcloud.com/fr/public-cloud/prices/#473
Hello
Il existe des prestataires de type coffre fort. On utilise une solution de ce goût pour répondre aux la NF525 (inaltérabilité des données pour la facturation) via OFSAD, https://www.e-coffrefort.fr
Km
Le 04/12/2020 à 11:34, Daniel Caillibaud a écrit :
Le 02/12/20 à 16h53, Daniel Caillibaud ml@lairdutemps.org a écrit :
Avec 3.3To envoyés par mois à conserver 3mois, ça fait 10To de stockage en permanence (et 3.3To de trafic entrant), ce qui donne les tarifs mensuels
- GCS (coldline) 40$ [2]
- backblaze b2 50$ [3]
- AWS S3 glacier 40$ [4]
- wasabi 60$ [5]
Et des solutions plus bancales :
- scaleway C14 cold storage: 20€ [6]
- ovh cold storage: 50€ [7] (20€ stockage + 30€ dépôt)
Pas si bancal pour scaleway, ils n'implémentent pas les fonctionnalités de vault lock de l'api S3 glacier mais y'a moyen de poser du lock sur les objets https://www.scaleway.com/en/docs/s3-object-lock/
Pour ovh j'ai pas trouvé l'info, mais pas bcp cherché
Les tarifs [1] https://www.rsync.net/pricing.html [2] https://cloud.google.com/storage/pricing?hl=fr#storage-pricing [3] https://www.backblaze.com/b2/cloud-storage-pricing.html [4] https://aws.amazon.com/fr/s3/pricing/ [5] https://wasabi.com/cloud-storage-pricing/ [6] https://www.scaleway.com/fr/tarifs/#c14-cold-storage [7] https://www.ovhcloud.com/fr/public-cloud/prices/#473
Le 01/12/20 à 21h48, Benoit Garcia benoit.garcia@gmail.com a écrit :
J'ai regardé toutes les offres de type glacier, y'a rien qui répond à ça, le proprio du service ou celui qui a les droits en écriture peut toujours effacer le contenu.
Vous connaissez qq chose qui répondrait à ce besoin ?
AWS S3 supporte le versionning de fichiers. A chaque fois qu'un fichier est écrit, S3 écrit une nouvelle version. Lorsque un fichier est effacé, les anciennes versions sont conservées. Pour effacer entièrement un fichier, il faut commencer par suspendre le versionning avant la suppression. Un utilisateur peut avoir des droits en écritures, sans avoir les droits de suspendre le versionning.
Si Scaleway supporte cette fonctionnalité, est-ce que cela ne pourrait pas te suffire?
Si, ça pourrait, mais j'ai pas vu comment faire ça chez eux. Je vais poser la question au support, leur doc est vraiment minimaliste.
Pour backblaze, ça semble possible de générer une clé qui n'aurait que le droit writeFiles sur un seul bucket, et apparemment envoyer de nouveau le même fichier créerait une nouvelle version https://www.backblaze.com/b2/docs/application_keys.html En fixant un TTL sur chaque fichier à l'envoi, je suppose que ça s'applique à la version créée et que les anciennes versions expirent toute seule (sinon faudra que j'ajoute un suffixe unique par fichier)
Dans ce cas le seul moyen d'effacer qqchose est de passer par le compte proprio du service (si on pouvait blinder ça aussi ce serait mieux mais c'est déjà pas mal).
Pour du stockage object, en opensource, ceph supporte le worm sur sa gateway rados (protocol s3), depuis la version ceph nautilus
https://www.youtube.com/watch?v=syLFh3JAbJ4
j'en suis pas certain à 100%, mais il me semble que scaleway utilise ceph pour son stockage objet également https://www.scaleway.com/en/docs/s3-object-lock/
On 01/12/2020 17:50, Daniel Caillibaud wrote:
Salut,
Je rebondis sur le post de pidroid qui parle de la fin de vie de C14.
Je suis aussi affecté par cette suppression de service que le "remplaçant" ne remplace pas :-/
Je cherche une solution de stockage avec "quand un fichier est écrit (avec un TTL) il n'est plus jamais modifiable" (même par le proprio du service).
J'ai regardé toutes les offres de type glacier, y'a rien qui répond à ça, le proprio du service ou celui qui a les droits en écriture peut toujours effacer le contenu.
Vous connaissez qq chose qui répondrait à ce besoin ?
Merci
PS: la version longue du besoin
J'ai
- des hosts de prod
- un host de backup
Le backup peut lire la prod, certaines vm de prod peuvent lire le backup, mais personne peut écrire chez l'autre.
Le seul point faible c'est moi :
- même avec des clés ssh distinctes, j'ai quand même accès aux deux (et peut donc potentiellement tout effacer)
- c'est le même nic-ovh pour tout le monde (parce que c'était plus simple, et séparer ne suffisait pas à sécuriser à cause du point précédent)
J'utilisais donc C14 comme backup "write only", le host de backup pouvait écrire sur C14 mais ensuite il ne pouvait plus modifier ce qu'il avait déjà écrit, donc en cas de corruption de la prod ET du backup on avait encore accès à un backup clean (le dernier push vers C14 avant corruption).
C'était pas génial, car ça demandait à une tierce personne de m'ouvrir manuellement un conteneur sur C14 avant chaque push, mais au moins ça sécurisait un peu.
La nouvelle offre online ne fonctionne plus de la même manière, si on peut écrire on peut aussi effacer.
Y'a eu une annonce d'Octave disant qu'Ovh allait proposer ça pour sept 2021 : tu envoie un zip en cold backup avec telle durée de vie et une fois stocké il est plus jamais modifiable jusqu'à ce qu'il soit automatiquement effacé en fin de vie.
C'est exactement ce qu'il me faut, mais ça m'ennuie de tourner 9 mois (voire plus si la date est repoussée) avec ceinture mais sans bretelle.
-
alexandre derumier -
Benoit Garcia -
cam.lafit -
Clément GIBAUD -
Daniel Caillibaud -
Jonathan Dovillez -
Joël DEREFINKO -
Kevin LABECOT -
Rémy Dernat