jetbackup-remote - Manual de uso Orquestador remoto que serializa trabajos de backup JetBackup5 de múltiples servidores para evitar la saturación del controlador de almacenamiento. El problema Cuando varios servidores JetBackup5 lanzan backups simultáneamente hacia un NAS conectado por USB (controlador JMicron JMS567 RAID en Raspberry Pi), el controlador se satura y el rendimiento cae a ~1KB/s. Backups que deberían tardar 1-2 horas pasan a tardar días. La solución jetbackup-remote ejecuta en la Raspberry Pi y dispara los trabajos de backup uno a uno (cola FIFO), esperando a que termine cada uno antes de lanzar el siguiente. El NAS solo maneja un flujo de escritura a la vez, manteniendo el rendimiento a velocidad máxima. Características Cola FIFO : los trabajos se ejecutan uno a uno en todos los servidores SSH + jetbackup5api : dispara y monitoriza trabajos remotamente vía la CLI de JetBackup5 SSH con restricción de comando : un script gate limita el acceso de la Pi a solo funciones autorizadas de la API Timeouts no abortivos : los trabajos que exceden el timeout se reportan, nunca se matan (evita corrupción de backup) Notificaciones por email : alertas en caso de fallo, timeout o finalización Apagado limpio : gestión de señales SIGTERM/SIGINT Fichero de bloqueo : impide ejecuciones simultáneas Cero dependencias : Python stdlib puro, sin paquetes pip Requisitos Orquestador (Raspberry Pi): Python 3.9+, acceso SSH a los servidores Servidores JetBackup: JetBackup5 con jetbackup5api CLI disponible Instalación 1. Clonar el repositorio en la Raspberry Pi git clone https://github.com/AichaDigital/jetbackup-remote.git cd jetbackup-remote 2. Instalar el ejecutable En sistemas Debian 12+ (Bookworm) con Python gestionado externamente, crear un wrapper: # Copiar el código sudo cp -r . /opt/jetbackup-remote # Crear wrapper en /usr/local/bin sudo tee /usr/local/bin/jetbackup-remote << 'WRAPPER' #!/bin/bash exec env PYTHONPATH=/opt/jetbackup-remote/src python3 -m jetbackup_remote "$@" WRAPPER sudo chmod +x /usr/local/bin/jetbackup-remote # Verificar jetbackup-remote --help Alternativa con pip (si el sistema lo permite): pip3 install . 3. Configurar # Crear directorio de configuración sudo mkdir -p /etc/jetbackup-remote # Copiar y editar config sudo cp config.example.json /etc/jetbackup-remote/config.json sudo nano /etc/jetbackup-remote/config.json Campos a personalizar: ssh_key : ruta a la clave privada SSH (ej: /root/.ssh/id_ed25519 ) servers : hostnames y puertos de los servidores JetBackup jobs : IDs de los backup jobs — obtener con: ssh -p PUERTO root@SERVIDOR "jetbackup5api -F listBackupJobs -O json" notification : configuración SMTP si se desean alertas por email 4. Configurar SSH en los servidores En cada servidor JetBackup , instalar el filtro SSH que restringe lo que la Pi puede hacer: # Copiar el gate script al servidor scp -P 51514 server/jetbackup-ssh-gate.sh root@servidor:/usr/local/bin/ ssh -p 51514 root@servidor "chmod +x /usr/local/bin/jetbackup-ssh-gate.sh" Añadir la clave pública de la Pi al authorized_keys del servidor con restricción de comando: # En el servidor, editar /root/.ssh/authorized_keys y añadir: command="/usr/local/bin/jetbackup-ssh-gate.sh",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty ssh-ed25519 AAAA... root@raspberrypinas Esto asegura que aunque la clave sea comprometida, solo puede ejecutar funciones autorizadas de la API JetBackup. 5. Verificar conectividad # Test SSH + JetBackup API en todos los servidores jetbackup-remote test # Solo un servidor jetbackup-remote test --server server4 # Validar configuración jetbackup-remote validate # Simulación sin ejecutar backups jetbackup-remote run --dry-run Uso de la CLI La configuración por defecto se lee de /etc/jetbackup-remote/config.json . Se puede especificar otra ruta con -c : jetbackup-remote -c /ruta/a/config.json COMANDO run — Ejecutar backups Ejecuta los trabajos de la cola FIFO, uno a uno: # Todos los trabajos de todos los servidores jetbackup-remote run # Solo los trabajos de un servidor jetbackup-remote run --server server1 # Solo un trabajo específico (por ID) jetbackup-remote run --job aaaaaaaaaaaaaaaaaaaaaaaa # Simulación (muestra la cola sin ejecutar nada) jetbackup-remote run --dry-run status — Ver estado Consulta el estado de los trabajos de backup en cada servidor: # Todos los servidores jetbackup-remote status # Solo un servidor jetbackup-remote status --server server4 # Salida JSON jetbackup-remote status --json test — Verificar conectividad Prueba SSH y la API JetBackup en cada servidor: jetbackup-remote test jetbackup-remote test --server server3 list — Listar trabajos Lista los trabajos configurados y los disponibles en cada servidor: jetbackup-remote list jetbackup-remote list --json stop — Detener un trabajo Detiene un grupo de cola en ejecución: jetbackup-remote stop --server server4 QUEUE_GROUP_ID validate — Validar configuración Verifica que el fichero de configuración es correcto: jetbackup-remote validate Ejecución manual en tmux Para ejecutar un ciclo completo (todos los servidores, todos los trabajos) en segundo plano: # Crear sesión tmux tmux new-session -d -s backup 'jetbackup-remote run' # Conectar a la sesión para ver progreso tmux attach -t backup # Desconectarse sin parar (Ctrl+B, luego D) Ejecución automática con systemd Copiar los ficheros de servicio: sudo cp systemd/jetbackup-remote.service /etc/systemd/system/ sudo cp systemd/jetbackup-remote.timer /etc/systemd/system/ # Editar la hora si es necesario (por defecto: 02:00 diario) sudo nano /etc/systemd/system/jetbackup-remote.timer # Activar sudo systemctl daemon-reload sudo systemctl enable --now jetbackup-remote.timer # Verificar systemctl list-timers | grep jetbackup El timer incluye un delay aleatorio de hasta 5 minutos para evitar colisiones. Flujo de ejecución 1. Cargar configuración 2. Adquirir lock file (fcntl.flock) → impedir ejecuciones simultáneas 3. Construir cola FIFO (servidor1/job1, servidor1/job2, servidor2/job1...) 4. Por cada trabajo: a. Verificar conectividad SSH (echo test) b. Consultar estado del job (getBackupJob) c. Si ya está ejecutándose, esperar; si no, disparar (runBackupJobManually) d. Sondear cada 30s: comprobar que running=False e. Si excede timeout (4h): notificar y pasar al siguiente (NO abortar) f. Registrar resultado 5. Enviar resumen por email (si está configurado) 6. Liberar lock file Configuración de ejemplo { "ssh_key": "/root/.ssh/id_ed25519", "servers": { "server1": { "host": "server1.example.com", "port": 51514, "user": "root" }, "server4": { "host": "server4.example.com", "port": 51514, "user": "root" } }, "jobs": [ { "job_id": "aaaaaaaaaaaaaaaaaaaaaaaa", "server": "server1", "label": "Accounts Backup", "type": "accounts", "priority": 0 }, { "job_id": "222222222222222222222222", "server": "server4", "label": "Database Backup", "type": "database", "priority": 0 } ], "orchestrator": { "poll_interval": 30, "job_timeout": 14400, "lock_file": "/tmp/jetbackup-remote.lock", "log_file": "/var/log/jetbackup-remote.log", "log_max_bytes": 10485760, "log_backup_count": 5 }, "notification": { "enabled": false, "smtp_host": "localhost", "smtp_port": 25, "from_address": "jetbackup-remote@raspberrypinas", "to_addresses": ["admin@example.com"], "on_failure": true, "on_timeout": true, "on_complete": false } } Parámetros del orquestador Parámetro Valor por defecto Descripción poll_interval 30 Segundos entre sondeos del estado del trabajo job_timeout 14400 Timeout por trabajo en segundos (4 horas) lock_file /tmp/jetbackup-remote.lock Ruta del fichero de bloqueo log_file /var/log/jetbackup-remote.log Ruta del log log_max_bytes 10485760 Tamaño máximo del log antes de rotar (10 MB) log_backup_count 5 Número de ficheros de log rotados a conservar Tipos de trabajo Tipo Descripción accounts Backup de cuentas de hosting directories Backup de directorios específicos database Backup de bases de datos Modelo de seguridad Capas de protección 1. Clave SSH con restricción de comando La clave SSH de la Pi está restringida en cada servidor mediante command= en authorized_keys . Incluso si un atacante obtiene la clave privada: No puede abrir shell en los servidores No puede ejecutar comandos arbitrarios No puede crear túneles ni reenviar puertos Solo puede ejecutar funciones autorizadas de la API JetBackup5 2. Gate script con whitelist El script jetbackup-ssh-gate.sh valida SSH_ORIGINAL_COMMAND contra una lista blanca: jetbackup5api -F getBackupJob — consultar estado jetbackup5api -F runBackupJobManually — disparar backup jetbackup5api -F listBackupJobs — listar trabajos jetbackup5api -F listQueueGroups — consultar colas jetbackup5api -F stopQueueGroup — detener cola echo — test de conectividad Todo lo demás es DENIED y registrado vía syslog. 3. Opciones SSH deshabilitadas no-port-forwarding : impide túneles SSH no-X11-forwarding : impide forwarding X11 no-agent-forwarding : impide reutilizar el agente SSH no-pty : impide obtener terminal interactiva 4. Hardening systemd El servicio systemd usa: ProtectSystem=strict , PrivateTmp=true , NoNewPrivileges=true , ProtectHome=true , ProtectKernelModules=true , ProtectKernelTunables=true . Auditoría # Intentar comando no autorizado desde la Pi ssh -i /root/.ssh/id_ed25519 -p 51514 root@servidor "ls /" # Esperado: "ERROR: Command not allowed: ls /" # Verificar en syslog del servidor journalctl -t jetbackup-ssh-gate | tail -5 # Verificar restricciones en authorized_keys grep "jetbackup-ssh-gate" /root/.ssh/authorized_keys Rotación de claves Si se sospecha compromiso de la clave SSH: # 1. En la Pi, generar nueva clave ssh-keygen -t ed25519 -f /root/.ssh/id_ed25519_new -N "" # 2. En cada servidor, reemplazar la clave pública vieja # (usar acceso alternativo, no la clave comprometida) # 3. Verificar acceso con la nueva clave jetbackup-remote test # 4. Eliminar la clave vieja rm /root/.ssh/id_ed25519_old* Logs # Log del orquestador tail -f /var/log/jetbackup-remote.log # Log del timer systemd journalctl -u jetbackup-remote.service -f # Logs del gate SSH (en cada servidor) journalctl -t jetbackup-ssh-gate Tests # Ejecutar todos los tests cd /ruta/a/jetbackup-remote python3 -m unittest discover -s tests # Test específico python3 -m unittest tests.test_orchestrator Licencia GNU Affero General Public License v3.0 — ver fichero LICENSE . Autor Abdelkarim Mateos — abdelkarim@aichadigital.es