Der Timberwolf Server kann Konfiguration und Daten sichern. In diesem Kapitel beschreiben wir die Datensicherung und auf was Sie achten müssen. Bitte beachten Sie auch unbedingt die Kapitel zur Wiederherstellung auf gleichen Server bzw. Migration auf anderen Server, damit Sie die Datensicherung vorbereitend dafür optimal vornehmen.
Einführung
Konfiguration ausschließlich im Timberwolf Server gespeichert
Der Timberwolf Server wird nicht mit einem Windows Tool, sondern über eine Web-APP im Browser von jedem kompatiblen Endgerät konfiguriert. Damit ist es möglich, sowohl mit Endgeräten ohne Windows als auch mit mehreren Sessions parallel den Timberwolf Server zu administrieren.
Alle Einstellungen (sowie Logs, Zeitserien, APPs und Docker Container) werden ausschließlich im Timberwolf Server gespeichert. Damit müssen Sie weder Konfigurationsdateien auf Windows Rechnern sichern noch zwischen mehreren benutzen Rechnern selbst synchronisieren, denn alles befindet sich an einer Stelle: Im Timberwolf Server.
Zur Sicherung aller Einstellungen und Daten verfügt der Timberwolf Server über eine integrierte Datensicherung auf entnehmbare bzw. angesteckte Sicherungsmedien. Beim der Modellreihe 3500 kann zwar auch auf die interne SSD gesichert werden, dies ist jedoch nur eingeschränkt ratsam, weil im Falle eines Defekts (z.B. durch Blitzschlag) die Datensicherung nicht mehr zugänglich ist.
HINWEIS Bitte lesen Sie zusätzlich unten, was NICHT Bestandteil der Datensicherung ist
Sicherheit
Die gesamte Systempartition auf dem Timberwolf Server ist verschlüsselt, damit sind alle Einstellungen und Daten vor fremden Zugriff gesichert.
Auch die von der Datensicherung erstellten Backup-Dateien sind ebenfalls verschlüsselt und können nur auf einem Timberwolf Server auf eine verschlüsselte Systempartition wiederhergestellt werden. Es gibt damit keine unverschlüsselten Daten oder Einstellungen mit folgenden Ausnahmen:
CSV Export aus dem KNX-Busmonitor
Export von Modbus Profilen
Datenexports mit Grafana
Diese Exports sind nicht verschlüsselt, denn diese Daten wollen Sie anderweitig weiter verwenden.
Rechte: Eine Datensicherung oder eine Wiederherstellung kann nur durch einen Nutzer mit Administrator-Rechten ausgeführt werden.
WARNUNG Sichern Sie unbedingt das Passwort für den Zugang zum Timberwolf Server vor unbefugter Nutzung.
Sicherungsziele
Die Datensicherung kann, je nach Modellreihe, auf die nachfolgend genannten Sicherungsziele erfolgen:
Modellreihe | SSD | SD bzw. µSD-Karte | USB Backup Stick |
---|---|---|---|
TWS 21xx / 24xx / 25xx / 26xx |
| ||
TWS 3xx / 9xx | |||
TWS 3500 xx |
|
WARNUNG Bei der Modellreihe 3500 kann zwar auch auf die interne SSD gesichert werden, dies ist jedoch nur eingeschränkt ratsam, weil im Falle eines Defekts (z.B. durch Blitzschlag, Überspannung) die Datensicherung nicht mehr zugänglich ist. Wir empfehlen die Nutzung des ElabNET USB Backup Stick.
HINWEIS Der USB Backup Stick ist ein zertifizierter USB Stick von ElabNET der vom Timberwolf Server automatisch als Sicherungsziel erkannt und eingebunden wird. Den Stick erhalten Sie im ElabNET Shop.
Basis-Sicherung
Ab IP 8 zur V4 beinhaltet jede Datensicherung grundsätzlich immer:
Konfiguration: Alle Einstellungen und Konfigurationen aller Funktionsmodule und Subsysteme
Objekte: Alle Objekte und deren letzten bekannten Objektwerte sowie alle Verknüpfungen
Logiken: Alle Logiken inkl. Doktormodus und Persistenzstatus zum Zeitpunkt der Sicherung werden gesichert (der Doktormodus wird jedoch nur dann restauriert, wenn die betreffende Logikzelle in der Betriebsart “Persistenz” betrieben wird).
Reverse-Proxy und Grafana: Die Konfiguration des Reverse-Proxys sowie Grafana mit Dashboards
Timberwolf VISU: Alle Einstellungen der Timberwolf VISU wie VISU Profile, VISU Instanzen und Widgets
Nutzer-VPN: Alle Einstellungen zum Nutzer-VPN wie Zertifikate, Betriebsart und Profile
KNX: KNX Programmierung mit BAU-Schlüssel sowie die im lokalen Projektspeicher befindlichen importierten ETS Projekte (die jeweils selbst mit einem Projekt-Passwort Passwort verschlüsselt sein können)
1-Wire Einstellungen: ALLE 1-Wire Einstellungen, erkannte Busmaster und 1-Wire Geräten inkl. Transaktionen
Aufzeichnungen: Alle Aufzeichnungen in Logs, Zeitserien und Logicscope (Doktormodus Aufzeichnung)
Benutzerkonten: Lokale und verbundene globale Benutzerkonten inkl. PW-Hashes (letztere können nur auf dem selben Server nach Wiederherstellung genutzt werden)
TWS APPs: Konfiguration von Timberwolf APPs (jedoch nicht die jeweiligen APP Daten Volumes, diese müssen IP 8 zur V4 oder neuer jeweils in die Auswahl zur Datensicherung aufgenommen werden, um diese in die Sicherung aufzunehmen, wie unten aufgezeigt)
Lizenz: Lokal installierte Lizenzinformationen (für die es auch eine Kopie in der Timberwolf Cloud gibt)
WARNUNG Nicht alles was gesichert wird, kann wiederhergestellt oder genutzt werden bzw. wird durch ein Durchstarten von Services nach der Wiederherstellung zurückgesetzt, da dies davon abhängt, ob die Wiederherstellung auf dem gleichen oder einem anderen Server erfolgt. Bitte beachten Sie daher die Informationen zur Wiederherstellung bzw. Migration. Insbesondere hinsichtlich einer Migration auf einen anderen Server empfehlen wir die Anmerkungen zur “Planung einer idealen Sicherung für Migration” zu beachten.
FIRMWARE Bis V 3.51 sowie bis IP 7 zur V4 waren die Timberwolf APPs inkl. Konfiguration und TWS APP Daten Volumen stets in der Datensicherung enthalten. Bei Nutzung neuerer Firmware müssen die TWS APP Daten Volumes separat angeklickt werden um in die Datensicherung mitaufgenommen zu werden.
FIRMWARE Dieser Screenshot wurde mit Firmware IP 8 zur V4 angefertigt
HINWEIS Bitte lesen Sie zusätzlich unten, was NICHT Bestandteil der Datensicherung ist
Optionale Sicherung der APPs und Docker Volumes
Die Sicherung von Timberwolf APPs und Docker Volumes kann ergänzend zur Basissicherung gewählt werden
FIRMWARE Die folgend beschriebene Funktion steht ab Firmware IP 8 zur V4 und neuer zur Verfügung
FIRMWARE Dieser Screenshot wurde mit Firmware IP 8 zur V4 angefertigt
Schnellauswahl: Hierüber können Sie eine schnelle Auswahl vornehmen. Die getroffene Auswahl ist untereinander kombinierbar und Sie können auch einzelne Volumes zu- oder abwählen.
Alle auswählen: Sämtliche Docker Volumes und TWS APPs werden ausgewählt.
Benutzer: Nur die vom Administrator des Timberwolf Servers selbst angelegten Docker Volumes werden gesichert. Diese sind auch mit dem Label “Benutzer” markiert.
System: Hier werden die vom System angelegten Docker Volumes gesichert, üblicherweise ist dies das Portainer Volume. Diese sind auch mit dem Label “System” markiert.
APP-Volumes: Dies umfasst die von den Timberwolf APPs angelegten Docker Volumes
Nicht benannte Volumes: Diejenigen Docker Volumes, die nicht benannt wurden, erhalten vom Docker System eine GUID. Wir raten, soweit möglich, alle Volumes nachvollziehbar zu benennen.
Timberwolf APPs: In früheren Datensicherungen (bis IP7 zur V4) waren TWS APPs mit Konfiguration und APP Daten Volumes komplett in der Datensicherung enthalten. Ab IP 8 zur V4 müssen die APP Daten Volumes zuvor ausgewählt werden. Diese sind mit dem Label “APP” markiert.
Hinweise zur Sicherung von APP Daten Volumes und Docker Volumes
Edomi: Edomi schreibt in der Grundeinstellung alle KNX Telegramme in ein Log (doppelt zum KNX Log des Timberwolf Servers). Dadurch werden ständig Dateien im Docker Volume von Edomi offen gehalten. Diese Dateien können nicht gesichert werden und können die Datensicherung auch blockieren. Wir empfehlen, Edomi immer dann zu stoppen, wenn Edomi in die Datensicherung einbezogen werden soll.
Edomi als APP: Wenn Sie Edomi als Timberwolf APP installiert haben, dann wechseln Sie auf
Systemeinstellungen -> System -> Monitor
und stoppen dort die Edomi APP vor der Durchführung der Datensicherung um ein Blockieren der Datensicherung durch geöffnete Dateien zu vermeiden. Nach derEdomi als Docker Container (eigene Installation): Wenn Sie Edomi selbst als Docker Container installiert haben, dann stoppen Sie die Ausführung des Containers unter Portainer
Docker Volumes: Bei sehr aktiven Installationen in Docker Containern, die ständig Dateien offen halten, sollten die Ausführung der Docker Container vor der Datensicherung in Portainer suspendiert werden.
Nicht in einer Datensicherung enthalten
Folgende Einstellungen oder Komponenten werden NIE in eine Datensicherung aufgenommen:
Passwörter werden nicht als Klartext gesichert (sondern nur als gesalzener Hashwert)
Hashwert eines Passwortes
Passwörter werden im Timberwolf Server nicht im Klartext abgelegt, sondern nur als dessen gesalzener Hashwert gespeichert.
Ein Hashwert ist eine Abbildung eines Eingabewertes durch Nutzung einer Hashfunktion.
Der Hashwert ist dabei stets gleich lang (nur abhängig von der Hashfunktion), unabhängig von der Länge des Eingabewertes.
Selbst geringfügige Unterschiede im Eingabewert führen zu einem völlig veränderten Hashwert.
Eine Umkehrung der Hasfunktion ist nicht möglich, vom Hashwert kann nicht auf den Eingabewert geschlossen werden.
Beispiele mit der Hash-Funktion SHA-256:
test → 9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08
Test → 532eaabd9574880dbf76b9b8cc00832c20a6ec113d682299550d7a6e0f345e25
TesT → 29504a8e2b396ac194e9d9c731a443ddba9597c725616d0bbfcc208d426b7923
Selbst minimale Änderungen (“t” in Klein- oder Großschreibung) führt zu einem völlig unterschiedlichen Hashwert.
Im Timberwolf Server werden eingegeben Passwörter nicht im Klartext, sondern als dessen gesalzener Hashwert gespeichert.
Salzen: Um die Sicherheit zu erhöhen, wird im Timberwolf Server der Eingabewert (das vom Kunden eingegebene Passwort) um einen weiteren Wert, das “Salt”, erweitert, wodurch sich ein völlig anderer Hashwert ergibt. Dieses “Salt” ist zufällig ausgewählt und individuell für jeden Timberwolf Server. Damit ist der gesalzene Haswert desselben Passwortes bei verschiedenen Timberwolf Servern nie gleich.
Passwortprüfung bei der Anmeldung: Meldet sich ein Nutzer an, wird das von ihm eingegebene Passwort jedesmal erneut gesalzt und gehashed und mit dem beim Anlegen des Benutzerkontos ursprünglich gespeicherten gesalzenen Hashwert verglichen. Sind beide Hashwerte gleich, dann ist das vom Nutzer eingegebene Passwort das richtige und der Zugang wird gewährt. Auf diese Weise kann die Richtigkeit von Passwörtern bei der Anmeldung geprüft werden, ohne die Passwörter im Klartext zu speichern.
Die Passwörter werden nicht im Klartext auf dem Server gespeichert, sondern individuell pro Server unterschiedlich kryptiert. Nur diese Passwortdatei mit gesalzenen Hashwerten wird gesichert.
Diese spezielle Sicherheitsvorkehrung wirkt sich beim Wiederherstellen einer Datensicherung auf einen anderen Server (“Migration”) jedoch so aus, dass man sich am Zielserver nicht mehr mit seinen Passwörtern anmelden kann (weil der andere Server ein anderes “Salt” nutzt). Bitte beachten Sie daher die Anweisungen zu Anmeldekonten und Passwörtern im Unterkapitel zur Migration.
Netzwerkeinstellungen werden nicht gesichert
Wir wollen vermeiden, dass durch ein Backup-Restore auf einen anderen Server, Netzwerk-Einstellungen entstehen, die zu Netzwerk- und Zugriffsproblemen führen. Daher werden die Netzwerkeinstellungen nicht gesichert.
Status des Support-VPNs wird nicht gesichert
Die Einstellung des Support-VPNs (automatischer Start bzw. gestartet) wird nicht gesichert und damit auch nicht wiederhergestellt. Dies dient dem Datenschutz. Es soll vermieden werden, dass ein Server, bei dem sich der Nutzer entschieden hat, das Support-VPN nicht zu aktivieren, durch eine Wiederherstellung der Sicherung eines anderen Servers (mit womöglich aktivertem Support-VPN) dieses ohne Wissen des Administrators des Zielservers “im Hintergrund” aktiviert wird.
Docker Images werden nicht gesichert
Das Konzept von Docker ist es, Container bei Notwendigkeit neu zu erzeugen. Wir meinen, dass es keinen Sinn macht, womöglich veraltete Docker Images auf einen anderen Server zu übertragen, anstatt diese neu zu laden vor dem Deployen.
Docker Container und deren Einstellungen in Portainer werden nicht gesichert
Container sind instantiierte Images und werden aus einem Image neu deployed. Insbesondere bei Migration zu einer anderen Architektur wird ein neues Image benötigt, daher werden Docker Container nicht gesichert. Das gleiche gilt für Einstellungen im Portainer, weil diese sich auf das Image beziehen und insbesondere auch auf Netzwerkeinstellungen. Da letztere aus Sicherheitsgründen nicht in einer Datensicherung enthalten sind, könnten komplexe Probleme entstehen, würden die Netzwerkeinstellungen der Docker Container gesichert und wieder herhestellt.
Offene Dateien in Docker Volumes und APPs werden nicht gesichert
Keine Sicherung der Welt kann offene Dateien sichern, weil diese seitens des Betriebssystems gesperrt sind bzw. während der Sicherung auf diese geschrieben wird und deshalb unvollständige oder korrupte Dateien gesichert würden. Wir raten deshalb dazu, insbesonders intensiv schreibende Timberwolf APPs und Docker Container, wie z.B. Edomi, vor der Datensicherung zu suspendieren.
Beachten Sie hierzu: Hinweise zur Sicherung von APPs und Docker Volumes
Ausführen der Datensicherung
HINWEIS Falls Sie eine Migration auf einen anderen Server vornehmen wollen, beachten Sie bitte vor der Datensicherung die Anleitung zur Migration auf ANDEREN Serverfür zusätzliche Empfehlungen. Bitte lesen Sie die Anleitung komplett durch und beachten Sie auch die Hinweise in der roten Box zum korrekten Entfernen des Sticks.
Beschreibung angeben: Machen Sie Angaben zur Sicherung im Feld “Beschreibung”. Diese wird Ihnen später in der Liste der vorgenommenen Datensicherung angezeigt. Fassen Sie diese Beschreibung so, dass Sie später daraus erkennen können, aus welchem Grund die Sicherung erfolgte und was diese beinhaltet.
Sicherungsziel auswählen: Grundsätzlich empfehlen wir eine Datensicherung auf ein anderes Speichermedium als die eigene lokale SSD (betrifft TWS 3500). Sichern Sie bitte entweder auf die integrierte SD- oder µSD-Karte (nur TWS 3xx/9xx/2xxx) oder den ElabNET Backup USB Stick.
Für die Übertragung von Einstellungen und Daten auf einen anderen Server verwenden Sie bitte ausschließlich den ElabNET Backup USB Stick.Apps und Docker Volumes: Sie können die Einstellungen und Daten von TWS APPs und Docker Volumes durch entsprechendes Anklicken mit in die Datensicherung einbeziehen. Bitte beachten Sie hierzu die untenstehenden Hinweise.
Auf ausreichend Speicherplatz achten: Prüfen Sie vor der Datensicherung ob ausreichend Speicherplatz auf dem Sicherungsziel vorhanden ist. Löschen Sie ggfs. ältere Datensicherungen.
Sicherung starten und im Funktionsmodul verbleiben: Starten Sie nun die Datensicherung über die grüne Schaltfläche “Datensicherung erstellen” und belassen den Browser solange in diesem Funktionsmodul bis die Datensicherung vollständig abgeschlossen ist.
FIRMWARE Diese Screenshots wurde mit Firmware IP 8 zur V4 angefertigt
Laufende Datensicherung
HINWEIS Insbesondere die Sicherung der Zeitserien und der KNX Logs kann sehr viel Zeit beanspruchen, ohne dass ein Fortschritt in der Oberfläche erkennbar ist. Dieser Schritt für sich kann eine halbe Stunde oder mehr dauern. Anschließend erfolgt das Umkopieren der zunächst angelegten temporären Dateien auf das Sicherungsziel, wobei diese komprimiert und verschlüsselt werden. Auch dieser Schritt kann bis eine halbe Stunde beanspruchen.
ElabNET USB Backup Stick nur abstecken nach vorheriger sicherer Abmeldung
Zum Ende der Datensicherung und vor Abziehen des Sticks ist der Knopf “USB Speichergerät sicher entfernen” zu betätigen, damit alle Schreibprozesse sauber abgeschlossen werden. Hierzu unbedingt die Rückmeldung abwarten.
Ansonsten besteht die Gefahr korrumpierter Dateien, so dass die Datensicherung nicht mehr eingelesen werden kann. Dies ist daran erkennbar, dass der Stick bei einem späteren Einstecken nicht mehr gelistet wird, da das Dateisystem bzw. Sicherungsdateien beschädigt sind (aber piept beim Einstecken).
Kommentar hinzufügen