Skip to content

Резервные копии и мастер-ключ

Резервные копии защищают вас от потери данных, а мастер-ключ — их шифрует. И то, и другое настраивается администратором в разделе Система, блок «Резервные копии БД».

Что такое бэкап

Бэкап — это логический снимок базы: панель сама выгружает строки всех своих таблиц (вместе с версией схемы), сжимает их и шифрует ключом (AES-256-GCM) в файл .vhb. Это не pg_dump — панель владеет собственной схемой, поэтому копия не зависит от версии PostgreSQL и восстанавливается на любой из них. В файле вся модель: пользователи, серверы (с зашифрованными SSH-доступами), группы, доступы, устройства и конфиги.

Бэкапы лежат в томе контейнера

Файлы копий хранятся в томе контейнера панели. Если том потеряется вместе с хостом, пропадут и копии. Настройте выгрузку тома во внешнее хранилище (или скачивайте важные копии кнопкой ниже) — тогда бэкап действительно спасёт при отказе сервера.

Создание копий

  • «Создать бэкап» — сделать копию прямо сейчас (ручная).
  • Автоматический бэкап — расписание: «Выкл», «Раз в день», «Раз в неделю», «Раз в месяц».

Готовые копии перечислены списком с датой, размером и типом. У каждой — кнопки скачать и удалить.

Восстановление из бэкапа

Есть два пути восстановления.

Импорт в работающий инстанс

В блоке резервных копий нажмите «Импорт», выберите файл .vhb и введите мастер-ключ, которым бэкап был сделан. Подтвердите:

Текущие данные будут заменены содержимым бэкапа. Действие необратимо.

После восстановления рекомендуется перезапустить сервис.

При первичной настройке

Если вы разворачиваете инстанс заново (пустая база), восстановиться можно прямо на экране первичной настройки — вкладка «Из бэкапа».

Для восстановления нужен тот же ключ

Бэкап зашифрован мастер-ключом. Восстановить его на другом хосте (или после сброса) можно только тем же ключом, которым он был сделан. Без ключа файл бесполезен.

Мастер-ключ

Мастер-ключ — центральный секрет инстанса. Им шифруются:

  • SSH-доступы к серверам (пароли и ключи);
  • резервные копии базы.

Состояние ключа

Мастер-ключ обязателен и задаётся один раз — переменной окружения либо на экране первичной настройки. Отдельного «рабочего значения по умолчанию» у ключа нет: на адресе с https панель не стартует со встроенным небезопасным ключом. В блоке резервных копий показано, откуда ключ взят:

Состояние Значит
из env Ключ задан переменной окружения VPNHUB_MASTER_KEY — в панели не меняется
задан Ключ задан при первом запуске и хранится в базе — меняется кнопкой ниже
не задан Мастер-ключ так и не задали: бэкапы создавать нельзя, а на свежем инстансе секреты остаются под встроенным ключом из репозитория. Состояние нештатное (на https панель со встроенным ключом не стартует) — задайте ключ немедленно

Задать или сменить ключ

Если ключ не пришёл из окружения, рядом есть кнопка «Задать» / «Сменить»:

  1. Введите ключ (минимум 8 символов).
  2. Обязательно скачайте его кнопкой «Скачать ключ (.txt)» и сохраните отдельно от сервера.
  3. Сохраните.

Что происходит при смене ключа

Секреты серверов будут перешифрованы новым ключом. А вот старые бэкапы останутся под прежним ключом — чтобы восстановить их позже, сохраните и старый ключ тоже.

Если ключ потерян

Обратно в интерфейсе панель мастер-ключ не показывает, а если потерять сам инстанс (БД и окружение), взять его будет неоткуда — тогда нельзя ни восстановиться из бэкапа, ни расшифровать SSH-доступы серверов (например, при переносе). Поэтому:

  • задайте надёжный ключ сразу при первом запуске;
  • храните его копию в надёжном месте отдельно от инстанса;
  • при смене ключа сохраните и предыдущий, пока живы сделанные им бэкапы.