Backup do VyOS SP

Procedimento para criar pontos de recuperação do VyOS SP (VM 6001 em pve-ippri-11) antes de mudanças de risco — renumeração de rede, upgrade de firmware, reconfiguração de NAT/firewall etc.

O VyOS SP é o gateway de borda do site e o firewall principal. Uma falha deixa todas as VMs da LAN SP sem internet, então múltiplas camadas de recuperação são essenciais.

Camadas de rollback (independentes)

Camada	Granularidade	Tempo rollback	Indicado para
1. `save /config/...boot` dentro do VyOS	Só config	~10s	Config errada após commit
2. `qm snapshot` no Proxmox	VM inteira (disk + RAM state)	~30s	Config grave, kernel panic, fs corrupto
3. `vzdump` em ZFS local	VM inteira (arquivo portátil)	~1min	LINSTOR indisponível / cluster Proxmox degradado

As 3 camadas são independentes — se LINSTOR cair, a camada 3 ainda funciona. Se o disco do host falhar, a camada 1 some mas 3 persiste em outro pool.

Setup do storage de backup em ZFS

Feito uma vez (já existe em pve-ippri-11 desde 2026-04-22):

# Cria dataset dedicado pra backups
zfs create zfs-rpl-nvme-01/backups

# Registra como storage Proxmox só neste node
pvesm add dir backup-zfs \
  --path /zfs-rpl-nvme-01/backups \
  --content backup \
  --nodes pve-ippri-11

# Valida
pvesm status -content backup
# Name              Type     Status
# backup-zfs         dir     active
# local              dir     active

Vantagens de ser ZFS local (e não local/ext4):

5 TB livres (vs ~150 GB em /var/lib/vz)
Snapshots ZFS nativos (zfs snapshot) se quiser reter versões
Mesmo pool das VMs de backup se precisar snapshot + retenção coordenada

Procedimento de backup

Executar antes de qualquer mudança no VyOS:

Camada 1 — Save interno (rollback rápido)

ssh -p 65401 vyos@192.168.10.5 \
  'bash -c "source /opt/vyatta/etc/functions/script-template && save /config/pre-MUDANCA-$(date +%Y-%m-%d).boot"'

Valida:

ssh -p 65401 vyos@192.168.10.5 'ls -la /config/*.boot'

Camada 2 — Snapshot Proxmox

ssh root@pve-ippri-11 \
  "qm snapshot 6001 pre-MUDANCA-$(date +%Y-%m-%d) \
    --description 'antes de MUDANCA'"

Valida:

ssh root@pve-ippri-11 'qm listsnapshot 6001'

Camada 3 — vzdump em ZFS local

ssh root@pve-ippri-11 \
  'vzdump 6001 --storage backup-zfs --mode snapshot --compress zstd \
     --notes-template "VyOS SP pre-MUDANCA"'

Modo snapshot faz backup ao vivo (VM não para). Compressão zstd reduz ~8 GiB de disk para ~600-700 MB (90% é zero em VM de firewall).

Valida:

ssh root@pve-ippri-11 \
  'ls -la /zfs-rpl-nvme-01/backups/dump/ | tail -5'

Procedimento de rollback

Escolher a camada mais apropriada ao problema:

Camada 1 — Reverter só config (commit errado)

ssh -p 65401 vyos@192.168.10.5
configure
load /config/pre-MUDANCA-YYYY-MM-DD.boot
commit
save
exit

Tempo: ~10 s. Não requer reboot da VM.

Camada 2 — Reverter VM inteira (disk + RAM)

ssh root@pve-ippri-11 \
  'qm rollback 6001 pre-MUDANCA-YYYY-MM-DD'

Tempo: ~30 s. VM volta ao estado exato do snapshot, inclusive RAM se o snapshot foi com VM running + --vmstate 1. Sem --vmstate, restaura só o disco e a VM reinicia.

Camada 3 — Restaurar de vzdump (LINSTOR indisponível)

Se a VM original estiver corrompida ou LINSTOR offline, restaurar em outro storage:

ssh root@pve-ippri-11 \
  'qmrestore /zfs-rpl-nvme-01/backups/dump/vzdump-qemu-6001-YYYY_MM_DD-HH_MM_SS.vma.zst 6099 \
     --storage zfs-rpl-nvme-01-vms'

Cria VM 6099 (clone do VyOS) em ZFS local. Se for pra substituir a original:

Parar VM 6001: qm stop 6001
Renomear no cluster: qm set 6001 --name vyos-sp-old
Renomear 6099 → 6001: editar /etc/pve/nodes/pve-ippri-11/qemu-server/ (manual, requer cuidado com config file + VMID)

Mais simples: ligar 6099 temporariamente e usar como VyOS ativo até a original ser recuperada.

Retenção

Política sugerida (não automatizada ainda):

Camada 1 (save interno): manter últimos 3-5 antes de mudanças maiores; limpar manualmente ou via rm /config/pre-*-antigo.boot.
Camada 2 (snapshot Proxmox): remover após 1-2 semanas de validação via qm delsnapshot 6001 <nome>. Snapshots ocupam espaço no LINSTOR/DRBD.
Camada 3 (vzdump): manter pelo menos 2 gerações. Cada backup é um arquivo independente em /zfs-rpl-nvme-01/backups/dump/.

Para limpar backups vzdump antigos:

ssh root@pve-ippri-11 \
  'ls -t /zfs-rpl-nvme-01/backups/dump/vzdump-qemu-6001-*.vma.zst | tail -n +3 | xargs -r rm'

Histórico de uso

Data	Motivo	Camadas usadas
2026-04-22	Preparação para renumeração SP (192.168.0.0/23 → 192.168.10.0/23)	1, 2, 3

Referências

rede-sp.md — topologia de rede e papel do VyOS SP
switches-sp.md — inventário dos switches (UniFi, TP-Link)
linstor-sp.md — storage LINSTOR/DRBD (camada 2 depende)