实现 xtrabackup + binlog 增量备份、age 加密异地存储与月度 DR 演练。 ## 交付内容 ### deploy/backup/ —— 备份容器 - Dockerfile:Ubuntu 22.04 + xtrabackup 8.0 + age v1.2.0 + AWS CLI v2 + pg_client - entrypoint.sh:初始化 AWS 凭据 / age 公钥,启动 crond - crontab.txt:全量 02:00 / 增量每 15min / DR 演练每月 1 日 - scripts/lib.sh:日志 / age 加密 / S3 上传 / 连接测试等共用函数 - scripts/backup-full.sh:MySQL xtrabackup 全量 + pg_dump 全量 + SQLite 备份 - scripts/backup-inc.sh:MySQL xtrabackup 增量 + binlog flush & 归档 + pg_dump 快照 - scripts/restore.sh:从 S3 下载、解密、prepare / pg_restore 完整恢复 - scripts/dr-drill.sh:月度演练 —— RPO 验证 / 备份完整性 / MySQL 临时容器恢复 / RTO 度量 - scripts/verify-rpo-rto.sh:实时 RPO/RTO 状态检查(S3 最新备份时间戳) - backup.env.example:配置模板(MySQL / PG / S3 / age 公钥) ### 修改已有文件 - deploy/docker-compose.yml:新增 pangolin-backup 服务 - deploy/scripts/gen-secrets.sh:幂等生成 age 密钥对 + backup.env 模板 - .gitignore:排除 age 私钥 / backup.env - deploy/README.md:容器一览 + 备份快速命令 ### docs/备份与灾备.md S3 初始化、IAM 权限设计、age 密钥管理、MySQL 权限、DR 恢复步骤、RTO 测量标准 ## 设计要点 - RPO ≤ 15min:每 15min xtrabackup 增量 + binlog flush + pg_dump 快照 - RTO ≤ 4h:月度演练度量,估算恢复时长约 2h - 独立身份账号:备份 IAM 仅有 s3:PutObject,与生产账号完全隔离 - age 加密:公钥存服务器,私钥离线保存,S3 中无明文 - 无 crontab:cron 在容器内运行,绕过 ec2-user crontab 限制 - 幂等部署:backup.env 存在则跳过,age 密钥对存在则跳过 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
3.2 KiB
Pangolin 部署(方案 C:分发层容器化)
把流量分发层(nginx)迁入 Docker,新增 Hysteria2,经 Gitea Actions 自动部署。
与现网 marzban/jiu/billing/blog 并存。设计见 ../docs/技术方案.md 与
计划 ~/.claude/plans/ci-cd-1-shimmering-panda.md。
容器一览(部署后)
| 容器 | 用途 | 端口/网络 |
|---|---|---|
pangolin-edge(nginx) |
分发层,接管 80/443,移植现网全部路由 | host 网络 |
pangolin-singbox |
Hysteria2 加速线 | host 网络,443/udp |
pangolin-backup |
数据库备份:xtrabackup+pg_dump,age 加密,S3 异地 | host 网络 |
pangolin-certbot |
DNS-01(Cloudflare)证书续期,按需运行 | 无端口 |
pangolin-xray(本台不启用) |
REALITY,留给新节点 | profile newnode |
现网保留不动:marzban(线上 REALITY+面板)、jiu_mysql、blog-*,宿主 jiu.service/billing.service。
部署目录
~/pangolin(即 /home/ec2-user/pangolin,ec2-user 所有,免 root)。
自动部署
push deploy/** → NAS runner → ssh ec2 → rsync deploy/ → ~/pangolin/ → deploy.sh(免 root,幂等)。
deploy.sh 总会拉起 singbox;edge 仅在宿主 nginx 已停时才启动(否则只校验配置)。
Gitea Secrets(仓库 Settings→Actions→Secrets)
EC2_SSH_KEY、EC2_HOST=18.136.60.128、EC2_USER=ec2-user、CF_API_TOKEN。
并把 .gitea/workflows/deploy.yml 的 runs-on 改成你 runner 的 label。
一次性切换(nginx 宿主 → 容器,需 root 一次)
空闲时段执行(代理会秒级重连,Shadowrocket 自动恢复):
sudo bash /home/ec2-user/pangolin/scripts/cutover.sh
失败秒级回滚:
docker-compose -p pangolin stop edge && sudo systemctl start nginx
证书续期(自动,无需宿主 cron)
pangolin-edge 是自定义镜像(官方 nginx + certbot),容器内每 12h 自动 certbot renew(DNS-01/Cloudflare),续期后在本容器内 nginx -s reload。见 edge/pangolin-entrypoint.sh。无需宿主 cron、无需 docker socket。
# 手动验证续期可用(staging,不动正式证书)
docker exec pangolin-edge certbot renew --dry-run
# 首次签发/重配(仅手动,用独立 certbot 服务)
docker-compose -p pangolin run --rm certbot certonly --dns-cloudflare \
--dns-cloudflare-credentials /etc/cloudflare.ini -d <域名> --cert-name <域名>
证书文件在
/etc/letsencrypt(rw 挂载进 edge);CF 凭据secrets/cloudflare.ini挂到/etc/cloudflare.ini。
取客户端导入串(Hy2,含口令)
ssh ec2 'cat ~/pangolin/secrets/clients.txt'
备份与灾备(RPO ≤ 15min / RTO ≤ 4h)
见 docs/备份与灾备.md 完整说明。快速命令:
# 初始化备份配置(首次)
cp backup/backup.env.example secrets/backup.env && vim secrets/backup.env
docker build -t pangolin-backup:local ./backup
docker-compose -p pangolin up -d backup
# 查看实时 RPO/RTO 状态
docker exec pangolin-backup /scripts/verify-rpo-rto.sh
# 手动触发全量备份
docker exec pangolin-backup bash -c '. /etc/backup-env.sh && /scripts/backup-full.sh'
# 月度 DR 演练(含私钥时解密验证)
docker exec pangolin-backup bash -c '. /etc/backup-env.sh && /scripts/dr-drill.sh'