Резервное копирование в Yandex Object Storage с помощью rclone
В этом практическом руководстве вы настроите резервное копирование файлов из локальной системы в облачное хранилище Yandex Object Storage с помощью rclone.
Rclone — универсальная командная утилита для работы с облачными хранилищами по протоколу S3, включая Object Storage. С ее помощью можно напрямую копировать и синхронизировать файлы между локальным компьютером и бакетом.
Особенности использования rclone:
- Работа напрямую через S3 API без монтирования бакета.
- Поддерживается на Linux, Windows и macOS.
- Возможность копирования, синхронизации, фильтрации, проверки и автоматизации через скрипты.
- Простая настройка и интеграция с планировщиками задач.
Чтобы настроить резервное копирование с помощью rclone:
- Подготовьте облако к работе.
- Создайте бакет.
- Создайте сервисный аккаунт.
- Создайте статический ключ доступа.
- Подготовьте окружение.
- Синхронизируйте локальный каталог с бакетом.
Если созданные ресурсы вам больше не нужны, удалите их.
Перед началом работы
Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:
- Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
- На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе
ACTIVEилиTRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.
Подробнее об облаках и каталогах.
Необходимые платные ресурсы
В стоимость поддержки бакета входит плата за хранение данных в бакете и операции с ними (см. тарифы Yandex Object Storage).
Создайте бакет
Примечание
Чтобы защитить резервные копии от случайного удаления файлов, включите версионирование S3-бакета. В этом случае удаленные или перезаписанные файлы будут сохраняться в виде предыдущих версий, которые можно восстановить при необходимости. Подробнее о версионировании S3-бакетов можно прочитать в документации.
Без версионирования восстановить удаленные из S3 файлы невозможно, даже если они раньше копировались.
- В консоли управления перейдите в нужный каталог.
- Выберите сервис Object Storage.
- Нажмите Создать бакет.
- Укажите имя бакета в соответствии с правилами именования.
- В полях Чтение объектов, Чтение списка объектов и Чтение настроек выберите
С авторизацией. - Нажмите Создать бакет.
-
Если у вас еще нет AWS CLI, установите и сконфигурируйте его.
-
Создайте бакет, указав имя бакета в соответствии с правилами именования:
aws --endpoint-url=https://storage.yandexcloud.kz \ s3 mb s3://<имя_бакета>Результат:
make_bucket: backup-bucket
Воспользуйтесь методом REST API create для ресурса Bucket, вызовом gRPC API BucketService/Create или методом S3 API create.
Создайте сервисный аккаунт
Создайте сервисный аккаунт, от имени которого будет выполняться резервное копирование.
- В консоли управления выберите сервис Identity and Access Management.
- Нажмите Создать сервисный аккаунт.
- В поле Имя укажите
sa-backup-to-s3. - Нажмите Добавить роль и выберите роль
storage.editor. - Нажмите Создать.
Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.
По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.
-
Создайте сервисный аккаунт:
yc iam service-account create --name sa-backup-to-s3 \ --folder-name <имя_каталога>Результат:
id: ajeab0cnib1p******** folder_id: b0g12ga82bcv******** created_at: "2025-10-03T09:44:35.989446Z" name: sa-backup-to-s3 -
Назначьте сервисному аккаунту роль
storage.editorна каталог:yc resource-manager folder add-access-binding <имя_каталога> \ --service-account-name sa-backup-to-s3 \ --role storage.editor \ --folder-name <имя_каталога>Результат:
effective_deltas: - action: ADD access_binding: role_id: storage.editor subject: id: ajeab0cnib1p******** type: serviceAccount
- Создайте сервисный аккаунт
sa-backup-to-s3. Для этого воспользуйтесь методом REST API create для ресурса ServiceAccount или вызовом gRPC API ServiceAccountService/Create. - Назначьте сервисному аккаунту в текущем каталоге роль
storage.editor. Для этого воспользуйтесь методом REST API setAccessBindings для ресурса Folder или вызовом gRPC API FolderService/SetAccessBindings.
Примечание
Чтобы работать с объектами в зашифрованном бакете, у пользователя или сервисного аккаунта вместе с ролью storage.configurer должны быть следующие роли на ключ шифрования:
kms.keys.encrypter— для чтения ключа, шифрования и загрузки объектов;kms.keys.decrypter— для чтения ключа, расшифровки и скачивания объектов;kms.keys.encrypterDecrypter— включает разрешения, предоставляемые ролямиkms.keys.encrypterиkms.keys.decrypter.
Подробнее см. Сервисные роли Yandex Key Management Service.
Создайте статический ключ доступа
-
В консоли управления выберите сервис Identity and Access Management.
-
На панели слева выберите Сервисные аккаунты.
-
Выберите сервисный аккаунт
sa-backup-to-s3. -
На панели сверху нажмите Создать новый ключ и выберите Создать статический ключ доступа.
-
Задайте описание ключа и нажмите Создать.
-
Сохраните полученные идентификатор и секретный ключ — они понадобятся позднее при монтировании бакета.
Внимание
После закрытия диалога значение ключа будет недоступно.
-
Выполните команду:
yc iam access-key create \ --service-account-name sa-backup-to-s3Где
--service-account-name— имя сервисного аккаунта, для которого создается ключ.Результат:
access_key: id: aje726ab18go******** service_account_id: ajecikmc374i******** created_at: "2024-11-28T14:16:44.936656476Z" key_id: YCAJEOmgIxyYa54LY******** secret: YCMiEYFqczmjJQ2XCHMOenrp1s1-yva1******** -
Сохраните идентификатор (
key_id) и секретный ключ (secret) — они понадобятся позднее при монтировании бакета.
Чтобы создать ключ доступа, воспользуйтесь методом REST API create для ресурса AccessKey или вызовом gRPC API AccessKeyService/Create.
Сохраните идентификатор (key_id) и секретный ключ (secret) — они понадобятся позднее при монтировании бакета.
Подготовьте окружение
Установите rclone
-
Установите последнюю версию rclone с помощью команды:
sudo -v ; curl https://rclone.org/install.sh | sudo bashРезультат:
... rclone v1.71.1 has successfully installed. Now run "rclone config" for setup. Check https://rclone.org/docs/ for more details.Подробнее о команде см. в документации rclone.
-
Убедитесь, что утилита rclone установлена:
rclone versionРезультат:
rclone v1.71.1 - os/version: ubuntu 24.04 (64 bit) - os/kernel: 6.14.0-29-generic (x86_64) - os/type: linux - os/arch: amd64 - go/version: go1.25.1 - go/linking: static - go/tags: none
-
Скачайте с сайта производителя архив с утилитой rclone и распакуйте его в удобную для вас папку на локальном компьютере.
-
Добавьте папку с утилитой в переменную
PATHдля доступа к ней из любого места в командной строке. Для этого:- Нажмите Пуск и в строке поиска Windows введите Изменение системных переменных среды.
- Справа снизу нажмите Переменные среды....
- В открывшемся окне найдите параметр
PATHи нажмите Изменить. - Добавьте путь к папке в список.
- Нажмите ОК.
-
Убедитесь, что утилита rclone установлена:
rclone versionРезультат:
rclone v1.71.1 - os/version: Microsoft Windows 10 Pro 22H2 22H2 (64 bit) - os/kernel: 10.0.19045.4046 (x86_64) - os/type: windows - os/arch: amd64 - go/version: go1.25.1 - go/linking: static - go/tags: cmount
Настройте подключение к Object Storage
-
Запустите конфигурацию утилиты rclone, выполнив команду:
rclone config -
Следуя запросам приложения, создайте новый профиль подключения:
- Выберите создание нового профиля: введите в терминал значение
n. - Введите имя подключения, например,
yandex-s3. - Выберите тип хранилища: введите в терминал значение
4(Amazon S3 Compliant Storage). - Выберите провайдера: введите в терминал значение
1(Amazon Web Services S3). - Выберите ручной способ ввода учетных данных: введите в терминал значение
1. - Введите в терминале идентификатор секретного ключа, полученный ранее.
- Введите в терминале значение секретного ключа, полученное ранее.
- Укажите регион: введите в терминал значение
kz1. - Укажите эндпоинт: введите в терминал значение
storage.yandexcloud.kz. - Остальные настройки можно оставить по умолчанию — нажмите Enter, чтобы их пропустить, и на последнем пункте выберите
q(Quit config).
Примечание
При необходимости вы можете выполнить расширенную настройку подключения. Для этого на шаге
Edit advanced config?введите в терминалеy. Подробнее с расширенными настройками можно ознакомиться в документации утилитыrclone.Также возможна настройка подключений через ручное редактирование файла конфигурации
rclone.conf. Расположение файла конфигурации можно узнать, выполнив команду:rclone config file - Выберите создание нового профиля: введите в терминал значение
-
Проверьте подключение к бакету, выполнив команду:
rclone ls <имя_подключения>:<имя_бакета>Если конфигурация настроена правильно, в терминал будет выведен список объектов бакета.
Синхронизируйте локальный каталог с бакетом
Чтобы завершить настройку резервного копирования, настройте ручную или автоматическую синхронизацию локального каталога с бакетом.
Примечание
Файлы, удаленные из локального каталога, будут удалены также и из бакета. Если вы не хотите, чтобы файлы удалялись из бакета при их удалении из локального каталога — вместо команды sync используйте команду copy.
Ручная синхронизация
Для разовой синхронизации выполните команду:
rclone sync <путь_к_локальному_каталогу> <имя_подключения>:<имя_бакета>
Где sync — команда для точного копирования, включая удаление файлов из бакета при их удалении из локального каталога. Чтобы копировать файлы без удаления, используйте команду copy.
Для разовой синхронизации выполните команду:
rclone sync <путь_к_локальному_каталогу> <имя_подключения>:<имя_бакета>
Где sync — команда для точного копирования, включая удаление файлов из бакета при их удалении из локального каталога. Чтобы копировать файлы без удаления, используйте команду copy.
Совет
Чтобы каждый раз не запускать команду, можно создать BAT-файл:
-
Откройте Блокнот (Notepad) и добавьте следующее содержимое:
@echo off rclone sync <путь_к_локальному_каталогу> <имя_подключения>:<имя_бакета>Где
sync— команда для точного копирования, включая удаление файлов из бакета при их удалении из локального каталога. Чтобы копировать файлы без удаления, используйте командуcopy. -
Сохраните файл, например, как
sync_to_s3.bat. -
Чтобы синхронизировать каталоги, запустите BAT-файл.
Автоматическая синхронизация
Для автоматической синхронизации локального каталога с бакетом:
-
Убедитесь, что у пользователя, от имени которого будет ставиться задание в
cron, есть доступ к локальному каталогу. -
Откройте файл планировщика текущего пользователя, выполнив команду:
crontab -e -
Добавьте в файл строку для автоматической синхронизации, например, каждые 10 минут:
*/10 * * * * rclone sync <путь_к_локальному_каталогу> <имя_подключения>:<имя_бакета> --log-file=<путь_к_файлу_логов>Где:
sync— команда для точного копирования, включая удаление файлов из бакета при их удалении из локального каталога. Чтобы копировать файлы без удаления, используйте командуcopy.--log-file— опциональный параметр для записи логов. Указывайте полный путь.
Примечание
Указывайте полный абсолютный путь к каталогам без
~. Например:/home/user/.
Задание будет запускаться с заданной периодичностью и выполнять синхронизацию каталогов.
Для автоматической синхронизации настройте задачу в Планировщике задач:
-
Откройте Планировщик задач Windows:
- Пуск → Планировщик задач.
- Или выполните в Выполнить →
taskschd.msc.
-
Нажмите Создать задачу... (Create Task…)
-
Во вкладке Действия (Actions) добавьте новое действие, указав абсолютный путь до исполняемого скрипта (например, BAT-файла) в поле Программа или сценарий.
-
Во вкладке Триггеры добавьте расписание.
-
Нажмите OK.
Как удалить созданные ресурсы
Чтобы перестать платить за созданные ресурсы:
- Удалите объекты из бакета.
- Удалите бакет.