pet-project-server/docs/adr/ADR-2026-06-22-restic-intelligent-tiering-phases.md

# Разнесение restic-операций на фазы под Intelligent Tiering

- Дата: 2026-06-22

## Контекст

Бэкапы restic уже лежат в Yandex Object Storage на стандартном классе
хранения (STANDARD). Yandex выпустил класс «Умное хранилище» (Intelligent
Tiering, IT): объекты автоматически охлаждаются до архивного уровня
(примерно 0,63 ₽/ГБ против 2,38 ₽/ГБ у STANDARD) с сохранением мгновенного
доступа на всех уровнях (анонс:
<https://yandex.cloud/ru/blog/s3-intelligent-tiering>). Данные restic — это
профиль «записал один раз, читаю редко», то есть идеальный кандидат на
охлаждение. Цель — перевести уже лежащие бэкапы со STANDARD на IT и
сэкономить на хранении.

Проблема в том, что любой repack/recompress объекта создаёт *новый*
объект, который входит в IT как «Частый доступ» и заново стартует таймер
охлаждения (30 дней → «Нечастый», ещё 90 → «Архивный»). А наш оркестратор
`backup-all.py` гнал каждую ночь связку `backup → check → forget --prune →
check`. Ночной `prune` перепаковывает data-паки → постоянно сбрасывает
охлаждение → отменяет экономию IT. Нужно было перестроить обслуживание
так, чтобы не мешать охлаждению.

Дополнительное ограничение по миграции существующих данных: по докам
Yandex изменение класса бакета **по умолчанию** не трогает уже загруженные
объекты — они остаются в STANDARD, новый класс применяется только к новым
загрузкам. Перевести уже лежащие бэкапы в IT можно lifecycle-правилом или
copy-in-place (`aws s3 cp --storage-class INTELLIGENT_TIERING`); оба
тарифицируются как операция `TRANSITION`. Перезаливка объектов заново для
restic не годится — это churn, эквивалентный репаку. Управления бакетом
(terraform/aws-cli) в проекте нет, так что миграцию пришлось бы делать
вручную или заводить такое управление.

Идентификатор класса подтверждён доками — `INTELLIGENT_TIERING` (Yandex
поддерживает STANDARD, COLD, ICE, INTELLIGENT_TIERING). Остаётся
неподтверждённым только min-retention / штраф за раннее удаление архивного
уровня внутри IT.

## Рассмотренные варианты

- **Отдельные скрипты на репозиторий** (`backup.sh`/`check.sh`/`prune.sh`/
  `verify.sh` + свои cron-записи, как в исходном гайде). Ближе к гайду
  дословно, но теряем оркестратор: авто-дискавери приложений, мультистор
  и единые apprise-уведомления. Плюс 4 независимые cron-записи провоцируют
  наложение операций (долгий `prune` налезает на ночной `backup` →
  конфликт restic-локов). Отвергнут.
- **Адаптировать `backup-all.py`** — добавить фазы и расписание внутрь
  оркестратора, один ночной триггер. Сохраняет всю существующую
  инфраструктуру, фазы идут последовательно в одном процессе → локи не
  конфликтуют. **Выбран.**
- **Расписание: простые knobs** (день недели/число/месяцы как поля
  конфига) **vs cron-выражения через `croniter`**. Knobs — без
  зависимости, но негибко (новая ось → правка кода). Выбран `croniter`:
  пакет ставится из apt (`python3-croniter`) тем же механизмом, что и
  остальное, а гибкость реальная — поменять «раз в квартал» на «раз в
  месяц» = правка одной строки конфига.
- **Storage class сейчас: Вариант A** (`-o s3.storage-class=INTELLIGENT_TIERING`
  в restic) **vs Вариант B** (lifecycle-правило / copy-in-place на бакете)
  **vs отложить.** A влияет только на новые объекты — уже лежащие бэкапы в
  STANDARD так и останутся; B переводит существующие данные, но требует
  завести управление бакетом, которого в проекте нет. **Выбрано отложить**
  до подтверждения min-retention архивного уровня IT.

## Решение

Операции restic в `files/backups/backup-all.py` разнесены на фазы с
разной частотой, потому что у них принципиально разная цена для IT:

- `backup` + `forget` — **каждый прогон**. `forget` теперь **без
  `--prune`**: удаляет только метаданные снапшотов (операция DELETE не
  тарифицируется), не репакует data-паки и не сбивает охлаждение.
- `check` (структурный) — еженедельно; `prune` — квартально; `verify`
  (`check --read-data-subset`) — помесячно. Расписание задано
  cron-выражениями в секции `[schedule]` конфига и вычисляется через
  `croniter`. Триггер один ночной, фазы одного прогона идут
  последовательно в одном процессе → restic-локи между ними не
  конфликтуют. Наложение соседних прогонов гасится `flock -n` в cron.

`prune` тюнингован под IT (`--max-unused 20%`, `--max-repack-size 5G`):
чем меньше холодных паков переписываем, тем дольше держится охлаждение.

Storage class IT и lifecycle на бакете **намеренно отложены**: пока не
подтверждён min-retention архивного уровня IT, transition существующих
данных рискован (возможен штраф за раннее удаление при последующем prune).
Сама миграция уже лежащих бэкапов делается lifecycle-правилом или
copy-in-place с `--storage-class INTELLIGENT_TIERING`, а не сменой
дефолтного класса бакета (та сработает только для новых объектов).
Retention оставлен прежним (`--keep-daily 90 --keep-monthly 36`) — это
решение про охлаждение и частоту операций, а не про глубину истории.

## Последствия

- `+` Ночной prune больше не сбрасывает охлаждение — IT реально экономит
  на архивном уровне.
- `+` Нет наложения restic-операций: последовательные фазы + `flock`.
- `+` Расписание обслуживания меняется правкой конфига, без релиза кода.
- `-` Новая зависимость на сервере: `python3-croniter` (и явно
  зафиксированный `python3-requests`).
- `-` Структурный `check` теперь еженедельный, а не каждую ночь: битый
  бэкап может остаться незамеченным до недели. Для хобби-сервера приемлемо.
- `-` Подвох croniter: при суточном триггере поля минут/часов в
  выражениях декоративны (держим `* *`) — фаза идёт в момент ночного
  прогона, а не во время из выражения.
- Осталось сделать: подтвердить min-retention / штраф за раннее удаление
  архивного уровня IT, затем перевести существующие бэкапы со STANDARD на
  `INTELLIGENT_TIERING` через lifecycle-правило или copy-in-place.