PBS Sync Tuxis: en este artículo sincronizo mi Proxmox Backup Server local con el PBS de Tuxis para tener copia offsite y un 3-2-1 práctico en homelab.
En el primer artículo montamos el camino más directo: Proxmox VE mandando backups directamente al PBS de Tuxis. Eso ya te da una copia offsite y te quita muchos sustos.
Pero si en casa quieres restaurar rápido, no depender de Internet y además mantener una copia offsite, el enfoque bueno es otro: PBS local como destino principal y PBS Sync Tuxis para replicar esa copia hacia fuera. Aquí es donde el backup deja de ser “tengo copias” y pasa a ser “tengo estrategia”.
PBS Sync Tuxis: arquitectura y 3-2-1
La regla 3-2-1 dice que deberías tener tres copias de los datos, en dos medios distintos, y al menos una copia fuera (offsite). En homelab es típico pensar que “con PBS ya está”, pero si ese PBS está en el mismo sitio que tu Proxmox, cuando tienes un problema serio te puede caer todo a la vez.
Con PBS local + copia offsite en Tuxis ya lo tienes bastante redondo: producción en Proxmox, copia local en PBS y copia fuera en Tuxis.
Arquitectura del flujo que vamos a montar:
Proxmox VE → backups a PBS local → Sync job (PUSH) → PBS en Tuxis (FLXXXXX_FRIO)
Requisitos
Necesitas un Proxmox Backup Server local funcionando (en casa o en tu lab). Da igual si lo tienes en una VM, en una máquina pequeña o en un NAS, mientras sea un PBS operativo con su datastore y reciba backups de tu Proxmox VE.
Necesitas tu cuenta de Tuxis y un PBS en el portal con un datastore creado. Si vienes del artículo 1, esto ya lo tienes.
Necesitas conectividad desde tu PBS local hacia el PBS de Tuxis (puerto 8007). Si tu salida es limitada, no pasa nada: lo ajustamos con ventana y concurrencia.
Para el lab he tirado de la cuenta free del portal de Tuxis (150 GB), suficiente para validar el flujo de sync, verify y restore sin montar nada adicional.
Paso 1: dejar bien el PBS local (lo mínimo)
Antes de sincronizar nada, asegúrate de que el PBS local está recibiendo backups y que el datastore tiene datos. La sincronización solo tiene sentido cuando el PBS local ya funciona y ya retienes backups ahí.
Paso 2: preparar el lado Tuxis para recibir la sincronización
En el portal de Tuxis, crea el servicio de PBS y el datastore que va a recibir la copia offsite.
No lo llames “datastore1”. Llámalo con sentido, porque cuando tengas varios, te vas a acordar de mí.
Paso 3: decidir el enfoque: Push Sync o Pull Sync
En PBS Sync Tuxis puedes hacerlo de dos formas: push (tu PBS local empuja a Tuxis) o pull (Tuxis tira desde su lado). En homelab suele encajar mejor push porque controlas ventana y carga, pero si prefieres simplicidad, el pull puede ser cómodo.
En este artículo uso PUSH: mi PBS local empuja al PBS de Tuxis
Paso 4: crear el Remote en tu PBS local apuntando a Tuxis
En tu PBS local crea un “Remote” apuntando al PBS de Tuxis. Esto es decirle: “este es mi destino offsite”.
Vas a necesitar:
Hostname del PBS de Tuxis
Usuario/credencial (mejor token)
Fingerprint (SHA-256)
Ojo porque aquí está el error típico: en Host va el hostname (pbsxxxxx.ede.tuxis.nl). En Auth ID va el token (usuario@pbs!tokenid). No lo mezcles.
Consejo: si fallas aquí, casi siempre es hostname o fingerprint. No hay más misterio.
Yo he sacado el fingerprint desde mi pbs local y lanzando esto:
openssl s_client -connect NOMBRE_PBS_TUXIS.tuxis.nl:8007 -showcerts /dev/null | openssl x509 -noout -fingerprint -sha256
Paso 5: crear el sync job (PBS local → Tuxis) [PUSH]
Ahora creas el sync job:
Origen: datastore local
Destino: datastore en Tuxis
Horario: una hora que no te reviente la subida de casa
Si tu conexión es justa, mejor un horario nocturno y baja concurrencia.
Paso 6: retención y prune (para no liarla)
Esto es donde mucha gente se equivoca.
La idea general es:
Retención “buena” en PBS local (para restaurar rápido y con histórico decente)
Retención “más larga” o “más barata” en offsite, si tu plan lo permite
Lo que no tiene sentido es tener 30 días en local y 2 días en offsite. Offsite es tu red de seguridad.
En PBS puedes usar prune y verify. Lo importante es que entiendas dónde se aplica cada política y no borres lo que no toca.
Paso 7: verify y validación
No te quedes en “el sync terminó OK”. Haz verify y revisa que está todo coherente.
Paso 8: restore test desde Tuxis (sí, también aquí)
Igual que en el artículo 1, aquí hay que probar.
Restauras un contenedor con otro ID desde el PBS de Tuxis o haces una restauración de VM. Lo que sea, pero una restauración real.
Si restauras desde Tuxis, ya has validado el flujo completo: local → sync → offsite → restore.
Problemas comunes
No conecta: revisa red, DNS y puerto 8007 desde tu PBS local hacia Tuxis.
Fingerprint no cuadra: hostname mal o fingerprint copiado de otro endpoint.
401 permisos: token/secret incorrecto.
403 permisos: el usuario/token no tiene permisos sobre el datastore FLXXXX_FRIO.
Sync lento: tu subida manda. Ajusta ventana, horario y limitación de tasa si hace falta.
Checklist final
PBS Sync Tuxis está configurado y el sync job copia snapshots al datastore de Tuxis.
El PBS de Tuxis tiene datastore listo.
Tengo remote configurado desde PBS local hacia Tuxis.
El sync job ejecuta y copia snapshots.
Verify pasa en local y offsite.
He hecho restore test desde offsite.
Espero que os sirva.