Proxmox Backup Server : comment sauvegarder vos VMs, LXC et serveurs Linux

Qu'est-ce que Proxmox Backup Server ?

Proxmox Backup Server (PBS) est une solution de sauvegarde open source éditée par Proxmox Server Solutions. Contrairement à ce que son nom laisse penser, PBS ne se limite pas à l'environnement Proxmox VE : c'est un serveur de sauvegarde généraliste capable de recevoir des sauvegardes depuis n'importe quel hôte Linux, qu'il soit physique ou virtuel.

PBS repose sur un modèle client-serveur. Le serveur PBS héberge les datastores (répertoires de stockage chiffrés et dédupliqués). Le client PBS tourne sur la machine à sauvegarder et envoie les données vers le serveur via une connexion TLS authentifiée par empreinte de certificat (fingerprint).

Comment PBS fonctionne en interne

Sauvegardes incrémentielles basées sur les blocs

La première sauvegarde d'une source est complète. Les suivantes sont incrémentielles : seuls les blocs qui ont changé depuis la dernière sauvegarde sont transférés. PBS maintient un index de blocs (fichiers .didx ou .fidx) pour chaque snapshot, ce qui lui permet de reconstruire n'importe quel point de restauration à partir de la chaîne de blocs, sans avoir à conserver des sauvegardes complètes régulières.

En pratique, une VM de 40 Go qui change peu d'un jour à l'autre ne génère que quelques centaines de Mo de transfert lors de la sauvegarde quotidienne.

Déduplication globale au datastore

PBS utilise un chunk store : chaque bloc de données est haché (SHA-256) et stocké une seule fois sur le disque, quel que soit le nombre de snapshots ou de machines qui le contiennent. Si deux VMs partagent le même OS de base, les blocs identiques ne sont stockés qu'une seule fois.

En conditions réelles, la déduplication réduit l'espace consommé de 60 à 80 % par rapport à la taille brute des disques sauvegardés. Une infrastructure de 10 VMs totalisant 400 Go de disques peut tenir dans 80 à 160 Go de stockage réel.

Chiffrement côté client (E2E)

PBS propose un chiffrement côté client optionnel via AES-256-GCM. La clé est générée sur la machine cliente et n'est jamais transmise au serveur. Le serveur stocke des blocs chiffrés opaques — il est techniquement impossible pour l'opérateur du serveur de lire vos données.

Le fingerprint du certificat TLS garantit l'authenticité du serveur cible et protège contre les attaques de type man-in-the-middle.

Vérification d'intégrité et prune automatiques

PBS intègre une tâche de vérification qui recalcule les checksums des blocs stockés et signale toute corruption. La politique de prune (rétention) est configurable par datastore ou par job : par exemple, conserver les 7 derniers snapshots quotidiens, 4 hebdomadaires et 3 mensuels. Les snapshots hors politique sont supprimés automatiquement.

Ce que PBS peut sauvegarder

PBS supporte trois types de sources :

• VMs QEMU et conteneurs LXC Proxmox VE — intégration native, aucune installation supplémentaire requise sur les machines virtualisées.
• Hôtes Linux via le client PBS — n'importe quel serveur Debian, Ubuntu, RHEL, AlmaLinux ou autre distribution compatible peut installer proxmox-backup-client et sauvegarder ses disques, répertoires ou fichiers vers un datastore distant.
• Arborescences de fichiers — le client peut cibler des répertoires spécifiques (/home, /etc, /var/www…) sans sauvegarder tout le disque.

Sauvegarder Proxmox VE vers un PBS distant

Prérequis

• Un serveur PBS accessible en réseau (autohébergé ou managé comme chez RDG-NETWORK)
• Proxmox VE 6.3 ou supérieur
• URL du serveur, port 8007, nom du datastore, identifiants PBS (utilisateur + mot de passe ou token API), fingerprint du certificat TLS

Ajouter le PBS comme stockage dans Proxmox VE

Depuis l'interface Proxmox VE :

1. Aller dans Datacenter → Storage → Add → Proxmox Backup Server
2. Renseigner l'ID (nom local du stockage), le serveur (hostname ou IP), le datastore
3. Coller le Fingerprint du certificat TLS du serveur PBS (disponible dans Dashboard → Show Fingerprint sur le PBS)
4. Entrer les identifiants : utilisateur PBS au format user@pbs et mot de passe ou token API
5. Valider — le stockage apparaît immédiatement dans la liste et est utilisable comme destination

Configurer un job de backup automatique

Dans Datacenter → Backup → Add, choisissez :

• Le stockage PBS comme destination
• Le mode snapshot (recommandé — la VM continue de tourner pendant la sauvegarde)
• La compression zstd (meilleur compromis vitesse/taux de compression)
• Le chiffrement optionnel si vous souhaitez une protection E2E des données
• La planification cron et la liste des VMs/LXC à inclure

Sauvegarder n'importe quel serveur Linux avec le client PBS

C'est la fonctionnalité la moins connue de PBS. Le client en ligne de commande proxmox-backup-client peut être installé sur n'importe quel hôte Linux 64 bits sans nécessiter Proxmox VE — un serveur dédié bare-metal, un VPS chez un autre hébergeur, un Raspberry Pi, une VM KVM standalone : tout hôte Linux peut sauvegarder vers votre datastore PBS.

Installation sur Debian 12 (Bookworm)

# Ajouter le dépôt Proxmox Backup Client
echo "deb http://download.proxmox.com/debian/pbs-client bookworm main"   > /etc/apt/sources.list.d/pbs-client.list

wget -qO- https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg   | apt-key add -

apt update && apt install proxmox-backup-client

Pour Ubuntu 22.04 (Jammy), remplacez bookworm par jammy. Pour Ubuntu 24.04 (Noble), utilisez noble.

Première sauvegarde de répertoires

proxmox-backup-client backup   home.pxar:/home   etc.pxar:/etc   --repository utilisateur@pbs@pbs.rdg-network.fr:mon-datastore

Le format .pxar est une archive POSIX spécifique à PBS, optimisée pour la déduplication et supportant les métadonnées Linux complètes (permissions, ACL, attributs étendus, liens symboliques).

Sauvegarder une image disque entière

proxmox-backup-client backup   disk.img.fidx:/dev/sda   --repository utilisateur@pbs@pbs.rdg-network.fr:mon-datastore

Le format .fidx est utilisé pour les images disque brutes. PBS lit le disque bloc par bloc et ne transfère que les blocs nouveaux ou modifiés depuis la dernière sauvegarde.

Activer le chiffrement côté client

# Générer une clé de chiffrement locale
proxmox-backup-client key create ~/.config/proxmox-backup/encryption-key.json

# Sauvegarder avec chiffrement E2E
proxmox-backup-client backup   home.pxar:/home   etc.pxar:/etc   --repository utilisateur@pbs@pbs.rdg-network.fr:mon-datastore   --keyfile ~/.config/proxmox-backup/encryption-key.json

Important : conservez votre clé de chiffrement en lieu sûr (coffre-fort de mots de passe, backup hors ligne chiffré). Sans elle, vos sauvegardes sont irrecouvrables — même pour l'opérateur du serveur PBS.

Restauration granulaire d'un fichier

# Lister les snapshots disponibles
proxmox-backup-client list   --repository utilisateur@pbs@pbs.rdg-network.fr:mon-datastore

# Restaurer un fichier précis depuis un snapshot donné
proxmox-backup-client restore   home.pxar   /home/alice/document-important.pdf   /tmp/restauration/   --repository utilisateur@pbs@pbs.rdg-network.fr:mon-datastore   --snapshot host/mon-serveur/2025-04-01T02:00:00Z

PBS permet de restaurer un fichier unique sans télécharger tout le snapshot — la restauration granulaire est native, sans outil tiers.

Configurer la rétention (prune)

Pour supprimer automatiquement les anciens snapshots selon une politique de rétention :

proxmox-backup-client prune   --repository utilisateur@pbs@pbs.rdg-network.fr:mon-datastore   --backup-type host   --backup-id mon-serveur   --keep-daily 7   --keep-weekly 4   --keep-monthly 3

Cette commande conserve les 7 derniers snapshots quotidiens, les 4 hebdomadaires et les 3 mensuels, et supprime les autres. Côté serveur PBS managé, la même politique peut être configurée depuis l'interface web et s'applique automatiquement.

Automatiser avec un timer systemd

Pour une sauvegarde quotidienne automatique via systemd :

# /etc/systemd/system/pbs-backup.service
[Unit]
Description=Sauvegarde PBS quotidienne

[Service]
Type=oneshot
ExecStart=proxmox-backup-client backup   home.pxar:/home   etc.pxar:/etc   --repository utilisateur@pbs@pbs.rdg-network.fr:mon-datastore

# /etc/systemd/system/pbs-backup.timer
[Unit]
Description=Sauvegarde PBS — tous les jours à 2h

[Timer]
OnCalendar=*-*-* 02:00:00
Persistent=true

[Install]
WantedBy=timers.target

systemctl enable --now pbs-backup.timer
# Vérifier que le timer est actif
systemctl status pbs-backup.timer

PBS managé vs auto-hébergé : que choisir ?

Déployer PBS soi-même nécessite du matériel dédié (NAS, baies RAID, disques redondants), la gestion des mises à jour PBS, la surveillance de l'état des disques et la planification des montées en capacité. C'est une charge opérationnelle réelle, surtout si la disponibilité de vos sauvegardes est critique.

Avec une offre PBS managée, vous utilisez exactement le même logiciel, la même interface, les mêmes commandes client — mais le matériel, le RAID 6, la surveillance 24/7 et la maintenance sont pris en charge côté hébergeur. Vous payez uniquement le stockage consommé, sans investissement initial ni mauvaise surprise en cas de panne disque.

Découvrez notre offre PBS managé RDG-NETWORK — datastores disponibles dès 2,49 €/mois HT, livrés en quelques minutes, sans engagement.