M 2.354 Einsatz einer hochverfügbaren SAN-Konfiguration

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Haben Systeme und Anwendungen, deren Daten im SAN gespeichert werden sollen, einen sehr hoher Schutzbedarf in Bezug auf die Verfügbarkeit aufzuweisen, so muss der Einsatz einer hochverfügbaren SAN-Konfiguration in Betracht gezogen werden.

Der Begriff "hochverfügbar" bezeichnet hier eine hohe Widerstandsfähigkeit gegen Schadensereignisse und wird auch als "Desaster-tolerant" bezeichnet. Bezogen auf die gespeicherten Daten einer Institution bedeutet das, dass mit Hilfe von SAN-Komponenten ein Speichersystem derart aufgebaut wird, dass

Kenngrößen, die anzeigen, ob eine solche Architektur nötig und angemessen ist, sind:

SAN-Speichersysteme sind eine Schlüsseltechnik, um sehr hohe Anforderungen an die Verfügbarkeit der IT zu erfüllen:

Sie können bei Erhalt einer leistungsfähigen Koppelung so weit räumlich getrennt werden, dass auch gegen umfassend wirkende Ereignisse Vorsorge möglich ist.

Die mögliche leistungsfähige Koppelung kann genutzt werden, um den maximalen Datenverlust klein zu halten.

Die maximale Ausfallzeit einer Anwendung kann jedoch nur in geringem Umfang durch die SAN-Konfiguration gesteuert werden. Da die Ausfallzeit ausschließlich aus Sicht der Anwender gemessen werden darf, hängt sie nicht nur von der Verfügbarkeit der gespeicherten Daten ab, sondern genauso von der Verfügbarkeit der übrigen IT-Infrastruktur (Server, Netz, PCs,...), die von SAN-Komponenten mit Daten versorgt werden.

Möglichkeit der Konfiguration

Es existieren verschiedene Möglichkeiten, ein SAN-System hochverfügbar zu konfigurieren.

Spiegelung durch den Server

Die einfachste Möglichkeit des hochverfügbaren SAN-Einsatzes ist dann gegeben, wenn ein Server, der seine Daten auf einem SAN-Speicher ablegt, an ein zweites, räumlich abgesetztes Speichersystem angeschlossen wird.

Jeder Schreibzugriff des Servers wird auf beiden Speichersystemen durchgeführt. Nachteilig an dieser Lösung ist, dass die Konfiguration der Instanz "Speicher" wiederum teilweise auf dem Server stattfindet.

Damit findet wieder Administration am einzelnen Server statt. Ein Vorteil eines zentralen Speichersystems an dem auch zentral administriert werden kann, wird so verschenkt. Zudem muss die Verkabelung komplexer angelegt werden, da jeder Server mit beiden Speichersystemen verbunden wird. Vereinfacht dargestellt muss in Ergänzung der Verbindung zwischen Server und Speichersystem eine zweite Leitung von Server direkt zum abgesetzt stationierten zweiten Speichersystem verlegt werden.

Replikation

Replikation kann durch den Server oder durch das Speichersystem erfolgen.

Server-basierte Replikation wird in der Regel über eine eigene Software, die Applikation oder das Betriebssystem realisiert. Allerdings geht dieser Ansatz meistens mit einer hohen Belastung von CPU, Hauptspeicher und Bandbreite einher.

Bei der Replikation durch das Speichersystem werden die Server mit einem Speichersystem verbunden, dieses Speichersystem gleicht seinen Datenbestand komplett oder entsprechend seiner Konfiguration mit einem weiteren Speichersystem in einem abgesetzten Standort ab.

Wenn die Standorte nah genug beieinander liegen, ist synchrone Datenreplikation möglich. "Synchrone Datenreplikation" bedeutet, dass jeder Schreibzugriff des Servers von seiner direkt angeschlossenen Speicherplatte erst dann als fertig gemeldet wird, wenn das zweite, abgesetzte Speichersystem dem ersten Speichersystem das erfolgreiche Schreiben bestätigt hat.

Damit werden Festplattenzugriffe aus Sicht des Servers langsamer, da zwei Plattensysteme schreiben und weil die Signallaufzeit zwischen dem Speichersystem in Standort A und dem in Standort B hinzukommt.

Bei der asynchronen Datenreplikation sorgt besondere Replikationssoftware auf den Speichersystemen dafür, dass das Speichersystem in Standort A seine veränderten Daten regelmäßig an das Speichersystem in Standort B übermittelt.

Damit hat der Server ein ungebremstes Speichersystem zugeordnet. Ein weiterer Vorteil an der Stelle ist, dass eine Behörde bzw. ein Unternehmen nicht mehr gezwungen ist, die exakt identischen Speichersysteme für die Notfallvorsorge an zwei Orten bereit zu halten. Am Hauptstandort kommt dann ein hochleistungsfähiges System zum Einsatz. Am zweiten Standort kann dagegen ein günstigeres System installiert werden, so dass dennoch die Hauptaufgaben in einem Notfallszenario gewährleistet werden.

Der Nachteil bei der asynchronen Replikation ist, dass das zweite Speichersystem stets einen älteren Datenbestand hat. Wie groß der Datenverlust bei Ausfall des primären Systems ist, hängt von der eingesetzten Technik ab.

Synchrone Datenreplikation von Speichersystemen ist nur dann sinnvoll, wenn auch redundante Serversysteme bereitstehen, die den Betrieb direkt weiterführen können. Ein Szenario, bei dem an einem Standort das Speichersystem komplett ausfällt, die angeschlossenen Server und Netzkomponenten aber nicht (z. B. die des SAN), ist eher selten.

Bei der Planung einer hochverfügbaren SAN-Konfiguration muss zunächst das gesamte Notfallvorsorge-Konzept für die IT der Institution geprüft werden. Die Verfügbarkeitsanforderungen an das SAN und die angeschlossenen Server müssen schriftlich festgelegt werden.

Angepasst an die Anforderungen und Risikopolitik der Institution ist die Planung eines hochverfügbaren SANs nur der erste Schritt in Richtung Hochverfügbarkeit. Gleichzeitig muss eine passende Planung der Weiterentwicklung der gesamten IT-Umgebung und der Notfallplanung für die Institution erfolgen.

Ein hochverfügbares SAN ist nur dann sinnvoll, wenn auch Server für den Wiederanlauf bereitstehen und wenn die Anwender an intakten Arbeitsplätzen über ein funktionierendes Netz auf die Daten zugreifen können.

Es ist zu beachten, dass ein hochverfügbares SAN um ein Test- und Konsolidierungssystem ergänzt werden muss. Konfigurationsänderungen und Software-Updates dürfen bei Aufbau einer hochverfügbaren Konfiguration nie direkt am produktiven System vorgenommen werden. Von der Institution sind Systeme vorzuhalten, an denen sämtliche Änderungen getestet werden können. Nur so lässt sich sicherstellen, dass der Betrieb nicht durch administrative Eingriffe gefährdet wird.

Ergänzende Kontrollfragen: