M 2.354 Einsatz einer hochverfügbaren SAN-Konfiguration
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT
Haben Systeme und Anwendungen, deren Daten im SAN gespeichert werden sollen, einen sehr hoher Schutzbedarf in Bezug auf die Verfügbarkeit aufzuweisen, so muss der Einsatz einer hochverfügbaren SAN-Konfiguration in Betracht gezogen werden.
Der Begriff "hochverfügbar" bezeichnet hier eine hohe Widerstandsfähigkeit gegen Schadensereignisse und wird auch als "Desaster-tolerant" bezeichnet. Bezogen auf die gespeicherten Daten einer Institution bedeutet das, dass mit Hilfe von SAN-Komponenten ein Speichersystem derart aufgebaut wird, dass
- alle Daten an zwei Standorten vorgehalten werden,
- die SAN-Komponenten in den beiden Standorten gekoppelt, aber nicht abhängig voneinander sind
- ein Schadenereignis an einem Standort die Funktionalität der Komponenten am zweiten Standort nicht gravierend beeinträchtigt.
Kenngrößen, die anzeigen, ob eine solche Architektur nötig und angemessen ist, sind:
- Die maximale Wiederanlaufzeit (engl. oft RTO: recovery time objective) gibt die Zeitspanne an, die vergehen darf, bis nach einem Schadensereignis IT-Systeme wieder in hinreichender Funktionalität zur Unterstützung von Geschäftsabläufen zur Verfügung stehen.
- Der maximal tolerierbare Datenverlust (engl. oft RPO: recovery point objective): Aus dem Alter des letzten verfügbaren konsistenten Datenbestandes lässt sich die Menge an "verloren gegangener Arbeit" nach dem Eintritt eines Schadensereignisses bemessen. Der maximal tolerierbare Datenverlust beschreibt im Grunde die Menge oder auch Komplexität an Arbeit, die mit einem für die Institution noch tragbaren Aufwand aufgeholt werden kann.
- Das betroffene Umfeld umfasst den räumlichen Umfang des Schadensereignisses. Nur wenn ein Standort mit seinen Systemen außerhalb der Wirkung des Ereignisses liegt, bleibt er nützlich.
SAN-Speichersysteme sind eine Schlüsseltechnik, um sehr hohe Anforderungen an die Verfügbarkeit der IT zu erfüllen:
Sie können bei Erhalt einer leistungsfähigen Koppelung so weit räumlich getrennt werden, dass auch gegen umfassend wirkende Ereignisse Vorsorge möglich ist.
Die mögliche leistungsfähige Koppelung kann genutzt werden, um den maximalen Datenverlust klein zu halten.
Die maximale Ausfallzeit einer Anwendung kann jedoch nur in geringem Umfang durch die SAN-Konfiguration gesteuert werden. Da die Ausfallzeit ausschließlich aus Sicht der Anwender gemessen werden darf, hängt sie nicht nur von der Verfügbarkeit der gespeicherten Daten ab, sondern genauso von der Verfügbarkeit der übrigen IT-Infrastruktur (Server, Netz, PCs,...), die von SAN-Komponenten mit Daten versorgt werden.
Möglichkeit der Konfiguration
Es existieren verschiedene Möglichkeiten, ein SAN-System hochverfügbar zu konfigurieren.
Spiegelung durch den Server
Die einfachste Möglichkeit des hochverfügbaren SAN-Einsatzes ist dann gegeben, wenn ein Server, der seine Daten auf einem SAN-Speicher ablegt, an ein zweites, räumlich abgesetztes Speichersystem angeschlossen wird.
Jeder Schreibzugriff des Servers wird auf beiden Speichersystemen durchgeführt. Nachteilig an dieser Lösung ist, dass die Konfiguration der Instanz "Speicher" wiederum teilweise auf dem Server stattfindet.
Damit findet wieder Administration am einzelnen Server statt. Ein Vorteil eines zentralen Speichersystems an dem auch zentral administriert werden kann, wird so verschenkt. Zudem muss die Verkabelung komplexer angelegt werden, da jeder Server mit beiden Speichersystemen verbunden wird. Vereinfacht dargestellt muss in Ergänzung der Verbindung zwischen Server und Speichersystem eine zweite Leitung von Server direkt zum abgesetzt stationierten zweiten Speichersystem verlegt werden.
Replikation
Replikation kann durch den Server oder durch das Speichersystem erfolgen.
Server-basierte Replikation wird in der Regel über eine eigene Software, die Applikation oder das Betriebssystem realisiert. Allerdings geht dieser Ansatz meistens mit einer hohen Belastung von CPU, Hauptspeicher und Bandbreite einher.
Bei der Replikation durch das Speichersystem werden die Server mit einem Speichersystem verbunden, dieses Speichersystem gleicht seinen Datenbestand komplett oder entsprechend seiner Konfiguration mit einem weiteren Speichersystem in einem abgesetzten Standort ab.
Wenn die Standorte nah genug beieinander liegen, ist synchrone Datenreplikation möglich. "Synchrone Datenreplikation" bedeutet, dass jeder Schreibzugriff des Servers von seiner direkt angeschlossenen Speicherplatte erst dann als fertig gemeldet wird, wenn das zweite, abgesetzte Speichersystem dem ersten Speichersystem das erfolgreiche Schreiben bestätigt hat.
Damit werden Festplattenzugriffe aus Sicht des Servers langsamer, da zwei Plattensysteme schreiben und weil die Signallaufzeit zwischen dem Speichersystem in Standort A und dem in Standort B hinzukommt.
Bei der asynchronen Datenreplikation sorgt besondere Replikationssoftware auf den Speichersystemen dafür, dass das Speichersystem in Standort A seine veränderten Daten regelmäßig an das Speichersystem in Standort B übermittelt.
Damit hat der Server ein ungebremstes Speichersystem zugeordnet. Ein weiterer Vorteil an der Stelle ist, dass eine Behörde bzw. ein Unternehmen nicht mehr gezwungen ist, die exakt identischen Speichersysteme für die Notfallvorsorge an zwei Orten bereit zu halten. Am Hauptstandort kommt dann ein hochleistungsfähiges System zum Einsatz. Am zweiten Standort kann dagegen ein günstigeres System installiert werden, so dass dennoch die Hauptaufgaben in einem Notfallszenario gewährleistet werden.
Der Nachteil bei der asynchronen Replikation ist, dass das zweite Speichersystem stets einen älteren Datenbestand hat. Wie groß der Datenverlust bei Ausfall des primären Systems ist, hängt von der eingesetzten Technik ab.
Synchrone Datenreplikation von Speichersystemen ist nur dann sinnvoll, wenn auch redundante Serversysteme bereitstehen, die den Betrieb direkt weiterführen können. Ein Szenario, bei dem an einem Standort das Speichersystem komplett ausfällt, die angeschlossenen Server und Netzkomponenten aber nicht (z. B. die des SAN), ist eher selten.
Bei der Planung einer hochverfügbaren SAN-Konfiguration muss zunächst das gesamte Notfallvorsorge-Konzept für die IT der Institution geprüft werden. Die Verfügbarkeitsanforderungen an das SAN und die angeschlossenen Server müssen schriftlich festgelegt werden.
Angepasst an die Anforderungen und Risikopolitik der Institution ist die Planung eines hochverfügbaren SANs nur der erste Schritt in Richtung Hochverfügbarkeit. Gleichzeitig muss eine passende Planung der Weiterentwicklung der gesamten IT-Umgebung und der Notfallplanung für die Institution erfolgen.
Ein hochverfügbares SAN ist nur dann sinnvoll, wenn auch Server für den Wiederanlauf bereitstehen und wenn die Anwender an intakten Arbeitsplätzen über ein funktionierendes Netz auf die Daten zugreifen können.
Es ist zu beachten, dass ein hochverfügbares SAN um ein Test- und Konsolidierungssystem ergänzt werden muss. Konfigurationsänderungen und Software-Updates dürfen bei Aufbau einer hochverfügbaren Konfiguration nie direkt am produktiven System vorgenommen werden. Von der Institution sind Systeme vorzuhalten, an denen sämtliche Änderungen getestet werden können. Nur so lässt sich sicherstellen, dass der Betrieb nicht durch administrative Eingriffe gefährdet wird.
Prüffragen:
- Ist sichergestellt, dass ein Schadenereignis an einem Standort die Funktionalität der SAN -Komponenten am anderen Standort nicht beeinträchtigt?
- Ist das Notfallvorsorge-Konzept der Organisation in die Planung der hochverfügbaren SAN -Konfiguration mit einbezogen?
- Existiert zum hochverfügbaren SAN -System ein Test- und Konsolidierungssystem für Konfigurationsänderungen und Software-Updates?