Sichere Datenhaltung mit Linux

A
Sichere Datenhaltung mit Linux
IT Beratung
Sichere Datenhaltung mit Linux
Whitepaper
zur angebotenen Enterprise-Storage Lösung
Certasys
auf der Basis von SAN und Veritas
Der inzwischen unvermeidbar hohe IT-Einsatz im modernen Unternehmen führt
auch zur unvermeidlichen Abhängigkeit von einer funktionierenden IT-Infrastruktur. Bisher am Markt erhältliche Lösungen trennen sich relativ deutlich in den
Home / SOHO und den Enterprise / Mission-Critical Bereich. Ersterer erfüllt nicht
die Ansprüche eines hochverfügbaren Betriebs, Letzterer glänzt durch hohe
Preise und Komplexität. Die hier beschriebene Linux-basierte Lösung orientiert
sich am gängigen Status Quo im Rechenzentrum und bleibt trotzdem
erschwinglich.
1. Die Anforderungen
Damit eine Storage Lösung im Unternehmen nicht nur kurzfristig, sondern auch strategisch einsetzbar ist,
sind einige Anforderungen an deren Architektur zu stellen. Diese variieren stark mit dem Einsatz- und
dem Geschäftsbereich. Im Allgemeinen werden hier genannt: Verfügbarkeit, Sicherheit, Managebarkeit,
Skalierbarkeit, Zukunftssicherheit und Wirtschaftlichkeit. Jede IT-Leitung muss diese Anforderungen individuell und flexibel an der Unternehmenssituation ausgerichtet mit Leben füllen. Dennoch sollen hier beispielhaft einige allgemeine Ansprüche an diese Bereiche genannt werden:
1.1. Verfügbarkeit (Availability)
Mitarbeiter die nicht produktiv arbeiten können, oder verärgerte Kunden sind die Folgen ausgefallener
Systeme. Nicht nur Systemstörungen zählen hierbei zu den Ursachen der Nichtverfügbarkeit, auch geplante und ungeplante Systemwartungen sind zu berücksichtigen. Der Wunsch oder die oft versprochene
100-prozentige Verfügbarkeit sind jedoch eine Utopie. Vielmehr muss man eine Entscheidung auf ökonomischer Kosten und Anforderungsbasis treffen und immer das gesamte IT-System inkl. aller beteiligter
Komponenten (Server, Software, Netzwerk, etc.) betrachten.
Die Anforderungen
Seite 1 von 8
© 2005 Schürer IT Beratung • Version 1.0
A
Sichere Datenhaltung mit Linux
IT Beratung
Eine sinnvolle prozentuale Verfügbarkeit lässt sich oft nur schwer festlegen. Wichtiger ist eine maximale
Ausfall- und Wiederherstellungszeit bezogen auf die eigenen Geschäftszeiten zu definieren. Prinzipiell
können nur hoch-fehlertolerante Systeme (z.B. die ausgelaufene Sun Netra ft) oder redundant ausgelegte
Systeme Anforderungen jenseits der 99% erfüllen. Auch der beste und teuerste Service kann kaum binnen
zweier Stunden eine Reparatur gewährleisten. Manuelle oder automatisierte Cluster, sowie Cold- oder
Hot-Standby Lösungen sind hier das Mittel der Wahl. Ausfallzeiten unter einer Stunde sind nur von hochautomatisierten Clusterlösungen zu erwarten.
Sollte ein Geschäftsmodell eine ständige Verfügbarkeit benötigen (die berühmten five-9 (99,999%)), wie
z.B. von vielen Network Operators (Telcos) gefordert, so kann dies sicher nur durch parallel laufende
Hot-Hot Lösungen erreicht werden. Trotz allem sollte man immer einen technik-freien (technik-armen)
Notfallplan für den K-Fall in der Hinterhand haben.
1.2. Sicherheit (Data Protection)
Mit Sicherheit im Sinne der Datenhaltung ist hier nicht der Schutz vor unbefugtem Zugriff, sondern die
Vermeidung eines Datenverlustes gemeint. Je stärker elektronisch gespeicherte Daten zum Kapital eines
Unternehmens bzw. zu dessen Geschäftsbetrieb beitragen, desto höher ist dieser Bereich zu bewerten.
Auch die teuersten technischen Systeme können Schäden erleiden (Brand, Wasserschaden, Überspannung, versteckte Systemfehler) und tun dies auch. Zusätzlich ist zu bemerken, dass auch das redundanteste System nicht vor einem Administrationsfehler schützt. Auch redundante Daten lassen sich
binnen Sekundenbruchteilen löschen. Zu fordern ist also:
✗
Eine hohe Redundanz, d.h. keine Single-Point-of-Failure (SPOF) im Gesamtsystem und eine
Kopie der Daten über baulich getrennte Bereiche (Brandschutzabschnitte). Wie weit diese
bauliche Trennung vorgenommen wird und wie viele separate Kopien gehalten werden,
muss von der Wiederbeschaffbarkeit der Daten und deren Wert abhängig gemacht
werden (man denke als Beispiel an Kontodaten eines Bankhauses).
✗
Ein automatisiertes Backup mit mehreren Versionsständen um versehentliches Löschen
und Verändern von Daten rückgängig machen zu können. Die Backupfrequenz muss entsprechend sinnvoll gewählt werden.
Da die Datenvolumina wachsen, ohne dass Backup-Zeitfenster größer werden, verlieren die Bänder-basierten Backup-Lösungen langsam an Boden gegen Platten-basierte (tapeless) Lösungen, die zudem inzwischen manchmal sogar preisgünstiger sind, als große Robotersysteme.
Seite 2 von 8
Die Anforderungen
© 2005 Schürer IT Beratung • Version 1.0
A
Sichere Datenhaltung mit Linux
IT Beratung
Zusammenfassend kann man sagen, dass geschäftskritische Daten nicht verloren gehen1 dürfen.
1.3. Handhabbarkeit (Manageability)
Auf der Basis von freier Software lassen sich oft exzellente und preisgünstige Lösungen verwirklichen. Für
den realen Betrieb ist jedoch zu berücksichtigen, wie sicher und einfach eine solche Lösung zu betreiben
ist. Insbesondere sind hier zu nennen:
✗
Die Komplexität des Managements, die normalerweise mit der Datenmenge, Verfügbarkeit
und Leistungsfähigkeit wächst
✗
Die Verminderung wartungsbedingter Ausfälle
✗
Hersteller oder andere Supportmöglichkeiten
✗
Die Beschaffbarkeit qualifizierten Personals
1.4. Skalierbarkeit (Scalability)
Die neuen Anforderungen der Steuer- und Sicherheitsbehörden2 und die auch sonst fortschreitende
Automatisierung lässt eine weiterhin stark steigende Datenflut erwarten. Es sollte daher eine Lösung gewählt werden, die nicht nur gerade eben so die bestehenden Anforderungen erfüllt. Ein System- und Anbieterwechsel ist zwar oft relativ möglich, verursacht jedoch meist hohe Kosten. Es sollte daher eine zumindest grobe Mengenprognose für die übliche Nutzungsdauer eines solchen IT-Systems von mindestens
3-5 Jahren erstellt und eine Lösung erwogen werden, die diese Mengengerüste erfüllen kann.
Vorteilhaft ist es eine Lösung zu wählen, die sowohl in Richtung der Datenmenge, als auch der Transaktions- (Operationen/s) und Dauer-Leistung (MB/s) skalierbar ist.
1.5. Zukunftssicherheit (Investment Protection)
Auch wenn sich eine langfristige Wertbetrachtung bei IT-Komponenten in aller Regel von selbst verbietet,
so sollte doch darauf geachtet werden, dass die gewählten Systeme dem aktuellen Stand der Technik entsprechen und einem weit verbreiteten, etablierten Bereich entstammen. Nur so ist sicherzustellen, dass
auch nach 5 Jahren noch Ersatzteile, Erweiterungen und Software-Updates verfügbar sind. Die in der
Autoindustrie normalen Zeiten der Teileverfügbarkeit sind in der IT-Branche leider nur allzu oft unüblich.
1 Obwohl dies zumindest Kroll Ontrack, Ibas und den vielen anderen Datenrettungsfirmen weiterhin steigende Kurse
beschert.
2 10-jährige Archivierungspflicht für steuerrelevante Emails, TKGÜV, etc.
Die Anforderungen
Seite 3 von 8
© 2005 Schürer IT Beratung • Version 1.0
A
Sichere Datenhaltung mit Linux
IT Beratung
Im Zweifelsfall sollte standardisierten, offen gelegten Technologien der Vorzug vor proprietären Lösungen
gegeben werden3.
1.6. Wirtschaftlichkeit (Economic Efficiency)
Etliche vor einigen Jahren noch eher unzuverlässigen Technologien haben inzwischen einen Standard erreicht, der deren Einsatz im Geschäftsbereich zulässt und gleichzeitig ein Einsparungspotenzial liefert.
Server auf x86-Basis sind mittlerweile so ausfallsicher und skalierbar, dass sie bis etwa 8 Prozessoren die
Betriebssicherheit konventioneller Systeme erreichen oder sogar übertreffen. Hinzu kommt die oft höhere Leistung pro Prozessor. Allerdings muss hier auf den oft unterentwickelten I/O-Bereich geachtet
werden.
Festplatten und Arrays auf Basis der üblichen IDE-Platten erreichen inzwischen MTTF Werte und Durchsätze, die die Wahl einer SCSI oder FC-Platte, insbesondere angesichts deren Preises, doch fraglich erscheinen lassen. Nur eine extrem hohe Random-Access Dauerlast rechtfertigt noch den Einsatz dieser
Platten. Meist jedoch verlieren Systeme in ganz anderen Bereichen viel mehr Zeit, als Platten hier gut machen könnten (Datenbank- und Anwendungs- Design, Netzwerke, etc.).
2. Standard Enterprise-Storage UNIX-Lösungen
Die etablierten Lieferanten hoch verfügbarer Systeme setzten bisher durchweg auf Storage-Area-Network
(SAN) Systeme auf FiberChannel (FC) Basis. Die Daten liegen hierbei auf RAID / JBOD Arrays, die mit
SCSI- oder eher FC-Platten bestückt sind (z.B, HP, IBM, Sun), bzw. auf völlig eigenständigen SAN-Systemen (Hitachi, EMC, etc.). Diese sind über ein redundantes SAN mit Hubs oder Switches mit den, jeweils
räumlich getrennten, Servern verbunden.
Die Spiegelung der Daten über die Brandschutzabschnitte und das Management der Volumes erfolgt hier
meist Host-based über entsprechende Volume-Management Software. Marktführend sind hier Veritas mit
einer Plattform übergreifenden Lösung, bzw. IBM mit der in AIX integrierten LVM-Lösung. Lösungen von
Sun, SGI und Anderen existieren ebenfalls, litten bisher aber oft unter einer schlechten Manageability oder
geringem Bekanntheitsgrad. Die eigenständigen SAN-Systeme sind auch selbst in der Lage Datenkopien
über große Entfernungen anzufertigen.
3 So sorgt z.B. der offene XML-Standard der OpenOffice.org Dokumente dafür, dass diese auch später noch lesbar
und konvertierbar bleiben.
Seite 4 von 8
Standard Enterprise-Storage UNIX-Lösungen
© 2005 Schürer IT Beratung • Version 1.0
A
Sichere Datenhaltung mit Linux
IT Beratung
Die meisten dieser Systeme erfüllen die eingangs genannten Anforderungen gut4, weisen jedoch eine hohe
Komplexität auf, die oft zu Performance-Problemen durch Anwendungsfehler führt. Zudem sind sie nicht
wirklich als preisgünstig zu bezeichnen. Zum hohen Anschaffungspreis kommen hier hohe Betriebs- und
Wartungskosten.
Inzwischen wird in vielen Unternehmen die Storage-Architektur so strukturiert ausgelegt, dass Rechner
nur noch Bootplatten besitzen, alles weitere, also auch die Applikationen liegt auf SAN-Platten. Hauptargument ist hierbei die Flexibilität und Wiederverwendbarkeit dieser Ressourcen. Fraglich ist hierbei, ob
der direkte Anschluss langsamer Web- und Application-Server an das SAN nötig ist und der hohe Administrations- und Anschaffungsaufwand nicht die eingesparten lokalen Festplatten überkompensiert. Auch
die Unsitte, Cluster-Applikationen auf gemeinsame SAN/NAS Ressourcen zu legen und dadurch sowohl
die teuer erkaufte Verfügbarkeit als auch die Wartbarkeit (Rolling-Upgrade) herabzusetzen erscheint unseres Erachtens bedenklich.
3. Unsere Enterprise-Storage Lösung
Die von uns angebotene Lösung Certasys orientiert sich in ihren Grundzügen am herrschenden Industriestandard, das bedeutet:
✗
Datenhaltung auf RAID-10 IDE-Arrays mit FibreChannel Anschluss. So ist eine gewisse inhärente Sicherheit und hohe Performance bei gleichzeitiger weitgehender Standortunabhängigkeit gewährleistet.
✗
Redundantes, geswitchtes SAN zur Anbindung der integrierten Daten- und Backupserver
✗
Linux mit Veritas Storage Foundation. Eine flexible, bekannte Standardlösung
✗
Rackserver von IBM mit entsprechend hoher Verbreitung, Redundanz und Teileversorgung.
Hauptunterschied zu etablierten Systemen ist hierbei zum Einen, dass die Anbindung der übrigen Clientund Server Systeme in der Regel über NFS, CIFS oder AppleShare erfolgt. Nur hoch belastete (Datenbank-)Systeme sollten direkt ans SAN angeschlossen werden. Zum Anderen erfolgt die Datenhaltung auf
günstigen und je nach Anwendugsfall auch großen IDE-Festplatten (auch etablierte Hersteller beginnen
mittlerweile solche Arrays auszuliefern). Im Folgenden soll kurz der Abdeckungsgrad der eingangs genannten Forderungen erläutert werden:
4 Leider gibt und gab es immer wieder Systeme die direkt oder indirekt zu einem Datenverlust beitragen. Details
sollen hier aus juristischen Gründen ungenannt bleiben. Die Autoren informieren gerne persönlich.
Unsere Enterprise-Storage Lösung
© 2005 Schürer IT Beratung • Version 1.0
Seite 5 von 8
A
Sichere Datenhaltung mit Linux
IT Beratung
3.1. Verfügbarkeit (Availability)
Das gesamte System ist praktisch frei von SPOFs, nimmt man gewisse Software-Komponenten einmal aus
(eine Software-SPOF freie Lösung ist prinzipiell machbar, jedoch relativ aufwändig und komplex ( Flugzeug)). Es besteht aus zwei räumlich getrennten 19''-Racks, die jeweils mindestens einen Server, eine UPS,
einen FC-Switch und ein Raid-Array enthalten. Alle Daten werden über Kreuz und über redundante FCVerbindungen auf die jeweils andere Seite gespiegelt (Dynamic Multipathing). Durch die interne Raid-10
Datenhaltung ist jeder Datenblock mindestens 4-fach vorhanden5.
Im Normalbetrieb können beide Seiten produktiv arbeiten. Es wird also keine Hardware unbenutzt vorgehalten (kein Cold-Standby). Die Übernahme ausgefallener Resourcen erfolgt wahlweise mit einer manuellen, bzw. halbautomatischen Lösung, oder mittels des Veritas Cluster Servers, also einer vollwertigen
Cluster-Lösung.
Es ist im vollen Benutzerbetrieb möglich, Volumes zu vergrößern, zu verteilen, umzulagern und umzuorganisieren. Außerdem werden Snapshots unterstützt. Betriebsunterbrechungen sind hierfür nicht notwendig.
3.2. Sicherheit (Data Protection)
Die Sicherung und Reduplikation Ihrer Daten wird auf zwei technisch völlig getrennten Ebenen durchgeführt. Jedes eingesetzte Array spiegelt und verteilt die Daten auf mehrere Platten (in der Regel Gruppen
zu je vier Platten im RAID-10 Verbund) und ist in der Lage Ausfälle automatisch durch Hot-Spares oder
getauschte Platten zu kompensieren, ohne dass diese auf Software- bzw. Betriebssystemebene sichtbar
werden. Zusätzlich führt die Volume-Management Software die genannte Spiegelung über die räumlich getrennten Abschnitte durch. Sollte ein noch höherer Anspruch an die Datensicherheit bestehen, so
ermöglicht das verwendete Host-Based-Mirroring auch problemlos den Aufbau weiterer, auch weit entfernter Spiegel.
Durch die unter 3.1. genannte Verteilung und Spiegelung der Daten, führt auch die komplette Zerstörung
einer Seite nicht zum Datenverlust oder einem Ausfall des Systems. Es sind sogar noch weitergehende
Schäden auf der verbliebenen Seite ohne Ausfälle, bzw. andere Teilzerstörungen ohne Verlust denkbar.
Der eingesetzte Veritas Volume Manager führt außerdem bei einem Ausfall vollautomatisch eine Umverteilung der Daten durch, sofern noch freie Ressourcen vorhanden sind (Hot-Relocation). Ein Plattenausfall
kann hierdurch innerhalb kürzester Zeit praktisch selbst geheilt werden, ohne dass bis zum Tausch der
5 Für Tapeless-Backup-Lösungen ist auch eine Raid-5 Lösung mit einer Hot-Spare pro Array möglich, was zu einem
geringeren Plattenverbrauch, aber geringerer Random-Access Leistung (in der Regel nicht Backup-relevant) führt.
Seite 6 von 8
Unsere Enterprise-Storage Lösung
© 2005 Schürer IT Beratung • Version 1.0
A
Sichere Datenhaltung mit Linux
IT Beratung
defekten Baugruppen eine lange Risikozeit mit verminderter Redundanz besteht.
3.3. Handhabbarkeit (Manageability)
Das Gesamtsystem wird fertig aufgebaut und getestet bei Ihnen angeliefert. Für die gesamte Storage Lösung bieten wir eine empfehlenswerte Fern-Überwachung, sowie auch einen Fern-Betrieb an. Dieser kann
auch in Kooperation mit Ihrer lokalen Administration erfolgen.
Der eingesetzte Volume Manager verfügt über eine einfache graphische Benutzeroberfläche, sowie eine
mächtige, Kommandozeilen-basierte Administration. Das Anlegen und Erweitern von Volumes ist innerhalb der standardmäßigen Einweisung sicher erlernbar. Da es sich um die Standardlösung im UNIXRZ Betrieb handelt ist die Verfügbarkeit qualifizierten Personals am Markt gegeben. Der Hersteller bietet
außerdem auch direkt eine 7x24 Hotline an.
Als Betriebssystem für die Storageserver kommt Linux als RHEL6 bzw. SLES7 zum Einsatz. Beides
etablierte Standard-Distributionen. Auch hierfür ist qualifiziertes Personal bzw. ein 7x24 Support verfügbar. Die eingesetzten Server der e-Server xSeries Linie von IBM verfügen je nach Modell über vielfältige
Redundanz bis hin zur Memory-Spiegelung. Ein entsprechender direkter weltweiter Support ist auch hier
selbstverständlich möglich.
3.4. Skalierbarkeit (Scalability)
Das Storage-System ist im Bereich Kapazität durch das Hinzufügen weiterer Arrays und Switches problemlos bis etwa 22 TB erweiterbar, ohne den laufenden Benutzerbetrieb zu unterbrechen. Im Backup
Betrieb sind durch die neuen IDE-Platten Kapazitäten bis 31 TB sinnvoll möglich.
Die Performance des Systems im NFS, CIFS, AppleShare und Backup-Bereich hängt von den verwendeten
Server Systemen ab. Möglich ist hier sowohl eine Skalierung durch eine Erhöhung der Serverzahl, als auch
der Wechsel auf größere Modelle, bzw. der Ausbau eines Modells. IBMs xSeries Linie bietet eine Vielzahl
geeigneter Systeme8 von 2 bis 16 Prozessoren, sowie die Wahl zwischen Intel und AMD CPUs.
3.5. Zukunftssicherheit (Investment Protection)
Alle Teile von Certasys sind Standardkomponenten etablierter Hersteller (IBM, Hitachi, QLogic, Veritas)
meist auf Basis offener Standards. So ließen sich z.B. die von uns verwendeten FC-Arrays jederzeit durch
6 Red Hat Linux Enterprise Linux
7 Suse Linux Enterprise Server
8 Auf Grund der hohen Anforderungen im I/O-Bereich eignen sich nicht alle xSeries Modelle für den Einsatz in
Certasys (zum Zeitpunkt der Erstellung dieses Dokuments waren dies nur die x346 und die x445)
Unsere Enterprise-Storage Lösung
© 2005 Schürer IT Beratung • Version 1.0
Seite 7 von 8
A
Sichere Datenhaltung mit Linux
IT Beratung
nahezu 10 verschiedene Lösungen von mehr als 6 verschiedenen Herstellern ersetzten. Auch zur Erweiterung könnten diese eingesetzt werden.
Gleiches gilt für die Server, die auch unter Solaris oder Windows (mit voller Veritas Unterstützung!) betrieben werden, oder durch beliebige andere x86, Sun, HP oder IBM UNIX-Systeme ersetzt und erweitert werden können, da alle den FC-Standard unterstützen und nutzen und die Veritas Storage Foundation für diese Systeme erhältlich ist.
3.6. Wirtschaftlichkeit (Economic Efficiency)
Durch die geringeren Veritas Lizenzkosten im Linux-Bereich, die preisgünstigen xSeries Server und den
Einsatz anderer, kostengünstiger Komponenten sind wir als kleine Unternehmen ohne großen Marketingund Verwaltungsaufwand in der Lage, Certasys zu einem sehr konkurrenzfähigen Preis anzubieten. So liegt
z.B. eine große komplette HA-Cluster Lösung bis zum Faktor 5 unter dem, was bisher von den unter 2.
genannten Herstellern zum Listenpreis beziehbar war.
Durch den zunehmenden Kostendruck liefern auch die großen UNIX- und SAN-Hersteller inzwischen
günstigere Systeme aus. Abhängig von Ihren dortigen Einkaufskonditionen sollte ein Faktor 2-3 in den Anschaffungskosten bei vergleichbarer Leistung realisierbar sein. Hinzu kommt, dass unsere Systeme komplette Lösungen darstellen, die bei anderen Herstellern zusätzliche, kostenpflichtige Installations- und
Consulting-Leistungen verursachen.
4. Ihr System
Die Planung und der Kauf einer Enterprise-Storage Lösung ist nicht einfach. Wir bieten Certasys zwar in
Standardkonfigurationen als Basis an (siehe unsere Produktblätter), dennoch sollte jedes System möglichst
genau auf Ihre Anforderungen zugeschnitten werden. Wir beraten Sie hier gerne.
Seite 8 von 8
Ihr System
© 2005 Schürer IT Beratung • Version 1.0

Download Report