MANAGED SERVICES Datacenter-Kopplung Alles inklusive – Equipment, Betrieb, Verschlüsselung Arno Wrobel Keine Frage: Die Kopplung von Rechenzentren ist Programm. Wachsende Datenmengen, die Chancen von Zentralisierung und Cloud sowie die Notwendigkeit, Unternehmensinformationen doppelt abzulegen, rufen nach leistungsstarken und zuverlässigen Verbindungen zwischen den Datacentern. Für Unternehmen bringt die Verbindung ihrer Rechenzentren allerdings einen enormen Aufwand mit sich: Für das richtige Know-how, das Equipment und den Betrieb der Lösung sind jede Menge Zeit und Investitionen notwendig. Wer sich das sparen will, setzt auf die Alternative IaaS (Infrastructure as a Service) und lässt die gesamte Lösung durch einen spezialisierten Partner aufsetzen und betreiben. Arno Wrobel arbeitet im Produktmanagement der Dacoso GmbH in München NET 4/15 Wie viele Rechenzentren in welcher Entfernung sollen eingebunden werden? Welche Applikationen werden übertragen? Wie hoch sind die Ansprüche an Business Continuity Bild 1: Synchrone Datacenter-Kopplung und an den Schutz der Daten vor Spionage? Die Situation Fibre Channel, Escon, Ficon, Infiniband) über ein einzelnes Glasfasersieht in jedem Unternehmen anders paar übertragen werden. aus. Managed Services für Datacenter-Kopplungen müssen hier ansetzen und sich als maßgeschneiderte DiensWeniger laufzeitkritisch? te verstehen. In enger Abstimmung Asynchrone Verbindungen mit dem Kunden werden Konzepte entwickelt, die allen Anforderungen Die synchrone Verbindung hält ihr hoan die Verbindungen auch langfristig hes Niveau innerhalb einer EntferRechnung tragen. Die Voraussetzung nung von ca. 100 km. Doch auch dafür ist ein Portfolio, das mit flexibKopplungen weit über diese Strecke len Lösungen auf die individuellen Anhinaus sind möglich – mit minimalem forderungen reagieren kann – sowohl Zeitverzug. Diese Latenz ist für die in punkto Entfernung und Performanmeisten Applikationen wie z.B. Dace als auch Sicherheit. tenmigration, Filetransfer, Lastverteilung (Load Sharing) und Batch-Verarbeitung sowie für die Kopplung von Strenge Vorgaben? Synchron Server- und TK-Anlagen völlig unkrikoppeln tisch. Das Gleiche gilt für Backup- und Bei hohen Ansprüchen an die DatenDesaster-Recovery-Konzepte, die bei äquivalenz in den verbundenen ReAusfall des Hauptrechenzentrums eichenzentren sind Faktoren wie Delay, nen nahezu aktuellen Datenbestand Jitter und Packet Loss möglichst klein im zweiten Datacenter erreichen. zu halten. Wer gleichmäßig großen Datendurchsatz sowie bestmögliche Synchrone Datacenter-Kopplung Verfügbarkeit für seine unterneh• Aktive WDM- und TDM-Technik; menskritischen Applikationen benö• TDM-Technik optional mit Vertigt, entscheidet sich deshalb in der schlüsselung; Regel für die synchrone Kopplung der • Protokoll-, Interface- und WellenDatacenter (Bild 1). Dabei werden die längenanpassung durch TransponRechenzentren direkt über dedizierte der; Glasfaserleitungen verbunden, d.h., • niedrigste Delay-, Jitter- und Padie Bandbreiten stehen dem Kunden ketverlust-Werte; exklusiv und komplett mit Standard• Connectivity- und Equipment-Proschnittstellen zur Verfügung. Durch tection; den Einsatz aktiver WDM- und TDM• Alarm- und Performance-MonitoTechnik (Wavelength und Time Divisiring. on Multiplexer) können unterschiedlichste Datenprotokolle (z.B. Ethernet, 25 Datacenter-Kopplung Die Übertragung zwischen den Datacentern erfolgt über ein EthernetWAN auf Layer-2-Basis. Alternativ werden auch IP-WAN-Verbindungen über Layer 3 unterstützt sowie MPLS (Multiprotocol Label Switching). Im Asynchrone Datacenter-Kopplung • Nahezu unbeschränkte Entfernung über Layer 2 und Layer 3; • Übertragung typischer DatacenterProtokolle durch Extension-Switche; • Bandbreiteneinsparung durch Komprimierung; • optional mit BSI-konformer Verschlüsselung; • Connectivity- und Equipment-Protection; • Performance-Monitoring und Remote Access. Gegensatz zur synchronen warten bei der asynchronen Verbindung die lokalen Systeme nicht mehr auf jede Paketbestätigung der entfernten Systeme – die Quittierung erfolgt erst nach Übertragung des letzten Datenpakets (Bild 2). Schutz nach Bedarf und gegen Hacker Für beide Verbindungsvarianten bietet Dacoso unterschiedliche Schutzkonzepte an. Das reicht bei der synchronen Kopplung von der einfachen Standardausführung bis hin zur kompletten Redundanz der W/TDM-Systeme sowie der Glasfaserstrecke. Das gleiche Prinzip auch bei der asynchronen Verbindung: Bei der sichersten Variante – Komponenten- plus WANRedundanz (Bild 3) – sind sowohl die Übertragungssysteme als auch die WAN-Strecken (mit getrennter Wegeführung) redundant ausgelegt. Zusätzlich sind die Übertragungssysteme in jedem Standort an beide WANStrecken angelegt. Damit ist nicht nur bei Ausfall einer Komponente, sondern auch bei Ausfall einer WANStrecke die unterbrechungsfreie Datacenter-Kopplung sichergestellt. Während das Internet als Gefahrenquelle für den Datenmissbrauch hin26 länglich bekannt ist, werden die physischen Datenleitungen zwischen den Datacentern oft vernachlässigt. Dabei sind diese Verbindungen ohne großen Aufwand anzapfbar. Der Zugang zur Spleißbox einer optischen Leitung z.B. Bild 2: Asynchrone Backup-Übertragung (1 – Host sendet Backup-Daten, 2 ist schnell ver- – Daten werden vom lokalen Tape-Emulator gepuffert, 3 – Host bekommt Daten sofort lokal bestätigt und schickt weitere Daten; zum Abschluss senschafft, etwa über det Host „Write Tape Mark”, 4 – gepufferte Daten werden über IP übertraeine Baustelle auf gen und – 5 – im entfernten Host-Emulator zwischengespeichert, 6 – Hostöffentlichen Geh- Emulator sendet Daten an virtuelle Tape-Library, 7 – Quittungen werden wegen. Unter Ein- nur an Host-Emulator geschickt, 8 – Quittung für „Write Tape Mark” wird satz eines sog. Bie- erst zum lokalen Host geschickt, wenn alle Daten gespeichert wurden gekopplers lässt sich die Glasfaser dann so manipulieren, dass alle Unternehmensdaten offen liegen. Mit fatalen Auswirkungen: Intellectual Property, Strategien, Kunden- und Personal- Bild 3: Schutzkonzepte für asynchrone Kopplungen daten sind für Unbefugte frei zugänglich. zum Alltagsgeschäft. Sie als Managed Gegen den kriminellen Zugriff auf die Service anzubieten, kommt dem Leitungen gibt es keinen Schutz. Doch Wunsch der Unternehmen nach Undie Spionage wird im Keim erstickt, abhängigkeit nach – so widersprüchwenn die Daten für Unbefugte völlig lich das klingt. Wer die Planung, die unbrauchbar sind – durch intelligente komplexe Implementierung und den Verschlüsselung auf der gesamten Betrieb der Datacenter-Verbindungen Strecke. In Zusammenarbeit mit Adva auslagert, verschafft sich Raum für Optical Networking, Atmedia sowie andere Schwerpunkte und InvestitioRohde & Schwarz bietet Dacoso leisnen und profitiert gleichzeitig vom tungsfähige und bei Bedarf BSI-konKnow-how und den Erfahrungen des forme Lösungen an. Alle drei Partner spezialisierten Dienstleisters. entwickeln und produzieren komplett IaaS sollte dabei so vollumfänglich in Deutschland. Zugrunde liegt immer sein, wie es klingt: Die Lösung wird die Encryption nach dem AES-256kundenspezifisch geplant und aufgeAlgorithmus mit häufigem Schlüsselsetzt, Equipment beschafft und langaustausch. Das Schlüsselmanagement fristig betrieben – gegen eine monatlibleibt dabei ausschließlich in Kundenche Pauschale, in der auch die Überhand. wachung der Systeme sowie die Verschlüsselung der Verbindungen enthalten sein kann. Bei Störungsfällen Machen lassen – bis hin zur gehört dann auch dazu, dass ein TechFehlerbehebung niker für die Behebung der Fehlerquelle zuständig ist und dafür sorgt, Datacenter-Kopplungen stehen zwar dass der Betrieb schnellstens reiauf der Tagesordnung, gehören aber bungslos weiterläuft. (bk) für viele IT-Abteilungen nicht gerade NET 4/15