Wie weit darf ein Ausfall-RZ entfernt sein?
Leserfrage: Gibt es beim Einsatz eines zweiten Rechenzentrums noch immer Distanzbeschränkungen? Wenn ja, wonach richten sich diese? Was muss man für den Spagat zwischen Ausfallsicherheit und sicheren Prozessen am Zweitstandort beachten? Gibt es Limits für die Spiegelung? Welche Verfahren sollten Unternehmen nutzen, um die Daten an beiden Standorten konsistent zu halten? Gibt es hier gesetzliche Vorgaben?
Antwort Doc Storage:
Die Beschränkungen in der Kopplungsdistanz ergeben sich aus den Ansprüchen, die Sie bzw. Ihre Rechtsabteilung an die Vollständigkeit Ihrer Daten haben. Am sichersten sind synchrone Kopplungen, da hier die Vollständigkeit der Übertragung eines Paketes erst dann an den sendenden Rechner gegeben wird, wenn das Paket auch im entfernten Speichersystem abgelegt wurde. Für die Distanz gibt es keine festen Angaben, die Industrie hat sich stillschweigend schon vor mehr als einem Jahrzehnt auf 5 ms Übertragungsdauer für solche synchronen Kopplungen festgelegt. Heute bedeutet dies je nach Leitungsqualität und Anzahl der zu überwindenden Aktivkomponenten (Switches, Direktoren, xWDMs und andere) zwischen 100 und 150, in glücklichen Einzelfällen sogar bis zu 200 km.
Zu beachten ist allerdings der alte Aberglaube, dass »synchron« auch gleichzeitig »integer« und damit »kurze Wiederanlaufzeit« bedeutet. Zwar befinden sich bei synchroner Kopplung beide Datenspeicher immer auf demselben Stand, was die geschriebenen Tracks auf den Datenträgern angeht, jedoch heißt dies gleichzeitig, dass im Falle des plötzlichen Ausfalls eines Rechners oder Speichersystems zahlreiche Dateien »geöffnet« auf den Datenträgern stehen und vor einem Wiederanfahren zunächst einmal wieder in einen gebrauchsfähigen Zustand gebracht werden müssen. Dies kann im Einzelfall eine, zwei oder mehr Stunden in Anspruch nehmen – einen Geschmack davon können Sie sich holen, wenn Sie ein Linux- oder Unix-System mitten im Betrieb »hart« ausschalten und diesem dann bei zahlreichen Kaffees bei der Kontrolle und Reparatur der Dateisysteme zuschauen dürfen.
Eine einfache Möglichkeit, die Daten auf der anderen Seite konsistent zu halten, ist eine asynchrone Kopplung, die Datenbestände nur dann überträgt, wenn diese kurz auf der Quellseite geschlossen und damit sofort nutzbar machen. Datenbanken und andere professionelle Anwendungen erlauben einen solchen Modus, der während dieser geschlossenen Phase alle schreibenden I/Os in einem Puffer zwischenspeichert und erst dann anwendet, wenn die Übertragung abgeschlossen ist. Eine andere, allerdings weitaus komplexere Möglichkeit ist CRR (Continuous-Remote-Replication), bei der alle schreibenden I/Os nicht nur auf die eigentlichen Zieldatenträger, sondern zusätzlich auch in ein Journal geschrieben werden. Damit wird es möglich, bei Fehlern und Ausfällen zu einem bestimmten Zeitpunkt bzw. vor einen I/O zurückzuspringen, so dass auch auf diese Weise ein integer Zustand hergestellt werden kann.
Als gesetzliche Vorgaben gelten hier in Deutschland Basel II und Basel III und die GDPdU (Grundsätze zum Datenzugriff und zur Prüfung digitaler Unterlagen). Alle Regelungen sind allerdings aus fachlicher Sicht sehr schwammig formuliert und definieren jeweils nur das Ergebnis der Maßnahmen, nicht jedoch den Weg dorthin. Somit ist es den Anwendern freigestellt, mit welchen technischen Maßnahmen sie beispielsweise die gleichzeitige Speicherung von Daten an zwei unterschiedlichen Orten zur Erfüllung von Basel erreichen. Die Wirksamkeit muss lediglich von einer dem Baseler Ausschuss für Bankenaufsicht assoziierten Unternehmen festgestellt und in Deutschland nach Solvabilitätsverordnung, Kreditwesengesetz und Mindestanforderungen an das Risikomanagement zertifiziert werden.
Gruß
Doc Storage