Nicht alles auf eine Karte setzen!
Wo befindet sich der Failover-Server bzw. wo werden die Bänder gelagert? Vielleicht im Gebäude nebenan?
Das ist natürlich keine sehr gute Idee: Ein Feuer oder ein anderes Unglück könnte leicht auch das Nachbargebäude betreffen. Wenn man wirkliche Sicherheit für die Wiederherstellung der Systeme nach einem Totalausfall haben will, muss man sich schon etwas mehr einfallen lassen als die Backups im Nachbargebäude aufzubewahren.
Bei der Aufbewahrung der Sicherungskopien an einem relativ weit entfernten Standort gilt es zu bedenken, ob der Standort am gleichen Stromnetz hängt oder das gleiche Telefonnetz nutzt. Wenn ein Stromausfall oder ein Ausfall des Telefonnetzes den primären Standort außer Gefecht setzt, möchte man doch sicher, dass Kunden weiterhin Transaktionen über den sekundären Standort ausführen können.
Welche anderen Überlegungen zur geografischen Lage gibt es?
Liegen der primäre und der sekundäre Standort auf der gleichen Verwerfungslinie? Das ist in Deutschland natürlich nicht so wichtig wie für ein in Kalifornien ansässiges Unternehmen, aber muss man diesen Punkt nicht trotzdem berücksichtigen? Erdbeben gibt es auch bei uns.
Wie sieht es mit Schwemmebenen aus? Liegen beide Standorte in relativ niedrigen Gebieten, am gleichen Fluss, können ungewöhnlich starke Niederschläge – wie sie bei den derzeitigen unvorhersehbaren Wetterverhältnissen durchaus möglich sind – dazu führen, dass beide Standorte unter Wasser stehen.
Sowohl Anbieter als auch Regierungsstellen weisen ständig auf noch schlimmere Szenarien hin. Einen Standort in Berlin und den anderen in München zu haben kann gut und schön sein, liegen aber beide Standorte in der Nähe von „strategisch wichtigen“ Einrichtungen wie Flughäfen oder Geschäftszentren, ist das vielleicht keine so gute Idee.
Externe Lagerung
Lagern Sie Datenträger mit Sicherungskopien immer außerhalb des Standorts – ein feuerfester Tresor reicht einfach nicht aus.
Um die Wiederherstellung im Falle eines Problems zu beschleunigen, kann es hilfreich sein, wenn man zwei Kopien eines Backups hat: eine für die externe Lagerung und die zweite an einem sicheren Ort, entweder am Standort oder möglichst nur ein paar Minuten entfernt. Auf diese Weise ist sichergestellt, dass das zweite Sicherungsset im Falle von üblichen Fehlern – wenn sich zum Beispiel eine Servergruppe verabschiedet, also kein katastrophaler Ausfall wie bei einem Bürobrand – in wenigen Minuten beschafft und installiert werden kann, ohne dass man die Kopien vom weiter entfernten externen Lagerort heranschaffen muss und hierfür entsprechende Kosten anfallen.
Ein typischer Ablauf bei externer Lagerung der Backups kann wie folgt aussehen:
Wenn die Bänder gemäß der jeweiligen Backup-Regelung ablaufen, werden sie zur Wiederverwendung zum Standort zurückgebracht.
Das Erstellen von jeweils zwei Kopien der Daten kann sich als Problem erweisen, zum Beispiel dann, wenn ein einziges Sicherungsband erstellt wird und anschließend die Daten von einem Band auf das andere kopiert werden. Die Verzögerung, die somit entsteht, bis eine Kopie im externen Lager ankommt, bietet ein Zeitfenster für eine Katastrophe, bei der potenziell beide Sicherungskopien vernichtet werden, während sie sich am primären Standort befinden.
Es wäre somit besser, beide Bänder gleichzeitig im Rahmen des Backups zu erstellen. Allerdings sind viele Backup-Agents nicht sehr intelligent aufgebaut und erstellen zwei Kopien der Daten, die sie dann über das Netzwerk verschieben, wodurch Server, Speicher-Array und Netzwerk unnötig belastet werden. Intelligentere Backup-Agenten nehmen die Daten nur einmal auf und erstellen einen Puffer auf dem Backup-Server, um den potenziell unterschiedlichen Backup-Geschwindigkeiten der beiden Bänder Rechnung zu tragen.
Es wäre natürlich schön, wenn der Server aus der ganzen Backup-Geschichte herausgehalten werden könnte, um sich ganz den Anforderungen der Anwender zu widmen. Ein vollständig serverloses Backup ist in der Tat möglich. So kann das Speicher-Array zum Beispiel an ein intelligentes Netzwerk angeschlossen werden, das über eine intelligente Backup-Agent-API verfügt. In diesem Fall werden die Backup-Daten direkt vom Speicher-Array an den Fabric-Switch und anschließend direkt zur Bandsicherung gesendet.
Bandqualität
Sie haben preisgünstig ein paar Backup-Bänder gekauft – es ist zwar nicht die übliche Marke, aber Datenkassetten sind schließlich alle gleich?
Falsch!
Die Herstellung von Datenbändern läuft folgendermaßen ab: Das fertige Magnetband wird auf große Rollen gewickelt, wobei der äußere Teil der Wicklung gedehnt wird, wodurch sich die Bandqualität verschlechtert. Diese äußere Wicklung wird relativ günstig an die Hersteller von günstigen Magnetbandkassetten verkauft, die innere Wicklung zu einem höheren Preis an die Hersteller von „Premium“-Produkten.
Alles im Leben hat eben seinen Preis. Es sei denn, es handelt sich hierbei nur um Gerüchte, die von den Herstellern teurer Bandkassetten verbreitet werden, um ihre hohen Preise zu rechtfertigen…
Neueste Kommentare
2 Kommentare zu Es gibt immer ein Zurück: vier Disaster-Recovery-Lösungen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Es gibt immer ein Zurück: vier Disaster Recovery Lösungen
man hat beim Lesen der Artikel absolut nicht den Eindruck das der Autor von dem Thema wirklich etwas versteht, geschweige denn Ahnung von den am Markt erhältlichen Produkten hat.
Disaster Recovery Lösungen
Nur auf der letzte Seite geht der Autor auf die Besonderheit "Disaster" ein, insgesamt ist die Betrachtung noch zu idealistisch.
Es beginnt damit, dass ein Unternehmen ohne Not keinen leistungsfähigen Server in Reserve vorhält – die Lieferzeit für vernünftige Server liegt ohne besonderen Vertrag im Bereich von Tagen. Dann muss ein Notfall-Szenario davon ausgehen, dass mehr als nur ein Server nicht verfügbar ist, evtl. das gesamte RZ oder Gebäude. Also muss auch das Datensicherungslaufwerk neu beschafft werden, bei Tapes mit dem gleichen Formfaktor!
Wenn nur ein einzelner Server ausfällt entstehen bei den üblichen vernetzten Applikationen Inkonsistenzen durch die Recovery eines einzelnen Systems.
Als Faustregel gilt, dass alles, was nicht in einem echten vollständigen Test überprüft wurde, nicht funktioniert. Aus meiner Praxis weiss ich, dass viele Datensicherungen auf Band nicht nutzbar sind, weil Dateien oder ganze Bänder nicht lesbar sind, bzw. neuere Dateien nicht in den Backup-Plan aufgenommen wurden. Das heisst, ein Notfallplan muss umfassend sein, vom GAU ausgehen und jedes Jahr mindestens einmal im Test simuliert werden.
Insgesamt ist die Ausfallzeit selbst bei kleinen Notfällen erheblich länger als man sich vorstellt und echte Notfälle in Firmen ohne Notfallplanung führen in mehr als der Hälfte der Fälle zum Untergang des Unternehmens. innerhalb von 12 Monaten (Versicherungsaussagen).