Disaster Recovery/Sächsische Aufbaubank geht auf Nummer Sicher

Informationen in jedem Fall verfügbar

02.05.2003
Was wäre, wenn für das Geschäft wichtige Anwendungen einschließlich der Daten plötzlich nicht mehr an den PC-Bildschirmen erscheinen? Und was, wenn der Informationsfluss wegen einer Katastrophe für längere Zeit unterbrochen ist? Diese Fragen stellten sich die Verantwortlichen bei der Sächsischen Aufbaubank in Dresden und entschieden sich für eine Hochverfügbarkeitslösung.Von Hadi Stiel*

Für Frank Stammer, Direktor IT bei der Sächsischen Aufbaubank in Dresden, war klar: "Um gegen Kurz- wie Langzeitausfälle der IT-Systeme gefeit zu sein, mussten wir den Verfügbarkeitshebel bei den Daten ansetzen." Immerhin hängt von Anwendungen wie Kreditsachbearbeitung, Call-Center, Bilanzdatenbank, optisches Archiv, Statistik, E-Mail bis hin zu einer zentralen Auskunftsinstanz inklusive der darüber transportierten Daten im Wesentlichen das Geschäft der Bank ab. Ihr Aufgabenfeld: als Förderinstitut des Freistaates Sachsen Fördermittel für Wirtschaft, Technologie, Wohnungsbau, Umwelt sowie Landwirtschaft zu vergeben. Dadurch soll die wirtschaftliche Entwicklung in Sachsen gezielt gestärkt werden.

Cluster-Verbund mit doppeltem Netz

Die Bank wollte nicht nur stets präsente Daten und Applikationen für den laufenden Betrieb sicherstellen, sondern auch durch ein verlässliches Disaster Recovery gegen Ereignisse und Katastrophen wie Datenverlust, Stromausfall, Wassereinbruch, Feuer und Anschläge gefeit sein. Die Planung und Umsetzung der hoch verfügbaren IT-Infrastruktur einschließlich der Schaffung eines zweiten RZ-Standorts auch für Desaster Recovery wurde ab Januar 2002 gemeinsam mit Siemens Business Services (SBS) in Paderborn umgesetzt. SBS stand als Generalunternehmen für das komplette Projekt inklusive der daran beteiligten Produkthersteller in der Pflicht.

Nach der Analyse war klar: Die Datenhaltung musste noch konsequenter zentralisiert werden. Das erleichtert ihre Handhabung, hilft Systeme und Daten zu konsolidieren, erhöht deren Sicherheit, reduziert den administrativen Aufwand und somit die IT-Kosten. Zudem war die Zentralisierung der Datenhaltung die Voraussetzung dafür, die Datenbasis als Backup sowohl im Haupt- als auch im sieben Kilometer entfernten Ausweich-RZ für schnelle und gezielte Restores vorhalten zu können. Weil die Bank auch im Regelbetrieb auf Nummer Sicher gehen wollte, sollten die für das Geschäft kritischen Anwendungen mit weiterer Server-Redundanz am zweiten RZ-Standort abgesichert werden. Zumal von der Hochverfügbarkeit dieser Datenbasis auch die Kreditsachbearbeitung und statistische Auswertungen profitieren.

Diese räumlich verteilte Cluster-Formation mit doppeltem Netz würde nicht nur den Regelbetrieb sicherer machen, sondern auch im Notfall immer einen Solaris-Server bereitstellen, auf dem die Datenbanksysteme zuverlässig ablaufen könnten. In gleicher Weise sollten der SAP-R/3-HR-(Human-Resource-), Datei- und EAI-(Enterprise-Application-Interface-) Server - über beide RZ-Standorte hinweg - geclustert werden. Der EAI-Server stellt unter anderem den Prozessfluss zu den Darlehenskonten bei der Landesbank Baden-Württemberg sicher.

Um die Hochverfügbarkeit der Online- und Offline-Speicher, Plattensysteme und Bänder sowie der Applikations-Server garantieren zu können, fiel die Entscheidung, zu einem SAN (Storage Area Network) zu migrieren und das gezielt auszubauen. "Das erlaubt uns, durch zusätzliche Redundanz im SAN die Hochverfügbarkeit der Geschäftsdaten und -anwendungen weiter zu steigern", beschreibt Stammer. Dadurch werde auch bei Verbindungsproblemen die Datenbelieferung der zahlreichen Bankenapplikationen gewährleistet. Zudem sei das Arbeiten durch redundante LAN- und SAN-Verbindungen auch während Backup und Restore möglich. Daneben durfte mit Blick auf Disaster Recovery die doppelte Auslegung des Solaris-Servers nicht fehlen, auf dem die Anwendung zur Verwaltung der Bänder in der Jukebox laufen sollte. Das Server-Paar sollte ebenfalls als Cluster auf die beiden Rechenzentren verteilt werden.

Realisierung in sechs Monaten

Seit Juli 2002 ist bei der Sächsischen Aufbaubank die mehrstufige Hochverfügbarkeitslösung inklusive Disaster Recovery nach nur sechs Monaten Planung und Realisierung im Einsatz. In diesem Zeitraum wurde auch das zweite RZ installiert. Außerdem waren die Daten eines EMC-Speichersubsystems sowie die vorhandene Backup-Lösung, basierend auf Legato für Windows NT, in die neue Speicher- und Datensicherungslandschaft zu überführen. Beide Migrationsschritte durften die laufenden Applikationsplattformen nicht beeinträchtigen.

Im nächsten Schritt nach der Installation wurden umfangreiche Testszenarien aufgebaut, um innerhalb der gestuften Hochverfügbarkeitslösung alle möglichen Ausfallszenarien einschließlich der für das Disaster Recovery praxisnah durchzuspielen. "Das musste sein, damit wir mit Gewissheit nach jeder Umsetzungsphase auf die jeweils neue, hoch verfügbare IT-Infrastruktur aufbauen konnten", unterstreicht Stammer das schrittweise Vorgehen. Der IT-Direktor hebt die Art und Weise hervor, wie die SBS-Spezialisten das komplexe Vorhaben mit allen diffizilen Integrationsanforderungen in der veranschlagten Zeit gemeistert haben. Zwar wurde die Gesamtkonfiguration vorab im SBS-Staging-Center in Paderborn implementiert und dort auf Herz und Nieren getestet, aber Stammer räumt ein, dass "die Überführung des Testaufbaus in den RZ-Betrieb, trotz professioneller Vorarbeit, dennoch mit Detailproblemen verbunden war".

Rundum abgesichert

Die Hochverfügbarkeitslösung ist mehrstufig aufgebaut. Die Verarbeitungsebene - repräsentiert durch die Server - ist für die abzusichernden Anwendungen in Form von Clustern realisiert. Die gekoppelten Server sind über beide RZ-Standorte verteilt. Auf diese Weise kann die Anwendung bei Ausfall eines Systems oder ganzen Standorts weiterhin die noch funktionierenden Infrastrukturen nutzen. Die Daten werden zwischen beiden Standorten synchron gespiegelt. Damit erreicht man, dass die Daten mit dem Failover auf den Ausweich-Server stets aktuell sind und die Applikationen nahtlos weiterlaufen. Der Zugriff auf die Daten bei logischen Fehlern oder dem Ausfall beider Storage-Subsysteme (Platten) wird über regelmäßige Backups sichergestellt. Dazu werden die Änderungen in den Datenbanken, die in den Systemen als Log-Dateien protokolliert werden, automatisch auf Band gesichert (Snapshots). Auch diese Datensicherung ist auf beide RZ-Standorte verteilt. Dadurch lassen sich bei Katastrophen an einem der beiden Standorte die Daten auf Basis der Backups des anderen rekonstruieren.

Ebenso wichtig war eine hohe Verfügbarkeit der Verbindungen zwischen den Speichermedien und den Applikations-Servern, so dass beide redundant ausgelegt sind: Jeder Server ist mit den Speichern über zwei unterschiedliche Wege verbunden, die aber parallel genutzt werden. Das war nur mit zwei getrennten Speichernetzen (Dual Fabric) zu erreichen. Sollte eines der SANs ausfallen, ist die Datenbelieferung der Anwendungs-Server über das zweite Speichernetz gewährleistet.

Im Notfall halbes Tempo

Der Betrieb läuft fast normal weiter, nur die Verbindungsbandbreite ist halbiert. Diese duale SAN-Auslegung zahlt sich für die Sächsische Aufbaubank zudem bei der Wartung des Fiber-Channel-Switch-Systems aus. Wartungsarbeiten können in der Regel während des operativen Betriebs geschehen. Selbst das Backup auf Band erfolgt wie gewohnt.

Die Glasfaserleitungen für die beiden SANs wurden getrennt verlegt. Bei physikalischen Schäden, beispielsweise durch Baggerarbeiten, wäre nur ein Speichernetz betroffen. Der Datentransfer wird gemäß dem Dense-Wavelenght-Division-Multiplexing(DWDM-)Verfahren absolviert, das mit der installierten Hardware bis zu 32 Übertragungswege je Glasfaser unterstützt. Darin steckt für die Sächsische Aufbaubank eine hohe Wirtschaftlichkeit. "Alternativ hätten wir für die Übermittlung zwischen beiden Rechenzentren über öffentliches Gelände bis zu acht Strecken anmieten müssen - vier für den SAN-, vier für den LAN-Verkehr", so Stammer. Dank DWDM reichen zwei Strecken aus. Selbst wenn ein SAN ausfällt, sind immer noch beide Fabrics über das verbleibende Speichernetz erreichbar. Der mit DWDM gesteckte Rahmen räumt bis zu 16 Verbindungsstrecken für den SAN- und LAN-Verkehr ein. Damit hat die Sächsische Aufbaubank auch für die Zukunft genügend Durchsatzpotenzial, ohne in weitere Leitungen investieren zu müssen. Der IT-Direktor spricht von einer Amortisation der DWDM-Multiplexer binnen 18 Monaten.

Resümee

Das Ergebnis der Umstrukturierung: eine vereinheitlichte IT-Infrastruktur, die aufgrund ihrer hoch verfügbaren, fehlertoleranten Auslegung jederzeit für die Mitarbeiter und die externen Kunden präsent ist. Ausfälle von einzelnen Servern, Datenverbindungen oder Netzsegmenten führen allenfalls zu Performance-Einbußen, nie aber zu Funktionseinschränkungen. Auch im Katastrophenfall oder wenn Daten durch Bedienungsfehler verloren gehen, ist die Bank dienstbereit. Das ausgefeilte Datensicherungskonzept, das auf drei Säulen ruht - Backup und Restore von Band, Server-Cluster einschließlich Spiegelung, hohe Verbindungsredundanz im SAN-Umfeld - sind die Garanten dafür. Stammer: "Wir haben heute mit Blick auf die Verfügbarkeit unserer IT-Infrastruktur ein deutlich höheres Niveau erreicht." (kk)

*Hadi Stiel ist freier Journalist in Bad Camberg.

Angeklickt

Die Sächsische Aufbaubank in Dresden wollte sich gegen Kurz- und Langzeitausfälle ihrer IT-Systeme absichern und den Zugriff auf Daten und Anwendungen möglichst durchgehend schützen. Neben der doppelten Auslegung der Applikations-Server und dem Aufbau einer SAN-Infrastruktur beinhalteten die Pläne auch die Einrichtung eines verlässlichen Prozedere für Disaster Recovery. Mit der Neustrukturierung beauftragte die Bank als Generalunternehmen die Siemens Business Services.

Beteiligte Produkte

Für die gestufte Hochverfügbarkeitslösung inklusive Disaster Recovery fiel die Entscheidung auf folgende Produkte:

- Veritas Cluster Server zur Realisierung der Server-Cluster (Failover),

- Veritas Volume Manager zur Plattenkonfiguration in den Servern (macht aus Platteneinträgen Dateisysteme),

- Sun/HDS (Hitachi Data Systems)- Storage-Subsysteme (Lightning) zur Datenhaltung an den beiden Standorten und Spiegelung der Schreibvorgänge auf die Plattensubsysteme,

- Legato Networker zur Datensicherung (Backup),

- Sun/HDS Shadow Image zum Erstellen eines lokalen Spiegels im Storage-Subsystem (für Split-Mirror-Backup mittels Snapshot),

- Sun/HDS True Copy zur synchronen Spiegelung zwischen den Storage-Subsystemen an den beiden Standorten (Spiegelung der Schreibvorgänge),

- SAN-Fibre-Channel-Switch-Systeme von Brocade,

- Veritas SAN Point Control zur Administration der SAN-Umgebung,

- Crossroad-Router zum Anschluss der SCSI-Bandgeräte in den Libraries an das SAN sowie

- DWDM (Dense Wave Division Multiplexing)-Systeme für einen wirtschaftlichen Datentransfer in SAN und LAN zwischen den beiden Standorten.

Zusatznutzen

Zusätzliche Vorteile der SAN-Installation für die Sächsische Aufbaubank:

- Die Lösung kann durch Hinzufügen neuer Switch-Systeme dynamisch erweitert werden.

- Zwischen den Speichersystemen und Applikations-Servern können flexibel virtuelle Verbindungen eingerichtet werden, über die dann der Datenaustausch isoliert von den anderen ans SAN angeschlossenen Systemen erfolgt.

- Backup-Geräte sind flexibel den Applikations-Servern zuordenbar.

- Das ermöglicht auch, das Backup zu konsolidieren.

- Plattenspiegel und Bandgeräte können über größere Entfernungen (bis 20 Kilometer) verteilt werden.

Abb.1: SAN-Konzept mit doppelt ausgelegten Pfaden

Auch im Fall eines Disaster Recovery immer dienstbereit: Dafür sorgen redundante Pfade zwischen Server und Speicher. Quelle: Siemens Business Services

Abb.2: Sicherheit auf den Datenwegen

Die Sächsische Aufbaubank sichert sich auch gegen defekte Datenleitungen und Verbindungsknoten ab. Quelle: Siemens Business Services

Abb.3: Zwei Rechenzentren geben Sicherheit

Die beiden Rechenzentren liegen fünf Kilometer auseinander. Gekoppelt werden sie per Multiplexer. Quelle: Siemens Business Services