IT-Nachrichten für die Berliner Verwaltung Nr. 4/2006-16. Jahrgang Schwerpunkt: vom Rechenzentrum zum Data-Center 4/06 1
Editorial Liebe Leserinnen und Leser, unser Hochsicherheitsrechenzentrum heißt nun Data- Center. Damit passen wir uns nicht nur den Gegebenheiten der Zeit an, sondern lenken mit der neuen Bezeichnung das Augenmerk auf das von uns zu verwaltende und zu sichernde Gut: die Daten unserer Kunden. Natürlich wird auch unter der neuen Bezeichnung der Datenschutz bei uns großgeschrieben. Auch weiterhin können wir dank neuester Technologien eine hochverfügbare Datensicherung und die schnellstmögliche Kommunikation aller Server und Laufwerke innerhalb unseres Data-Centers garantieren. Lesen Sie mehr zu diesem Thema ab Seite acht. In dieser Ihnen vorliegenden letzten -Ausgabe des Jahres 2006 möchte ich kurz das Jahr 2006 Revue passieren lassen und einen kleinen Ausblick auf das kommende Jahr geben. Was haben wir 2006 erreicht? Mit Unterstützung unserer Mitstreiter eine ganze Menge. Mein besonderer Dank gilt hier meinen Mitarbeiterinnen und Mitarbeitern, welche die vielfältigen Leistungen für unsere Kunden erbracht haben. Mein Dank gilt aber insbesondere auch unseren Partnern aus dem Berliner Mittelstand und aus der Verwaltung. Durch unsere enge Zusammenarbeit und mit geballter IT-Kompetenz haben wir wichtige Schritte auf dem Weg zu einer modernen, effizienten und bürgernahen Verwaltung zurückgelegt. Aus allen gestarteten und realisierten Projekten möchte ich unseren besonderen Einsatz für eine weiterführende Zusammenarbeit mit allen Berliner Bezirken hervorheben. Als Resultat unserer Bemühungen können wir auf zwei Landesvereinbarungen (Telekommunikation und Jobcenter) und eine Vertragsunterzeichnung (Mobile Datenerfassung) ebenso wie auf eine umfangreiche Preissenkung für unsere Kunden blicken. Weiterhin sorgen wir seit Juli dieses Jahres für die Modernisierung des Anschlusses des Berliner Bezirksamtes Marzahn-Hellerdorf mittels Lichtwellenleiter (LWL) an das Berliner Landesnetz (BeLa). Somit sind alle Hauptstandorte der Berliner Bezirke mit modernster Technik angeschlossen. Das Berliner Landesnetz eröffnet unseren Ausblick auf das kommende Jahr. Denn das Versorgungsnetz des öffentlichen Lebens der Hauptstadt, durch dessen Lichtwellenleiter alle für die Verwaltung der Stadt Berlin wichtigen Daten und Informationen fließen, steht vor einem Generationswechsel. Im kommenden Jahr beginnen wir damit, alle Sprach- und Datendienste der Berliner Verwaltung auf einem Multi Service Network (MSN) zu vereinen. Dann verfügt das Land Berlin über eine highspeed Sprach- und Datenautobahn. Dafür haben wir bereits im Sommer dieses Jahres unser Data-Center um 120 Quadratmeter erweitert. So schließt sich der Kreis. Ich wünsche Ihnen eine geruhsame und fröhliche Weihnachtszeit. Kommen Sie gut in ein neues, ereignisreiches Jahr 2007! Ihr Konrad Kandziora (Vorstand) 4/06 2
Editorial Editorial 2 Schwerpunktthema Das Rechenzentrum 4 Hochsicheres Data-Center des ITDZ Berlin 6 Erweiterung des Data-Center 8 Ausbau und Anforderungen des Facilitymanagementes 8 Vom Großrechner zur Serverfarm: Rechen-zentrum im stetigen Wandel 8 Einsatz von Server- bzw. Datenbank-Cluster-Systemen (Oracle) im hochsicheren Data-Center (HDC) 11 IP Centrex als zentrale Voice over IP-Lösung für die Berliner Verwaltung 13 Know-how und doppelte Sicherheit 14 Mobiles Rechenzentrum 15 Bundeshöchstleistungsrechner SGI Altix 16 Stromausfälle legen Computer lahm 18 Standardisierung von Basisinfrastruktur 18 Online Fast alle Großstädte haben Online-Bestellung von Autokennzeichen eingeführt 45 Bürgerportal des Landes Berlin mit erweitertem Inhalt und neuem Gesicht 45 Das Internet-Portal des Landes Berlin.de ist jetzt auch in einer mobilen Version verfügbar 46 Neue Einheitlichkeit, neue Übersichtlichkeit 47 Internet-Branche fordert schnelles Gesetz gegen Phishing 48 Berlins Registerdaten ab sofort im Internet 48 Tipps und Tricks Zehn Tipps vom Profi Doctima zum besseren Suchmaschinen-Ranking 49 Rund 8O Prozent aller E-Mails sind Spam 49 Therapie für infizierte Computer 5O E-Government und Verwaltung Dieser Weg ist bundesweit beispielgebend für egovernment 2O Governikus beschleunigt Zahlungen 2O Verwaltung 2O15 - zwischen Kollaps und Konsolidierung? 21 Neues egovernment-angebot der IVU 24 SAGA Version 3.O: Auf dem Weg zu einem offeneren E-Government 24 Preisverleihung des 6. egovernment-wettbewerbs 25 Sichere Online-Kommunikation: Pilottest des elektronischen Behördenpostfachs in der Berliner Verwaltung 26 Veranstaltungen Veranstaltung Ein Jahr eeducation Berlin Masterplan 51 CeBIT setzt Business-Trends für 2OO7 52 Fokus ITIS und Mittelstand 53 IT Profits 2OO7 am9. und 10. Mai 53 VoIP-Forum Berlin-Brandenburg 53 Die Zukunft liegt im Datendienst 54 Literatur Berichte und Infos Neuer IT-Rahmen-vertrag für das Land Berlin 29 Projekt ABIS 2 29 IT- Standards für das Land Berlin 3O Vertragsunterzeichnung "Mobile Datenerfassung" 32 Mausklick statt Behördengang 33 MS Office 2OO7 - Microsoft verabschiedet sich vom SAA-Standard 34 Ab 2OO7 neue Software für Berlins Sozialämter 35 ITDZ Berlin schließt IT-Rahmenvertrag für die Berliner Schulen 36 Deutscher ITK-Markt wächst um 2,5 Prozent 37 Besserer Schutz vor Hackern, Datenklau und Computersabotage 38 Mit gezielten Attacken zu finanziellem Gewinn 39 Nur leichte Brise im SOA-Markt 4O Bull und Open-Xchange gemeinsam für die öffentliche Verwaltung 42 Ende der Routine: Die neue Generation des IT Lifecycle Managements 43 KGSt-Vorstand geht in Ruhestand 44 XML made in Berlin 56 BITKOM veröffentlicht Überblick und Glossar zur Virtualisierung 56 Dies & Das Jahresinhaltsverzeichnis 57 Impressum 6O 4/06 3
Das Rechenzentrum Mit Rechenzentrum bezeichnet man sowohl das Gebäude bzw. die Räumlichkeiten, in denen die zentrale Rechentechnik (z. B. Rechner, aber auch die zum Betrieb notwendige Infrastruktur) einer oder mehrerer Firmen bzw. Organisationen untergebracht sind, als auch die Organisation selbst, die sich um diese Computer kümmern. Ihr kommt damit eine zentrale Bedeutung in der Unternehmens-EDV zu. Man spricht häufig vom Herzstück eines Unternehmens. Die gängige Abkürzung ist RZ, organisationsabhängig kann mit ZER (zentrale Einrichtung Rechenanlagen) ebenfalls ein Rechenzentrum gemeint sein. Aufgaben von Rechenzentren Rechenzentren sind einer administrativen Stelle zugeordnet, zum Beispiel der Finanz- oder Innenverwaltung, einer Forschungseinrichtung, einer Hochschule oder einem kommerziellen Betrieb wie einer Bank oder einer Versicherung. Diese administrativen Stellen haben die Anforderung, große Datenmengen zu verarbeiten (etwa die Steuererklärungen aller Bürger eines Bundeslandes). Deshalb ist auch eine umfangreiche Maschinenausstattung notwendig, die nur konzentriert in einem Rechenzentrum gepflegt werden kann. In den Prä-PC-Zeiten wurden vom Staat sog. Gebietsrechenstellen geschaffen, die die Aufgabe hatten, Rechenkapazität für staatliche Einrichtungen zur Verfügung zu stellen. Meist unterstanden diese Gebietsrechenstellen den Landesämtern für Statistik und Datenverarbeitung. Organisatorische Aufteilung Ein normales Rechenzentrum sieht im Rahmen der Betreuung der Geräte eine organisatorische Dreiteilung vor: Systemtechnik Die Systemtechnik ist für die Hardware verantwortlich. Die Systemtechniker reparieren defekte Geräte, führen technische Installationen am Gerät aus, kümmern sich um die Verkabelung, etc. Die Mitarbeiter aus der Systemtechnik sind in der Regel in der Nähe der elektrotechnischen Berufe anzusiedeln. Systemverwaltung Die Systemverwaltung ist für die Administration der Maschinen zuständig. Man spricht daher auch von der Systemadministration bzw. einfach nur von der Administration. Die Mitarbeiter sind für die softwareseitige Konfiguration des Maschinenparks verantwortlich. Wird beispielsweise von der Systemtechnik ein neues Festplattenlaufwerk hardwaremäßig angeschlossen, so muss die Systemverwaltung dafür sorgen, dass dieses Laufwerk auch softwareseitig von den Rechnern erkannt und benutzt werden kann. Die Verantwortung der Systemverwaltung ist es, die Maschinen am Laufen zu halten, abgestürzte Maschinen wieder aufzusetzen, Software zu installieren und die Systeme zu überwachen. Weiterhin sind die Systemverwalter für die Datensicherheit zuständig, sie arbeiten zum Beispiel Datensicherungspläne ( Backuppläne ) aus und sorgen für deren Vollzug. Die Softwareseite des Datenschutzes obliegt ebenfalls der Systemverwaltung. Die Administration von Software kann in den Bereich der Systemverwaltung fallen, wenn nicht eine eigene Abteilung für derartige Aufgaben benannt worden ist (Datenbanken, Kommunikationssysteme etc.). Systemverwalter haben meistens eine IT-Ausbildung. Operating Foto: 1&1/Dirk-Thomas Meffert Serverraum im Rechenzetrum der GMX GmbH Das Operating übernimmt eher Hilfsaufgaben, die vom Wechseln des Druckerpapiers, dem Reißen der Ausdrucke und deren Verteilung oder dem Einlegen von Magnetbändern oder ähnlichem bis zur Umdefinition von Prioritäten in den Prozessabläufen reicht. Operator war in den siebziger Jahren noch ein sehr qualifizierter Beruf, damals oblag es dem Operator dafür zu sorgen, dass die Großrechner 4/06 4
optimal genutzt wurden. Dazu untersuchte er die anstehenden Prozesse nach ihrem Ressourcen-Bedarf und sorgte unter Umständen durch manuelles Anstarten verschiedener Prozesse für eine optimale Systemauslastung und für die Vermeidung insbesondere von Ressourcen-bedingten Störungen wie eine Verklemmung (deadlock). Durch die Verbilligung und Leistungssteigerung der Hardware und immer intelligenteren Betriebssystemen stellt dies heutzutage kein großes Problem mehr dar. Räume eines Rechenzentrums Neben den üblichen Büroräumen ist die Klimaanlage und der Maschinenraum interessant. Insbesondere Großrechner produzieren sehr viel Abwärme. Die Geräte benötigen für ihren störungsfreien Betrieb ein bestimmtes Raumklima. Einzelne Geräte haben ihre eigenen Kühlaggregate, die teils auch auf Flüssigkeitskühlung beruhen. Die an die Räume abgegebene Abwärme wird wiederum von der Klimaanlage abgekühlt. Der Maschinenraum selbst ist bei kleineren Rechenzentren unbemannt. In großen Rechenzentren sitzen die Operateure im Maschinenraum bzw. sind nur durch eine Glaswand von den Geräten getrennt, sodass jederzeit eine optischen Kontrolle der Maschinen möglich ist. Neben den Computern und ihrer Peripherie gibt es vor allem Schaltschränke. Die Räume selbst haben Doppelböden. Diese dienen einerseits der einfachen Verkabelung, andererseits bieten sie auch Platz für Brandmelder und Wassersensoren. Mäuse (das Tier, nicht die Computermaus) sind in manchen Rechenzentren ein ernsthaftes Problem. Daher gibt es spezielle Kabelisolierungen, die Mäusen nicht schmecken. Eine Maus, die sich in ein größeres Gerät verirrt und dort einen Hochspannungsstromkreis überbrückt, kann zum teuren Ärgernis werden. Zu den Notfallplänen eines Rechenzentrums gehören auch Sofortmaßnahmen, die vom Operating zu ergreifen sind, falls die Klimaanlage ausfällt. Je nach Außentemperatur kann ein vorübergehender provisorischer Betrieb durch manuelle Belüftung stattfinden, jedoch kann auch eine Notabschaltung innerhalb weniger Sekunden oder Minuten nach Auslösung eines Alarms notwendig werden. Sicherheit in einem Rechenzentrum Abhängig vom administrativen Umfeld gibt es unterschiedlich starke Sicherheitsanforderungen an Rechenzentren. Meist wird lediglich der Zutritt kontrolliert und die Räume sind durch Alarmanlagen gesichert. Einige sind sogar in einem atombombensicheren Bunker untergebracht, der unterirdisch mehrere Stockwerke umfasst und zudem noch EMPgesichert ist. Der Zutritt ist auf jeden Fall strikt reglementiert. Führungen in Rechenzentren von Universitäten sind häufig möglich, die Besucher dürfen sich jedoch ausschließlich unter Aufsicht in den Räumen bewegen. Dem Brandschutz wird ein besonderer Stellenwert eingeräumt. Neben Brandabschottungen gibt es häufig auch Löschanlagen, die Hardwareschäden minimieren sollen. Wasser kann einem Großrechner mehr Schaden zufügen als ein verschmortes Kabel. Aus diesem Grund wird in modernen Rechenzentren spezielles Gas (meistens das Edelgas Argon oder aber auch noch Kohlenstoffdioxid) zum Löschen des Brandes eingesetzt. Die Archivierung von wichtigen Datensicherungen findet daher auch in einem anderen Brandabschnitt statt. Backup-Rechenzentrum Bereits vor dem 11. September 2001 gab es das sog. Backup-Rechenzentrum, gelegentlich hört man auch den Begriff Spiegelrechenzentrum. Dabei wird ein vorhandenes Rechenzentrum räumlich vom Originalrechenzentrum deutlich getrennt komplett dupliziert. Die Duplizierung gilt sowohl für die Hardware als auch für die Software und die aktuellen Daten. Sollte aufgrund einer Katastrophe (z. B. ein Erdbeben, ein Anschlag oder ein Brand) das Originalrechenzentrum ausfallen, so kann der Betrieb im Backup-Rechenzentrum sofort fortgesetzt werden. Hochsicherheits-Rechenzentren wie earthdatasafe sind heute bis zu 250 Meter unter der Erde beheimatet. Notfallpläne und Ausstattung sehen oft sogar vor, dass die Arbeitsräume der Mitarbeiter bis auf die Ausstattung des einzelnen Arbeitsplatzes 1:1 kopiert werden, sodass die Arbeit in den Räumlichkeiten des Backup-Rechenzentrums sehr schnell fortgesetzt werden können. Der Hintergrund dieser offensichtlich hohen finanziellen Ausgabe liegt auf der Hand: Der Totalausfall eines Rechenzentrums würde viele Unternehmen binnen weniger Tage in die Pleite treiben oder bei Verwaltungen das öffentliche Leben zum Erliegen bringen. Um die doppelte Ausrüstung nicht nur für den Notfall zu haben, der nur sehr selten eintritt, wird in der Regel auch diese Rechenkapazität genutzt. Es wird daher nach produktionskritischen Systemen unterschieden. So kann zum Beispiel der Server der für die Produktion genutzt wird im Hauptrechenzentrum stehen, während ein identischer Server im Backuprechenzentrum nur zur Entwicklung und zum Testen genutzt wird. Bei einem Ausfall des Hauptrechenzentrums wird der Entwicklungs- und Testserver heruntergefahren und die Produktivsysteme geladen. Es ist für diese Zeit dann kein Entwickeln mehr möglich, die Produktion fällt aber nicht aus. Durch diese neue Aufgabe wird häufig nicht mehr von einem Backup-Rechenzentrum gesprochen, da es nur sekundär Backupaufgaben erledigt, primär aber auch Rechenleistung zur Verfügung stellt. Weitere Informationen im Portal Rechenzentrum unter http://de.wikipedia.org/wiki/ Portal:Rechenzentrum (Aus Wikipedia, der freien Enzyklopädie) 4/06 5
Hochsicheres Data- Center des ITDZ Berlin Das IT-Dienstleistungszentrum Berlin verfügt über ein hochsicheres Data-Center (HDC) in einer Bunkeranlage. Hier werden zurzeit alle relevanten Großverfahren (z. B. der Polizei, des Landesamtes für Bürgerund Ordnungsangelegenheiten und der Justiz) des Landes Berlin sicher und hochverfügbar betrieben. Der Zugang zur Bunkeranlage und zu den einzelnen Bereichen und Sicherheitszellen wird über ein mehrstufiges Zugangskontrollsystem gesteuert und aus einer örtlich abgesetzten Leitwarte rund um die Uhr über Meldestrecken mit automatischer Alarmierung und Videoüberwachung überwacht. Die USV-Anlage ist in fünf Systembänke unterteilt, wovon drei für die Versorgung der gesamten installierten Rechnerleistung ausreichen. Weiterhin wird ein Notstromaggregat mit 1.900 kw Abgabeleistung vorgehalten, welches automatisch innerhalb von einer Minute anspringt und die Stromversorgung für die gesamte Anlage für mindestens sieben Tage übernehmen kann. Unabhängige Notstromversorung im hochsicheren Data-Center des ITDZ Berlin Data-Center in einer Bunkeranlage Im Data-Center des ITDZ Berlin stehen insgesamt drei Serverzellen, zwei Zellen für Plattensubsysteme und zwei Zellen für Robotersysteme zur Verfügung. Zusätzlich werden in anderen Abschnitten Infrastrukturen wie USV, Notstromaggregat, Klimastationen und Kältemaschinen, sowie Trafoanlagen, Melde- und Zugangsanlagen und zentrale Wiring-Center vorgehalten. Das HDC verfügt über folgende Leistungsmerkmale: Die Klimatisierung der Anlagen erfolgt über zwei getrennte Klimastränge mit separaten Pumpensystemen und Rückkühlern. Die Dimensionierung der Klimaschränke ist der jeweiligen Funktion der Sicherheitszelle angepasst und stellt in jedem Fall eine ausreichende Kühlleistung zur Verfügung. Die Notkühlung erfolgt durch Frischwassereinspeisung. Die Klimaanlagen werden laufend überwacht. Bei Störungen wird über die Leitwarte unverzüglich die Wartungsfirma eingesetzt. Im HDC gibt es keine Feuerlöschsysteme. Die Brandbekämpfung erfolgt durch Steuerung der Luftzufuhr. Hierbei kann jede Zelle einzeln luftdicht verschlossen werden um einen möglichen Brand kurzfristig zu ersticken. Dieses System bietet den Vorteil, dass die Serversysteme nicht durch den Einsatz von Löschmitteln beschädigt werden. Um eine Ausbreitung von Bränden zu verhindern werden nur brandschutzgerechte Kabel verlegt, die die einzelnen Zellen nur durch ausgewiesene Brandabschottungen verlassen. Bei Erkennung von Bränden wird durch die Meldeanlage automatisch alarmiert. Das HDC liegt in einer sicherheitstechnisch risikoarmen Umgebung. Durch die Lage in einem Innenhof eines Verwaltungsgebäudes ist der Zugang mit schweren Fahrzeugen unmöglich. Selbst ein Flugzeugabsturz ist nur in einer senkrechten Variante vorstellbar. Die nächsten Wasserläufe liegen kilometerweit entfernt und gegen eindringendes und auslaufendes Wasser sind Wasserstandsmelder installiert, die eine Alarmierung auslösen. Der Zutritt zu den einzelnen Sicherheitszellen wird über Ausweiskarten gesteuert und kann personengenau dokumentiert werden. Im Data-Center Die Konzeption unseres Rechenzentrums ist durch seine räumliche Auftrennung und redundante Versorgung so ausgelegt, dass auf ein externes Ausweich- 4/06 6
rechenzentrum verzichtet werden kann. Alle wichtigen Verfahren des Landes Berlin sind in dieser Anlage so implementiert, dass die vorhandenen Redundanzen genutzt und eine Trennung von Servertechnik, Plattenplatz und Datensicherung realisiert wird. Hierzu wurde ein leistungsfähiges und redundantes Storage Area Network (SAN) implementiert, welches die verschiedenen Ebenen der Datenhaltung und -verarbeitung miteinander verbindet. Bei konsequenter Nutzung der vorhandenen Architektur wird sichergestellt, dass selbst der unwahrscheinliche Ausfall einer kompletten Sicherheitszelle keinen Ausfall in der Funktionalität eines Verfahrens hervorruft. Im HDC sind zurzeit mehr als 200 Individualserver und ca. 185 Standardserver aufgestellt. Während Standardserver als Intel-basierte Server mit jeweils 2 CPU und mind. 2 GB RAM ausgestattet sind, hat der größte Individualserver 32 CPU und 64 GB RAM. Zusätzlich betreiben wir einen IBM-Host vom Typ z890-350. Für die Datenspeicherung stehen Plattensubsysteme der Firmen Hitachi und EMC zur Verfügung, die verschiedenen Speicherklassen zugeordnet sind. in der Berliner Verwaltung (IT-SichRL), des Berliner Datenschutzgesetzes (BlnDSG) sowie des BSI-Grundschutzes in Zonen mittleren und hohen Schutzbedarfs organisiert. Für die Zonen hohen Schutzbedarfs kommen insbesondere folgende Sicherheitsvorgaben zur Geltung: Gewährleistung des Datenschutzes und der Vertraulichkeit (Geheimhaltung) durch Verschlüsselung der Kommunikation und der Daten, sowie Trennung von Data Path und Control Path Absicherung der Vertraulichkeit und funktionalen Verfügbarkeit sowie der Nachweisbarkeit durch Firewalling Plattensubsysteme und Server Die Speicherklasse A ist für hochverfügbare und hochperformante Anwendungen ausgelegt und umfasst zurzeit ein Speichervolumen von 23 TB. Die Architektur und Ausbaufähigkeit des Systems ist auf eine Verfügbarkeit von 99,995 Prozent ausgelegt und erlaubt ein Update ohne Funktionsverlust. Die Speicherklasse B ist für die hochwirtschaftliche Archivierung von Daten vorgesehen und umfasst zurzeit 5 TB an Datenvolumen. Mit den zwei Robotersystemen der Firma StorageTek werden zurzeit 44 TB an Daten auf Bändern gesichert. Robotersystemen der Firma StorageTek Lokales Netzwerk (LAN) im hochsicheren Data-Center Bereitstellung einer hochverfügbaren IT-Infrastruktur durch Mehrfachanbindung der Netze bzw. Server und durch Failover oder Cluster-Lösungen zur Absicherung der physischen Verfügbarkeit Anwendung fehlertoleranter und zukunftssicherer Speichertechnologien zur Sicherung der Datenintegrität Einsatz starker Authentisierungsmittel wie Smartcard oder moderner Zertifikatssysteme Die VPN-Firewalls des IPSec Endpoint werden hierbei direkt an die LAN-Infrastruktur des HDC angeschlossen. Im RZ-LAN wird ausschließlich Layer2- Switching verwendet. Die Applikationsserver und Komponenten werden über exklusive VLAN an die VPN-Firewalls angeschlossen. Die VPN-Firewalls stellen das Default Gateway für die IP Netze bereit. Auf diese Weise stellen wir sicher, dass sämtlicher Datenverkehr zur Kommunikation zwischen unterschiedlichen Netzen immer die VPN-Firewalls des HDC passieren muss. Die LAN-Infrastruktur im HDC des ITDZ ist nach den Vorgaben der IT- Sicherheitsrichtlinie zur Gewährleistung der notwendigen Sicherheit im IT-Einsatz PETER SCHLICHT ITDZ Berlin 4/06 7
Erweiterung des Data-Center Ausbau und Anforderungen des Facilitymanagementes Der Ausbau eines hochsicheren Data-Centers (HCD) ist für alle Beteiligten immer eine besondere Herausforderung, denn der laufende Betrieb darf unter keinen Umständen gestört werden. Wenn dieses HCD auch noch eine ehemalige Luftschutzbunkeranlage ist, sind die Baumaßnahmen noch aufwendiger. Die Betonwände haben einen Durchmesser von mehr als einem Meter und bieten Schutz gegen jede Art von äußeren Bedrohungen. Allerdings machen sie die Herstellung von Kernbohrungen für geschottete Durchleitungen von Kabelkanälen und die Fertigung von Durchbrüchen für die ausladenden Zargen der zentnerschweren Sicherheitstüren zu einem kleinen Abenteuer. Vor kurzem erst sind zwei Räume mit einer Fläche von ca. 160 Quadratmeter nach vier Monaten Ausbauzeit an die Telekommunikationsplaner (TK) des ITDZ Berlin übergeben worden. In diesen Räumen werden demnächst vom Projekt BeLa NG (Berliner Landesnetz Next Generation) die vorhandenen TK- Komponenten durch neue moderne Voice- over-ip- Transitkomponenten ersetzt. Die Vorgaben für Klimatechnik und Stromanschlüsse kamen vom Nutzer der neuen Räume, das Facility-management hat die Durchführung und Fertigstellung übernommen. In der Planungsphase erfolgte eine Unterstützung durch den Senator für Stadtentwicklung. Hochwertige, feuerfeste Keramikfußböden, zertifizierte Brandschottungen, halogenfreie Verkabelungen, USV -unterstützte Stromnetze und anspruchvolle Überprüfungstechniken für die Zutrittskontrollen schützen den Betrieb der Rechanlagen und TK-Systeme bei Stromausfällen und vor möglichen Sabotageakten. ROLF-PETER MÜCK ITDZ Berlin Vom Großrechner zur Serverfarm: Rechenzentrum im stetigen Wandel Die Großrechner Ein Großrechner (engl.: Mainframe, Host) ist ein sehr komplexes und umfang reiches Computersystem, das weit über die Kapazitäten eines Personal- Computers und meist auch über die der typischen Serversysteme hinausgeht. Ein Großrechner zeichnet sich vor allem durch seine Zuverlässigkeit und hohe Ein- Ausgabe-Leistung aus. Er kann im Online-Betrieb eine große Anzahl von Benutzern bedienen, im Batch-Betrieb aber auch komplizierte und aufwändige Aufgaben durchführen. Die Benutzer erhalten beim Online-Betrieb Zugang zu einem Großrechner über Computer-Terminals. Seit sich Personal Computer durchgesetzt haben, werden diese Terminals durch sog. Terminalemulationen simuliert. In einem Großrechner sind sorgfältig aufeinander abgestimmte Komponenten verbaut, die hochgradig redundant und robust sind. Meist wird die Wartung dieser Rechner im laufenden Betrieb durchgeführt, sogar Aufrüstungen und Hardwareaustausch können ohne eine Unterbrechung des Betriebs durchgeführt werden. Geschichte der Großrechner Aus elektromechanischen Relais wie sie in den 40er Jahren in der verfeinerten Telefontechnik Verwendung fanden, dem Einsatz des binären Boole schen Zahlensystems und von ausgedienten Kinofilmen als Lochstreifen konstruierte der deutsche Ingenieur Konrad Zuse 1941 an der Technischen Universität Berlin- Charlottenburg den ersten, programmgesteuerten, einsatzfähigen Computer namens Zuse 3 (auch Z 3 genannt) der heute als der erste Computer der Welt angesehen wird. Bildquelle: Picture-Alliance/dpa - Konrad Zuse - Erfinder des ersten Computers. 1941 entwickelte er in seiner Wohnung in Berlin-Kreuzberg den Z3, den ersten programmgesteuerten Binärrechner der Welt, mit einem Speicher und einer Zentralrecheneinheit. Der Z3 gilt heute als erster Computer der Welt. 4/06 8
Großrechner hielten dann mit der Erfindung des Transistors Mitte der 50er Jahre zunächst hauptsächlich in Forschungseinrichtungen Einzug, etwa zur Lösung von Differentialgleichungen. Dort beanspruchten sie meist einen ganzen Raum für sich alleine, welcher klimatisiert werden musste, um der Hitzeentwicklung des Gerätes entgegen zu wirken. Foto: Wikimedia Lochkarte als Datenträger Die Funktionsweise war damals etwa folgende: Ein Operator brachte auf Lochkarten gestanzte Rechenaufgaben zu einem Gerät, welches die Lochkarten einlas und die Daten auf einem Magnetband speicherte. Ein anderer Operator brachte dieses Magnetband zum eigentlichen Großrechner, der das Magnetband abarbeitete und die Ausgabe auf einem anderen Magnetband speicherte. Ein weiterer Operator brachte das Magnetband mit den Ergebnissen zu einem Drucker, welcher die Daten vom Magnetband auf Papier übertrug. Mitte der 60er Jahre wurde das so genannte Multiprogramming (Mehrprogrammbetrieb) eingeführt, das bis ca. 1980 bestehen konnte. Man hatte festgestellt, dass zuvor die CPU selbst einen großen Teil der Zeit nicht benutzt wurde, da sie auf Ein- und Ausgabeoperationen der Bänder warten musste, bis sie ihren nächsten Auftrag abarbeiten konnte. Daher teilte man den Hauptspeicher in Teilbereiche auf und konnte so mehrere Bänder gleichzeitig bearbeiten. Wichtig zu sehen ist, dass Großrechner bis in die 70er Jahre die vorherrschenden Systeme waren und heute noch immer wichtige und zentrale Aufgaben in Banken, Großunternehmen, Verwaltungen und Rechenzentren finden. Der Großrechner im LED / LIT / ITDZ Berlin Die Entwicklung und der Einsatz von Großrechnern gingen nicht an der Verwaltung des Landes Berlin vorbei. Bereits Mitte der 60er Jahre wurde durch das Landesamt für Elektronische Datenverarbeitung (LED) ein Großrechner betrieben und im Laufe der Jahre wurden daraus insgesamt vier Host-Systeme die mit den Betriebssystemen BS1000/ BS2000 der Firma Siemens und MVS der Firma IBM die Großverfahren des Landes zur Verfügung stellten. Diese Systeme wurden bis Mitte der 80er Jahre fast ausschließlich für die Datenverarbeitung genutzt und erst mit der politischen Entscheidung zur Dezentralisierung der Datenverarbeitung im Land Berlin wurden die ersten Verfahren auf den damals noch neuen UNIX-basierten Systemen entwickelt und zum Einsatz gebracht. Foto: Hannes Grobe, Wikimedia - EDV-Magnetband Heute wurden durch die Entwicklung moderner Verfahren auf Client-/Server-Basis die Host-basierten Verfahren soweit reduziert, dass durch das ITDZ- Berlin nur noch ein Großrechner der Firma IBM mit fünf zentralen Verfahren betrieben wird. 4/06 9
Operator mit Hauptrechner und Magnetbandlaufwerken Das Rechenzentrum im Wandel der Zeit Während also über einen relativ langen Zeitraum eine große Stabilität in den zur Verfügung stehenden Rechnerplattformen herrschte, ist seit den 80er Jahren ein stetiger Wandel zu erkennen. In immer schnellerer Folge werden neue Systeme und Standards geboren, die eine permanente Anpassung des Rechenzentrums an die Anforderungen des Landes erfordern. Waren es am Anfang die UNIX-Systeme, die für eine begrenzte Nutzerzahl (bis 200 User) mit noch vergleichbaren Mechanismen (Terminaltechnik) neue Anwendungen zum Einsatz brachten, so wurde mit dem Einsatz des ersten PC mit MS-DOS Betriebssystem eine wahre Revolution ausgelöst. Erstmals kamen völlig neue Benutzer- UNIX-Rechner IBM RS/6000 SP schnittstellen zum Einsatz und einer völligen Dezentralisierung der Datenverarbeitung schien nichts mehr im Weg zu stehen. Es wurden also immer mehr PC-Systeme zum Einsatz gebracht und um die damals neuen Serversysteme für Datenund Druckdienste ergänzt. Mit der größeren Verbreitung wuchsen dann auch die Anforderungen an die Netze und für viele Verfahren, die von mehreren Nutzern benötigt wurden, stieg die Komplexität immer weiter an. Die klassischen Großverfahren wie Haushalts- und Personalwesen wurden dagegen in den immer leistungsfähigeren UNIX-Systemen implementiert und konnten durch die zentrale Steuerung im Rechenzentrum hochverfügbar, performant und wirtschaftlich betrieben werden. Mit dem Wachstum verteilter Systeme, dem Einsatz neuer Funktionen und der Weiterentwicklung der immer leistungsfähigeren Hardware wurden auch neue Mechanismen benötigt. Für die Anmeldung werden heute Directory Services benötigt, die über Schnittstellen die verschiedensten Informationen aus den einzelnen dezentralen Systemen konsolidieren und zur Verfügung stellen. Die Vielzahl der Serversysteme, die heute in einem komplexen Zusammenspiel von Datenhaltung, Diensten und Datenverarbeitung unsere Anwendungen zur Verfügung stellen, werden in großen Serverfarmen zusammengefasst und mit standardisierten Funktionen gesichert und administriert. Die Entwicklung immer leistungsfähigerer Systeme führt dazu, dass immer mehr Großverfahren in diese Umgebung eingebracht werden können, aber auch, dass für die Bereitstellung steuernde und koordinierende Funktionen und Dienste benötigt werden um die geforderte Verfügbarkeit und Stabilität zu erreichen. Einen weiteren Entwicklungsschub hat es mit der Einführung des World Wide Webs gegeben. Die hier zur Verfügung stehenden Funktionen unterstützen in besonderer Weise eine hohe Verteilung der Anwendung auf viele 4/06 10
Serversysteme. Ergänzt um eine Vielzahl von hochkomfortablen Entwicklungssystemen und Diensteplattformen ist es heute möglich, auch große und intensiv genutzte Anwendungen in heterogenen und verteilten Umgebungen zu betreiben. Der aktuelle Trend liegt jedoch in einer hohen Verdichtung und Vereinheitlichung der Hard- und Software, um durch einen hohen Automatisierungsgrad den Aufwand für den Betrieb derartig komplexer Umgebungen möglichst niedrig zu halten. Weiterhin ist festzustellen, dass die Entwicklung der Hardware Leistungsklassen hervorgebracht hat, die von einem oder auch mehreren Nutzern nicht mehr ausgenutzt werden können. Hier entstehen Überkapazitäten, die nur durch den Einsatz von Virtualisierungsmechanismen wieder ausgelastet werden können. Das ITDZ Berlin und seine Vorgänger LED und LIT haben sich diesem Wandel nie verschlossen. Die hier aufgezeigte Entwicklung wurde und wird immer aktiv begleitet, so dass wir alle hier aufgezeigten Techniken unterstützen und mit zentralen und vereinheitlichten Mechanismen überwachen und betreiben können. PETER SCHLICHT ITDZ Berlin Fragen? Rufen Sie an: INFOLINE ITDZ Berlin 90 12 (912) 60 80 Einsatz von Serverbzw. Datenbank- Cluster-Systemen (Oracle) im hochsicheren Data- Center (HDC) In den letzten drei Jahren ist die Anzahl der Cluster-Systeme im HDC deutlich angestiegen. Waren vor einigen Jahren noch große Single- Systeme im Einsatz, geht der Trend im HDC in Richtung Cluster-Systeme, wenn man hochverfügbare, skalierbare Systeme für sensible und anspruchsvolle IT- Verfahren anbieten will. Ein Cluster ist eine Zusammenschaltung von mehreren Knoten (Server) zu einem neuen, leistungsfähigeren System, welches sich durch hohe Verfügbarkeit und Zuverlässigkeit auszeichnet. Ziel ist es, die von den Systemen zur Verfügung gestellten Dienste (z.b. Datenbanken oder Webdienste) nach einer Systemstörung ohne menschlichen Einsatz möglichst ohne Zeitverzug schnell wieder zur Verfügung zu stellen. Das heißt, das Gesamtsystem bleibt verfügbar und die Arbeitslast des ausgefallenen Systems wird auf die verbleibenden Rechner verteilt. Weitere Vorteile sind die leichte Erweiterbarkeit und unter bestimmten Voraussetzungen die Möglichkeit des Loadbalancing, um hohe Lasten im Gesamtsystem besser verteilen zu können. Es gibt mehrere Möglichkeiten, Server als ein hochverfügbares System zu betreiben. Für die IT-Verfahren, die wir im HDC unterstützen, haben wir die unterschiedlichsten Varianten in die Praxis umgesetzt. Ausschlaggebend waren immer die Anforderungen unserer Kunden an die Verfügbarkeit der Anwendungen generell und damit an die darunterliegende Infrastruktur. Aktiv-Passiv- Cluster (Cold Standby) Auf einem Aktiv-Passiv-Cluster laufen auf einem Knoten die Dienste und diese werden im Fehlerfall auf einen zweiten Knoten, der sich ansonsten passiv verhält, geschwenkt. Ob der jeweils andere Rechner aktiv ist, wird über den Cluster Heartbeat überprüft. Dies ist eine dedizierte Netzwerkverbindung, die zwischen den Knoten besteht. Der Heartbeat stellt die Kommunikation des Clusters sicher und überträgt die Lebenszeichen der beiden Cluster-Knoten. Verstummt der Heartbeat des Primärrechners, so geht der Standby- Knoten davon aus, dass er den Betrieb übernehmen muss. Er übernimmt die logische IP-Adresse und startet die Dienste, um die Betriebsfähigkeit wieder herzustellen (siehe Abb. 1 auf der nächsten Seite). Im HDC haben wir mehrere Cluster dieser Art im Einsatz, die Applikationen, Web- oder Druckdienste anbieten. Als Betriebssystem setzen wir Linux ein, welches den Betrieb eines Clusters nur mit Betriebssystem-Software ermöglicht. Aktiv-Aktiv- Cluster Bei einem Aktiv-Aktiv-Cluster sind alle Knoten immer aktiv, wobei ein Dienst nur auf einem Knoten zu einer Zeit aktiv ist. Im Fehlerfall, wenn zum Beispiel eine Ressource ausfällt, erfährt dies der andere Knoten über den Heartbeat und der Dienst, der die Ressource benutzt, wird kontrolliert heruntergefahren und auf dem anderen Knoten gestartet. Es werden Pakete geschnürt, die die Zusammengehörigkeit von Ressourcen zu Diensten darstellen, um genau das, was zu einem Dienst gehört, schwenken zu können. Benötigt wird dafür eine Cluster-Management-Software- als Zusatz zum jeweiligen Betriebssystem (z.b. ServiceGuard, HACMP, Veritas Cluster). Für mehrere Verfahren sind Aktiv-Aktiv Cluster im HCD im Einsatz. Es ist damit relativ unkompliziert das Switchen von einem oder mehreren Paketen 4/06 11
möglich, wenn z. B. die Lastverteilung sich aufgrund anwendungsspezifischer Ereignisse temporär verändert (siehe Abb. 2 auf dieser Seite). Der jüngste Fortschritt in der Cluster- Technologie besteht in der Verteilung von Diensten auf mehrere aktive Knoten. Ein Beispiel, welches auch im HDC Anwendung findet, ist der Einsatz von Oracle Real Applikation Cluster (RAC). Oracle Real Application Cluster (RAC) Abbildung 1 Aktiv-Passiv-Cluster Schon in der Oracle Version 9 konnten RAC Cluster implementiert werden. Der Vorteil liegt darin, dass beim Ausfall eines Knoten die Clients sich sofort und ohne Wiederanlaufzeit wieder auf den verbleibenden Knoten anmelden können. Es können alle Knoten im Normalbetrieb genutzt werden und die Lasten werden über sie gleichmäßig verteilt. Damit kann ein sehr hohes Maß an Verfügbarkeit realisiert werden. Über ein schnelles Interconnect-Netz werden wieder Statusinformationen ausgetauscht, die für den Betrieb des Clusters notwendig sind. Anders als bei den oben vorgestellten Cluster-Typen erfolgt im Oracle Real Application Cluster ein konkurrierender Zugriff auf die Shared Storages. Das heißt, zwei oder mehrere Datenbankinstanzen greifen von unterschiedlichen Knoten auf die gemeinsame Datenbank im Shared Storage zu, in der alle Datenbank-Files liegen. Zur Speicherung der Daten auf Shared Storage können verschiedene Technologien eingesetzt werden. Ab der Oracle-Version 10 ist es möglich, Automatic Storage Management (ASM) zum Speichern der Daten zu benutzen. ASM bietet ähnliche Funktionalitäten wie ein Cluster-Volume-Manager eines Betriebssystems, der zusätzlich den konkurrierenden Zugriff mehrerer Rechner bewerkstelligen muss (siehe Abb. 3 auf der nächsten Seite). Abbildung 2 Aktiv-Aktiv-Cluster Um eine hohe Verfügbarkeit zu gewährleisten, bedarf es selbstverständlich nicht nur Server, die geclustert sind, 4/06 12
Basis der Einführung der Telefonkommunikation über IP (Internet Protokoll) ist die Erneuerung des Hochgeschwindigkeitsnetzes der Hauptstadt, das Berliner Landesnetz, welche bereits angelaufen ist. Erstmalig werden dann Sprache und Daten über ein Transportnetz (MSN Multi Service Network) auf Basis MPLS (Multi Protocoll Label Switching) durchgeführt. Die Telefonieversorgung des Berliner Landesnetzes basiert derzeit auf Tk- Anlagen, die dezentral in den Standorten der Berliner Verwaltung die Kunden versorgt. Diese Tk-Anlagen sind über ein Transportnetz auf Basis der SDH- Technik (Synchrone Digitale Hierarchie) vernetzt. Zentraler Netzknoten sind zwei Transitanlagen, die zugleich den Zugang zum öffentlichen Telefonnetz herstellen. Das SDH-Netz wird zu Gunsten des MSN abgelöst. IP-Centrex wird im Berliner Landesnetz die bisherig, konventionelle Tk-Versorgung ersetzen. Was heißt IP-Centrex Abbildung 3 Oracle Real Application Cluster sondern auch redundanter Anschlüsse für die Verbindungen zum SAN, für das Interconnect- und für das Produktionsnetz und die dahinterliegende Infrastruktur (Switche, Firewall, Loadbalancer) muss redundant ausgelegt sein. Welche Art von Cluster jeweils zum Einsatz kommt und welche Komponenten ausfallsicher vorgehalten werden müssen, ist abhängig von den Anforderungen der IT-Verfahren. Ein wichtiges Kriterium bei der Betrachtung ist hierbei die Wiederinbetriebnahmezeit und die garantierte Systemzugangszeit. Daraus lässt sich ableiten, wie hoch die Verfügbarkeit sein soll und demnach müssen technische Lösungen gefunden werden, die für den Kunden auch bezahlbar sind. YVONNE BURKHARDT ITDZ Berlin IP Centrex als zentrale Voice over IP-Lösung für die Berliner Verwaltung Die vom ITDZ betriebene Telekommunikationslandschaft steht vor einem Technologieumbruch. In 2005 durchgeführte Planungen zu einer zentralen VoIP-Lösung, im Rahmen des Projektes Berliner Landesnetz Next Generation (BeLa NG), befinden sich derzeit in der Realisierung. Der Begriff Centrex steht für Central Office Exchange. Centrex bedeutet, dass innerhalb einer öffentlichen Vermittlungsstelle Funktionen von privaten Tk- Anlagen (PBX = Private Branche Exchange) zur Verfügung gestellt werden. Alle Komponenten befinden sich zentral bei dem bereitstellenden Dienstleister. Die früher dezentralen Tk-Anlagen werden virtuell in einem zentralen System abgebildet. IP-Centrex verdeutlicht, dass der Telekommunikationsdienst auf Basis der Voice over IP-Technologie realisiert wird. Beim Nutzer befinden sich nur noch die IP-Telefone, dezentrale Tk-Technik (Telefonanlage im Nutzerstandort) ist nicht mehr erforderlich. Vorteile von IP-Centrex Der zentrale Technikansatz ermöglicht die Errichtung von virtuellen Tk-Anlagen über mehrere Standorte hinweg. Dies bringt für die Nutzer im Land Berlin, welche in verschiedenen Bürodienstgebäuden untergebracht sind, folgende Vorteile: Nach außen und innen erscheint es so, als säßen alle Mitarbeiter in einem Standort. Leistungs- 4/06 13
merkmale lassen sich standortübergreifend einheitlich nutzen der Kollege im Standort A kann z. B. dem Kollegen in Standort B einen Rückrufwunsch hinterlassen. Ein weiterer großer Vorteil besteht darin, dass bei Mitarbeiterumzügen von einem Standort zu einem anderen Standort, die Tk-Anlage nicht mitziehen muss. Mit der konventionellen Tk-Technik (TDM-Technik Time Division Multiplex-Technik) war bei Standortwechsel in der Regel eine weitere Tk-Anlage erforderlich, die die Telefonnutzer im neuen Standort versorgt, da das alte Tk-System im alten Standort verbleiben musste, um die im Standort verbleibenden Teilnehmer weiterhin versorgen zu können. Das Vorhandensein einer Tk-Anlage würde quasi die Nichtversorgung mit Tk-Dienstleistung eines der am Umzug beteiligten Standorte in diesem Zeitraum nachsichziehen. Bei IP-Centrex werden bei Standortwechsel nur die beteiligten IP-Telefone umgezogen. Die IP-Phones erfordern keine separate LAN-Infrastruktur. Das LAN welches für die Datenverarbeitung genutzt wird, kann für den IP-Centrex-Dienst verwendet werden. Voraussetzung ist, dass die passive und aktive LAN-Technik VoIP-fähig ist. Die IP-Telefone werden an vorhandene Switchports angeschlossen. Es besteht die Möglichkeit, PCs direkt an dem im IP-Telefon integrierten Switch anzuschließen Die Trennung der Sprach- und Datenströme erfolgt mittels VLANs (virtuelle LANs), wobei die Sprache wegen des hohen Verfügbarkeitsanpruches höher zu priorisieren ist. Wahlweise können auch kleine Standorte eingebunden über entsprechende Leitungen eines ISPs (Internet Service Provider). Bild 1 Zielsystem BeLa NG, BeLa IP-Centrex Einbindung konventioneller Tk-Technik über Gateways VoIP-Gateway Transit Call Server IP-Netz PSTN VoIP-Gateway Server VMS IP- UMS Centrex so ausgeschrieben, dass es eine Erweiterbarkeit bis 100.000 IP-Phones ermöglicht und ist damit kapazitiv in der Lage alle bisher über konventionelle Tk-Technik versorgte Telefonteilnehmer der Berliner Verwaltung auf VoIP umzustellen. Ergänzend wird zentral ein Voice Mail System aufgebaut. Die IP-Teilnehmer der IP-Centrex-Lösung, aber auch andere Telefonteilnehmer, deren Tk-Anlagen über IP-Gateways an die zentralen Komponenten angeschlossen sind, werden dann auf die zentralen Sprachboxen zugreifen können. Ausblick Es ist geplant neben dem zentralen Telefonieservice weitere Services mit der IP-Centrex-Lösung (Unified Messaging, Computer Telephony Integration) anzubieten. Unified Messaging: Dieser Begriff steht für eine einheitliche Kommunikationsplattform, bei der Informationen beispielsweise über einen E-Mail-Account gesammelt werden können. Hier laufen Information wie Fax, Voice und andere Informationen zusammen. Computer Telephony Integration: Ermöglicht z. B. das Anwählen von Telefonummern aus dem PC, z. B. aus Outlook oder anderen Anwendungen heraus. UTA NOWACK ITDZ Berlin analoge Endgeräte (a/b) Tk-Anlage mit Baugruppen digitale Endgeräte IP-Centrex- Standort A IP-Telefone IP-Centrex- Standort B IP-Telefone IP-Centrex- Standort Z IP-Telefone Know-how und doppelte Sicherheit Einführung von IP-Centrex, Skalierung Mit dem Rollout von BeLa MSN und dem Austausch der derzeitigen Transitzentralen gegen Transit Call-Server (IP) sind die Ausgangsbedingungen für die Einführung von IP-Centrex gegeben. Die Arbeiten zur Vorbereitung des Rollout der genannten Systeme haben begonnen. Die IP-Centrex-Lösung basiert auf dem Cisco Unified Call Manager. Das redundante System hat im Erstausbau eine Kapazität von 5750 IP-Telefone. Das System wurde Als zuverlässiger Partner der öffentlichen Hand vertrauen unsere Kunden seit über 35 Jahren unserer ausgesuchten Fachkompetenz in den Bereichen IT- und Arbeitsplatzoptimierung. Mit einer Vielzahl an Pilotprojekten und Kernleistungen in der öffentlichen Verwaltung, der Polizei und der Justiz bieten wir unseren Kunden optimale 4/06 14
Lösungen zu allen Fragen und Problemstellungen an. Aufbauend auf diese langjährige Erfahrung, in der wir branchenvergleichend Maßstäbe gesetzt haben, entwickelte sich das hochsichere Data-Center (HDC) als wichtige Komponente im Umgang mit besonders sensiblen Daten. Der Produktbereich IT-Secure stellt mit seinen Konzepten zur Betriebs-, Anwendungs- und Datensicherheit eine reibungslose Verbindung zwischen dem HDC und dem Kunden her. Dabei hat einer unserer ITDZ Berlin-Leitsätze Schutz personenbezogener und vertraulicher Daten immer oberste Priorität. Mobiles Rechenzentrum Mit dem Projekt Blackbox stellt Sun sein innovatives Konzept eines mobilen Rechenzentrums vor, dass für den flexiblen Einsatz zu jeder Zeit an jedem beliebigen Ort entwickelt wurde. Projekt Blackbox ist ein sofort betriebsbereites Rechenzentrum bestehend aus Compute-, Storage- und Netzwerk-Infrastrukturen inklusive hoch effizienter Stromversorgung und Kühlung. Verbaut in modularen Einheiten finden die einzelnen Komponenten in einem standardisierten Schiffscontainer Platz. Eine Blackbox fasst bis zu 240 Sun Fire Server, mehr als 1,4 Petabyte an Storage-Kapazität und 15 Terabyte Arbeitsspeicher. Das komplett bestückte und vorkonfigurierte System ist für maximale Rechendichte, Performance und Auslastung ausgelegt und vollständig recyclebar. Folgende Vorteile des HDC spiegeln sich in den Möglichkeiten für unsere Kunden wieder: Herausragendes technisches Know-how, doppelte Sicherheit durch den Energieversorger als auch die zusätzliche unabhängige Stromversorgung und die unerschöpfliche Speicherkapazität. Mit diesem höchstmöglichen Sicherheitsstandard das HDC und der ständigen Weiterentwicklung von Speicherkomponenten garantiert das hochsichere Data-Center ein Maximum an Sicherheit, sowohl für die eigenen ITDZ-Server (Hosting) als auch für Kundenserver (Housing). Zufriedene Kunden wie das Landesamt für Bürger- und Ordnungsangelegenheiten (LABO) (Kfz-Zulassung, Einwohnerwesen) und die Senatsverwaltung für Finanzen (Neue Berliner Rechnungswesen - NBR, Haushalts-, Kassen- und Rechnungswesenverfahren ProFiskal) nutzen unsere fachliche Kompetenz, die beliebig erweiterbaren Hardwarekapazitäten sowie unsere automatische Überwachung des störungsfreien Betriebes der Server. Der Formfaktor und die verwendeten Technologien bieten eine Reihe an potenziell neuen Einsatzbereichen. Hierzu zählen etwa die temporäre Erweiterung von stationären Rechenzentren zur Kompensation von Unterkapazitäten, der Einsatz in Entwicklungsländern, der Vor-Ort-Betrieb als mobiles Rechenzentrum sowie die Flexibilität, das Rechenzentrum dort aufzustellen, wo alternative Energieformen oder aber kostengünstigere Energietarife verfügbar sind. Projekt Blackbox ist gegenwärtig in der späten Prototypphase. Sun hat bereits damit begonnen, das System an erste Beta-Kunden auszuliefern. Die generelle Verfügbarkeit von Projekt Blackbox ist für Mitte nächsten Jahres avisiert. Seit der Gründung 1982 bildet die Vision von Sun Microsystems Inc. (SUNW) "The Network is the Computer" das Fundament der Unternehmensphilosophie: die Bereitstellung umfassender Lösungen basierend auf offenen Standards und leistungsfähiger Computersysteme für alle Wirtschaftsbranchen und den öffentlichen Bereich. Sun Microsystems ist in mehr als 100 Ländern vertreten. KLAUS GRUNWALD ITDZ Berlin Weitergehende Informationen zum Projekt Blackbox sind verfügbar unter: www.sun.com/blackbox. 4/06 15
Bundeshöchstleistungsrechner SGI Altix 4.096-Prozessor-System bildet am Leibniz-Rechenzentrum innovative Ressource mit 17 TB großem einheitlich nutzbaren Hauptspeicher München (box) - Das Leibniz-Rechenzentrum (LRZ) in Garching bei München hat seinen neuen, auf der Server- Plattform SGI Altix 4700 basierenden Bundeshöchstleistungsrechner in erster Ausbaustufe in Betrieb genommen. Der Superrechner, der mit seinen zunächst 4.096 Prozessoren und einem einheitlich adressierbaren Hauptspeicher von 17 TB Größe eine europaweit einzigartige Ressource darstellt und Forschern und Wissenschaftlern in Bayern, Deutschland und darüber hinaus quantitativ wie auch qualitativ neue Möglichkeiten des Supercomputings schafft, wurde von SGIs CEO Dennis McKenna offiziell übergeben. Die Investitionskosten für den neuen Nationalen Höchstleistungsrechner liegen insgesamt bei 38 Millionen Euro. Die Übergabe erfolgte am 21.7.2006 im Rahmen einer feierlichen Einweihung des neuen Rechenzentrums in Garching - in Gegenwart der Bundesministerin für Bildung und Forschung, Dr. Annette Schavan, des Bayerischen Ministerpräsidenten, Dr. Edmund Stoiber, sowie des bayerischen Staatsministers für Wissenschaft, Forschung und Kunst, Dr. Thomas Goppel. Das SGI-System wird dem LRZ erlauben, die akademische Nutzergemeinde bei den immer anspruchvolleren und zahlreicheren Simulationsproblemen in Physik und Astrophysik, Materialforschung, Strömungsdynamik, Chemie, Geo- und Biowissenschaften auch in Zukunft mit schneller State-of-the-art- Technologie und ausreichender Kapazität zu unterstützen. Gleichzeitig erschließt die SGI-Lösung Möglichkeiten, um verstärkt auch Nutzer aus anderen aufstrebenden Bereichen wie den LifeSciences auf die Simulationsplattform zu führen. Mit dem Altix-Superrechner wird das LRZ insbesondere auch die internationale Konkurrenzfähigkeit beim wissenschaftlichen Höchstleistungsrechnen weiter ausbauen. Prof. Dr. H-G. Hegering, Vorsitzender des Direktoriums des LRZ: Der neue Höchstleistungsrechner des LRZ hebt sich innerhalb der bisherigen Landschaft deutlich ab - in seiner Architektur, seiner vielseitigen Einsatzfähigkeit und seiner anwenderorientierten Leistungsfähigkeit. Er wird die Innovationskraft der Region stärken, das Angebot innerhalb der deutschland-weit verfügbaren Spitzenleistung ergänzen und uns letztlich erlauben, mit einem differenzierenden Konzept in den Wettbewerb um einen Europäischen Höchstleistungsrechner zu gehen. Dennis McKenna: Es freut mich, ein System zu übergeben, das eines der weltweit leistungsfähigsten ist. Nicht nur in theoretischen Zahlen gemessen, sondern insbesondere in der erzielbaren Produktivität. SGI ist der Forschung und Wissenschaft in hohem Maße verpflichtet - und die Maßstäbe, die uns bei der Entwicklung fortgeschrittenster Technologie für diese Nutzerkreise leiten, sind Time-to-Result, Time-to-Solution, Time-to-Innovation. Die SGI-Plattform soll helfen, beim Ringen um Ergebnisse und Erkenntnisse, um Innovationen und Durchbrüche schnelle, effiziente Wege zu beschreiten. SGI wünscht dem LRZ und seiner herausfordernden Science-Community viel Erfolg. Investition in Anwendungsleistung und Einsatzflexibilität In der jetzigen Ausbaustufe mit 4.096 Intel Itanium 2-Madison9M-Prozessoren (Clock-Rate 1.6 GHz) bietet der Altix-Supercomputer eine theoretische Peakleistung von rund 26 TeraFlops (die 2007 in Stufe 2 auf der Basis neuester Itanium-Dual- Core-Technologie auf über 60 TeraFlops anwachsen soll). Nicht die abstrakte Spitzenleistung war das Kriterium für das LRZ bei der Wahl des Rechners, unterstreicht Dr. Horst-Dieter Steinhöfer, am LRZ Abteilungsleiter für Höchstleistungsrechner. Kriterium war Sustained-Performance, die anhaltend höchste Leistung, die das System im praktischen Einsatz zu erbringen vermag, unter einem realistischen Lastmix mit Programmen, die für die Forschungsfragestellungen wichtig und nutzertypisch sind. Hinsichtlich der zu erwartenden Sustained-Performance zählt der neue LRZ-Superrechner international zu den leistungsfähigsten Systemen. Foto: Leibniz-Rechenzentrum - der LRZ-Höchstleistungsrechner 4/06 16
Für SGI Altix hatte sich das LRZ Ende 2004 entschieden, weil die Plattform mit ihrer bandbreitenstarken, hochgradig skalierenden ccnuma-architektur laut Benchmark-Tests unter den Angeboten die höchste aggregierte Gesamtleistung für relevante, gewichtete Applikationen und Applikationskerne erwarten ließ. Weiterer Grund für die Wahl von SGI: Mit ihrem extrem ausbaubaren, einheitlich adressierbaren Hauptspeicher und ihrer variablen Konfigurierbarkeit in Partitionen unterschiedlicher Größe erschließt die SGI-Plattform einzigartige Perspektiven hinsichtlich der Einsatzflexibilität und Nutzungseffizienz. Der Blade-Server SGI Altix 4700, eingeführt Ende 2005, erlaubt, in nur einer Partition, unter einer einzigen Linux- Instanz, bis zu 512 Prozessoren im Shared-Memory-Verbund zusammenarbeiten zu lassen. Erst kürzlich konnte SGI auf dem LRZ-System mit Hilfe einer Beta-Version von Novell SuSE Linux Enterprise Server 10 sogar demonstrieren, dass die Plattform im Single-System-Image (SSI) bis zu 1.024 Prozessoren unterstützt - womit SGI bei der SSI-Skalierbarkeit unter 64- Bit-Linux einen neuerlichen Weltrekord aufstellte. Auch in punkto Speicherzugriff hat sich SGI Altix 4700 erneut als Weltmeister erwiesen. Mit einer 1.024-Prozessor-SSI- Konfiguration konnte kürzlich auf dem LRZ-System als Weltrekord eine Memory-Bandbreite von dauerhaft 4.35 TB/s in STREAM-Triad-Benchmark-Tests verbucht werden. Robert Übelmesser, bei SGI Sales Director European HPC Projects: SGI ist stolz, dem LRZ ein Supercomputer- System übergeben zu können, das die Höchstleistungsrechner-Landschaft in Europa wesentlich erweitern wird. Neben der hohen Rechenleistung bieten die weltweit einmaligen 17 TeraByte gemeinsamer Hauptspeicher sowie die Weltrekord-Technologie in punkto SSI- Linux-Skalierbarkeit und Memory- Bandbreite einen substantiellen quantitativen und qualitativen Schritt vorwärts für das Höchstleistungsrechnen in Deutschland und in Europa. Das LRZ wird den Rechner zunächst in 16 Partitionen mit je 256 Prozessoren betreiben. Mit einer Login-Partition mit 2 TB Shared-Memory sowie 15 Produktionspartitionen für das eigentliche Batch-Processing mit 1 TB Shared-Memory. Im Zuge der nächsten Installationsstufe plant das LRZ bei der Granularität dann auf 512 Prozessoren pro Partition zu gehen. Wir sind interessiert, diese Möglichkeiten weiter zu verfolgen und später auch bis zur SSI-Grenze mit 1.024 Prozessoren zu gehen, wenn Anwender hierfür Bedarf melden sagt Dr. Matthias Brehm, Leiter der Gruppe Hochleistungsrechnen am LRZ. System für einfache Programmierung und neue Einsatzkonzepte Auf der SGI-Plattform am LRZ werden Programme laufen können, die für Distributed-Memory-Architekturen geschrieben sind (MPI- Codes) und wie in einem Cluster je nach Bewilligung mit bis zu 4000 Prozessoren arbeiten, für Shared-Memory-Umgebungen geschrieben sind (z.b. OpenMP-Codes) und mit bis zu 256 Prozessoren im Shared-Memory arbeiten, sowie auch solche Programme, die als Hybrid-Codes beide Architektur-Typen kombiniert nutzen. Damit erschließen sich in allen denkbaren Anwendungsgebieten neue Größenordnungen der Berechenbarkeit. Insbesondere wird mit der Shared-Memory-ccNUMA-Architektur des Altix- Systems das Programmieren von parallel ablaufenden Anwendungen erheblich erleichtert. Während etwa Astrophysiker oder Strömungsmechaniker Supercomputer seit deren Erfindung einsetzen und sich schon seit Jahrzehnten mit schwierigsten Parallelprogrammier-Methoden ausein-andersetzen, ist es für viele andere, aufstrebende Forschungsfelder wie etwa die Lebenswissenschaften unabdingbar, dass der Nutzer einen Supercomputer sofort auf möglichst unkomplizierte Weise nutzen kann. Eine Shared-Memory-Partition bietet dies. Es zeichnen sich hochattraktive Einsatzkonzepte ab, die ideal Gebrauch machen können von dem großen Arbeitsspeicher. Beispiel sind die enormen Datenbanken, die in der Genomik und Proteomik gegeneinander abgeglichen werden müssen. Kann das Datamining komplett im schnellen Memory stattfinden, ohne Zugriff auf Festplatte, lassen sich enorme Beschleunigungen erzielen. Brehm: Rechen- und I/O-Leistung sind bei dem neuen LRZ-System ausgewogen konfigurierbar. Bei Programmierwerkzeugen und Anwendungscodes erschließt sich eine breite Verfügbarkeit. Ebenso erlaubt das SGI-System eine nahtlose, auf leichte Nutzbarkeit zielende Einbettung in die gesamte LRZ- Umgebung. Damit stellt die Plattform SG Altix 4700 des LRZ für den Nutzer von Höchstleistungsrechnern in Deutschland einen gewaltigen Fortschritt dar. Vielfältige Aufgaben warten Auf ihren Einsatz auf dem neuen LRZ- Höchstleistungsrechner wartet inzwischen eine Vielfalt von Anwendungen und Projekten. Der SGI-Altix-Rechner am LRZ soll helfen u.a. bei der Simulation von Turbulenzen, beim Studium von Strömungen in porösen Gebilden, beim Zusammenwirken von Strömungen und deformierbaren Strukturen, bei Fragen der Entstehung und Ausbreitung von Schall, bei Hochtemperatur-Supraleitung, bei Formgedächtnis- 4/06 17
Materialien, bei der chemischen Reaktionen in Verbrennungs- und Katalyseprozessen, bei der Ausbreitung von seismischen Wellen und Erdbeben sowie bei der Untersuchung der Beziehungen zwischen Sequenz, Struktur und Funktion von Proteinen. Voraussetzung für die Nutzung des Rechners ist eine positive Begutachtung des jeweiligen Projektes durch ein Expertengremium. Kurze Installationszeit Die Übergabe des Systems konnte nach kurzer Installationszeit, wenige Wochen nach Anlieferung der ersten System-Racks erfolgen. Ausbau Stufe1 und Stufe 2 - und einige Zahlen In seiner jetzigen Ausbaustufe 1 ist der Höchstleistungsrechner mit einer Plattenspeicherkapazität von 300 TB FibreChannel-Disks ausgestattet, die direkt an die Partitionen angebunden sind und die Ergebnisse und die möglichst schnell auszulagernden und den Verarbeitungsprozessen immer wieder zuzuführenden Zwischenergebnisse der Simulationsläufe halten. In Stufe2 (Sommer 2007) wird der Plattenspeicher auf 600 TB erweitert werden, der Hauptspeicher auf 40 TB ausgebaut. Mit der Aufrüstung auf neueste Intel-Itanium- Dual-Core-Technologie wird sich die Applikationsleistung verdoppeln. Der LRZ-Höchstleistungsrechner setzt sich zusammen aus 128 Altix-Racks, die in 8 Reihen (Ranks) zu je 16 Racks (mit derzeit 2 Partitionen) angeordnet sind, sowie einer Reihe aus 18 Racks mit SGI InfiniteStorage - Technologie - mit den FibreChannel-Platten, Switches und CXFS-Metadaten-Servern. Die 146 SGI-Racks (plus 2 Racks NAS- Storage von Network Appliance für das File-Serving) wiegen rund 100 Tonnen. Sie belegen eine Stellfläche von rund 290 m 2 (24m x 12m) und stehen auf einem 1.8m hohen, begehbaren Unterboden, der die Verkabelung des Altix-Systems zu Storage und Netzwerk-Infrastruktur beherbergt und den erforderlich hohen Luftdurchsatz für die Kühlung erlaubt. Die Leistungsaufnahme des Systems beträgt 1 Megawatt. Die Kühlung, die weitere 300 Kilowatt benötigt, wälzt stündlich 400.000 Kubikmeter Warm- in Kaltluft um. Der Bundeshöchstleistungsrechner des LRZ ist über einen 10-GigaBit-Anschluss an das Deutsche Wissen-schaftsnetz und die DEISA-Infrastruktur (Verbund europäischer Höchstleistungszentren) angekoppelt. Standardisierung von Basisinfrastruktur Mit Verabschiedung der US-Norm TIA-942 sowie der kurz bevorstehenden Umsetzung in die europäische Norm EN 50173-5 wird auch die Basisinfrastruktur in Rechenzentren standardisiert. Verschiedene Arten der Verkabelung, einzusetzende 19"-Technologien, Stromversorgung, Klimatisierung und Erdung sind neben der Einordnung der Rechenzentren in vier Verfügbarkeitsklassen nur einige der vielfältigen Inhalte. Stromausfälle legen Computer lahm Berlin - Die meisten Unternehmen in Deutschland haben keine Vorkehrungen gegen Stromausfälle getroffen. Dabei können schon kurze Unterbrechungen nicht nur Industrieanlagen, sondern auch Rechenzentren für längere Zeit lahm legen. Ein dreitägiger Ausfall der Firmen-IT gilt bei 25 Prozent aller Unternehmen als existenzbedrohend. Darauf hat der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (BITKOM) heute in Berlin hingewiesen. Eine Haftung für mögliche Schäden schließen die Energiekonzerne in ihren Standardverträgen aus. Abhilfe schaffen Notfallsystems wie Hochleistungsbatterien oder Benzin-betriebene Aggregate. Sie springen ein, wenn der Strom aus den öffentlichen Netzen nicht mehr fließt. Doch gerade kleine und mittelständische Unternehmen setzen solche Lösungen oft nicht ein. Die europaweiten Stromausfälle vom Wochenende zeigen, wie ernst die Problematik ist. Fast kein Geschäft wird heute mehr ohne IT-Unterstütung abgewickelt. Viele Unternehmen gehen einfach zu lax mit diesem Thema um, sagte Dr. Ralph Hintemann, Bereichsleiter IT-Infrastruktur beim BITKOM. Zwar konnte beim jüngsten Zwischenfall die Versorgung innerhalb weniger Stunden wieder hergestellt werden, doch im vergangenen Winter fiel im Münsterland der Strom mehrere Tage lang immer wieder aus. Vereiste Masten waren unter der Last von Schnee und Eis zusammengeknickt. Allerdings können nicht nur Stromausfälle firmeninterne IT-Systeme lahm legen. Auch Brände, Sabotage, fehlende Wartung oder menschliches Versagen sind mögliche Ursachen. Wie sollen sich Unternehmen vor solchen Gefahren schützen? Antworten liefern die beiden neuen BITKOM-Leitfäden Betriebssicheres Rechenzentrum und Hochverfügbare Informationstechnik. Sie stehen ab sofort zum kostenlosen Download bereit unter http://www.bitkom.org/de/ publikationen/38337.aspx. 4/06 18
Die erste Besetzung für Ihre IT. Als IT-Dienstleister mit langjähriger Erfahrung bieten wir der Berliner Verwaltung: ganzheitliche, qualitativ hochwertige und wirtschaftliche IT-Dienstleistungen zeitgerechte egovernment-lösungen innovative Technik zur Modernisierung der gesamten Verwaltung Lösungen zur Optimierung des Bürgerservices Der moderne Staat braucht IT. Wir erschließen den Nutzen! IT-Dienstleistungszentrum Berlin Berliner Str. 112 115, 10713 Berlin www.itdz-berlin.de 4/06 2/06 19
Dieser Weg ist bundesweit beispielgebend für egovernment Der Staatssekretär im sachsenanhaltischen Innenministerium, Rüdiger Erben (SPD), hat Mitte Oktober 2006 in Magdeburg den Startschuss für den Einsatz sicherer elektronischer Signaturen in Verwaltungsvorgängen gegeben. Der Empfänger einer auf diese Weise elektronisch signierten Nachricht kann deren Inhalt vertrauen und das Dokument verbindlich einem Urheber zuordnen. Mit der Bereitstellung der elektronischen Signatur wird für viele Projekte und Fachverfahren der Weg zu einem echten egovernment erst möglich, so Rüdiger Erben. Der Weg, den Sachsen-Anhalt hier beschreitet, ist bundesweit beispielgebend. Im Gegensatz zu anderen Herangehensweisen nimmt die Signaturkarte Sachsen-Anhalts, die von Erben heute erstmals unter Echtbedingungen eingesetzt wurde, sowohl die fortgeschrittene Signatur als auch die qualifizierte Signatur auf. Das ermöglicht rechtsverbindliche elektronische Unterschriften sowohl im Geschäftsverkehr nach außen als auch in der Kommunikation innerhalb der Verwaltung. Sichere elektronische Kommunikation mittels Signaturen - was ist das und wie funktioniert das? In bislang papiergebundenen Verwaltungsprozessen aller Art können ab sofort Signaturkarten vergleichbar mit Geld- und Kreditkarten eingesetzt werden. Das bedeutet, dass die bisher alleinig rechtsverbindlich persönliche Unterschrift des Bearbeiters unter Dokumenten durch eine gleichwertige elektronische Unterschrift mittels Signaturkarte ersetzt wird. Damit ist die Verwendung der elektronischen Kommunikation für rechtlich verbindliche Entscheidungen im Verwaltungsalltag möglich. Welche Daten enthält die Signaturkarte? Die Signaturkarte trägt die beglaubigten Identifizierungsdaten des Karteninhabers (Zertifikat). Die Signaturkarte enthält ein mathematisches Schlüsselpaar, dass sich aus einem sogenannten privaten Schlüssel und einem öffentlichen Schlüssel zusammensetzt. Was bedeutet das für den Verwaltungsalltag? Einige praktische Beispiele: ab 1. Januar 2007 bundesweite Vernetzung der Einwohnermeldeämter mit dem Zweck des vollständig elektronischen, gesicherten Datenaustauschs Anwendungen in den Bereichen der elektronischen Vergabe, dem elektronischen Mahnverfahren und Fördermittelverfahren in Planung, Umsetzung bzw. schon im Einsatz Das elektronische Rathaus ist keine Vision mehr Was bedeutet das rechtlich? Das Deutsche Signaturgesetz ermöglichte die Anpassung einer Vielzahl von Gesetzen und Verordnungen, u.a. der Verwaltungsverfahrensgesetze des Bundes und der Länder. Dies wird im LSA bis auf die Ebene der Aktenordnung Auswirkungen haben. Durch die Gleichstellung von elektronischer Form und Schriftform ist nunmehr die elektronische Kommunikation rechtsverbindlich möglich. Was bringt das für Wirtschaft/Handel/Verkehr? Kosten- und Zeitersparnis durch Beschleunigung der Verwaltungsprozesse Stärkere Ausprägung des Dienstleistungscharakters der Verwaltung durch die Eröffnung elektronisch sicherer Zugangswege zur Verwaltung rund um die Uhr Zugriff auf die Verwaltung von überall her bessere Unterstützung des Datenschutzes in der elektronischen Kommunikation höhere Transparenz und Nachvollziehbarkeit des Verwaltungshandelns Was kann der Bürger erwarten? aus den Lebenslagen des Bürgers erwachsende Bedürfnisse gegenüber der Verwaltung können künftig unmittelbarer befriedigt werden Governikus beschleunigt Zahlungen In Bremen gehen Zahlungsanweisungen an die Landeshauptkasse signiert über das Internet Bremen (box) - Die Landeshauptkasse in Bremen nimmt seit Sommer dieses Jahres Zahlungsanweisungen aller Behörden im kleinsten Bundesland ausschließlich elektronisch via Internet entgegen. Damit werden Zahlungsvorgänge deutlich beschleunigt. Entwickelt wurde das neue Verfahren durch bremen online services GmbH & Co. KG (bos KG). Die Lösung für die Landeshauptkasse konnte schnell und preiswert realisiert werden, weil Governikus und Govello der Freien Hansestadt Bremen im Rahmen des Projektes Pflege Governikus, dem das Land beigetreten ist, lizenzkostenfrei zur Verfügung stehen. Die Mitarbeiter der betroffenen Behörden tragen ihre Zahlungsanweisungen in den Govello-Client der bos KG ein und signieren sie mit einer 4/06 20