Speichernetzwerke Lösungen für Kommunen und Datenzentralen 1. Einleitung Üblicherweise werden heute in öffentlichen Einrichtungen Anwendungsdaten auf einer Vielzahl von Servern gespeichert und den Anwendern über ein Netzwerk zur Verfügung gestellt. Häufig sind die Daten durch eine direkte Verbindung zum Server zugänglich. Diese Systeme, genannt Direct Attached Storage (DAS), werden dann in Eigenverantwortung der Kommunen mit, je nach Anzahl der Server, unterschiedlich hohem Aufwand verwaltet. Durch den Einsatz verschiedener Betriebssysteme auf verschiedenen Hardware-Plattformen ergibt sich in der Regel ein Multi-Plattform und auch Multi-Vendor-Gesamtsystem. Die wesentlichen Nachteile einer solchen Lösung liegen in den starren Nutzungsbedingungen (z.b. Speicher von System A kann nicht durch System B benutzt werden), als auch in den daraus resultierenden hohen Kosten. Um diese Nachteile zu beseitigen, setzen immer mehr Kommunen auf Storage Area Networks (SAN s). SAN s bieten die Möglichkeit, Speicher und Datenträger äußerst flexibel und effizient einzusetzen und somit die Kosten zu minimieren. Das Beratungsunternehmen Merrill Lynch hat errechnet, daß die Kosten für die Verwaltung eines Megabytes an Benutzerdaten mit DAS 0,72 betragen, diese Kosten durch den Einsatz eines SAN aber auf 0,33 pro Megabyte gesenkt werden können. SANs werden heute, je nach Größe der Behörde, in Eigenverantwortung oder aber durch zentrale Dienstleister wie zum Beispiel Kommunale Datenzentralen und Systemhäuser (DZ) betrieben. Dem öffentlich zugänglichen Bericht über das Geschäftsjahr 2002 der Hessischen Datenzentrale HZD (http://www.hzd.de/inhalte/downloads/gesch%e4ftsbericht2002.pdf) ist zum Beispiel folgendes zu entnehmen: Im Zuge der Einführung freuten sich die Polizeibediensteten über insgesamt 10.300 neue PC. Zentraler Punkt der ITArchitektur ist die Möglichkeit aller Anwender, sich an jedem Arbeitsplatz- Rechner landesweit mit einer einheitlichen Benutzerkennung anzumelden, um dort auf die eigenen Daten zuzugreifen. Alle relevanten Daten sind auf dem SAN (Storage Area Network) der HZD gespeichert. Eine einheitliche Anmeldung für ca. 17.000 Anwender wird mit Hilfe des zentralen Verzeichnisdienstes AD (Active Directory) unter Windows 2000 garantiert. Es ist ersichtlich, daß an ein SAN ein hohes Maß an Robustheit, Verfügbarkeit, Durchsatz und nicht zuletzt Sicherheit gelegt wird. Im folgenden werden die technischen Möglichkeiten, auch anhand von konkret verfügbaren Produktlösungen, dargestellt. 2003, Cisco Systems Deutschland Speichernetze: Lösungen für Kommunen und Datenzentralen Seite 1 von 7
2. Typische SAN-Strukturen Heute sind in Datenzentralen vorrangig folgende Speicherlösungen zu finden: DAS Direct Attached Storage Beim DAS ist der Speicher, in der Regel Festplatten oder RAID-Systeme, direkt an den Server über ein serielles Kabel angeschlossen. Aufgrund geringer Skalierbarkeit, Verfügbarkeit und hohem Verwaltungsaufwand geht der Anteil solcher Lösungen rapide zurück. NAS Network Attached Storage NAS baut auf vorhandene Ethernet-Netzstrukturen auf. Eine zentralisierte Datenhaltung ist Basis für einen NAS- Server, der an ein lokales Netzwerk angeschlossen ist. Der Vorteil von NAS liegt in der einfachen Implementierung und der plattformübergreifenden Einsatzmöglichkeit. SAN Storage Attached Networks SAN sind Speichernetze, die Server und dedizierte Speichersysteme miteinander verbinden. Dabei bleibt das lokale Netz (Ethernet) von den Zugriffen auf die Speichersysteme unberührt, Operationen mit gespeicherten Daten laufen im Hintergrund ab. SAN s nutzen in der Regel die Fiber Channel (FC) - Technologie und sind als Insellösung konzipiert. Die Speichersysteme sind über dedizierte FC-Switches mit den Servern verbunden und erreichen damit einen sehr hohen Datendurchsatz. Abbildung 1 zeigt ein typisches FC-Design. Fibre Channel Topologie Storage Devices FC-Switch FC-Switch Switches connect together to form fabric Nodes connect to switch ports Switches allow multiple simultaneous transactions Applicationserver Abbildung 1: Aufbau eines FC-SAN s Der Aufbau von SAN s in einer Kommune oder Datenzentrale schafft zwei separate Netzwerke. Diese sind heute nur bedingt interoperabel, man spricht von isolierten SAN - Inseln. 2003, Cisco Systems Deutschland Speichernetze: Lösungen für Kommunen und Datenzentralen Seite 2 von 7
3. Neue Lösungen und Tendenzen Der umfassende Einsatz der -Technologie in Unternehmen beeinflußt natürlich auch SAN -Strukturen. Neue Technologien wie iscsi oder FC verbinden die Vorteile beider Welten und schaffen somit neue Einsatzmöglichkeiten und effektive Lösungen für die Unternehmen. iscsi Internet SCSI oder -SCSI ist ein neuer Standard, bei dem auf dem Applikationsserver nur ein Softwaretreiber installiert wird. Dieser Treiber sorgt dafür, daß die SCSI-Informationen in -Pakete gepackt und über das - Netzwerk geschickt werden. An der Schnittstelle zwischen Ethernet-Netzwerk und SAN befindet sich ein Gateway, welches die SCSI-Informationen aus dem -Paket entpackt und zu den Speichermedien schickt. Dadurch wird dem Applikationsserver im ethernet ermöglicht, mit blockweise strukturierten Daten auf auf ein Speichermedium im SAN zuzugreifen, was die Effizienz von Lese- und Schreiboperationen erhöht. FC (FC over ) Bei FC werden die originären FC-Pakete aus einem SAN in -Pakete verpackt (encapsuliert). Damit ist es möglich, SAN-Inseln über LANs, MANs (Metropolitan Area Networks) oder WANs zu verbinden. Die FC-Spezifikation ist unabhängig von Transportprotokollen der Link-Ebene wie Gigabit Ethernet, SONET/SDH, ATM oder DWDM. Beide Verfahren bieten vielfältige Vorteile: Zugriff auf den Speicher vom Campus, MAN und WAN Nur eine Technologie für Block- und File -basierenden Zugriff Sehr skalierbar in bezug auf Entfernung, Anzahl der Knoten und Datendurchsatz Kostensparend, da die vorhandene / GE Infrastruktur verwendet werden kann Offene Standards ermöglichen eine einfache Verwaltbarkeit, Sicherheit und Interoperabilität 4. Einsatzbeispiele Wie bereits erwähnt, wird heute vorrangig die FC-Technologie in einem SAN eingesetzt. Darüber hinausgehend bieten sich weitere Möglichkeiten, effektive und flexible Strukturen abzubilden. Im folgenden werden einige Szenarien dargelegt, die über eine reine FC-basierender SAN-Lösung in Datenzentralen hinausgehen. 4.1. Einsatz kostengünstiger Serverstrukturen mit iscsi iscsi bietet die Möglichkeit, sehr kostengünstig und flexibel Applikationsserver an eine bestehende SAN - Infrastruktur anzubinden. Das bietet Unternehmensabteilungen und Arbeitsgruppen wie auch kleinen und mittleren Organisationen eine kostengünstige Migrationsmöglichkeit von direkt gekoppelten Speicherlösungen auf Storage-Area-Networking. Dabei nutzt der Applikationsserver einen iscsi-treiber und verpackt die SCSI- Daten in -Pakete. Diese werden anschließend von einem iscsi / FC-Gateway wieder entpackt. Innerhalb des SAN werden ausschließlich SCSI-Daten verwendet um Informationen auf die Speicher-Subsysteme zu schreiben oder von ihnen zu lesen. iscsi kommt vorrangig zum Einsatz, wenn die Performance einer Applikation nicht im Vordergrund steht. Anwendungsbeispiele für iscsi wären Applikationen wie MS-Exchange oder das remote Backup für die Tape- Konsolidierung. Abbildung 2 zeigt den Aufbau einer iscsi-lösung. 2003, Cisco Systems Deutschland Speichernetze: Lösungen für Kommunen und Datenzentralen Seite 3 von 7
iscsi Anwender Data Servers SCSI Initiator iscsi Initiator Network Data Requestor T E I C N P P Network iscsi Target T E I C iscsiscsi N P P FC Gbe MGMT HA SN 5428 FC scsi SCSI Target Fibre Channel SAN Storage Devices LUNs Abbildung 2: iscsi in einer Datenzentrale Im folgenden Beispiel übernimmt eine Datenzentrale die Datenhaltung angeschlossener Kommunen. Dabei sind die Server der Kommunen mit iscsi-treibern ausgestattet. Die Kommunikation zwischen Kommunen und DZ findet über die bestehende -Infrastruktur mittels iscsi-protokoll statt, was eine kostengünstige Implementierung ermöglicht. Abbildung 3 macht den Einsatz des iscsi-protokolls deutlich. Remote Data Access mittels iscsi Server und SAN in Datenzentrale MDS 9500 Server einer Kommune mit iscsi network FC Switch Fibre Channel SAN Anteil der Kommune 100 GB, 80% Auslastung Abbildung 3: Migration zu iscsi Der Vorteil dieser Lösung besteht darin, daß die Kommune sich auf ihre Kernkompetenz konzentrieren kann und die Speicherhaltung der Datenzentrale übergibt. Diese hat mit iscsi die Möglichkeit, 2003, Cisco Systems Deutschland Speichernetze: Lösungen für Kommunen und Datenzentralen Seite 4 von 7
a) der Kommune eine sehr preiswerte Lösung zur Verfügung zu stellen b) optimal ihre Speicherstrukturen auszunutzen. 4.2. Anbindung mehrerer SAN-Inseln Der Einsatz von FC ermöglicht die performante Verbindung von vorhandenen SAN - Inseln unter Verwendung der bestehenden -Infrastruktur. Dabei werden die FC-Frames am Beginn der -Wolke unverändert in - Pakete eingepackt und am Ziel wird das Paket wieder entfernt. Da für die Router im Netzwerk die FC - Informationen als normale Pakete erscheinen, können die FC-Informationen über jedes bestehende -Netzwerk übertragen werden, was auch MAN s und WAN s einschließt. Ebenso lassen sich zeitkritische Applikationen wie SRDF von EMC, PPRC von IBM oder HDS s TrueCopy über -Infrastrukturen einsetzen. Abbildung 5 zeigt die Anbindung mehrerer SAN-Inseln über eine vorhandene -Infrastruktur. In der Datenzentrale befindet sich ein modularer Switch vom Typ MDS 9500. Dieser kann je nach Anforderung mit FC-Modulen (1 / 2 Gbps), FC- oder iscsi-modulen bestückt werden. In Abbildung 4 fungiert der MDS 9500 einerseits als FC - Switch und stellt andererseits die Verbindung über FC zu den Aussenstellen her. FC Anbindung mehrerer FC-Inseln 7200 VXR w/pa - FC - 1G FC FC Backup Servers MDS 9509 Network FC SN5428-2 FC S - 8 FC FC MDS 9216 Datenzentrale Remote Sites S - 8 FC Abbildung 4: Verbindung mehrere SAN-Inseln 2003, Cisco Systems Deutschland Speichernetze: Lösungen für Kommunen und Datenzentralen Seite 5 von 7
5. Sicherheitsfunktionen Aus Sicht einer einzelnen Behörde ist es ausreichend, über eine Fiberchannel- oder - Verbindung eines zentralen Dienstleisters Storage in Anspruch zu nehmen. Will dieser es aber für mehrere Behörden tun, muss er, Effizienz unterstellt, mit geringstnötigem Aufwand einen sicheren Zugang zu seinem Speicher gewährleisten. Dafür spielt die Möglichkeit der Einrichtung Virtueller SANs (VSANs) eine zentrale Rolle. VSAN s erweitern das Konzept des Zonings, indem in einem solchen VSAN auf ein und derselben physischen Netzinfrastruktur eine virtuell getrennte errichtet wird. Die mit Hilfe von VSANs angelegten Speichernetz-Domänen bieten nicht nur bessere Sicherheitsvorkehrungen, sondern ermöglichen zugleich die Aufteilung eines einzelnen Switches in mehrere virtuelle SAN - Umgebungen. Dabei sind die verschiedenen SAN s vollständig voneinander getrennt, und der Ausfall eines Geräts oder - Instabilitäten bleiben auf das jeweilige VSAN beschränkt, bewirkt somit keine -übergreifenden Störungen. Dies schließt nicht nur die physikalische Trennung der Knoten, sondern auch der Services ein. Somit lässt sich in einem VSAN die geforderte Sicherheit und saubere Trennung von SAN - Domänen garantieren. Die VSAN Technologie weißt Analogien zu der sogenannten Virtual LAN Technik auf, die sich in lokalen Datennetzen (LANs) bewährt hat. Auch die Einrichtung der VSANs in einer Fibre Channel ist ähnlich einfach durchführbar wie die Einrichtung von VLANs in der LAN - Welt. In Abbildung 5 ist der Einsatz von VSAN - Strukturen in einer Datenzentrale dargestellt. Der zentrale Dienstleister kann, unabhängig ob reine FC-Technologie oder -basierend, den Kommunen vollkommen getrennte Services zur Verfügung stellen, obwohl die gleiche Hardware zum Einsatz kommt. Kommune A kann nicht auf Ressourcen von Kommune B und visa verce zugreifen. Für Managementzwecke richtet der Administrator noch ein Management - VSAN ein, welches ebenfalls vollkommen autark von den anderen VSAN s betrieben werden kann. Kommune A Kommune B zb. via FC zb. via Mgmt. VSAN VSAN- Zentraler Dienstleister (DZ) Abbildung 5: Einsatz eines Virtuellen SAN s Natürlich tragen auch VSANs dazu bei, die EDV-Gesamtkosten (TCO) zu verringern, indem sie eine optimale Portausnutzung ermöglichen und somit die Kosten pro Port deutlich senken. Kommunale IT-Ämter und Datenzentralen werden für Städte, Kreise und Gemeinden hochverfügbare Speicherkapazitäten vorhalten und hierfür entsprechende Backup-Prozesse aufsetzen. Die technische Realisierung dieser komplexen Anforderung ist mit der Implementierung VLAN-bezogener VSAN s gelungen. 2003, Cisco Systems Deutschland Speichernetze: Lösungen für Kommunen und Datenzentralen Seite 6 von 7
6. Zusammenfassung Über Storage Area Networking wird im Öffentlichen Bereich schon seit mehren Jahren gesprochen. Hieraus sind auf der einen Seite applikationsgebundene Speicherlandschaften entstanden. Vor dem Hintergrund der Einführung des Neuen Kommunalen Finanzwesens und der fortwährenden Implementierung elektronischer Government-Prozesse, der Umstellung bestehender Applikationen und der mit diesen Anforderungen exponentiell wachsenden Speichervolumens es sei an dieser Stelle nur auf die gesetzlich vorgeschriebenen Fristen zur Bereitstellung von Daten verwiesen ist es notwendig, daß: Speicherkapazitäten optimal ausgenutzt werden Speicherkapazitäten durch zentrale Dienstleister (z.b. Datenzentralen) vorgehalten werden Datenschreib- und Leserechte nicht nur definiert sondern auch sicher eingehalten werden können Die CISCO-Lösungen bieten die Anwort auf Ihre Anforderungen. Abgestimmt auf die Erfordernisse einer wirkungsvollen Datenverfügbarkeitsstrategie bietet Cisco leistungsfähige Produkte, die dem neuesten technischen Stand entsprechen, die Integration in die - Welt ermöglichen und dies besonders skalierbar, sicher und kostengünstig. 2003, Cisco Systems Deutschland Speichernetze: Lösungen für Kommunen und Datenzentralen Seite 7 von 7