Server wirksam schützen

Ausfallsicherer Speicher

Ein sehr wichtiger Aspekt für Ausfallsicherheit ist der Plattenspeicher. Hier ist eine sorgfältige Planung nötig, da Festplatten aufgrund ihrer mechanischen Eigenschaften und thermischer Bedingungen häufiger ausfallen als etwa eine Netzwerkkarte. Raid-Systeme (Redundant Array of Independent Disks) sind heute in den meisten Unternehmen Standard, jedoch vermögen auch diese nicht alle Ausfälle zu verhindern. So bilden insbesondere die Raid-Controller einen Single Point of Failure (SPOF). Gleiches gilt für das Storage-Subsystem. Ein Kurzschluss in einem Festplatten-Array würde das gesamte Speichersystem außer Funktion setzen, unabhängig davon, welche Raid-Level konfiguriert sind.

Es gibt eine Reihe von Möglichkeiten, diesen SPOF zu eliminieren. Im einfachsten Fall wird der Datenbereich auf zwei externe Storage-Subsysteme gelegt. Der Zugriff darauf erfolgt vom Server aus über zwei getrennte SCSI-Raid-Controller, die jeweils ein Raid-System bereitstellen. Dabei spielt es keine Rolle, welches Raid-Level die beiden Controller implementieren. Um die Verfügbarkeit des Speichers insgesamt sicherzustellen, werden die beiden externen Plattensubsysteme zusätzlich in einem softwaregestützten Raid-1 zusammengefasst, das die meisten Server-Betriebssysteme standardmäßig unterstützen. Gegebenenfalls sind Produkte von Drittanbietern wie zum Beispiel der "Volume Manager" von Veritas nötig. Dieser ist für verschiedene Unix-Derivate sowie für Windows NT/2000 verfügbar. Auf diese Weise lässt sich eine sehr hohe Ausfallsicherheit erreichen.

Der Nachteil dieses Ansatzes: Aufgrund der Längenbegrenzungen von SCSI eignet er sich nur eingeschränkt für katastrophenfalltaugliche Konzepte, bei denen sich die gespiegelten Daten in einem entfernten Serverraum befinden. Andererseits ist diese Lösung vergleichsweise kostengünstig zu implementieren und somit auch für kleine und mittlere Unternehmen geeignet, die Verfügbarkeit benötigen, aber nur begrenzte Geldmittel investieren können.

Für Unternehmen, die keine SCSI-basierten internen Raid-Controller einsetzen, sondern per Fibre-Channel auf Speicherressourcen in einem SAN zugreifen möchten, ist eine andere Vorgehensweise empfehlenswert. Speicherhersteller wie EMC oder Compaq bieten die Möglichkeit, ganze Plattenschränke über die Controller-Firmware des Subsystems zu spiegeln. "Timefinder" von EMC oder "Data Replication Manager" von Compaq sind typische Vertreter solcher Implementierungen. Beim Ausfall eines Subsystems sorgt der Controller für einen transparenten Failover. Diese Variante hat den Vorteil, dass sie für das Betriebssystem verborgen bleibt, also kein Overhead durch ein softwarengestütztes Raid entsteht, wie das bei der zuvor angesprochenen Lösung der Fall ist. Dennoch springen auch hier drei SPOF ins Auge: der Fibre-Chanel-Host-Bus-Adapter (FC-HBA) im Server, der Controller des Storage-Subsystems sowie der Fibre-Channel-Switch beziehungsweise -Hub.

Um diese Schwachstellen zu beseitigen, sollten die Controller in den Subsystemen redundant ausgelegt werden. Beide verfügen über einen eigenen Cache, der gespiegelt wird, sodass beim Ausfall eines Controllers der andere mit den im Cache gespeicherten Informationen weiterarbeiten kann. Der Server sollte ebenfalls mit zwei HBA bestückt sein, die über getrennte Fibre-Channel-Switches beziehungsweise -Hubs mit den beiden Controllern des Speichersubsystems verbunden werden. Damit beim Ausfall eines HBAs ein Failover auf den zweiten erfolgt, muss das Betriebssystem zwischen den beiden Pfaden hin- und herschalten können. Dies wird in der Regel über geeignete Treiber erreicht.

Einige Lösungen, wie beispielsweise "Secure Path" von Compaq, unterstützen sogar ein dynamisches Load-Balancing, wodurch beide Fibre-Channel-Host-Bus-Adapter parallel arbeiten. Größter Nachteil von Fibre-Channel-Lösungen: Sie sind im Vergleich zu SCSI sehr teuer. Ein wichtiger Vorteil von Fibre Channel: Diese Technik überbrückt ohne großen Aufwand Distanzen von zehn Kilometern und mehr und ist damit katastrophenfalltauglich.