Gerade in Krisenzeiten fällt die Investition in nicht unmittelbar produktive Technik besonders schwer. Aber ein Ausfall eines geschäftskritischen Servers ist deutlich teurer als ein tragfähiges Disaster-Recovery-Konzept. Doch welcher Server braucht wie viel Hochverfügbarkeit? Für ein optimales Preis-Leistungs-Verhältnis empfehlen Experten eine Strukturierung nach der Sicherheits- und Failover-Pyramide.
Die Abwrack-Prämie macht’s möglich: Jahreswagen gehen weg wie warme Semmeln. Der Kunde steht mit gezücktem Scheckbuch im Verkaufsraum. Doch dann muss der Verkäufer zerknirscht einräumen, dass der Wagen zweimal verkauft wurde. »Wir hatten gestern keine Verbindung zur zentralen Datenbank«, entschuldigt er sich.
Ein solcher Ausfall kann richtig teuer werden. Im günstigsten Fall ist das Geschäft perdu – und der Kunde gründlich verärgert. Wer aber ein Auto doppelt verkauft, oder eine Wohnung doppelt vermietet, muss unter Umständen auch für den entstandenen Schaden haften.
Wie jede Technik kann auch ein einmal Server kaputt gehen. Verständnis für eine längere Downtime darf ein Anbieter von Online-Services allerdings nicht erwarten. Kunden wollen rund um die Uhr nach Gebrauchtwagen oder freien Wohnungen suchen, Informationen abrufen oder online einkaufen.
Kaum jemand wartet mehr als eine Viertelstunde, bis eine ausgefallene Web-Site wieder im Netz ist. Wozu auch: Die Konkurrenz ist ja nur wenige Mausklicks entfernt.
Egal, ob beim Online-Shop, einer Bestelldatenbank oder in Produktion und Vertrieb: Von der Verfügbarkeit unternehmenskritischer Server hängt alles ab. Ein startbereites Backup-System muss immer vorhanden sein, und das möglichst an einem räumlich getrennten Standort. Sonst wird ein Brand oder Wasserschaden im Rechenzentrum zur hausgemachten Unternehmenskrise.
Dass Business Continuity und Disaster Recovery wichtig sind, wird wohl niemand mehr ernsthaft in Zweifel ziehen. Strittig bleibt allerdings die Verhältnismäßigkeit. Beileibe nicht jeder Server verlangt automatisches Failover oder permanente Replikation, auch bei den Applikationen.
Wer auf Nummer sicher gehen, aber nicht mit Kanonen auf Spatzen schießen will, sollte seine Server daher in Prioritätsklassen aufteilen. Auf der Basis dieser Eingruppierung lässt sich ein sinnvoller und damit auch kostengünstiger Recovery-Plan aufstellen.
Die absolute Spitze der Sicherheitspyramide bilden Server, die buchstäblich keine Sekunde ausfallen dürfen, zum Beispiel im Banken- oder Börsenverkehr. Die Zeit zwischen Ausfall des Primär- und dem Start den Sekundärsystems, die so genannte RTO (Recovery Time Objective), muss praktisch bei Null liegen. Hier darf kein einziges Byte verloren gehen.
Primär- und Sekundär-System müssen immer exakt auf demselben Stand sein. Das Zurückschreiben eines auch nur 15 Minuten alten Backups ist nicht tolerierbar, auch die RPO (Recovery Point Objective) geht somit gegen Null.
Dies ist die Welt der SANs (Storage Area Networks), der synchronen Replikation, der Fibre-Channel-Verbindungen und der hoch redundanten Systeme. Hier ist die leistungsfähigste (und damit teuerste) Hard- und Software gerade gut genug.
Einsparpotenziale lassen sich an der obersten Spitze kaum ausmachen. Daher wird dieser Bereich hier weniger ausführlich behandelt.
Was die High-End-Lösungen so teuer macht, ist unter anderem die synchrone Replikation. Dabei fängt die Software Schreibzugriffe ab und sendet sie gleichzeitig an das primäre und sekundäre Storage-Array. Erst wenn beide den Empfang bestätigt haben, akzeptiert das Programm den nächsten Write-Request.
Beide Speicher haben also immer exakt denselben Stand, Datenverluste sind praktisch ausgeschlossen. Synchrone Replikation lässt allerdings den Datenverkehr im Netz stark ansteigen und erfordert daher oft schnelle und teure Fibre-Channel-Verbindungen, die nur bis zu einer Entfernung von etwa 16 Kilometern sinnvoll eingesetzt werden können.
Die synchrone Replikation eignet sich daher eher für lokale Backups – und für ausgesprochen üppige Budgets.