Speichernetzwerke
Lösungen für Kommunen und Datenzentralen
1.
Einleitung
Üblicherweise werden heute in öffentlichen Einrichtungen Anwendungsdaten auf einer Vielzahl von Servern
gespeichert und den Anwendern über ein Netzwerk zur Verfügung gestellt. Häufig sind die Daten durch eine
direkte Verbindung zum Server zugänglich. Diese Systeme, genannt Direct Attached Storage (DAS), werden
dann in Eigenverantwortung der Kommunen mit, je nach Anzahl der Server, unterschiedlich hohem Aufwand
verwaltet. Durch den Einsatz verschiedener Betriebssysteme auf verschiedenen Hardware-Plattformen ergibt
sich in der Regel ein Multi-Plattform und auch Multi-Vendor-Gesamtsystem. Die wesentlichen Nachteile einer
solchen Lösung liegen in den starren Nutzungsbedingungen (z.B. Speicher von System A kann nicht durch
System B benutzt werden), als auch in den daraus resultierenden hohen Kosten.
Um diese Nachteile zu beseitigen, setzen immer mehr Kommunen auf Storage Area Networks (SAN’s).
SAN’s bieten die Möglichkeit, Speicher und Datenträger äußerst flexibel und effizient einzusetzen und somit die
Kosten zu minimieren. Das Beratungsunternehmen Merrill Lynch hat errechnet, daß die Kosten für die
Verwaltung eines Megabytes an Benutzerdaten mit DAS 0,72 € betragen, diese Kosten durch den Einsatz eines
SAN aber auf 0,33 € pro Megabyte gesenkt werden können.
SANs werden heute, je nach Größe der Behörde, in Eigenverantwortung oder aber durch zentrale Dienstleister
wie zum Beispiel Kommunale Datenzentralen und Systemhäuser (DZ) betrieben. Dem öffentlich zugänglichen
„Bericht
über
das
Geschäftsjahr
2002“
der
Hessischen
Datenzentrale
HZD
(http://www.hzd.de/inhalte/downloads/Gesch%E4ftsbericht2002.pdf)
ist zum Beispiel folgendes zu entnehmen:
„Im Zuge der Einführung freuten sich die Polizeibediensteten über insgesamt 10.300 neue PC.
Zentraler Punkt der ITArchitektur ist die Möglichkeit aller Anwender, sich an jedem ArbeitsplatzRechner landesweit mit einer einheitlichen Benutzerkennung anzumelden, um dort auf die eigenen
Daten zuzugreifen. Alle relevanten Daten sind auf dem SAN (Storage Area Network) der HZD
gespeichert. Eine einheitliche Anmeldung für ca. 17.000 Anwender wird mit Hilfe des zentralen
Verzeichnisdienstes AD (Active Directory) unter Windows 2000 garantiert.„
Es ist ersichtlich, daß an ein SAN ein hohes Maß an Robustheit, Verfügbarkeit, Durchsatz und nicht zuletzt
Sicherheit gelegt wird. Im folgenden werden die technischen Möglichkeiten, auch anhand von konkret
verfügbaren Produktlösungen, dargestellt.
© 2003, Cisco Systems Deutschland
Speichernetze: Lösungen für Kommunen und Datenzentralen
Seite 1 von 7
2.
Typische SAN-Strukturen
Heute sind in Datenzentralen vorrangig folgende Speicherlösungen zu finden:
DAS – Direct Attached Storage
Beim DAS ist der Speicher, in der Regel Festplatten oder RAID-Systeme, direkt an den Server über ein serielles
Kabel angeschlossen. Aufgrund geringer Skalierbarkeit, Verfügbarkeit und hohem Verwaltungsaufwand geht der
Anteil solcher Lösungen rapide zurück.
NAS – Network Attached Storage
NAS baut auf vorhandene Ethernet-Netzstrukturen auf. Eine zentralisierte Datenhaltung ist Basis für einen NASServer, der an ein lokales Netzwerk angeschlossen ist. Der Vorteil von NAS liegt in der einfachen
Implementierung und der plattformübergreifenden Einsatzmöglichkeit.
SAN – Storage Attached Networks
SAN sind Speichernetze, die Server und dedizierte Speichersysteme miteinander verbinden. Dabei bleibt das
lokale Netz (Ethernet) von den Zugriffen auf die Speichersysteme unberührt, Operationen mit gespeicherten
Daten laufen im Hintergrund ab. SAN’s nutzen in der Regel die Fiber Channel (FC) - Technologie und sind als
Insellösung konzipiert. Die Speichersysteme sind über dedizierte FC-Switches mit den Servern verbunden und
erreichen damit einen sehr hohen Datendurchsatz. Abbildung 1 zeigt ein typisches FC-Design.
Fibre Channel Topologie
Storage Devices
FC-Switch
FC-Switch
l Switches connect together to
form fabric
l Nodes connect to switch ports
l Switches allow multiple
simultaneous transactions
Applicationserver
Abbildung 1 : Aufbau eines FC-SAN’s
Der Aufbau von SAN’s in einer Kommune oder Datenzentrale schafft zwei separate Netzwerke. Diese sind
heute nur bedingt interoperabel, man spricht von isolierten „SAN - Inseln“.
© 2003, Cisco Systems Deutschland
Speichernetze: Lösungen für Kommunen und Datenzentralen
Seite 2 von 7
3. Neue Lösungen und Tendenzen
Der umfassende Einsatz der IP-Technologie in Unternehmen beeinflußt natürlich auch SAN -Strukturen. Neue
Technologien wie iSCSI oder FCIP verbinden die Vorteile beider Welten und schaffen somit neue
Einsatzmöglichkeiten und effektive Lösungen für die Unternehmen.
iSCSI
Internet SCSI oder IP-SCSI ist ein neuer Standard, bei dem auf dem Applikationsserver nur ein Softwaretreiber
installiert wird. Dieser Treiber sorgt dafür, daß die SCSI-Informationen in IP-Pakete gepackt und über das IPNetzwerk geschickt werden. An der Schnittstelle zwischen Ethernet-Netzwerk und SAN befindet sich ein
Gateway, welches die SCSI-Informationen aus dem IP-Paket entpackt und zu den Speichermedien schickt.
Dadurch wird dem Applikationsserver im ethernet ermöglicht, mit blockweise strukturierten Daten auf auf ein
Speichermedium im SAN zuzugreifen, was die Effizienz von Lese- und Schreiboperationen erhöht.
FCIP (FC over IP)
Bei FCIP werden die originären FC-Pakete aus einem SAN in IP-Pakete verpackt (encapsuliert).
Damit ist es möglich, SAN-Inseln über LANs, MANs (Metropolitan Area Networks) oder WANs zu verbinden.
Die FCIP-Spezifikation ist unabhängig von Transportprotokollen der Link-Ebene wie Gigabit Ethernet,
SONET/SDH, ATM oder DWDM.
Beide Verfahren bieten vielfältige Vorteile:
•
•
•
•
•
Zugriff auf den Speicher vom Campus, MAN und WAN
Nur eine Technologie für Block- und File -basierenden Zugriff
Sehr skalierbar in bezug auf Entfernung, Anzahl der Knoten und Datendurchsatz
Kostensparend, da die vorhandene IP / GE Infrastruktur verwendet werden kann
Offene Standards ermöglichen eine einfache Verwaltbarkeit, Sicherheit und Interoperabilität
4.
Einsatzbeispiele
Wie bereits erwähnt, wird heute vorrangig die FC-Technologie in einem SAN eingesetzt. Darüber hinausgehend
bieten sich weitere Möglichkeiten, effektive und flexible Strukturen abzubilden. Im folgenden werden einige
Szenarien dargelegt, die über eine reine FC-basierender SAN-Lösung in Datenzentralen hinausgehen.
4.1.
Einsatz kostengünstiger Serverstrukturen mit iSCSI
iSCSI bietet die Möglichkeit, sehr kostengünstig und flexibel Applikationsserver an eine bestehende SAN Infrastruktur anzubinden. Das bietet Unternehmensabteilungen und Arbeitsgruppen wie auch kleinen und
mittleren Organisationen eine kostengünstige Migrationsmöglichkeit von direkt gekoppelten Speicherlösungen
auf Storage-Area-Networking. Dabei nutzt der Applikationsserver einen iSCSI-Treiber und verpackt die SCSIDaten in IP-Pakete. Diese werden anschließend von einem iSCSI / FC-Gateway wieder entpackt. Innerhalb des
SAN werden ausschließlich SCSI-Daten verwendet um Informationen auf die Speicher-Subsysteme zu schreiben
oder von ihnen zu lesen.
iSCSI kommt vorrangig zum Einsatz, wenn die Performance einer Applikation nicht im Vordergrund steht.
Anwendungsbeispiele für iSCSI wären Applikationen wie MS-Exchange oder das remote Backup für die TapeKonsolidierung. Abbildung 2 zeigt den Aufbau einer iSCSI-Lösung.
© 2003, Cisco Systems Deutschland
Speichernetze: Lösungen für Kommunen und Datenzentralen
Seite 3 von 7
iSCSI
Anwender
Data Requestor
Data Servers
E I T
C
N P P
SCSI Initiator
iSCSI Initiator
IP
Network
IP
Network
T
E I C iSCSIscsi
N P P
iSCSI Target
FC
Gbe
SN 5428
MGMT HA
FC scsi
SCSI Target
Fibre Channel SAN
Storage Devices
LUNs
Abbildung 2 : iSCSI in einer Datenzentrale
Im folgenden Beispiel übernimmt eine Datenzentrale die Datenhaltung angeschlossener Kommunen. Dabei sind
die Server der Kommunen mit iSCSI-Treibern ausgestattet. Die Kommunikation zwischen Kommunen und DZ
findet über die bestehende IP-Infrastruktur mittels iSCSI-Protokoll statt, was eine kostengünstige
Implementierung ermöglicht. Abbildung 3 macht den Einsatz des iSCSI-Protokolls deutlich.
Remote Data Access mittels iSCSI
Server
einer
Kommune
mit iSCSI
Server und SAN in
Datenzentrale
MDS 9500
FC Switch
IP
network
Fibre Channel
SAN
Anteil der Kommune
100 GB, 80% Auslastung
Abbildung 3 : Migration zu iSCSI
Der Vorteil dieser Lösung besteht darin, daß die Kommune sich auf ihre Kernkompetenz konzentrieren kann und
die Speicherhaltung der Datenzentrale übergibt. Diese hat mit iSCSI die Möglichkeit,
© 2003, Cisco Systems Deutschland
Speichernetze: Lösungen für Kommunen und Datenzentralen
Seite 4 von 7
a) der Kommune eine sehr preiswerte Lösung zur Verfügung zu stellen
b) optimal ihre Speicherstrukturen auszunutzen.
4.2.
Anbindung mehrerer SAN-Inseln
Der Einsatz von FCIP ermöglicht die performante Verbindung von vorhandenen SAN - Inseln unter
Verwendung der bestehenden IP-Infrastruktur. Dabei werden die FC-Frames am Beginn der IP -Wolke
unverändert in IP - Pakete eingepackt und am Ziel wird das IP – Paket wieder entfernt. Da für die Router im IP –
Netzwerk die FC - Informationen als normale IP – Pakete erscheinen, können die FC-Informationen über jedes
bestehende IP-Netzwerk übertragen werden, was auch MAN’s und WAN’s einschließt. Ebenso lassen sich
zeitkritische Applikationen wie SRDF von EMC, PPRC von IBM oder HDS’s TrueCopy über IP-Infrastrukturen
einsetzen.
Abbildung 5 zeigt die Anbindung mehrerer SAN-Inseln über eine vorhandene IP-Infrastruktur. In der
Datenzentrale befindet sich ein modularer Switch vom Typ MDS 9500. Dieser kann je nach Anforderung mit
FC-Modulen (1 / 2 Gbps), FCIP- oder iSCSI-Modulen bestückt werden. In Abbildung 4 fungiert der MDS 9500
einerseits als FC - Switch und stellt andererseits die Verbindung über FCIP zu den Aussenstellen her.
FCIP – Anbindung
mehrerer FC-Inseln
7200 VXR
w/PA - FC - 1G
FC
Fabric
FCIP
SN5428 -2
IP
Network
FCIP
Backup
Servers
FC
Fabric
MDS
9509
IPS-8
FCIP
FCIP
MDS 9216
IPS-8
Datenzentrale
FC
Fabric
Remote
Sites
Abbildung 4: Verbindung mehrere SAN-Inseln
© 2003, Cisco Systems Deutschland
Speichernetze: Lösungen für Kommunen und Datenzentralen
Seite 5 von 7
5.
Sicherheitsfunktionen
Aus Sicht einer einzelnen Behörde ist es ausreichend, über eine Fiberchannel- oder IP - Verbindung eines
zentralen Dienstleisters Storage in Anspruch zu nehmen. Will dieser es aber für mehrere Behörden tun, muss er,
Effizienz unterstellt, mit geringstnötigem Aufwand einen sicheren Zugang zu seinem Speicher gewährleisten.
Dafür spielt die Möglichkeit der Einrichtung Virtueller SANs (VSANs) eine zentrale Rolle.
VSAN’s erweitern das Konzept des Zonings, indem in einem solchen VSAN auf ein und derselben physischen
Netzinfrastruktur eine virtuell getrennte Fabric errichtet wird.
Die mit Hilfe von VSANs angelegten Speichernetz-Domänen bieten nicht nur bessere Sicherheitsvorkehrungen,
sondern ermöglichen zugleich die Aufteilung eines einzelnen Switches in mehrere virtuelle SAN - Umgebungen.
Dabei sind die verschiedenen SAN’s vollständig voneinander getrennt, und der Ausfall eines Geräts oder FabricInstabilitäten bleiben auf das jeweilige VSAN beschränkt, bewirkt somit keine Fabric -übergreifenden Störungen.
Dies schließt nicht nur die physikalische Trennung der Knoten, sondern auch der Services ein. Somit lässt sich in
einem VSAN die geforderte Sicherheit und saubere Trennung von SAN - Domänen garantieren.
Die VSAN Technologie weißt Analogien zu der sogenannten Virtual LAN Technik auf, die sich in lokalen
Datennetzen (LANs) bewährt hat. Auch die Einrichtung der VSANs in einer Fibre Channel Fabric ist ähnlich
einfach durchführbar wie die Einrichtung von VLANs in der LAN - Welt.
In Abbildung 5 ist der Einsatz von VSAN - Strukturen in einer Datenzentrale dargestellt. Der zentrale
Dienstleister kann, unabhängig ob reine FC-Technologie oder IP-basierend, den Kommunen vollkommen
getrennte Services zur Verfügung stellen, obwohl die gleiche Hardware zum Einsatz kommt. Kommune A kann
nicht auf Ressourcen von Kommune B und visa verce zugreifen. Für Managementzwecke richtet der
Administrator noch ein Management - VSAN ein, welches ebenfalls vollkommen autark von den anderen
VSAN’s betrieben werden kann.
Kommune A
zB. via FC
Kommune B
zB. via IP
VSANFabric
Mgmt.
VSAN
Zentraler Dienstleister (DZ)
Abbildung 5: Einsatz eines Virtuellen SAN’s
Natürlich tragen auch VSANs dazu bei, die EDV-Gesamtkosten (TCO) zu verringern, indem sie eine optimale
Portausnutzung ermöglichen und somit die Kosten pro Port deutlich senken. Kommunale IT-Ämter und
Datenzentralen werden für Städte, Kreise und Gemeinden hochverfügbare Speicherkapazitäten vorhalten und
hierfür entsprechende Backup-Prozesse aufsetzen. Die technische Realisierung dieser komplexen Anforderung
ist mit der Implementierung VLAN-bezogener VSAN’s gelungen.
© 2003, Cisco Systems Deutschland
Speichernetze: Lösungen für Kommunen und Datenzentralen
Seite 6 von 7
6.
Zusammenfassung
Über Storage Area Networking wird im Öffentlichen Bereich schon seit mehren Jahren gesprochen. Hieraus sind
auf der einen Seite applikationsgebundene Speicherlandschaften entstanden. Vor dem Hintergrund der
Einführung des Neuen Kommunalen Finanzwesens und der fortwährenden Implementierung elektronischer
Government-Prozesse, der Umstellung bestehender Applikationen und der mit diesen Anforderungen
exponentiell wachsenden Speichervolumens – es sei an dieser Stelle nur auf die gesetzlich vorgeschriebenen
Fristen zur Bereitstellung von Daten verwiesen – ist es notwendig, daß:
•
•
•
Speicherkapazitäten optimal ausgenutzt werden
Speicherkapazitäten durch zentrale Dienstleister (z.B. Datenzentralen) vorgehalten werden
Datenschreib- und Leserechte nicht nur definiert sondern auch sicher eingehalten werden können
Die CISCO-Lösungen bieten die Anwort auf Ihre Anforderungen. Abgestimmt auf die Erfordernisse einer
wirkungsvollen Datenverfügbarkeitsstrategie bietet Cisco leistungsfähige Produkte, die dem neuesten
technischen Stand entsprechen, die Integration in die IP- Welt ermöglichen – und dies besonders skalierbar,
sicher und kostengünstig.
© 2003, Cisco Systems Deutschland
Speichernetze: Lösungen für Kommunen und Datenzentralen
Seite 7 von 7