Bundesamt für Sicherheit in der Informationstechnik

G 2.149 Nicht ausreichende Speicherkapazität für virtuelle IT-Systeme

Virtualisierungsserver benötigen für den Betrieb der virtuellen IT-Systeme Speicherplatz, der entweder lokal im Virtualisierungsserver selbst oder in einem Speichernetz bereitgestellt wird. Werden die hierfür benötigten Speicherkapazitäten nicht ausreichend groß geplant, bestehen weitreichende Risiken für die Verfügbarkeit der virtuellen IT-Systeme und die Integrität der in ihnen verarbeiteten Informationen. Dies gilt insbesondere dann, wenn spezielle Virtualisierungsfunktionen, wie Snapshots oder die Überbuchung von Speicherplatz, genutzt werden. Engpässe können nicht nur den Speicherplatz auf Festplatten oder in Speichernetzen betreffen, sondern auch den Arbeitsspeicher ( RAM ).

Virtualisierungsfunktionen wie Snapshots belegen zusätzlichen Speicherplatz

Das Einfrieren und Speichern von Betriebszuständen virtueller IT-Systeme (Snapshots), erfordert ausreichenden Speicherplatz. So werden der Inhalt der virtuellen Massenspeicher und unter Umständen auch die Zustände von Hauptspeicher und Prozessor auf die Festplatte geschrieben, wenn ein Snapshot erzeugt wird. Zusätzlich wird bei einigen Virtualisierungslösungen während der Laufzeit des Gastsystems eine Differenzdatei erzeugt. Diese Differenzdatei bildet zusammen mit dem Urzustand der Daten, der vor der Erstellung des Snapshots auf dem virtuellen Datenträger vorlag, den aktuellen Inhalt der virtuellen Festplatte. Auch Standby-Funktionen, die es ermöglichen, virtuelle Maschinen im laufenden Betrieb anzuhalten, verwenden eine ähnliche Technik und belegen somit Speicherressourcen bis der Betrieb fortgesetzt wird.

Überbuchung von Speicherplatz

Eine weitere Besonderheit virtueller Umgebungen ist, dass Speicherplatz überbucht werden kann. Das heißt, es wird kein fester Speicherplatz reserviert, wenn einem virtuellen IT-System eine bestimmte Speicherkapazität zugeordnet wird. Stattdessen wird der Speicherplatz dem virtuellen IT-System in den physisch vorhandenen Ressourcen erst dann zugeteilt, wenn er durch das virtuelle IT-System tatsächlich genutzt wird. Für das virtuelle System sind dann beispielsweise einhundert Gigabyte sichtbar, tatsächlich verbraucht dieses jedoch nur den aktuell genutzten Speicherplatz.

Der überbuchte Speicherplatz kann zum Beispiel durch einen anwachsenden Dateicontainer realisiert werden, der auf einer physisch im Virtualisierungsserver installierten Festplatte oder in einem Speichernetz abgelegt wird. Dieser Container wird immer größer, je stärker er genutzt wird. Werden innerhalb des virtuellen IT-Systems, das diesen Container nutzt, Daten gelöscht, wird der Container in der Regel jedoch nicht automatisch wieder kleiner.

Unabhängig davon, ob der Datenträger, auf dem der Container des virtuellen IT-Systems abgelegt wurde, lokal oder im Netz vorliegt, ist dessen Größe durch den physisch zur Verfügung stehenden Speicherplatz begrenzt. Ohne eine umsichtige Planung der erforderlichen maximalen Kapazitäten führt dies leicht zu Problemen. Ist der Speicher zu stark überbucht worden, steht möglicherweise vorzeitig kein freier Platz mehr zur Verfügung. Der Speicherbedarf des virtuellen IT-Systems kann dann im physischen Medium nicht gedeckt werden und es kommt für die hiervon betroffene virtuelle Maschine zu einer Fehlersituation. Denn obwohl aus Sicht des virtualisierten IT-Systems freier Speicher nutzbar scheint, kann durch den Virtualisierungsserver kein weiterer Speicher für das Gastsystem bereitgestellt werden. Viele Virtualisierungsprodukte behelfen sich in einer solchen Situation damit, auf die von der Überbuchung betroffenen virtuellen Festplatten nur noch lesenden Zugriff zu gestatten, um die bis dahin vorhandenen Daten zu schützen. Hierdurch kann es dazu kommen, dass Daten auf diesen virtuellen Festplatten inkonsistent werden. Möglicherweise fällt das virtuelle IT-System sogar komplett aus, wenn z. B. das Betriebssystem des virtuellen IT-Systems die auftretenden Fehler nicht ausgleichen kann. Andere Virtualisierungslösungen legen automatisch einen Snapshot der betroffenen Systeme an und schalten diese Systeme danach aus, wenn der physische Speicher nicht mehr ausreicht.

Durch dieses Vorgehen ist die Verfügbarkeit der Dienste dieser virtuellen IT-Systeme gestört. Überdies wird der Betrieb aller durch den Virtualisierungsserver ausgeführten Gastsysteme in gleicher Weise behindert, wenn alle disponierbaren physischen Ressourcen des Virtualisierungsservers erschöpft sind.

Beispiel:

Ein international aktives Handelsunternehmen nutzt ein ERP -System (Enterprise Resource Planning), um verschiedene Prozesse, unter anderem im Einkauf, zu automatisieren und zu unterstützen. Um den im Außendienst tätigen Handelsagenten des Unternehmens den Zugriff auf das ERP-System zu ermöglichen, stellt das Unternehmen eine Terminalserverfarm bereit, die von den Handelsagenten verwendet wird, um ihre Einkäufe zu verbuchen und an der Unternehmenskommunikation (Intranet und E-Mail) teilzunehmen. Die Plattform muss ständig zur Verfügung stehen, da die Handelsagenten im Warentermingeschäft tätig sind und es daher auf den genauen Zeitpunkt der Einkäufe ankommt, um einen guten Preis zu erzielen.

Aus Kostengründen entscheidet sich die Unternehmensleitung, die Terminalserverfarm und die ERP-Systeme künftig als virtuelle IT-Systeme zu betreiben. Bei der Analyse der bestehenden physischen Systeme stellt das Planungsteam fest, dass die Festplatten der bestehenden Systeme nur zu einem kleinen Teil ausgelastet sind. Bei einigen Datenbanksystemen tritt allerdings gelegentlich ein erhöhter Platzbedarf auf, wenn die monatliche Auswertung der Einkaufskennzahlen durchgeführt wird. Dieser Speicherplatz wird allerdings sofort wieder freigegeben, wenn die Auswertung beendet ist.

Des Weiteren wird geplant, bei einem Versionswechsel im ERP-System die Snapshot-Funktion der Virtualisierungsserver einzusetzen. Da es bei den Aktualisierungen gelegentlich zu Fehlern kommt, soll diese Funktion genutzt werden, um die Änderungen schnell wieder rückgängig machen zu können. Eine zeitraubende Wiederherstellung des Zustands vor der Aktualisierung kann sich im Warentermingeschäft schnell negativ auf den Geschäftserfolg auswirken. Aus diesem Grunde sind die Snapshot-Funktionen der Virtualisierungsserver ein wichtiger Faktor für die Einführung der Virtualisierungstechnik in diesem Unternehmen.

Da der Festplattenplatz der physischen Systeme nur gering ausgelastet ist, wird davon ausgegangen, dass dieser als Reserve für die Snapshots ausreichend groß ist. Daher wird beschlossen, in dem für die virtuellen IT-Systeme aufgebauten Speichernetz nur soviel Speicher vorzusehen, wie aktuell insgesamt in den physischen Systemen vorhanden ist. Dies wurde als ausreichend angesehen, da bei einer Aktualisierung der physischen Systeme auch nicht mehr Speicher verbraucht werden könnte, als tatsächlich physisch vorhanden ist.

Kurz vor dem Monatsende wird eine Aktualisierung der ERP-Software durchgeführt. Hierbei müssen die ERP-Systeme selbst sowie die Terminalserver aktualisiert werden, da die neuen und dringend benötigten Funktionen nur dann genutzt werden können, wenn auch die Client-Software auf den Terminalservern ausgetauscht wird. Um möglichen Fehlfunktionen vorzubeugen, ist vor der Aktualisierung ein Snapshot aller Systeme, der ERP-Systeme und der Terminalserver, erzeugt worden. Der Snapshot wurde nach der Erzeugung der monatlichen Kennzahlen erzeugt, um bei einem Fehlschlag der Aktualisierung die Kennzahlen auf der Basis der alten Software schnell zur Verfügung zu haben.

Ab diesem Zeitpunkt werden alle Veränderungen an den Festplattencontainern der virtuellen IT-Systeme in eine Differenzdatei geschrieben und der Speicherverbrauch im Speichernetz steigt sprunghaft an. Es ist nicht bedacht worden, dass durch den Snapshot die bei der Aktualisierung der Software ersetzten Dateien nicht wie vorher physisch überschrieben werden, sondern im Snapshot weiterhin vorhanden sind. Der Speicherbedarf für die Aktualisierung der virtuellen IT-Systeme hat sich dadurch verdoppelt.

Als nun die monatliche Auswertung durchgeführt wird, geht der Speicherplatz im Speichernetz gänzlich zur Neige und es können keine weiteren Daten mehr geschrieben werden. Auch hier ist wiederum nicht beachtet worden, dass der Platz für die Auswertung in der Differenzdatei neu belegt werden muss. Der für die Auswertung zuständige Administrator des virtuellen IT-Systems hat die Speicherknappheit innerhalb der virtuellen Festplatte bemerkt und deshalb die alte Auswertung vor Erzeugung der neuen gelöscht. Allerdings hat dieses Vorgehen keine Auswirkung auf den physisch belegten Speicherplatz, da der für die Auswertung der Alt-Daten verwendete physische Speicherplatz jetzt Bestandteil des Snapshots ist.

Die Virtualisierungssoftware schützt die virtuellen IT-Systeme automatisch vor Datenverlust und -inkonsistenz, indem die virtuellen IT-Systeme angehalten werden. Dadurch fallen alle Terminalserver und alle ERP-Systeme vollständig und gleichzeitig aus. Die Handelsagenten sind von der Unternehmenskommunikation abgeschnitten und können über den Ausfall nicht informiert werden. Hierdurch verzögern sich die auf dem Warenterminmarkt getätigten Geschäfte und das Unternehmen muss wesentlich höhere Preise für die eingekauften Waren bezahlen.

Bevor die ausgefallenen Systeme wieder in Gang gebracht werden konnten, musste freier Speicherplatz für die virtuellen IT-Systeme geschaffen werden. Die Administratoren standen vor der Wahl, die virtuellen IT-Systeme wieder auf den Snapshot zurückzusetzen oder eine Speichererweiterung im Speichernetz vorzunehmen. Da die Terminalserverfarm und das ERP-System schnell wieder verfügbar sein mussten, wurde entschieden, die Systeme auf den Snapshot zurückzusetzen. Die Personalkosten für die Aktualisierung der Systeme mussten daher abgeschrieben werden.

Nachdem der für eine Aktualisierung der ERP-Software unter Verwendung von Snapshots tatsächlich benötigte Speicherplatz korrekt ermittelt worden ist, wurde eine Speichererweiterung des Speichernetzes vorgenommen. Die dringend benötigten Funktionserweiterungen der aktualisierten Software konnten erst genutzt werden, nachdem diese Erweiterung erfolgt war.

Stand: 12. EL Stand 2011