Bundesamt für Sicherheit in der Informationstechnik

G 4.74 Ausfall von IT-Komponenten in einer virtualisierten Umgebung

Innerhalb einer klassischen IT-Infrastruktur werden Serverbetriebssysteme und deren Dienste, aber auch die Betriebssysteme der Arbeitsplatzrechner auf physikalischen IT-Systemen ausgeführt. Die zum Betrieb der Serversysteme notwendigen Infrastruktur-Komponenten (Netzkomponenten, Speichernetze und ähnliches) werden ebenfalls verteilt auf verschiedenen physikalischen IT-Systemen bereitgestellt.

In einer virtualisierten Umgebung hingegen werden die Serversysteme sowie Teile der notwendigen Infrastrukturkomponenten als eigene Server-Instanzen zu einem großen Teil durch die Virtualisierungsserver selbst bereitgestellt. Wenn also ein virtueller Server beispielsweise auf das Netz zugreift, so greift er nicht auf ein physikalisches IT -System wie einen Switch zu, sondern auf eine durch den Virtualisierungsserver zur Verfügung gestellte Komponente, die nur als Software, aber nicht als eigene Hardware betrieben wird.

Fällt ein physikalisches IT-System aus, kann oftmals noch mit den restlichen Systemen weiter gearbeitet werden. Zwar sind die Dienste, die durch den ausgefallenen Server bereitgestellt werden, nicht länger verfügbar, dies betrifft jedoch nicht zwingend alle anderen installierten Server. Ist beispielsweise ein Datenbankserver ausgefallen, kann dennoch der Zugriff auf den Dateiserver erfolgen. Nicht alle Geschäftsprozesse, die durch den Informationsverbund unterstützt werden, sind also betroffen.

Im Gegensatz dazu werden in einer virtualisierten IT-Infrastruktur in der Regel zahlreiche und unterschiedliche Instanzen virtualisierter IT-Systeme (Gäste) technisch auf wenigen physikalischen Maschinen zusammengeführt (konsolidiert). Hierdurch erhöhen sich die Auswirkungen auf die Verfügbarkeit bei Störungen eines Virtualisierungsservers erheblich. Bei Beschädigungen von physikalischen Komponenten des Virtualisierungsservers oder einer Fehlfunktion in dessen Betriebssystem werden alle darauf ablaufenden virtuellen IT-Systeme in Mitleidenschaft gezogen.

Beim Ausfall eines IT-Systems können die Daten beschädigt werden, die von diesem System verarbeitet werden. Es entsteht gegebenenfalls ein höherer Aufwand, um das System wieder in Betrieb zu nehmen, da die Daten möglicherweise aus der Datensicherung wieder hergestellt werden müssen. Es können auch Daten unwiederbringlich verloren gegangen sein. Fallen nun mehrere virtuelle IT-Systeme aufgrund eines Fehlers eines Virtualisierungsservers gleichzeitig aus, steigt die Wahrscheinlichkeit, dass mindestens eines der ausgefallenen Systeme von einer solchen Beschädigung betroffen ist. Daher kann es in einem solchen Fall zu einer längeren Betriebsunterbrechung kommen, als es beim Ausfall nur eines IT-Systems der Fall gewesen wäre.

Im Rechenzentrumsbetrieb hängen viele Dienste voneinander ab. Zum Beispiel benötigt ein Mailsystem einen Verzeichnisdienst, um Empfängeradressen den Postfächern zuzuordnen. Ein System zur Auftragsverwaltung benötigt das Mailsystem, um eingehende und ausgehende Aufträge zu verarbeiten. Es erstellt außerdem automatisch Aufträge im Warenwirtschaftssystem, um die Abarbeitung der Kundenaufträge zu unterstützen. Zudem greift das Warenwirtschaftssystem auf die Datenbank der Lagerverwaltung zu, um Lagerbestände zu überwachen.

Der Ausfall von einzelnen Komponenten des Informationsverbundes kann dazu führen, dass ebenso Dienste, die im Rechenzentrum bereitgestellt werden, teilweise ausfallen. Werden nun mehrere IT-Systeme als virtuelle IT-Systeme auf einem Virtualisierungsserver betrieben, fallen mit dem Virtualisierungsserver zusammen gleich mehrere Komponenten eines Informationsverbundes aus. Hierdurch kann es zu einer stärkeren Beeinträchtigung des IT-Betriebs kommen, als es im klassischen, nicht virtualisierten Rechenzentrumsbetrieb der Fall wäre.

Beispiel:

Ein mittelständisches Unternehmen hat sich für die Verwendung einer Virtualisierungslösung entschieden. Es wird geplant, einige sehr leistungsfähige Server zu beschaffen und die Anzahl physikalischer Systeme stark zu reduzieren.

Auf den Virtualisierungsservern wurden IT-Systeme und deren Dienste nach Aspekten wie Prozessorlast und Speicherverbrauch verteilt. Dabei wurde überlegt, wie die virtuellen IT-Systeme auf die Virtualisierungsserver optimal verteilt werden können.

Das Unternehmen nutzt ein Mailsystem, das auf einem Verzeichnisdienst beruht. Dazu wird ein Buchhaltungssystem betrieben, das in einen Anwendungsserver und einen Datenbankserver aufgeteilt ist. Die weiterhin noch genutzten Warenwirtschafts- und Lagerhaltungssysteme verwenden ebenfalls die Buchhaltungsdatenbank für den Austausch von Daten.

Da der Datenbankserver des Buchhaltungssystems und der Mailserver zu den IT-Systemen mit den größten Performanceanforderungen gehören, wurde entschieden, sie auf getrennten Virtualisierungsservern zu betreiben. Dadurch soll erreicht werden, dass diese sich während des Betriebs nicht gegenseitig beeinträchtigen. Die weitere Analyse der Performanceanforderungen der Systeme ergab dabei, dass ein optimaler Konsolidierungsseffekt erreicht werden kann, wenn die virtuellen IT-Systeme wie folgt verteilt werden:

Erster Virtualisierungsserver: Datenbank, Verzeichnisdienst

Zweiter Virtualisierungsserver: Mailsystem, Buchhaltungssystem

Dritter Virtualisierungsserver: Warenwirtschafts-, Lagerhaltungssystem

Durch einen beschädigten Elektrolytkondensator auf der Hauptplatine des ersten Virtualisierungsservers kommt es zum Ausfall dieses Servers. Auf diesem Server befanden sich getrennt in virtuellen Maschinen die Datenbank für das Buchhaltungssystem und der Verzeichnisdienst der Firma.

Der Wegfall dieses einen physikalischen Servers hat insgesamt weitreichende Konsequenzen für den IT-Betrieb. Zwar liegen die Applikationsserver der Buchhaltung sowie der Lager- und Warenwirtschaft auf anderen Virtualisierungsservern, sind jedoch auf einen Datenaustausch mit der Datenbank angewiesen, um ordnungsgemäß zu funktionieren. In dem Unternehmen fielen zentrale Prozesse vollständig aus, sodass es zu einem Stopp der Auslieferung der Kundenaufträge kam und durch den Ausfall des Warenwirtschafts- und Lagerhaltungssystems ein mehrstündiger Produktionsausfall hingenommen werden musste.

Weiterhin konnten die Kunden des Unternehmens nicht sofort wie vertraglich vereinbart per E-Mail über den Produktionsausfall unterrichtet werden, da das Mailsystem ebenfalls ausgefallen war. Dadurch verletzte das Unternehmen wesentliche Pflichten aus seinen Lieferverträgen und musste neben den durch den Produktionsausfall verursachten Kosten auch noch Vertragsstrafen übernehmen.

Stand: 12. EL Stand 2011