Bundesamt für Sicherheit in der Informationstechnik

M 3.92 Grundlegende Begriffe beim Einsatz von Speicherlösungen

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Die Geschäftsprozesse in Institutionen sind heutzutage größtenteils von Informationstechnik durchdrungen. Wichtige Informationen wie beispielsweise Kommunikationsdaten, Verträge, Werbematerialien oder Konstruktionspläne liegen in vielen Fällen ausschließlich in digitaler Form vor. Für Unternehmen und Behörden sind diese Daten von großer Bedeutung. Entsprechend sind die Anforderungen, die Institutionen an ihre Speicherlösung stellen, in der Vergangenheit stetig gestiegen. Gleichzeitig erweitern neue Entwicklungen im Speicherumfeld die möglichen Einsatzszenarien, bringen aber gleichzeitig neue Gefährdungen mit sich. Der sorgfältigen Planung kommt daher im Zusammenhang mit dem Einsatz von Speicherlösungen eine wachsende Bedeutung zu.

Voraussetzung für eine erfolgreiche Planung ist unter anderem das gemeinsame Verständnis aller Verantwortlichen über grundlegende Begriffe, wie sie beim Einsatz von Speicherlösungen benötigt werden. Nachfolgend finden sich daher Ausführungen zu Begriffen aus dem Speicherumfeld, die alle relevanten Aspekte abdecken.

Speicherlösung

Eine Speicherlösung besteht aus einem oder mehreren Speichernetzen sowie einem oder mehreren Speichersystemen. Der Begriff Speicherlösung beschreibt somit die Gesamtheit aller Komponenten, die zum Speichern von Daten und deren Bereitstellung für die zugreifenden Systeme erforderlich sind.

Speichersystem

Die zentrale Instanz, die für andere Systeme Speicherplatz zur Verfügung stellt, wird als Speichersystem bezeichnet. Der Einsatz eines Speichersystems erlaubt den zeitgleichen Zugriff mehrerer Systeme ( z. B. virtuelle und physische Server, Clients, Appliances) auf den vorhandenen Speicherplatz. Ein Speichersystem besteht aus mehreren Komponenten, die in der Folge näher beschrieben sind.

Speichermedien

Ein Speichersystem beinhaltet ein oder mehrere Speichermedien, die das Speichern und spätere Abrufen von Daten ermöglichen. Speichermedien können dabei beispielsweise in elektronische Speichermedien ( z. B. Flash-Speicher), magnetische Speichermedien ( z. B. Festplatten oder Magnetbänder) oder optische Speichermedien ( z. B. optische Bänder) unterteilt werden.

Speichergehäuse

Im Regelfall sind Speichermedien in einem separaten Speichergehäuse untergebracht. Bei kleineren Speichersystemen können die Speichermedien allerdings auch zusammen mit den Speicher-Controllern oder NAS -Controllern in einem gemeinsamen Gehäuse verbaut sein.

Speicher-Controller

Ein Speichersystem kann mit einem oder mehreren redundant ausgelegten Speicher-Controllern ausgestattet sein. Ein Speicher-Controller besteht dabei in der Regel aus folgenden Komponenten:

  • Frontend-Ports (Fibre Channel + Ethernet)
  • Speicherprozessor(en) und dazugehöriger RAM
  • Speicher-Cache
  • Backend-Ports zu den Speichergehäusen (SAS, FC )

Der Speicher-Controller ermöglicht die Konfiguration des Speichersystems und stellt somit eine zentrale Komponente innerhalb des Speichersystems dar. Aufgabe des Speicher-Controllers ist darüber hinaus die Bereitstellung der konfigurierten Speichermedien für das Speichernetz.

NAS-Controller

Ein Speichersystem kann mit einem oder mehreren redundant ausgelegten NAS -Controllern ausgestattet sein. Der NAS -Controller ermöglicht unter Verwendung von NFS (Network File System) oder CIFS (Common Internet File System) Zugriff auf die Speichersysteme. Der Hauptanwendungsfall besteht darin, Fileserverdienste zur Verfügung zu stellen. Der NAS -Controller kann einerseits am Speicher-Controller angeschlossen sein, andererseits aber auch zusammen mit dem Speicher-Controller in einem Gehäuse untergebracht sein.

Mögliche Zugriffsmethoden auf Speichersysteme

Speichersysteme lassen sich hinsichtlich ihrer Zugriffsmethoden unterscheiden. Nachfolgend sind gängige Varianten von Speichersystemen dargestellt.

  • Blockbasierende Speichersysteme: Der Zugriff auf das Speichersystem erfolgt ausschließlich blockbasiert. Es wird kein NAS -Controller eingesetzt.
  • Filebasierende Speichersysteme: Der Zugriff auf das Speichersystem erfolgt ausschließlich filebasiert. Es wird ein NAS -Controller eingesetzt.
  • Unified Speichersysteme (file- und blockbasierend): Der Zugriff auf das Speichersystem erfolgt sowohl block- als auch filebasiert.

Speichernetz

Speichernetze ermöglichen einerseits den Zugriff auf die Speichersysteme, anderseits die Replikation von Daten zwischen Speichersystemen. Innerhalb eines Speichernetzes kommen unterschiedliche Protokolle zum Einsatz. Darüber hinaus existieren, insbesondere bei blockbasiertem Zugriff, spezielle Netzkomponenten, die ein Speichernetz um spezifische Funktionen erweitern.

Protokolle

Der Zugriff auf Speichersysteme erfolgt mithilfe von Speichernetzen. Grundsätzlich ist hierbei, wie bereits bei den Speichersystemen, zwischen IP-basiertem Filezugriff ( z. B. CIFS ), IP-basiertem Blockzugriff ( z. B. iSCSI ) und rein blockbasiertem Zugriff ( z. B. FC ) zu unterscheiden. In Abhängigkeit der Zugriffsform kommen jeweils unterschiedliche Protokolle zum Einsatz.

Bei einem IP -basierten Zugriff stehen folgende Protokolle zur Verfügung:

  • NFS (Network File System)
  • CIFS (Common Internet File System), eine Erweiterung von SMB (Server Message Block)
  • HTTP (Hypertext Transfer Protocol)
  • WebDav (Web-based Distributed Authoring and Versioning)
  • REST (Representational State Transfer), ist eng mit HTTP verknüpft
  • SOAP (Simple Object Access Protocol)

Bei einem blockbasierten Zugriff stehen folgende Protokolle zur Verfügung:

  • FC (Fibre Channel)
  • FCoE (Fibre Channel over Ethernet)
  • iSCSI (internet Small Computer System Interface)

Kommt iSCSI zum Einsatz, sollte hierfür ein separates Netz zur Verfügung gestellt werden. Damit liegt in der Folge eine Trennung hinsichtlich des Administrationsnetzes, des Produktionsnetzes für Anwendungen und Anwender sowie des iSCSI -Netzes vor. Dieses Vorgehen hat sich in der Praxis als Best Practice bewährt. Im Fehlerfall kann bei separaten Netzen die Ursache schneller und einfacher gefunden bzw. behoben werden, zudem wirken sich Störungen lediglich auf ein Netz aus und nicht gleichzeitig auf alle Anwendungen.

Beim Ablegen von Objekten in einer Cloud wird häufig Objekt-Storage (oftmals auch als "Object-based Storage" bezeichnet) eingesetzt. Objekt-Storage ermöglicht gegenüber den traditionellen blockbasierten und IP-basierten Zugriffsmethoden einen objektbasierten Zugriff. Dieser erfolgt direkt per IP oder per API und deren Kommandos über eine führende Anwendung.

FC-SAN-Switches

FC - SAN -Switches stellen bei einem FC -blockbasierten Zugriff für die zugreifenden Server die Verbindungsstelle ins Speichernetz dar. Sie ermöglichen in der Folge den gleichzeitigen Zugriff mehrerer Server auf die Speichersysteme.

Derzeit existieren folgende relevante Switch-Technologien:

  • FC - SAN -Switches, die FC als einziges Protokoll nutzen
  • Unified-Fabric-Switches, die, je nach Konfiguration und Bestückung, gleichzeitig als LAN -, FC - und FCoE-Switch dienen

Replikation

Unter Replikation ist die mehrfache Speicherung der Daten eines Speichersystems und die Synchronisation dieser Datenquellen zu verstehen. Eine Replikation kann dabei innerhalb eines Brandabschnitts, über Brandabschnitte hinweg und sogar bis über die Grenzen von Rechenzentren oder Ländern hinaus erfolgen. In der Praxis sind zwei Replikationsarten zu unterscheiden.

Die synchrone Replikation ermöglicht eine voll redundante Datenhaltung, bei der die Daten eines Speichersystems in Echtzeit auf ein entferntes System gespiegelt werden. Dabei wird sichergestellt, dass die Daten an den Standorten stets synchron gehalten werden. Von synchroner Replikation ist die Rede, wenn eine Änderungsoperation an einem Datenobjekt nur dann erfolgreich abgeschlossen werden kann, wenn sie auch auf den Replikaten durchgeführt wurde (Quittierung).

Der Vorteil einer synchronen Replikation ist, dass die beiden Datenblöcke jederzeit vollständig synchronisiert sind. Ein zuverlässiges Netz und vor allem niedrige Latenzzeiten sind die Voraussetzung für eine synchrone Replikation. Dies bedeutet, dass die Übertragungsreichweite beim Einsatz dieser Technologie begrenzt ist. Die Begrenzung ergibt sich hierbei entweder durch Spezifikationen der Hersteller oder basiert auf einer maximalen herstellerspezifischen Latenzzeit.

Bis zu einer Entfernung von 10 km stellt eine synchrone Datenspiegelung ohne Einsatz zusätzlicher Maßnahmen in der Regel kein Problem dar. Bei Entfernungen, die 10 km überschreiten, ist ein besonderes Augenmerk auf die Qualität der Datenverbindung zu legen. Bei Glasfaserverbindungen über 10 km sind in den Fibre-Channel-Switchen anstelle der Short-Wave-Port-Module Long-Wave-Port-Module zu verwenden. Bei der Kopplung von Rechenzentren mit Entfernungen über 10 km werden auch Technologien wie DWDM (Dense Wavelength Division Multiplexing) oder CWDM (Coarse Wavelength Division Multiplexing) eingesetzt. Hier ist die absolute Latenz der Verbindungsstrecke ausschlaggebend dafür, ob eine synchrone Spiegelung realisiert werden kann.

Im Gegensatz zur synchronen Replikation werden die Daten bei einer asynchronen Replikation nicht in Echtzeit, sondern zeitlich versetzt repliziert. Asynchrone Replikationen werden häufig bei IP -Anbindungen zwischen den Standorten eingesetzt. Die Übertragungsreichweite kann sich in diesem Fall auch über Kontinente hinweg erstrecken.

Speichervirtualisierung

Mit dem Einsatz von Speichervirtualisierung wird dem Speichernetz eine neue virtuelle Schicht hinzugefügt, welche die Speicherbereitstellung von den physischen Gegebenheiten abkoppelt. Der Einsatz von Speichervirtualisierung bietet einer Institution eine Reihe von Mehrwerten:

  • Erhöhte Flexibilität bei Aufbau, Planung und Erweiterung einer Speicherlösung
  • Vereinheitlichung des Speichermanagements
  • Unabhängigkeit bei der Auswahl der Speichersysteme

In der Praxis häufig anzutreffende Ausprägungen von Speicherlösungen

Network Attached Storage (NAS)

Network-Attached-Storage-Systeme bestehen in der Regel aus mindestens einem NAS -Controller und einem oder mehreren Speichergehäusen. Der Hauptanwendungsfall eines NAS besteht darin, den angeschlossenen Servern über ein IP -Netz Fileserverdienste zur Verfügung zu stellen. Viele Anbieter verwenden deshalb den Begriff "Filer" für solche Systeme.

Storage Area Network (SAN)

Storage Area Networks werden in der Regel durch ein dediziertes Speichernetz zwischen Speichersystemen und angeschlossenen Servern oder Endgeräten geschaffen. SAN s wurden für die serielle, sehr schnelle und kontinuierliche Übertragung großer Datenmengen konzipiert. Sie basieren heute für hochverfügbare, hochperformante Installationen auf der Implementierung des Fibre-Channel- oder IP -Protokolls.

Hybrid-Storage oder Unified Storage

Eine Speicherlösung, die eine Mischform zwischen NAS und SAN darstellt, wird oftmals unter der Bezeichnung "Hybrid-Storage" oder kombinierte Speicherlösung (Unified Storage) geführt. Nach außen können sie jedoch sowohl als NAS als auch als SAN betrieben werden. Dieser Mischbetrieb wird durch den Einsatz entsprechender Systemkomponenten und eine entsprechende Konfiguration ermöglicht.

So kann sich ein Speichersystem sowohl für einige Anwendungen per Ethernet-Anschluss als "Filer" präsentieren und somit Fileservices über CIFS und NFS zur Verfügung stellen als auch für andere Server Speicherkapazität per Fibre Channel oder iSCSI zugänglich machen.

Objekt-Storage

Objekt-Storage (oftmals auch als "Object-based Storage" bezeichnet) ermöglicht gegenüber den traditionellen blockbasierten und filebasierten Zugriffsmethoden einen objektbasierten Zugriff.

Objektbasierte Speicherlösungen speichern Daten in Verbindung mit den zugehörigen Metadaten auf einem Datenträger in Form von Objekten und nicht in Form von Dateien. Mittels der Vergabe einer eindeutigen Objekt-ID (Hash-Wert), die in den Metadaten des Objekts festgehalten wird, kann das Objekt eindeutig identifiziert werden. Der Zugriff auf einen objektbasierten Speicher erfolgt über eine führende Anwendung. Die Anwendung greift hierbei über eine spezielle API ( IP ) und deren mögliche Kommandos oder direkt per IP auf den Objekt-Storage zu. Im Falle eines Zugriffs per API muss die führende Applikation die herstellerspezifische API des Objekt-Storage unterstützen. Objekt-Storage wird vor allem im Bereich Archivierung, Dokumentenmanagement und beim Ablegen von Objekten in einer Cloud eingesetzt.

Cloud Storage

Im Zusammenhang mit Weiterentwicklungen im Speicherumfeld etabliert sich zunehmend auch der Begriff des Cloud Storage. Hierunter ist Speicher für die Cloud-Nutzung zu verstehen. Die Speicherlösung an sich bleibt dabei weitgehend unverändert, jedoch liegt eine von den klassischen SAN - oder NAS -Architekturen abweichende Art des Zugriffs auf die gespeicherten Daten vor. Dieser wird in der Regel mittels Web-Service-Schnittstelle (via REST und SOAP ) realisiert.

Eine besondere Herausforderung im Zusammenhang mit Cloud-Storage ist die Mandantenfähigkeit der Gesamtlösung.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK