"Die Alfa-Bank ist so zuverlÀssig wie ein Panzer,
und die Gamma-Bank ist so zuverlÀssig wie eine Bank!"
Victor Pelevin, "Zahlen"
Wenn der Ausdruck "Bankensystem" in GesprĂ€chen vorkommt, zeichnet die Phantasie ein Ă€uĂerst zuverlĂ€ssiges System, das auf den teuersten GerĂ€ten basiert, auf allen möglichen Ebenen gruppiert und durch zugĂ€ngliche und unzugĂ€ngliche Schutzmittel von der AuĂenwelt abgeschirmt ist. In der Tat existieren solche Systeme. Aber ...
Wenn Sie sich die offenen Stellen von Entwicklern in der Bank ansehen, dann ist es durchaus möglich, dort die Anforderungen an das Wissen von Cassandra, MongoDB und anderen Plattformen zu erkennen, die in keiner Weise zu Gedanken ĂŒber eine 100% ige VerfĂŒgbarkeit anregen. Und DBMS wie Oracle oder Microsoft SQL Server werden irgendwo auf einem Cluster teurer Server installiert, die mit den zuverlĂ€ssigsten und leistungsstĂ€rksten Arrays verbunden sind, und irgendwo auf einer regulĂ€ren virtuellen Maschine in einer Farm von Anfang an.
Die GrĂŒnde liegen auf der Hand - redundante Lösungen sind teuer. Aber wie kann man einen Kompromiss zwischen den Kosten der Plattform und ihrer ZuverlĂ€ssigkeit finden?
Es war einmal, als es im Unternehmen nur wenige Informationssysteme gab, die Infrastruktur fĂŒr jedes System war ein Kunstwerk. Mit der Zeit gab es mehr Systeme, die UnterstĂŒtzung mehrerer hundert verschiedener Hardware- und Softwarekonfigurationen wurde teuer, und die Infrastrukturabteilungen wurden standardisiert. Beispielsweise könnte eine Reihe von RDBMS-Infrastrukturlösungen, die Anwendungen verwenden können, folgendermaĂen aussehen:
- Hi-End-Klassenserver mit Hi-End-Klassen-Festplattenarrays und synchroner Replikation;
- Midrange-Server mit Midrange-Festplatten-Arrays und synchroner Replikation;
- Server der Midrange-Klasse mit Midrange-Festplatten-Arrays und asynchroner Replikation;
- Commodity-Server mit Midrange-Disk-Arrays ohne Replikation.
Wie wĂ€hlen Sie nun eine Konfiguration fĂŒr eine bestimmte Datenbank aus, die zu einer bestimmten Anwendung gehört?
Sie können eine Liste der "wichtigsten Anwendungen erstellen, die um jeden Preis funktionieren mĂŒssen". Dies wirft zwei Probleme auf:
Die Hardwarekonfiguration fĂŒr die verbleibenden Anwendungen hĂ€ngt vom "Gewicht" des Systembesitzers ab. Infolgedessen funktioniert ein Teil des elektronischen Krankenstands mit den teuersten GerĂ€ten, da dies die beliebteste Idee des Hauptbuchhalters ist, mit dem sich niemand streiten möchte. Dies ist eine unvernĂŒnftige Geldverschwendung.
Einige Anwendungen werden möglicherweise nicht in die "wichtigste" Liste aufgenommen, da sie nicht berĂŒcksichtigt wurden. Zum Beispiel erinnert sich jeder an die Verarbeitung von Bankkarten, aber niemand erinnert sich daran, Kunden auf "schwarzen Listen" zu ĂŒberprĂŒfen, die bei jedem Vorgang funktionieren sollten. Infolgedessen wird der Ausfall eines solchen Systems zu einer unangenehmen Ăberraschung und fĂŒhrt zu ernsthaften Problemen.
Es gibt eine formale Methode, mit der Sie die richtige Wahl treffen und schĂŒtzen können, was geschĂŒtzt werden muss, ohne zu viel fĂŒr das zu bezahlen, wofĂŒr Sie nicht zu viel bezahlen können.
ZunĂ€chst wird eine Klassifizierung der Anwendungen nach dem Grad der KritikalitĂ€t eingefĂŒhrt. In der Regel sind diese Ebenen vier. Sie können zum Beispiel so genannt werden:
- Platin;
- Gold;
- Silber;
- Bronze.
Oder so:
- Missionskritisch;
- GeschÀftskritisch;
- GeschÀftsbetrieb;
- Office-ProduktivitÀt.
Diese vier Ebenen passen perfekt in 4 verschiedene Infrastrukturkonfigurationen. Sie mĂŒssen nur noch jede Anwendung nach Bedarf klassifizieren.
Bei der Bewertung sind zwei Regeln zu beachten:
Das System wird vom Unternehmen und nicht von der IT-Abteilung bewertet, die es bedient. Die KritikalitĂ€t sollte nicht davon abhĂ€ngen, wie lange oder mĂŒhsam das System zu warten ist. Das einzige Kriterium sind die Verluste, die dem Unternehmen durch SystemausfĂ€lle entstehen.
Der Wortlaut der Fragen, aus denen sich die Bewertung zusammensetzt, sollte die Möglichkeit bieten, die Antworten zu ĂŒberprĂŒfen. NatĂŒrlich basieren die Kriterien immer noch auf Expertenurteilen, aber der Experte kann zumindest erklĂ€ren, warum er gerade eine solche Bewertung abgegeben hat.
Was bestimmt den Grad der KritikalitÀt?
- . , , , .
- SLA (service level agreement). , â , .
- . , , .
In der Weltpraxis hat sich so etwas entwickelt:
Dies bedeutet nicht, dass in Ihrem Unternehmen die Verteilung der Systeme nach Klassen genau gleich sein sollte. Wenn jedoch mehr als 15% der Betriebssysteme in die kritische Klasse der Mission eingestuft werden, ist dies auf jeden Fall ein Grund, ernsthaft nachzudenken.
Auf die Frage "Wie viel wird dieses oder jenes System benötigt" antwortet jeder EigentĂŒmer mit "sehr". Daher muss eine andere Frage gestellt werden: Was passiert, wenn das System stoppt? Die KritikalitĂ€tsklasse des Systems hĂ€ngt von der Schwere der Folgen des Herunterfahrens des Systems und der Geschwindigkeit ihres Auftretens ab.
Schauen wir uns einige Bankensysteme an.
Das Abwicklungssystem bietet (Ăberraschung!) Abrechnungen zwischen Mandanten - juristischen Personen. Wenn ein groĂer Firmenkunde plötzlich nicht mehr in der Lage ist, eine Zahlung an eine Gegenpartei zu leisten, verliert die Bank einen sehr erheblichen Betrag, sodass das Abwicklungssystem zweifellos in die höchste Klasse der KritikalitĂ€t fĂ€llt.
Nehmen wir die Kartenverarbeitung. Wenn ein oder zwei Kunden nicht mit Karte bezahlen können, sind die Verluste der Bank gering, aber ein derart massiver Denial-of-Service ist an sich nicht akzeptabel.
Nehmen wir nun ein System, das Einlagen verwaltet. Wenn dieses System stoppt, sind die Verluste der Bank wieder gering und der Denial-of-Service nicht so massiv wie bei der Verarbeitung. Aber brauchen wir ein Zeitungs-Editorial mit der Ăberschrift "Die Bank weigert sich, Einlagen auszugeben"? Die Frage ist rhetorisch.
Nehmen wir zum Schluss das Hauptbuch. Wenn ihr plötzlich etwas passiert, werden die Kunden nichts bemerken, da dieses System ĂŒberhaupt nicht am Kundenservice teilnimmt. Es lohnt sich jedoch, die Lieferung der Bilanz zu verzögern, da die Sanktionen der Zentralbank nicht lange auf sich warten lassen.
Die negativen Folgen von SystemausfÀllen lassen sich also in vier Klassen einteilen:
- Wirtschaftlich (direkte Verluste);
- Kunde (Denial of Service);
- Reputation (negative Reaktionen in den Medien);
- Rechtlich (von Warnungen und Geldstrafen bis hin zu Klagen und Lizenzentzug).
FĂŒr jede Konsequenzklasse sollten Schweregradkriterien formuliert und Werte von 0 bis 4 zugewiesen werden. Beispielsweise könnte eine Tabelle folgendermaĂen aussehen:
| 0 | 1 | 2 | 3 | 4 | |
|---|---|---|---|---|---|
| Wirtschaftlich | Nein | <0,1% des geplanten Gewinns | 0,1% .. 0,5% des geplanten Gewinns | 0,5% .. 1% des geplanten Gewinns | > 1% des geplanten Gewinns |
| Klient | Nein | 1 Kunde | >1% | >5% | >10% |
NatĂŒrlich sind alle Zahlen willkĂŒrlich, alle Berechnungsmethoden basieren ausschlieĂlich auf Expertenmeinungen, und der Diskussionsspielraum darĂŒber, was als "regionale Medien" zu betrachten ist und wie negative Artikel in populĂ€ren Blogs zu behandeln sind, ist wirklich unbegrenzt. Aber in einem groĂen Unternehmen wird es sicherlich sowohl eine Rechtsabteilung als auch einen PR-Dienst geben, der bereitwillig eine kompetente Meinung Ă€uĂert.
Der nĂ€chste Schritt besteht darin, die Zeitintervalle auszuwĂ€hlen, in denen die Verluste geschĂ€tzt werden. Zum Beispiel Stunde, 4 Stunden, 8 Stunden, 24 Stunden. Diese Intervalle sind willkĂŒrlich und haben nichts mit SLAs fĂŒr die zu bewertenden Systeme zu tun. Obwohl es in Zukunft richtig wĂ€re, typische SLA genau an diese Intervalle zu binden.
Jetzt fĂŒllt der Besitzer jedes Systems eine Matrix von 16 Zellen aus. Die Zahlen in der folgenden Tabelle sind als Beispiele angegeben. GrundsĂ€tzlich ist nur wichtig, dass die SchĂ€tzung der Folgen fĂŒr ein lĂ€ngeres Intervall nicht geringer sein kann als die SchĂ€tzung fĂŒr ein kĂŒrzeres Intervall.
| bis zu 1 Stunde | 1..4 Stunden | 4..8 Stunden | 8..24 Stunden | |
|---|---|---|---|---|
| Wirtschaftlich | 1 | 1 | 3 | 3 |
| Klient | 1 | 2 | 2 | 3 |
| Reputation | 0 | 0 | 1 | 2 |
| Legal | 1 | 2 | 3 | 4 |
Es sind noch drei Schritte ĂŒbrig, um das Endergebnis aus dieser Matrix zu erhalten.
Schritt eins - WĂ€hlen Sie fĂŒr jedes Zeitintervall die maximale SchĂ€tzung aus:
| bis zu 1 Stunde | 1..4 Stunden | 4..8 Stunden | 8..24 Stunden | |
|---|---|---|---|---|
| MAXIMAL | 1 | 2 | 3 | 4 |
Schritt zwei: Wir ĂŒbersetzen die erhaltenen SchĂ€tzungen unter Verwendung der Matrix in die KritikalitĂ€tsklassen:
| Punkte | bis zu 1 Stunde | 1..4 Stunden | 4..8 Stunden | 8..24 Stunden |
|---|---|---|---|---|
| 4 | MC | MC | BC | BC |
| 3 | MC | BC | BC | BO |
| 2 | BO | BO | BO | OP |
| 1 | BO | BO | OP | OP |
FĂŒr dieses System erhalten wir folgende SchĂ€tzungen:
| bis zu 1 Stunde | 1..4 Stunden | 4..8 Stunden | 8..24 Stunden | |
|---|---|---|---|---|
| KLASSE | BO | BO | BC | BC |
Und schlieĂlich wĂ€hlen wir aus allen erhaltenen SchĂ€tzungen die maximale aus - in diesem Fall sollte das zu bewertende System als geschĂ€ftskritisch eingestuft werden.
Nachdem wir diese SchĂ€tzungen erhalten haben, können wir vernĂŒnftigerweise die eine oder andere Infrastrukturlösung fĂŒr jedes System auswĂ€hlen.
Es gibt noch einige Nuancen, ohne die die beschriebene Methodik unvollstÀndig wÀre.
Wenn das System die FunktionsfĂ€higkeit eines anderen Systems sicherstellt, kann seine KritikalitĂ€tsklasse nicht niedriger sein als die Klasse des abhĂ€ngigen Systems. Zum Beispiel hat Active Directory ĂŒberhaupt nichts mit GeschĂ€ft zu tun. Wenn es jedoch plötzlich ansteigt, sind die Konsequenzen fĂŒr viele GeschĂ€ftsanwendungen am schlimmsten, und daher gehört AD definitiv zur kritischen Klasse der Mission.
Verluste aufgrund von SystemausfÀllen können nicht geringer sein als Verluste, die durch die Unterbrechung des von diesem System bereitgestellten GeschÀftsprozesses entstehen. Angesichts dieser Regel ist es sehr interessant, das E-Mail-System des Unternehmens zu bewerten, da sich plötzlich herausstellt, dass der Austausch kritischer Informationen damit verbunden ist.
Wenn ein Unternehmen mehrere Blöcke auf demselben System verwendet und die SchĂ€tzungen dieser Blöcke fĂŒr das System unterschiedlich sind, sollte die maximale SchĂ€tzung verwendet werden. DarĂŒber hinaus können auch die Bewertungskriterien unterschiedlich sein. So kann beispielsweise die EinschĂ€tzung der Unmöglichkeit, einen Kunden zu bedienen, sehr unterschiedlich sein, je nachdem, um welche Art von Kunden es sich handelt - ein gewöhnlicher "Physiker", ein VIP oder ein groĂer Firmenkunde.
Beschriften Sie Ihre Systeme - und Ihre Infrastruktur ist möglicherweise so zuverlÀssig wie nötig, aber nicht teurer als sie sein kann!