Connectivité des sites De la sécurité de base à la haute disponibilité Jean-Michel HAELLING

Contenu de la présentation Généralités PCA-PRA Terminologie Les raisons de mettre en œuvre un PCA-PRA Démarche globale Pourquoi plusieurs sites distants Un peu d’histoire L’interconnexion des sites Les liaisons L’évolution des liaisons Les matériels d’interconnexion L’évolution des performances Les techniques de multiplexage (WDM) La haute disponibilité des données La haute disponibilité des traitements

Terminologie PCA: Plan de Continuité d’activité = BCP Business Continuity Plan PRA(i): Plan de Reprise d’activité = DRP Disaster Recovery Plan (i) = Informatique Plan: Ensemble organisé des modalités et moyens de tous ordres (processus, procédures, mécanismes, moyens matériels, moyens humains) de gestion de l’ensemble des risques identifiés (prévention, détection,évitement) et des incidents survenant néanmoins (masquage, réparation, assurance), pesant sur, ou affectant la disponibilité, l’accessibilité et le bon fonctionnement de l’ensemble des ressources nécessaires ou utiles à l’exercice des activités de l’entreprise. Avec pour objectif de garantir en toutes circonstances soit la continuité (pas d’interruption), soit la reprise des activités dans un délai défini limitant les préjudices à un niveau acceptable.

Les raisons de mettre en œuvre un PRA Pourquoi élaborer un PCA et un PRAi ? Quels ressorts / déclencheurs de motivation ? Obligations légales (globales ou sectorielles) Organismes de notation, respect de normes ... Assurances (coûts), Image, valorisation / cours de bourse, ... Obligation privées contractuelles (sous-traitance, ...) Risque économique: CA, profits, ..... >> survie

Stratégie globale & Plan PCA Démarche globale Cycle de mise en œuvre de la démarche Inventaire / Cartographie des ressources Spécifier la SOLUTION Mise en oeuvre Inventaire et analyses des risques Stratégie globale & Plan PCA Objectifs généraux Contrats de service plan d’action global Analyse d’impact valorisation des préjudices Analyse des coûts des solutions Définir les Rôles et responsabilités

Pourquoi plusieurs sites distants? 1/2 Les données critiques et non critiques pour l’entreprise résident sur le site de production de l’entreprise. Pour sécuriser ces données, elles doivent être exportées sur un second site. Des serveurs de secours, en général sous-dimensionnés ou mutualisés, étaient installés sur le site de secours Avant les années 80, lorsque les réseaux étaient inexistants ou très chers : Des sauvegardes quotidiennes et hebdomadaires sont réalisées par la production. Les supports bandes et cassettes sont transportées sur un autre lieu.

Pourquoi plusieurs sites distants? 2/2 Le second site doit permettre : La reprise des données et des traitements: Dans les différents cas de figures suivants : En cas de sinistre En cas de panne d’un élément En cas d’erreur humaine Ou de corruption de données Etc. Avec des délais de reprise de quelques heures à plusieurs jours compte tenu des temps de restauration Les pertes de données admissibles dans ce cas sont : Jusqu’à 24 heures dans le cas de sauvegardes quotidiennes De quelques heures si des sauvegardes incrémentales sont externalisées à des fréquences plus courtes.

L’interconnexion de sites au 20ème siècle Des liens Télécoms deviennent disponibles à des coûts plus raisonnables : Jusque dans les années 90, débit maximum de 34 mégabits (avec des coûts importants). Cela permet de déporter dans une seconde salle à des distances allant jusqu’à 1 000 km des unités de type : Bandes magnétiques ou robots Imprimantes et personnels d’impression Matériels de gestion de réseau Etc. Avantages par rapport à la situation précédente : Diminution des transports physiques de bandes Diminution des temps de restauration Possibilité de centres de production type « salle blanche »

Avantages – Inconvénients de l’utilisation de liaisons haut débit Permet d’avoir les données préparées à une reprise avec une fraîcheur dépendant de la vitesse des liens de communication. Si la distance est compatible avec une réplication des données: Back-up externe facilité Processus de remise en cohérence des données plus simple Inconvénients : Coût de la solution qui devra faire l’objet d’une étude incluant les paramètres suivants: Délai de remise en ligne des données et des traitements Volumétrie des données perdues acceptable Distance entre les deux sites

Le 21ème siècle La disponibilité des liaisons « Fibre Optique » Depuis la fin des années 1990, commercialisation de services basé sur l’utilisation de Fibres optiques : Mise à disposition de liaisons optiques par les différents opérateurs Possibilité de posséder une liaison optique privée entre deux sites Mise à disposition de différents systèmes de réplication de données entre des baies de disques : Proposé par la plupart des constructeurs Possibilité de mettre en œuvre des « clusters » intersites

Les incontournables des liaisons optiques 1/2 La Latence et la réplication synchrone La réplication synchrone requiert 2 aller retours par entrée-sortie La vitesse de la lumière : Dans le vide : 3x100 000 000 m/s soit 3,3 μs/km Dans la fibre optique : 2/3 de la vitesse dans le vide soit 5 μs/km Pour 50 km : 2 x 2 x 250 microsecondes (5 µs/km) La latence pour 50 km est de 1 milliseconde (2 ms pour 100 km) La distance possible Elle va dépendre de ce que l’application peut supporter Seules les entrées sorties en écriture peuvent affecter les temps de réponse.

Les incontournables des liaisons optiques 2/2 Les Buffers Crédits et la distance : Ils sont utilisés afin d’assurer la bonne propagation des « frames » FC Une frame FC (environ 2kb) s’étend sur une distance de 2 km à 1 Gbps et sur 1 km à 2 Gbps Lorsque la distance augmente, l’utilisation des Buffers Crédits augmente dans la même proportion Un nombre insuffisant de Buffers Crédits génère une moindre performance Des frames plus courtes nécessitent une plus grande utilisation des Buffers Crédits

L’évolution des liaisons 1/3 Les différents types de liaisons Distances courtes (inférieures à 150 km*) Liaisons de type fibre optique Mode de réplication synchrone possible Possibilité de création de clusters distants Longues distances (au-delà des 100 km) Fibres optiques Lignes louées ATM Etc. Réplication en mode asynchrone obligatoire (*) Certaines expériences montrent qu’il est possible d’aller jusqu’à 300km

L’évolution des liaisons 2/3 Le multiplexage optique CWDM: CWDM (Coarse WDM): Méthode utilisant quelques canaux (8) pour une transmission optique sur une seule fibre optique. Utilisable jusqu’à 100 km

L’évolution des liaisons 3/3 Le multiplexage optique DWDM: DWDM (Dense WDM): Méthode utilisant plusieurs canaux (32) pour une transmission des données jusqu’à 10Gbits sur une fibre optique. Dans cette technique la distance peut aller au-delà des 200 km Les délais de latence sont de l’ordre de 1ms pour 150 km de distance DWDM crée des canaux de données sur une fibre optique en les multiplexant sur des longueurs d’ondes définies par ITU

Les matériels d’interconnexion Les différents fournisseurs : BROCADE CISCO Pour des connexions Fiber Channel et FICON Interconnexion de SAN Mise en cluster de serveurs incluant le SYSPLEX des mainframes Déport de canaux FICON (mainframes) Déport de machines en Cluster Amélioration des temps de latence avec l’utilisation des « buffers crédits »

La disponibilité des données 1/4 Réplication « offline » Création de bandes de sauvegardes sur le site de production et transport vers le site de secours Création  de support de sauvegarde sur le site de secours au travers d’un lien de télécommunication Sauvegardes effectuées en «Y » sur le site primaire et secondaire par un lien Télécom Ces réplications doivent être faites sur une période de forte consistance de l’ensemble des données

La disponibilité des données 2/4 Réplication « online » Après une réplication initiale de la totalité des données: Mise à jour des données du second site en parallèle du premier site En synchrone : chaque donnée écrite sur le site de production est écrite sur le site secondaire Conséquences: Impact sur les performances de production Impact possible sur la fiabilité de la production en cas de rupture du lien de communication En asynchrone : les données mises à jour sur le site principale sont « poussées » vers le site de secours Performances de production préservées Pour améliorer la cohérence des données, les mises à jour sur le site de secours doivent être appliquées dans l’ordre d’origine

La disponibilité des données 3/4 La combinaison du synchrone et de l’asynchrone Pour s’affranchir de certaines contraintes de distances, certaines sociétés utilisent 3 sites: Site primaire et secondaire en réplication synchrone : Le second site est en général situé entre 30 et 50 km Impact possible sur la fiabilité de la production en cas de rupture du lien de communication Site secondaire et tertiaire en asynchrone : Site pouvant être à toutes les distances possibles Utilisation des novelles fonctions de consistance de données Performances de production préservées Coût d’acquisition d’une 3ème capacité de stockage

La disponibilité des données 4/4 Réplication logique Les données sont reconstituées sur le site de secours en ré exécutant les transactions du site de production sur le site secondaire. Obligation d’avoir une configuration similaire (serveurs) opérationnelle sur le second site. Posséder un moniteur transactionnel compatible avec cette méthodologie

La disponibilité des traitements Cela implique une production répartie sur deux sites. Le site principal et secondaire sont actifs: Pour les Mainframes : SYSPLEX distant (GEOPLEX) Distances limitées par les matériels de synchronisation des horloges Possibilité d’éloignement jusqu’à 50 km sans problèmes Au-delà, une validation reste à effectuer Pour les systèmes UNIX et Windows Clusters La distance possible dépend des contraintes de délais de réponses. Pour Windows, environ 100 km Pour Unix, possibilité jusqu’à 200 km Les applications doivent avoir prévu cette répartition.