Principer för design av högtillgängliga IT-lösningar, Björn ... - Pulsen

Principer för design av
högtillgängliga IT-lösningar
…empiri sedan 1990…
Björn Rodén
bjorn.roden@pulsen.se

Björn Rodén
http://linkedin.com/roden
• MSc, BSc, BCSc, DiplCSc, DiplSSc [Informatik & Datavetenskap]
• IBM Certified Infrastructure Systems Architect (ISA)
– En av idag fem i Norden och under 200 World Wide
• Certified TOGAF Architect
• Certified PRINCE2 Project Manager
• Certified IBM AIX Technical Expert, IBM Specialist & IBM Technical Leader:
POWER, IBM Open Storage, TSM/ADSM, PowerHA/HACMP, PowerVM/SP samt IBM ISS, HP, Solaris,
Linux, XEN – 1994-2010
• Författare av fem IBM RedBooks, en RedWiki och granskare av flera
• Presentatör vid flera IBM Technical University (POWER)
+ Design, planering och införande av högtillgängliga lösningar, stabila och
säkrade system genom åren för bla:
Sony Ericsson, IKEA, TietoEnator, Volvo, Jämtlands Läns Landsting, Telia, Tetra Pak, mfl mfl
2

Utmaningar och behov
Informationshantering för verksamhetsnytta strävar efter att…
Säkerställa behövlig servicenivå (SLO/SLA)
Hantera risker (hantera, negligera, överföra)
Sänka kostnader (CAPEX/OPEX)
…genom kontrollerad
kostnadsutveckling för
behövlig servicenivå med
acceptabel risk
Riskaccept
Hantera/Negligera
Serviceaccept
SLO/SLA
Kostnadsaccept
CAPEX/OPEX
3

Informationshantering för
verksamhetsnytta
Verksamhetens möjliga nytta av vital information – för att fatta
beslut eller utföra dagligt arbete – begränsas av kvalitetsbrister i
IT-miljöns…
Informationstillgänglighet
Informationssäkerhet
Informationsbevarande
Lag- och förordningsefterlevnad
Men även i befintlig…
Arkitektur och teknologiförutsättning
Teknologikompetens och arbetsprocesser
4

Service – Risker – Kostnader
De flesta näringsverksamheter kräver tillgång till behövlig
information i rätt tid för att fungera effektivt. Att vara utan
information och informationssystem kan bli både dyrt och
besvärande - oavsett om det sker planerat eller ej…
IT-funktioner som lagrar, skyddar, hanterar och
tillgängliggör verksamhetens information och data för
att den skall vara tillgänglig när så behövs,
för att minska risker för
stilleståndsskostnader och minska
hanteringskostnader.
Not: Information Technology Infrastructure Library (ITIL) definierar: “the goal of Availability
Management as optimizing the capability of the IT infrastructure and supporting organization to deliver
a cost-effective and sustained level of service availability that enables the business to satisfy its
objectives”.
5

Tillgänglighet – Pålitlighet – Stabilitet
Tillgänglighet (availability) avser längden på kontinuerligt
nyttjande av informationstillhandahållandetjänster för sina syften.
Pålitlighet (reliability) avser medelvärdet av funktionstid innan fel
inträffar – komponentfeltolerans anges med MTBF (Mean Time Between
Failure). En komponents förmåga att återta avbruten funktionalitet kan anges
som MTTR (Mean Time to Recover). För komponenter som inte repareras blir
MTBF = MTTF (Mean Time To Failure). För statistiskt exponentiell distribution
blir pålitligheten av MTBF/MTTF ~37%, med normalfördelning 50%.
Stabilitet är en funktion av MTBF(mod) och MTTR:
Stabilitet =
EXEMPEL:
- MTBF=300.000h & MTTR=20h (felanmälan, planering, byte, € verifiering)
- 300.000 * 37% => 110.000/(110.000+20) = 99.982%
MTBF
MTBF + MTTR
- MTTR=20s => 99.99999% (typvärde för EtherChannel/LinkAggregation Failover)
6

Systematiskt tillvägagångssätt
Systematiskt tillvägagångssätt:
1. Identifiera skyddsvärde & stilleståndskostnader
2. Identifiera hot & risker
3. Besluta acceptnivå (behov, krav, risk & servicenivå)
4. Genomför kontinuitetsdesign – upprätta SLO
5. Verkställ kontinuitetsdesign
6. Verifiera kontinuitetsdesign
7. Validera SLO
7

1
SKYDDSVÄRDE &
STILLESTÅNDSKOSTNAD
8

Tillgänglighetsnivåer
Stilleståndstid = otillgängligt
1. Grundläggande tillgänglighet
• Vanligtvis baserat på enkelt system utan intern redundans.
2. Utökad tillgänglighet
• Vanligtvis baserat på enkelt system med viss intern redundans,
alternativt tillgängliga reservdelar/extra system.
3. Hög tillgänglighet
• Vanligtvis designad teknisk plattform med intern och
extern redundans (HW, SW, konfiguration & drift).
4. Kontinuerlig tillgänglighet
• Fabrikskonstruerad teknisk plattform med 100% intern
tillgänglighet, alternativt distribuerad feltolerans med eller nära
100% tillgänglighet.
10

2
HOT OCH RISKER
12

Risk
Risk kan, i teknisk bemärkelse, definieras som
sannolikheten för att en specificerad
omständighet (riskkälla) leder till en
specificerad oönskad händelse eller effekt
under en angiven tidsperiod.
En risk som kan förverkligas utgör ett hot
Hot är en varning om möjlig obehaglig följd, dvs möjligt förvekligande av
en oönskad händelse(-er)
Källa: Nationalencyklopedin, 2009, http://www.ne.se/lang/risk (mod)
Nationalencyklopedin, 2009, http://www.ne.se/sve/hot/O184636
13

Hotbild
Katastrof(1): ”Mycket stor
olycka med omfattande
materiell förödelse efter
vilken man har svårt att
tänka sig ett återställande”
Flyg
Tåg
Brand
Strömbortfall
Översvämning
Avfallsutsläpp
Källa: (1) Nationalencyklopedin, 2009, http://www.ne.se/sve/katastrof (mod)
Se även: RSOE EDIS [http://hisz.rsoe.hu/alertmap/index.php?smp=&lang=eng]
Tsunami
Storm/Orkan
Jordskred
Jordbävning
Sabotage
Explosion
Sjukdom Epidemi
14

Hot mot enskild datacentral
Strömrelaterat (dipp, spik, bortfall)
Stormskador
Översvämmning
Brand och explosion
Jordskred/jordbävning
Övrigt
0 5 10 15 20 25 30 35
Källa: Contingency Planning Research [www.contingencyplanningresearch.com/costofdowntime.htm]
15

Hot mot enskilt system
Planerat underhåll
Applikationsfel
Operatörsfel
Maskinfel
Systemprogramfel
Miljöpåverkan (ström, värme, vatten, …)
Annat
Källa: Standish Group Research Note International DARTS
0 5 10 15 20 25 30
16

Hot mot specifik information
Inte att förglömma intrång…
för att utföra sabotage/förstöra/förhindra
• Maskar, trojaner, virus, malware, EDOS…
för att utföra illegal Business Intelligence
• av egen eller annans personal…
• av egen vilja, genom misstag eller otillbörlig påtryckning
17

Hot mot högtillgänglighetsfunktionalitet
Beakta att bristfällig kompetens för design,
planering, införande, underhåll, ledarskap &
kontroll kan påverka riskgraden…
Vid utveckling av specifik lösning
Under drift av specifik lösning
Under förändringshantering i IT-miljön
Vid avveckling av specifik lösning
18

3
ACCEPTNIVÅ
19

Skyddsvärde vis-a-vis lösningskostnad
Lösnings
kostnader
Behov
&
krav
Balans
Risker
Stillestånds
kostnader
20

Skyddsvärde vis-a-vis lösningskostnad
Kostnad
Accepterad
totalkostnad
(Balans)
Funktionåterställningstid"
Stilleståndskostnader
(Skyddsvärde)
Lösningskostnader
21

4
KONTINUITETSDESIGN
22

Designparametrar
Behov, krav, riskaccept &
budget
Recovery Time
Objective
(RTO)
Recovery Point
Objective
(RPO)
Network Time Objective (NTO)
Power Time Objective (PTO)
• Verksamhetens behov, krav, riskaccept & budget
• Hur länge kan system vara ur drift?
• Acceptabel återställningstid
• Hur mycket data kan undvaras?
• Acceptabel återställningstillstånd
• Hur länge kan nätverket vara ur drift?
• Hur länge kan el-matningen vara borta?
23

Informationsflöde förenklat
Datalevererande
system
Informationsflöde i verksamheten
VITALT
SYSTEM
Data-
mottagande
system
Tillgänglighet Tillgänglighet Tillgänglighet
Buffertid Buffertid
24

Kontinuitetsdesign
Säkra
arbetsprocesser,
mätning, kontroll
och validering av
SLO i SLA
MTBF
kontinuitet
[servicenivå 1]
Katastrof
kontinuitet
[servicenivå 3]
Funktions
kontinuitet
[servicenivå 2]
25

MTBF kontinuitet
MTBF kontinuitet syftar till att korrelera ett ITsystems
skilda komponenters enskilda
funktionalitetspålitlighet och stabilitet för att uppfylla
verksamhetens tillgänglighetskrav.
– IT-system för informtionstillhandahållande består av distinkta
komponenter, vardera med specifik MTBF som anger ett
tillverkarspecificerat medelvärde för hur lång tid
respektive komponent kan vara funktionsduglig.
– Komponentpåverkan analyseras genom hierarkisk felträdsanalys,
där enskilda grenars MTBF/MTTF stabilitet kan sammanräknas.
– Kritisk led genom ett felträd analyseras genom identifiering av
lägsta MTTF för en vital komponentgren eller stabilitet

Systemöversikt förenklat
Adapter
Kablering
Växel
Kablering
Adapter
Lagring
Lagring
Adapter
Kablering
Växel
Kablering
Adapter
Lagring
Kablering
Växel
Kablering
FW/IPS
Internet leverantör
Nätverk
Adapter
Kablering
Växel
Kablering
FW/IPS
Internet leverantör
VITALT SYSTEM
Ström
UPS
Matning
El-leverantör
Kompetens
Antal
Tillgänglighet
Personal
Systemadmin
Instruktioner
Kontroll
Processer
Aktuell dokumentation
CMDB
Discovery Mapping
Identifiera och eliminera enskilda vitala komponenter för
stabila och högtillgängliga system (Single Points Of Failure)
27

Klustersystemprinciper
Feltolerant [kontinuerlig tillgänglighet]
• Ett feltolerant system har minst dubblerade komponenter och mikrokod/programvara
som kan hantera inträffade fel utan avbrott i service (FT/Distribuerad FT).
Samtidigt aktiv [hög tillgänglighet]
• Ett redundant kluster där alla noder tillhandahåller samma service (app-kluster).
Aktivt beredd [~hög tillgänglighet]
• En likvärdig reservnod är aktivt beredd att överta primärnodens service (nod-kluster).
Passivt beredd [utökad tillgänglighet]
• En likvärdig reservnod är passivt redo att överta primärnodens service (nod-kluster).
Passiv reserv [utökad tillgänglighet]
• En likvärdig reservnod finns tillgänglig att, efter iordningsställande (fysiskt/avtal).
29

Jämförelse av olika lösningar
Jämförelsepunkt Komplexitetsfaktor / kostnad
Komponentkostnad
Applikationskostnad
Genomförbarhetsstudie
Design & arkitektur
Projektering
Projektledning
Installation & konfiguration
Verifiering
Dokumentation
Kompetensutveckling
Underhållskostnad per år
Validering SLO (+6mån)
Lösning#1 Lösning#2
Komplexitets faktor
estimat beroende på
respektive specifika
lösnings komplexitetsnivå
utifrån produkternas
mognad, antal kända
produktionsinföranden,
kännedom om berörda
applikationer och
datalagringssystem samt
underhållskrav från
respektive produkt på den
mottagande organisationen
och den mottagande
organisationens förmåga.
30

5 & 6 & 7
PLANERA, VERKSTÄLL,
VERIFIERA & VALIDERA
31

Planera & verkställ
• Planera
– Upprätta övergripande projektplan
• tid, resurs, risk, kvalitet, kommunikation, ändringshantering
– Granska avtalade måls mätbarhet
– Upprätta tekniskt styrdokument & kompetensbehovskarta
– Upprätta 1sta etapplan detaljerat med verifieringstester
– Marginaler för verifiering & RTP (estimera & dubblera)
• Verkställ
– Säkra att rätt kompetens kan verka effektivt
– Mindre daglig direktstyrning -> längre kalendertid
– Detaljera respektive etapplan i god tid
– För ersättningssystem –> driftmigreringsplanering & simulering
– Etapper:
• 1.Fysiskt, 2.Logiskt, 3.Applikation, testdata & applikationsverifiering, 4.Prep RTP,
5.RTP verifiering, 6.Driftsättning, 7.Validering (+6mån)
32

Verifiera & validera
• Verifiera
– För att bekräfta tillgänglighetsfunktionalitet
1. Fysiska system, komponenter & nätverk (LAN/SAN)
2. Logiska system & kommunikation
3. Applikationer & logiska kopplingar
4. Felscenariofunktionalitet
5. RTP
• Validera
6. Kompetensnivå
– För att bekräfta verksamhetsnyttan samt ROI och TCO
– Efter drift i ca 6-12 månader
– Kompetensnivå
33

Framtiden
Var misstänksam mot konsulter som inte
ställer irriterande många frågor –svaren
behövs för en seriös design och planering.
Gör rätt från början!
Skyddsvärde?
– 24/7/365 & 100% => FT/DFT
– 24/7/365 & 99.999% => BU
34

Nästa steg med Pulsen
Kontakta din säljare
– Hitta behoven och utmaningarna
Vision och strategi
– Genomför en policy- och strategistudie
Effektmål avseende ekonomi, organisation och påverkan
Arkitektur, design, revision & kvalitetssäkring
– Kontakt gärna mig för råd & dåd
35

Frågor……..
36