Backup/Recovery virtueller Systeme
Virtual Machines auf Trab halten
Die Sicherung und Wiederherstellung wichtiger Daten war schon immer eine Herausforderung für jedes Unternehmen. Virtualisierung bietet neue Möglichkeiten, um diese Probleme besser zu bewältigen und die Administration flexibler zu gestalten. Neue Techniken vereinfachen die Sicherung, Wiederherstellung und das Disaster Recovery virtueller Maschinen.
Im einfachsten Fall basiert die Virtualisierung auf einem einzigen Rechner, der sehr gut
ausgestattet ist, also mehrere Prozessoren und mehrere GByte Hauptspeicher aufweist. Darauf läuft
je nach Virtualisierungssoftware ein Betriebssystem, das Host- oder Wirtsbetriebssystem (Windows
2000/ 2003, Linux).
Der Administrator installiert darauf die Virtualisierungssoftware (Vmware GSX, Microsoft Virtual
Server); oder aber er verwendet ein "Bare-Metal"-System, bei dem Vmware ESX direkt auf der Hardware
aufsetzt.
Sicherung über das Wirtssystem
Über dieses Wirtssystem ist es möglich, alle virtuellen Maschinen als einzelne Dateien zu
sichern, da diese in Dateiform auf den Festplatten des Wirtssystems abgelegt sind. Die Sicherung
der Festplattendateien ist mit einem Imaging-Verfahren – zum Beispiel mittels Acronis True Image
oder Symantec Ghost – vergleichbar: Der Systemverwalter sichert die virtuelle Maschine als Ganzes
und nicht die einzelnen Systemdateien des Gastbetriebssystems und die Anwendungsdaten etc.
Um den Sachverhalt zu verdeutlichen, gehen wir von einem Beispiel aus: einem physischen Server
mit 100 GByte Festplattenplatz, Windows 2003 Server mit Vmware GSX sowie fünf virtuellen Maschinen
(VM1 bis VM5). Diese haben ihre Home-Verzeichnisse unterhalb d:\vmaschinen, also d:\vmaschinen\VM1
bis d:\vmaschinen\VM5. Innerhalb dieser Home-Verzeichnisse liegen neben den Konfigurationsdateien,
die unter anderem die virtuelle Hardware der VMs beschreiben, die Dateien der virtuellen
Festplatten. Dies sind der Festplattengröße entsprechende Dateien, die die Virtualisierungsschicht
der virtuellen Maschine als normale Festplatte präsentiert. Im Home-Verzeichnis nennt sich diese
Datei beispielsweise d:\vmaschinen\ VM1\vm1-hdd1-system.vmdk.
Nun ist es möglich, diese Dateien unter Vmware GSX und Microsoft Virtual Server über das
Wirtssystem einfach auf eine Netzwerkfreigabe zu kopieren und damit alle Daten der virtuellen
Maschine an einem entfernten Standort komplett zu sichern. Dies muss bei beiden Lösungen offline
geschehen, weshalb die virtuelle Maschine ausgeschaltet sein muss. Allerdings ist es mit
geschickter Skripterstellung möglich, den zur Sicherung notwendige Zeitraum so gering zu halten,
dass die virtuelle Maschine nur wenige Minuten ausfällt.
Vmware ESX erlaubt es jedoch, für eine virtuelle Maschine während der Laufzeit auf deren
Festplattendatei so genannte "Redo Logs" anzulegen. Dies bewirkt Folgendes: Die Festplattendatei
der virtuellen Maschine wird schreibgeschützt, was einen lesenden Zugriff durch die Service-Console
(Konsole des Wirtbetriebssystems) erlaubt. Daher ist nun auch ein Kopieren der Festplattendatei auf
ein Netzlaufwerk möglich. Alle Änderungen auf der Festplatte der virtuellen Maschine seit Anlegen
des Redo Logs laufen in die Redo-Log-Datei und nicht mehr in die eigentliche Festplattendatei.
Das Kopieren und Anlegen von Redo Logs ist ohne Zusatzsoftware mit den mitgelieferten Befehlen
der Service-Console möglich (vmsnap.pl, vmres.pl). Zudem kann der Administrator den Ablauf mittels
Batch-, Shell-, VB- oder Perl-Skript nach eigenen Wünschen anpassen und automatisieren. Der
italienische Consultant Massimiliano Daneri hat zur Sicherung ein freies, sehr mächtiges
Perl-Skript auf seiner Webseite bereitgestellt (www.vmts.net/vmbk.htm). Außerdem existieren
Zusatzprodukte, um virtuelle Maschinen zu sichern. Da die Kommandozeilenprogramme ein hohes
Betriebssystemwissen und Disziplin durch den Administrator voraussetzen, erleichtern diese
Zusatzprodukte die tägliche Administrationsarbeit und bringen dadurch zusätzliche Sicherheit in die
IT-Abteilung. Dabei muss es sich nicht um reine Tools für Virtualisierungssoftware handeln: Auch
Sicherungsoftware der physischen Welt lässt sich nutzen, so IBM Tivoli TSM oder Veritas Backup
Exec.
Speziell für die virtuelle Infrastruktur geschriebene Sicherungssoftware bringt
selbstverständlich ihre eigenen Vorteile im Umgang mit den Virtualisierungslösungen mit, so die
Nutzung von Redo Logs durch Aexia VS oder Vizioncore ESX Ranger. Während bei Vmware GSX und MS
Virtual Server eigentlich jede auf dem Wirtsbetriebssystem laufende Sicherungssoftware nutzbar ist,
muss man beim Vmware ESX Server auf eine entsprechende Zertifizierung der Software achten.
Informationen dazu bietet die Vmware-Website.
Erwähnung finden sollte noch ein Vmware-Tool, mit dem der Administrator die gesicherten
Festplattendateien einsehen und manipulieren – zum Beispiel einzelne Dateien austauschen oder
kopieren – kann: Vmware Mount Utility. Dieses Tool lässt sich unter Windows und Linux betreiben. Es
fügt die Festplattendatei dem System als Laufwerk hinzu und bindet dieses auf einen
Laufwerksbuchstaben (Windows) oder einen Mountpoint (Linux). Dabei gilt es zu beachten, dass man
aus einem Linux-System heraus keine NTFS-VM-Festplattendateien beschreiben kann und umgekehrt. Mit
dem Tool lässt sich der Nachteil der Komplettsicherung zumindest im Fall der Rücksicherung
relativieren, da einzelne Dateien rekonstruierbar sind.
Der Vollständigkeit halber erwähnt sei eine weitere Möglichkeit der Sicherung bei Verwendung
bestimmter SAN- oder NAS-Systeme: Snapshots. Sie erlauben es, die Speicherdaten selbst zu einem
angegebenen Zeitpunkt zu sichern.
Sicherung in der virtuellen Maschine
Neben der Sicherung über das Wirtssystem ist es auch möglich, Daten innerhalb der virtuellen
Maschine zu sichern und wiederherzustellen. Hier stehen dem Systemverwalter alle Möglichkeiten
offen, die er aus der physischen Welt auch kennt: Zum Beispiel ist eine normale inkrementelle
Sicherung mittels Fremdprodukten (Veritas, Tivoli etc.) ebenso möglich wie eine Image-Sicherung
(mit Acronis, Symantec etc.). Die erstgenannte Art der Sicherung hat allerdings einen
entscheidenden Nachteil: Der Administrator muss das Tool in jeder zu sichernden virtuellen Maschine
installieren. Dies kann erhöhte Lizenzkosten verursachen. Außerdem muss er bei den
Sicherungsintervallen aufpassen: Auf einem Wirtssystem mit 20 virtuellen Maschinen würde eine
gleichzeitige Sicherung aller VMs das ganze System lahmlegen.
Da bei einer Imaging-Software meist mit Boot-CD oder -Diskette gearbeitet wird, bringt eine VM
einen schönen Vorteil mit sich: Statt eine CD einlegen zu müssen, erstellt der Anwender aus der CD
eine ISO-Datei (Winiso) und ordnet diese der virtuellen Maschine zu. Damit entfällt die
Turnschuhadministration endgültig, und die Prob-leme mit defekten oder veralteten CD- und
Diskettenlaufwerken gehört ebenfalls der Vergangenheit an.
Ausfallsicherheit beim Wirtssystem
Die Sicherung ist der erste Schritt zu einer besseren IT-Welt. Doch IT-Verantwortliche fühlen
sich noch ein gutes Stück sicherer, wenn eine Wiederherstellung nach einem Totalausfall einfach und
damit zeitnah geschieht. Sobald die IT-Abteilung die Entscheidung für die Virtualisierung gefällt
hat, muss sie Konzepte für zwei Probleme erarbeiten: zum einen für den Ausfall des Wirtssystems,
zum anderen für den der virtuellen Maschinen.
Im ersten Moment neigt ein Administrator wahrscheinlich dazu, den Ausfall eines Wirtssystems als
schlimmer einzuschätzen; das stimmt aber nur bedingt. Das Wirtssystem besteht aus physischer
Hardware und bringt damit die üblichen Probleme mit sich. Hardwareunterschiede, -ausfall und
-ersatz sind nur ein paar dieser Probleme, mit denen sich der Administrator beschäftigen muss. Aber
diese Hardware stellt nur die Virtualisierungsschicht bereit. Ein Ausfall lässt sich deshalb mit
beliebiger anderer Hardware abfangen.
Natürlich bedenkt der Systemverantwortliche diesen Fall idealerweise schon bei der Anschaffung:
beispielsweise durch ein zweites Wirtssystem, das so gut ausgestattet ist, dass es im Fehlerfall
alle virtuellen Maschinen übernehmen kann. Dabei darf es auch durchaus etwas langsamer sein,
solange die virtuellen Maschinen schnellstmöglich wieder aktiv sind. Außerdem sollte er das
Wirtssystem mit allen erdenklichen Redundanzmechanismen ausstatten, um die Wahrscheinlichkeit eines
Ausfalls deutlich zu reduzieren. Das gilt nicht nur für das reine Wirtssystem, sondern auch für die
Peripherie (Switch, Fibre-Channel-Anbindung, USV). Ein absolutes Muss ist die Trennung der
Wirtssystempartition von der VM-Datenpartition. Diese Datenpartition sollte zumindest auf einem
anderen RAID-Set als die Systemdaten liegen.
Disaster Recovery Tools wie die von Acronis, Cristie oder Symantec sind zusätzlich für das
Wirtssystem nutzbar. Vmware ESX bildet durch das direkte Aufsetzen auf der Hardware eine Ausnahme,
da nur zertifizierte Software zur Komplettsicherung des Wirtssystems unterstützt wird. Allerdings
kommt Vmware ESX meist in Verbindung mit einem Shared Storage (SAN) zum Einsatz, in dem die
Festplatten der virtuellen Maschinen liegen. Dadurch ist es sehr schnell möglich, einen ESX-Server
komplett neu zu installieren und die virtuellen Maschinen wieder lauffähig zu machen: Der
Administrator muss nur die Konfigurationsdateien sichern oder neu erstellen, denn die Festplatten
der VM liegen im Shared Storage.
Ein Cluster auf Wirtssystembasis ist derzeit nur mit dem Microsoft Virtual Server 2005 Release 2
über iSCSI möglich. Vmware GSX und ESX bieten zurzeit keine offiziellen Cluster-Möglichkeiten.
Allerdings wird es diese sicher in naher Zukunft geben. Erste freie Tools im Betastadium für Vmware
ESX existieren schon, zum Beispiel Onion. Allerdings kann sich der Administrator in den meisten
Fällen auch ohne sie behelfen – vorausgesetzt, die Daten liegen in Shared-Storage-Bereichen. Denn
hier ist es durch Skripte möglich, im Ausfall schnell und automatisch zu reagieren.
Ausfallsicherheit der virtuellen Maschine
Stattdessen unterstützen die VM-Lösungen das Clustering virtueller Maschinen. Cluster bieten
einen sehr hohen Schutz vor Ausfällen, sind aber im Allgemeinen recht teuer. Es entstehen gerade im
Windows-Umfeld neben den Kosten für die zweite Hardware und den Shared Storage auch die
Lizenzkosten für die Cluster-fähigen Windows-Versionen. Um hier einen Mittelweg zu finden, nutzen
viele Unternehmen die virtuelle Maschine als Backup-Cluster für einen physischen Cluster-Knoten:
Mit Virtualisierungssoftware lassen sich mehrere Backup-Cluster-Systeme auf einem physischen
Wirtssystem betreiben.
Vmware ESX bietet in Verbindung mit einem SAN und der Managementsoftware Virtualcenter eine
weitere interessante Funktion an: Vmotion. Diese Technik ermöglicht es, aktive VMs zwischen zwei
ESX-Servern zu verschieben. Der Ausfall ist minimal bis nicht spürbar und liegt normalerweise –
abhängig vom Hauptspeicherinhalt- im Bereich unter drei Sekunden. Damit kann der Systemverwalter
Wartungsarbeiten und Softwareaktualisierungen auf dem Wirtssystem problemlos während des
Tagesgeschäfts durchführen, ohne einen Serverausfall hinnehmen zu müssen. Da Virtualcenter
Programmierschnittstellen bietet, ist es auch möglich, Vmotion und andere Funktionen mit
Bedingungen zu verknüpfen. So lassen sich zum Beispiel alle virtuellen Maschinen eines Wirtssystems
auf die anderen ESX-Server verteilen, wenn dort ein Lüfter ausfällt.
Außerdem können die schon erwähnten Tools Aexia VSB und Vizioncore ESX Ranger weiterhelfen, da
sie eine automatisierte, teilweise sogar versionierte Sicherung ermöglichen. Im Bedarfsfall muss
der Anwender die virtuelle Maschine über eine Weboberfläche (Aexia VSB) oder ein Windows-GUI (ESX
Ranger) wiederherstellen. Werkzeuge wie CBMR von Cristie oder Powerconvert von Platespin erlauben
es sogar, physische Server im Fehlerfall auf einer virtuellen Hardware wiederherzustellen oder
umgekehrt. Im Gegensatz zu VSB und ESX Ranger sind diese Tools nicht auf Vmwares ESX-Server als
Basis angewiesen. Auch hier dienen Programmierschnittstellen dazu, Reaktionen auf Ausfälle zu
automatisieren. Durch die Hardwareunabhängigkeit und die Vielzahl verschiedener Sicherungs- und
Recovery-Mechanismen ist die Wahrscheinlichkeit einer sehr schnellen Wiederherstellung im
Katastrophenfall deutlich höher als beim reinen Einsatz physischer Maschinen.
Zukunftsaussichten
Zu den hier vorgestellten Tools und Lösungen werden in naher Zukunft noch viele weitere
hinzukommen. Allein Vmware hat schon ein Add-on zum Virtualcenter 2 angekündigt, das ein
automatisches Failover zwischen ESX-Servern ermöglicht: Bei Ausfall eines Wirtssystems starten
automatisch alle darauf befindlichen virtuellen Maschinen auf einem oder mehreren anderen
ESX-Servern. Des Weiteren wird mit Vmware ESX 3 ein so genanntes "Consolidated Backup" möglich.
Backup-Tools sollen dann über das Wirtssystem inkrementelle Sicherungen der virtuellen Maschinen
ziehen können. Zudem vermeidet es diese Technik, dass Sicherungen der VMs das Wirtssystem übermäßig
belasten: Es kommt ein zusätzliches Backup-System zum Einsatz, das direkt auf die
Festplattendateien im SAN zugreift. Consolidated Backup wird daher nur in Verbindung mit Vmware ESX
und SAN Storage möglich sein. Auch Microsoft hat den Zugriff auf virtuelle Festplattendateien über
das Wirtssystem offengelegt. So können Dritthersteller ihre Sicherungslösungen entsprechend
aufbohren.
Lesen Sie mehr zum Thema
