Neue Technik, neue Risiken
Echte Datenrettung im virtuellen Raum
Die Diskussion über Virtualisierung beschwört fröhlich die High-End-Utopie der einfachen, pflegeleichten, sicheren und auch noch umweltverträglichen Speichertechnik, die auf Knopfdruck Speicherplatz bequem und wirtschaftlich verwaltet. Aus der Sicht des Datenretters ist die Utopie aber nur auf dem ersten Blick sorgenfrei. Wenn nämlich verschiedene Hard- oder Softwareumgebungen emuliert werden, ergeben sich neue, spezifische Risiken.
Virtualisierung bietet nicht nur Vorteile. Virtuelle Tape Libraries zum Beispiel beseitigen zwar die Risiken zerknitterter oder gerissener Bänder, aber an die Stelle dieser Gefahren treten die Risiken einer Beschädigung der Festplatten, während die möglichen Folgen einer fehlerhaften logischen Datenorganisation durch eine falsche oder fehlende Verzeichnisstruktur ohnehin bestehen bleiben. Diese Ursachen eines Datenverlustrisikos werden durch die physikalischen Ausfallrisiken und die Speicherlogik einer Festplatte um neue Probleme ergänzt. Auch in der virtuellen Speicherwelt ist Datenverlust somit keineswegs ausgeschlossen. Allerdings ist auch Rettung möglich. Sie erfordert aber die Kenntnis komplizierter Datenstrukturen und den Einsatz entsprechender Tools zur Minimierung des Aufwands.
Der Schlüssel zum Verständnis der Datenrettung in virtuellen Umgebung findet sich am besten anhand der Betrachtung eines Beispielmodells der Datenorganisation. Eine schematische Darstellung der Organisation von fünf Servereinheiten, die in einem virtuellen RAID-6-Verbund organisiert sind, zeigt vier logische Ebenen der Datenverwaltung (siehe Bild). Auf jeder Ebene wirken sich spezifische Risikofaktoren aus und können dazu führen, dass auf Daten nicht mehr zugegriffen werden kann.
Dazu ein Beispiel zur Veranschaulichung: In einem Unternehmen sollen verschiedene Server virtuell eingerichtet werden (E-Mail-Server, Server für Produktionsdaten, Finanzen, Personal, E-Commerce-Anwendung). Wegen erhöhter Anforderungen an die Datensicherheit entscheidet sich das Unternehmen, die Daten in einem RAID-6-Verbund mit sechs logischen Einheiten zu betreiben. Die sechs logischen Einheiten benötigen eine Kapazität von jeweils 16 TByte - das macht insgesamt also 96 TByte Speicherplatz. Diese Kapazität wird im Beispiel durch 96 1-TByte-Festplatten abgebildet.
Dabei hat man es mit vier Ebenen zu tun, auf denen Informationen verloren gehen können:
die "Virtual Machine", die die Gesamtheit des Speicherplatzes verwaltet,
die RAID-Ebene, auf der der Controller die Daten über die Bereiche der einzelnen virtuellen Server zuweist und Parity-Daten berechnet,
die Ebene der einzelnen virtuellen Server und
die Datenträgerebene der 96 Festplatten oder anderer Medien.
Wenn die Konturen der Speicher verwischen
Wo können hier überall Datenverluste geschehen? Die Antwort ist einfach: Überall. Rein quantitativ stellen 96 Festplatten eine enorme Fehlerquelle dar, zum Beispiel durch den physischen Ausfall eines Datenträgers oder durch korrupte Sektoren einer Festplatte. Die Parity-Daten in einem RAID sollten hier eine gewisse Sicherheit geben, sodass angesichts der Parity-Codes schon viel Unglück zusammenkommen müsste, um einen echten Datenverlust zu bewirken. Selbst der Ausfall der Festplatte mit dem Controller würde noch nicht genügen, da RAID 6 den Verlust von zwei logischen Einheiten verkraftet. Auf der anderen Seite steigt aber auch rein arithmetisch das quantitative Ausfallrisiko, wenn mehr Ausfallkandidaten im Spiel sind.
Risiken aus Organisationsproblemen
Gefährlicher als Kettenreaktionen von unten durch den Ausfall von Festplatten sind Organisationsfehler oder Organisationsänderungen auf höherer Ebene. Wichtig ist, dass selbst hoch verschachtelte virtuelle Speicherverwaltungen letztlich auf den korrekten Einträgen von Speicheradressen in zentralen Verzeichnissen beruhen. Die Speicheradressen definieren bitgenau die einzelnen Sektoren auf physikalischen Datenträgern. Die Verzeichnisse verweisen auf die Adressen. Wenn nun die Verzeichnisstruktur fehlerhaft ist, fragt der Controller der RAID-Einheit zum Beispiel Speicheradressen ab, auf denen sich die Daten gar nicht befinden - oder er fragt nicht alle Speicherorte ab oder die Orte in der falschen Reihenfolge. Gleich was geschieht, die Daten erscheinen als korrupt und können deswegen nicht abgerufen werden. Das größte Risiko ergibt sich - konsequent weitergedacht - somit auf der Ebene der virtuellen Maschine beziehungsweise der zentralen Appliance, die die Gesamtheit der 96 TByte Speicherplatz automatisch verwaltet und dabei die Landkarte der Speicherlandschaft zeichnet. Solange die Verwaltung automatisch abläuft, passiert noch nichts. Probleme tauchen aber unter Umständen dann auf, wenn die Speicherressourcen neu aufzuteilen sind. In einem Beispiel weist die Maschine den umfangreichen Finanzdaten 32 TByte Datenplatz zu. Nach einer erfolgten Deduplizierung denkt man nun, mit einem Volumen von 24 TByte auszukommen. Ist aber in Wirklichkeit das Datenaufkommen doch 28 TByte, fragt die Appliance nun 4 TByte zu wenig ab. Daten werden korrumpiert, weil die Datensätze nicht vollständig vorliegen.
In der Virtual Machine befindet sich also mit dem Verzeichnis der Speicherorte das Drehbuch für die Speicherabfrage. Der ultimative Daten-GAU ist ein Verlust dieser Verzeichnisdaten auf der Virtual Machine. Dann gilt es, dieses Drehbuch wieder herzustellen, wenn man die Speicherlandkarte von 96 TByte Daten nachzeichnen will.
Schlankheitskur mit schwerwiegenden Folgen
Neben den Problemen der Datenorganisation führt die Optimierung des Speicherplatzes, die oft mit der Virtualisierung einhergeht, zu neuen Verlustrisiken. Virtualisierung wird häufig auch für eine Entschlackung des Datenvolumens verwendet. Komprimierung und Deduplizierung können aber ebenfalls zu Datenverlust führen. Werden nämlich Daten wieder dekomprimiert, kann es zu Fehlern beim Auslesen kommen. Datenretter wissen aber, wo die Änderungen der Daten verzeichnet sind, und können so im Notfall die Informationen wieder rekonstruieren.
Beim Deduplizieren werden doppelt abgespeicherte Dateien ausgefiltert. In mehreren Verzeichnissen wird mit Pointern auf den einen neuen Datenort verwiesen. Diese Verbindung kann auf zwei Arten zerstört werden: Entweder wird der Verweis gelöscht und die Daten werden nicht gefunden, oder die Daten selbst sind nicht mehr vorhanden.
In beiden Fällen kann Datenrettung helfen. Hierzu ist es dann häufig nötig, auf ältere Backups zurückzugreifen. Es gibt aber auch oft betriebssysteminterne Methoden oder andere Mechanismen, die es erlauben, Änderungen zurückzusetzen und damit beliebige frühere Datenzustände wieder herzustellen.
Lesen Sie mehr zum Thema
