ניהול אחסון מבוזר בסניפים כחלופה לשרת אחסון מקומי
אהרן ברנד
| 28/11/2018
אהרון ברנד - יחצ
ניהול מערכות המידע של ארגון מבוזר גדול הוא משימה מורכבת. המטרה האולטימטיבית של ארגון מבוזר היא לפעול כמכונה משולבת ומשומנת היטב המספקת תוצאות הגדולות מסכום חלקיה. אך לעתים קרובות, ארגון גדול לא מצליח ליהנות מיתרונות הגודל, ומשלם מחיר יקר בניהול תשתיות של סניפים מרוחקים.
מנקודת המבט של מנהל מערכות אחסון, הגישה המסורתית שבה כל סניף מכיל שרתי אחסון מקומיים נפרדים מובילה לעלויות גבוהות ואיכות ירודה של שירות. יש צורך לגבות את המידע השמור בכל סניף באופן קבוע, לשדרג את גרסאות התוכנה והחומרה ולהגדיל את קיבולת השרתים מעת לעת - וכל זאת ללא זמינות של טכנאים בסניף עצמו. האם ישנו פתרון טוב יותר ?
גישה אחת לפתרון בעיה זו היא להחליף את שרתי האחסון המקומיים בסניפים בשירות קבצים מרכזי לארגון כולו הנגיש מכל הסניפים דרך רשת VPN. למרבה הצער, לגישה ריכוזית זו יש חסרונות משמעותיים כמו בעיות קישוריות ובעיות שיהוי (Latency) המשפיעות על יעילות העובדים בסניפים. בתחום הביטחוני ותשתיות קריטיות הבעיה אף חמורה יותר, שכן הסתמכות על אתר מרכזי פוגעת בעצמאות של כל סניף מרוחק ומסתמכת מעבר לנדרש על תשתיות תקשורת אשר עלולות לקרוס במקרי אסון. מכאן שעדיין ישנו צורך לשמור מידע מסוים בסניפים. אבל איזה מידע?
ברור, שהארגון אינו רוצה לשכפל את כל הנתונים שלו לכל הסניפים. שכפול שכזה הוא לא זול. אך ישנה בעיה חמורה יותר. הנתונים במשרד מרוחק לרוב אינם יכולים להיות מאובטחים באותה הרמה כמו מרכזי הנתונים העיקריים של הארגון. ציוד האחסון עשוי להיות ממוקם במתקנים מרוחקים ללא אבטחה מספקת. אם מישהו משיג גישה פיזית לשרת האחסון המכיל עותק של כל קבצי הארגון, הוא יכול לגנוב את הנתונים - או גרוע מזה, הוא עשוי לחבל בנתונים ואף להחדיר יישומים זדוניים אשר יתפשטו בכל רחבי הארגון.
אנו נתקלים בדרישות סותרות . מצד אחד, הוזלת עלויות תחזוקה ושמירה על כללי ״הפרד ומשול״ של עולם אבטחת המידע . ומצד שני, שמירה על רציפות העבודה של הסניפים בשעת חירום ומתן ביצועי גישה לקבצים טובים עם תלות מינימלית בקווי אינטרנט איטיים. האם זו אכן בעיה בלתי אפשרית לפתרון ?
מסתבר שאפשר . בשנים האחרונות התגבש מודל היברידי המשלב ביזור ומרכוז אשר כובש את עולם הארגונים הגדולים בסערה. במסגרת פתרון זה הקבצים מועברים מהסניפים למקום מרכזי בארגון (״ענן פרטי״). בה בעת שרת הקבצים שהיה קיים קודם בכל סניף מוחלף בהתקן מטמון קצה (Cloud Storage Gateway). זהו התקן המאחסן עותק סניפי של תת קבוצה מתוך קבצי הארגון הנמצא בסנכרון דו כיווני רציף מול הענן הפרטי. ההחלטה איזו תת קבוצה של קבצים יש לסנכרן מקומית יכולה להיות סטטית. לדוגמה, ברמת תיקיות ספציפיות לכל אתר מרוחק. לחלופין ההחלטה יכולה להתבצע באופן דינמי, המערכת מבצעת אופטימיזציה תמידית של רשימת הקבצים שעבורם יש לסנכרן עותק סניפי על בסיס ניתוח מתמשך של דפוסי השימוש בקבצים באותו הסניף.
התקן מטמון קצה חושף את הקבצים בפרוטוקולים קיימים, כמו SMB או NFS, כך שכל המחשבים והמערכות הפרוסים בשטח ממשיכים לראות את הקבצים הקיימים ללא כל שינוי. עם זאת בניגוד לשרת קבצים, שטח האחסון הנדרש בכל סניף לצורך מטמון הקבצים הוא מזערי, וכך קיבולת האחסון המקומית אינה צריכה הרחבה לעתים קרובות, התקן הקצה חושף שטח אחסון ענן אינסופי, אלסטי וחסר גבולות. הוא יכול לעבוד במשך שנים באתר מרוחק ללא צורך בשדרוגי חומרה וללא צורך בגיבויים, והוא מנוהל בצורה מרכזית ללא צורך להגיע לסניפים.
הפתרון ההיברידי משלב את הטוב בשני עולמות הביזור והריכוז. הפתרון מספק לעובדי הסניפים המרוחקים מראה של שרת קבצים מקומי בעל ביצועים גבוהים , שאינם תלויים כמעט בכלל ברוחב הפס ובשיהוי של רשת האינטרנט . הוא מבודד את הקבצים החיוניים בכל סניף כך שיהיו זמינים לחלוטין בשעת אסון. בה בעת הפתרון החדש מקטין בצורה דרמטית את קיבולת האכסון הדרושה בכל סניף ומבטל לחלוטין את הצורך לנהל גיבויים ברמה המקומית .
הכותב הוא CTO ב- CTERA NETWORKS.
אהרן ברנד
| 28/11/2018
אהרון ברנד - יחצ
ניהול מערכות המידע של ארגון מבוזר גדול הוא משימה מורכבת. המטרה האולטימטיבית של ארגון מבוזר היא לפעול כמכונה משולבת ומשומנת היטב המספקת תוצאות הגדולות מסכום חלקיה. אך לעתים קרובות, ארגון גדול לא מצליח ליהנות מיתרונות הגודל, ומשלם מחיר יקר בניהול תשתיות של סניפים מרוחקים.
מנקודת המבט של מנהל מערכות אחסון, הגישה המסורתית שבה כל סניף מכיל שרתי אחסון מקומיים נפרדים מובילה לעלויות גבוהות ואיכות ירודה של שירות. יש צורך לגבות את המידע השמור בכל סניף באופן קבוע, לשדרג את גרסאות התוכנה והחומרה ולהגדיל את קיבולת השרתים מעת לעת - וכל זאת ללא זמינות של טכנאים בסניף עצמו. האם ישנו פתרון טוב יותר ?
גישה אחת לפתרון בעיה זו היא להחליף את שרתי האחסון המקומיים בסניפים בשירות קבצים מרכזי לארגון כולו הנגיש מכל הסניפים דרך רשת VPN. למרבה הצער, לגישה ריכוזית זו יש חסרונות משמעותיים כמו בעיות קישוריות ובעיות שיהוי (Latency) המשפיעות על יעילות העובדים בסניפים. בתחום הביטחוני ותשתיות קריטיות הבעיה אף חמורה יותר, שכן הסתמכות על אתר מרכזי פוגעת בעצמאות של כל סניף מרוחק ומסתמכת מעבר לנדרש על תשתיות תקשורת אשר עלולות לקרוס במקרי אסון. מכאן שעדיין ישנו צורך לשמור מידע מסוים בסניפים. אבל איזה מידע?
ברור, שהארגון אינו רוצה לשכפל את כל הנתונים שלו לכל הסניפים. שכפול שכזה הוא לא זול. אך ישנה בעיה חמורה יותר. הנתונים במשרד מרוחק לרוב אינם יכולים להיות מאובטחים באותה הרמה כמו מרכזי הנתונים העיקריים של הארגון. ציוד האחסון עשוי להיות ממוקם במתקנים מרוחקים ללא אבטחה מספקת. אם מישהו משיג גישה פיזית לשרת האחסון המכיל עותק של כל קבצי הארגון, הוא יכול לגנוב את הנתונים - או גרוע מזה, הוא עשוי לחבל בנתונים ואף להחדיר יישומים זדוניים אשר יתפשטו בכל רחבי הארגון.
אנו נתקלים בדרישות סותרות . מצד אחד, הוזלת עלויות תחזוקה ושמירה על כללי ״הפרד ומשול״ של עולם אבטחת המידע . ומצד שני, שמירה על רציפות העבודה של הסניפים בשעת חירום ומתן ביצועי גישה לקבצים טובים עם תלות מינימלית בקווי אינטרנט איטיים. האם זו אכן בעיה בלתי אפשרית לפתרון ?
מסתבר שאפשר . בשנים האחרונות התגבש מודל היברידי המשלב ביזור ומרכוז אשר כובש את עולם הארגונים הגדולים בסערה. במסגרת פתרון זה הקבצים מועברים מהסניפים למקום מרכזי בארגון (״ענן פרטי״). בה בעת שרת הקבצים שהיה קיים קודם בכל סניף מוחלף בהתקן מטמון קצה (Cloud Storage Gateway). זהו התקן המאחסן עותק סניפי של תת קבוצה מתוך קבצי הארגון הנמצא בסנכרון דו כיווני רציף מול הענן הפרטי. ההחלטה איזו תת קבוצה של קבצים יש לסנכרן מקומית יכולה להיות סטטית. לדוגמה, ברמת תיקיות ספציפיות לכל אתר מרוחק. לחלופין ההחלטה יכולה להתבצע באופן דינמי, המערכת מבצעת אופטימיזציה תמידית של רשימת הקבצים שעבורם יש לסנכרן עותק סניפי על בסיס ניתוח מתמשך של דפוסי השימוש בקבצים באותו הסניף.
התקן מטמון קצה חושף את הקבצים בפרוטוקולים קיימים, כמו SMB או NFS, כך שכל המחשבים והמערכות הפרוסים בשטח ממשיכים לראות את הקבצים הקיימים ללא כל שינוי. עם זאת בניגוד לשרת קבצים, שטח האחסון הנדרש בכל סניף לצורך מטמון הקבצים הוא מזערי, וכך קיבולת האחסון המקומית אינה צריכה הרחבה לעתים קרובות, התקן הקצה חושף שטח אחסון ענן אינסופי, אלסטי וחסר גבולות. הוא יכול לעבוד במשך שנים באתר מרוחק ללא צורך בשדרוגי חומרה וללא צורך בגיבויים, והוא מנוהל בצורה מרכזית ללא צורך להגיע לסניפים.
הפתרון ההיברידי משלב את הטוב בשני עולמות הביזור והריכוז. הפתרון מספק לעובדי הסניפים המרוחקים מראה של שרת קבצים מקומי בעל ביצועים גבוהים , שאינם תלויים כמעט בכלל ברוחב הפס ובשיהוי של רשת האינטרנט . הוא מבודד את הקבצים החיוניים בכל סניף כך שיהיו זמינים לחלוטין בשעת אסון. בה בעת הפתרון החדש מקטין בצורה דרמטית את קיבולת האכסון הדרושה בכל סניף ומבטל לחלוטין את הצורך לנהל גיבויים ברמה המקומית .
הכותב הוא CTO ב- CTERA NETWORKS.
