妄想的な作業：災害復旧/継続計画、met石、ゾンビの黙示録、1000人のクリーナー、地獄へのポータル

「マルチカート」の第1レベルの事故を解決するスキーム



2007年頃まで、大企業向けのフォールトトレラントなインフラストラクチャがなかったという神話があります。 同様に、DRP（災害復旧）文書が出現し始め、リスク管理部門が際立っていたなどです。



これは真実ではありません。 その直前には方法論も英語名もありませんでしたが、システム自体はそうでした。 「規則によって呼ばれる」ようになった最初のプロジェクトは、アルファのインフラストラクチャでした。 SberbankとTransneftでは、私の知る限り、フォールトトレラントインフラストラクチャも何世紀にもわたって存在していましたが、「バックアップデータセンター」と呼ばれていました。 などなど。



そして、DRPと継続性に関する他の神話を払拭しましょう。 それと同時に、私たちの最新プロジェクトである「マルチカード」の緊急計画、つまりロシアでのすべてのカード支払いが行われるシステムについてお話しします。



そして、もちろん、壮大な失敗の物語。



-リスク管理は、最初の重大なレーキの後に行われます。

これは部分的には神話ですが、前例は確かにそうです。 誰かのデータセンターが燃え尽き、誰かが望みよりも近い光回線で掘削機に出会った、などなど。 そして、繰り返したくない。 しかし、多くの場合、問題の可能なバリエーションの開発は単純に評価され、各オプションにはコストと確率があります。 確率にコストを掛けると、仮想イベントから非常に具体的な物理的損傷が生じます。 そして、それは簡単です。この損害が社内での緊急手順を維持するためのコスト以上であれば、彼らは単に良い投資になります。



歴史的にモスクワにありましたが、深刻な計画のほとんどは2005年に書かれ始めました。 その後、多くのことが失敗しました。 2005年までは、単純に機器を隣の建物に運ぶことが可能であり、これが標準と考えられていました。 変電所が倒れ、電力網が都市の半分だけで崩壊したとき、新しいビジョンがすぐに多くの人々にもたらされました。 交通渋滞のサンルームがデータセンターに届かなかった場所。 ディーゼルエンジンが2年間チェックされなかった場所で、ディーゼル燃料がフラクションに分解され、その結果、ディーゼルエンジンが水に奪われました。 VTBが新しいデータセンターの場所を選んだとき（私たちは少し助けました）、私たちはモスクワのエネルギーゾーンの地図を見ました。



-損害のコストの評価は、すべての影響要因について行われます。

よくない。 私の記憶では、事故による直接的な損害は、会社が事実上見たものよりも数倍大きいことが繰り返し判明しました。



例は次のとおりです。データセンターの建物の火災は2つのシナリオです。 最初は、実際に、消火とバックアップデータセンターへの切り替えサービスをトリガーする「マイナス100万」の話です。 直接的な技術コスト。 次に、非稼働のATM（銀行の場合）、他の銀行に出向く顧客、規制当局に追いつくなど、評価が困難なその他の多くのATM。



または、オフィスが燃えています。 ある銀行のオフィスの骨nにたばこの吸い殻が投げられたケースを知っています。 投票箱がくすぶり始め、誰かが消火開始ボタンを押しました。 消防士が到着しました。 入り口で、彼らはチーフITスペシャリストと警備員に会いました。 彼らは動揺し、手で抱かれ、入り口を死体で覆った。彼らは何もすることはなく、たばこの吸い殻だと言った。 しかし、消防士には指示があります。 彼らはオフィス全体を取り、床から0.5メートルの泡で満たしました。 付属の機器とすべての書類の上に直接。 その後、銀行での標準的な手順は、1か月間の調査のために建物を封印することです。 ITの観点からは、すべてを転送する必要があります。 この銀行は約30年間このような状況の計画を書いてきたため、予備の仕事がありました。 再開、立ち上げ。



-継続性計画を書くためのこのようなレベルの妄想は、銀行のみにあります。

もちろん、これはそうではありません。 過去7〜8年にわたって、銀行、保険会社、通信、小売の4つの業界が継続性に取り組んできました。 最初の3つは理解できます。実際の構造に関しては銀行であり、同じモバイルオペレーターと大規模銀行のインフラストラクチャレベルの違いは、2つのインターネットプロバイダーの違いよりもはるかに小さいことがよくあります。 実際、彼らは同じことをしているからです。 神話は、金融機関のみが、中央銀行の基準レベルの管理の形で規制の枠組みを持ち、親組織からの監査の形で国際的なものを持つという事実に関連しています。 すべての銀行とほとんどのオペレーターは、年に一度検査を受けます。 問題が発生した場合、ライセンスを取り消すことができます。 祖母が年金を取得できなかった理由をテレビで説明したい人はいません。



小売店は独立しています-原則として、（利益に基づいて）それ自体にのみ焦点を当てており、シンプルは受け入れられないことを完全によく理解しています。 1日を過ごすと、1日の売上高に加えて、将来の顧客を失います。



また、企業の成熟度が高まっているため、範囲が拡大します。 そして、誰もが何を、なぜを理解しています。 小売業-競争力。 また、海外では、保険率も低くなっています。 オペレーターと銀行は、PRなどのますます重要な問題を抱えています。 最後の大きな領域から-DRP業界はDRPに強く悩み始めましたが、ここでは、原則として、継続性を単にビジネスの基本規範と見なし、西部の所有者が押しています。



-災害復旧はIT部門の仕事です。

主なリスクはほとんどの場合、ITインフラストラクチャノードの障害の領域にあるという事実にもかかわらず、これはまだIT部門によって行われていません。 そして、セキュリティではありません。 そして、もちろん、財務部ではありません。 ただし、リスク管理のイニシアチブは通常これらの3つのポイントから発生するため、最初は社内で主要なITリスクが強調され、それを解決し始めるのはITスペシャリストです（これらは2000年から2005年の話です）。 原則として、ビジネスの各段階で冷静な財務評価が開始され、他のリスクがあることが明らかになります-PR部門、サポートサービス（たとえば、一時的なオフィスを展開するため）、人員などがプロセスに含まれます。 その結果、リスクを最小限に抑えることに取り組んでいる別のチームまたは部門が選ばれます。



これは通常起こります：彼らはインフラストラクチャと管理プロセスの調査を始めます。 使用される方法は非常に異なります-ISOからITILまで。 脅威のオプションが収集され、その影響が分析されます。 それから、政策の構築、継続条項、緊急計画の出現。 基本部分が完了すると、すべてのプロセスの詳細化が行われます。特定のインシデントの管理、「緊急事態の封筒」、定期的なメンテナンス計画、偏執的なスクリプトの開発です。 継続性管理のプロセスが構築されています。 次に、テスト、演習、「何をすべきか」の種類に関する相談、相談。



残念ながら、大企業で最初から最後までDRPを提供できる専門家はそれほど多くありません。 財務資格、管理職、ITが必要です。 したがって、人は本当に指で数えることができます。 原則として、各銀行と通信会社、または特定のビジネスに結びついており、他の会社の詳細に対してあまり準備ができていないチームには、1人の明るい人格があります。



例から、Rosevrobankの継続性に関するコンサルティングサービスを提供しました。 主な部分は管理（リスク管理）に関するものでしたが、はい、結果にはハードウェアおよびITプロセスの作業が含まれていました。



「ディザスタリカバリプランの開発には、非常に費用がかかります。」

はい、いいえ。 事実、通常、そのような作業（ITだけでなく、リスク管理について話す）は、大企業で大規模なプロジェクトのポートフォリオを持つ企業の監査とコンサルティングを任されています。 自慢したくない しかし、実際には、ロシアの大規模なITインフラストラクチャの少なくとも3分の1が独自の手を構築したため、同様のサービスは安価であり、同時にビジネスについてもよく知っています。 もちろん、私たちは名前を交換しませんが、うまくいっているのはビジネスの継続性です。



「ビッグフォー」の側面には、西洋市場で理想的になめられた方法論と優れた自動化製品があります（つまり、それらは市場の「マクドナルド」の一種です）。 高速で予測可能。 しかし、生徒はポテトをフライします。 実際、これはロシアのこれらのタフな男たちと競争することを可能にする別の結果をもたらします：彼らはプロセス、左または右への一歩-実行に従って正確に動作します。 しかし、実際のビジネスではこれは必ずしも適切ではありません。 状況はさらに楽しいです（経験的経験と実際のイベントに基づくとしましょう）、そのようなプレーヤーが私たちの市場に来て、巨大な価格を出して、支払いを受けてから、下請けに地元の人を雇います。 当然、彼らはそのような申し出で私たちのところに来ました。



-あなたは意志の努力によってDRP計画を立てる必要があり、心配しないでください。

残念ながら、これは機能しません。 セキュリティのようなものです。一度ルールを設定して全員に教えることはできません。 会社に新しいプロジェクトが表示されたら、すぐにセキュリティと災害復旧の両方の要件をその中に定める必要があります。 たとえば、彼らはサービスを行った-内部標準のレベルですぐに、データセンターの2番目のサイトへの移行を要求し、それでの事故（チャネルの劣化中または停止中）の場合に何をどのように行うかを説明し、復元の優先度を割り当て、技術サービス、セキュリティ担当者、IT部門のドキュメントを多数更新します。 どのメンテナンス作業がいつ必要かを書き留めてください。 そして、これは最も簡単です。



外部リスクは常に変化しています。 たとえば、2011年以降の地政学的リスクが優先されました。 これは、すべての計画を変更することを意味し、場合によっては管理プロセス自体を変更することもあります（そのレベルでDRPを使用する場合）。 繰り返しになりますが、モスクワの大規模なロシアの銀行の本社近くで10万人が参加して集会が開かれたとき、彼はすべてをバックアップデータセンターに投入しました。 OMONが走り始めたので、もしOMONが近くを走ると光を遮ることができるという兆候があります。



または、ある大規模な携帯電話会社が西側から監査を受けました 。 それらの下で、厚いレンガで継続計画を立てました。 これらの計画を更新した人はいませんでした。 数年が経ちました。 新しい領域が出現し、演算子自体の構造が変更されました。 そして、遠く離れた銀河で、途切れることのない電力がデータセンターに落ち始めました。 エンジニアはサーバーをシャットダウンし、再び電源を入れます。 そして、そのようなカルーセルは約30分です。 災害復旧計画が含まれており、すべてのIPアドレス指定は既に新しいものです。 こんにちは



ちなみに、オンオフの推測はDRPとは関係ありませんでしたが、非常に面白かったです。 UPSが離陸しました-その結果、サーバーがウォームアップし始めました。 エンジニアはそれらを消しました。 このサーマルショットダウン中に、バッテリーは切断されました。 負荷が低下し、すべて冷却され、すべてが自動的にオンになりました。 加熱が再開されました。 その結果、問題を探している間、ジャンプは切り替えからまだ1時間半でした。



-災害復旧計画では、すべての状況を考慮する必要があります。

一般にそうではありません。 第一に、計画の本質は、問題の発生を防ぐことです（予防）。 第二に、原則として、入門的なもの-彼らは「電源を切る」のではなく、「そのようなサービスは機能しません」。 動作しない理由はそれほど重要ではありません。飛行したストレージシステム、破壊されたデータセンター、または実際の電源が二次的です。 別のサイトでこのサービスを実行するために最初に必要なこと。 インシデントのSLAは、内部標準があるか、多くの状況でまったく存在しないため、常に規定されているわけではありません。



必要なドキュメントは次のとおりです。





-私たちはアクティブ-アクティブを行い、心配しないでください！

実際には、経験豊富なCIOはデータセンター間のバランスを本当に嫌います。 事実、私の記憶では、アクティブ-アクティブに関する単一のストーリーが時の試練をパスしていません。 最初は、すべてが完璧に見えます。 チームが入って、バランスを取り、プロセスが始まります。 そして、それは伸びる、伸びる...



1つのシステムでは、200〜300の統合ポイント-監視することは不可能です。 シナリオは現実的でなければなりません。 顧客が絶えず更新される計画とインフラストラクチャについて話す場合でも、試用テストを行う価値があります。 これは、単に教育目的のために、象徴的なお金のために行います。 私の記憶では、誰も合格しませんでした。 顧客自身が現実の世界の始まりを理解しています。



テストに関する大規模な演習があったことを覚えています-アクティブ-アクティブ-バックアップスキームのアクティブなデータセンターの1つをオフにしました。 これは、バランス調整を行ってから約1年後に起こりました。 テスト計画は毎分、非常に詳細でした。 すべては順調に進んでいたが、VMwareを切り替えたときに初めて、仮想マシンの違いが転がるような場所があることが突然明らかになった。 2番目のデータセンターのゴールデンイメージ自体のみが、バージョンのわずかに遅れていました。 少しだけ。 そして、更新されたマシンをフックしようとすると、Linuxクラスターは冬の収穫のようにカーネルパニックに陥りました。 ダウンタイムの30分ではなく、5時間になりました。 それから恐ろしい言葉：「窓に当たらなかった。」



このテストは軽度でした-スイッチが引っ張られたのではなく、単にメインデータセンターを正しく分離しました。 一方、私はオフィスサービスのまったく異なるテストを覚えています。 そこでは、シナリオをチェックするためにサイトが切り替えられたときに、同期のすべての穴が塞がれたわけではありません。 また、コールセンターの一部の呼び出しとオフィスのトラフィックは、間違った方向にcいました。 データが破損しています。 そして、取引のある顧客カードがあります。 約200のサブシステムに関連付けられています。



たとえば、契約の合意。 支払い注文の交渉から支払いまでの最も簡単なプロセスは、14の論理ステップです。 たとえば、ステージの1つで、ベースが10秒の拡張で回復しました。 そしてそれだけです、ドキュメントにこんにちは。 オラクルは上昇しましたか？ はい ベースは良いですか？ はい ドキュメントを使用できますか？ いや 会計は注文ですか？ まあ、ほぼ-40コペックでは、バランスは収束しません。 そして、これを見て何かの主任会計士はヒステリックに転がります。



論理的には、30分ドロップしてから数か月後に手を選ぶか、配線ロジックを自動的に確認する必要があります。 そのため、次の2つの結果があります。

1. または、通過が完了した（チェックされた）ときに、cなリアルタイム監視システムが作成されます。 そして、すべてのサブシステムに対して、リクエストが成功したかどうかを確認します。 たとえば、トップ5の銀行は、このようなすべてのプロセスの整合性の監視に明らかに関心を持っています。 合計9個のゼロを持つ翻訳がある場合があります。 このようなトランザクションを台無しにした場合-まあ、それは少し悲しいでしょう。
2. または、バックアップデータセンターは予備です。 部分的な使用なし、アイドル容量の使用。 どちらかといえば、私たちはそれを保存し、その中に最大6か月間住んでいます。そのため、鉄の力で十分です。

-DRPを使用すると、プロセスが変わります。

いいえ、プロセスを変更できるのは企業管理者のみです。 プロセスの継続性に関する作業中、誰もプロセス自体に触れません。 連続性の観点からどのように機能するかについて説明します。 それは正しいか間違っていないかもしれません-しかしそれはビジネスの観点であり、連続性ではありません。 ビジネスがより重要です。 私たちのタスクは、そのリスクと脅威を特徴付けることです。



-はい、来年は会社全体の緊急計画を立てましょう...

動作しません。 最も可能性が高い。 これは中小企業では機能しますが、大規模では機能しません。 270のサブシステムがあるときに、データセンターをDRPに転送することはできません。 ブロック切り替えをゆっくりと実装するには、ブロックに分割し、ゾウが細かく分割する必要があります。



別の機能-このアプローチの多くのことは、実際には商業運用に取り入れられません。 彼らは動作しますが、ドキュメントによると-テストモードで。 ストーリーは、護衛が生のまま受け入れたくないということです（正確な不測事態対応計画なしに書類に署名しないでください）。



時々それは人々を救います、私は言わなければなりません。 彼らが新しい機器、「重い」ラックを設置したときのケースを知っています。 部屋の最初の特徴は、ホールの入り口にある大きな気密ドアです。 2つ目-非常に厚い上げ床タイルがあり、それらにケーブルを入れる必要がありました。 彼らはドリルを始めました。 上部には温度と煙の二重回路センサーがあります。 煙放出。 彼らはそれを西で行い、気密ドアが閉じてガスが行きます。 幸いなことに、私たちは操作を受け入れられなかったため、ドアはブロックでロックされていました。



または別の質問。 すべてが管理者の頭の中にある場合、DRPはどのように機能しますか？ テストのお気に入りのフレーズ：「うーん...どうやって解決するの？ まあ、DNSレコードからの並べ替え... IPアドレスはどこにありますか？ さて、どこかで記録された...」。



-怖がらないで！ データセンターは大人によって作られており、...

...そして、彼らはまだ、非常に成熟した、集められた人々の間でさえ落ちます。 例：

• ロシア最大の独立した決済処理システムであるUnited Card Serviceは、5時間20分失敗しました。 140の銀行のクライアント-UCSパートナー-はカードを使用できず、ATMから現金を引き出すことができませんでした。 その後、ロシア人の数千の取引がハングしました。 完全なトラブルシューティングは、データセンターのサーバーに直接アクセスしないとリモートで実行できないという事実により複雑でした。 さらに、復旧にはインフラストラクチャ全体の徹底的な診断が必要でした。 バックアップシステムの使用は非常に危険であり、事故時の失敗の理由が不明であったため、データの大量損失につながる可能性がありました。
• 8月21日のUCSの失敗は、2015年4月29日に発生したNPCSの失敗の規模を超えました。 その後、中央銀行システムの不具合により、モスクワ時間の約2:30から7:15にかけて、MasterCardおよびVisaカードの操作が4時間以上行われませんでした。 障害は、システム的またはプログラム的なものではありませんでした。
• 2008年9月、数時間、Beelineサブスクライバーの5％が通信できませんでした。 HLRは1時間手で持ち上げられました。
• 7月27日、VKontakteデータセンターの1つでの事故により、写真、メッセージ、壁のポストなど、いくつかのサイトサービスが数時間利用できませんでした。 問題の1時間後、同社の専門家はサイトを完全に停止することにしました。 未検証データによると-冷却の問題。
• ロシア科学アカデミーの社会科学に関する科学情報研究所（INION）の公式サイトは、図書館の建物で火災が発生したときに機能しなくなりました。 .
• , - «» « », . . , -9 ( 70 , , 6 ). .
• Sabre , . «». - , 15 .
• , - . . 4 — .
• D, - , 2 2013 . .

...

• , , :
• - - Samsung SDS Samsung (, ) .
• Facebook , , - . 1,3 Facebook . Forbes Magazine, 20- Facebook , - .
• 40% - , Google . Google, Gmail, YouTube Google Drive, . 5- 2012 Google $545,000 .
• 10 Blackberry EMEA (, ) . — Research In Motion .
• Amazon - Instagram, Netflix, Vine, Airbnb ( 26 2013 ).
• 5- - .
• - 2014-.
• 2010- Virgin Blue 11 . 15 20 . 50 .
• M1 — 1,2 — 2013 . 3 .

— . , , .

, , . . , .

— .

— .

— / / .

— , .

— .

— .

— .

— .

— .

— .

— - ( ).

— .

— .

— .

— .

— .

— .

— .

— .

— . (. . , ).

— -. .

— .

— .

— / .

— -.

— , .

— , . . . . . .

— , , ( ).

参照資料

• ( , )
• « »
• — YShvydchenko@croc.ru