...
Das Fileserviceangebot des ZIM wird auf Hardware der Firma Netapp betrieben. Genauer gesagt handelt es sich dabei um ein NetApp, einem sog. Fabric-Metrocluster., betrieben
Dabei werden 2 Storagecontroller so miteinander verbunden, dass jeder der beiden den Dienst des jeweils anderen im Problemfall übernehmen kann.
Idealerweise wird ein solches System auf 2 Standorte verteilt, damit der Fileservice auch im Falle des Ausfalls eines kompletten Serverraumes weiterhin verfügbar ist.
Unsere beiden Standorte In unserem Fall befinden sich beide Standorte, räumlich getrennt, auf dem Campus der HHU.
Es sind alle Hardwareteile mindestens doppelt vorhanden, bis hin zu den Festplatten.
Alle Hardwareteile, inkl. der Festplatten, sind daher mindestens doppelt vorhanden.Das heißt, werden Daten auf der "Heimatseite" des jeweiligen virtuellen Filservers geschrieben, werden die gleichen Informationen binnen weniger Millisekunden automatisch auf den 2. Standort repliziert.
Der Zugriff auf Kundenseite erfolgt über sog. SVM's (Storage-Virtual-Machines). Dies sind virtuelle Fileserver, welche für gewöhnlich im selben Netzwerksegment beheimatet sind, wie die Arbeitsplatzrechner der Kunden.
Alle virtuellen Fileserver sind auf jeweils einem der beiden Storagecontroller "beheimatet" und werden auf den jeweils anderen gespiegelt.
Somit werden alle Daten die auf der "Heimatseite" geschrieben werden innerhalb weniger Millisekunden auf auch auf die andere Seite repliziert und sind dementsprechend immer auf beiden Controllern verfügbar.
Sicherheit
Die Authentisierung und Authorisierung geschieht gegen unser zentrales Active-Directory, dem Verzeichnisdienst von Microsoft.
In diesem Verzeichnisdienst liegen alle aktiven Uni-Kennungen von Bediensteten und Studierenden. Diesen können über Mitgliedschaften in Berechtigungsgruppen Zugriff auf Ressourcen, in diesem Fall Dateiablagen, gewährt werden.
Auf den Fileservern werden sog. ACL's (Access-Control-Lists) gepflegt, in denen steht, welche (Personen-) Gruppe(n) wie (lesend, lesend- und schreibend etc.) auf die Ordner und Dateien des Fileservers zugreifen dürfen.
Über diesen Mechanismus wird bewerkstelligtgewährleistet, dass nur Personen, welche bestimmte Berechtigungen erhalten haben, auch auf die entsprechenden Ressourcen Zugriff erhaltenhaben.
Die Schritte zur Authentisierung und Authorisierung finden über eine verschlüsselte Verbindung statt.
Die Nutzung Datenübertragung des Fileservers selber wiederum, bei interner Verwendung über CIFS/SMB/NFS (im eigenen Institutsnetz), findet wiederum unverschlüsselt statt.
Auch die Dateien liegen unverschlüsselt (wenn auch allerdings in 4-Kb kleine Blöcke zerteilt und randomisiert auf mehrere hundert Festplatten verteilt) auf unseren unserem Fileserversystem.
Sollten Sie Anforderungen haben, bei denen eine Verschlüsselung unabdingbar ist, müssen Sie auf eine Containerverschlüsselung wie z.B. VeraCrypt zurück greifen.
Beim Zugriff von extern , über unseren WebDAV Server ist auch die Kommunikation nach dem Schritt der Authentisierung und Authorisierung (über eine https Verbindung) verschlüsselt,
da dieser Zugriff für gewöhnlich über Netze erfolgt, welche nicht im Hoheitsgebiet der HHU liegen.
...
Das System sichert an mehreren Zeitpunkten pro Tag den Zustand des Dateisystems.
Diese sog. Snapshots dienen dazu, das dass Kunden im Falle eines Falles einzelne Dateien oder auch ganze Ordnerstrukturen selbstständig widerherstellen können.
Dies funktioniert relativ fein granular (4-Std. Abstand) bis zu 1,5 Tagen in die Vergangenheit. Dann wird noch ein Snapshot um 0:00 Uhr in der Nacht gemacht, wovon die letzten 2 Nächte aufbewahrt werden.Für den Fall eines richtigen Desasters (beide Teile des Metroclusters fallen undwiderbringlich aus) machen wir von den Volumes Backups auf Magnetbänder, welche zur Widerherstellung der kompletten Volumes genutzt werden können. Auch diese Backups liegen an 2 Standorten. Snapshots werden täglich um 06:10, 08:10, 10:10, 12:10, 14:10, 16:10, 18:10, 20:10 und 22:10 Uhr gemacht.
Da hiervon immer die letzten 36 Stück aufbewahrt werden, können bis zu etwa 4 Tage alte Dateien in diesem Abstand wiederhergestellt werden.
Dazu kommen 8 Tages-Snapshots die jeweils um 00:10 Uhr gemacht werden und 4 Wochen-Snapshots die jeweils Sonntags um 00:15 gemacht werden.
Somit können insgesamt bis zu vier Wochen alte Dateien wiederhergestellt werden.