Fileservices des ZIM
Das Fileserviceangebot des ZIM wird auf Hardware der Firma Netapp betrieben. Genauer gesagt handelt es sich dabei um ein sog. Fabric-Metrocluster. Dabei werden 2 Storagecontroller so miteinander verbunden, dass jeder der beiden den Dienst des jeweils anderen im Problemfall übernehmen kann.
Idealerweise wird ein solches System auf 2 Standorte verteilt, damit der Fileservice auch im Falle des Ausfalls eines kompletten Serverraumes weiterhin verfügbar ist.
Unsere beiden Standorte befinden sich auf dem Campus der HHU.
Stand heute (25.07.2018) befindet sich der aktuelle Metrocluster noch komplett in einem Serverraum. Dieser wird allerdings in den nächsten 4-5 Monaten durch neue Hardware ersetzt, welche dann auch auf beide Standorte verteilt wird.
Es sind alle Hardwareteile mindestens doppelt vorhanden, bis hin zu den Festplatten. Das heißt, werden Daten auf der "Heimatseite" des jeweiligen virtuellen Filservers geschrieben, werden die gleichen Informationen binnen weniger Millisekunden automatisch auf den 2. Standort repliziert.
Der Zugriff auf Kundenseite erfolgt über sog. SVM's (Storage-Virtual-Machines). Dies sind virtuelle Fileserver, welche für gewöhnlich im selben Netzwerksegment beheimatet sind, wie die Arbeitsplatzrechner der Kunden.
Sicherheit
Die Authentisierung und Authorisierung geschieht gegen unser zentrales Active-Directory, dem Verzeichnisdienst von Microsoft. In diesem Verzeichnisdienst liegen alle aktiven Uni-Kennungen von Bediensteten und Studierenden. Diesen können über Mitgliedschaften in Berechtigungsgruppen Zugriff auf Ressourcen, in diesem Fall Dateiablagen gewährt werden.
Auf den Fileservern werden sog. ACL's (Access-Control-Lists) gepflegt, in denen steht, welche (Personen-) Gruppe(n) wie (lesend, lesend- und schreibend etc.) auf die Ordner und Dateien des Fileservers zugreifen dürfen.
Über diesen Mechanismus wird bewerkstelligt, dass nur Personen, welche bestimmte Berechtigungen erhalten haben auch auf die entsprechenden Ressourcen Zugriff erhalten.
Die Schritte zur Authentisierung und Authorisierung finden über eine verschlüsselte Verbindung statt.
Die Nutzung des Fileservers selber, bei interner Verwendung über CIFS/SMB/NFS (im eigenen Institutsnetz) findet wiederum unverschlüsselt statt. Auch die Dateien liegen unverschlüsselt (wenn auch in 4-Kb kleine Blöcke zerteilt und randomisiert auf mehrere hundert Festplatten verteilt) auf unseren Fileserversystem
Sollten Sie Anforderungen haben, bei denen eine Verschlüsselung unabdingbar ist, müssen Sie auf eine Containerverschlüsselung wie z.B. VeraCrypt zurück greifen.
Beim Zugriff von extern, über unseren WebDAV Server ist auch die Kommunikation nach dem Schritt der Authentisierung und Authorisierung (über eine https Verbindung) verschlüsselt, da dieser Zugriff für gewöhnlich über Netze erfolgt, welche nicht Hoheitsgebiet der HHU liegen.
Snapshots & Backups
Das System sichert an mehreren Zeitpunkten pro Tag den Zustand des Dateisystems. Diese sog. Snapshots dienen dazu, das Kunden im Falle eines Falles einzelne Dateien oder auch ganze Ordnerstrukturen selbstständig widerherstellen können.
Dies funktioniert relativ fein granular (4-Std. Abstand) bis zu 1,5 Tagen in die Vergangenheit. Dann wird noch ein Snapshot um 0:00 Uhr in der Nacht gemacht, wovon die letzten 2 Nächte aufbewahrt werden.
Für den Fall eines richtigen Desasters (beide Teile des Metroclusters fallen undwiderbringlich aus) machen wir von den Volumes noch Backups auf Magnetbänder, welche auch an 2 Standorten liegen.
Diese Bandsicherung dient jedoch lediglich als "Last-line-of-defense", da das zurückspielen der Daten (Abhängig von der Größe des jeweiligen Fileservers) viel bis sehr viel Zeit in Anspruch nehmen würde.
