コンピュータシステムのDR(Disaster Recovery:災害復旧)の手法として、従来はバックアップ媒体を遠隔地に保管する方法が主流だった。しかし、HDDや通信コストの低下によって、もっと事業継続性の高い手法が導入されるようになった。今回は、東日本大震災の教訓を加味した、新しい災害対策手法を説明する。
バックアップサイトの構築
災害に際して業務データを保護するためのもっとも古典的な手法は、データをバックアップした媒体(メディア)を、データセンターと同時に被災しない程度に離れた位置にある事務所や倉庫に搬送して保存するというものである(図1)。初期コストやランニングコストが安いというメリットがあるが、以下のようなデメリットもある。
図1 バックアップテープを遠隔拠点に搬送し保管する
- 搬送中のテープの盗難や紛失など、情報漏えいのリスクがある。
- バックアップしてテープを搬送するサイクルが、最短でも日次なので、RPO(目標復旧時点)は最小で24時間となる。つまり、1日分かそれ以上のデータを失うリスクがある。
- サーバー類が損傷した場合は、代替機の確保に時間がかかるリスクがある。
- 保管場所からテープを取り寄せるのに時間がかかるリスクがある。
今回の東日本大震災では、燃料不足と交通規制のため、被災地周辺の物流が震災後の数日間にわたってマヒし、上記3と4のリスクが顕在化した。
一方、電力・ガス・水道などのライフラインや、金融機関などの社会インフラを支えるための情報システムは、災害時であっても事業の継続が求められる。そのためには、データセンターそのものをバックアップする、バックアップサイトを遠隔地に設置するという手段が有効だ。そして、バックアップサイトには、企業活動を維持するための最小限の業務を遂行するためのコンピュータシステム(バックアップシステム)を構築するのだ。
被災時のRTO(目標復旧時間)を短縮するため、バックアップシステムには本番システムのデータを、あらかじめリストアしておく。かつて通信コストが高かった時代には、本番システムのバックアップ媒体をバックアップサイトまで搬送し、それを利用してバックアップシステムのデータを更新しておく、という方法が用いられた(図2)。そして、本番系システムが被災した場合には、オンライン端末の接続先をバックアップシステムへ切り替えることで、業務を継続する。この手法であれば、上のバックアップ媒体を遠隔保管する場合に比べて、RTO(目標復旧時間)が大幅に短縮される。
図2 バックアップテープをバックアップサイトへ搬送し反映する
ただし、この方法にも、以下のデメリットが残る。
- 搬送中のテープの盗難や紛失など、情報漏えいのリスクがある。
- バックアップしてテープを搬送するサイクルが、最短でも日次なので、RPO(目標復旧時点)は最小で24時間となる。つまり、1日分かそれ以上のデータを失うリスクがある。
遠隔バックアップ
従来の震災対策は、1995年に発生した阪神大震災の教訓により定められた基準に立脚してきた。阪神大震災は直下型地震だったので、オフィスビルが倒壊しライフラインが寸断される事態に陥った地域は比較的狭かった。そのため、「データセンターとバックアップサイトは60キロメートル離れていればよい」という基準が作られた(金融情報システムセンターの旧基準)。
今回の東日本大震災では、津波による被害が広範囲に渡り、また福島第一原発事故の影響で東京電力の管内には電力不足のリスクが生じている。このため、「データセンターとバックアップサイトの間隔が60キロメートルでは近すぎる」、さらには「異なる電力事業者の管内に設置しなければならない」という意見が出ている。
データーセンターとバックアップサイトの距離が広がると、バックアップ媒体を搬送することのリスクやデメリットが大きくなる。そこで有効な手段が、ネットワークを経由してバックアップサイトへデータを退避する「遠隔バックアップ」である。遠隔バックアップでは、バックアップサイトに設置されたサーバーやストレージ装置へ直接データを書き込むため、磁気テープなどの可搬型媒体を経由させる必要がなくなる。
遠隔バックアップの手法としては、「ネットワークを経由したファイル単位の複写」と「リモートレプリケーション」が主流である。この10年ほどの間、高品質で広帯域の通信回線の価格低下は目覚しいものがあり、この通信コストの低下が、遠隔バックアップの普及を後押ししている。
レプリケーション
ここで、事業継続の観点から、従来のバックアップ手法を再検討してみる。
銀行預金の口座管理システムのように、残高を正確に記録するためリアルタイム性が要求され、消失するデータが日単位になればビジネスに致命的な影響があるような業務システムでは、RPOを限りなくゼロに近づける必要がある。データ保護の手段として磁気テープなどのバックアップ媒体への複写を採用した場合、RPOはバックアップ媒体からのリストア作業の時間に依存する。すなわち、RPOを極限まで短縮するには、リストア作業を省略するのが理想である。そのためにレプリケーションという技術が考案された。
レプリケーションは、ディスクボリュームやデータベースの完全な複製をリアルタイムで作成する技法だ。「ミラーリング」または「クローニング」とも呼ばれる。この機能は、ストレージ装置に標準的に実装されているが、サーバーに専用のディスクコントローラーを装着することでも利用可能になる。通常のレプリケーションでは、業務システムが読み書きする「本番ボリューム」と、本番ボリュームと常時同期する「複製ボリューム(レプリカボリューム)」を1つ作成する。
本番ボリュームが障害で損傷した時には、業務システムがレプリカボリュームを読み書きするように、ストレージ装置、またはディスクコントローラーの設定を変更する。これにより、RPOおよびRTOを極限まで切り詰め、業務を迅速に復旧させるというわけだ。
(次ページ、「遠隔地で同期するリモートレプリケーション」に続く)
この連載の記事
- 第5回 iStorage HSで実現する失敗しない遠隔バックアップ
- 第4回 こんなにお手軽!Barracuda Backup ServicesがDRを変える
- 第2回 事業継続の要「業務データ」を地震や津波から守るには
- 第1回 東日本大震災で見直される災害対策
- 大震災以降のITの災害対策を考える
- この連載の一覧へ
