Bericht vom Audit der Bundes-IT

Nach etwas Verzögerung haben wir jetzt den zusammenfassenden Bericht von unserem Auditor Michael.

Wir hatten uns getroffen und die Pläne unserer Bundes-IT durchgesprochen. Dabei sind wir zusammen den geplanten Aufbau durchgegangen und er hat nach einigen Recherchen das geplante Konzept beurteilt.

Grundsätzlich sind die angedachten Veränderungen des Aufbaus unserer Server positiv beurteilt worden. Auch die Anschaffungen sind von ihm als weitgehend nachvollziehbar angesehen worden. Zu einigen Punkten hat er Anmerkungen gemacht.

Da wir nun möglichst schnell die Ausschreibungen veröffentlichen wollen, werden wir die Kritikpunkte des Berichts beurteilen besprechen und dann entscheiden, inwieweit wir die Ausschreibungstexte anpassen werden.

Die Ausschreibungen selbst werden dann umgehend auf verschiedenen Portalen veröffentlicht. Denn die Bundestagswahl steht an und wir wollen stabile System im Vorfeld sicherstellen können.

Sven Schomacker

Nach einem Review der derzeitigen Ausstattung und Auslastung der Systeme der Piraten-BundesIT nehme ich zu den geplanten Anschaffungen[1] wie folgt Stellung:

Die Speichersysteme der Dell EqualLogic Reihe bieten ein sehr gutes Preis-Leistungsverhältniss und sind für die Anforderungen der BundesIT uneingeschränkt zu empfehlen. Jedoch ist nicht ersichtlich, wozu ein Modell mit 10Gbit-Anbindung notwendig ist, da bei der zu erwartenden Workload diese Bandbreite mit Sicherheit nicht ausgeschöpft werden kann. Dies verteuert nicht nur die EqualLogic selbst, sondern auch die zugehörigen Netzwerkinfrastruktur. Zudem ist zu hinterfragen, ob hier wirklich Festplatten mit 15k RPM notwendig sind, da die Kombination von 24 10k-Platten bereits sehr gute Performance liefert. Insofern wird empfohlen, eher das Modell PS6100X oder ggf. PS6100XV anzuschaffen[2].

Es ist zu beachten, dass der geplante Einsatz des Features „synchrone Replikation“ eine neue Firmwareserie erfordert, die erst seit September 2012 von Dell für den allgemeinen Einsatz freigegeben ist. Insofern wird empfohlen, dieses Backupkonzept intensiv zu testen.

Aufgrund der bestehenden und zu erwartenden IO-Last der Systeme präferieren wir die 15K HDD’s um auch in 3 Jahren noch den Anforderungen entsprechen zu können. Generell legen wir das System auf die geplante Laufzeit von 6 Jahren aus. Dies bedeutet das wir die 10 Gbit bevorzugen, da ein späterer Wechsel laut Hersteller technisch bedingt nicht möglich ist bei EqualLogic, bzw. höhrere Kosten verursachen würde als der Mehrpreis jetzt ausmachen würde.

Generell ist der Einsatz eines zweiten Switchpaares für ein Backendnetzwerk eine sinnvolle Erweiterung der Netzwerkarchitektur im Zusammenhang mit der Anschaffung des Storagesystems. In diesem Marktsegment gibt es eine Vielzahl von konkurrienden Produkten namhafter Hersteller mit weitestgehend ähnlichem Funktionsumfang, weswegen eine herstellerunabhängige Ausschreibung anzuraten ist. Ob hierbei 10Gbit-Anbindungen zu fordern sind sollte nach der Entscheidung für ein Storagesystem entschieden werden.

Die Switche für den Backbone werden von uns in Abhängigkeit zum Storage ausgeschrieben. Diese sollten vom Storage Hersteller für das System getestet und freigegeben sein.

Die Serverhardware von Dell bietet i.A. ein gutes Preis-Leistungs-Verhältnis, und es macht durchaus Sinn hierbei auf nur einen Hersteller zu setzen um den Support zu vereinfachen. Ein Offsite-Backup ist dringend anzuraten, allerdings ist das Vorhalten derart großer Rechenkapazitäten für ein Fallback-System von eher fragwürdigem Nutzen, zumal wohl geplant ist, einen anderen Standort des gleichen Anbieters zu nutzen, womit nichtmal der Fall einer Störung des Netzwerkcores des Anbieters abgedeckt ist. Somit wird empfohlen, diese Anschaffung stattdessen dafür zu nutzen einen der bestehenden R510-Appserver abzulösen und diesen dann, ggf. mit neuen/weiteren Festplatten bestückt, als Offsite-Backupserver zu verwenden, zumal die R5x0-Serie ohnehin eher als Storage- denn als Appserver ausgelegt ist.

Die Ressourcen des Servers würden zum Teil auch aktiv genutzt durch Auslagerung von Monitoring und statischen Diensten. Die Platzierung der Servers im selben Backbone wurde unter Betrachtung des Risikos einer Störung des Backones und der Kosten für Traffic zwischen den Standorten abgewogen. Da interner Traffic kostenneutral ist und eine Störung des Backbones über 2 Standorte eher unwarscheinlich ist und damit zu einem kalkulierbaren Risiko gehört wurde die preiswertere Variante präferiert. In der Auschreibung werden wir aber alle Angebote für diesen Block unter einer Kosten-Nutzen-Risiko-Abwägung gleich behandeln.

Es sollte geprüft werden, ob wirklich volle KVM-Fähigkeiten gebraucht werden, oder ob es nicht etwa ausreicht nur eine serielle Konsole zur Verfügung zu haben, wie z.B. mit dem Produkt OpenGear CM4000[3]. Dieses hätte darüberhinaus den Vorteil Out-Of-Band Management auch für Switche und Storagesysteme zur Verfügung zu stellen. Ggf. kann auch eine Kombination von Konsolenserver und Dell Remote Access Controller (DRAC) Karten für die Server sinnvoll sein.

Wir haben uns für KVM entschieden da Funktionen wie Virtual Media nicht über eine serielle Konsole bereitgestellt werden können.Dieses ist aber erforderlich um den Server remote installieren zu können und im Worst-Case-Scenario mittels boot von Live CD’s wie Grml den server wieder herstellen zu können.

Auch hierfür sollte eine herstellerunabhängige Ausschreibung in Betracht gezogen werden.

[1] http://wiki.piratenpartei.de/IT/Wunschliste/Detail

[2] Dabei ist ausserdem zu beachten dass die PS6100XV für Festplatten größer als 300GB nicht 2, sondern 4 Höheneinheiten verbraucht, was die aktuell  vorhandenen Kapazitäten voll auslasten würde.

[3] http://opengear.com/product-cm4000.html