Як захищаються великі хлопці в центрі обробки даних; gent of d; банкрутства; електричний
Після відключення електроенергії, яке потрапило в центр обробки даних OVH у Страсбурзі в листопаді, LeMagIT прагнув дізнатись більше про найкращі практики найбільших центрів обробки даних з точки зору постачання електроенергії та безпеки. Тільки Equinix погодився відповісти нам. Можливість підвести підсумки цієї теми у Крістіана Бальцера, її директора з експлуатації.
Після серйозної електричної несправності, яка обрушилася на центр обробки даних компанії OVH у кінці 2017 року, LeMagIT прагнув дізнатись більше про те, як основні гравці хостингу керують своїм енергопостачанням у Франції та намагаються захистити себе в кращих можливих збоях. Зокрема, ми хотіли б знати, які є найкращі поточні практики щодо максимальної доступності джерела живлення серверів у центрі обробки даних.
Щоб спробувати дізнатись більше, ми попросили кількох гравців у цьому секторі, серед яких, звичайно, OVH, але також Interxion та Equinix. Останній єдиний погодився відповісти нам голосом Крістіана Бальцера, його директора з операцій у Франції, Італії та Швейцарії.
Забезпечення постачання електроенергії, очевидно, починається з постачання, пояснює Крістіан Бальцер. "Найкраща практика для великих гравців у центрі обробки даних - скористатися найбезпечнішою конфігурацією Enedis, а саме подвійним байпасом".
Виберіть найбільш надійний механізм закупівель
Цей механізм складається з підключення центру обробки даних до вихідної станції за допомогою двох кабелів, один з яких, як кажуть, працює, а інший - аварійний. Зараз ця конфігурація є стандартною пропозицією Enedis для критичних споживачів. Це крок назад від того, що існувало ще кілька років тому. Тоді EDF запропонував ще більш безпечну конфігурацію, при якій робочий кабель та аварійний кабель були підключені до різних підстанцій джерела ».
Для протоколу, мета підстанції-джерела полягає у забезпеченні постачання електроенергії до сектору. Він розташований на перетині мережі дуже високої напруги (225000 - 63000 вольт) та мережі середньої напруги (20000 вольт) і забезпечує трансформатори, які знижують напругу електрики. Станція джерела також захищає мережу від інцидентів.
Як зазначає Крістіан Бальцер, стара конфігурація, яку більше не пропонує Енедіс, мала велику перевагу. Це захищало клієнтів від серйозних збоїв на робочій станції, навіть якщо такі випадки трапляються дуже рідко. Але для Енедіса це створило головну проблему - потенційну іммобілізацію 50% потужності вихідної підстанції у малоймовірному очікуванні поломки.
"Вибух енергетичних вимог, який не завжди є дуже обґрунтованим з боку багатьох гравців в центрі обробки даних, змусив Енедіс провести фундаментальну рефлексію щодо центрів обробки даних, а подвійна конфігурація на двох робочих станціях-джерелах зникла", пояснює Крістіан Бальцер. Слід сказати, що планування та будівництво вихідної підстанції може зайняти від п’яти до десяти років, оскільки мова йде про промислову інфраструктуру і, отже, значні інвестиції для EDF та Enedis.
Слід зазначити, що для найбільш критичних інфраструктур Enedis завжди пропонує можливість мати кілька станцій доставки в центрі обробки даних, що обслуговуються окремими кабелями [станції доставки забезпечують вхід електрики в будівлю і виконують перетворення від середньої напруги до низької напруга, примітка редактора]. Таким чином, оператор дата-центру може захистити себе як від обриву кабелю, так і від можливої несправності станції доставки.
Захистіться від перебоїв з електроживленням
Після того, як вирішено проблему постачання, оператори дата-центрів повинні захиститися від можливого зриву цього постачання. У Франції щорічно такий тип інциденту можна перерахувати на пальцях однієї руки, пояснює Крістіан Бальцер, але саме до цього повинні готуватися центри обробки даних.
«У конфігурації подвійного байпаса, якщо пошкоджений основний кабель або є проблема, вимикач розмикається на стороні Енедіса. Але перехід на аварійний кабель вимагає втручання вручну. З міркувань безпеки вимикачі не замикаються на двох кабелях. Автоматичний режим відсутній. Тому поповнення аварійного кабелю займає певний час. Ось чому центри обробки даних повинні озброїтися проти збоїв у постачанні ".
Таким чином, всі центри обробки даних оснащені групами електричних генераторів (зазвичай дизельних), а також інверторами з масивними батареями. Останні повинні, зокрема, забезпечити електропостачання майданчика під час очікування запуску генераторів.
Як повідомляє операційний директор Equinix, електричні системи центрів обробки даних на сильному струмі розроблені для забезпечення безперервності обслуговування, коли все йде добре. Але вони також, на жаль, мають стільки потенційних поломок та несправностей. «Той факт, що ПЛК не може передавати наказ про запуск аварійного генераторного набору, є частиною того, на що слід зосередитись у проекті, щоб така проблема не призвела до« зупинки центру обробки даних ». За його словами, це одна із сфер, за якою за останні десять років відбулися суттєві концептуальні зміни. “Був час, коли ми, як правило, розгортали в контрольних центрах обробки даних чимало контролерів для керування послідовностями відмов. Ми повернулися з цього, тому що мали досвід, що ці автомати є основним джерелом несправностей ".
За словами Крістіана Бальцера, Equinix повернувся до основ, використовуючи менше ПЛК чи не однаково: «У нас були конструкції з електростанціями генераторів, тобто кілька груп, що функціонують як одна цілісна сутність з N + 1 або N + 2 надмірностей. Очевидно, що якщо PLC не працює належним чином, вся установка не запускається, і тому весь центр обробки даних позбавлений енергії ".
Зараз оператор центру обробки даних перейшов до так званої конструкції "блокування надмірності", яка замість таких великих вузлів об'єднує генератор, гофровану систему та трансформатор. «Все це працює як інтегрована система, яка подає шлях живлення для клієнтських серверів. Так само ми маємо ще один блок, який має справу з іншим електричним шляхом. І кожен із цих блоків має свій автомат. Навіть якщо автомат виходить з ладу - і статистично це трапляється, як це сталося у випадку з аварією OVH - вплив несправності неоднозначний, оскільки ми завжди маємо лінію подачі, яка постачається ".
Ще однією вдалою практикою є розрізання центру обробки даних на зрізи, що дозволяє розділити ризик, але також має економічну логіку. Як нагадує Крістіан Бальцер, ми більше не будуємо центр обробки даних, як це було зроблено двадцять років тому. Підхід набагато модульніший: "Відтепер ми будуємо вздовж води за кімнатою, що також дає змогу згладити інвестиції у будівництво центру обробки даних".
Налаштування стійких ІТ-архітектур
Однак зростаюче розділення ризиків не є абсолютною гарантією, і, незважаючи на ці запобіжні заходи, кімната або кілька кімнат у центрі обробки даних можуть вийти з ладу. Тут архітектори ІС у компаніях також мають свою роль.
Як пояснює Крістіан Бальцер, «Наші клієнти організовують себе так, щоб на наших платформах вони не клали всі свої яйця в один кошик. Вони можуть організувати розподіл своїх активів, організувати дзеркальне відображення своєї інфраструктури між кількома кімнатами або навіть кількома центрами обробки даних. Існує реальний вибір дизайну, щоб обмежити вплив інциденту з точки зору обсягу ". Тому бажано для найбільш критичних виробництв мати незалежну інфраструктуру, розподілену по підгрупах ЦОД .
З цією метою Крістіан Бальцер вказує, що Equinix прозоро ставиться до своїх клієнтів щодо своєї інфраструктури та існуючих ризиків, щоб вони могли вжити необхідних заходів щодо розміщення елементів своєї інформаційної системи. Ця прозорість необхідна, пояснює він, оскільки "з нашої точки зору замовник, виробництво якого не скорочується, є задоволеним споживачем". Однак він зазначає, що не всі компанії стурбовані цим питанням, поки не зіткнулися з інцидентом, але, крім того, деякі клієнти дуже ініціативні щодо цих питань і "проводять дуже ретельний аудит нашої інфраструктури перед тим, як зробити вибір".
Закінчимо позитивним зауваженням: хоча важливо проектувати інфраструктуру з високою стійкістю до відмов, Франція має перевагу, пропонуючи послуги з електроенергії, які залишаються якісними. Як пояснює Крістіан Бальцер, Equinix стикається з приблизно 2 відключеннями електроенергії на рік у своїх центрах обробки даних - і все ще дуже короткою тривалістю - тоді як в Італії, в Мілані, оператору доводиться стикатися з декількома перервами на місяць. Отже, ризик переривання низький, навіть якщо розсудливість диктує, що ми робимо все можливе, щоб уберегтися від цього ...