Alles aus!

Was ist ein Shutdown?

| Autor / Redakteur: Ariane Rüdiger / Ulrike Ostler

Ein Shutdown ist das geordnete Herunterfahren eines IT-Systems
Ein Shutdown ist das geordnete Herunterfahren eines IT-Systems (Bild: © djama - stock.adob.com / Pixabay)

Der Shutdown ist bei IT-Administratoren und Anwendern nicht sonderlich beliebt – vor allem, wenn er ungeplant erfolgt.

Shutdown oder Shut down bedeutet, dass etwas geschlossen, abgeschaltet oder (in unserem Fall) dass IT-Systeme heruntergefahren werden. Als Varianten gibt es den häufig katastrophalen ungeplanten Shutdown und den meist ebenfalls nicht sonderlich beliebten geplanten Shutdown.

Der geplante Shutdown, um mit der etwas besseren Alternative anzufangen, findet immer dann statt, wenn irgendetwas, das geplant wurde, mit laufenden IT-Anlagen nicht funktioniert. Er findet auch statt, wenn der geplante Vorgang den Betrieb der IT-Anlagen beeinträchtigen würde oder ohnehin dazu führen würde, dass sie ausfallen.

Geplante Shutdowns - bei Umzug, Reparatur oder Systemwechsel

Typischerweise werden Systeme vor einem physischen Umzug heruntergefahren oder wenn man Teile, die sich nicht bei laufendem Betrieb auswechseln lassen, austauschen muss. Letzteres wird durch Hot-Spare-Technologien aber immer seltener erforderlich.

Auch die Einführung neuer Systeme, beispielsweise eines neuen Speichersystems, kann es erforderlich machen, zumindest einige der Systeme herunterzufahren. Ein geplantes Herunterfahren von Systemen kann auch im Rahmen von Übungen, etwa für Disaster Recovery, stattfinden.

Idealerweise werden die Systeme im Desaster-Recovery-Fall so bald als möglich an einem anderen, sicheren Ort wieder hochgefahren. Doch gelingt das nur, wenn Datensicherung, Systemspiegelung und so weiter tatsächlich funktioniert haben.

Der ungeplante Shutdown

Ein extrem unbeliebtes Ereignis ist der ungeplante Shutdown. Nichtsdestotrotz ist das ungeplante, aber immerhin geordnete Herunterfahren einem unstrukturierten Ausfall vorzuziehen. Letzterer führt nämlich oft genug zu Daten- und in deren Gefolge zu finanziellen und Reputationsschäden. Ganz zu schweigen vom Aufwand der Datenwiederherstellung.

Wann nun wird ungeplant heruntergefahren? Zwei besonders wichtige Fälle sind Cyber-Angriffe und Stromausfälle.

Das Richtige bei Cyber-Attacken und Stromausfällen

Bei Cyber-Angriffen, etwa mit Ransomware, versucht man durch ein sofortiges Herunterfahren aller Systeme den noch nicht infizierten Rest zu schützen. Verhindert werden soll also, dass die Ransomware oder um welchen Schädling es sich auch handeln mag, sich weiter ausbreitet und beispielsweise mehr Systeme durcheinanderbringt, Daten verschlüsselt oder aus der Firma schleust.

Bei Stromausfällen findet der geordnete, aber meist nicht geplante Shutdown spätestens dann statt, wenn die Energie der Ersatzstromlieferanten, etwa ein Dieselgenerator sowie vorgeschaltet der USV, zur Neige geht.

Shutdown vermeiden oder einkalkulieren?

Die meisten größeren Rechenzentren mit hohen Verfügbarkeitsansprüchen, Produktions-IT oder andere transaktionslastige Systeme, etwa für den Online-Handel, brauchen lang laufende Ersatzstromversorgungen. Sie sollen Shutdowns möglichst vermeiden. Denn schon kurze Ausfälle können größere Schäden verursachen.

Muss eine Anlage nicht unbedingt ständig laufen, kann man das IT-Gesamtsystem auch anders konzipieren. Dann springt die Unterbrechungsfreie Stromversorgung (USV) lediglich so lange für die reguläre Energieversorgung ein, bis die Systeme geordnet heruntergefahren wurden und/oder ein reduzierter beziehungsweise ein Notbetrieb erreicht wird.

Diese Konzeption setzt allerdings ein sorgfältiges Management der Batteriekapazitäten voraus. Es ist nämlich zu berücksichtigen, dass auch in weniger kritischen IT-Systemen unter Umständen vor dem Shutdown Daten gesichert oder Transaktionen abgeschlossen werden müssen, um Schaden zu verhindern.

Die hohe Schule: Ein ganzes RZ herunterfahren

Bei einem Brand etwa wird nach Kritikalität abgeschaltet. Das Rechenzentrum läuft nicht mehr auf Volllast und die wichtigsten Systeme werden am besten gesichert.

Darüber hinaus müssen bei einem Shutdown im Datacenter auch weitere Gewerke berücksichtigt werden: So sollte die Kühlung auch dann noch funktionieren, wenn ein Notfall eintritt, genauso wie die Sicherheitsanlagen, das Licht in den Räumen, in denen sich Menschen aufhalten .... Die USV-Anlagen müssen auch bei Teillast arbeiten können.

Was bei einzelnen Systemen oder überschaubaren IT-Umgebungen noch einfach sein mag, wächst sich bei umfangreichen Installationen oder großen Rechenzentren zum noch größeren Problem aus. Denn werden die Systeme in der falschen Reihenfolge geschlossen, kann es zu erheblichem Kuddelmuddel und erheblichen Datenverlusten sowie langen Ausfällen kommen. Schließt beispielsweise das Backup-System vor den Servern, deren Daten vor dem Herunterfahren noch schnell gesichert werden müssen, gehen die Daten verloren.

Werden Daten auswärts gesichert, dürfen auch die Router, die das System mit der Außenwelt verbinden, nicht zu schnell heruntergefahren werden. Auch bei Transaktionssystemen müssen die Router und alle an der Transaktion beteiligten Systeme so lange laufen, bis die Transaktionen sauber abgewickelt und ihre Daten sicher sind.

Virtualisierte Systeme und Mikroservices

Noch komplexer ist die Angelegenheit, wenn virtualisierte Systeme Sofwaretasks unterschiedlicher Kritikalität enthalten und diese auch in einer bestimmten Reihenfolge heruntergefahren werden müssen, bevor das System an sich sich abschaltet.

Die höchste Komplikationsstufe dürfte in Hybrid-Cloud-Umgebungen erreicht sein, deren Anwendungen auf unterschiedliche Lokationen verteilt sind, die sich teils in der Public- und teils in der Private Cloud on Premises oder beim Dienstleister befinden. Hier gibt es noch langst nicht so viele Erfahrungswerte wie bei Standard-Rechenzentren, und daher ist auch das gesicherte Herunterfahren noch einmal komplexer.

Container-basierte Lösungen und Anwendungen, die sich aus einzelnen, möglicherweise auch noch räumlich verteilten Mikroservices zusammensetzen, sind wieder anders zu behandeln, wobei es hierzu bislang die wenigsten Erfahrungen gibt.

Co-Location-Rechenzentren: Die SLA muss stimmen

Bei Co-Location-Datacenter stellen sich Nutzern und Betreibern weitere Probleme: Fällt beispielsweise die Strominfrastruktur im Colo-Rechenzentrum aus, muss der Betreiber mit dafür sorgen, dass seine Kunden keine Daten verlieren, obwohl diese unter Umständen vollkommen unterschiedliche Umgebungen in seinen Räumen betreiben, deren Details er vielleicht noch nicht einmal genau kennt.

Anwender dagegen müssen genau verstehen, was der Anbieter ihnen im Rahmen der Dienstgütevereinbarung verspricht und ob dies zu den Anforderungen der Systeme, die bei dem entsprechenden Coolocator stehen, passt. Andernfalls gilt es, nachzuverhandeln oder vielleicht sogar anderswohin umzuzuiehen.

Mit anderen Worten: Einfach 'runterfahren geht nicht. Deshalb sollten Anwender ausreichend Gehirnschmalz in ihren Shutdown-Plan, dessen Automatisierung, stetige Aktualisierung und in regelmäßige Tests investieren, damit im Ernstfall alles bestmöglichst klappt und die Geschäfte baldmöglichst ungestört weitergehen.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46355856 / Definitionen)