DRP sagatavošana - neaizmirstiet ņemt vērā meteorītu

Pat katastrofas laikā vienmēr ir laiks tējas tasei

DRP (avārijas atjaunošanas plāns) ir lieta, kas ideālā gadījumā nekad nebūs vajadzīga. Bet, ja pēkšņi pārošanās sezonas laikā migrējošie bebri izgrauž mugurkaula optisko šķiedru vai jaunākais administrators nomet produktīvo bāzi, noteikti vēlaties būt pārliecināts, ka jums būs iepriekš izstrādāts plāns, ko darīt ar visu šo negodu.

Kamēr klienti panikā sāk nogriezt tehniskā atbalsta tālruņus, juniors meklē cianīdu, jūs gudri atverat sarkano aploksni un sākat visu sakārtot.

Šajā ierakstā es vēlos dalīties ar ieteikumiem, kā uzrakstīt DRP un kam tajā vajadzētu būt. Apskatīsim arī šādas lietas:

1. Mācīsimies domāt kā nelietis.
2. Apskatīsim tējas tases priekšrocības apokalipses laikā.
3. Padomāsim par ērtu DRP struktūru
4. Apskatīsim, kā to pārbaudīt

Kuriem uzņēmumiem tas varētu būt noderīgi?

Ir ļoti grūti novilkt robežu, kad IT nodaļai šādas lietas sāk būt vajadzīgas. Es teiktu, ka jums noteikti ir nepieciešams DRP, ja:

• Servera, lietojumprogrammas apturēšana vai kādas datu bāzes zaudēšana radīs ievērojamus zaudējumus uzņēmumam kopumā.
• Jums ir pilnvērtīga IT nodaļa. Nodaļas izpratnē pilnvērtīga uzņēmuma struktūrvienība, ar savu budžetu, nevis tikai daži noguruši darbinieki, kas klāj tīklu, tīra vīrusus un uzpilda printerus.
• Jums ir reāls budžets vismaz daļējai atlaišanai ārkārtas situācijā.

Kad IT nodaļa jau mēnešiem ilgi lūdz vismaz pāris HDD vecā serverī rezerves kopijām, diez vai izdosies noorganizēt pilnvērtīgu neveiksmīga pakalpojuma pārvietošanu, lai rezervētu jaudu. Lai gan šeit dokumentācija nebūs lieka.

Dokumentācija ir svarīga

Sāciet ar dokumentāciju. Pieņemsim, ka jūsu pakalpojums darbojas ar Perl skriptu, ko pirms trim paaudzēm rakstīja administratori, taču neviens nezina, kā tas darbojas. Uzkrātais tehniskais parāds un dokumentācijas trūkums neizbēgami šaus ne tikai ceļgalā, bet arī citās ekstremitātēs, tas vairāk ir laika jautājums.

Kad esat labi aprakstījis pakalpojuma sastāvdaļas, meklējiet negadījumu statistiku. Tie gandrīz noteikti būs pilnīgi tipiski. Piemēram, jūsu disks laiku pa laikam kļūst pilns, kas izraisa mezgla atteici, līdz tas tiek manuāli notīrīts. Vai arī klientu pakalpojums kļūst nepieejams, jo kāds atkal aizmirsa atjaunot sertifikātu un Let's Encrypt nevarēja vai nevēlējās konfigurēt.

Domas kā diversants

Sarežģītākā daļa ir paredzēt tos negadījumus, kas nekad agrāk nav notikuši, bet kas potenciāli varētu pilnībā sagraut jūsu pakalpojumu. Šeit mēs ar kolēģiem parasti spēlējam neliešus. Paņemiet daudz kafijas un kaut ko garšīgu un ieslēdzieties sanāksmju telpā. Vienkārši pārliecinieties, ka tajās pašās sarunās tiek iesaistīti tie inženieri, kuri paši izstrādāja mērķa pakalpojumu vai regulāri ar to strādā. Pēc tam vai nu uz tāfeles, vai uz papīra jūs sākat zīmēt visas iespējamās šausmas, kas varētu notikt ar jūsu dienestu. Nav nepieciešams iedziļināties detaļās līdz konkrētai apkopējai un kabeļu izvilkšanai, pietiek apsvērt scenāriju “Vietējā tīkla integritātes pārkāpums”.

Parasti tipiskākās ārkārtas situācijas iedala šādos veidos:

• Tīkla kļūda
• OS pakalpojumu kļūme
• Lietojumprogrammas kļūme
• Dzelzs mazspēja
• Virtualizācijas kļūme

Vienkārši apskatiet katru veidu un uzziniet, kas attiecas uz jūsu pakalpojumu. Piemēram, Nginx dēmons var nokrist un nepaaugstināties - tas nozīmē OS kļūmes. Reta situācija, kas izraisa jūsu tīmekļa lietojumprogrammas kļūmi, ir programmatūras kļūme. Strādājot šajā posmā, ir svarīgi noteikt problēmas diagnozi. Kā, piemēram, atšķirt iesaldētu virtualizācijas interfeisu no nokrituša cis diska un tīkla kļūmes. Tas ir svarīgi, lai ātri atrastu atbildīgos un sāktu vilkt viņu asti, līdz negadījums ir atrisināts.

Pēc tipisko problēmu pierakstīšanas mēs ielejam vēl kafiju un sākam apsvērt dīvainākos scenārijus, kad daži parametri sāk pārsniegt normu. Piemēram:

• Kas notiek, ja laiks aktīvajā mezglā pavirzās par minūti atpakaļ attiecībā pret citiem klasterī?
• Ko darīt, ja laiks virzās uz priekšu, ja par 10 gadiem?
• Kas notiek, ja klastera mezgls sinhronizācijas laikā pēkšņi zaudē tīklu?
• Kas notiks, ja divi mezgli nedalīs vadību īslaicīgas viens otra izolācijas dēļ tīklā?

Šajā posmā apgrieztā pieeja ir ļoti noderīga. Jūs paņemat spītīgāko komandas locekli ar slimu iztēli un uzdodat viņam pēc iespējas īsākā laikā sarīkot sabotāžu, kas sagraus dienestu. Ja ir grūti diagnosticēt, vēl labāk. Jūs neticēsiet, kādas dīvainas un foršas idejas izdomā inženieri, ja iedosiet viņiem ideju kaut ko salauzt. Un, ja jūs apsolāt viņiem šim nolūkam izveidot testēšanas stendu, tas ir pilnīgi labi.

Kas tas par taviem DRP?!

Tātad jūs esat definējis savu draudu modeli. Viņi ņēma vērā arī vietējos iedzīvotājus, kuri, meklējot varu, grieza optiskās šķiedras kabeļus, un militāro radaru, kas piektdienās pulksten 16:46 stingri nolaiž radioreleja līniju. Tagad mums ir jāsaprot, ko ar to visu darīt.

Tavs uzdevums ir uzrakstīt tās ļoti sarkanās aploksnes, kuras tiks atvērtas ārkārtas situācijā. Nekavējoties sagaidiet, ka tad, kad (ne jau!) viss beigsies, blakus būs tikai visnepieredzējušākais praktikants, kuram no šausmām par notiekošo varoši trīcēs rokas. Skatiet, kā medicīnas iestādēs tiek ieviestas ārkārtas zīmes. Piemēram, ko darīt anafilaktiskā šoka gadījumā. Medicīnas personāls visus protokolus zina no galvas, bet, kad cilvēks tuvumā sāk mirt, ļoti bieži visi bezpalīdzīgi ķeras pie visa, kas redzams. Lai to izdarītu, uz sienas ir skaidri norādījumi ar tādiem priekšmetiem kā "atveriet šādu un tādu iepakojumu" un "ievadiet tik daudz zāļu vienību intravenozi".

Ārkārtas situācijā ir grūti domāt! Ir jābūt vienkāršiem norādījumiem par muguras smadzeņu parsēšanu.

Labs DRP sastāv no vairākiem vienkāršiem blokiem:

1. Kam jāpaziņo par negadījuma sākumu. Tas ir svarīgi, lai pēc iespējas vairāk paralēli likvidēšanas procesu.
2. Kā pareizi diagnosticēt - veiciet izsekošanu, skatieties systemctl statusa pakalpojuma nosaukums un tā tālāk.
3. Cik daudz laika varat pavadīt katrā posmā? Ja jums nav laika to manuāli labot SLA laikā, virtuālā mašīna tiek iznīcināta un noņemta no vakardienas dublējuma.
4. Kā pārliecināties, ka negadījums ir beidzies.

Atcerieties, ka DRP sākas, kad pakalpojums ir pilnībā neizdevies, un beidzas, kad pakalpojums tiek atjaunots, pat ar samazinātu efektivitāti. Vienkārši pazaudējot rezervāciju, nevajadzētu aktivizēt DRP. Varat arī ierakstīt tasi tējas DRP. Nopietni. Saskaņā ar statistiku daudzi negadījumi no nepatīkamiem kļūst par katastrofāliem tādēļ, ka darbinieki panikā steidzas kaut ko labot, vienlaikus nogalinot vienīgo dzīvo mezglu ar datiem vai beidzot pabeidzot kopu. Parasti 5 minūtes ar tasi tējas dos jums laiku nomierināties un analizēt notiekošo.

Nejauciet DRP un sistēmas pasi! Nepārslogojiet to ar nevajadzīgiem datiem. Vienkārši dodiet iespēju ātri un ērti izmantot hipersaites, lai pārietu uz vajadzīgo dokumentācijas sadaļu un paplašinātā formātā lasītu par nepieciešamajām pakalpojuma arhitektūras sadaļām. Un pašā DRP ir tikai tiešas instrukcijas par to, kur un kā izveidot savienojumu ar īpašām kopēšanas-ielīmēšanas komandām.

Kā pareizi pārbaudīt

Pārliecinieties, vai jebkurš atbildīgais darbinieks spēj nokomplektēt visus priekšmetus. Izšķirīgākajā brīdī var izrādīties, ka inženierim nav tiesību piekļūt vajadzīgajai sistēmai, vajadzīgajam kontam nav paroļu vai arī viņam nav ne jausmas, ko “Izveidojiet savienojumu ar pakalpojumu pārvaldības konsoli caur starpniekserveri galvenais birojs” nozīmē. Katram punktam jābūt ļoti vienkāršam.

Nepareizi - “Dodieties uz virtualizāciju un pārstartējiet mirušo mezglu”
Pareizi - "Izveidojiet savienojumu, izmantojot tīmekļa saskarni ar virt.example.com, mezglu sadaļā atsāknējiet mezglu, kas izraisa kļūdu."

Izvairieties no neskaidrībām. Atcerieties nobiedēto praktikantu.

Noteikti pārbaudiet DRP. Tas nav tikai izrādes plāns – tas ļaus jums un jūsu klientiem ātri izkļūt no kritiskās situācijas. Vislabāk to darīt vairākas reizes:

• Viens eksperts un vairāki praktikanti strādā uz pārbaudes stenda, kas pēc iespējas vairāk simulē reālu pakalpojumu. Eksperts dažādos veidos pārtrauc pakalpojumu un dod iespēju praktikantiem to atjaunot atbilstoši DRP. Visas problēmas, dokumentācijas neskaidrības un kļūdas tiek reģistrētas. Pēc praktikantu apmācības DRP tiek paplašināts un vienkāršots neskaidrās jomās.
• Testēšana reālā servisā. Patiesībā jūs nekad nevarat izveidot perfektu reāla pakalpojuma kopiju. Tāpēc pāris reizes gadā regulāri jāatslēdz daži serveri, jāpārtrauc savienojumi un jāizraisa citas katastrofas no draudu saraksta, lai novērtētu atkopšanas procedūru. Plānota kļūme 10 minūtes nakts vidū ir labāka nekā pēkšņa kļūme vairākas stundas maksimālās slodzes laikā ar datu zudumu.
• Īsta problēmu novēršana. Jā, arī šī ir daļa no testēšanas. Ja notiek negadījums, kas nebija draudu sarakstā, ir nepieciešams papildināt un pabeigt DRP, pamatojoties uz tā izmeklēšanas rezultātiem.

Galvenie punkti

1. Ja var notikt sūdi, tas ne tikai notiks, bet tas notiks pēc iespējas katastrofālākā scenārija.
2. Pārliecinieties, vai jums ir resursi ārkārtas slodzes pārsūtīšanai.
3. Pārliecinieties, vai jums ir dublējumkopijas, tās tiek automātiski izveidotas un regulāri tiek pārbaudītas, lai nodrošinātu konsekvenci.
4. Pārdomājiet tipiskus draudu scenārijus.
5. Dodiet inženieriem iespēju piedāvāt nestandarta iespējas pakalpojuma sniegšanai.
6. DRP ir jābūt vienkāršai un strupai instrukcijai. Visa kompleksā diagnostika tiek veikta tikai pēc klientu apkalpošanas atjaunošanas. Pat ja ar rezerves jaudu.
7. Norādiet galvenos tālruņu numurus un kontaktpersonas DRP.
8. Regulāri pārbaudiet darbinieku izpratni par DRP.
9. Sakārtot plānotos nelaimes gadījumus ražotnēs. Statīvi nevar aizstāt visu.

Avots: www.habr.com