2021年夏、Rubrikは当社初のSaaSベースの自動ディザスタリカバリ(DR)ソリューション、Orchestrated Application Recoveryを正式リリースしました。Orchestrated Application Recoveryは新しいバイナリのインストールも、さまざまなベンダー製品間の統合も必要とせず、とても簡単に利用できます。本サービスのサブスクリプション契約を行い、ブループリントを定義すれば、すべて準備完了です。わずか2クリックでローカル(インプレース)リカバリやフェイルオーバーテスト、本番フェイルオーバーなどを開始できます。
この記事では、要求水準の高いDR機能を取り上げて深く掘り下げ、同時にOrchestrated Application Recoveryによって、ほぼゼロのRPOとRTOをどのように達成できるかについて解説していきます。
RPOとRTOについて
目標復旧時点(RPO)と目標復旧時間(RTO)はデータ保護計画やディザスタリカバリ戦略において、最も重要な2つの指標です。企業にとっては、これらの指標はアプリケーションやデータの可用性に関わるサービスレベル合意(SLA)の達成に極めて重要となります。2つの用語はとても似ていますが、RPOとRTOが使用される目的はまったく異なっています。
目標復旧時点 = データ損失
RPOは明らかな損害が企業に発生する前に、アプリケーションに起こり得るデータ損失の最大許容量を表します。別の言い方をすれば、RPOは災害発生時に、アプリケーションを復元できる時点のことです。
目標復旧時間 = ダウンタイム
RTOは明らかな損害が企業に発生する前に、アプリケーションに起こるダウンタイムがどの程度かを表します。別の言い方をすれば、RTOは災害発生時に、データやアプリケーションを復元するのにかかる時間のことです。
RPOとRTOはともに、企業や組織の事業継続に直接の影響を持ちます。
継続的データ保護
RPOとRTOがデータ保護とディザスタリカバリにとって、どのような意味を持つかを説明しました。DR担当者の主要な目標はデータ損失とダウンタイムをできる限り最小限に抑えることです。スナップショット技術は進化し、個別の時点(通常2、3時間ごと)でのデータを効果的に保護できるようになっていますが、ミッションクリティカルなアプリケーションにとっては、ごくわずかなデータ損失であってもビジネスに重大な影響を及ぼす可能性があります。事業継続性を確保するには、ミッションクリティカルなアプリケーションにさらに挑戦的なRPOを設定し、データの変更ごとにデータのバックアップと保護を行い、最後に修正された時点への復元を可能とする必要があります。
Rubrik CDM 5.1のリリースでは、VMware認定のネイティブに統合された継続的データ保護(CDP)機能が提供され、VMware環境におけるほぼゼロのRPOを達成できます。これはお客様が自社のデータ保護ポリシーを定義するSLAドメインのシームレスなオプションとして実装されています。Rubrikはジャーナルベースのアプローチを活用して、途切れのない連続した復元ポイントを提供し、障害やランサムウェア攻撃発生時のデータ損失を最小限に抑えることができます。SLAポリシーエンジン内での1クリックで、重要な仮想マシンに対する継続的データ保護を有効にできます。別のポイントソリューションのインストールや管理の手間はありません。
データの最初のフルバックアップを作成した後、CDPはバックグラウンドで稼働し、その後の規定のタイムフレーム内のすべてのディスク変更を記録し、それをジャーナルファイルに保存します。障害までのすべての変更を記録しておくことで、ログを調査し、システムを容易に希望する時点までロールバックすることができます。 変更を継続的に自動記録することで、前回のバックアップ時点にリストアする他のバックアップ手法より、はるかにきめ細かなレベルでの柔軟なデータ復元が可能となります。
Rubrik CDM 5.3および2021年夏の本製品リリースにより、CDPサービスはさらに強化され、以下をサポートしています。
1. 中断後のスナップショット不要の自動復元(「CDP Resync」とも)。この画期的なテクノロジーにより、同期されていない状態からのVM復旧において、さらに強化されたレジリエンスを獲得し、ダウンタイムをできる限り抑えられます。
2. 保持期間を4時間から24時間に延長。保持期間が長くなることで、長時間の連続復元ポイント履歴を提供できるだけでなく、スナップショットの取得回数を減らせることで、バックアップワークロードの削減とVMのスタン時間の短縮にもつながります。
利用初日から、Orchestrated Application RecoveryはCDPとシームレスに連携します。Orchestrated Application Recoveryのブループリントを作成する際に、異なるSLAドメインにより保護される仮想マシンを同じブループリントに追加できます。
1. 通常のスナップショットベースのSLAの場合、利用できる復元ポイントは個別のスナップショット取得時点となります。
2. CDP対応のSLAの場合、利用できる復元ポイントは過去24時間の連続した復元期間となります。
デフォルトでは、ブループリントを利用できる最新時点に復元したい場合、保存先の最新の復元ポイントを選択できます(データ損失を最小限に抑えるため)。ただし、Orchestrated Application Recoveryでは、希望するなら、各VMごとに最新ではない古い復元ポイントの選択も可能となっています。CDPが有効ではない場合、最新の利用可能なスナップショットへの復元が可能です。このスナップショットは通常、2、3時間前に取得されています。CDP対応の場合、最新のCDP復元ポイントへの復元が可能です。この復元ポイントは通常、2、3秒前の時点です。
ハイドレーション
DR文脈において、私たちはバックアップやリカバリ、レプリケーションやエクスポートといった専門用語には馴染みがあります。では、ハイドレーションとは? 「ハイドレーション」という用語は文脈ごとに異なる意味を持ちます。一般的には、ハイドレーションとはオブジェクトをデータで満たすプロセスを指します。このオブジェクトはXMLやファイル、DBインスタンス、あるいは仮想マシンのようなDR保護対象のエンティティの場合もあります。ハイドレートされていないオブジェクトでは必要時に全データを満たすのを待つことになり、大幅な遅延を招く恐れがあります。ハイドレーションは通常、パフォーマンス上の理由で行われます。
RubrikのOrchestrated Application Recoveryでは、以下のように、ハイドレーションをバックアッププロセスの逆のプロセスとして見ることができます。
1. バックアップは保護対象のソースオブジェクトからデータを取り込むプロセスです。
2. ハイドレーションは復元対象のターゲットオブジェクトにデータをエクスポートするプロセスです。
Orchestrated Application Recoveryのハイドレーションと従来のエクスポートとの主な違いは前者が差分データ転送に対応している点です。言いかえれば、もしブループリントでハイドレーションが有効になっているなら、ターゲットサイトにフルコピーが転送されるのは初回のみです。その後のデータ転送では常に、増分データが転送されます。最新のスナップショット(またはCDP復元ポイント)以降に変更されたデータのみが転送されることになります。増分のハイドレーションは、テラバイト規模のデータを持つ大規模なブループリントの復旧時間を大幅に短縮します。
Big-O(ビッグ・オー)記法を使って、Orchestrated Application Recoveryのハイドレーションと従来のエクスポートとを比較するとすれば、「時間計算量」は以下のようになります。
Orchestrated Application Recoveryのハイドレーション:O(C)、復元されるオブジェクトのサイズに関わりなく、ほぼ定数時間。ここで、Cはデータチャーン(つまり、前回のスナップショットからの変更)である。
従来のエクスポート:O(N)、線形時間。ここで、Nは復元されるオブジェクトのサイズである。
Orchestrated Application Recoveryのハイドレーションはユーザーの介入なしに自動的に行われます。すべての保護対象オブジェクトはターゲットサイトに差分転送され、予期せぬ災害が発生した場合の復旧準備が整えられます。以下は、ソースとなる本番サイトから、最終的に保存先のリカバリサイトにたどり着くまでのデータの流れを示す、簡易的なアーキテクチャです。
まとめ
賢い企業はデータを保護することの価値を知っています。しかし、データ保護の手法と頻度には数多くの選択肢があります。どのデータ保護ソリューションも最終的な目標は、ソフトウェア障害やデータ破損などの中断後に、できるだけ速やかにデータを復元し、運用を通常状態に復帰させ稼働できるようにすることです。DRソリューションをデプロイする際に、以下の2つの質問をされるかもしれません。
質問1:RPOとRTOをほぼゼロにすることは技術的に可能ですか? RubrikのOrchestrated Application Recoveryなら、答えは「はい」、可能です。
質問2:そうしてもらえますか? それはケースバイケースとなります。
CDPはミッションクリティカルなVMwareワークロードに対する追加の保護レイヤを有効にします。CDPの主要なメリットはほぼゼロの目標復旧時点を実現できることです。つまり、復元が必要な場合に、データ損失の心配がほぼ、あるいはまったくありません。継続的データ保護の機能が常時稼働しているということは、バックアップコピーが絶え間なく最新の状態に更新されているということであり、つまり、データ損失が発生すれば、CDPは事実上、リアルタイムにそのデータを復元できます。
CDPはバックアップソリューションの最重要事項というわけではありません。しかし、そこにはいくつかの考慮すべき課題があります。CDPには高速な性能を持つ物理ディスクストレージが必要なため、コストがかさみます。さらに、CDPはメモリやネットワークリソースへの負荷も増大させます。あらゆる変更やほんのわずかの新規データもリアルタイムでバックアップに保存するため、基本的にデータスループットは2倍となります。さらに、急なバーストに対処するために追加のメモリバッファが必要です。
同様に、Orchestrated Application Recoveryのハイドレーションにも課題があります。ハイドレーションの主なメリットは、ほぼ一定の目標復旧時間(RTO)を達成できることです。また、その増分の性質によりデータが分割転送されるため、フェイルオーバー中の急なネットワーク輻輳も回避できます。一方で、たとえ、リカバリ(テストフェイルオーバーやフェイルオーバー)が数週間や数か月に1度も起こらなくても、ハイドレーションは常にターゲットサイトに追加のディスクスペースを必要とします。
RubrikのOrchestrated Application Recoveryによって、お客様はそれぞれのサービス要件に応じたDRソリューションを構築できる柔軟性を得られます。ミッションクリティカルなアプリケーションには、CDPを利用してデータ損失をほぼゼロにできるようにする一方、通常のワークロードには従来のスナップショットベースのバックアップを利用することもできます。ハイドレーションを利用して、ダウンタイムを最小限に抑える挑戦的な目標を達成することができる一方、従来のエクスポートを利用して、ハイドレーションが必要とする追加スペースを不要にすることもできます。
さらに詳しく
Orchestrated Application Recoveryに興味を持たれた方に、さらに詳しい情報をご案内します。こちらのテクニカルホワイトペーパーで詳細情報をご紹介しています。さらにFORWARDにお申込みいただくと、Rubrikがどのようにして世界中のデータの安全確保を支援しているかをご覧いただけます。