Gdy ludzie wewnątrz firmy rozmawiają szczerymi słowami o kopii zapasowej i odzyskiwaniu po katastrofie, rzadko wygląda to jak czysta dyskusja techniczna. Wydaje się emocjonalne, nawet jeśli nikt nie mówi tego głośno. Zawsze pod powierzchnią pojawia się cichy strach, strach, że gdy coś naprawdę złego się wydarzy, plan odzyskiwania będzie wyglądał dobrze na papierze, ale rozpadnie się w rzeczywistości. Widziałem ten strach po incydentach z ransomware, awariach chmury regionalnej i prostych błędach ludzkich, które miały skutki znacznie większe, niż ktoś mógł przewidzieć. Walrus wchodzi w tę rozmowę nie jako błyszcząca alternatywa dla wszystkiego, co zespoły już używają, ale jako odpowiedź na ten strach. Był stworzony z założenia, że systemy mogą się zawieść w chaotyczny sposób, że nie wszystko będzie dostępne jednocześnie i że odzyskiwanie musi działać nawet wtedy, gdy warunki są dalekie od optymalnych.
W swojej istocie Walrus jest zdecentralizowanym systemem przechowywania zaprojektowanym specjalnie dla dużych ilości danych, na których przedsiębiorstwa polegają podczas zdarzeń odzyskiwania. Zamiast przechowywać całe kopie zapasowe w kilku zaufanych lokalizacjach, Walrus dzieli dane na wiele kodowanych fragmentów i rozdziela te fragmenty w szerokiej sieci niezależnych węzłów przechowywania. Idea jest prosta, ale potężna. Nie musisz, aby każdy fragment przetrwał, aby odzyskać dane. Potrzebujesz tylko wystarczającej liczby z nich. To zmienia cały sposób myślenia o tworzeniu kopii zapasowych i odzyskiwaniu po katastrofach, ponieważ usuwa delikatne założenie, że konkretne lokalizacje lub dostawcy muszą pozostać nienaruszone, aby odzyskiwanie się powiodło.
Walrus został zbudowany w ten sposób, ponieważ natura danych i awarii się zmieniła. Przedsiębiorstwa teraz polegają na ogromnych ilościach niestrukturalnych danych, takich jak migawki maszyn wirtualnych, eksporty baz danych, zestawy danych analitycznych, rekordy zgodności i artefakty uczenia maszynowego. To nie są pliki, które można łatwo lub szybko odtworzyć. W tym samym czasie awarie stały się bardziej zamierzone. Napastnicy najpierw celują w kopie zapasowe. Przerwy w działaniu coraz częściej obejmują całe regiony lub usługi. Nawet zaufani dostawcy mogą stać się niedostępni bez ostrzeżenia. Walrus nie próbuje eliminować tych ryzyk. Zamiast tego zakłada, że będą miały miejsce i projektuje wokół nich, koncentrując się na trwałości i dostępności w stresie, a nie w idealnych warunkach operacyjnych.
W rzeczywistym przepływie pracy związanym z tworzeniem kopii zapasowych w przedsiębiorstwie, Walrus pasuje najbardziej naturalnie jako wysoce odporny poziom przechowywania dla krytycznych danych do odzyskiwania. Proces zaczyna się długo przed przesłaniem jakichkolwiek danych. Zespoły muszą zdecydować, co naprawdę musi być możliwe do odzyskania i w jakich okolicznościach. Ile utraty danych jest akceptowalne, jak szybko systemy muszą wrócić i jakiego rodzaju katastrofa jest planowana. Walrus błyszczy, gdy jest używany do danych, które muszą przetrwać najgorsze scenariusze, a nie codzienne wszelkie trudności. Kiedy ta decyzja zostanie podjęta, kopie zapasowe są generowane jak zwykle, ale zamiast być kopiowane wielokrotnie, są kodowane. Walrus przekształca każdą kopię zapasową w wiele mniejszych fragmentów, które są matematycznie powiązane. Żaden pojedynczy fragment nie ujawnia oryginalnych danych, a żaden z nich nie musi przetrwać samodzielnie.
Te fragmenty są następnie rozdzielane na wiele węzłów przechowywania, które są prowadzone niezależnie. Nie ma jednego centrum danych, jednego dostawcy chmury ani jednej organizacji, która posiadałaby wszystkie elementy. Wspólna warstwa koordynacji śledzi, gdzie fragmenty są przechowywane, jak długo muszą być przechowywane i jak zobowiązania dotyczące przechowywania są egzekwowane. Z perspektywy przedsiębiorstwa wprowadza to formę odporności, którą trudno osiągnąć za pomocą tradycyjnego scentralizowanego przechowywania. Awaria w jednym miejscu nie prowadzi automatycznie do utraty danych. Odzyskanie staje się pytaniem o ogólną kondycję sieci, a nie o status jakiegokolwiek pojedynczego komponentu.
Jednym z bardziej subtelnych, ale ważnych aspektów Walrus jest to, jak traktuje zachęty jako część niezawodności. Operatorzy przechowywania są zobowiązani do angażowania zasobów i zachowywania się poprawnie, aby móc uczestniczyć. Niezawodne zachowanie jest nagradzane, podczas gdy długotrwała niestabilność staje się kosztowna. To nie gwarantuje doskonałości, ale zniechęca do zaniedbania i cichej degradacji w czasie. W tradycyjnym przechowywaniu kopii zapasowych problemy często gromadzą się w ciszy, aż do momentu, gdy odzyskiwanie jest potrzebne. Walrus jest zaprojektowany, aby ujawniać i naprawiać te problemy wcześniej, co bezpośrednio poprawia pewność w długoterminowej możliwości odzyskania.
Kiedy odzyskiwanie jest naprawdę potrzebne, Walrus pokazuje swoją prawdziwą wartość. System nie czeka na to, aby każdy węzeł był zdrowy. Rozpoczyna rekonstrukcję, gdy tylko wystarczająca liczba fragmentów jest osiągalna. Niektóre węzły mogą być offline. Niektóre sieci mogą być wolne lub przeciążone. To jest oczekiwane. Odzyskiwanie trwa mimo to. To ściśle odpowiada temu, jak rzeczywiste incydenty się rozwijają. Zespoły rzadko pracują w spokojnych, kontrolowanych środowiskach podczas katastrof. Pracują z częściowymi informacjami, uszkodzonymi systemami i intensywnym naciskiem. System odzyskiwania, który oczekuje idealnych warunków, staje się zobowiązaniem. Walrus jest zbudowany, aby działać z tym, co jest dostępne, a nie z tym, co jest idealne.
Zmiana jest traktowana jako normalna, a nie wyjątkowa. Węzły przechowywania mogą dołączać lub opuszczać. Odpowiedzialności mogą się zmieniać. Aktualizacje mogą odbywać się bez zamrażania całego systemu. To ma znaczenie, ponieważ systemy odzyskiwania muszą pozostawać użyteczne nawet podczas ewolucji infrastruktury. Katastrofy nie szanują okien konserwacyjnych, a każdy system, który wymaga długotrwałej stabilności do działania, prawdopodobnie zawiedzie, gdy będzie najbardziej potrzebny.
W praktyce przedsiębiorstwa zazwyczaj przyjmują Walrus stopniowo. Często zaczynają od niezmiennych kopii zapasowych, długoterminowych archiwów lub wtórnych kopii do odzyskiwania, a nie od głównych danych produkcyjnych. Dane są szyfrowane przed przechowaniem, identyfikatory są śledzone wewnętrznie, a procedury przywracania są regularnie testowane. Zaufanie buduje się powoli, nie z dokumentacji lub obietnic, ale z doświadczenia. Zespoły zyskują pewność, widząc dane przywrócone pomyślnie w niedoskonałych warunkach. Z czasem Walrus staje się warstwą, na której polegają, gdy potrzebują zapewnienia, że dane nadal będą istnieć, nawet jeśli wiele warstw infrastruktury zawiedzie razem.
Są techniczne wybory, które cicho kształtują sukces. Parametry kodowania erasure mają znaczenie, ponieważ określają, ile awarii można tolerować i jak szybko ryzyko się gromadzi, jeśli naprawy są opóźnione. Monitorowanie dostępności fragmentów i aktywności napraw staje się ważniejsze niż po prostu śledzenie, jak dużo przestrzeni dyskowej jest używane. Przejrzystość w warstwie kontrolnej jest cenna dla audytów i zarządzania, ale wiele przedsiębiorstw decyduje się na ukrycie tej złożoności za pomocą usług wewnętrznych, aby operatorzy mogli pracować z znanymi narzędziami. Kompatybilność z istniejącymi przepływami pracy związanymi z tworzeniem kopii zapasowych również ma znaczenie. Systemy odnoszą sukcesy, gdy gładko integrują się w to, co zespoły już prowadzą, zamiast wymuszać zakłócające zmiany.
Najważniejsze metryki nie są abstrakcyjnymi procentami czasu działania. To te, które odpowiadają na bardzo ludzkie pytanie. Czy odzyskiwanie zadziała, gdy jesteśmy zmęczeni, zestresowani i pod presją. Marginesy dostępności fragmentów, zaległości w naprawach, przepustowość przywracania pod obciążeniem i czas do pierwszego bajta podczas odzyskiwania dają znacznie bardziej znaczące sygnały niż wypolerowane pulpity nawigacyjne. Jednocześnie zespoły muszą być szczere w kwestii ryzyk. Walrus nie usuwa odpowiedzialności. Dane muszą być nadal odpowiednio szyfrowane. Klucze szyfrowania muszą być chronione i możliwe do odzyskania. Utrata kluczy może być równie katastrofalna, jak utrata samych danych.
Są także dynamiki ekonomiczne i zarządzania, które należy wziąć pod uwagę. Systemy zdecentralizowane ewoluują. Zachęty się zmieniają. Protokoły dojrzewają. Zdrowe organizacje planują to, dywersyfikując strategie odzyskiwania, unikając nadmiernej zależności od jakiegokolwiek pojedynczego systemu i regularnie weryfikując, że dane mogą być przywrócone lub przeniesione w razie potrzeby. Dojrzałość operacyjna poprawia się z czasem, ale cierpliwość i stopniowe przyjmowanie są niezbędne. Pewność pochodzi z powtarzalności i dowodów, a nie z optymizmu.
Patrząc w przyszłość, Walrus prawdopodobnie stanie się cichszy, a nie głośniejszy. W miarę poprawy narzędzi i pogłębiania integracji, będzie odczuwany mniej jako technologia eksperymentalna, a bardziej jako niezawodna podstawa pod znane systemy. W świecie, w którym awarie stają się coraz większe, bardziej powiązane i mniej przewidywalne, systemy, które zakładają przeciwności, wydają się dziwnie uspokajające. Walrus pasuje do tej przyszłości, nie obiecując bezpieczeństwa, ale redukując liczbę rzeczy, które muszą pójść dobrze, aby odzyskiwanie się powiodło.
Na koniec, odzyskiwanie po awarii nie dotyczy naprawdę technologii przechowywania. Chodzi o zaufanie. Zaufanie, że gdy wszystko wydaje się niestabilne, wciąż istnieje niezawodna droga powrotu. Kiedy systemy zapasowe są projektowane z pokorą, zakładając awarię zamiast jej zaprzeczać, to zaufanie rośnie naturalnie. Walrus nie eliminuje strachu, ale przekształca go w coś zarządzalnego, a czasami ta cicha pewność jest dokładnie tym, czego zespoły potrzebują, aby nadal iść naprzód, nawet gdy grunt wydaje się niepewny pod nimi.
