# Cloud Replication: Globale Datenverfügbarkeit & Cross-Region DR
TL;DR / Management Summary Ein Backup in der Cloud ist sicher, solange das Rechenzentrum des Cloud-Providers existiert. Für höchste Sicherheitsansprüche nutzen wir Cloud Replication, um Daten automatisch zwischen verschiedenen geografischen Regionen (z.B. Frankfurt -> Irland) zu spiegeln. Ein Senior Admin konfiguriert Cross-Region Replication (CRR), um sicherzustellen, dass selbst bei einem großflächigen Ausfall eines Cloud-Anbieters in einer Region die Geschäftsfähigkeit innerhalb von Minuten an einem anderen Standort wiederhergestellt werden kann.
# 1. Einführung & Replikations-Typen
Wo spiegeln wir?
- LRS (Locally Redundant Storage): 3 Kopien innerhalb eines Rechenzentrums. (Schutz vor Disk-Ausfall).
- ZRS (Zone Redundant Storage): Spiegelung über 3 Brandabschnitte/Zonen innerhalb einer Stadt. (Schutz vor Gebäudebrand).
- GRS / CRR (Geo / Cross-Region): Spiegelung über Kontinente hinweg. (Schutz vor Naturkatastrophen oder Krieg).
# 2. Einrichtung in der Praxis
Die Synchronisations-Brücke.
# Beispiel: AWS S3 Cross-Region Replication
- Source Bucket in Frankfurt (
eu-central-1). - Destination Bucket in Irland (
eu-west-1). - IAM Role: Erstellen Sie eine Rolle, die der OPNsense/Server erlaubt, Daten zwischen Buckets zu kopieren.
- Replication Rule: Aktivieren Sie die Regel am Source-Bucket. Jede neue Datei wird nun automatisch im Hintergrund nach Irland kopiert.
# 3. Deep Dive: Versioning & Replikation
Den ‘Lösch-Befehl’ nicht replizieren.
Ein großes Risiko: Wenn Ransomware Ihre Dateien in Bucket A löscht, löscht die Replikation diese auch in Bucket B?
- Lösung: Aktivieren Sie Versioning auf beiden Seiten.
- Technik: Wenn in A gelöscht wird, wird in B nur ein “Delete Marker” gesetzt. Die alten Versionen der Daten bleiben in beiden Regionen erhalten und können via Point-in-Time Restore zurückgeholt werden.
# 4. Day-2 Operations: Bandbreite & Kosten
Der Preis der Globalität.
Replikation verdoppelt nicht nur Ihre Speicherkosten, sondern verursacht auch Inter-Region Transfer Fees.
- Optimierung: Replizieren Sie nur die absolut kritischen “Tier 1” Backups (AD, ERP, SQL) geografisch. “Tier 3” (alte ISOs, Temp-Daten) verbleiben im lokalen ZRS.
# 5. Troubleshooting & “War Stories”
Wenn der Sync hakt.
# Top 3 Fehlerbilder
-
Symptom: Objekte werden nicht repliziert.
- Ursache: Das Objekt wurde mit einem KMS-Key (Verschlüsselung) erstellt, den die Replikations-Rolle nicht nutzen darf.
- Lösung: KMS-Berechtigungen im Ziel-Bucket ergänzen.
-
Symptom: Replikations-Lag von mehreren Stunden.
- Ursache: Massiver Upload-Sturm am Quell-Standort. Cloud-Provider priorisieren Kunden-Uploads oft höher als interne Replikationen.
- Lösung: Aktivieren Sie
Replication Time Control (RTC)(AWS Feature) für garantierte Sync-Zeiten (< 15 Min).
-
Symptom: Berechtigungs-Mismatch im Ziel-Bucket.
- Lösung: Haken setzen bei “Change object ownership to destination bucket owner”, damit der Ziel-Admin die Daten auch lesen kann.
# “War Story”: Der “Region-Lockout”
Ein Unternehmen sicherte alles nach us-east-1 (Virginia). Während eines massiven AWS-Ausfalls in dieser Region waren nicht nur die Server weg, sondern auch die Management-Konsole, um die Backups zu erreichen.
Die Rettung: Da sie eine Cross-Region Replication nach us-west-2 (Oregon) aktiv hatten, konnten wir uns über den West-Coast-Endpunkt einloggen und die Server-Images dort sofort in eine neue Infrastruktur hochfahren.
Lehre: Backup-Daten müssen dort liegen, wo die Sonne scheint, wenn es bei Ihnen regnet.
# 6. Monitoring & Reporting
Dashboard der globalen Kopie.
# CloudWatch Replication Metrics
Überwachen Sie:
- Replication Latency: Zeitdifferenz zwischen A und B.
- Pending Operations: Wie viele GB warten noch auf den Transfer?
# 7. Fazit & Empfehlung
Cloud-Replikation ist das ultimative Level der Datensicherung.
- Empfehlung: Nutzen Sie ZRS als Standard und GRS/CRR für Ihre Kronjuwelen (Datenbanken).
- Wichtig: Testen Sie den Zugriff in der Zielregion regelmäßig. Ein Backup, das Sie in Irland nicht öffnen können, bringt Ihnen im Ernstfall nichts.
# Anhang: Cheatsheet (AWS CLI)
| Aufgabe | Befehl |
|---|---|
| Sync-Status prüfen | aws s3api get-bucket-replication --bucket NAME |
| Manuell synchronisieren | aws s3 sync s3://source s3://dest |
| Regionen listen | aws ec2 describe-regions |