Arquitetura e infraestrutura de datacenter

Os datacenters da Microsoft foram concebidos para implementar uma estratégia de defesa em profundidade, empregando várias camadas de salvaguardas para proteger de forma fiável a nossa arquitetura da cloud e suportar infraestruturas. A redundância está incorporada em todos os sistemas a vários níveis para suportar a disponibilidade do datacenter.

A Microsoft tem instalações de datacenters altamente seguras espalhadas por todo o mundo, criando uma infraestrutura de datacenter distribuída, suportando milhares de serviços online. Esta infraestrutura distribuída globalmente foi concebida para aproximar as aplicações dos utilizadores, preservar a residência dos dados e oferecer opções abrangentes de conformidade e resiliência para os clientes.

As regiões são conjuntos de datacenters que estão interligados através de uma rede maciça e resiliente. As regiões estão organizadas em geografias, concedendo aos clientes uma residência de dados específica e a conformidade precisa da capacidade de manter os seus dados e aplicações próximos. A tolerância a falhas incorporada permite que as geografias resistam a uma falha total da região através da ligação à infraestrutura de rede dedicada e de alta capacidade.

As localizações fisicamente separadas numa região são referidas como zonas de disponibilidade, sendo cada uma composta por um ou mais datacenters equipados com energia, refrigeração e rede independentes. As zonas de disponibilidade permitem que as aplicações fundamentais para a atividade funcionem com elevada disponibilidade e replicação de baixa latência.

A figura seguinte mostra como a infraestrutura global emparelha a região e as zonas de disponibilidade dentro do mesmo limite de residência dos dados para elevada disponibilidade, recuperação após desastre e cópia de segurança.

Os datacenters distribuídos geograficamente permitem à Microsoft aproximar os serviços dos clientes, reduzir a latência de rede e permitir a cópia de segurança e a ativação pós-falha georredundantes.

Disponibilidade

Os datacenters da Microsoft foram concebidos para fornecer 99,999% de disponibilidade para satisfazer as necessidades de serviço e SLAs do cliente. A Microsoft investe significativamente nas operações globais, na gestão, nas redes e na sustentabilidade das instalações que fornecem serviços 24x7x365.

Padrões e Requisitos de Conformidade

A Microsoft investiu mais de 15 mil milhões de dólares na construção da nossa infraestrutura global e mais de 9 mil milhões de dólares em investigação e desenvolvimento para aumentar a eficiência e impulsionar a inovação. Como resultado, os datacenters da Microsoft estão a evoluir a um ritmo mais rápido do que muitas instalações do setor, pelo que não seguem os requisitos prescritivos descritos pelas normas tradicionais do datacenter. Para além da grande quantidade de informações operacionais fornecidas com a execução de um dos maiores portefólios de datacenters do mundo, a Microsoft utiliza dados do IEEE Gold Book e software de simulação de fiabilidade de terceiros para melhorar continuamente os nossos padrões de design de datacenters. Os datacenters da Microsoft são amplamente auditados como parte de várias auditorias regulamentares, conforme indicado no portefólio de conformidade. O nível de maturidade nos datacenters da Microsoft pode ser avaliado através do portefólio de conformidade e, especificamente, da certificação ISO 22301.

Embora a Microsoft opere programas em conformidade com o espírito da Infraestrutura de Telecomunicações ANSI/TIA-942 dos Datacenters Standard, partes desta norma não são aplicáveis à Microsoft ou entram em conflito com outros requisitos específicos regulamentares e/ou de país/região. Além disso, a Microsoft optou por utilizar uma abordagem mais baseada no desempenho para corresponder às necessidades dos clientes.

Redundância de dados e de rede

Instalações críticas de datacenter empregam várias camadas de sistemas redundantes para sustentar falhas e minimizar interrupções de serviço. O armazenamento com redundância local no nível do disco protege os dados em uma região, com armazenamento com redundância geográfica fornecendo redundância dentro da região. Para garantir comunicações de rede confiáveis, a Microsoft possui e utiliza diversas rotas de fibra e hardware redundante para proteger componentes críticos contra falhas ou interrupções de serviço.

A georreplicação é utilizada para fornecer redundância a localizações geográficas alternativas. A durabilidade dos dados é obtida através da replicação síncrona de dados em várias bases de dados em datacenters diferentes. Os testes de restauro são realizados para todos os dados de cópia de segurança pertencentes à cloud. A Recuperação Após Desastre é obtida através da replicação assíncrona para um datacenter numa região geográfica diferente.

Capacidade

As Operações da Cloud são uma equipa de capacidade dedicada que prevê requisitos futuros para garantir que a capacidade necessária é estruturada e disponível para utilização interna e do cliente. Os sistemas são monitorizados para garantir um desempenho aceitável do serviço, disponibilidade, utilização do serviço, utilização do armazenamento, latência de rede e capacidade de registo de auditoria. A Microsoft também protege os datacenters contra os efeitos de ataques denial-of-service à largura de banda, capacidade transacional e capacidade de armazenamento.

Todas as equipas de serviços incluem o planeamento de capacidade como uma funcionalidade fundamental dos respetivos modelos de datacenter e planos de replicação de dados para garantir que existe capacidade necessária para o processamento de informações, telecomunicações e suporte ambiental.

Power

Os datacenters da Microsoft têm fontes de alimentação ininterruptas (UPSs) dedicadas 24 x 7 e suporte de energia de emergência, que inclui geradores no local que fornecem energia de cópia de segurança. A manutenção planejada e os testes são realizados nas UPS e nos geradores, e as equipes de operação têm acordos contratuais com fornecedores locais para fornecimento de combustível de emergência. Os datacenters também têm uma Central de Operações da Instalação, dedicado a monitorar os sistemas de energia, incluindo componentes elétricos essenciais.

Os datacenters da Microsoft estão equipados com espaços de proteção e etiquetagem adequada para cabos. O equipamento de infra-estrutura de energia é colocado em ambientes que foram concebidos para proteger contra riscos ambientais. Todos os bens de serviços online portáteis têm de ser bloqueados ou bloqueados para fornecer proteção contra roubos ou danos causados pelo movimento. Os cabos de alimentação são executados por baixo do chão, por cima nos tabuleiros dos cabos e nos armários para proteção contra peças móveis e danos acidentais. Todos os espaços elétricos estão protegidos por card leitores ou bloqueios de teclas adicionais, conforme adequado. Corredores de acesso, entradas exteriores e estaleiros de equipamento são monitorizados através de videovigilância. Os sistemas de energia também utilizam a redundância como forma de proteção, com vários feeds de energia/utilitários para as instalações e geradores e sistemas UPS.

É implementada uma fonte de alimentação alternativa a longo prazo para o sistema de informações que é capaz de manter a energia numa capacidade operacional mínimamente necessária. Quando a energia falha ou desce para um nível de tensão inaceitável, os sistemas UPS entram instantaneamente online. Isto fornece energia suficiente para executar os servidores até que os geradores possam assumir o controlo. Os geradores de emergência fornecem energia de cópia de segurança para interrupções prolongadas, manutenção planeada e podem operar o datacenter com reservas de combustível no local se ocorrer um desastre natural.

Os datacenters da Microsoft (ambos concedidos e totalmente geridos) implementam iluminação de emergência sob a forma de iluminação de emergência aérea em circuitos dedicados apoiados por UPS e sistemas geradores. A iluminação automática de emergência é implementada de acordo com o Código de Segurança De Vida da Associação Nacional de Bombeiros e Proteção (NFPA) ou o código/lei local aplicável. Se a energia do utilitário for perdida, a iluminação de emergência mudará automaticamente para a energia fornecida pelos sistemas UPS e gerador. Os sistemas de iluminação de emergência nos datacenters são submetidos a manutenção de rotina para garantir que permanecem em ordem de funcionamento adequada.

Manutenção

Os procedimentos e a política de manutenção do sistema estão em vigor de acordo com os serviços online da Microsoft, Standard de Segurança Física e Ambiental. Todos os equipamentos e sistemas da Microsoft são mantidos regularmente para garantir a eficiência operacional. A manutenção de qualquer equipamento ou sistema deve ser efetuada de acordo com as recomendações do fabricante, realizada por pessoal autorizado e registada num pedido de manutenção.

Existem duas equipas de recursos que mantêm diferentes tipos de sistemas:

• Equipa de Ambiente Crítico (CE):

  • CE é a equipa que fornece gestão de instalações para sistemas elétricos, mecânicos e físicos que compõem a infraestrutura operacional da instalação. A equipa CE agenda, executa, documenta e revê todas as atividades de manutenção realizadas em componentes CE. Os datacenters da Microsoft dependem de um sistema informatizado para gerir agendas de manutenção e encomendas de trabalho.
  • Datacenter gestão (DCM) é responsável por toda a manutenção CE efetuada no local ou remotamente. A manutenção CE é prescrita em documentos passo a passo necessários denominados Métodos de Procedimento (MOP). Os MOPs são revistos/aprovados pela gestão do datacenter antes de qualquer início de trabalho.

• Equipa dos Serviços do Site :

  • Os Serviços de Sites são a equipa que fornece a manutenção dos recursos de serviço online da Microsoft localizados no datacenter da Microsoft. A equipa do DC Site Services fornece um serviço de correção mãos/interrupções inteligentes para recursos pertencentes a serviços de aprovisionamento de propriedades do datacenter. Por exemplo, os recursos que necessitam de manutenção física podem pedir um serviço mãos-de-obra inteligentes à equipa do DC Site Services. Todos os Serviços de Site que trabalham em recursos da Microsoft são agendados, executados, documentados e revistos em bilhetes de trabalho na ferramenta de permissões de fluxo de trabalho e não pode ocorrer trabalho sem um pedido de trabalho aprovado.
  • O Gestor de Programas Técnicos (TPM) e a equipa do DCM são responsáveis por todo o trabalho dos Serviços de Site que ocorre no datacenter e pelo trabalho que requer que o recurso seja transferido para fora do local. A manutenção dos Serviços de Site é efetuada em áreas do datacenter que são controladas e protegidas por mecanismos de segurança físicos.

Se os componentes CE tiverem de ser removidos da instalação, o processamento do equipamento é aprovado pelo DCM. Na maioria dos casos, os componentes CE recebem manutenção no local e não são removidos das instalações. Os recursos de propriedade (por exemplo, dispositivos de rede ou servidores) que exijam a transferência fora do local têm de ter aprovação explícita do proprietário do recurso.

Os meios digitais na cloud podem não ser transportados do espaço de colocalização, a menos que sejam movidos para serem destruídos. Quando estes bens devem ser destruídos, são armazenados em caixotes de armazenamento bloqueados que estão sob cobertura da câmara CCTV. Quando os recursos estiverem prontos para serem destruídos, um oficial de segurança físico e um funcionário a tempo inteiro da Microsoft da Gestão de Recursos têm de escoltar o contentor bloqueado do espaço de colocalização para onde o trituração no local deve ocorrer. À medida que a trituração ocorre no datacenter e sob supervisão da Microsoft, os recursos da Microsoft não saem das áreas controladas do datacenter.

Todos os trabalhos de manutenção têm de ser aprovados antes do início do trabalho, incluindo o acesso às ferramentas de manutenção do sistema. A Infraestrutura da Microsoft implementou o controlo das ferramentas de manutenção ao criar um nível de acesso na Ferramenta de Acesso Datacenter (DCAT). Cada instalação contém uma caixa de bloqueio física restrita ou uma sala controlada pelo acesso para o armazenamento de ferramentas de manutenção especializadas. O acesso à caixa de bloqueio ou sala de armazenamento é controlado na ferramenta DCAT para proibir o acesso não autorizado às ferramentas de manutenção. Este programa garante que apenas o pessoal com acesso aprovado pode aceder às ferramentas. A equipa dos Serviços de Sites efetua verificações de inventário de rotina para verificar a status de todas as ferramentas. Trimestralmente, a equipa de gestão do datacenter e as equipas de segurança física efetuam auditorias à lista de acesso do DCAT para manter a lista de acesso do pessoal de manutenção atualizada. As terminações ou transferências de pessoal refletem-se imediatamente através de uma atualização manual da lista de acesso. O acesso à caixa de bloqueio ou à sala de armazenamento de manutenção é controlado nos registos do leitor do distintivo de acesso, que estão disponíveis para quaisquer investigações.

A equipa dos Serviços de Site mantém um inventário das ferramentas de manutenção aprovadas para utilização no datacenter. O pessoal de manutenção é direcionado para utilizar as ferramentas de manutenção fornecidas. Datacenter Management (DCM) é necessária para utilizar ferramentas não fornecidas pelo datacenter. As ferramentas físicas estão isentas deste tipo de controlo.

Os datacenters da Microsoft mantêm o pessoal de manutenção residente para suportar sistemas de infraestrutura de datacenters críticos (a equipa de Ambiente Crítico) e operações de datacenter (a equipa dos Serviços do Site). As equipas de Ambiente Crítico e Serviços de Site identificaram componentes críticos do sistema de segurança e tecnologia que mantêm sobressalentes para o local. Os serviços do sistema de informações críticas são aprovisionados a partir de mais de um datacenter para evitar uma interrupção no serviço devido a um incidente num dos datacenters.