logo

Цифровая крепость: что происходит за кулисами банка, когда гаснет свет

Фото: предоставлено партнером публикации

Представьте картину: из-за аварии центральный офис крупного банка вместе с критичными ИТ-системами погружается во тьму.

Выключаются экраны в операционном зале, замирают банкоматы, гаснет приветственная вывеска. Первая реакция клиента в такой ситуации — легкий укол паники. «Что с моими деньгами? Мобильное приложение тоже «упало»? Если серверы обесточены, не сотрутся ли данные о моем счете?»

Сегодня деньги — это распределенный поток битов и транзакций. И если бы банковская система была защищена так же, как обычный офис, первый же серьезный городской блэкаут вызвал бы финансовый коллапс.

Давайте разберем техническую анатомию того, как банк выдерживает удар при полном отключении внешнего энергоснабжения, и почему внезапная темнота в офисе — это лишь триггер для запуска сложнейшего инженерного сценария.

Что на самом деле отключается при аварии: каскадный эффект

Фото: предоставлено партнером публикации

В масштабах банковского ЦОД (Центра обработки данных) простое отключение питания — это лишь верхушка айсберга. Мгновенно запускается опасная цепочка технологических последствий.

  • Остановка вычислительных узлов и СХД: При внезапном исчезновении напряжения в сетях хранения данных (SAN) и на серверах оперативной памяти прерываются текущие транзакции.
  • Термический шок (деградация охлаждения): Современные высокоплотные серверные стойки выделяют колоссальное количество тепла. Если прерывается работа чиллеров и систем кондиционирования, температура в машзале начинает критически расти. Без охлаждения процессоры современных серверов уходят в аварийное отключение.
  • Изоляция сетевого периметра: Падение питания на магистральных маршрутизаторах, межсетевых экранах и телекоммуникационных узлах означает мгновенную изоляцию банка. Он теряет связь со шлюзами платежных систем, ЦБ и собственными мобильными сервисами.
  • Риск логического повреждения данных: Если питание пропадает в момент записи в базу данных, возникает нарушение целостности (data corruption). Восстановление поврежденных таблиц может занять время.

Поэтому главная задача инженерных систем — не просто возобновить питание, а гарантировать, что критическое оборудование вообще не заметит перепада напряжения.

Первый круг защиты: ИБП как буфер энергии и качества

Когда городская сеть «ложится», первыми в бой вступают источники бесперебойного питания (ИБП). Их задача — выступать высокоскоростным буфером времени и фильтром качества электроэнергии.

Архитектура мгновенного реагирования

Надежный дата-центр часто имеет как минимум два независимых ввода электропитания от разных городских подстанций. Переключением между ними управляет АВР (автоматический ввод резерва) через распределительные щиты. Но даже для самого быстрого автомата потребуются доли секунды, чтобы переключиться — для чувствительной микроэлектроники серверов это вечность, способная вызвать перезагрузку.

Здесь и работают ИБП, построенные по схеме двойного преобразования. Они непрерывно трансформируют переменный ток из сети в постоянный (для питания инвертора и зарядки батарей), а затем обратно в переменный ток с чистой синусоидой, подходящий для серверов. При аварии на линии время переключения на аккумуляторы отсутствует как таковое: они изначально подключены к цепи, поэтому переход на автономную работу происходит бесшовно и без малейшей задержки.

Например, в Екатеринбурге в головном офисе Сбербанка установлены модульные ИБП двойного преобразования суммарной мощностью более 3 мегаватт от российского бренда «ИМПУЛЬС».

Фото: предоставлено партнером публикации

Принципы резервирования и тесты

Ёмкость аккумуляторных батарей ИБП обычно рассчитана на непродолжительное время автономной работы — от нескольких минут до нескольких десятков минут. Этого достаточно, чтобы дождаться запуска дизель-генераторной установки или корректно завершить работу защищаемого оборудования.

Чтобы система отработала штатно, инфраструктура строится на жестких принципах резервирования:

  • N+1: К необходимому числу модулей питания ($N$) всегда добавлен один резервный на случай отказа.
  • 2N: Полное дублирование всей цепочки питания. К каждой критически важной серверной стойке подходят две независимые трассы от разных ИБП.

Инженеры банка регулярно проводят плановые тесты под реальной нагрузкой. Специальные нагрузочные модули имитируют пиковое потребление дата-центра, проверяя каждый аккумуляторный элемент на способность выдать проектную мощность.

Второй круг защиты: ДГУ — персональная электростанция

Если ИБП — это тактический щит, то дизель-генераторные установки (ДГУ) — стратегический арсенал. Именно они превращают обесточенный дата-центр в полностью автономный остров.

Как только автоматика фиксирует пропажу внешнего питания, на ДГУ подается команда на запуск. В течение 30–60 секунд двигатели запускаются, выходят на номинальные обороты, а генераторы начинают вырабатывать электроэнергию для питания дата-центра.

В этот момент автомат ввода резерва (АВР) переключает нагрузку с батарей ИБП на генераторы. Все процессы происходят автоматически, без участия персонала. Продолжительность автономной работы ДГУ определяется запасом топлива и обычно составляет от 24 до 72 часов без дозаправки.

Третий круг защиты: топология катастрофоустойчивости

Даже самый защищенный ЦОД с идеальными ИБП и ДГУ уязвим перед масштабными катаклизмами (например, техногенная авария на городском коллекторе или наводнение). Поэтому зрелая ИТ-архитектура банка никогда не завязана на одно здание, она строится как распределенная сеть.

Современный банк распределяет свои мощности по нескольким площадкам:

  1. Основной ЦОД: Обрабатывает текущие операции в штатном режиме.
  2. Резервный ЦОД: Находится в другом районе/городе, имеет дублирующую инфраструктуру.
  3. Географически удаленный ЦОД: Располагается в другом регионе, чтобы исключить влияние региональных блэкаутов.

Для связи между площадками используются резервированные каналы, проложенные по независимым маршрутам и зачастую обслуживаемые разными операторами связи.

Резервная копия vs Реальное восстановление

В профессиональной среде инженеров есть жесткое правило: наличие бэкапа не означает, что сервис можно поднять. Резервная копия, хранящаяся на диске — это лишь половина дела.

Критически важны два параметра:

  • RPO (Recovery Point Objective): Допустимый объем потери данных. Для платежей и балансовых операций он должен стремиться к нулю (нельзя «потерять» транзакции за последние 5 минут).
  • RTO (Recovery Time Objective): Время, за которое сервис вернется к жизни.

Настоящая катастрофоустойчивость — это когда банк не просто хранит архивы, а регулярно тренируется переключать продуктивную ИТ-среду с одной площадки на другую «на лету», доказывая, что план восстановления работоспособен.

Заключение

Современная банковская инфраструктура строится не вокруг одного дата-центра, а как распределённая система с несколькими уровнями резервирования. Источники бесперебойного питания, дизель-генераторные установки, резервные каналы связи и дублирующие площадки позволяют поддерживать работу сервисов даже при отказе отдельных компонентов или целых объектов.

Если на одной площадке происходит авария, критически важные системы продолжают работу за счёт резервной инфраструктуры. Такие сценарии заранее проектируются, регулярно тестируются и контролируются с помощью показателей доступности и непрерывности бизнеса.

Пока отказ предусмотрен архитектурой, протестирован процедурами восстановления и укладывается в допустимые параметры RPO/RTO, клиентские данные и критичные операции остаются защищенными.

Реклама. ООО «Системотехника», ИНН 7743857750, erid: F7NfYUJCUneVcxXzZv1p