Werken met AFAS Online kan alleen indien er een hoge mate van continuïteit, integriteit en betrouwbaarheid van de systemen gewaarborgd is. Vandaar dat AFAS Online de internet verbindingen, de back-ups en datacenters goed geregeld heeft. Bij storingen en calamiteiten moeten de systemen snel weer beschikbaar zijn (RTO) en moet verlies van ingevoerde data (RPO) tot een minimum worden beperkt.

Verbindingen

De datacenters van AFAS Online hebben een hoge mate van betrouwbaarheid m.b.t. de internet verbindingen. Zo zijn er altijd dubbele verbindingen van verschillende leveranciers aanwezig waarbij tevens gelet is op verschillende logistieke leidingen.

Datacenter locaties

AFAS maakt voor het beschikbaar stellen van de applicatie gebruik van twee datacenters in Nederland. Momenteel zijn die gelokaliseerd in Schiphol Rijk en Haarlem. In geval van een ernstige calamiteit in één van de datacenters zal worden uitgeweken naar het andere datacenter. Om risico’s als gevolg van omgevingsfactoren te beperken, zijn deze locaties bewust op ruime afstand van elkaar gekozen. Er is dus sprake van een active-active productie systeem. Bij een calamiteit in het ene datacenter zal de back-up data in het andere datacenter worden gerestored. De verbinding wordt automatisch omgeleid waardoor er een minimale inspanning van de eindgebruiker noodzakelijk is bij een dergelijke calamiteit.

Back-up en restore

Alle ingevoerde gegevens (ook inrichting) wordt bij AFAS Online gerepliceerd naar het andere datacenter. Eén maal per etmaal wordt een complete back-up van de gegevens opgeslagen in het andere datacenter en 30 dagen bewaard. Na 30 dagen zijn verwijderde gegevens dus definitief verwijderd. Naast de opslag van de back-up in het andere datacenter wordt deze extra opgeslagen op een 3e locatie die los staat van het AFAS Online netwerk.  

Het restoren van een back-up bij AFAS Online wordt op regelmatige basis uitgevoerd. De back-up wordt niet alleen gebruikt in geval van een (technische) storing, maar ook als er een aanvraag van een klant is die zelf onderzoek wil doen in gegevens van een eerder moment.

RPO/RTO

In het geval van een complete uitval van een datacenter zijn er geen compute resources meer beschikbaar. Dit treft dan grofweg de helft van de klanten. Er zal op dat moment extra compute capaciteit in het andere datacenter beschikbaar worden gesteld. De RPO (recovery point objective) is de maximale tijd dat er sprake kan zijn van dataverlies bij een complete uitval. Door de wijze van back-up is deze bij AFAS Online maximaal 6 uur. De RTO (recovery time objective) is de tijd die nodig is om de beschikbare back-up beschikbaar te stellen. De tijd die hiervoor nodig is, is niet bekend. Voor individuele herstelwerkzaamheden als gevolg van bijvoorbeeld menselijke fouten vanuit de klantgebruiker is er altijd een back-up van maximaal 6 uur oud aanwezig. Er kunnen storingen zijn met verschillende oorzaken. Elke oorzaak heeft een eigen oplossing en daarbij ook een eigen RPO en RTO. Hier staan de verschillende calamiteiten met oplossingen. Voor Small Business en Accountancy Lite klanten geldt een RPO van maximaal 24 uur.

Beschikbaarheid tijdens een update

Bij de migratie van de ene versie/build/update naar de volgende zal de data tijdelijk niet beschikbaar zijn. de tijd dat de data niet beschikbaar is, is erg afhankelijk van een aantal factoren zoals: soort van dataconversie, grootte van de database, hoeveelheid aan te passen records. Het is op voorhand niet aan te geven hoe lang de conversie per omgeving duurt. Ervaring leert dat de maximale tijd ligt tussen de 5 minuten en 2,5 uur. 

Calamiteiten 

Er kunnen verstoringen zijn van een verschillende oorzaak. Elke oorzaak heeft een eigen oplossing en daarbij ook een eigen RPO en RTO. Hieronder staan de verschillende calamiteiten en daarbij behorende oplossing.

Stroomstoring van het datacenter of deel ervan.

De stroomvoorziening zal worden opgevangen door batterijen en vervolgens generatoren. Dit gaat geheel automatisch. Zolang het datacenter van brandstof voorzien wordt, is er niets aan de hand. Het datacenter heeft afspraken met 2 verschillende oliemaatschappijen die, in geval van langdurige stroomuitval, hen voorziet van voldoende brandstof.

Applicatie-server defect

Hardware defecten op de applicatieservers die ervoor zorgen dat deze onbruikbaar worden, kunnen afhankelijk van het moment van ontdekken en de aard van het defect volledig zonder verstoring verlopen. In het uiterste geval zal het herstarten van een VM tot gevolg hebben, waardoor gebruikers mogelijk hun sessie kwijt raken en opnieuw moeten aanmelden. Er is altijd overcapaciteit aanwezig om één of enkele server defecten op te vangen.

Database-server defect

Omgevingen van Profit klanten worden na handmatige actie beschikbaar gemaakt vanuit het andere datacenter op andere database-server. Verlies van data beperkt zich waarschijnlijk tot enkele minuten, maar maximaal tot 6 uur. De fail-over is handmatig, om sync en re-sync acties te voorkomen. Omgevingen van Profit Small Business en Accountancy Lite klanten zullen vanuit de nachtelijke backup teruggezet worden (maximaal dataverlies 24 uur).

Data storage defect

Dit systeem is per datacenter multi-redundant uitgevoerd. Veelal kan uitval van een deel van het systeem door een ander deel worden opgevangen zonder dataverlies. In het geval van een complete outage binnen een datacenter, zal de back-up vanuit het andere datacenter beschikbaar gemaakt worden. Verlies van data beperkt zich waarschijnlijk tot enkele minuten, maar maximaal tot 6 uur. 

Distributed Denial of Service (DDoS)

AFAS Online heeft geen eigen maatregelen tegen DDoS. Door voldoende scheiding in het core netwerk van het datacenter, ondervinden wij sinds 2016 geen hinder van DDoS gericht op andere klanten van het datacenter. Ook onze Private Dark Fibers tussen de datacenters hebben hier geen last van. DDoS aanvallen ontwikkelen zich steeds. Afhankelijk van welk dienst aangevallen wordt, kunnen aanvallen tot op zekere hoogte worden opvangen. Wanneer we het vermoeden van een aanval hebben, door vertragingen of omdat externe dienstverleners ons hierop wijzen, kunnen we de expertise van het datacenter inschakelen om op netwerkniveau maatregelen te treffen, passend bij het type aanval.

Complete uitval van het datacenter

In het geval van een complete uitval van een datacenter, zijn er geen compute resources meer beschikbaar. Dit treft dan grofweg de helft van de klanten. Er zal op dat moment extra compute capaciteit in het andere datacenter beschikbaar worden gesteld. De beschikbare back-up data zal worden gereed gemaakt en weer open worden gesteld voor de klanten van het uitgevallen datacenter.