Hochverfügbarkeit
Für unsere Server-Lösungen steht eine optionale aktive oder passive Hochverfügbarkeit zur Verfügung. Mithilfe unserer Lösungen für Hochverfügbarkeit kann die Verfügbarkeit der jeweiligen Dienste maximiert werden.
Verfügbare Lösungen
Wir unterscheiden bei unseren Lösungen zwischen der passiven Hochverfügbarkeit und der aktiven Hochverfügbarkeit. Alle Failover-Lösungen werden durch eine homogene Server-Infrastruktur unter identischen Voraussetzungen betrieben, sodass jedes Failover-Konzept die identischen Hardware- und Netzwerkvoraussetzungen leisten kann.
Passive Hochverfügbarkeit
Bei Aktivierung der passiven Hochverfügbarkeit wird der jeweilige V-Server kontinuierlich auf einen weiteren physikalischen Server innerhalb eines anderen physikalischen Server-Racks repliziert. Wir bieten die Taktung der Replizierung in den Stufen 5 Minuten, 10 Minuten, 15 Minuten, 30 Minuten, 60 Minuten, 90 Minuten und 120 Minuten an. Sollte der primäre physikalische Server (Hypervisor) ausfallen, wird automatisch über das Quorum-Verfahren ein Failover ausgelöst und der replizierte Server wird gestartet.
Der Failover-Prozess kann bis zu 120 Sekunden in Anspruch nehmen. Anschließend werden die entsprechenden Server auf einem Ausweich-Server erneut gestartet.
Ein großer Vorteil bei der passiven Hochverfügbarkeit ist die nicht notwendige Kompatibilität mit den eingesetzten Diensten im Vergleich zu der aktiven Hochverfügbarkeit. Durch die eingesetzte Technologie stehen die jeweiligen Server nur einmal in unserem Rechenzentrum zur Verfügung, sodass die eigentliche Anwendung keine Unterstützung für die Hochverfügbarkeit leisten muss.
Zusätzlich müssen eingesetzte Software-Lizenzen nicht doppelt gebucht werden, da die angeschlossenen Server entweder auf dem primären oder sekundären Hypervisor ausgeführt werden.
Sobald der primäre Hypervisor wieder zur Verfügung steht, werden die Server Live migriert, sodass es zu keiner weiteren Downtime durch den "Reallocation-Prozess" kommt.
Aktive Hochverfügbarkeit
Die aktive Hochverfügbarkeit ermöglicht einen Failover-Prozess ohne die Entstehung einer Downtime, indem sogenannte Hot-Standby-Server zur Verfügung gestellt werden. Zusätzlich stellen wir einen ebenfalls hochverfügbaren TCP-Load-Balancer mit einer Floating-IP-Adresse bereit, der im Störungsfall durch das sekundäre Server-Rack betrieben werden kann. Für die Realisierung der aktiven Hochverfügbarkeit ist die Unterstützung der dahinterliegenden Anwendungen erforderlich. MySQL-Datenbanken müssen beispielsweise durchgehend mit der gesamten Infrastruktur synchronisiert werden.
Sollte es zu einer Störung in der primären Infrastruktur kommen, übernimmt der sekundäre TCP Load Balancer das Routing der Netzwerkpakete und leitet eingehende Netzwerkanfragen an die sekundäre Infrastruktur weiter.
Die Anwendungen der primären als auch der sekundären Infrastruktur müssen dieses Konzept der Hochverfügbarkeit unterstützen, sodass eine Synchronisierung der Datenstände aller Server jederzeit gewährleistet werden kann. Zusätzlich muss die eingesetzte Anwendung das Master-Delegation-Verfahren unterstützen, um den Ausfall der primären Infrastruktur erkennen zu können.
Vor- & Nachteile
Im Folgenden haben wir die wichtigsten Vor- und Nachteile der beiden Hochverfügbarkeiten zusammengefasst. Je nach Anwendungsfall können beide Lösung weitere Vor- und Nachteile mit sich bringen.
Vorteile
| Passive Hochverfügbarkeit | Aktive Hochverfügbarkeit |
|---|---|
| einfache Wartung | Keine Ausfallzeiten |
| keine Unterstützung der Anwendung erforderlich | Hochverfügbarkeit bis zu 99,99 % |
| geringere Kosten (vgl. aktive Hochverfügbarkeit) | Wartungen können tagsüber durchgeführt werden |
Nachteile
| Passive Hochverfügbarkeit | Aktive Hochverfügbarkeit |
|---|---|
| Ausfallzeiten von bis zu 120 Sekunden | hoher Wartungsaufwand |
| Hochverfügbarkeit bis maximal 99,9 % | Anwendungsunterstützung erforderlich |
| Möglicher Datenverlust zwischen der Replikation | höhere Kosten (TCP LB + Software-Lizenzen) |
Sofern Interesse an einer der beiden Lösungen besteht, nehmen Sie gerne Kontakt zu uns auf, um das weitere Vorgehen abzustimmen. Gerne beraten wir Sie hier bei der Wahl der richtigen Variante und arbeiten gemeinsam mit Ihnen ein Konzept für Ihren Anwendungsfall aus.
Hochverfügbarkeitsklassen
Hochverfügbarkeitsklassen des BSI (Bundesamt für Sicherheit in der Informationstechnik)
| Klasse | Verfügbarkeit | Max. Ausfallzeit pro Jahr |
|---|---|---|
| 0 | Ohne zugesicherte Verfügbarkeit | - |
| 1 | 99,0 % | < 3 Tage, 15 Stunden, 40 Minuten |
| 2 | 99,9 % | < 8 Stunden, 46 Minuten |
| 3 | 99,99 % | < 53 Minuten |
| 4 | 99,999 % | < 6 Minuten |
| 5 | Disaster Tolerant | Funktion muss unter allen Umständen gewährleistet sein |
AEC-Klassen
Availability Environment Classification (AEC)
| Klasse | Name | Beschreibung |
|---|---|---|
| AEC-0 | Conventional | Funktion darf unterbrochen werden und Datenintegrität ist nicht essenziell |
| AEC-1 | Highly Reliable | Funktion darf zwar unterbrochen werden, die Datenintegrität muss jedoch immer gewährleistet sein |
| AEC-2 | High Availability | Funktion darf zur Hauptbetriebszeit nur minimal oder innerhalb festgelegter Zeiten unterbrochen werden |
| AEC-3 | Fault Resilient | Funktion darf maximal außerhalb festgelegter Betriebszeiten / Hauptbetriebszeiten unterbrochen werden. |
| AEC-4 | Fault Tolerant | Funktion muss jederzeit aufrechterhalten werden, 24/7-Betrieb (24 Stunden, 7 Tage die Woche). |
| AEC-5 | Disaster Tolerant | Funktion muss auch unter ungewöhnlichen Umständen (z.B. im Katastrophenfall) gewährleistet sein |