Hochverfügbarkeit

Für unsere Server-Lösungen steht eine optionale aktive oder passive Hochverfügbarkeit zur Verfügung. Mithilfe unserer Lösungen für Hochverfügbarkeit kann die Verfügbarkeit der jeweiligen Dienste maximiert werden.


Verfügbare Lösungen

Wir unterscheiden bei unseren Lösungen zwischen der passiven Hochverfügbarkeit und der aktiven Hochverfügbarkeit. Alle Failover-Lösungen werden durch eine homogene Server-Infrastruktur unter identischen Voraussetzungen betrieben, sodass jedes Failover-Konzept die identischen Hardware- und Netzwerkvoraussetzungen leisten kann.



Passive Hochverfügbarkeit

Bei Aktivierung der passiven Hochverfügbarkeit wird der jeweilige V-Server kontinuierlich auf einen weiteren physikalischen Server innerhalb eines anderen physikalischen Server-Racks repliziert. Wir bieten die Taktung der Replizierung in den Stufen 5 Minuten, 10 Minuten, 15 Minuten, 30 Minuten, 60 Minuten, 90 Minuten und 120 Minuten an. Sollte der primäre physikalische Server (Hypervisor) ausfallen, wird automatisch über das Quorum-Verfahren ein Failover ausgelöst und der replizierte Server wird gestartet.



Der Failover-Prozess kann bis zu 120 Sekunden in Anspruch nehmen. Anschließend werden die entsprechenden Server auf einem Ausweich-Server erneut gestartet.


Ein großer Vorteil bei der passiven Hochverfügbarkeit ist die nicht notwendige Kompatibilität mit den eingesetzten Diensten im Vergleich zu der aktiven Hochverfügbarkeit. Durch die eingesetzte Technologie stehen die jeweiligen Server nur einmal in unserem Rechenzentrum zur Verfügung, sodass die eigentliche Anwendung keine Unterstützung für die Hochverfügbarkeit leisten muss.


Zusätzlich müssen eingesetzte Software-Lizenzen nicht doppelt gebucht werden, da die angeschlossenen Server entweder auf dem primären oder sekundären Hypervisor ausgeführt werden.



Sobald der primäre Hypervisor wieder zur Verfügung steht, werden die Server Live migriert, sodass es zu keiner weiteren Downtime durch den "Reallocation-Prozess" kommt.



Aktive Hochverfügbarkeit

Die aktive Hochverfügbarkeit ermöglicht einen Failover-Prozess ohne die Entstehung einer Downtime, indem sogenannte Hot-Standby-Server zur Verfügung gestellt werden. Zusätzlich stellen wir einen ebenfalls hochverfügbaren TCP-Load-Balancer mit einer Floating-IP-Adresse bereit, der im Störungsfall durch das sekundäre Server-Rack betrieben werden kann. Für die Realisierung der aktiven Hochverfügbarkeit ist die Unterstützung der dahinterliegenden Anwendungen erforderlich. MySQL-Datenbanken müssen beispielsweise durchgehend mit der gesamten Infrastruktur synchronisiert werden.



Sollte es zu einer Störung in der primären Infrastruktur kommen, übernimmt der sekundäre TCP Load Balancer das Routing der Netzwerkpakete und leitet eingehende Netzwerkanfragen an die sekundäre Infrastruktur weiter.



Die Anwendungen der primären als auch der sekundären Infrastruktur müssen dieses Konzept der Hochverfügbarkeit unterstützen, sodass eine Synchronisierung der Datenstände aller Server jederzeit gewährleistet werden kann. Zusätzlich muss die eingesetzte Anwendung das Master-Delegation-Verfahren unterstützen, um den Ausfall der primären Infrastruktur erkennen zu können.



Vor- & Nachteile

Im Folgenden haben wir die wichtigsten Vor- und Nachteile der beiden Hochverfügbarkeiten zusammengefasst. Je nach Anwendungsfall können beide Lösung weitere Vor- und Nachteile mit sich bringen.


Vorteile

Passive Hochverfügbarkeit Aktive Hochverfügbarkeit
einfache Wartung Keine Ausfallzeiten
keine Unterstützung der Anwendung erforderlich Hochverfügbarkeit bis zu 99,99 %
geringere Kosten (vgl. aktive Hochverfügbarkeit) Wartungen können tagsüber durchgeführt werden


Nachteile

Passive Hochverfügbarkeit Aktive Hochverfügbarkeit
Ausfallzeiten von bis zu 120 Sekunden hoher Wartungsaufwand
Hochverfügbarkeit bis maximal 99,9 % Anwendungsunterstützung erforderlich
Möglicher Datenverlust zwischen der Replikation höhere Kosten (TCP LB + Software-Lizenzen)


Sofern Interesse an einer der beiden Lösungen besteht, nehmen Sie gerne Kontakt zu uns auf, um das weitere Vorgehen abzustimmen. Gerne beraten wir Sie hier bei der Wahl der richtigen Variante und arbeiten gemeinsam mit Ihnen ein Konzept für Ihren Anwendungsfall aus.



Hochverfügbarkeitsklassen

Hochverfügbarkeitsklassen des BSI (Bundesamt für Sicherheit in der Informationstechnik)

Klasse Verfügbarkeit Max. Ausfallzeit pro Jahr
0 Ohne zugesicherte Verfügbarkeit -
1 99,0 % < 3 Tage, 15 Stunden, 40 Minuten
2 99,9 % < 8 Stunden, 46 Minuten
3 99,99 % < 53 Minuten
4 99,999 % < 6 Minuten
5 Disaster Tolerant Funktion muss unter allen Umständen gewährleistet sein



AEC-Klassen

Availability Environment Classification (AEC)

Klasse Name Beschreibung
AEC-0 Conventional Funktion darf unterbrochen werden und Datenintegrität ist nicht essenziell
AEC-1 Highly Reliable Funktion darf zwar unterbrochen werden, die Datenintegrität muss jedoch immer gewährleistet sein
AEC-2 High Availability Funktion darf zur Hauptbetriebszeit nur minimal oder innerhalb festgelegter Zeiten unterbrochen werden
AEC-3 Fault Resilient Funktion darf maximal außerhalb festgelegter Betriebszeiten / Hauptbetriebszeiten unterbrochen werden.
AEC-4 Fault Tolerant Funktion muss jederzeit aufrechterhalten werden, 24/7-Betrieb (24 Stunden, 7 Tage die Woche).
AEC-5 Disaster Tolerant Funktion muss auch unter ungewöhnlichen Umständen (z.B. im Katastrophenfall) gewährleistet sein