Strategien


Grundlagen, Definitionen, Lösungen

Hochverfügbarkeit: Eine IT ohne Ausfälle

Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.

Allerdings verzeichnen im praktischen Einsatz auch Systeme mit sehr vielen "Neunern" hinter dem Komma durchaus Ausfallzeiten. 100 Prozent werden wohl Theorie bleiben, obwohl sogenannte "Always-On-" oder fehlertolerante Lösungen heute durchaus mit Werten von 99,999 oder gar 99,9999 beworben und verkauft werden. Solche Systeme weisen dann eine Ausfallzeit von fünf bis hin zu nur einer Minute pro Jahr aus.

AEC: Wie viel Hochverfügbarkeit braucht der Geschäftsbetrieb?

Allerdings versteht es sich dabei fast von selbst, dass solche Systeme teuer sind. Die IT-Verantwortlichen und Administratoren in den Unternehmen stehen damit vor der Frage, wie hochverfügbar ihre Systeme wirklich sein müssen und welche Ausfallzeiten in der täglichen Praxis tolerierbar sind. Um diese Faktoren bewerten zu können, haben die Analysten der Harvard Research Group eine Einteilung geschaffen, die sie als Availibilty Environments (AE) bezeichnen. Sie unterteilen die "Verfügbarkeitsumgebungen" in 5 Klassifizierungen und sprechen dabei dann auch von AEC: Availibility Environment Classifications. Eingeteilt wurden sie nach den Auswirkungen, die ein Ausfall der entsprechenden Dienste und Systeme auf den Geschäftsbetrieb und die Endnutzer hat:

  • AE-0: Der Geschäftsbetrieb kann unterbrochen werden und die Verfügbarkeit der Daten ist nicht geschäftskritisch. Für die Endanwender bedeutet es, dass die Arbeit mit den Diensten/Systemen unterbrochen und angehalten werden kann und dass Daten bei einem Ausfall verloren gehen beziehungsweise korrumpiert werden können.

  • AE-1: Hier geht es um Geschäftsfunktionen, die unterbrochen werden können, solange sichergestellt ist, dass das System die Verfügbarkeit der Daten garantiert. Aus der Sicht der Endanwender, wird es auch bei dieser Verfügbarkeitsklasse eine unvorhergesehene Unterbrechung der Arbeit und nicht zu kontrollierende Shutdowns gehen, aber die Integrität der Daten ist immer gewährleistet. Die Daten stehen dabei auf einem redundanten Speicher als Backup-Kopie zur Verfügung. Ein Dateisystem mit Journaling-Funktionen oder entsprechende Protokollfunktionen (log-based) sorgt dann im Zusammenhang mit diesem Backup dafür, unvollständige Transaktionen zu entdecken und die Daten wiederherzustellen.

  • AE-2: Die Geschäftsfunktionen erlauben bei dieser Verfügbarkeit nur eine minimale Unterbrechung der Dienste. Dies darf zudem nur zu genau festgelegten Zeiten erfolgen. Die Anwender werden zwar eine kurze Unterbrechung erfahren, können sich aber gleich wieder anmelden. Allerdings kann es dabei in Einzelfällen notwendig sein, dass sie einige Transaktionen mit Hilfe der Protokolldateien neu ablaufen lassen müssen und dass sie eine Verschlechterung der Performance bemerken.

  • AE-3: Bei dieser Klasse der Hochverfügbarkeit geht es um Geschäftsfunktionen, die ohne Unterbrechung ausgeführt werden müssen. Dies gilt entweder für genau festgelegte Zeiten oder für die meisten Stunden eines Tages sowie die meisten Tage einer Woche während des ganzen Jahres. Für den Anwender bedeutet es, dass er konstant ohne Unterbrechung arbeiten kann. Trotzdem kann es dabei vorkommen, dass eine Transaktion wiederholt werden muss, was der Nutzer aber nicht durch eine Unterbrechung des Betriebs, sondern höchstens durch Einbußen bei der Performance bemerkt.

  • AE-4: Die Geschäftsfunktionen verlangen den kontinuierlichen Betrieb der IT und der Dienste. Eventuell auftretende Fehler müssen dabei für den Endanwender vollkommen transparent sein. Das bedeutet, dass die Nutzer keinerlei Unterbrechung ihrer Arbeit erfahren, und dass die Systeme einen 24x7-Betrieb gewährleisten.

Vielfach wird die Möglichkeit des Disaster Recovery als eine weitere Klasse aufgeführt, wobei allerdings grundsätzlich jeder dieser Verfügbarkeitsklassen um die entsprechenden Features für ein Disaster Recovery ausgestattet werden könnte. Deshalb ist es wichtig, eine Abgrenzung zwischen der reinen Hochverfügbarkeit und dem Disaster Recovery vorzunehmen.

Ausprägungen, Umsetzungen & Lösungen

Die Erstellung eines Failover-Cluster mit dem Windows Server 2012R2: Durch Assistenten und den Server Manager ist diese Aufgabe sehr viel einfacher geworden.
Die Erstellung eines Failover-Cluster mit dem Windows Server 2012R2: Durch Assistenten und den Server Manager ist diese Aufgabe sehr viel einfacher geworden.

Es gibt unterschiedliche Möglichkeiten, die Hochverfügbarkeit umzusetzen und dementsprechend auch unterschiedliche Ansätze, ein solches IT-System aufzusetzen. Wird eine hochverfügbare Lösung als Cold-Standby bezeichnet, so steht zwar bei Ausfall eines Systems oder einer Komponente für die Anwendungen ein entsprechender Ersatz bereit, auf den aber "per Hand" umgeschaltet werden muss: Eine Ausfallzeit ist in diesem Fall also unvermeidbar.

Zur Startseite