In vielen Anwenderunternehmen wird das Thema Hochverfügbarkeit falsch eingeschätzt. Längst überholte Auffassungen prägen immer noch das Bild der IT-Verantwortlichen: Hochverfügbare IT-Systeme seien extrem komplex nur mit hohem Kostenaufwand zu implementieren, so die am weitesten verbreiteten Vorurteile. Doch das gilt längst nicht mehr.
Gerade in wirtschaftlich schwierigen Zeiten, ist es für die Unternehmen überlebenswichtig, dass die IT-Systeme zuverlässig funktionieren. Kaum ein Geschäftsprozess kommt heutzutage noch ohne IT-Unterstützung aus. Fallen die Systeme aus, führt dies in aller Regel zu finanziellen Einbußen. Aus diesem Grund sollten sich die Verantwortlichen in den Unternehmen mit dem Thema Hochverfügbarkeit beschäftigen.
Die Redaktion der COMPUTERWOCHE-Schwesterpublikation Tecchannel hat zehn Mythen gesammelt, die sich in den vergangenen Jahren rund um das Thema Hochverfügbarkeit festgesetzt haben, und räumt mit den Vorurteilen auf.
1. Hochverfügbarkeit ist nur für große Unternehmen wichtig
Alle Unternehmen sind heute in hohem Maße von ihrer IT abhängig und können daher von Server-Ausfällen massiv betroffen werden. Somit gehört es zur Pflicht der Unternehmen eine wirksame Risikovorsorge betreiben. Lösungen wie fehlertolerante Server oder Software-Lösungen in Verbindung mit entsprechender Hardware sind auf Grund des geringen Aufwands für Implementierung und Administration auch für kleinere und mittlere Unternehmen geeignet.
2. Spezielle Hochverfügbarkeits-Lösungen sind überflüssig
Tatsächlich sind Server heute wesentlich zuverlässiger geworden und Ausfälle kommen in der Tat selten vor. Allerdings sind auch die Anforderungen gestiegen: Unternehmen betreiben auf Standard-Servern unternehmenskritische Anwendungen, für die früher beispielsweise große Unix-Systeme eingesetzt wurden. Solche Anwendungen müssen kontinuierlich verfügbar sein, sonst können große Schäden entstehen und möglicherweise sogar die Existenz des Unternehmens gefährden. Standard-Server unter Linux und Windows erreichen heute eine Verfügbarkeit von etwa 99,9 Prozent - was einer durchschnittlichen Ausfallzeit von 8,8 Stunden pro Jahr entspricht. Für unternehmenskritische Aufgaben sind jedoch mindestens 99,99 Prozent, in der Regel sogar 99,999 Prozent erforderlich, die Server fallen dann maximal 5 Minuten im Jahr aus.
3. Hochverfügbarkeit ist teuer
"Teuer" ist wie immer relativ und muss hier im Verhältnis zum möglicherweise entstehenden Schaden gesehen werden. Sollte ein Server-Ausfall Kosten in Millionen-Höhe verursachen, so wäre auch der teuerste Server noch preiswert, sofern er nur wirklich ausfallsicher ist. Tatsächlich aber ist Hochverfügbarkeit heute sogar für kleinere und mittlere Unternehmen erschwinglich. Fehlertolerante Server kosten unterm Strich sogar weniger als entsprechende Cluster-Lösungen, weil hier keine zusätzlichen Kosten für Software-Anpassung, zusätzliche Lizenzen oder eine aufwändige Administration anfallen. Mittlerweile gibt es auch Lösungen, die die üblichen Standard-basierten x86-Server auf Basis der Open-Source Virtualisierungs-Software Xen zu einer hoch verfügbaren Plattform verbinden können. Solche Lösungen bieten eine Verfügbarkeit von über 99,99 Prozent.
4. Hochverfügbarkeit ist aufwändig zu administrieren
Die für wichtige Aufgaben üblicherweise verwendeten Cluster-Lösungen sind in der Tat sehr aufwändig in der Implementierung wie in der Administration. Unternehmen müssen dabei auch über spezielles Know-how verfügen. Dagegen verhalten sich fehlertolerante Server, die aus komplett redundanten Komponenten aufgebaut sind, nach außen wie ganz normale Server; für den Benutzer ist die Redundanz nicht sichtbar. Dementsprechend ist die Administration nicht aufwändiger als bei einem Standard-Server.
5. Cluster bieten für alle Fälle ausreichende Sicherheit
Cluster arbeiten im Störungsfall nicht unterbrechungsfrei. Die Übernahme der Prozesse durch das nicht gestörte System erfordert eine gewisse Failover-Zeit, während der Anwendungen und Daten nicht zur Verfügung stehen, weil beispielsweise System-Dienste und Programme neu gestartet, Datenbank-Transaktionen zurückgesetzt werden müssen und so weiter. Auch wenn ein solcher Failover in modernen Cluster-Systemen weitgehend automatisch erfolgt, werden je nach Komplexität der Applikationen immer mehrere Minuten vergehen, bis alle Systeme wieder uneingeschränkt zur Verfügung stehen. In Extremfällen kann die Übergabe der Prozesse aber auch mehrere Stunden dauern. Cluster-Server kommen damit nicht über eine durchschnittliche Verfügbarkeit von rund 99,99 Prozent hinaus, was einer Ausfallzeit von einer knappen Stunde pro Jahr entspricht. Wobei je nach Anwendungsfall, weniger die Länge der Ausfallzeit problematisch sein kann, als die unvorhersehbare Unterbrechung der Prozesse.
In der Praxis erweisen sich diese Systeme auf Grund ihrer Komplexität als recht schwierig und aufwändig zu administrieren. Es müssen ja zwei voneinander ganz unabhängige Server-Systeme mit jeweils eigenem Betriebssystem und eigener Anwendungs-Software betrieben werden, dazu kommt ein logischer Server für die Cluster-Steuerung. Diesem muss der Administrator mit einem Script mitteilen, welche Aufgaben im Störungsfall wie verteilt werden müssen. Natürlich sind zwei Systeme aufwändiger zu pflegen als eines, zumal ein Cluster nur funktionieren kann, wenn immer alles parallel erfolgt wie zum Beispiel die Durchführung von Updates, die Einführung von Sicherheitsrichtlinien und so weiter. Ist der Betrieb schon bei zwei Cluster-Knoten nicht ganz einfach, so steigt der Aufwand für die Steuerung und Kontrolle der Knoten erheblich, wenn noch mehr Server in einem Cluster zusammengeschlossen sind. Ohne entsprechend fachkundiges Bedienerpersonal lassen sich solche Konfigurationen nicht beherrschen. Cluster-Lösungen weisen damit relativ hohe Gesamtkosten auf, selbst wenn für die eigentliche Server-Hardware vergleichsweise preiswerte Geräte eingesetzt werden.
6. Für Hochverfügbarkeit benötigt man spezielle Applikationen
Für Cluster-Lösungen müssen die Applikationen tatsächlich angepasst werden. Fehlertolerante Server aber arbeiten mit Standard-Technologien, so dass Windows- und Linux-Applikationen ohne Anpassungen oder Änderungen betrieben werden können. Wenn sich ein fehlertoleranter Server trotz redundanten Komponenten wie eine einzelne Maschine verhält, so benötigen Anwender - im Unterschied zu Cluster-Systemen - für ihre Applikation auch jeweils nur eine einzige Lizenz.
7. In virtualisierten Umgebungen braucht man keine Hochverfügbarkeit
Die Verfügbarkeit wird durch die Virtualisierung von Servern nicht verbessert, sondern sogar verschlechtert. Werden nämlich auf einem physischen Server mehrere virtuelle Umgebungen betrieben, so sind von einem Hardware-Ausfall immer gleich mehrere Server mitsamt den Anwendungen betroffen. Ein einziger defekter physischer Server zieht also eine ganze virtuelle Server-Gruppe mit sich - und für jedes System müssen dann mehr oder weniger aufwändige Maßnahmen zur Wiederherstellung des Betriebs vorgenommen werden. Auch wenn diese Maßnahmen mit entsprechender Software-Unterstützung automatisch ablaufen, so muss der Anwender dafür stets eine mehr oder weniger lange Zeitspanne einkalkulieren und auch das nicht korrekte Hochfahren von Datenbanken riskieren.
Wichtige Anwendungen müssen daher - gerade wenn sie auf virtuellen Servern laufen sollen - als sicheres Fundament eine wirklich hoch-verfügbare Hardware-Plattform erhalten. Dafür bieten sich fehlertolerante Systeme an, die mit Standard-Technologien eine Verfügbarkeit von über 99,9999 Prozent erreichen. Erst auf dieser technischen Basis ist die Hardware soweit gegen Störungen abgesichert, dass der gleichzeitige Betrieb von mehreren Servern kein zusätzliches Risiko darstellt.
Durch die Verwendung von Standard-Technologien sind beispielsweise fehlertolerante Server vollständig kompatibel zu VMware ESX, so dass die Virtualisierungs-Software direkt auf der Hardware aufsetzen kann. Natürlich wird man nicht jeden physischen Server einer großen Serverfarm auf diese Weise hochverfügbar machen, aber für diejenigen Server, auf denen unternehmenskritische Aufgaben laufen, ist dies jedoch unerlässlich.
8. Disaster Recovery und Hochverfügbarkeit sind dasselbe
Disaster Recovery ist Katastrophenschutz: Unternehmen schützen damit ihre IT vor Bränden, Erdbeben, Flugzeugabstürzen oder zerstörerischen Anschlägen, beispielsweise indem sie Rechenzentren an verschiedenen Orten aufbauen. Hochverfügbarkeit sorgt dagegen für den Schutz der IT bei technischen Störungen. Verantwortungsvolle Unternehmen werden daher immer beides in ihrem Sicherheitskonzept berücksichtigen.
9. Hochverfügbare Systeme basieren auf proprietären Technologien
Fehlertolerante Server arbeiten mit Standard-Technologien wie x86-Prozessor-Architektur, Windows oder Linux, entsprechende Software-Lösungen bauen zum Beispiel auf dem Open Source-Server Xen auf. Diese Systeme erreichen ihre hohe Ausfallsicherheit indem sie die Standard-Technologien redundant auslegen. Alle betriebswichtigen Teile sind hier doppelt vorhanden: Prozessoren, Speicher-Chips und I/O-Einheiten, also nicht nur, wie sonst in High-End-Systemen üblich, nur Netzteile und Festplatten. Sollte eine Komponente ausfallen, führt die jeweilige Partner-Komponente automatisch und vom Benutzer unbemerkt den Betrieb weiter. Die jeweilige Applikation kann somit ohne Daten- oder Statusverlust kontinuierlich weitergeführt werden.
Trotz der durchgängigen Redundanz verhalten sich fehlertolerante Server gegenüber dem Betriebssystem wie ein einziger Standard-Rechner. Es müssen also seitens der jeweiligen Software überhaupt keine weiteren Anpassungen für den Einsatz mit den redundanten Komponenten des Servers vorgenommen werden, da die Software auf Seiten der Hardware immer nur ein einziges System sieht. Die Steuerung erfolgt im Server durch dessen eigene System-Software. Diese ist - ein weiterer Unterschied zu vielen Cluster-Lösungen - vollständig Windows-kompatibel, verträgt sich also mit allen Windows-Applikationen oder Erweiterungen.
10. Mich betrifft das nicht …
Die überwiegende Zahl von Airbags kommt nie zum Einsatz, dennoch gehören diese heute zur Standard-Ausstattung eines jeden PKWs. Das effektive Risiko ergibt sich aus dem Produkt von Schadeneintrittswahrscheinlichkeit und möglicher Schadenshöhe - diese ist in den letzten Jahren enorm gestiegen. In kritischen Bereichen können Unternehmen daher auch kurzzeitige Ausfälle ihrer Server nicht riskieren, zumal sie mit relativ geringem Aufwand Vorsorge treffen können. (ba)