Berechnung von Verfügbarkeiten von IT-Plattformen

Wie lässt sich die Verfügbarkeit von IT-Plattformen sinnvoll berechnen? Häufig bekommen wir Anfragen mit der Aussage “Wir hätten gerne einen Server mit der Verfügbarkeit von z.B. 99,5 %.”

Verfügbarkeit berechnenOK, dann nehme ich das einfach so in ein Angebot auf, unterstelle es ist pro Jahr gemeint und bezieht sich ausschließlich auf den Server. Was dem Kunden jetzt wahrscheinlich nicht klar ist, dass der Server durchaus einen ganzen Tag am Stück ausfallen kann und die Verfügbarkeit trotzdem eingehalten wird. Oder, dass die Verfügbarkeit des Servers nicht berührt ist, wenn die Firewall oder die Netzanbindung weg ist, der Server noch läuft, aber von außen nicht mehr erreichbar ist. Dies ist ein wichtiger Aspekt bei der Bewertung von Angeboten für Managed Hosting und Cloud Hosting.

Berechnung der Ausfallzeiten

Eine gute Übersicht darüber, wie sich die prozentuale Verfügbarkeit eines Service in der Praxis auswirkt, bekommt man mit einer Tabelle, der auf das Jahr gerechneten möglichen Ausfallzeiten.

Verfügbarkeit Prozentual Minimale erwartete Verfügbarkeit (Stunden) Maximale erlaubte Ausfallzeit (Stunden)
99 % 8672,4 87,6
99,1 % 8681,16 78,84
99,2 % 8689,92 70,08
99,3 % 8698,68 61,32
99,4 % 8707,44 52,56
99,5 % 8716,2 43,8
99,6 % 8724,96 35,04
99,7 % 8733,72 26,28
99,8 % 8742,48 17,52
99,9 % 8751,24 8,76
99,99 % 8759,124 0,876

Alternativ kann man die Verfügbarkeit bei kritischen Projekten auch auf den Monat bezogen angeben. Z.B 99,9 % Verfügbarkeit auf den Monat gerechnet, bedeutet einen Maximalausfall von 43:48 min/Monat.

Image

Hybrid Cloud treibt den Wandel in der IT

In der 32. Ausgabe des Magazins Behind The Scene (BTS) dreht sich alles um den Wandel in der IT.

Jetzt das PDF kostenfrei downloaden

Wenn man über die Verfügbarkeit eines Services spricht und prozentual ausdrückt, muss man sich also überlegen, ob man mit der maximal möglichen Ausfallzeit leben kann. Eine weitere Variante ist es, zusätzlich die maximale Ausfalldauer zu beschränken. Gerade bei nicht ganz so kritischen Projekten kann es sein, dass zwei oder drei Ausfälle pro Jahr nicht ins Gewicht fallen. Sie sollten jedoch nicht länger als vier Stunden am Stück dauern. Also definiere ich z.B. 99,5 % Verfügbarkeit pro Jahr, bei maximal vier Stunden Ausfall am Stück.

Worauf bezieht sich die Verfügbarkeit konkret?

Eine weitere Quelle von Missverständnissen ist die Definition des Services. Nehmen wir an, einem Kunden wird die Verfügbarkeit eines Servers garantiert und er lässt von einer Webagentur eine Website auf diesem Server betreiben. Aus der Sicht des Betreibers ist der Server solange verfügbar, wie er einwandfrei läuft. Das kann auch dann der Fall sein, wenn der Webserver aus irgendeinem Grund kein http mehr ausliefert. Sprich, die Website nicht mehr erreichbar ist.

Aus Kundensicht ist der Server dann aber nicht mehr verfügbar, weil seine Website weg ist. Da aber eine Agentur die Website betreibt und auch für die Konfiguration zuständig ist, kann der Hoster keine Verfügbarkeit oberhalb des reinen Betriebssystems garantieren. Als Webagentur oder Softwaredienstleister, die als Generalunternehmer gegenüber dem Kunden auftreten, ist zu beachten, dass die SLAs des Hosters nicht einfach an den Kunden für das Gesamtsystem weitergegeben werden können. Die Ausfallrisiken auf Applikationsebene müssen ebenfalls bestimmt werden und zu den Ausfallrisiken von Seiten des Hosters hinzugerechnet werden.

Dieses Beispiel zeigt, dass es wichtig ist, sich genau darüber zu verständigen, worauf sich die Verfügbarkeit bezieht. Aus Kundensicht ist es am sinnvollsten, wenn die Verfügbarkeit des kompletten Dienstes der betrieben werden soll, vereinbart wird. Dies ist bei etwas komplexeren Projekten allerdings nicht mehr so einfach. Häufig wird hier dann ein Kompromiss geschlossen und der Dienstleister garantiert die Verfügbarkeit des gesamten Projektes, so wie der Kunde es möchte, aber eigentlich weiß zu diesem Zeitpunkt niemand wie hoch die Verfügbarkeit wirklich ist.

Einflüsse bei der Verknüpfung von Verfügbarkeiten

Wenn wir über die Verfügbarkeit eines kompletten Dienstes reden, müssen wir uns Gedanken über die Verknüpfung und den Abhängigkeiten von verschiedenen Verfügbarkeiten machen. Ein kompletter Dienst setzt sich meistens aus mehreren Services zusammen. Ein einfaches Beispiel ist unsere hochverfügbare VMware-Umgebung für die Enterprise Cloud Lösung. Durch die Möglichkeiten die VMware in verteilten Umgebungen bietet, haben wir bei den einzelnen virtuellen Servern eine sehr hohe Verfügbarkeit. Die Verfügbarkeit liegt in etwa bei 99,99 % auf das Jahr. Dabei ist allerdings zu beachten, dass bei der Miete einer nackten VMware Resource noch andere Einflüsse auf die Verfügbarkeit der auf der VM laufenden Projekte bestehen.

  1. Die Verfügbarkeit bezieht sich nur auf die virtuelle Hardware. Bei einem Ausfall eines VMware-Knotens ist die virtuelle Hardware durch die Redundanzen und der Failover-Technologien innerhalb weniger Minuten wieder verfügbar. Nun booten die Server bei einem Failover einmal neu. Je nach Installation kann das einige Zeit dauern, bis alle Dienste wieder verfügbar sind. Dies ist dabei nicht in der Verfügbarkeit der VM abgebildet.
  2. Die Verfügbarkeit der Applikationen auf dem virtuellen Server hängt in der Regel nicht nur von der virtuellen Hardware, sondern auch von der Verfügbarkeit des internen und externen Netzes ab.

In unserem Beispiel sind beide mit ebenfalls 99,99 % sehr hoch verfügbar. Die für den Kunden aber letztendlich absolute Verfügbarkeit von Applikationen kann dabei maximal nur bei 99,97 liegen.

Wieso mehrere Server mit niedriger Verfügbarkeit pro Maschine im Parallelbetrieb manchmal eine Alternative zu einem HA-vServer mit sehr hoher Verfügbarkeit sein können, hat mein Kollege Alexander Lapp in einem Blogartikel beschrieben.

Bei der Verknüpfung von Verfügbarkeiten reden wir von einer Addition des Ausfallrisikos. Bei einer Verfügbarkeit von 99,99 % liegt diese bei 0,01%. Haben wir drei Services, die für die Gesamtverfügbarkeit verfügbar seien müssen haben ein Ausfallrisiko von 3 x 0,01 % = 0,03 % Das ergibt eine Gesamtverfügbarkeit von 100 % – 0,03 % = 99,97 %.

Wenn in unserem Beispiel noch Risiken aus den betriebenen Applikationen hinzukommen, wird die realistische Verfügbarkeit einer Applikation, auch unter optimalen Bedingungen sicher nicht über 99,95 % liegen.

Redundanzen erhöhen die Verfügbarkeit

Im umgekehrten Falle erhöhen wir die Verfügbarkeit über Redundanzen. Das funktioniert rechnerisch so: Habe ich zwei Systeme, die das gleiche leisten und jeweils eine Verfügbarkeit von 98 % haben und sich sofort voll ersetzen können, multipliziere ich die Ausfallrisiken miteinander 0,02 x 0,02. Denn es kommt nur zu einem kompletten Ausfall, wenn die zweite Ressource ebenfalls zur gleichen Zeit, wie die erste Ressource ausfällt. Daher ergibt sich die hohe Verfügbarkeit von 99,9996 %.

Die Tücke liegt jetzt in der praktischen Umsetzung. Wenn wir in diesem Beispiel über Dateien reden, die in zwei unterschiedlichen Rechenzentren liegen (z. B. Sicherheitskopien) und diese nicht abgeglichen oder verändert werden müssen und der Zugriff völlig unabhängig erfolgen kann, dann hat man eine Verfügbarkeit von 99,9996 % auf diese Daten. Das passiert in der Praxis allerdings sehr selten.

Ein typischer Einsatz von Redundanzen ist z.B. ein Datenbank-Cluster. Um die Verfügbarkeit eines Datenbankservers zu erhöhen, wird ein zweiter Server daneben gestellt. Gehen wir hier von einer einfachen Aktiv/Passiv-Lösung aus. Wenn der aktive Datenbankserver ausfällt, übernimmt der Passive und wird zum Aktiven. Damit das Konstrukt funktionieren kann, müssen die Daten kontinuierlich synchronisiert werden. Dieser Prozess ist nun aber selber eine Fehlerquelle und bringt eine zusätzliche Ausfallwahrscheinlichkeit für das System mit. Außerdem benötigt man einen Failover-Mechanismus, der den Übergang von dem einen auf den anderen Server regelt. Auch dieser hat wieder eine Ausfallwahrscheinlichkeit. Dazu kommen noch Ausfallrisiken, die durch die gemeinsame Umgebung geprägt sind: Stromversorgung, internes und externes Netz, Klima, usw.
Man sieht hier, dass die Bestimmung der wirklichen Verfügbarkeit der redundanten Lösung alles andere als trivial ist.

Im nächsten Schritt kann man dann sagen, wir packen den zweiten Server in ein anderes Rechenzentrum und haben damit eine viel höhere Verfügbarkeit, weil die gemeinsamen Risiken dann entfallen. Dies ist grundsätzlich richtig, aber die Synchronisation der Daten wird erheblich schwieriger, da es zwischen den beiden Rechenzentren zu Latenzen kommt. Außerdem muss die Verbindung zwischen den beiden Rechenzentren absolut stabil sein. Kommt es jetzt zu kleinen Problemen, weil die Verbindung abbricht oder die Latenzen zu groß sind, hat das wieder massive Auswirkungen auf die Verfügbarkeit der Lösung.

Video zur Berechnung von Verfügbarkeit

In der Episode #7 meiner Videoreihe „Things To Say“ erkläre ich, wie genau man die Verfügbarkeit von IT-Plattformen berechnet:

Gerade bei großen Datenbank-Clustern, die als zentrale Lösung für Unternehmensdatenbanken dienen, kann es sein, dass die höhere Verfügbarkeit mittels Redundanzen durch eine deutlich höhere Komplexität der Gesamtarchitektur und den dadurch entstehenden Fehlern konterkariert wird. Im Problemfall kann die Fehlersuche bei einer großen und komplexen zentralen Lösung sehr viel länger dauern, als bei einfachen Architekturen. Das kann zu längeren Ausfällen und somit zu einer schlechteren Verfügbarkeit führen, auch wenn die Lösung redundant ausgelegt ist.

Umgang mit SLAs

In der Praxis werden häufig im Rahmen von SLAs Aussagen zu Verfügbarkeiten gemacht, die technisch nicht verifiziert sind. Die gelten in der Praxis dann nur solange wie alles rund läuft und sind nicht an Worst Case Szenarien ausgerichtet. Als Kunde muss man sehr genau Hinterfragen, unter welchen Bedingungen die Verfügbarkeit gilt und welche Risiken berücksichtigt werden. Katastrophenszenarien werden häufig nicht mit berücksichtigt. Sollte eine Flugzeug auf das Rechenzentrum stürzen, hat man keine 99,9 % Verfügbarkeit mehr, sondern eher für lange Zeit einen 100 % Ausfall. Zugegeben, dass passiert auch selten, genauso wie starke Erdbeben in Deutschland oder Terrorangriffe. Aber man muss im Hinterkopf haben, dass solche Totalausfallrisiken nicht abgedeckt sind. Es sei denn, der Anbieter betreibt das Projekt komplett verteilt an zwei Standorten, was in der Regel im Standard aus Kostengründen nicht gemacht wird.

Auswirkungen von rein kaufmännischen SLA

Häufig werden SLAs auch einfach aus einer kaufmännischen Überlegung heraus definiert und der Anbieter lebt damit, dass bei jedem x-ten Kunden die SLAs nicht eingehalten werden können. Solange keine empfindlichen Vertragsstrafen vereinbart sind, ist das meistens kein großes Problem für den Anbieter. Insofern ist immer zu hinterfragen, wie belastbar die SLAs in der Praxis sind.

In Episode #6 der Videoreihe „Things To Say“ lege ich die Unterschiede zwischen kaufmännischen und technisch belastbaren SLA dar:

Mehr darüber erfahren Sie in einem weiteren Blogartikel von mir.

Whitepaper SLA downloaden

Das zum Thema Service-Level-Agreements und Verfügbarkeit passende Whitepaper biete ich Ihnen hier zum kostenlosen Download an.

Download SLA-Whitepaper

Zum Download des SLA-Whitepapers auf die Grafik klicken!

Welche Erfahrungen haben Sie bei der Angabe von Verfügbarkeiten in SLAs und Angeboten gemacht?
Wie können wir Ihnen helfen? Kontaktdaten finden Sie hier oder senden Sie mir persönlich eine Mailnachricht.

Dieser Beitrag unseres CEO erschien als Gastbeitrag in folgenden Fachmagazinen: ChannelPartner, CIO, TechChannel, Computerwoche.

, , , , , ,


Weitere Artikel zum Thema lesen

So geht Support bei ADACOR

Hosting

Support bei ADACOR – so geht´s

Markenzeichen unseres Supports sind direkte Ansprechpartner und kurze Kommunikationswege.

weiter lesen

WordPress Hosting ­PaaS

Hosting

CMS-Hosting für WordPress

ADACOR hat für WordPress eine ­PaaS-Lösung in sein Angebotsportfolio aufgenommen.

weiter lesen

Pair Programming – zu zweit zum Erfolg

Biz & Trends, IT-News

Pair Programming – zu zweit zum Erfolg

Welche Vorteile erlangt man mit der agilen Programmiermethode der Paarprogrammierung?

weiter lesen


Neueste Nachrichten von ADACOR

IT Security

Hintergründe und aktuelle Informationen zur WannaCry-Attacke

Zum Heulen - wie die bislang größte Malware-Attacke ihren Ausgang nahm und welche Gegenmaßnahmen möglich sind.

weiter lesen

Hosting

Pflege und Aufbau eines Datennetzwerks im Rechenzentrum

Konzeptionelle Vorarbeit inklusive der Planung von Redundanzen beim Aufbau eines Datennetzwerks spart im Betrieb Zeit und Kosten.

weiter lesen

Vulnerability Management

Hosting

Mit Vulnerability Management Sicherheitslücken schließen

Durch regelmäßiges Scannen werden Schwachstellen in Systemen und Applikationen erkannt und beseitigt.

weiter lesen

Diese Seite verwendet Cookies, welche uns helfen, unsere Services anzubieten und zu verbessern.
Erfahren Sie mehr über unsere Cookie-Richtlinien. Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung von Cookies einverstanden.