Moin!

Peter2002 hat folgendes geschrieben :

Wie meinst du das mit dem elektronischen Schalter? Dem Ding einfach den Strom klauen?

Jup, genau so macht man das hardwarebasiert bei einem Cluster-System, mit z.B. sowas hier LEUNIG EPOWERSWITCH

Peter2002 hat folgendes geschrieben :

Gerd Kayser hat folgendes geschrieben : [...]weckt immer Begehrlichkeiten. Wenn kurzfristig für einen neuen Mitarbeiter ein PC benötigt wird, ist der Backup-Rechner meist im Gespräch, weil der andere PC ja bislang fehlerfrei lief. [...] Sowas darfs aber nicht geben. Wenn gnadenlos Backup-Systeme abeschaltet werden, ist jede Diskusion bezüglich Hochverfügbarkeit hinfällig.

Tja, wenn der Chef ausreichend viel Chef und zuwenig Techniker ist, dann gibt´s das leider ganz schön viel zu oft...

Peter2002 hat folgendes geschrieben :

Ja schon klar. Ich möchte aber Aufwand und Kosten möglichst gering halten.

Die Kunst ist doch eigentlich nur, den SPoF zu vermeiden, egal wie. Das geht am besten (und billigsten) durch (ggfs. massive) Redundanz. Also die Diensteanbieter in einem Pool verfügbar halten und den Clients die Liste der Server im Pool zugänglich machen, ggfs. kann man da auf Konzepte von P2P-Netzen zurückgreifen, also andere Clients fragen, mit wem sie denn grade reden. Wenn ein Client keinen Server mehr findet, tut´s ein simpler UDP-Broadcast nach einem laufenden Server aber zur Not auch...

cu
Narses

Ich habe heute erfahren, dass das System jetzt doch auf einem virtualisierten Win 2008 Server laufen soll.
Somit bin ich wieder zurück beim Thema Virtualisierung...
Die Idee mit dem ePower-Switch hätte mir gut gefallen.

Also als erstes sollte man mal definieren, was unter Hochverfügbarkeit verstanden wird.
99,9% Rechner in A-Kraft-Zentralen, meist dreifach plus Serverkoordinator(Server)
99-95% Hoher personeller Aufwand, Rufbereitschaft aus dem Werk, Zwei Rechner.Bei beiden HotStandBy-Maschinen und
95-90% Zwei Rechner, Rufbereitschaft von zu Haus
ab 89% einschalten und hoffen das es längerfristig geht.
Das Wichtigste: USV mit Standzeit min. vereinbarte Anrückzeit der Rufbereitschaft UND bis Vollbackup gelaufen ist, das wiederum hochverfügbar sein muß. Besonders abgesicherte Kabelverlegung.
Das ist wirklich nur ein winziger Bruchteil eines Lastenheftes zu Thema. Alles darunter ist Kindergeburtstag. Und
glaubt mit, es fallen Teile aus, an denen ihr nienimmernich gedacht hättet. Das Bedeutet, alle beteiligten Rechner alls Ersatzteile im Keller.
Eine gute Verfügbarkeit hat nichts mit Hochverfügbarkeit zu tun.EIn Hochverfügbarkeits Lastenheft kann schon mal einige 10 DINA4-Blätter enthalten.
Wenn ihr meint, das ist alles Blödsinn, dann redent nicht mehr von Hochverfügbarkeit

delphi10 hat folgendes geschrieben :

Also als erstes sollte man mal definieren, was unter Hochverfügbarkeit verstanden wird. 99,9% Rechner in A-Kraft[...]

Wenn ich mir die Definitionen des BSI ansehe, stimmen deine Zahlen glaub nicht so ganz.
Ein Ausfall von 44 Min. im Monat dürftte hier wohl kaum akzeptabel sein. BSI Hochverfügbarkeitskompendium

delphi10 hat folgendes geschrieben :

[...]Wenn ihr meint, das ist alles Blödsinn[...]

Hat das irgendwer behauptet?

Mich würde auch mal interessieren, was genau du unter "Hochverfügbarkeit" verstehst. Geht es wirklich darum, dass dort eine riesige Produktionslinie von diesem einen Rechner abhängig ist oder droht nicht der finanzielle Ruin, wenn der Rechner mal 1 Minute nicht läuft?

Es kann durchaus mehrere Produktionslinen geben, die dieses System benötigen.
Bei einem Ausfall von 1 Min. ist da sicherlich noch kein Disaster.
Ziel sollte aber sein, im Monat Ausfallzeiten von 5 Min. nicht zu überschreiten

Dann mal eine ganz verrückte Idee: Du stellst ganz einfach zwei Rechner nebeneinander. Die kritischen Daten werden auf beiden Rechnern synchronisiert. Sobald ein Fehler auftritt, wird der Produktivrechner abgeklemmt und der Backuprechner bekommt dessen IP und wird angeklemmt. So sollte doch ein absolut minimaler Aufwand gegeben sein, und innerhalb von 5 Minuten hat man das auch umgestellt. Bei allem anderen wird der Aufwand so extrem hoch und es kommen so viele Fehlermöglichkeiten hinzu, dass es sich kaum lohnt?

Genau so in etwa stell ich mir das vor.
Nur halt eben irgendwie automatisiert. Der Backuprechner muss selbständig übernehmen können.
Wenn der Primärrechner ausfällt und nicht sofort jemand greifbar ist, der "umklemmen" kann, wirds fast unmöglich die 5 Min. einzuhalten.

Ich schätze mal, dass der ganze Software-/Hardwareaufwand für das Automatisieren nicht lohnt. Denn wenn das nicht funktioniert, muss trotzdem immer einer innerhalb von 5 Minuten da sein...

Peter2002 hat folgendes geschrieben :

delphi10 hat folgendes geschrieben : Also als erstes sollte man mal definieren, was unter Hochverfügbarkeit verstanden wird. 99,9% Rechner in A-Kraft[...] Wenn ich mir die Definitionen des BSI ansehe, stimmen deine Zahlen glaub nicht so ganz. Ein Ausfall von 44 Min. im Monat dürftte hier wohl kaum akzeptabel sein. BSI Hochverfügbarkeitskompendium delphi10 hat folgendes geschrieben : [...]Wenn ihr meint, das ist alles Blödsinn[...] Hat das irgendwer behauptet?

Nö, aber meist werden die Zahlen ja angezweifelt außerhalb der betroffen Szene.
Und ja, Pro TAG 0,1% pro Tag 1,44min - noch schärfer kann es gehen bei Produktionsschicht, d.h. pro 6-8h. Das musste erstmal toppen, da dauert das Raussuchen des Handbuches schon länger.
Jeder manuelle Eingriff zu Störungsbeseitigung ist kontraproduktiv und sollte unbedingt auf maschineller Ebene automatisch gehandelt werden. Anders sind die geforderten Zeiten nicht zu schaffen. Denn sonst stehste da als externer Betreiber und überlegst, woher du die Pönnale kriegen sollst..

Moin!

Peter2002 hat folgendes geschrieben :

Nur halt eben irgendwie automatisiert. Der Backuprechner muss selbständig übernehmen können.

Ich stelle mir schon die ganze Zeit die Frage, ob du einen Hardware- oder einen Software-Ausfall absichern willst - oder beides?

Für einen Hardware-Ausfall würde ich heutzutage auf einen VM-Cluster aufsetzen, was anderes lohnt doch kaum. Vor allem musst du ja genau genommen noch ein Proof-of-Concept vorlegen, um im Falle eines Ausfalles nicht mit runtergelassener Hose darzustehen. Bei sowas würde ich lieber auf eine fertige und deshalb getestete Lösung aufsetzen. Wir betreiben einen VMware vCenter-Server mit zwei VMware-ESX-Hosts, die per Heartbeat synchron sind. Fällt eine Maschine aus, übernimmt die andere nahtlos in ca. 260ms, merkt man kaum ein "Ruckeln", ziemlich gut. Zugegeben, kostet zwar auch "etwas" Geld, aber das ist letztlich nur ein Rechenexempel, was der Ausfall des Produktiv-Systems kosten würde...

Für die Absicherung eines Softwareausfalls ist das natürlich nix, hier hilft wirklich nur (möglichst massive) Redundanz.

Für eine saubere Absicherung brauchst du, ganz genau genommen, beides.

cu
Narses

Nun ja, absichern muss ich letztlich alles.
Momentan geht es mir aber ehere um die Software. Sprich wenn Dienst abstürzt, Deadlock, Endloschleife usw.
Jetzt muss ich ja irgendwie dafür sorgen können, dass es weitergeht. Den Fehler automatisch zu finden und zu behenben dürfte schwierig werden. Da ist es vermutlich einfacher ne Mail wegzuschicken und einen anderen übernehmen zu lassen.

Hallo,

Zur Realisierung der Hochverfügbarkeit habe ich eine neue Idee...
In wie weit müsste ich meine Dienste anpassen, damit diese in einem Windows 2008 R2 Failover-Cluster laufen.
Bzw. kann ich mit so einem Konstrukt überhaut einen Software-Ausfall abfangen?

bummi hat folgendes geschrieben :

Die Dienste könnten eine Statusliste mit Timestamp als Ringbuffer vorhalten, ein Watchdogdienst checkt regelmäßig den Ringbuffer.

Hallo,

und wer checkt den Watchdogdienst? Ich würde mir erst mal ein System aus 2 Diensten aufbauen und testen, die sich gegenseitig überwachen und restarten. Ist das nahezu unstörbar, kann man damit andere Dienste überwachen.

Ein wesentliches Problem ist auch, einen erkanntermassen nicht mehr funktionsfähigen Dienst völlig rückstandsfrei zu entfernen. Sonst hat es sich mit der Verfügbarkeit spätestens dann, wenn der verbleibende Müll alles andere zugeschüttet hat.

Gruss Reinhard

Die Frage ist ja ob mir Win 2008 Cluster da hilft. Komm ich da vielleicht um die Entwicklung eines solchen Watchdogs rum?