Die Vorteile der Virtualisierung von Systemen werden allgemein anerkannt. Sie liegen in einer besseren Auslastung der gesamten Hardware-Ressourcen, was wiederum zu geringerem Platz- und Energiebedarf führt, sowie eine höhere Flexibilität. Der größte Schwachpunkt ist die Abhängigkeit vieler virtuellen Instanzen von einer Hardware, die damit zum Single-Point-of-Failure wird. Um das zu vermeiden, müssen virtuelle Infrastrukturen in jeden Fall auch hochverfügbar ausgelegt sein. Dass Hochverfügbarkeit und Virtualisierung sich nicht gegenseitig ausschließen, sondern einander bedingen, zeigen wir in diesem Beitrag auf.
Bei der Servervirtualisierung erfolgt die virtuelle Nachbildung eines Rechners in einer virtuellen Umgebung. In diesem virtuellen Rechner, lässt sich dann ein Betriebssystem mitsamt seinen Applikationen einrichten, geradeso, wie auf einem physischen Rechner. Dies hat enorme Kostenvorteile, denn hierbei wird ein physischer Rechner zum Träger von mehreren Betriebssystemen und den darin aufbauenden Applikationsdiensten. Der Kostenvorteil entsteht durch den Parallelbertrieb mehrerer virtueller Maschinen auf einem physischen Server. Gleichzeitig wird das Hostsystem, damit zum Single-Point-of-Failure. Fällt er aus, so sind davon alle virtuellen Gäste betroffen. Selbst wenn es zu keinem Totalausfall des Hosts kommen mag, auch bei partiellen Störungen, wie etwa der Netzwerkanbindung, der Stromversorgung oder eines Speichermoduls werden alle virtuellen Gäste in Mitleidenschaft gezogen. Dies gilt deswegen, da sich in der Regel die virtuellen Gäste die Ressourcen des Hostsystems teilen. Eine 1:1 Zuordnung der Ressourcen zu den Gästen ist in den meisten Fällen nicht vorgesehen.
Beim Einsatz von Virtualisierungstechniken sollte daher immer auch auf die Hochverfügbarkeit aller beteiligten Komponenten geachtet werden, denn sonst steigt das Ausfallrisiko. Liegen beispielsweise auf einem physischen Host zehn virtuelle Gäste mit ihren Applikationen, so senkt das zwar die Hardwarekosten deutlich und im Extremfall auf zehn Prozent, gleichzeitig steigt aber das Ausfallrisiko um den Faktor zehn an. Um das zu umgehen, müssen zur Virtualisierung immer ausfallsichere Hardwaresystem verwendet werden. Diese kombinieren die Vorteile der Virtualisierung und vermeiden dabei den größten Nachteil, den Single-Point-of-Failure. Die Hochverfügbarkeit wird somit zu einer Grundvoraussetzung beim Einsatz von virtuellen Infrastrukturen. Ohne Hochverfügbarkeit wird die Virtualisierung zum Vabanquespiel.
Zur Erreichung der Hochverfügbarkeit bestehen unterschiedliche Verfahren. Die umfassendste Variante liegt in der Duplizierung aller Komponenten, sowohl jener der Hardware, als auch der Software. Damit ist das gesamte System redundant aufgebaut. Der Ausfall einer Komponente wird dann durch das zweite System aufgefangen. Ein vollständiger Ausfallschutz ist aber nur dann gegeben, wenn das fehlerhafte Teil dann auch im laufenden Betrieb zu tauschen (hot-swapable) ist. Andernfalls verlangt der Tausch des defekten Bauteils wiederum das Abschalten des Servers mit allen seinen Gästen. Aus dem unkontrollierten Ausfall wird dann eine kontrollierte Auszeit. Für den Benutzer der Applikation sind die Auswirkungen, wenngleich zeitlich verschoben, ähnlich.
Eine weitere Technik besteht in der Bildung von Failover-Cluster. Diese können im aktiv-aktiv-Modus oder im aktiv-passiv-Verfahren betrieben werden. Clustersysteme bedingen in der Regel aber die Unterstützung des Betriebssystems und der Applikation, mitunter ist auch der Client involviert. Jede dieser Hochverfügbarkeits-Varianten hat unterschiedliche Anforderungen, aber auch ebenso unterschiedliche Vorzüge und Einsatzzwecke. Um den Benutzer in der Wahl der Virtualisierungstechnik nicht einzuschränken, bietet HP in seinen Serversystemen alle gängigen Varianten der Hochverfügbarkeit an, geht aber in der Absicherung des Ausfallrisikos über die Standardfunktionen hinaus. Dies wird durch eine konsequente Ausrichtung aller Komponenten an den Anforderungen zur Hochverfügbarkeit erreicht.
Nonstop-Integrity: Diese Variante stellt das Maximum an Hochverfügbarkeit, das mit technischen Mitteln erreichbar ist, dar. Hierbei sind sämtliche Serverkomponenten redundant ausgelegt. Dies umfasst alle aktiven Rechnerbaugruppen, von der Stromversorgung, der Kühlung der Netzwerkanbindung bis hin zu den passiven Bussystemen und der Backplane. Bei der Dual Modular Redundancy (DMR) sind alle Baugruppen doppelt vorhanden. Der Ausfall einer beliebigen Hardwarebaugruppe wird damit abgefangen. Durch hot-swapable Techniken ist das defekte Bauteil im laufenden Betrieb zu tauschen. Ab dem Moment des Ausfalls, bis zum Austausch, ist das System nicht mehr gegen eine weiteren Ausfall des Ersatzmoduls gewappnet. Wenn dennoch auch dieses Risiko eines erneuten Ausfalls der gleichen Baugruppe abgesichert werden muss, so steht dafür eine Variante mit doppelter Redundanz im Triple Modular Redundancy (TMR) zur Verfügung. Die Nonstop-Integrity stellt somit das Maximum an Ausfallsicherheit dar.
Standard Integrity: Wenn die Anforderungen nach Ausfallsicherheit nicht ganz so hoch sind, so stellt die Standard-Integrity die richtige Wahl dar. Bei dieser Variante erfolgt die Absicherung gegen einen möglichen Ausfall durch den Aufbau eines Failover-Clusters. Die Clusterknoten können dabei beliebig platziert sein. Handelt es ich um zwei Cellboards in einem Gehäuse (Enclosure), so schützt dieser Cluster gegen den Ausfall eines Cellboards. Beim Campus- oder Metrocluster kann die Distanz der Cellboards einige Dutzend Kilometer betragen. Diese Metro-Cluster schützen damit vor einem lokal begrenzten Ausfall des Systems. Durch Continental Cluster ist diese Absicherung sogar weltumspannend möglich. Sie basieren auf den Standard-IP-Netzen und haben somit keine räumliche Begrenzung mehr. Zur Verwaltung der Cluster steht der mit dem ServiceGuard eine seit Jahren bewährte Cluster-Software bereit.
Nähert man sich dem Thema der Hochverfügbarkeit von den elementaren Rechnerbaugruppen und –bausteinen und betrachtet diese aus dem Blickwinkel der Ausfallsicherheit, sie zeigt sich bei vielen Rechnerdesigns, das just die elementaren Baugruppen eben nicht gegen Ausfälle abgesichert sind. Getreu dem Speichwort „Eine Kette ist nur so starke wie ihr schwächstes Glied“ sollten aber alle Komponenten, die eine Fehlfunktion aufweisen können, abgesichert werden. Dies beginnt bei den Bussystemen, zieht sich fort in den Speicherbausteinen, der CPU, den IO-Kanälen, einem redundanten Speichersubsystem und schließlich der Stromversorgung samt Lüftung. Um eine umfassende Absicherung gegen jegliche Ausfälle der elementaren Baugruppen zu vermeiden, hat HP dazu den gesamten Aufbau der Integrity-Server-Reihe just an den Kriterien der Redundanz ausgelegt. ´
Arbeitsspeicher: Hinsichtlich der Speicherbausteine setzt man auf eine doppelte Absicherung. Zum einen verwenden die Systeme die Fehlerkorrektur nach dem ECC-Verfahren. Darüberhinaus ist jedes Speichermodul mit zwei Ersatzchips ausgestattet. Diese beiden Ersatzchips können im Fehlerfall dynamisch zugeschalten werden und ersetzen damit bis zu zwei fehlerhafte Chips. Nach Untersuchungen reduziert sich damit die Downtime für das System um den Faktor 17.
CPU: Je nach Konfiguration des Rechnersystems kommen unterschiedliche Cellboards mit mehreren Itanium-CPUs zum Einsatz. Durch die Konfiguration des Systems mittels der Policies des global Workload Manager („Regelwerke im Einklang mit den geschäftlichen Anforderungen“ /bitte Link zum zweiten Teil einfügen) wird die Rechenkapazität den Anforderungen dynamisch zugewiesen. CPUs lassen sich somit dynamisch zu- und abschalten. Durch diese Technik ist der Ausfall einer CPU abgesichert. Daneben weisen die Prozessoren der Itanium-Reihe aber auch eine eigene Fehlerkorrektur gegen Datenfehler auf. Der 24 MByte Cache der CPU hat dazu ebenfalls eine Fehlererkennung nach dem ECC-Verfahren implementiert.
Adressbus: Seit jeher werden in der Informatik Parity-Bits zur Prüfung als Plausibilitätsprüfung für Daten eingesetzt und haben sich dabei bewährt. HP hat dieses Verfahren in seinem Server auch auf den Adressbus erweitert. Damit werden Übertragungsfehler einer Adresse, wie etwa der CPU-Adresslogik und den Speicherbausteinen ausgeschlossen.
Bussystem für Erweiterungen: Zur Kommunikation mit Erweiterungskarten werden spezielle Bussysteme eingesetzt. Die Integrity Systeme werden wahlweise mit PCI-X oder PCI-E (Peripheral Component Interconnect eXtended/Express) ausgestattet. Die PCI-X/PCI-E-Bussysteme werden für Erweiterungskarten verwendet. Sie lösen den PCI-Bus ab und weisen gegenüber dem PCI eine höhere Übertragungsrate auf. HP sichert auch diese Bussysteme gegen Ausfälle oder Störungen ab. Durch das Error Handling reduziert sich die Fehlerrate und die Verfügbarkeit steigt um den Faktor 20 an.
IO-Bus: Die IO-Baugruppen sind in der Regel ohnehin mehrfach vorhanden und werden für die Kommunikation mit dem Speichersubsystem und dem Datennetzwerk benötigt. Durch Dualpath-IO sind sie gegen Ausfälle abgesichert. Durch eine dynamische Zuweisung der Netzwerkinterfaces zu den Applikationen in den Policies und Lastverteilung wird somit ein bestmöglicher Durchsatz und Ausfallsicherheit gewährleistet.
Backplane und Stromversorgung: statt einer einfachen Backplane setzt HP auf eine Crossbar Fabric. Diese separiert die physischen Partitionen und erhöht den Schutz vor Ausfällen wobei gleichzeitig die Performanz gesteigert wird.
Die geschilderten Vorkehrungen zur Absicherung überstreichen somit den gesamten Kommunikationspfad, den die Daten (oder Operationen) nehmen. Die Granularität dieser Absicherung umspannt dabei der Bewegung der Daten im Kleinen aber auch im Großen. Ausgehen von den Erweiterungsbaugruppen, über den Adressbus, die Speicherbausteine und schließlich die CPU ist die gesamte Kette auf einem Board abgesichert. Die Interboard-Kommunikation wird durch die Crossbar Fabric abgesichert. Failover-Cluster sichern den Ausfall von Rechnersystem ab und im Modus des Continental Cluster erfolgt dieses auch weltumspannend. Dabei greifen die einzelnen Schutzkonzepte nahtlos ineinander. Gleichzeitig arbeiten diese Mechanismen transparent im Hintergrund und erfordern keine Änderung in dem Softwaredesign oder Betriebssystem. Durch die Integration der Komponenten mit dem Systems Insight Manager und dem Virtual Server Environment (VSE) wird somit die Hochverfügbarkeit zum Stützpfeiler der Virtualisierung.
Sie sind Kunde von IBM, SUN oder Fujitsu Siemens Computers?
Dann haben Sie die Möglichkeit, beim Neukauf von Integrity Systemen Ihre alten Systeme in Zahlung zu geben!
Wir bieten Ihnen neben dem Preisnachlass zusätzlich Migrationsassessments und Migrationsservices an.
Interesse? Hier geht es zu den drei Trade-in Programmen:
1. FSC Primepower: www.hp.com/de/ich-will-integrity
2. SUN SPARC/SUN Fire: www.hp.com/de/ich-will-zukunft
3. IBM P-Serie und AS/400: www.hp.com/de/ich-will-flexibilitaet
Lesen Sie hier auch mehr zum Thema
|
|
HP Integrity Server Blades
Kompakt, schnell, effizient - jetzt zwei Monate lang kostenlos testen!
Erste Schritte: 
Virtualisierung mit Itanium:
Dual-Core Intel® Itanium® Processor