Re: LAMP: ansatz korrekt?

Autor: Marc Haber <mh+uugrn_at_zugschlus.de>
Datum: Tue, 18 Nov 2008 14:49:40 +0100
Hallo Markus,

On Tue, Nov 18, 2008 at 01:21:55AM +0100, Markus Bucher wrote:
> >Hat die Installation so viel zu tun dass die Trennung von Apache und
> >MySQL not tut?
> >  
> Ja, wir rechnen mit > 4M PI/Monat
> >Ist es im Störungsfall wichtig, dass man wirklich auf aktuellem
> >Datenbankstand weiterfährt, oder ist akzeptabel, dass man (z.B.
> >viermal am Tag) Schnappschüsse der Datenbank macht und die dann
> >rübersynced?
> >
> >Wenn der Rückfall auf den letzten Schnappschuss akzeptabel ist, würde
> >ich auf die Replikation verzichten (das war mir immer schon
> >unsympathisch) und besser mit mylvmbackup arbeiten.
> >  
> Bislang läuft die Replikation reibungslos. Da dahinter unter anderem ein 
> Shop steht kommen wir mit 4 Snapshots eher nicht aus.

Ok, dann braucht's den größeren Aufwand.

> >>Mein zweiter Teil betrifft den Nameserver. Ich dachte mir, Server 1 als 
> >>primary und Server 2 als secondary nameserver laufen zu lassen.
> >>    
> >
> >Sind die beiden Server in unterschiedlichen Netzen?
> >  
> Ja. ein 85er und ein 214er oder so.

Das ist für die Redundanz vorteilhaft, für das Zusammenspiel zwischen
Applikation und Datenbank eher nicht.

Wenn der Redundanzgedanke auch den Wunsch nach Katastrophenfestheit
beinhaltet, muss man sich auch Gedanken über die Räumliche Trennung
der beiden Systeme machen. Das wiederum erzeugt Latenzen zwischen den
Systemen, was gegen die Verwendung von System B als Datenbank für
System A spricht.

> >Das ist nicht so einfach, weil Du in aller Regel keinen Einfluss
> >darauf hast, welcher Server zuerst gefragt wird. Der DNS selbst - im
> >Gegensatz zum Fall SMTP - kennt das Konzept von primary und secondary
> >nicht.
>
> Schade eigentlich.

Ein Fallback-Mechanismus wäre auf den ersten Blick sexy, aufgrund von
räumlich begrenzten Störungen könnte man aber auf diese Weise auch
leicht Situationen erzeugen, bei denen die eine Hälfte der Welt auf
dem Fallbacksystem arbeitet, obwohl das primäre System von der anderen
Hälfte der Welt erreichbar ist.

> >Ich würde beide Server als Master laufen lassen und die Datenbestände
> >mit rsyncen, weil Du ja eh ein rsync am Hals hast.
> >
> >Steht im Pflichtenheft, dass das Failover transparent und ohne
> >menschlichen Eingriff zu erfolgen hat?
> >  
> Hatte ich mal so geplant. Du meinst, das kann ich so vergessen? Wäre es 
> schlauer, die NS-Einträge von einem dritten Rechner verwalten zu lassen, 
> der dann wenn nötig die Daten ändert?

Das ist alles eine Frage des Geldes und der Ansprüche die man hat.
Wenn man mal hohe Ansprüche voraussetzt und die finanzielle Seite
außer Acht lässt, könnte ich mir das folgende Setup vorstellen:

  * Datenbank und Applikationsserver sind gedoppelt, beide Instanzen
    (also vier Systeme) stehen in unterschiedlichen Rechenzentren
    (Produktiv P und Backup B) in unterschiedlichen Autonomen Systemen.
  * Der Applikationsserver B dreht im Normalbetrieb Däumchen; der
    Datenbankserver B läuft als Slave des Datenbankservers P mit.
  * Die Domains sind zu einem Anbieter mit hochverfügbarem DNS delegiert

Die wirkliche Herausforderung entsteht, wenn im Katastrophenfall (RZ P
brennt ab, Hardware P stirbt) die Umschaltung notwendig ist. Wenn man
das mit DNS-Änderungen erschlagen will, hat man eine Ausfallzeit von
maximal der TTL des DNS-Eintrags, die man nicht zu niedrig ansetzen
möchte wenn man will dass die großen ISPs sie noch beachten. Ob man
die Änderung des DNS-Eintrags dann händisch oder automatisch macht,
ist Geschmackssache; ein Projekt dieser Größenordnung wird ja eh eine
organisierte Bereitschaft haben.

Wenn diese Ausfallzeit (Größenordnung ein paar Stunden) nicht
hinnehmbar ist, muss man ein Szenario bauen, das den Übergang der
IP-Adressen im Störungsfall auf ein anderes RZ ermöglicht, dazu
braucht's ein eigenes Autonomes System und ein eher fünfstelliges
Budget. Darüber lass ich mich dann aus, wenn es gewünscht wird.

Grüße
Marc
 

-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Mannheim, Germany  |  lose things."    Winona Ryder | Fon: *49 621 72739834
Nordisch by Nature |  How to make an American Quilt | Fax: *49 3221 2323190
--
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Empfangen am 18.11.2008

Dieses Archiv wurde generiert von hypermail 2.2.0 : 18.11.2008 CET