Unternehmen, die ihre Anwendungen in die Cloud verlagern, versprechen sich davon neben niedrigeren Kosten vor allem eine höhere Ausfallsicherheit. Cloud-native Anwendungen, so zumindest die Theorie, laufen auf irgendeiner virtuellen Maschine irgendwo in der Cloud.

Stirbt die VM, startet die Anwendung in einer anderen VM neu – oder es laufen gleich mehrere Instanzen der Anwendung verteilt auf verschiedenen VMs, sodass immer irgendwo eine verfügbar ist. Dass es in der Praxis nicht immer so glatt läuft, hat beispielsweise der große Ausfall von AWS im Dezember letzten Jahres gezeigt.

Das Szenario einer verteilten, Cloud-nativen Anwendung hat sich das Uptime-Institut, spezialisiert auf Beratung, Forschung und Zertifizierung im Bereich Rechenzentren, in Bezug auf die Ausfallsicherheit näher angesehen. Die Frage war: Welchen Aufwand muss man treiben, um welchen Grad an Ausfallsicherheit zu erreichen, und was kostet das? Als Beispiel-Cloud diente Amazons AWS, die Daten sollen aber grob auf andere große Hyperscaler übertragbar sein.

Ausfallsicher um jeden Preis?

Die Studie orientiert sich an der Aufteilung in Zonen und Regionen, wie sie alle großen Cloud-Anbieter vornehmen: Regionen wie us-east-1 oder eu-central-1 sind vollständig von anderen Regionen getrennt, der Ausfall einer Region sollte andere Regionen nicht beeinträchtigen.

Ressourcen werden nicht automatisch über unterschiedliche Regionen repliziert. Zonen (z.B. us-east-1) sind isolierte Standorte innerhalb einer Region und darauf angelegt, bei Ausfall einer Instanz Workloads voneinander zu übernehmen.

Höhere Verfügbarkeit muss nicht unbedingt mehr kosten. (Bild: Uptime Institute)

Das Uptime Institute betrachtet drei Szenarien: Ausfall einer virtuellen Maschine, einer Zone und einer ganzen Region. Unterschieden wird dann noch zwischen einem Failover-Szenario (nach Ausfall einer Instanz startet eine neue Instanz in einer anderen VM, was bis zu 15 Minuten Ausfall bedeuten kann) und einem Active-Active-Szenario, in dem die neue Instanz sofort ohne Ausfallzeit übernimmt. Als zustandslose Testanwendung diente eine einfache WordPress-Website, die statische Daten ausliefert. Zustandsbehaftete Anwendungen, die dynamisch Daten verarbeiten, sollen in einer weiteren Studie untersucht werden.

Mehrere Zonen ohne Aufpreis

Gegenüber einer einfachen WordPress-VM verursacht ein Szenario mit zwei aktiven VMs und einem LoadBalancer (Active-Active) Mehrkosten von 43 Prozent. Dabei spielt es bei den Kosten keine Rolle, ob die zweite VM in der gleichen oder in einer anderen Zone läuft, wohl aber bei der Verfügbarkeit: Für zwei VMs in der gleichen Zone verspricht AWS eine Verfügbarkeit von 99,95 Prozent, für zwei VMs in unterschiedlichen Zonen garantiert AWS 99,99 Prozent Verfügbarkeit. Im Failover-Szenario betragen die Mehrkosten in beiden Fällen 14 Prozent.

Das komplexeste Szenario kann auch mit dem Ausfall einer ganzen Region umgehen. (Bild: Uptime Institute)

Teurer wird es, wenn die Instanzen über zwei Regionen verteilt werden: Je nachdem, ob die Instanz in der zweiten Region bereits läuft oder erst noch hochgefahren werden muss, betragen die Mehrkosten zwischen 51 und 111 Prozent im Active-Active-Szenario. Die rechnerische Verfügbarkeit liegt bei 99,999999 Prozent – das ist weniger als eine Sekunde Ausfall im Jahr.

Die Studie des Uptime-Instituts steht gegen Abgabe von Kontaktdaten zum Download zur Verfügung. Sie führt die Szenarien und Kosteberechungen detailliert aus und diskutiert sowohl die Service Level Agreements der Cloud-Anbieter als auch die Kompensationen, die sie bei einem Ausfall zahlen.

(odi)