EC2 und RDS

Amazon erklärt Ausfall seiner Cloud-Server

Ein Routingfehler im Rahmen eines Netzwerkupgrades ist für den Ausfall von Amazons Cloud-Servern verantwortlich. Der kleine Fehler führte zu einer Kettenreaktion, langen Ausfällen und bei einigen Kunden sogar zu Datenverlust.

Anzeige

Amazon hat den Ausfall seiner Cloud-Server in den USA am Osterwochenende ausführlich erläutert und erklärt, wie dies in Zukunft verhindert werden soll. Ausgangspunkt war ein Routingfehler im Rahmen eines Netzwerkupgrades für den Cloud-Speicherdienst Amazon Elastic Block Store (EBS). Dieser verfügt über zwei Netzwerke, ein primäres mit hoher Kapazität und ein sekundäres mit verringerter Kapazität. Darüber kommunizieren die einzelnen Cluster-Nodes einer EBS-Zone miteinander. Statt den Netzwerkverkehr für das Update auf einen redundanten Router des primäres Netzes umzuleiten, wurde der Traffic einiger Nodes des EBS-Clusters auf das sekundäre Netz geleitet, was dafür nicht ausgelegt ist. Dies setzte eine Kettenreaktion in Gang, die durch Mechanismen verstärkt wurde, die Datenverlust verhindern sollen.

Infolge des Routingfehlers war eine größere Zahl an EBS-Nodes komplett von den übrigen EBS-Nodes abgeschnitten, da sowohl das primäre als auch das sekundäre Netz wegfielen. Da die einzelnen Nodes ihre Daten immer auf andere Nodes replizieren, verloren die abgeschnittenen Nodes auch die Verbindung zu ihren Replikationspartnern. Nachdem der Rountingfehler korrigiert war, taten diese Nodes, was eigentlich Datenverlust verhindern soll: Sie suchten neue Replikationspartner mit freiem Speicherplatz. Was in einem normal funktionierenden Cluster nur einige Millisekunden dauert, nahm in diesem Fall aber viel Zeit in Anspruch, denn aufgrund der vielen Anfragen stand so schnell kein freier Speicherplatz im Cluster zur Verfügung. Dadurch blieben rund 13 Prozent der EBS-Nodes in dieser Zone hängen, beantworteten also weder Schreib- noch Leseanfragen.

Das EBS-Kontrollsystem wurde ebenfalls in Mitleidenschaft gezogen, so dass in dem Cluster keine neuen Volumes mehr angelegt werden konnten.

Verschlimmert wurde alles noch durch zwei weitere Faktoren: Die ausgefallenen Nodes hörten nicht auf, nach freiem Speicherplatz zu suchen und es trat eine Race-Condition im EBS-Code zutage, was zu weiteren Ausfällen von EBS-Nodes führte.

Amazons EC2-Server greifen auf EBS zu, um ihre Daten zu speichern und waren dadurch ebenfalls betroffen. Wenn ein Node seinen Replikationspartner wechselt, dann muss dies der zugehörigen EC2-Instanz gemeldet werden. Das sorgt für hohe Konsistenz der EBS-Volumes, in diesem Fall aber auch dafür, dass der dazugehörige Kontrolldienst unter hohe Last geriet, was den Anfragestau nochmals erhöhte und sich das auch auf andere Zonen auswirkte.

Auch Amazon Relational Database Service betroffen

Besonders hart traf der Ausfall allerdings Amazons Relational Database Service (RDS), der auf EBS zugreift, um dort Datenbanken und Logfiles zu speichern. Fällt nur ein EBS-Volume aus, bleibt die gesamte RDS-Instanz hängen. Da RDS-Instanzen in aller Regel auf mehrere EBS-Volumes zugreifen, waren in der betroffenen Zone bis zu 45 der RDS-Instanzen betroffen.

Um ähnliche Vorfälle in Zukunft zu vermeiden, will Amazon an mehreren Punkten ansetzen: Erstens sollen Veränderungen genauer geprüft und stärker automatisiert werden, so dass ein Rountingfehler, wie im aktuellen Fall, nicht mehr auftritt. Zweitens soll EBS fehlertoleranter werden. Amazon will zudem mehr freie Kapazitäten vorhalten, damit künftig auch bei solch großen Ausfällen ausreichend Ressourcen zur Verfügung stehen. Auch das Verhalten der Nodes in Fehlerfällen soll verändert werden, damit sich eine Kettenreaktion, wie im vorliegenden Fall, nicht wiederholen kann. Und auch die aufgetretene Race-Condition wurde identifiziert und eine Korrektur wird getestet.

Eine Sache können auch die Amazon-Kunden machen, um die Auswirkungen solcher Ausfälle auf ihr Geschäft zu verringern: Amazon bietet die Möglichkeit, Dienste über mehrere Verfügbarkeitszonen zu verteilen. Wer das getan hat, sollte im aktuellen Fall kaum Auswirkungen gespürt haben, da die Problematik weitgehend auf eine solche Verfügbarkeitszone beschränkt war. Allerdings ist die Nutzung mehrerer Verfügbarkeitszonen mit etwas Aufwand auf Applikationsseite verbunden. Das will Amazon künftig reduzieren, damit mehr Kunden ihre Angebote auf mehrere Zonen verteilen können.

Kunden, deren Server oder Datenbanken auf EBS-Volumes in der betroffenen Zone zugegriffen haben, gewährt Amazon zehn Tage kostenlose Nutzung, ganz gleich, ob ihre Server oder Datenbanken von den Problemen direkt betroffen waren oder nicht.


SunnyS 01. Mai 2011

Ich würde sagen, man hat zwar eine gute Idee gehabt aber eben nicht an alles gedacht. So...

Hotohori 30. Apr 2011

Das stimmt, die Offenheit hilft sicherlich zum einen ein paar Kunden doch halten zu...

Kommentieren




Anzeige

  1. Head of Customer Service (m/w)
    Nemetschek Allplan Deutschland GmbH, München
  2. Gruppenleiter/-in Security und IT-Systeme
    Robert Bosch GmbH, Renningen
  3. Softwareentwickler C++/C# (m/w) für die Analysetools CANoe und CANalyzer
    Vector Informatik GmbH, Stuttgart, Karlsruhe
  4. Software Developer (m/w)
    European XFEL GmbH, Hamburg

 

Detailsuche


Folgen Sie uns
       


  1. HDMI-Handshake

    Firmware 2.0 lässt manche Playstation 4 verstummen

  2. Motorola

    Lenovo übernimmt Googles Smartphone-Sparte

  3. Osquery

    Systemüberwachung per SQL von Facebook

  4. Sicherheitslücke

    Drupal-Team warnt erneut vor Folgen

  5. Spieldesign

    Kampf statt Chaos

  6. Techland

    Last-Gen-Konsolen zu schwach für Dying Light

  7. Passport im Test

    Blackberry beweist Format

  8. Streaming

    Sky als Online-Abo mit Live-TV und Einzelabruf

  9. Band

    Microsofts Wearable hört und fühlt

  10. Quartalszahlen

    Samsungs Gewinn bricht wegen Preiskampf bei Smartphones ein



Haben wir etwas übersehen?

E-Mail an news@golem.de



FTDI: Windows-Treiber kann Bastelrechner beschädigen
FTDI
Windows-Treiber kann Bastelrechner beschädigen
  1. FTDI Treiber darf keine Geräte deaktivieren
  2. Bei Windows Update gelöscht Keine Killer-Treiber mehr für gefälschte FTDI-Chips

Ubuntu 14.10: Zum Geburtstag kaum Neues
Ubuntu 14.10
Zum Geburtstag kaum Neues
  1. Thomas Voß "Mir ist in zwei Jahren relevanter als Wayland"
  2. Ubuntu Unity 8 soll Standard in 16.04 werden
  3. Ubuntu Unity-Lockscreen-Bug kann Passwort verraten

Spacelift: Der Fahrstuhl zu den Sternen
Spacelift
Der Fahrstuhl zu den Sternen
  1. Raumfahrt Mondrover Andy liefert Bilder für Oculus Rift
  2. Geheimmission im All Militärdrohne X-37B nach Langzeiteinsatz gelandet
  3. Raumfahrt Indische Sonde Mangalyaan erreicht den Mars

    •  / 
    Zum Artikel