EC2 und RDS

Amazon erklärt Ausfall seiner Cloud-Server

Ein Routingfehler im Rahmen eines Netzwerkupgrades ist für den Ausfall von Amazons Cloud-Servern verantwortlich. Der kleine Fehler führte zu einer Kettenreaktion, langen Ausfällen und bei einigen Kunden sogar zu Datenverlust.

Anzeige

Amazon hat den Ausfall seiner Cloud-Server in den USA am Osterwochenende ausführlich erläutert und erklärt, wie dies in Zukunft verhindert werden soll. Ausgangspunkt war ein Routingfehler im Rahmen eines Netzwerkupgrades für den Cloud-Speicherdienst Amazon Elastic Block Store (EBS). Dieser verfügt über zwei Netzwerke, ein primäres mit hoher Kapazität und ein sekundäres mit verringerter Kapazität. Darüber kommunizieren die einzelnen Cluster-Nodes einer EBS-Zone miteinander. Statt den Netzwerkverkehr für das Update auf einen redundanten Router des primäres Netzes umzuleiten, wurde der Traffic einiger Nodes des EBS-Clusters auf das sekundäre Netz geleitet, was dafür nicht ausgelegt ist. Dies setzte eine Kettenreaktion in Gang, die durch Mechanismen verstärkt wurde, die Datenverlust verhindern sollen.

Infolge des Routingfehlers war eine größere Zahl an EBS-Nodes komplett von den übrigen EBS-Nodes abgeschnitten, da sowohl das primäre als auch das sekundäre Netz wegfielen. Da die einzelnen Nodes ihre Daten immer auf andere Nodes replizieren, verloren die abgeschnittenen Nodes auch die Verbindung zu ihren Replikationspartnern. Nachdem der Rountingfehler korrigiert war, taten diese Nodes, was eigentlich Datenverlust verhindern soll: Sie suchten neue Replikationspartner mit freiem Speicherplatz. Was in einem normal funktionierenden Cluster nur einige Millisekunden dauert, nahm in diesem Fall aber viel Zeit in Anspruch, denn aufgrund der vielen Anfragen stand so schnell kein freier Speicherplatz im Cluster zur Verfügung. Dadurch blieben rund 13 Prozent der EBS-Nodes in dieser Zone hängen, beantworteten also weder Schreib- noch Leseanfragen.

Das EBS-Kontrollsystem wurde ebenfalls in Mitleidenschaft gezogen, so dass in dem Cluster keine neuen Volumes mehr angelegt werden konnten.

Verschlimmert wurde alles noch durch zwei weitere Faktoren: Die ausgefallenen Nodes hörten nicht auf, nach freiem Speicherplatz zu suchen und es trat eine Race-Condition im EBS-Code zutage, was zu weiteren Ausfällen von EBS-Nodes führte.

Amazons EC2-Server greifen auf EBS zu, um ihre Daten zu speichern und waren dadurch ebenfalls betroffen. Wenn ein Node seinen Replikationspartner wechselt, dann muss dies der zugehörigen EC2-Instanz gemeldet werden. Das sorgt für hohe Konsistenz der EBS-Volumes, in diesem Fall aber auch dafür, dass der dazugehörige Kontrolldienst unter hohe Last geriet, was den Anfragestau nochmals erhöhte und sich das auch auf andere Zonen auswirkte.

Auch Amazon Relational Database Service betroffen

Besonders hart traf der Ausfall allerdings Amazons Relational Database Service (RDS), der auf EBS zugreift, um dort Datenbanken und Logfiles zu speichern. Fällt nur ein EBS-Volume aus, bleibt die gesamte RDS-Instanz hängen. Da RDS-Instanzen in aller Regel auf mehrere EBS-Volumes zugreifen, waren in der betroffenen Zone bis zu 45 der RDS-Instanzen betroffen.

Um ähnliche Vorfälle in Zukunft zu vermeiden, will Amazon an mehreren Punkten ansetzen: Erstens sollen Veränderungen genauer geprüft und stärker automatisiert werden, so dass ein Rountingfehler, wie im aktuellen Fall, nicht mehr auftritt. Zweitens soll EBS fehlertoleranter werden. Amazon will zudem mehr freie Kapazitäten vorhalten, damit künftig auch bei solch großen Ausfällen ausreichend Ressourcen zur Verfügung stehen. Auch das Verhalten der Nodes in Fehlerfällen soll verändert werden, damit sich eine Kettenreaktion, wie im vorliegenden Fall, nicht wiederholen kann. Und auch die aufgetretene Race-Condition wurde identifiziert und eine Korrektur wird getestet.

Eine Sache können auch die Amazon-Kunden machen, um die Auswirkungen solcher Ausfälle auf ihr Geschäft zu verringern: Amazon bietet die Möglichkeit, Dienste über mehrere Verfügbarkeitszonen zu verteilen. Wer das getan hat, sollte im aktuellen Fall kaum Auswirkungen gespürt haben, da die Problematik weitgehend auf eine solche Verfügbarkeitszone beschränkt war. Allerdings ist die Nutzung mehrerer Verfügbarkeitszonen mit etwas Aufwand auf Applikationsseite verbunden. Das will Amazon künftig reduzieren, damit mehr Kunden ihre Angebote auf mehrere Zonen verteilen können.

Kunden, deren Server oder Datenbanken auf EBS-Volumes in der betroffenen Zone zugegriffen haben, gewährt Amazon zehn Tage kostenlose Nutzung, ganz gleich, ob ihre Server oder Datenbanken von den Problemen direkt betroffen waren oder nicht.


SunnyS 01. Mai 2011

Ich würde sagen, man hat zwar eine gute Idee gehabt aber eben nicht an alles gedacht. So...

Hotohori 30. Apr 2011

Das stimmt, die Offenheit hilft sicherlich zum einen ein paar Kunden doch halten zu...

Kommentieren




Anzeige

  1. IT-Trainee (m/w)
    Allianz Deutschland AG, Stuttgart
  2. Business Project Expert (m/w) Production Planning
    Fresenius Medical Care Deutschland GmbH, Bad Homburg
  3. Entwic­kler Con­trol­ling­sys­teme (m/w)
    Bitburger Braugruppe GmbH, Bitburg
  4. Bauingenieur / Bauingenieurin - Baubetrieb
    Ed. Züblin AG, Stuttgart

 

Detailsuche


Folgen Sie uns
       


  1. Kitkat-Smartphone

    Samsungs Galaxy Ace Style kommt früher

  2. Netmundial-Konferenz

    Netzaktivisten frustriert über "Farce" der Internetkontrolle

  3. Zalando

    Onlinekleiderhändler schließt einen Standort

  4. Apple vs. Samsung

    Google versprach Samsung Hilfe im Patentstreit mit Apple

  5. Deadcore

    Indiegames-Turmbesteigung für PC, Mac und Linux

  6. Reprap

    "Waschmaschinen werden auch nur 5% der Lebenszeit verwendet"

  7. Spam

    AOL bekämpft Spam mit Verschärfung der DMARC-Einstellung

  8. Mac OS X

    Sicherheitsupdate und Beta-Versionen für alle

  9. Onlinemodus

    Civ 3 und 4 sowie Borderlands ziehen um

  10. Grafikkarte

    Radeon R9 295X2 für 1.500 Euro verfügbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Techniktagebuch auf Tumblr: "Das Scheitern ist viel interessanter"
Techniktagebuch auf Tumblr
"Das Scheitern ist viel interessanter"

Im Techniktagebuch schreiben zwei Dutzend Autoren über den Alltag mit Computern, Handys und anderen Geräten. Im Gespräch mit Golem.de erläutert die Initiatorin Kathrin Passig, warum nicht jeder Artikel eine Pointe und nicht jeder Autor ein hohe Technikkompetenz haben muss.


Radeon R9 295X2 im Test: AMDs Wassermonster für 1.000-Watt-Netzteile
Radeon R9 295X2 im Test
AMDs Wassermonster für 1.000-Watt-Netzteile

Hybridkühlung, 50 Ampere auf der 12-Volt-Schiene - AMDs neue Dual-GPU-Grafikkarte ist ein kompromissloses Monster. In gut ausgestatteten High-End-PCs läuft sie dennoch problemlos und recht leise, und das so schnell, dass auch 4K-Auflösung mit allen Details spielbar wird.

  1. Grafiktreiber von AMD Catalyst 14.4 nicht nur für 295X2 öffentlich verfügbar
  2. Globalfoundries-Kooperation mit Samsung AMDs Konsolengeschäft kompensiert schwache CPU-Sparte
  3. Nvidia Maxwell Geforce GTX 750 und GTX 750 Ti im Februar

Owncloud: Dropbox-Alternative fürs Heimnetzwerk
Owncloud
Dropbox-Alternative fürs Heimnetzwerk

Kaputte Zertifikate durch Heartbleed und der NSA-Skandal: Es gibt genügend Gründe, seinen eigenen Cloud-Speicher einzurichten. Wir erklären mit Owncloud auf einem Raspberry Pi, wie das funktioniert.


    •  / 
    Zum Artikel