Abo
  • Services:

EC2 und RDS

Amazon erklärt Ausfall seiner Cloud-Server

Ein Routingfehler im Rahmen eines Netzwerkupgrades ist für den Ausfall von Amazons Cloud-Servern verantwortlich. Der kleine Fehler führte zu einer Kettenreaktion, langen Ausfällen und bei einigen Kunden sogar zu Datenverlust.

Artikel veröffentlicht am ,

Amazon hat den Ausfall seiner Cloud-Server in den USA am Osterwochenende ausführlich erläutert und erklärt, wie dies in Zukunft verhindert werden soll. Ausgangspunkt war ein Routingfehler im Rahmen eines Netzwerkupgrades für den Cloud-Speicherdienst Amazon Elastic Block Store (EBS). Dieser verfügt über zwei Netzwerke, ein primäres mit hoher Kapazität und ein sekundäres mit verringerter Kapazität. Darüber kommunizieren die einzelnen Cluster-Nodes einer EBS-Zone miteinander. Statt den Netzwerkverkehr für das Update auf einen redundanten Router des primäres Netzes umzuleiten, wurde der Traffic einiger Nodes des EBS-Clusters auf das sekundäre Netz geleitet, was dafür nicht ausgelegt ist. Dies setzte eine Kettenreaktion in Gang, die durch Mechanismen verstärkt wurde, die Datenverlust verhindern sollen.

Stellenmarkt
  1. ADG Apotheken-Dienstleistungsgesellschaft mbH, Mannheim
  2. über duerenhoff GmbH, Raum Aschaffenburg

Infolge des Routingfehlers war eine größere Zahl an EBS-Nodes komplett von den übrigen EBS-Nodes abgeschnitten, da sowohl das primäre als auch das sekundäre Netz wegfielen. Da die einzelnen Nodes ihre Daten immer auf andere Nodes replizieren, verloren die abgeschnittenen Nodes auch die Verbindung zu ihren Replikationspartnern. Nachdem der Rountingfehler korrigiert war, taten diese Nodes, was eigentlich Datenverlust verhindern soll: Sie suchten neue Replikationspartner mit freiem Speicherplatz. Was in einem normal funktionierenden Cluster nur einige Millisekunden dauert, nahm in diesem Fall aber viel Zeit in Anspruch, denn aufgrund der vielen Anfragen stand so schnell kein freier Speicherplatz im Cluster zur Verfügung. Dadurch blieben rund 13 Prozent der EBS-Nodes in dieser Zone hängen, beantworteten also weder Schreib- noch Leseanfragen.

Das EBS-Kontrollsystem wurde ebenfalls in Mitleidenschaft gezogen, so dass in dem Cluster keine neuen Volumes mehr angelegt werden konnten.

Verschlimmert wurde alles noch durch zwei weitere Faktoren: Die ausgefallenen Nodes hörten nicht auf, nach freiem Speicherplatz zu suchen und es trat eine Race-Condition im EBS-Code zutage, was zu weiteren Ausfällen von EBS-Nodes führte.

Amazons EC2-Server greifen auf EBS zu, um ihre Daten zu speichern und waren dadurch ebenfalls betroffen. Wenn ein Node seinen Replikationspartner wechselt, dann muss dies der zugehörigen EC2-Instanz gemeldet werden. Das sorgt für hohe Konsistenz der EBS-Volumes, in diesem Fall aber auch dafür, dass der dazugehörige Kontrolldienst unter hohe Last geriet, was den Anfragestau nochmals erhöhte und sich das auch auf andere Zonen auswirkte.

Auch Amazon Relational Database Service betroffen

Besonders hart traf der Ausfall allerdings Amazons Relational Database Service (RDS), der auf EBS zugreift, um dort Datenbanken und Logfiles zu speichern. Fällt nur ein EBS-Volume aus, bleibt die gesamte RDS-Instanz hängen. Da RDS-Instanzen in aller Regel auf mehrere EBS-Volumes zugreifen, waren in der betroffenen Zone bis zu 45 der RDS-Instanzen betroffen.

Um ähnliche Vorfälle in Zukunft zu vermeiden, will Amazon an mehreren Punkten ansetzen: Erstens sollen Veränderungen genauer geprüft und stärker automatisiert werden, so dass ein Rountingfehler, wie im aktuellen Fall, nicht mehr auftritt. Zweitens soll EBS fehlertoleranter werden. Amazon will zudem mehr freie Kapazitäten vorhalten, damit künftig auch bei solch großen Ausfällen ausreichend Ressourcen zur Verfügung stehen. Auch das Verhalten der Nodes in Fehlerfällen soll verändert werden, damit sich eine Kettenreaktion, wie im vorliegenden Fall, nicht wiederholen kann. Und auch die aufgetretene Race-Condition wurde identifiziert und eine Korrektur wird getestet.

Eine Sache können auch die Amazon-Kunden machen, um die Auswirkungen solcher Ausfälle auf ihr Geschäft zu verringern: Amazon bietet die Möglichkeit, Dienste über mehrere Verfügbarkeitszonen zu verteilen. Wer das getan hat, sollte im aktuellen Fall kaum Auswirkungen gespürt haben, da die Problematik weitgehend auf eine solche Verfügbarkeitszone beschränkt war. Allerdings ist die Nutzung mehrerer Verfügbarkeitszonen mit etwas Aufwand auf Applikationsseite verbunden. Das will Amazon künftig reduzieren, damit mehr Kunden ihre Angebote auf mehrere Zonen verteilen können.

Kunden, deren Server oder Datenbanken auf EBS-Volumes in der betroffenen Zone zugegriffen haben, gewährt Amazon zehn Tage kostenlose Nutzung, ganz gleich, ob ihre Server oder Datenbanken von den Problemen direkt betroffen waren oder nicht.



Anzeige
Top-Angebote
  1. 481,00€ (Bestpreis!)
  2. 554,00€ (Bestpreis!)
  3. 59,99€ - Release 19.10.
  4. für 1,98€ statt 4,99€ in HD ausleihen (30 Tage Zeit, um Stream zu starten)

SunnyS 01. Mai 2011

Ich würde sagen, man hat zwar eine gute Idee gehabt aber eben nicht an alles gedacht. So...

Hotohori 30. Apr 2011

Das stimmt, die Offenheit hilft sicherlich zum einen ein paar Kunden doch halten zu...


Folgen Sie uns
       


Golemma, die Lokomotive, in Far Lone Sails - Livestream

Durch eine komplette Nacht sind wir in Far: Lone Sails mit unseren Zuschauern im Livestream geschippert. Dabei haben wir unser Schiff Golemma getauft und neue Lösungen für verzögerte Live-Kommentare erfunden.

Golemma, die Lokomotive, in Far Lone Sails - Livestream Video aufrufen
Highend-PC-Streaming: Man kann sogar die Grafikkarte deaktivieren
Highend-PC-Streaming
Man kann sogar die Grafikkarte deaktivieren

Geforce GTX 1080, 12 GByte RAM und ein Xeon-Prozessor: Ab 30 Euro im Monat bietet ein Startup einen vollwertigen Windows-10-Rechner im Stream. Der Zugriff auf Daten, Anwendungen und Games soll auch unterwegs mit dem Smartphone funktionieren.
Von Peter Steinlechner

  1. Golem.de-Livestream Halbgott oder Despot?
  2. Rundfunk Medienanstalten wollen Bild Livestreaming-Formate untersagen
  3. Illegale Kopien Deutsche Nutzer pfeifen weiter auf das Urheberrecht

Black-Hoodie-Training: Einmal nicht Alien sein, das ist toll!
Black-Hoodie-Training
"Einmal nicht Alien sein, das ist toll!"

Um mehr Kolleginnen im IT-Security-Umfeld zu bekommen, hat die Hackerin Marion Marschalek ein Reverse-Engineering-Training nur für Frauen konzipiert. Die Veranstaltung platzt inzwischen aus allen Nähten.
Von Hauke Gierow

  1. Ryzenfall CTS Labs rechtfertigt sich für seine Disclosure-Strategie
  2. Starcraft Remastered Warum Blizzard einen Buffer Overflow emuliert

Indiegames-Rundschau: Kampfkrieger und Abenteuer in 1001 Nacht
Indiegames-Rundschau
Kampfkrieger und Abenteuer in 1001 Nacht

Battletech schickt Spieler in toll inszenierte Strategieschlachten, eine königliche Fantasywelt und Abenteuer im Orient: Unsere Rundschau stellt diesmal besonders spannende Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis
  2. Indiegames-Rundschau Zwischen Fake News und Mountainbiken
  3. Indiegames-Rundschau Tiefseemonster, Cyberpunks und ein Kelte

    •  /