Cos'è l'High Availability?

Il principio fondamentale alla base del raggiungimento dell'High Availability (HA) è l'identificazione e l'eliminazione sistematica dei singoli punti di errore all'interno dell'infrastruttura, inclusi hardware, software, reti, storage e fonti di alimentazione.

Grazie all’architettura dei sistemi con meccanismi integrati di ridondanza e resilienza, l’HA mira a evitare che i guasti localizzati si trasformino in downtime evidenti, mantenendo così un elevato livello di prestazioni operative e garantendo la disponibilità costante dei servizi quando necessario.

L'efficacia di una strategia ad alta disponibilità è tipicamente quantificata dalla percentuale di uptime raggiunta in un periodo specifico, spesso espressa utilizzando la notazione "nove" (ad esempio 99,9% o "tre nove", 99,99% o "quattro nove", ecc.), che indica la vicinanza al 100% del tempo operativo.

Funzionalità principali di High Availability

L'alta disponibilità non è un singolo prodotto o singolo sforzo, ma un risultato ottenuto attraverso l'implementazione di diverse caratteristiche tecniche e principi di progettazione fondamentali che lavorano insieme per garantire la resilienza e la continuità del sistema. Le funzionalità più critiche alla base di un ambiente HA includono:

• Ridondanza: Questa è la pietra angolare dell’High Availability (HA). Si tratta di duplicare i componenti critici all'interno dell'infrastruttura IT, come server, dispositivi di storage, percorsi di rete e alimentatori. Se un componente si guasta, una controparte ridondante è pronta a sostituire la sua funzione, evitando così un singolo punto di errore.
   
• Failover automatico: Quando viene rilevato un errore in un componente primario, un sistema HA deve passare automaticamente e senza problemi le operazioni al componente ridondante (standby).
   
• Rilevamento affidabile degli errori: Per attivare un failover automatico, il sistema deve innanzitutto rilevare in modo affidabile che si è verificato un errore. Ciò avviene in genere attraverso un monitoraggio continuo, spesso utilizzando meccanismi di "heartbeat" in cui i componenti controllano regolarmente lo stato dell'altro.
   
• Replica e sincronizzazione dei dati: Per le applicazioni e i sistemi che gestiscono dati, come i database, il semplice failover su un server in standby non è sufficiente; i dati devono inoltre essere disponibili e coerenti sul sistema in standby.

Queste funzionalità chiave consentono collettivamente ai sistemi di resistere ai guasti dei componenti, gestire la manutenzione in modo efficiente e fornire le prestazioni operative continue previste da un servizio ad alta disponibilità.

L'implementazione dell'alta disponibilità offre vantaggi sostanziali che vanno ben oltre la solidità tecnica e hanno un impatto diretto sulle operazioni aziendali, sulla soddisfazione dei clienti e sulle prestazioni finanziarie.

Il vantaggio più immediato e significativo consiste nella drastica riduzione dei tempi di inattività del sistema. Riducendo al minimo le interruzioni dovute a guasti imprevisti dei componenti e alle necessarie finestre di manutenzione pianificate, la disponibilità elevata garantisce che le applicazioni e i servizi critici rimangano operativi e accessibili in modo coerente.

Inoltre, la riduzione dei tempi di inattività ha implicazioni finanziarie e operative positive significative. e protegge direttamente dalle perdite di entrate spesso subite durante le interruzioni di servizio, come la perdita delle vendite tramite e-commerce o le transazioni non riuscite, evitando così costosi cali di produttività dei dipendenti quando i sistemi essenziali non sono disponibili.

La disponibilità costante del sistema protegge la reputazione consolidata di un'azienda, evitando pubblicità negativa, frustrazione del cliente e potenziali danni al marchio, spesso associati a interruzioni del servizio.

Componenti High Availability

Per raggiungere l'alta disponibilità è necessario assemblare un'infrastruttura resiliente utilizzando una combinazione di componenti hardware e software specializzati, progettati per eliminare singoli punti di errore e facilitare il ripristino automatico.

Sebbene la configurazione specifica vari in base alle esigenze e al budget delle applicazioni, i componenti principali di un'architettura HA sono in genere diversi:

• Server ridondanti: Utilizzo di più server fisici o virtuali, spesso raggruppati in cluster. Nelle configurazioni comuni, come quelle attive-passive o attive-attive, in caso di guasto o di manutenzione di un server, un altro server è pronto a gestire immediatamente il proprio carico di lavoro, garantendo la continuità di elaborazione delle applicazioni.
   
• Load Balancer Questi dispositivi hardware o moduli software distribuiscono il traffico di rete in entrata e le richieste delle applicazioni attraverso il gruppo di server in un cluster. In questo modo si evita il sovraccarico dei singoli server, si migliorano i tempi di risposta e, aspetto fondamentale, si permette di deviare automaticamente il traffico dai server che hanno subito un guasto o che sono stati disconnessi.
   
• Storage ridondante: Utilizzo di sistemi di storage progettati per la resilienza. Questo spesso include funzioni di ridondanza interna come RAID (Redundant Array of Independent Disks) all'interno di un'unità di storage e spesso implica la replica dei dati tra sistemi di storage fisici separati (utilizzando le funzioni di replica SAN/NAS o il software di replica basato su host) per garantire che i dati rimangano accessibili anche in caso di guasto dello storage principale.
   
• Infrastruttura di rete ridondata: Implementazione della duplicazione nei percorsi di rete. Questo comporta l'utilizzo di più schede di interfaccia di rete (NIC) in server, switch di rete e router ridondanti e la configurazione di più collegamenti fisici tra dispositivi per garantire che un singolo cavo di rete o guasto del dispositivo non isoli i sistemi critici.
   
• Alimentatori affidabili: Garantendo l'alimentazione continua tramite gruppi di continuità (UPS) è possibile eseguire backup immediati durante brevi fluttuazioni di alimentazione o interruzioni, garantendo un funzionamento senza interruzioni. Per periodi di tempo più lunghi vengono spesso utilizzati generatori di backup. La protezione della fonte di alimentazione è fondamentale per mantenere lo stato operativo di tutti gli altri componenti HA.

L'esatta combinazione e configurazione di questi componenti dipende in larga misura dai requisiti di disponibilità specifici, dagli obiettivi RTO (Recovery Time Objectives), dagli obiettivi RPO (Recovery Point Objectives) e dal budget del sistema da proteggere.

L'alta disponibilità non consiste solo nell'avere a disposizione hardware di backup, ma in un processo dinamico e automatizzato progettato per garantire la continuità del servizio in caso di malfunzionamenti. Si basa sulla costante interazione tra componenti ridondanti, monitoraggio continuo e orchestrazione software intelligente all'interno di un framework spesso definito cluster.

In un ambiente tipico di HA, considerando quando si pensa a cosa sia il Cloud computing con HA, più server (nodi) sono configurati per funzionare insieme, insieme a percorsi di storage e di rete potenzialmente ridondanti.

Durante il normale funzionamento, le applicazioni critiche vengono eseguite su un nodo primario (o su più nodi attivi), mentre i dati vengono replicati continuamente su uno o più nodi in standby.

La chiave per l’HA sta nella vigilanza costante: i nodi del cluster monitorano costantemente lo stato di salute degli altri, spesso utilizzando segnali di "heartbeat", ovvero normali messaggi di rete che confermano che sono vivi e funzionano correttamente. È inoltre possibile eseguire controlli di integrità specifici dell'applicazione per garantire che i servizi stessi rispondano alle richieste.

Quando un nodo interrompe l'invio di heartbeat o non supera un controllo di integrità critico oltre una soglia definita, il software di clustering rileva questo errore. Questo rilevamento attiva automaticamente il processo di failover.

L'intero processo, dal rilevamento alla ripresa del servizio sul nodo di failover, è progettato per essere eseguito automaticamente e rapidamente, spesso in pochi secondi o minuti, a seconda della configurazione e dell'applicazione.

Sebbene sia l'Alta Disponibilità che il Disaster Recovery (DR) siano componenti essenziali di una solida strategia di business continuity, quando pensiamo a cosa sia il Public Cloud , questi due elementi servono a scopi distinti e affrontano diversi tipi di scenari di errore.

Capire le loro differenze è fondamentale per una protezione completa. L’HA si concentra principalmente sulla prevenzione delle interruzioni del servizio causate da guasti localizzati, come un singolo arresto anomalo del server, un guasto di un componente di storage o un’applicazione che perde la risposta in un datacenter o in zone di disponibilità Cloud strettamente collegate.

Per raggiungere questo obiettivo, il failover automatico viene eseguito su componenti ridondanti che operano all'interno della stessa infrastruttura generale, con un downtime da minimo a zero (RTO molto basso) e una perdita di dati da minima a nulla (RPO molto basso). 

Al contrario, il Disaster Recovery si prepara a eventi catastrofici su larga scala che potrebbero rendere inutilizzabile un intero datacenter o struttura principale, come nel caso di incendi, inondazioni, terremoti o interruzioni di corrente diffuse che potrebbero avere un impatto su un'intera area.

Per ottenere un'alta disponibilità completa quando si considera ciò che comporta un server virtuale è necessario qualcosa di più che concentrarsi esclusivamente su una singola applicazione o server; è necessario un approccio su più livelli, che integri la resilienza in tutto lo stack dell'infrastruttura IT.

Se si trascura un livello, si può creare un singolo punto di errore che compromette l'intero sforzo. I principi dell’HA sono applicati a diversi domini tecnologici, aspetto fondamentale se si considera cosa comporta un VPC Cloud quando ci impegniamo a costruire un sistema davvero solido.

Ai livelli fisici e di rete di base, l’HA implica l’implementazione della ridondanza nell’infrastruttura principale. Questo include l'utilizzo di alimentatori ridondanti (supportati da UPS e potenzialmente generatori), schede di interfaccia di rete multiple (NIC) nei server, switch di rete ridondanti e router spesso configurati in coppie di failover (utilizzando protocolli come HSRP o VRRP) e percorsi di rete fisici diversi per prevenire la perdita di connettività.

I firewall vengono comunemente implementati in coppie HA per garantire che i controlli di sicurezza rimangano attivi durante un errore.

Spostandosi verso l’alto, la disponibilità dei server è un fattore critico. Questo risultato si ottiene spesso attraverso il clustering dei server, sia con macchine fisiche che, più comunemente, utilizzando le funzionalità della piattaforma di virtualizzazione (come VMware vSphere HA o Hyper-V Failover Clustering).

Gestione dell'alta disponibilità

Implementare una soluzione ad alta disponibilità è un inizio, ma per garantirne la costante efficacia sono necessari un'attenzione continua, una gestione proattiva e una convalida regolare.

L'alta disponibilità non è una tecnologia "impostata e dimenticatela"; richiede una diligenza continua molto tempo dopo l'installazione iniziale per garantire che funzioni come previsto quando si verifica un guasto inevitabile. Il mantenimento dell’HA implica diverse attività chiave:

• Test regolari Questo è probabilmente l'aspetto più critico della manutenzione HA. L’esecuzione periodica di test controllati di failover e failback (drilling) è essenziale per verificare il corretto funzionamento dei meccanismi automatizzati, l’accuratezza e la comprensione delle procedure di ripristino da parte del personale e il ripristino del sistema nell’ambito dell’obiettivo del tempo di ripristino (Recovery Time Objective, RTO) previsto.
   
• Monitoraggio e avvisi continui: Il monitoraggio costante e costante di tutti i componenti dell'ecosistema HA, inclusi lo stato dei server, la connettività di rete, lo stato dello storage, la latenza e l'integrità della replica dei dati e la reattività delle applicazioni, è fondamentale. È necessario configurare sistemi di alert solidi per avvisare immediatamente il personale IT appropriato.
   
• Gestione e aggiornamenti delle patch dettagliati: È fondamentale che i sistemi operativi, le applicazioni e il software HA siano sempre aggiornati con patch di sicurezza e aggiornamenti funzionali. Tuttavia, l’applicazione delle patch deve essere eseguita meticolosamente in un ambiente HA per evitare di causare inavvertitamente downtime.
   
• Gestione e coerenza della configurazione: È fondamentale garantire che le impostazioni di configurazione, che comprendono il sistema operativo, le applicazioni, le politiche di sicurezza e i parametri software HA, rimangano identiche e sincronizzate in tutti i nodi ridondanti.

L’esecuzione coerente di queste attività di manutenzione trasforma l’alta disponibilità da capacità teorica in una realtà operativa affidabile. Questo impegno continuo garantisce che l'investimento iniziale continui a fornire protezione per i servizi aziendali critici, una necessità per le organizzazioni di tutto il mondo.