Pianificazione di tolleranza di errore e disponibilità in Project Server 2007
Aggiornamento: ottobre 2008
Ultima modifica dell'argomento: 2015-02-27
I termini "tolleranza di errore" e "disponibilità" fanno riferimento alla capacità di un ambiente multiserver di accettare connessioni e operare normalmente anche se uno o più componenti della farm non sono operativi. La disponibilità implica la ridondanza e può inoltre includere un meccanismo di failover e altre caratteristiche.
Per migliorare la tolleranza di errore della distribuzione di Microsoft Office Project Server 2007, è possibile utilizzare le strategie seguenti:
Clustering
Ridondanza hardware
Configurazioni RAID
Ridondanza del ruolo del server
Log shipping
Server di standby
In questo articolo vengono fornite ulteriori informazioni su ognuna di queste strategie, che è possibile applicare singolarmente o in combinazione. Poiché a ogni strategia è associato un costo, prima di applicarla nella propria organizzazione è importante valutare il rapporto tra costi e vantaggi.
Disponibilità
È consigliabile prendere in considerazione i requisiti di disponibilità come parte della progettazione di base della soluzione di Office Project Server 2007. È inoltre possibile offrire la disponibilità avanzata dopo la distribuzione della soluzione. A livello operativo, è consigliabile distribuire e ottimizzare la soluzione di base in una farm e quindi verificare le soluzioni di disponibilità.
Che cos'è la disponibilità
La disponibilità corrisponde al livello di disponibilità di un sistema come Office Project Server 2007 percepito dagli utenti. Garantire la disponibilità significa assicurare che un sistema sia stabile, ovvero che incidenti che influiscono sul servizio si verifichino raramente e che in caso di incidenti vengano prese in tempi brevi misure efficaci. Le strategie per la disponibilità consentono di minimizzare la percezione da parte degli utenti di tempo di inattività pianificato e non pianificato.
Una delle misure di disponibilità più comuni è la percentuale di tempo di attività espressa come numero di nove, ovvero la percentuale di tempo durante il quale un determinato sistema è attivo e funzionante. Ad esempio, un sistema con una percentuale di tempo di attività pari a 99,999 ha cinque numeri nove di disponibilità.
Nella tabella seguente il numero di nove viene correlato a periodi equivalenti del calendario.
| Percentuale di tempo di attività accettabile | Tempo di inattività al giorno | Tempo di inattività al mese | Tempo di inattività all'anno |
|---|---|---|---|
95 |
72 minuti |
36 ore |
18 giorni |
99 |
14 minuti |
7 ore |
4 giorni |
99,9 |
86 secondi |
43 minuti |
9 ore |
99,99 |
8,6 secondi |
4 minuti |
53 minuti |
99,999 |
0,8 secondi |
26 secondi |
5 minuti |
Se si è in grado di dedurre in modo informato il numero previsto di possibile ore totali di tempo di inattività, è possibile utilizzare le formule seguenti per calcolare la percentuale di tempo di attività per un anno, un mese o una settimana:
% tempo di attività/anno = 100 – (8760 – numero totale di ore di inattività all'anno)/8760
% tempo di attività/mese = 100 – ((24 * numero di giorni al mese) – numero totale di ore di inattività in quel mese di calendario)/(24 * numero di giorni del mese)
% tempo di attività/settimana = 100 – (168 – numero totale di ore di inattività in quella settimana)/168
Che cosa non è la disponibilità
La disponibilità non corrisponde né alla protezione e al ripristino dei dati, né al ripristino di emergenza. È consigliabile prevedere piani di protezione dei dati e di ripristino di emergenza separati in qualsiasi sistema a disponibilità elevata.
La disponibilità non corrisponde inoltre alla gestione della continuità aziendale, ovvero alle decisioni, ai processi e agli strumenti aziendali predisposti anticipatamente per la gestione di eventuali crisi. Una crisi può essere un evento locale, regionale o nazionale oppure può essere relativa solo alla propria azienda.
Costo della disponibilità
La disponibilità è uno dei requisiti più costosi per un sistema. Maggiori sono il livello di disponibilità e il numero di sistemi da proteggere, maggiore sarà la probabilità che la soluzione per la disponibilità sia più complessa e costosa. Quando si effettua un investimento relativo alla disponibilità, i costi includono:
Hardware e software aggiuntivi, che spesso prevedono operazioni complesse tra componenti software, ad esempio script personalizzati per il failover e il ripristino.
Ulteriore complessità operativa.
I costi relativi al raggiungimento della disponibilità devono essere valutati in base alle esigenze aziendali. È probabile che non tutte le soluzioni all'interno di un'organizzazione necessitino dello stesso livello di disponibilità. È possibile offrire livelli diversi di disponibilità per diversi siti, diversi servizi, ad esempio per ricerca e business intelligence, oppure per diverse farm.
La disponibilità è un'area chiave, nella quale i gruppi IT offrono contratti di servizio che consentono di impostare le aspettative insieme ai gruppi di clienti. Molte organizzazioni IT offrono diversi tipi di contratti di servizio, associati a diversi livelli di addebito.
Informazioni sulla ridondanza
La ridondanza è un elemento chiave della disponibilità. La ridondanza include l'utilizzo di più server in un ambiente con bilanciamento del carico per l'ottimizzazione delle prestazioni di una farm oppure la scalabilità orizzontale per il supporto di ulteriori utenti. Include inoltre l'utilizzo di componenti di backup identici, come come alimentatori o apparecchiature di rete, per garantire la continuità del funzionamento in caso di errore del componente principale.
In questo articolo viene descritto come implementare server ridondanti in una farm di Office Project Server 2007.
Office Project Server 2007 supporta server farm scalabili per capacità, prestazioni e disponibilità. La capacità in genere è il primo elemento da prendere in considerazione per determinare il numero di computer server di partenza. Oltre a definire le prestazioni, la disponibilità determina inoltre il numero di server e la dimensione o la capacità dei computer server di una server farm.
Determinazione dei requisiti di disponibilità
Per valutare la tolleranza dell'organizzazione in merito al tempo di inattività per un sito, un servizio o una farm, prendere in esame le considerazioni seguenti per il sito, il servizio o la farm.
Valutare se in caso di non disponibilità di Office Project Server 2007 i dipendenti dell'organizzazione saranno comunque in grado di eseguire le attività previste dal proprio incarico.
Valutare se in caso di non disponibilità di Office Project Server 2007 le transazioni aziendali e dei clienti verranno interrotte, con una conseguente perdita in termini di opportunità e di clienti.
In caso di risposta affermativa a una di queste considerazioni, è consigliabile investire in una soluzione per la disponibilità.
Sebbene in questo articolo venga illustrata principalmente la disponibilità di Office Project Server 2007, il tempo di attività del sistema verrà influenzato anche da altri componenti del sistema. È necessario prendere in considerazione in particolare quanto segue:
È necessario assicurarsi che le dipendenze dell'infrastruttura, ad esempio di alimentazione, raffreddamento, rete, directory e SMTP, siano completamente ridondanti.
Scegliere un meccanismo di commutazione per il sistema, DNS o bilanciamento del carico hardware, che soddisfi le proprie esigenze. Per procedure ottimali per il bilanciamento del carico dei server Web, vedere gli articoli seguenti:
Progettazione aziendale per il bilanciamento del carico (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=122194\&clcid=0x410) (informazioni in lingua inglese)
Progettazione aziendale per DNS (informazioni in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=122196\&clcid=0x410) (informazioni in lingua inglese)
Clustering
Il clustering consente di proteggere il sistema dagli errori delle applicazioni o del sistema operativo. Sui cluster di computer è possibile eseguire molte operazioni senza bisogno di portare i sistemi fuori linea, tra cui l'aggiornamento di un'applicazione o del sistema operativo, oppure l'installazione di un aggiornamento o un service pack.
I cluster di server sono progettati per garantire la disponibilità delle applicazioni, piuttosto che per proteggere i dati. Per la protezione da virus, danneggiamenti e altre potenziali minacce è necessario implementare anche soluzioni valide per il ripristino e la protezione dei dati. Le tecnologie di clustering non offrono protezione da errori provocati da virus, danneggiamento del software o errori umani.
Clustering di failover di SQL Server
I cluster di failover sono progettati per le applicazioni con stato. Le applicazioni con stato sono caratterizzate da uno stato in memoria di lunga durata o stati di dati di grandi dimensioni e aggiornati di frequente.
I cluster di failover garantiscono una disponibilità elevata consentendo il failover delle risorse. Mantengono inoltre le connessioni client ad applicazioni e servizi.
Nei cluster di failover i nodi condividono l'accesso ai dati. I nodi possono essere attivi o passivi e la configurazione di ogni nodo dipende dalla modalità operativa (attiva o passiva) e dalla configurazione del failover nel cluster. Un server designato alla gestione del failover deve essere di dimensioni sufficienti alla gestione del proprio carico di lavoro e di quello del nodo di failover.
Nelle distribuzioni di Office Project Server 2007 è possibile utilizzare il clustering di failover di SQL Server.
Cluster con bilanciamento del carico
I cluster con bilanciamento del carico sono gruppi di computer identici, in genere clonati, utilizzati per migliorare la disponibilità dei server Web, dei server Microsoft Internet Security and Acceleration (ISA) (per server proxy e firewall) e di altre applicazioni che ricevono traffico TCP (Transmission Control Protocol) e UDP (User Datagram Protocol). Poiché i nodi del cluster sono copie identiche gli uni degli altri e possono pertanto operare in modo indipendente, tutti i nodi di un cluster sono attivi.
Office Project Server 2007 supporta due metodi di bilanciamento del carico:
Software, ad esempio tramite i servizi Bilanciamento carico di rete disponibili nel sistema operativo Microsoft Windows Server 2003. Bilanciamento carico di rete viene eseguito nei server Web front-end e utilizza il protocollo TCP/IP per instradare le richieste. Poiché vengono eseguiti nei server Web front-end, Bilanciamento carico di rete e le altre soluzioni software di bilanciamento del carico utilizzano le risorse del sistema Web front-end e riducono pertanto le risorse che è possibile utilizzare per supportare le pagine Web. L'impatto prodotto sulle risorse del sistema tuttavia è limitato e una soluzione software è in grado di gestire fino a 32 server Web front-end.
Hardware, ad esempio un router o un commutatore. L'hardware di bilanciamento del carico utilizza la rete per indirizzare il traffico del sito Web tra i server Web front-end. La configurazione dell'hardware di bilanciamento del carico è più onerosa rispetto a quella del software, ma non ha impatto sulle risorse del server Web front-end. È possibile utilizzare Office Project Server 2007 con qualsiasi hardware di bilanciamento del carico.
Sebbene non sia consigliato, è disponibile un terzo metodo di bilanciamento del carico, ovvero il bilanciamento del carico Round robin con DNS (Domain Name System). Questo metodo può utilizzare un numero elevato di risorse nei server Web front-end, è più lento rispetto al software o all'hardware di bilanciamento del carico e non è consigliato per l'utilizzo con Office Project Server 2007. Il bilanciamento del carico Round robin con DNS inoltre non tiene conto del carico della sessione durante il routing di un utente a un server, il che può comportare un overload del server.
Ridondanza hardware
È possibile offrire una certa tolleranza di errore per la distribuzione di Office Project Server 2007 distribuendo ulteriori configurazioni hardware che duplicano la configurazione hardware dell'organizzazione. In questo modo, in caso di errore di un percorso di I/O dei dati o dei componenti hardware fisici di un server (un computer, la rete e i componenti della rete di archiviazione), non si verificano effetti negativi sul sistema. L'hardware da utilizzare per minimizzare i singoli punti di errore varia in base ai componenti che si desidera rendere ridondanti. I fornitori di hardware in genere includono hardware duplicato nell'ambito della soluzione di archiviazione.
Configurazioni RAID
Adottando una soluzione RAID è possibile aumentare la tolleranza di errore della distribuzione di Office Project Server 2007. RAID archivia dati identici su più dischi per la ridondanza, per il miglioramento delle prestazioni e per aumentare il tempo medio tra gli errori (MTBF). In una configurazione RAID, parte della capacità di archiviazione fisica contiene informazioni ridondanti relative ai dati archiviati sui dischi rigidi. Si tratta di informazioni di parità (nel caso di un volume RAID-5) o di una copia completa e separata dei dati (nel caso di un volume con mirroring). Se si verifica un errore dei dischi o del percorso di accesso, oppure se un settore del disco è illeggibile, le informazioni ridondanti consentono la rigenerazione dei dati.
Per garantire che i computer che eseguono Office Project Server 2007 continuino a funzionare correttamente nel caso di errore di un singolo disco, è possibile utilizzare il mirroring o lo striping del disco con parità sui dischi rigidi della distribuzione di Office Project Server 2007. Mediante il mirroring e lo striping del disco con parità è possibile creare dati ridondanti per i dati presenti sui dischi rigidi.
I database di Office Project Server 2007 generano operazioni input/output (I/O) intensive. Per questo motivo, per garantire prestazioni ottimali e ridondanza delle unità che contengono database di Office Project Server 2007 è consigliabile l'utilizzo di RAID 10.
L'utilizzo delle configurazioni RAID non impedisce che si vengano a creare file danneggiati o che si verifichino altri errori nei file. Per questo motivo, non utilizzare le configurazioni RAID come metodo alternativo alla conservazione di backup correnti dei dati importanti contenuti nei server.
Poiché i file del registro delle transazioni e i file di database sono fondamentali per il funzionamento dei computer che eseguono Office Project Server 2007, è consigliabile salvare questi file su unità disco fisico separate. È inoltre possibile utilizzare il mirroring del disco RAID o lo striping del disco con parità per impedire che la perdita di un unico disco rigido fisico provochi un errore nel database di Office Project Server 2007.
Se l'ambiente contiene una rete SAN, è possibile che la necessaria ridondanza dei dischi per la distribuzione sia già disponibile. In un ambiente SAN è consigliabile non posizionare la distribuzione di Office Project Server 2007 e i componenti associati sullo stesso asse del disco di altre applicazioni con con utilizzo intensivo di I/O, in quanto questo può provocare la riduzione delle prestazioni. I dati di Office Project Server 2007 sono ottimizzati per le letture sequenziali, sono pertanto ideali per un ambiente SAN.
Ridondanza del ruolo del server
La topologia del server di base scelta dipende dai requisiti di ridondanza dei ruoli del server applicazioni. In questa sezione vengono descritti i ruoli del server applicazioni rispetto alle relative opzioni di ridondanza.
Ruoli che possono essere ridondanti
Questi ruoli del server applicazioni possono essere distribuiti in più server. Il codice distribuito in ogni server è identico e i ruoli del server applicazioni non prevedono l'archiviazione di dati. Ogni istanza di questi ruoli del server rimane pertanto identica. In caso di errore di uno dei computer server, i dati salvati non vengono persi. I server Web bilanciano automaticamente il carico delle richieste a questi ruoli del server tra i computer server applicazioni disponibili.
Il servizio applicativo Project di Office Project Server 2007 può essere distribuito in modo ridondante. Ciò consente una velocità effettiva maggiore per le richieste di dati di PWA e può aumentare la capacità della distribuzione. La distribuzione del servizio applicativo Project in più server, tuttavia, non aumenta la disponibilità della farm. In caso di errore di un server, la farm non rileverà automaticamente l'errore e continuerà a inviare richieste al server del servizio applicativo Project in errore finché questo non verrà rimosso manualmente dalla farm.
Ruoli che non possono essere ridondanti
Alcuni ruoli del server applicazioni che è possibile abilitare in Office Project Server 2007 non possono essere resi ridondanti, ad esempio il servizio di ricerca di Windows SharePoint Services 3,0. Questo ruolo può essere distribuito in più server, tuttavia i server multipli non sono ridondanti. Il ruolo è configurato per la ricerca per l'indicizzazione del contenuto. Se lo si distribuisce in più server, ogni server eseguirà ricerche per l'indicizzazione di contenuti diversi.
Ridondanza dei server database
Il ruolo del server database influenza la disponibilità di una soluzione più di qualsiasi altro ruolo. In caso di errore di un server Web o di un server applicazioni, questi ruoli possono essere rapidamente ripristinati o ridistribuiti. Se invece si verifica un errore di un server database, la soluzione dipenderà dal ripristino del server database. Potrebbe essere necessario ricreare il server database e quindi ripristinare i dati dai supporti di backup. In questo caso esiste il rischio di perdere dati nuovi o modificati rispetto all'ultimo processo di backup, a seconda della configurazione di SQL Server. La soluzione inoltre non sarà disponibile durante tutto il processo di ripristino del ruolo del server database.
In qualsiasi sistema è consigliabile collaborare con i fornitori di hardware per ottenere hardware con tolleranza di errore appropriato per il sistema, incluse le matrici RAID.
Durante la pianificazione della tolleranza di errore dei componenti è necessario prendere in considerazione i fattori seguenti:
La ridondanza completa di ogni componente all'interno di un server potrebbe non essere possibile o potrebbe non essere fattibile. Utilizzare server aggiuntivi per la ulteriore ridondanza.
Verificare che i server dispongano di più alimentatori collegati a fonti di alimentazione diverse per garantire la massima ridondanza.
Log shipping
Con Microsoft SQL Server è possibile utilizzare il log shipping per alimentare in modo continuo i registri delle transazioni da un database all'altro. Il backup continuo dei registri delle transazioni da un database di origine e successivamente la copia e il ripristino dei registri in un database di destinazione consentono di mantenere il database di destinazione sincronizzato con il database di origine. Il log shipping offre un metodo automatizzato per la gestione di un server di standby.
Server di standby
Un server di standby è un secondo server che è possibile portare in linea in caso di errore di un server di produzione primario. Nel server di standby sono installati gli stessi componenti software installati nel server primario. L'impiego di un server di standby consente agli utenti di continuare a utilizzare Office Project Server 2007 anche se il server primario diventa non disponibile.
È inoltre possibile utilizzare un server di standby quando un server primario non è disponibile per interventi di manutenzione pianificata. Se ad esempio è necessario portare non in linea il server primario per un aggiornamento hardware o software, è possibile utilizzare il server di standby finché il server primario non viene riportato in linea.
Il fattore principale da prendere in considerazione per l'utilizzo dei server di standby è che l'hardware, gli aggiornamenti del software e gli aggiornamenti del firmware di un server di standby devono essere identici a quelli del server primario da sostituire.
Se il server di standby server è un server database, deve contenere una copia dei database del server primario. Se il server primario passa alla modalità non in linea e viene portato in linea il server di standby, quando il server primario sarà di nuovo disponibile sarà necessario copiare nel server primario tutte le modifiche apportate alle copie del database situate nel server di standby, oppure le modifiche andranno perdute. Quando gli utenti iniziano di nuovo a utilizzare il server primario, è necessario eseguire un backup dei database nel server primario e copiarli nel server di standby.
Il log shipping è il metodo migliore per assicurarsi che il server di standby resti sincronizzato con il server primario. In caso di errore del server primario, o anche di un unico database, i database contenuti nel server di standby possono essere resi disponibili per i processi degli utenti. I processi degli utenti che non possono accedere al server primario devono utilizzare il server di standby.
Se la distribuzione contiene server Web front-end separati, è possibile installare il servizio applicativo Project nei server Web front-end e lasciarli disattivati. In caso di errore di uno dei server di Office Project Server 2007, sarà possibile attivare il servizio applicativo Project nel server Web front-end per portare in linea con facilità un server di standby.