Stratus ist seit über 40 Jahren im Sektor hochverfügbarer Serversysteme tätig und verfügt daher über umfassende Erfahrungen auf diesem Gebiet. Am meisten bekannt dürften die fehlertoleranten Hardwaresysteme Stratus ftServer Always-on für VMware, Windows und Linux mit einer Verfügbarkeit von über 99,999 Prozent sein, bei denen die Applikationen auch bei Ausfall eines kompletten Servers absolut unterbrechungsfrei weiterlaufen. Dies funktioniert, indem zwei mit speziellen FPGA-Bausteinen modifizierte Hardwareserver im Lockstep-Verfahren arbeiten und alle Operationen parallel berechnen. Vorteilhaft ist, dass die darauf laufenden Betriebssysteme, Hypervisoren und Applikationen nicht besonders modifiziert oder konfiguriert werden müssen.

Die rein softwarebasierte Lösung Stratus everRun dagegen kommt ohne diese modifizierte Serverhardware aus. Sie nutzt für einen fehlertoleranten Betrieb von virtuellen Maschinen eine sogenannte Checkpoint-Engine, um im Fall der Enterprise-Version neben der Spiegelung der Datenträgerinhalte auch Speicher- und CPU-Inhalte zu übertragen, sodass bei einem Absturz eine VM-Wiederherstellung innerhalb von fünf Sekunden ohne Transaktionsverlust gelingt.

everRun ist in den Varianten Express sowie Enterprise erhältlich. Beide setzen auf herkömmlicher Serverhardware auf, sodass der Administrator hier innerhalb der von Stratus vorgegebenen CPU-Freigabe von Intel-Prozessoren beliebig wählen kann. everRun läuft immer auf einem Serverpaar, der Nutzer muss also für den Betrieb idealerweise zwei identische, leistungsfähige Hardwaresysteme bereitstellen.

Welche der beiden Varianten im jeweiligen Fall zum Einsatz kommt, hängt entscheidend von der geforderten Verfügbarkeit für die betriebenen Applikationen ab. Reicht eine Hochverfügbarkeit (HA) oder muss eine Fehlertoleranz (FT) gegeben sein? Die Entscheidung bestimmt auch den Preis. Die Enterprise-Variante beherrscht den HA- sowie den FT-Modus, sodass der Administrator auf einem System VMs im HA- und FT-Modus gleichzeitig betreiben kann. Stratus wirbt hier mit kundenspezifischer Anwendungsverfügbarkeit und der Möglichkeit, die Verfügbarkeitsstufe für jede VM einfach anpassen zu können.

Die günstigere Express-Version ist auf HA beschränkt. Hochverfügbarkeit bedeutet in der praktischen Umsetzung, dass die Daten-Volumes der VMs auf beiden Hardwareservern des everRun-Systems gehalten und synchron gespiegelt werden. Jede VM läuft auf dem KVM-Hypervisor eines der beiden Serverknoten und muss bei einem Ausfall auf dem verbleibenden neu gestartet werden. Je nach Größe einer VM kann die Unterbrechung bis zu zehn Minuten betragen, sie ist im Normalfall aber deutlich kürzer. Durch die synchrone Spiegelung gehen keine Daten auf den Datenträgern verloren, aber eventuell Transaktionen, die gerade in der VM verarbeitet wurden.

Im fehlertoleranten Modus findet nicht nur eine Spiegelung der Volumes statt, sondern auch der Speicherinhalte und CPU-Zustände zwischen den beiden Servern. everRun benötigt dann bei einem Serverausfall zwei Sekunden Pause zur Vermeidung einer Split-Brain-Situation und in weniger als fünf Sekunden laufen die VMs des ausgefallenen Systems auf dem verbliebenen Server, ohne dass Transaktionen verloren gingen.

Der Hardware-Aufbau für everRun ist vergleichsweise einfach. Allerdings muss der Administrator beim Design einige Höchstwerte beachten, auf die wir weiter unten noch genauer eingehen. Wie schon oben erwähnt besteht ein everRun-System aus zwei idealerweise identischen Hardwareservern. Diese benötigen Direct Attached Storage (DAS) in Form von internen Festplatten oder SSDs oder einen angehängten SAN-Speicher. Zwingend erforderlich sind zwei Netzwerkanschlüsse, von denen zumindest einer dringend empfohlen eine Bandbreite von 10 GBit/s haben sollte.

Insgesamt kennt everRun vier Netzwerkaufgaben: Private, A-Link, Management und Business. Die Anschlüsse für das Private- und A-Link-Netzwerk werden zwischen den beiden Servern direkt verbunden. Ist dies aufgrund der Entfernung nicht möglich, sind die Vorgaben für eine Splitsite-Konfiguration zu beachten und ein zusätzliches Quorum einzurichten. Private- und A-Link-Netzwerk können wie in unserer Testkonfiguration auf einem Anschluss liegen, wenn dieser einen Durchsatz von 10 GBit/s besitzt. Die Private-Funktion dient nur zur Erkennung des Partnersystems, das A-Link übernimmt die gesamte Synchronisation und Replikation zwischen den beiden Systemen inklusive des Heartbeat.

Der zweite Port findet Verwendung für ein kombiniertes Management- und Businessnetzwerk, also für die Administration und die Kommunikation mit den Clients. Stehen noch weitere Netzwerkkarten zur Verfügung, werden diese als reines Businessnetzwerk konfiguriert. Die Netzwerkkonfiguration ist hier stark verkürzt wiedergegeben, der sehr detailliert aufgebaute Quickstart-Guide sowie das Benutzerhandbuch beschreiben die Standardeinstellungen sowie diverse mögliche Sonderfälle umfassend.

Sind der physische Aufbau und die Verbindung beider Server erledigt, kann die Installation beginnen. Zu empfehlen ist dabei, sich vorher die MAC-Adressen der Netzwerkports zu notieren, da der Installationsassistent ohne zusätzliche Hinweise nur diese auflistet und eine richtige Zuordnung sonst schwerfällt. Tastatur und Monitor bedarf es nur für die Einrichtung, später im Betrieb nicht mehr.

Die komplette Installation ist als ISO-Image zum Download verfügbar, um dieses auf eine DVD zu brennen. Der Administrator legt diese in das erste System ein, das davon bootet und einen Assistenten startet. everRun nutzt als Betriebssystem CentOS 7.8. Beim ersten System ist die Option "Create a new system" auszuwählen, im weiteren Verlauf sind die Netzwerkports den oben genannten Funktionen zuzuordnen und schließlich die IP-Parameter für den Managementport anzugeben. Weitere Angaben sind nicht erforderlich, aber es dauert nun eine längere Kaffeepause (60 bis 90 Minuten), bis die Installation abgeschlossen ist.

Anschließend kann die Einrichtung der zweiten Maschine starten, hier ist nur die Option "Replace PM, Join System: Initialize data" auszuwählen. Ebenfalls sind die Netzwerkports zuzuweisen sowie die IP-Parameter dieses Systems anzugeben. Durch den direkt verbundenen Private- und A-Link findet das zweite System das erste ohne weitere Eingabe. Auch jetzt dauert es wieder eine gewisse Zeit, bis das zweite System fertig eingerichtet ist.

Alle weiteren Schritte erfolgen über die Web-GUI. Beim ersten Zugriff muss der Administrator die IP-Adresse des zuerst eingerichteten Systems (node0) verwenden und es erscheint ein Anmeldefenster. Nach der Anmeldung startet die Initialkonfiguration, um ähnlich wie bei einem Cluster die übergreifende IP-Konfiguration anzugeben. Über diese IP-Adresse erfolgt dann das Management des Systems über die sogenannte everRun Availability Console.

Abschließend lässt sich feststellen, dass die Systemeinrichtung überaus einfach war, die größte Herausforderung war die korrekte Zuordnung der Netzwerkports. Es war nur ausreichend Geduld gefordert, weil die Einrichtung einige Zeit benötigte.

Die Availability Console ist sehr übersichtlich aufgebaut und intuitiv bedienbar. Auf der linken Seite findet der Administrator ein in vier Bereiche unterteiltes Menü: System, Alarme und Protokolle, Ressourcen und Bibliothek. Unter dem letzten Punkt sind eventuell verfügbare Upgrade-Kits erreichbar, unter Ressourcen kann der Administrator die physischen und virtuellen Maschinen konfigurieren, Schnappschüsse verwalten, neue Daten-Volumes hinzufügen, diese zu Speichergruppen zusammenfassen, Netzwerke ergänzen und virtuelle CDs anlegen.

Die letzte Funktion ist wiederum wichtig, um auf einer VM-Hülle das Gastbetriebssystem zu installieren. Eine virtuelle CD lässt sich erzeugen, indem der Administrator eine entsprechende ISO-Datei auf das everRun-System hochlädt. Diese steht dann beim Anlegen der VM-Hülle zur Auswahl bereit. Alternativ lassen sich ISO-Images auf NFS- und CIFS-Freigaben anhängen. Für unseren Test haben wir virtuelle CDs mit Windows 10 sowie Windows Server 2019 angelegt, um dann entsprechende VMs einzurichten, wozu die Konsole einen Assistenten startet, der unter anderem die gewünschten Ressourcen wie CPU, RAM und Datenspeicher abfragt. Dabei fällt auf, dass everRun zu den der VM zugewiesenen zusätzlich eigene Ressourcen für seine Arbeit belegt. Im HA-Modus ist dies eine vCPU, im FT-Modus sind es zwei vCPUs und in beiden Fällen 20 Prozent zusätzliches vRAM sowie rund zehn Prozent zusätzliche Plattenkapazität. Außerdem fordert das everRun-System selbst zwei vCPUs und 2 GByte vRAM, beim Betrieb von mehr als 20 VMs ist die doppelte Menge einzuplanen. Ein nicht unerheblicher Overhead ist also bereits beim Design zu berücksichtigen.

Der Installationsvorgang einer VM unterscheidet sich nicht wesentlich von anderen Virtualisierungsplattformen, die hinterlegte FT- oder HA-Funktionalität wirkt sich darauf nicht aus. Für den Zugriff auf die Oberfläche des Gastbetriebssystems ist eine VNC-Konsole integriert. Statt einer Installation von einem ISO-Image unterstützt everRun auch den Import als OVF- sowie als OVA-Datei. Im Test nutzten wir beide Möglichkeiten und legten eine VM im HA- sowie eine weitere im FT-Modus an, um damit das Verhalten der everRun-Plattform zu testen. everRun führte eine automatische Lastverteilung durch, sodass die beiden VMs je auf einem der beiden Knoten liefen. Falls in bestimmten Situationen erforderlich, kann der Administrator die Lastverteilung abschalten oder eine bevorzugte Verteilung vorgeben. Dies mag in einer Split-site-Konfiguration sinnvoll sein, um den Netzwerkverkehr zu den Clients zu optimieren.

Nimmt der Administrator einen Host in Wartung, verlagern sich die VMs im laufenden Betrieb auf den verbleibenden Knoten. Als wir in unserer Umgebung den Knoten mit der darauf laufenden HA-VM ausschalteten, startete diese auf dem zweiten Host und war wie zu erwarten für einige Zeit nicht erreichbar. Beim harten Ausschalten des Hosts mit der FT-VM dagegen wurde diese ohne gravierende Unterbrechung im identischen Betriebszustand auf dem zweiten Host wiederhergestellt. Sie war nur für einige Pings nicht erreichbar. Eine Splitsite-Konfiguration konnten wir mangels einer ausreichend großen Netzwerkumgebung im Test nicht realisieren.

everRun erlaubt das Ziehen von Snapshots, wahlweise der kompletten VM oder auch nur von ausgewählten Volumes, wobei das Start-Volume immer enthalten ist. Im Gegensatz zu anderen Virtualisierungsumgebungen ist die anschließende Snapshot-Nutzung allerdings etwas eingeschränkt. Es ist nämlich nicht möglich, eine VM auf den Zustand eines Snapshots zurückzusetzen. Der Administrator kann daraus nur eine neue VM erstellen oder den Snapshot für eine Verwendung an anderer Stelle exportieren. Um anwendungskonsistente Snapshots einer laufenden VM zu erzeugen, gibt es einen sogenannten QEMU-Gast-Agenten für Windows und Linux, um in der VM die Anwendungen stillzulegen oder deren Operationen einzufrieren.

Alles in allem verlangt die everRun-Umgebung dem Admin mit etwas Erfahrung mit virtuellen Umgebungen kein besonderes Zusatzwissen ab. Der größte Unterschied ist der zusätzliche Ressourcenbedarf für die HA- und FT-Funktionalität.

Die meisten Operationen am everRun-System dürften über die Konsole erfolgen. Darüber hinaus gibt es eine Befehlszeilenschnittstelle (AVCLI), um das System von einer Remote-Konsole aus zu steuern und bei Bedarf Operationen zu automatisieren. Stratus stellt dazu in seinem Downloadbereich Clients für Windows und Linux bereit, die Java voraussetzen, im vorliegenden Fall mindestens die Version JRE 1.6 Update 14. Es stehen über 140 Befehle zur Verfügung, die im Handbuch nach Themen übersichtlich aufgelistet und beschrieben sind.

In die Availability Console integriert ist eine Aktualisierungsfunktion für das Einspielen einer neuen everRun-Version beziehungsweise eines Upgrades. Im Test konnten wir dies nicht selbst ausprobieren, da während unserer Nutzung kein Upgrade bereitgestellt wurde. Laut Handbuch ist es möglich, ein Upgrade im laufenden Betrieb durchzuführen. Dabei werden zuerst der eine Knoten und dann der zweite aktualisiert sowie die VMs entsprechend verschoben, sodass es hier zu keiner Downtime kommt, wobei das letztlich in den meisten virtuellen Umgebungen so abläuft.

Ein Upgrade lässt sich weiterhin über die AVCLI durchführen. Zu beachten ist, dass anschließend eventuell auf Remote-Computern installierte AVCLIs manuell zu aktualisieren sind. Auch kann es sein, dass die VirtIO-Treiber der Windows-basierten VMs zu erneuern sind. Inwiefern derartige Tätigkeiten erforderlich sind, ist jeweils den Upgrade-Hinweisen zu entnehmen. Eine Neuerung der aktuellen Version 7.8.0.0 ist die Unterstützung von 512e-Festplatten, die Daten intern in 4k-Sektoren speichern.

everRun kommt mit einer lokalen Benutzerverwaltung, wobei nur zwischen den vier Rollen Administrator, Plattform-Manager, VM-Manager und schreibgeschützt unterschieden wird. Außerdem ist es möglich, ein Active Directory anzubinden, um daraus Benutzer und Gruppen zu berechtigen. Das mag auf den ersten Blick etwas mager erscheinen, sollte aber in der Praxis ausreichen. Letztendlich geht es hier um den Zugriff auf die everRun-Plattform, die Berechtigungen innerhalb der darauf laufenden VMs hängen allein von deren Einbindung ab.

Für eine Kontrolle des Datenverkehrs besitzt everRun die Möglichkeit zur IP-Paketfilterung basierend auf dem Linux-Tool iptables. Der Administrator hat Zugriff auf die drei Hauptketten Input, Output sowie Forward und kann entsprechende Regeln einfügen. Standardmäßig wirken die Regeln auf das Hostbetriebssystem, sie lassen sich aber auch auf die Gastbetriebssysteme anwenden.

Um bei Problemen vom System automatisch benachrichtigt zu werden, lassen sich E-Mail-Alarme einrichten, sogenannte e-Alerts. Dazu ist in der Konsole der Mailserver zu konfigurieren (SMTP-Server mit optionaler Verschlüsselung und Authentifizierung). Dann verschickt das everRun-System automatisch Alarme an den eingetragenen Empfängerkreis. Darüber hinaus lässt sich ein Remote-Support aktivieren, damit ein Stratus-Servicemitarbeiter bei Ereignissen, die ein Eingreifen erfordern, direkt benachrichtigt wird. Optional ist eine regelmäßige Berichterstellung, um Systeminformationen auch unabhängig von Problemen zu verschicken und auf diese Weise die Produkt- und Dienstqualität zu verbessern.

Bei wem wir aufgrund der bisherigen Beschreibung von Stratus everRun konkretes Interesse für einen Einsatz geweckt haben, der sollte vorab einen Blick auf einige wichtige Höchstwerte richten. Denn es ist nicht zuletzt aufgrund der beträchtlichen Lizenzkosten wichtig abzuschätzen, was eine everRun-Installation maximal leistet und wie viele Systeme der Nutzer benötigt. Dass jede VM für den FT- und HA-Modus zusätzlicher Ressourcen bedarf, hatten wir bereits ausführlich beschrieben. Darüber hinaus sind einige weitere Limits zu beachten. Ganz wichtig ist, dass everRun ausschließlich Intel-CPUs unterstützt, das Handbuch listet die zertifizierten Modelle genau auf.

Auf einem everRun-System sind maximal acht FT-VMs gleichzeitig ausführbar und FT- sowie HA-VMs zusammen höchstens 28. Eine FT-VM darf bis zu acht vCPUs haben, eine HA-VM bis zu 20, der maximale Arbeitsspeicher ist in beiden Fällen auf 256 GByte beschränkt. Bei den vCPUs unterstützt everRun Hyperthreading, die Summe der verfügbaren vCPUs entspricht also der Anzahl der Threads pro Prozessor mal Anzahl der Prozessoren. Eine Überprovisionierung von vCPUs ist zwar möglich, Stratus rät davon aber ab, beim vRAM wird diese grundsätzlich nicht unterstützt. Es lassen sich zwar mehrere VMs anlegen, die in Summe beliebig viel vRAM belegen – ein paralleler Betrieb ist allerdings nur im Rahmen des verfügbaren physischen RAMs möglich. Sind die beiden eingesetzten Server nicht identisch, wovon allerdings generell abzuraten ist, dann zählen die Ressourcen des kleineren Systems.

Verplanen lassen sich auch nur die Ressourcen eines Systems, da bei einem Ausfall oder bei Wartung ein Server den gesamten Betrieb abwickeln muss, selbst wenn im Normalbetrieb eine Lastverteilung auf beide Systeme stattfindet. Je nachdem, was der Administrator auf einem everRun-System alles parallel betreiben möchte, kann er also durchaus schnell an einen der Grenzwerte stoßen und muss sich einschränken oder noch weitere Paare aufbauen. Bei den technischen Vorgaben für ein everRun-Hostsystem gibt es keine fixen Maximalwerte. Stratus gibt aber an, bis zu welcher Größe der Hersteller getestet hat, nämlich bis zu zwei CPUs, 384 GByte Arbeitsspeicher sowie bis zu 24 internen Festplatten. Wer diese Grenzen überschreitet, begibt sich auf unsicheres Terrain.

Normalerweise ist ein Administrator gewohnt, dass ein hochverfügbares oder fehlertolerantes System eine größere Komplexität in der gesamten Bedienung mit sich bringt. Bei Stratus everRun ist dies nicht der Fall. Die beiden Varianten Express für Hochverfügbarkeit sowie Enterprise mit zusätzlicher Fehlertoleranz erlauben es einem Unternehmen, die benötigte Verfügbarkeit individuell auf die Anforderungen abzustimmen. Sehr gut gefallen hat uns die überaus einfache Systemeinrichtung, die ohne Weiteres in Eigenregie erfolgen kann. Wichtig ist im Vorfeld allerdings eine genaue Planung, damit das eingesetzte Serverpaar die notwendige Leistung besitzt, um die gewünschten VMs zuverlässig und performant zu betreiben. Entscheidend ist zudem ein Blick auf die Kompatibilitätsliste, um zertifizierte Hardware einzusetzen. Speziell zu beachten ist die Beschränkung auf bestimmte CPU-Typen ausschließlich von Intel.

Abgesehen davon macht die integrierte Spiegelung der Daten zwischen den beiden Systemen die Lösung sehr kompakt und zugleich in Hinblick auf die Hardwarekosten vergleichsweise preiswert. Einen tiefen Griff in die Geldbörse verlangen allerdings die Lizenzen von Stratus mit einem deutlichen Unterschied zwischen Express- und Enterprise-Version. Eine getrennte Aufstellung an zwei entfernten Standorten ist möglich. Die Betreuung einer laufenden everRun-Umgebung hat sich im Test als sehr einfach erwiesen, da sie zwar zwei Hardwareserver verwendet, sich diese aber über eine zentrale Konsole wie eine Einheit bedienen lassen. Das Produkt ist daher geeignet in Situationen, wo eine hohe Verfügbarkeit bei geringem Administrationsaufwand gefordert ist. Die Remote-Verwaltungskonsole ermöglicht zudem eine einfache Betreuung aus der Ferne.

Der Test verschiedener Ausfallszenarien hat gezeigt, dass im HA-Modus nur mit wenigen Minuten Nichtverfügbarkeit zu rechnen ist. Im FT-Modus läuft eine VM mit einer nur wenige Sekunden dauernden Verzögerung unterbrechungsfrei sowie ohne Transaktionsverlust weiter. Stratus stellt auf seiner Webseite die voll funktionsfähige Software inklusive einer 30-Tage-Testlizenz zum Download bereit, sodass Interessierte das Produkt problemlos selbst auf Eignung prüfen können.