Maciej Sobczak wrote:
> On Jul 17, 9:40 pm, Seweryn Habdank-Wojewódzki <h...@g...com>
> wrote:
>
>> Albo calkowicie inzyniersko, jak udowodnic, ze dostepnosc
>> rozproszonego systemu wynosi np. 99.7%.

Bez analizy ryzyka i bez konkretnego poznania co i jak może się popsuć
niezależnie, udowodnienie czegoś jest ciężkie.

No i najpierw w ogóle trzeba mieć jakieś dane nt. niezawodności poszczególnych
komponentów. Z czym bywa różnie. Dla hardware czasem jeszcze coś można dostać,
dla software -- z rzadka. Poważna trudność to common failure modes -- dla
software to np. bug w stosie komunikacyjnym powodujący, że jak przyjdzie jakiś
tam komunikat to stos się wywala. I jeden dobrze rozpropagowany komunikat
wykłada nam cały sytetm z fafset "niezależnych" komponentów.

Tak czy siak potrzeba wiele szacować.

Jako minimum wlicza się wszelkie planowane downtime-y. Jak np. raz na kwartał
system trzeba wyłączyć na 2-3h, ot choćby na planowany upgrade, to mamy już z
góry ograniczenie do max 3 dziewiątek.

W rzeczywistej rzeczywitości to często sprowadza się to do określenia nie
realnej niezawodności tylko gwarantowanej niezawodności. Np. zakładamy, że
prawdopodobieństwo wsytąpienia krytycznego buga w ciągu np 10lat planowanego
działąnia systemu jest wysokie (np. 0.7) ale równocześnie zakładamy, że będzie
on z prawdopodobieństwem 0.9 naprawialny w ciągu 24h a w 0.09 w ciągu 72h, i
tylko pozostałe 0.01 to jakaś paskudztwo wymagające długiej naprawy. Możemy
wtedy napisać że mamy dostępność 9.997. Albo, co tu jest istotne(!) możemy
napisać że jest np. 9.999 albo po prostu 100% -- a czas niedostępności bierzemy
na klatę i na kary umowne za niedostępność powyżej dopuszczalnego limitu.

Pojawiło się całkiem sporo serwisów gwarantujących po prostu dostępność 100% --
a realny czas niedostępności refundują w ramach gwarancji.

Jak ktoś zatem chce mieć realne 4 czy 5 dziewiątek, to niech w umowie
wynegocjuje horrendalne kary umowne i niech umawia się z producentem/dostawcą
któremu nie będzie łatwo umrzeć (biznes który splajtuje w 1 na 3000 przypadków
to zwykle bardzo obiecujący biznes -- więc wielu oferentów może sobie po cichu
założyć, że jak się sypnie to cóż, mamy pecha).

>
> Co to jest "dostępność rozproszonego systemu"?
> Że dostępny jest co najmniej jeden z N węzłów, czy wszystkie?

Jeśli nie jest podane o "dostępność czego i skąd" chodzi, przyjmuje się zwykle,
że chodzi o to, że system jako taki jest zdolny do wykonywania głównego
przetwarzania danych.

> Co z połączeniami? Bo przecież wszystkie węzły mogą działać ale jeśli
> nie działają połączenia między nimi, to działanie systemu może być
> niepełne.

W sensownym systemie wysokiej niezawodności, poza przypadkami trywialnymi[*],
węzły które nie mają połączenia z resztą systemu nie działają. Innymi słowy ma
być jakaś forma kworum. Nno, bywają też systemy, gdzie nie jest potrzebny jeden
spójny obraz wspólnego stanu -- wystarcza, że kiedyś w przyszłości da się go
uspójnić -- ale wtedy połączenia między węzłami nie muszą działać.

[*] przypadek trywialny to np. (pod)system read-only i podobne sytuacje gdzie
można w pełni wykonać przetwarzanie bez dostępu do stanu wspólnego.

> Czy system, który jest dostępny ale ma niepełną
> funkcjonalność (np. można się zalogować do banku i zobaczyć stan
> konta, ale nie można zrobić przelewu) liczymy jako 100%? Itd.
> Czyli temat jest dosyć złożony.

A to owszem :)

pzdr
\SK
--
"Never underestimate the power of human stupidity" -- L. Lang
--
http://www.tajga.org -- (some photos from my travels)