2008年創刊 · デジタル版 · 2026年6月19日

SMB IT Journal

中小企業のための情報技術リソース

日本語
ベストプラクティス

高可用性を検討すべき時期は?

「高可用性とは購入するものではなく、実践するものだ。」 – John Nicholson

ITにおいて高可用性(HA)ソリューションほど普遍的に求められているものはほとんどない。本当に、その言葉を口にすれば、どんなITプロもすぐにそれを望むと言うだろう。サーバー、アプリ、ストレージ、そしてもちろんデスクトップのHA。あらゆるシステムの横に単に「HA」と書かれたチェックボックスがあれば、なぜチェックしないのか?もちろんするだろう。故障の多いシステムを誰も自発的に望まない。失敗は悪、成功は善だ。

しかしまず、HAを定義しなければならない。HAは多くのことを意味しうる。最低限、HAは対象システムの可用性が「通常」よりも高くなければならないことを意味する。通常とは何か?それ自体が定義しにくい。HAはせいぜい緩やかな用語だ。しかし最も一般的な使用コンテキスト、つまり通常のエンタープライズハードウェア上で動作する一般的なアプリケーションの文脈では、HA議論の出発点として以下を提示したい:

標準可用性(SA)は、ベストプラクティス環境でエンタープライズサポートを受けながら、一般的なメインラインサーバーで一般的なエンタープライズOSを実行し、一般的なエンタープライズアプリケーションを動かす場合の可用性として定義される。具体的な例としては、HP Proliant DL380(最も一般的なメインラインコモディティサーバー)上のWindows Serverで動作するExchangeが挙げられる。またはDell PowerEdge R730上のRed Hat Enterprise LinuxでBIND(DNSサーバー)を実行する場合も該当する。これらは大まかな基準を設けるための例に過ぎない。これを測定する優れた方法はないが、良好なサポート契約と現実世界での迅速な修理や交換があれば、人的ミスを除いてこの種のシステムの信頼性は4〜5ナイン(99.99%以上の稼働時間)と考えられている。

高可用性(HA)は、標準可用性よりも大幅に高い可用性を持つものとして定義されるべきだ。大幅に高いとは、少なくとも1桁の増加を意味する。したがって、少なくとも5ナインの信頼性、より可能性が高いのは6ナイン(99.9999%の稼働時間)だ。

低可用性(LA)は、標準可用性よりも大幅に低い可用性を持つものとして定義される。大幅に低いとは再び少なくとも1桁低いことを意味する。したがってLAは通常99%〜99.9%以下の可用性と仮定される。

ここでの測定は非常に困難だ。人的要因、環境、その他がさまざまな構成の稼働時間を決定する上で大きな役割を果たすからだ。同じ機器を1つの役割で使用すれば5ナインを達成できるが、別の役割では1ナインさえ達成できないかもしれない。データセンターの品質、サポートスタッフのスキル、部品交換の速さ、監視の精度、その他多くの要因が全体的な信頼性に大きく影響する。しかし、これは必ずしも問題ではない。ほとんどの場合、私たちがコントロールするシステム設計の部分を評価することで、少なくとも1つのアプローチが別のアプローチより優れていることを示し、正確な故障率モデルを簡単に構築できなくても十分な情報に基づいた意思決定を活用できるよう、相対的な信頼性を判断できる。

重要なのは、高可用性または低可用性の定義において、これらのレベルをどのように達成すべきかについての記述はないということだ。それらの用語が意味するものではない。これらの用語はベースラインに対する信頼性の結果的な集合であり、それ以上でも以下でもない。一般的に想定されるアプローチを使用せずに高可用性を達成する方法は多く、低可用性を達成する方法は実質的に無制限だ。

もちろんHAはすべての層で定義できる。HAのプラットフォームやOSを持ちながら、その上に脆弱なアプリケーションを持つことができる。したがって、特定の時点でどのレベルについて話しているかを理解することが非常に重要だ。最終的に、ビジネスはそれがどのように達成されるか、またはどこで達成されるかに関わらず、サービスの高可用性デリバリーにのみ関心を持つ。最終結果が重要であり、それがどのように達成されたかの「内部の」詳細ではなく、常に目的が手段を正当化するのだ。

今日、ITデパートメントがプラットフォーム層での新しくて華やかなHAツールに気を取られ、スタックのより高い層と低い層のHAを確認することを忘れ、その1つの層だけを見ながらビジネスをこれまでと同様、あるいはそれ以上に脆弱なままにすることは非常に一般的だ。

しかし現実世界では、HAは常に選択肢ではなく、選択肢である場合でもコストがかかる。そのコストはほぼ常に金銭的なものであり、通常は追加の複雑さも伴う。そして周知の通り、いかなる複雑さも追加のリスクをもたらし、注意しなければHAを達成しようとする試みが実際に失敗し、LAつまり低可用性になる可能性さえある。

この必要な言語を理解した上で、高可用性、標準可用性、さらには低可用性がいつ私たちに適しているかについて話し始めることができる。システムの信頼性を測定することがいかに困難であるかから、詳細になりすぎると意味がなくなるため、この高レベルの粒度を使用する。

概念的に、すべてのシステムはダウンタイムのリスクを持っており、常に稼働し続けることは不可能だ。信頼性は一般的に他の条件が同じであればコストがかかる。したがって、ワークロードにどのレベルの可用性が最も適切かを判断するには、リスク軽減のコスト(平均ダウンタイムを変えるのにかかる金額)を判断し、それをダウンタイム自体のコストと比較しなければならない。

ダウンタイムのコストを判断することだけでも難しく、次にダウンタイムのリスクを判断することはさらに難しいため、これは複雑になる。多くの場合、ダウンタイムは固定数ではないが、そうであることもある。このコストは1分あたり5ドル、または1日あたり20,000ドルなどとして表現できる。しかし、さらに優れたツールは、合理的な間隔内で時間とともにお金がどのように失われるかを示す「損失影響曲線」を作成することだろう。

例えば、ある会社は最初の5分間はまったく損失がなく、人々が紙に移行できなくなるなどして仕事が止まる約4時間までほぼゼロから非常に大きな損失になるまでゆっくりと増加しながらも小さな損失に直面するかもしれない。あるいは、システムがダウンした瞬間に大きな損失が発生するが、時間とともに損失が徐々に減少する会社もあるかもしれない。損失は特定の時間帯にのみ影響するかもしれない。夜間や昼食時の停電は些細なことだが、午前中や午後は重大かもしれない。すべての会社の影響、リスク、そしてリスクを軽減する能力は異なり、しばしば劇的に異なる。

時には会社で働く人々によることもある。システムが障害を起こしたときに全員が喜んで必要なトイレ休憩、コーヒー、スナック、あるいは昼食を取り、修復された後に仕事に戻るだろうか?大きな停電のために人々は早退し、翌日早く来るだろうか?稼働せずにいる機械はあるか?顧客への対応能力は影響を受けるか?生命維持システムが失敗するか?潜在的な影響は無数にあり、さまざまな種類の障害を軽減する方法も無数にある。これらすべてを考慮しなければならない。ダウンタイムのコストは分ごとの企業収益のほんの一部かもしれないし、ダウンタイムは分ごとに生成される収益よりも影響力の大きい顧客や信頼の喪失を引き起こすかもしれない。

おおよその損失数値が得られたら、少なくとも出発点がある。収益がおよそ10ドル/分で損失がおよそ5ドル/分と見込まれることさえわかれば、一種の出発点がある。完全な曲線またはより詳細な数値を持つ研究があれば、なお良い。次に、ベースラインがどのくらいになるかをおおよそ把握する必要がある。良好なサポート契約と良好なバックアップと復元手順を持つオンプレミスで動作するよく管理されたサーバーは、4ナインの信頼性を十分に達成できる。つまり、5年間で約5時間のダウンタイムが発生することを意味する。これは実際にほとんどの環境でのSAの一般的に予想されるダウンタイムよりも少なく、近くに部品とサービスがある高品質なデータセンターのような優れた環境では期待されるレベルをはるかに下回る可能性がある。

したがって、5年間で約5時間というベースラインの例に基づいて、潜在的なリスクを把握できる。1分あたりおよそ5ドルを失い、5年間でおよそ300分のダウンタイムが予想される場合、半十年間で1,500ドルの潜在的な損失を見ていることになる。

つまり、最も極端な場合でも、そのリスクを軽減するために1,500ドルを費やすことは絶対にできない。それは財政的に馬鹿げているだろう。これはいくつかの理由で起こる。最大の理由の1つは、これはリスクに過ぎず、1,500ドルを失うリスクを保護するために1,500ドルを費やすことはほとんど意味がないが、これらの数値を慎重に分析しない人々が犯す非常に一般的な間違いだということだ。

最大の要因は、いかなる軽減技術も完全に有効ではないということだ。4ナインシステムを5ナインシステムに移行できた場合、平均ダウンタイムの90%しか削減できず、1,500ドルの損失から150ドルの損失に移行することになる。そのために1,500ドルを費やした場合、総「損失」はまだ1,650ドル(保護のコストは財務損失の一形態)になる。リスク軽減のコストと、それが残す予想される残りの影響を合わせたものは、軽減なしのリスクの予想コストよりも低くなければならないし、そうでなければ軽減自体が無意味あるいは積極的に有害だ。

多くの人は、リスク軽減の総コストが単に等しいのではなく低くなければならない理由を疑問に思うかもしれない。確かに等しければ「リスク損益分岐点」にあることを意味するのではないか?表面上はそのように思えるが、リスクを扱っているためそうではない。リスク軽減は確実なコスト、つまり明日の損失を減らすことを望んで今日被る財務的損害だ。しかし明日のリスクは推測に過ぎず、うまくいけば十分に教育された推測だが、あくまでも推測だ。今日のコストは確実だ。明日の可能な損害を減らすことを望んで今日確実な損害を負うことは、今日の損害が小さく、明日の予想または可能な損害が非常に大きく、軽減の有効性が著しい場合にのみ意味をなす。

「明日の可能なコスト」を減らすための「今日の確実なコスト」という考えに含まれるのは、お金の時間価値の概念だ。停電が既知のサイズと時間であったとしても、私たちのお金は今日の方が価値があるため、明日それを軽減するために今日同じお金を費やすことはしないだろう。

最も劇的なケースでは、ITデパートメントが将来何年も先に、たぶん数千ドルを失うかもしれないリスクを避けるために、今日数万または数十万ドルを費やすよう要求するのを見ることがある。「明日頭痛を避けるかもしれないために、今日顔に銃を向ける」と表現できる戦略だ。

リスク軽減を評価するという考えに含まれるが特に言及すべき点は、IT機器の場合、信じられているほど有効でない可能性のあるリスク軽減の試みの例が多いということだ。例えば、同じラックに2台のサーバーを置くことは、ホストハードウェア障害のリスクを軽減するのに非常に有効かもしれないが、自然災害、サイト損失、火災、ほとんどの電気ショックのケース、防火設備の作動、ネットワーク中断、ほとんどのアプリケーション障害、ランサムウェア攻撃、その他の合理的に可能な災害に対しては軽減できない。

ストレージデバイスに「デュアルコントローラー」が搭載されることは一般的で、高い信頼性という強い印象を与えるが、通常これらのコントローラーは共有コンポーネントを持つ単一シャーシ内にあり、コンポーネントが共有されていなくても、ファームウェアが共有されていることが多く、コンポーネント間の通信は複雑だ。これはしばしば、あるコンポーネントの障害が別のコンポーネントの障害を引き起こす障害につながり、購入時に期待されたHAではなく、SAまたはLAデバイスになることが非常に多い。したがって、リスク軽減戦略がどのリスクを軽減するかを検討し、軽減技術が有効である可能性が高いかどうかを考慮することが非常に重要だ。どの技術も完全に有効ではなく、常に障害の可能性があるが、一部の戦略と技術は他よりも広く有効であり、一部は単に誤解を招くか実際には逆効果だ。注意しなければ、目標を積極的に損なう高コストの製品や技術を導入してしまうかもしれない。

高可用性の追求に使用される一部の技術と製品はかなり高価で、冗長ハードウェアの購入、別の建物のリース、高価な発電機の設置、特別なソフトウェアのライセンスなどが含まれる。低コストの技術とソフトウェアもあるが、ほとんどの場合、高可用性への移行はそれを達成するために相応に大きな投資資本の支出をもたらす。高可用性はプロセスであり、単に高可用性を購入する方法はないことを絶対に念頭に置くことが重要だ。HAを達成するには、優れたドキュメント、手順、計画、サポート、機器、エンジニアリングなどが必要だ。システムの世界では、HAは通常まず環境の観点から、フェールオーバー電源発電機、冗長HVACシステム、電力調整、空気濾過、防火設備などを備え、可用性のための環境を確保することで取り組まれる。これだけで、さらなる投資が不要になることが多く、驚くべき結果をもたらすことができる。次に、HAシステム設計として、技術スタックの1つの層だけでなく、スタック全体が高可用性であることを確保し、重要なアプリケーション、データ、またはサービスをできるだけ多くの時間機能させ続けることができるようにする。そして、洪水、ハリケーン、吹雪などに耐えられるようにサイト間の冗長性を考慮する。もちろん、私たちに代わってリモートでホストされるクラウドコンピューティングサービスを活用するような全く異なる技術もある。重要なのは、高可用性には広い思考と計画が必要で、単に明細項目として購入することはできず、「標準的な」システム設計が提供するよりもはるかに高い稼働時間またはその可能性を示すリスク係数を返す能力によって判断されるということだ。

多くのビジネス、特にITプロフェッショナルにとって、しばしばほぼ衝撃的と言えるほど驚くことは、HAが必要であり、最新のHA製品を購入することが予算を使うべき方法だと常に言われながら、リスク軽減戦略のコストと有効性の現実が考慮されると、高可用性はほとんどの組織、特に小規模または高度に分散したワークロードを持つ組織にはほとんど場所がないということだ。中小企業市場では、高可用性アプローチのコストと複雑さ(これがリスクをもたらし、主に技術と軽減技術の経験不足という形で現れる)が、軽減が保護することを望まれる停電の潜在的な損害を相殺するには高すぎることがほぼ普遍的に見られる。もちろん例外はあり、高可用性ソリューションが絶対に合理的な多くのビジネスもあるが、それらは例外であり、規範からはほど遠い。

高可用性のニーズをワークロードベースで考え、部門、会社、または技術全体としてではなく考えることも理にかなっている。中小企業では、すべてのワークロードが共通のプラットフォームを共有することが一般的で、単一のワークロードの高可用性の必要性が、他のあまり重要でないワークロードを引き込む可能性がある。これは完全に問題なく、重要でないワークロードへの付随的なメリットを通じて重要なワークロードのリスク軽減コストを相殺する優れた方法だ。異なるワークロードに対してプラットフォームアプローチが多数使用される大規模な組織では、ダウンタイムの影響によるリスクの観点から高度に重要で、リスクを実際に軽減できる(リスクを軽減する能力はワークロードの種類によって大きく異なる場合がある)特定のワークロードにのみ高可用性が適用され、他のワークロードは標準的な技術に任せることが一般的だ。

重要でかつ高可用性で効果的に対処できる可能性のあるワークロードの例は、複数地域へのレプリケーションによって生じるレイテンシーがシステム全体への影響は少ないが、システム障害時に注文を失うことが財政的に大きな影響を与えるオンライン注文システムだ。高可用性が実装しやすいが効果がないワークロードの例は、よく聞かれるHRの質問に答える内部イントラネットサイトで、このようなシステムの時々ある少量のダウンタイムを避けることは費用対効果がない。リスクが高いが、リスク軽減のコストや有効性が実用的または不可能にする可能性があるシステムの例は、大量の低レイテンシーデータを取り込む必要があり、レプリカを維持する能力が非常に高コストになるだけでなく、システムが十分に機能する能力を損なうレイテンシーをもたらす可能性がある金融の「ティック」データベースだ。すべてのビジネスとワークロードは独自であり、慎重に評価されるべきだ。

もちろん高可用性技術は段階的に実施できる。それはすべてか無かの取り組みではない。システムレベルの障害リスクをアプリケーション層のフォールトトレランスで軽減し、システムハードウェア、仮想化プラットフォーム、またはストレージの障害から保護することは実用的かもしれない。しかし同じワークロードにとって、単一サイトの損失から保護することは価値がないかもしれない。あるワークロードが特定のサイトにのみサービスを提供するか、単にサイト間でフェールオーバーするために必要な大きな投資に見合う価値がない場合、「中間」に落ちることがある。ワークロードが部分的なHA解決策のみを実施することは非常に一般的で、多くの場合ITデパートメントがそれらの一部のみを担当し、電源サポートやHVACなどについては発言権がないが、おそらく最も一般的な理由は、一部のHA技術が高い知名度を持ち管理職に売りやすいと見なされる一方で、高品質の電源と空調などは費用対効果が高くてもそのように見なされないことが多いためだ。特定の技術が選択され他が選択されない正当な理由もあり、それらが異なるリスクコンポーネントに影響し、一部のリスクが個々のビジネスまたはワークロードに異なる影響をもたらす場合がある。

高可用性は、それが検討する価値があるかどうか、そして実装についてさらに慎重な考慮が必要だ。真のHAシステムを構築するには、多大な努力と専門知識、そして通常は相当なコストが必要だ。HAのどのコンポーネントが価値があり、どれが価値がないかを理解するには、広範な技術的専門知識だけでなく、財務的・管理的スキルも必要だ。HAが組織にどのような影響を与えるか、そしてそれがいつ投資に見合うかを真に理解するには、部門が緊密に協力しなければならない。組織またはワークロードの高可用性の必要性は決して当然のことではないということを忘れずにいることが重要で、広範な高可用性または軽いHA慣行さえも経済的に実用的でないことがわかっても、まったく驚くべきことではない。

多くの点で、これは標準可用性が軽減すべきリスクが継続的に減少する状態に達しているためだ。ビジネスインフラに使用されるテクノロジーコンポーネント、最も注目すべきはサーバー、ネットワーク機器、ストレージが非常に信頼性が高くなり、保護しなければならないダウンタイムの量はかなり少なくなっている。どんなデバイスもいつでも故障するかもしれないという差し迫った危機感のほとんどは、信頼性の高いハードウェアが手頃な価格でなく、最も高価な機器でさえ現代の標準から見ると信頼性が低かった過去のIT時代から来ている。この差し迫った破滅の感覚は現代ではなく古い時代から来ており、現代の機器は明らかにまだリスクを持っているが、驚くほど信頼性が高い。

他のリスクに加えて、高可用性ソリューションへの過剰投資は実質的な財務的・ビジネスリスクをもたらす。ビジネスの不確実性に直面して技術的負債を増加させる。もしビジネスが突然成長した場合、あるいはより悪いことに、突然縮小したり、方向を変えたり、買収されたり、完全に廃業した場合はどうなるか?保護の必要性が消えたとしても、高可用性への投資は既に費やされている。技術やロケーションが変わった場合はどうなるか?HA投資の一部またはすべてが、期待される耐用年数の前に失われる可能性がある。

ITの実践者として、テクノロジーソリューションの利点、リスク、コストを評価することは私たちが行うことの核心だ。ビジネスインフラの他のすべてと同様に、リスク軽減の種類、保護の価値、財政的に適切な量を決定することが私たちの主要な責任であり、それを見落としたり無視したりすることはできない。高可用性が必要と単純に仮定することも、単純にスキップできると仮定することもできない。このような性質の分析において、ITは組織に最大の価値の一部をもたらす。ここでこそ、私たちが最も輝く可能性がある。

 

 

広告

SMB IT Journal — the IT resource for small business