skip to Main Content
01 83 79 95 95 contact@voxy.fr

Quel niveau de redondance pour quels besoins ?

Quel niveau de redondance pour quels besoins ?

La conception, l’installation et l’exploitation de systèmes totalement redondants requièrent des compétences étendues et une grande rigueur sans lesquels les investissements et efforts consentis sont, comme dans le cas des sauvegardes, vains.

Il ne s’agit pas ici de décrire en détail toutes les solutions techniques disponibles mais de présenter les modèles de redondance (on dit aussi résilience) les plus fréquemment appliqués, en précisant que des modèles distincts peuvent être retenus pour chacune de vos applications, selon leurs objectifs respectifs de disponibilité et les architectures sur lesquelles elles fonctionnent.

Modèle 2N+0

  • Configurations redondantes(2) ou en haute disponibilité(3) en un même lieu (salle, bâtiment ou site) non secourues : fonctionnement en continu 24h/24 et/ou en répartition de charge.
  • Exige des infrastructures hautement résilientes (alimentation électrique, climatisation, réseaux, moyens de surveillance, fermes de serveurs …) invulnérables aux pannes et n’ayant si possible aucun lien de dépendances entre eux (sinon des travaux sur les infrastructures du site pourraient entraîner des arrêts de production).
  • En cas d’incident ou pour des travaux de maintenance sur un système, la production est transférée vers un système équivalent(4) après une courte interruption de service (quelques minutes) voire sans arrêt.
  • Si les architectures techniques le permettent, les systèmes de secours peuvent être maintenu en action et ainsi pouvoir redémarrer sans délais (quelques minutes) et avec des pertes de données minimales.
  • En cas de sinistre majeur (destruction ou inaccessibilité du site), la reprise d’activité sur un autre site peut réclamer des temps très longs (jusqu’à plusieurs semaines).

 

Modèle N+N

  • Configurations non redondantes, secourues sur un site secondaire
  • Les serveurs de secours sont le plus souvent dormants et les données de production sont copiées en léger différé sur des moyens de stockage du site de secours.
  • En cas de sinistre ou pour des travaux de maintenance sur le site de production, l’activité est transférée sur le site de secours dans un délai de quelques heures (entre 1 et 24 heures selon les cas)
  • Si les architectures techniques, les liens réseaux et la distance le permettent, les systèmes de secours peuvent être maintenu en action afin de recevoir en continu les données modifiées sur le site de production, et ainsi pouvoir redémarrer sans délais (quelques minutes) et avec des pertes de données minimales.

 

Modèle 2N+N

  • Configurations redondantes ou en haute disponibilité, secourues sur un site secondaire
  • Les serveurs de secours sont le plus souvent dormants et les données de production sont copiées en léger différé sur des moyens de stockage du site de secours.
  • En cas d’incident ou pour des travaux de maintenance sur un système, la production est transférée vers un système équivalent du site de production après une courte interruption de service (quelques minutes) voire sans arrêt.
  • Si les architectures techniques le permettent, les systèmes de secours peuvent être maintenu en action et ainsi pouvoir redémarrer sans délais (quelques minutes) et avec des pertes de données minimales.
  • En cas de sinistre majeur ou pour des travaux de maintenance sur le site de production, l’activité est transférée sur le site de secours dans un délai de quelques heures (entre 1 et 24 heures selon les cas)

Voir aussi l’article relatif aux RTO et RPO.

(1) Remarque : les puristes de la fiabilité considèrent la duplication de moyens comme une mauvaise pratique. En effet, deux composants ou équipements de même fabrication ou employant les mêmes procédés et opérant dans les mêmes conditions ont une probabilité non négligeable de connaître les mêmes défaillances en même temps ou à peu d’intervalle de temps. Ils préfèrent donc choisir des moyens totalement différents capables d’assurer exactement les mêmes fonctions. En informatique cette précaution est rarement prise en raison des coûts très importants qu’entraineraient le choix, la mise en oeuvre, et l’entretien des compétences relatives à deux fois plus de composants et donc de complexité.
 
(2) La redondance doit être assurée sur la totalité des moyens : énergie, froid, réseau, stockage, etc.
 
(3) La haute disponibilité requiert des logiciels capables de  détecter automatiquement les défaillances et de redémarrer immédiatement la production.
 
(4) Toutefois, grâce à la virtualisation (voir cet article) il n’est plus nécessaire que les matériels serveurs mis en redondance soient parfaitement identiques aux originaux ; des matériels de classe équivalente en performances et en capacités (mémoire, stockage, connectivité …) peuvent désormais accueillir de multiples applications opérant en temps normal sur des matériels très différents.
Back To Top
Rechercher