DSB om nedbruddet: Hvis NNIT får et strømsvigt, går vores ting ned

"....der er nogle, som får bøder, de ikke skulle have"

"»Der gik ikke lang tid, før kontrollørerne blev informeret omkring situationen,« oplyser pressetjenesten ved DSB og uddyber, at det i alt strækkede sig over en periode på en time til halvanden, før kontrollørerne var med på, hvad der foregik."

I meddelelsen i går sagde DSB, at man fortsat ville foretage kontroller, men udvise "konduite". Man burde simpelthen have droppet kontrollen, indtil der var styr på problemet.

Og 1 time til 1 1/2 time - det lyder for mig som lang tid for at få givet en besked til alle kontrollører - der må mangle et ordentligt backupsystem. Om det så er en politisk beslutning at undvære dette, eller DSB's ansvar - tja.....

Der er ingen tvivl om at NNIT har den strømforsyning der skal til. Men en menneskelig fejl kan man ikke helt gardere sig imod.

Der er ingen tvivl om at NNIT har den strømforsyning der skal til. Men en menneskelig fejl kan man ikke helt gardere sig imod.

Det må vi da håbe at man kan, da de jo også er involverede i Sundhedsplatformen. Der ville et sådant nedbrud jo kunne få uoverskuelige konsekvenser. Men det er måske en anden form for opgaver, NNIT har der?

Spørgsmålet er vel om man har købt to center drift. Hvis man ikke har det.. ja så er der da et SPOF. Og man har løbet en kalkuleret risk, og så kan man ikke klandre leverandøren. Hvis man har købt to center drift, og det ikke virkede.. ja så peger fingrene jo kun et sted hen.

// Jesper

Naturligvis har NNIT nødstrøm i deres datacenter og hvis det var strømmen i hele datacenteret ville jeg formode der var en del flere nedbrud rapporteret fra andre af deres kunder.

Der har vist indsneget sig en lille fejl i artiklen:
»Det er svært at gardere sig 100 procent mod de her ting.«

Skulle nok have været:
»Det er dyrt at gardere sig 100 procent mod de her ting.«

Skulle nok have været:
»Det er dyrt at gardere sig 100 procent mod de her ting.«

Nej, det er umuligt at gardere sig 100%. Man kan komme tæt på, og det er korrekt at det er dyrt, men 100% opnår man aldrig.

Naturligvis har NNIT nødstrøm i deres datacenter og hvis det var strømmen i hele datacenteret ville jeg formode der var en del flere nedbrud rapporteret fra andre af deres kunder.

Der var i hvert fald mindst een anden stor NNIT kunde hvis produktion blev ramt rimeligt hårdt da NNIT hoster deres SAP løsning.

Der var i hvert fald mindst een anden stor NNIT kunde hvis produktion blev ramt rimeligt hårdt da NNIT hoster deres SAP løsning.

Men da der sikkert er lavet nogle non disclosure aftaler, så kommer den fulde sandhed nok aldrig frem.

Da der er tale om at en offentlig instans gik i dørken, kan man kun sige en gang til, at dette burde være en oplagt sag for PHK's haverikommision.

Og uagtet hvor amatøragtige Nitten er, så burde det give stof til selvransagelse hos DSB (og andre myndigheder som ukritisk lægger alle deres æg i en kurv), således at man sikrer sig at et vilkårligt strømudfald ikke river hele biksen i dørken.

Jeg undrer mig over hvorfor det konstant er nødvendigt at håne og nedgøre fagfæller her i debatterne på Version2.

Kan vi hjælpes ad med at få en mere behagelig og oplyst kommunikation med hinanden?

Som Jesper helt korrekt påpeger, så kan der være mange grunde til de store konsekvenser nedbruddet havde for DSB, fx noget så simpelt som at DSB måske ikke har tilkøbt multicenter drift? ... men der kan også være mange andre valide årsager. Vi kende ikke fakta.

De få der kender fakta føler sig næppe opmuntrede til at deltage i en debat som denne, hvor de på forhånd er stemplede som idioter, tåber og lalleglade amatører af flere af debattørerne.

Dermed er vi alle sammen afskåret fra at få bedre indsigt i de bagvedliggende problemer så vi fremadrettet kan lære af hinanden og undgå at begå de samme fejl.

Vil du være med til at højne det faglige niveau?

hvis det var strømmen i hele datacenteret ville jeg formode der var en del flere nedbrud rapporteret fra andre af deres kunder.

Hvis du læser atiklen, vil du finde ud af, at bl.a. også Saxo Bank og Digitaliseringsstyrelsen var påvirket af, at NNIT's strømkabler blev gravet over, men begge disse kunder havde valgt redundans i deres sourcing af driftscenterydelser. Det er faktisk normen, når det drejer sig om samfundskritisk infrastruktur, men det betragter DSB åbenbart ikke sin togdisponering som værende en del af.

Enig. Som udgangspunkt tror jeg på at medarbejdere gør deres bedste udfra de betingelser der er sat. Om hvem ved, om der i DSB er taget en beslutning om at spare på dette område, og være fuld klar over konsekvenserne.

Det er jo i sidste ende et spørgsmål om hvor stor "forsikringspræmie" du vil betale, kontra hvor stor katastrofen kan blive. Saxo bank har valgt at betale en større præmie i form af "back-up kapacitet", fordi de har regnet ud at konsekvenserne har en størrelse så denne "back-up kapacitet" kan forsvares.

De få der kender fakta føler sig næppe opmuntrede til at deltage i en debat som denne, hvor de på forhånd er stemplede som idioter, tåber og lalleglade amatører af flere af debattørerne.

Ja, tonen er blevet hård. Jeg ser også en stigende grad af fag-snobberi brede sig, hvor folk uden mange års erhvervserfaring eller lange fag-relevante uddannelse bliver stemplet som "idioter, tåber og lalleglade amatører", men jeg har hidtil valgt at forbigå det i nogenlunde tavshed, for jeg vil helst ikke fremstå som en selvbestaltet debat-tone-betjent. Derfor har jeg endnu ikke anmeldt andre debattører.

Så ja, lad os tale pænt og give plads til andre; alternativet er at stedet ender med at blive et elitært og irrelevant ekko-kammer.

Dermed er vi alle sammen afskåret fra at få bedre indsigt i de bagvedliggende problemer så vi fremadrettet kan lære af hinanden og undgå at begå de samme fejl.

Hvis vi skal have en kvalificeret debat, så kræver det fuld åbenhed fra de involverede parter, og hvor mange gange ser man det i forbindelse med offentlige IT-skandaler?

En IT haverikommision kunne være en start på at undgå at debatten baserer sig på gætværk.

Uagtet hvad, så må en offentlig instans ikke lægge alle æg i en kurv, og hvis DSB vitterlig ikke har tilkøbt redundans, så bør leverandøren være meget klar i mælet omkring det (og en vis form for rådgiveransvar bevidst), i stedet for at sige tak-tak til en ordre på mega mange millioner.

Og jeg er godt klar over at du bla. sigter på mig omkring den hårde tone, men når man med viden fra de små firmaer, der har styr på tingene, uden undtagelse bliver løbet over ende af "the usual suspects" der på det nærmeste har et tag selv bord hos det offentlige, så bliver man knotten når man gang på gang præsenteres for deres inkompetence.

Naturligvis har NNIT nødstrøm i deres datacenter

Er det noget du ved, eller er det noget du gætter på?

Henrik Sørensen:

Jeg kan sådan set godt følge intentionen i dit indlæg - men når jeg f.eks. læser "Og uagtet hvor amatøragtige Nitten er, så burde det give stof til selvransagelse hos DSB (og andre myndigheder som ukritisk lægger alle deres æg i en kurv), således at man sikrer sig at et vilkårligt strømudfald ikke river hele biksen i dørken.", så læser jeg det ikke som en ætsende kritik mod nogle menige IT-medarbejdere (eller for den sags skyld IT-arkitekter, som uden tvivl har forsøgt at rådgive efter bedste evne), men som udtryk for tiltagende afmagt over, at denne type hændelser så ofte opstår, og oftest bliver mørklagt, så det bliver umuligt at blive klogere - og jeg oplever mest tonen rettet mod beslutningstagere/ansvarlige, som netop ikke lytter til fagfolkene - eller som handler mod bedre vidende pga. egeninteresser - i hvilket tilfælde de fortjener en skarp tone.

Jeg kan genkende denne afmagt og tiltagende irritation og korte lunte hos mig selv ift. disse sager - vel vidende, at mennesker begår fejl - hvilket jeg sådan set godt kan tilgive. Det, som kan være svært at tilgive, er når tingene bliver mørklagt, underlagt mørkelygter og mørklægningslove. Når man sætter folk uden for døren, uden indsigt i, hvor det går galt. Så er det forståeligt, at folk hen ad vejen bliver trætte og vrede, og i en skarp tone forsøger at gøre opmærksomme på, at der er noget rivende galt i måden disse ting styres på.

Det er i det mindste noget, som Version2 tidligere har skrevet om. Se her https://www.version2.dk/artikel/her-er-hemmelighederne-bag-nnits-nye-dat...

Hvis vi skal have en kvalificeret debat, så kræver det fuld åbenhed fra de involverede parter, og hvor mange gange ser man det i forbindelse med offentlige IT-skandaler?

@Christian - det ville være skønt med fuld åbenhed, helt enig.

Indtil den måtte indfinde sig, så synes jeg at det er mest givende for fællesskabet, hvis vi i en behagelig tone kan diskutere, hvad der mon kan være gået galt og hvordan man kan imødegå tilsvarende situationer fremfor at håne hinanden.

Faktisk peger debatreglerne på det samme: "Kontroversielle påstande kræver faglig dokumentation og kildehenvisning og skal holdes på et sagligt niveau."

Jeg tænker, at du har en masse rigtig god viden, erfaring og indsigt, som du forhåbentlig vil bruge energi på at dele med os andre.

Jeg undrer mig over hvorfor det konstant er nødvendigt at håne og nedgøre fagfæller her i debatterne på Version2.

Når folk laver løsninger som åbenlyst er idiotiske, så fortjener de kritik. Det er i den forbindelse ligegyldigt om det er en bro der falder sammen eller om det er sikkerheden i et IT system.

Hvorvidt DSB er nogle amatører afhænger af deres ræsonnement: Såfremt de ikke har overvejet at deres datacenter kan falde ud, så er de en flok amatører.

Såfremt de har overvejet konsekvenserne af at et datacenter er nede og besluttet at det kan de leve med, så har de truffet en forretningsmæssig beslutning som jeg ikke kender grundlaget for.

Umiddelbart kan jeg godt forstå hvis de vælge at leve med nogle få nedbrud om året på billetsystemerne - de kan jo bare hæve priserne resten af året - for at spare på dyr IT arkitektur. Det rammer hverken kunder eller virksomhed. Hvis togene stopper med at køre er det selvfølgeligt en anden sag.

Indtil den måtte indfinde sig, så synes jeg at det er mest givende for fællesskabet, hvis vi i en behagelig tone kan diskutere, hvad der mon kan være gået galt og hvordan man kan imødegå tilsvarende situationer fremfor at håne hinanden.

Jeg synes faktisk at Anne-Marie har formuleret det meget godt - min kritik går ikke (nødvendigvis) på fagarbejderne, men på ledelsen, som imo svigter gang på gang, og på det nærmeste tager kompetente medarbejdere som gidsler.

Eksempelvis har jeg mødt rigtig mange kompetente TDC medarbejdere, som er ved at gå fuldstændig op i limningen over den organisation som ledelsen i den grad vanrøgter.

Faktisk peger debatreglerne på det samme: "Kontroversielle påstande kræver faglig dokumentation og kildehenvisning og skal holdes på et sagligt niveau."

Jeg mener faktisk ikke der er noget speciel kontroversielt ved skarpt at kritisere beslutningen om at lægge alle æg i en kurv.

Det er ikke rocket science, at det må man simpelthen bare ikke, og det ved alle med bare en basal viden om IT.

Jeg tænker, at du har en masse rigtig god viden, erfaring og indsigt, som du forhåbentlig vil bruge energi på at dele med os andre.

Som sagt, det er den overordnede tilgang jeg især kritiserer.

@Niels Jensen - tak for linket. Selvom det er en artikel fra 2010 så
synes jeg, at den giver et godt indtryk af, at vores fagfæller hos NNIT har passeret amatørniveauet for længe siden.

@Anne-Marie - vi vil det samme kan jeg høre, nemlig blive klogere på fakta.

En anden udbyder blev ramt af en lignende situation for nogle år siden. Dengang røg bystrømmen også og straks tog batterierne over præcis som de skulle mens dieselgeneratorerne startede op.

Kort efter kom bystrømmen tilbage og systemet gik automatisk tilbage til normal forsyning, hvorefter bystrømmen så forsvandt, kom igen og forsvandt nok en gang. Til sidst havde batterierne ikke nået at lade tilstrækkeligt op og datacenteret gik i gulvet med et brag.

De kunder, der havde multicenterdrift overlevede, mens dem der havde drift uden redundans røg i gulvet med et brag.

Var det et amatøragtigt setup eller drevet af amatører, det gik jo i gulvet...!!!??

Datacenteret var udført og drevet efter alle forskrifter og Best Practices, men ingen havde åbenbart tænkt over lige præcis den kombination af hændelser i en tidssekvens, der medførte at batterierne blev afladede selvom de var overdimensionerede i forhold til kravene.

Efterfølgende lavede man en root cause analyse, delte viden med leverandør og rådgivere og gennemførte en række ændringer for at undgå gentagelser.

I min optik handlede man professionelt, men man blev simpelthen ramt af sort uheld.

At sort uheld kunne indtræffe var dog ikke uventet, man regnede faktisk med at noget ville kunne ske og netop derfor havde man et tilbud om et sekundært datacenter, med bystrøm fra en anden transformerstation og separate netværksopkoblinger, placeret langt nok væk til, at fx et flystyrt i det ene datacenter ikke ville trække det andet med ned.

Havde man så garderet sig mod alle fejl? Naturligvis ikke, men man havde minimeret risikoen. Kunne man have gjort mere? Helt afgjort, men så blev prisen så eksorbitant højt at ingen ville betale den.

Jeg mener faktisk ikke der er noget speciel kontroversielt ved skarpt at kritisere beslutningen om at lægge alle æg i en kurv.

@Christian - det er der så absolut heller ikke, hvis det er det, der er tilfældet.

Jeg har dog fortsat til gode at se fakta, der viser at alle æg er lagt i samme kurv. Indtil videre er det vist kun gisninger her i tråden. Sidder du inde med faktuel viden, så del den endelig med os andre.

Henrik Sørensen:

Lærerig historie - tak for den. Det bliver spændende, om vi i denne sag på samme måde får indsigt i hændelsesforløbet på et tidspunkt. Jeg har ikke personligt behov for at kende alle detaljer (det kan fagfolk have), men jeg håber, at vi f.eks. får indblik i, om DSB faktisk har betalt for rimelig sikring mod totale nedbrud - eller om man har sprunget over, hvor glædet er lavest på dette punkt.

A pro pos din sidste sætning, så kan det jo være meget individuelt, hvad man opfatter som eksorbitant. Som bruger af den kollektive trafik har man nok en anden opfattelse af det, end hvis man er inkarneret privatbilist - eller medlem af LA :-) Så det er et af de punkter, der bør være åbenhed omkring - hvilke sikkerhedsmæssige valg har DSB faktisk foretaget i kontrakten med NNIT? Og hvem har ansvaret for disse valg? Politikere eller embedsfolk?

Andre kan som nævnt være mere optagede af de tekniske aspekter, som dem du beskriver i den in øvrigt interessante historie om sort uheld.

hvor glædet er lavest på dette punkt.

"..gærdet"... (suk)

Jeg har dog fortsat til gode at se fakta, der viser at alle æg er lagt i samme kurv. Indtil videre er det vist kun gisninger her i tråden. Sidder du inde med faktuel viden, så del den endelig med os andre.

Når informationstavler, billetapp, billetautomater og kommunikationssystem går ned på en og samme gang, så er der et single point of failure - det er evident.

Og det er det jeg kalder at lægge alle æg i en kurv - og den fejl mener jeg primært kan tilskrives DSB, men det frasiger ikke NNIT fra et vist ansvar.

Om der er andre der så ellers er røget ned på den konto, det ved jeg ikke, så det skal jeg undlade at gætte om.

Jeg sidder lidt med en bismag i munden, for taler du 100% som privatperson, eller er der en bias i det du siger, da jeg synes at kunne fornemme et element af forsvarsretorik?

Og igen, jeg kan kun støtte op om en haverikommission til at vende hver en sten, for jeg ser det som uacceptabelt at landet største, statsstøttede, udbyder af offentlig transport er så sårbar.

A pro pos din sidste sætning, så kan det jo være meget individuelt, hvad man opfatter som eksorbitant

@Anne-Marie - her er der tale om helt almindelig prissætning. Når prisen bliver for høj, så er der ikke kunder nok der vil betale og dermed bliver varen urelevant og udgår eller bliver aldrig fremstillet.

@Anne-Marie - her er der tale om helt almindelig prissætning. Når prisen bliver for høj, så er der ikke kunder nok der vil betale og dermed bliver varen urelevant og udgår eller bliver aldrig fremstillet.

Det gør det ikke uinteressant eller irrelevant at oplyse offentligheden om, hvor grænsen går her. Det er jo ikke givet, at de ansvarlige for denne beslutning har opbakning til deres linje hos den del af befolkningen, som gerne vil have en pålidelig kollektiv trafik.

I stedet for at bruge penge på EN ”sikre” data-center, så kan det være beder, at bruge penge på flere, men billiger data center, ved brug af; Round-robin DNS.

REF[Round-robin DNS] :: https://en.wikipedia.org/wiki/Round-robin_DNS
REF[] :: https://webmasters.stackexchange.com/questions/10927/using-multiple-a-re...

@Anne-Marie - her er der tale om helt almindelig prissætning. Når prisen bliver for høj, så er der ikke kunder nok der vil betale og dermed bliver varen urelevant og udgår eller bliver aldrig fremstillet.

Henrik, sådan kan du ikke stille det op.

Når vi har at gøre med disse meget store udbud i offentlig regi, så er der mange andre mekanismer der griber ind.

I stedet for at bruge penge på EN ”sikre” data-center, så kan det være beder, at bruge penge på flere, men billiger data center, ved brug af; Round-robin DNS.

Chresten, det er ikke nødvendigvis helt trivielt at gøre.

Men, hvis vi f.eks. taler informationstavlerne, så laver jeg signage løsninger sådan at hvis en skærm ikke har haft forbindelse med serveren i 5 minutter, så skifter den over til et back-up domæne som er hostet et andet sted (hvor hovedserveren løbende har replikeret over til).

Noget tilsvarende kunne man sagtens lave for trafikinformationsskærme, så ville man i det mindste inden for ganske få minutter have en oplysningskanal åben - det ville kunne afværge en del af frustrationerne.

@Christian - jeg har tidligere i andre tråde redegjort meget eksplicit for min arbejdsrelation.

Jeg taler 100% som privatperson og er ikke ansat af hverken NNIT eller DSB eller Banedanmark (som vist er dem med skiltene og den slags?). Jeg er heller ikke på nogen måde hyret af nogle af parterne eller har særinteresser jeg gerne vil pleje.

Jeg tror ikke at skilte, billetautomater, mv. gik ned sådan teknisk set, men det fælles datagrundlag de skulle trække på forsvandt og så er det nok meget hensigtsmæssigt at lægge sig på ryggen indtil normalsituationen har indfundet sig igen.

Du har til gengæld en stor pointe omkring kommunikationssystemerne (jeg tror også at Anne-Marie havde samme kritik).

Det er fuldstændigt forudsigeligt, at man ind i mellem vil rende ind i tekniske problemer der gør, at man har brug for at kommunikere med passagerer og personale og de systemer må ikke falde ud blot fordi billetsalg mv. er nede.

Som konsekvens af det bør de enkelte enheder (skilte, app osv) være designet med et vist niveau af autonomi og fail-out, så de til hverdag henter deres informationer fra backend systemerne og hvis backend'en forsvinder (=krisesituation), så henvender de sig automatisk hos en anden datakilde som drives i et alternativt setup. Herfra ville man så kunne distribuere brugbar information til passagerer og personale.

@Anne-Marie - jeg tror desværre, at du skal forberede dig på at se flere nedbrud...

Priserne i markedet for drift er efterhånden presset så langt ned at det går ud over kvaliteten og mange af de klassiske dyder som vi diskuterer her, er der simpelthen ikke råd tid hos mange af leverandørerne.

Du kan bl.a. se dette i den konsolidering af markedet der er i gang og vi ser at danske specialister bliver fortrængt af polakker og indere.

Mange nye systemer er designet til en cloud verden og klarer sig markant bedre fordi de fra start er skrevet til at udnytte de muligheder der er der. Men mængden af legacy systemer er enorm og mange af dem skal 'holdes i hånden' for at fungere mens antallet af varme hænder desværre er for nedadgående.

Henrik:

Tak for svar - jeg ved ikke, om vi taler forbi hinanden. Om man vil betale for tilstrækkelig sikkerhed mod nedbrud er vel i høj grad en politisk prioritering indenfor det offentlige? Hvis det offentlige vil betale for sikkerheden, så vil der vel også være firmaer, der vil levere denne?

Derfor er det interessant og relevant at få frem i lyset, om det offentlige og DSB har været villige til at betale for tilstrækkelig sikkerhed (i så fald ligger problemet jo primært hos NNIT), eller om man har nedprioriteret/fravalgt dette?

Er det noget andet, du snakker om?

(Jeg er selvfølgelig i øvrigt enig i, at det er trist, hvis man fra det offentliges side satser mere på urealistisk lave priser, end på systemer, der faktisk fungerer og er driftsikre).

Priserne i markedet for drift er efterhånden presset så langt ned at det går ud over kvaliteten og mange af de klassiske dyder som vi diskuterer her, er der simpelthen ikke råd tid hos mange af leverandørerne.

Er det noget du har belæg for - for når man ser hvordan de store selskaber indkasserer, så holder argumentet vist ikke.

Du kan bl.a. se dette i den konsolidering af markedet der er i gang og vi ser at danske specialister bliver fortrængt af polakker og indere.

Nu blander du pærer og bananer.

Mange nye systemer er designet til en cloud verden og klarer sig markant bedre fordi de fra start er skrevet til at udnytte de muligheder der er der.

Nu er der vist noget med at DSB bruger en ren Azure løsning, så der er vist ikke meget til hinder der.

Men mængden af legacy systemer er enorm og mange af dem skal 'holdes i hånden' for at fungere mens antallet af varme hænder desværre er for nedadgående.

Det er slet og ret noget vrøvl at blande legacy systemer (som tit og og ofte er billigere end de nye "standard" systemer) ind i sagen - de varme hænders nedgang har mere noget med samfundets djøffisering at gøre.

Tja..
Havde du brugt Round-robin DNS, så var kun halv dele af; informationstavlerne nede, og der var gået korte tid inden alle var oppe igen.

Havde du brugt Round-robin DNS, så var kun halv dele af; informationstavlerne nede, og der var gået korte tid inden alle var oppe igen.

Har du praktiske erfaringer med RR DNS?

Mit spørgsmål er ud fra oprigtig nysgerrighed, for som jeg kan læse mig frem til, så er det som sagt ikke helt trivielt, og det stiller også krav til DNS servicen som ikke altid kan tilgodeses, når man ikke selv er DNS ejer.

Jeg har selv vurderet at det er nemmere at lave en forespørgsel (fra klient side) om hvorvidt et givent domæne er i live og så efter en forudvalgt tid (jeg bruger 5 minutter) skifte til backup domænet - på den måde vil alle tavler også kunne styres.

Ja...

Ja...

Hvor er det fedt når folk ikke gider give svar man bliver klogere af :-(

Har du praktiske erfaringer med RR DNS? ..
Ja jeg har erfaring med RRdns , alternative routning og backup systemer...
Jeg tror ikke jeg er i stand, til hjælpe dig med at blive kloger...
Hvis du stiller spørgsmål, så afslut dem med et ?.

Næ hvis de har den strømforsyning der skal i så kan man jo havde glemt at komme diesel på anlægget, glemt at sætte serveren i serverrummet hvor nødstrømmen er, eller andet sjov fejl he he som jeg ikke rigtigt kan forestille mig hvad skulle være.

For år tilbage havde jeg et rack i et datacenter der oplevede en strømafbrydelse. En elektriker skulle udføre noget arbejde på UPS systemet og det var planlagt således at strømmen ikke blev afbrudt på hverken det primære eller sekundære kredsløb. Men noget gik galt, han fik kortsluttet noget og kom slemt til skade. I en sådan situation tæller liv højere end oppetid, så det er svært at hidse sig op over at nogen tog hovedafbryderen.

... I en sådan situation tæller liv højere end oppetid, så det er svært at hidse sig op over at nogen tog hovedafbryderen.

Så vil jeg bare for sjov lege djævlens advokat:
Hvis nu det var sket i et datacenter som styrer togtrafikken eller flytrafikken ville det så være bedre at riste elektrikeren eller potentielt udsætte hundredvis af menneskeliv for livsfare ?

Læs definitionen på Tier III datacenter (man kan ikke blive Tier IV kvalificeret i Danmark, da al strøm leveres fra "griddet" og ikke fra et bestemt kraftværk, hvilket fx sker i USA): https://www.cyberciti.biz/faq/data-center-standard-overview/

Mit spørgsmål er ud fra oprigtig nysgerrighed, for som jeg kan læse mig frem til, så er det som sagt ikke helt trivielt, og det stiller også krav til DNS servicen som ikke altid kan tilgodeses, når man ikke selv er DNS ejer.

Nå, men så vil jeg kommentere.
Ja, RR-DNS fungerer udemærket.
Men som du er inde på, så kræver det at enhederne bruger en DNS, man har kontrol over, og som understøtter RR.
Klienten skal selvfølgelig have en vis robusthed, da der jo kommer en fejl, når service'en er nede.

Round-Robin DNS :-). I min bog, så er det ikke selve det med at route trafik hen et andet sted, der er et problem. Det er trivielt.

Problemet er snarere, at have et andet sted at route trafikken hen. På trods af mange har et standby datacenter på papiret, så er de ikke meget for at gøre det aktivt.

Der er eksempler på sekundære sites, der mangler store dele af data fra det primære site - enten fordi replikeringen ikke overvåges, eller fordi folk har deployet ting manuelt i det primære site i årevis, som så aldrig bliver sat under replikering. Det er heller ikke ualmindeligt, at sekundære sites har gammelt hardware stående. Typisk overskud- og rest-dimser fra, når HW udskiftes i det primære datacenter.

Det værste er dog, at failover mellem primært og sekundært site meget sjældent testes rigtigt. Enten tester man kun dele af det, eller også simulerer man blot failover. Reelt har kun meget få mennesker lyst til teste en catastrophic failure på deres produktions-database, f.eks. fordi:

• Hvad nu med consistency og transaction isolation?
• Hvordan med WAL replay?
• Hvad med data corruption?
• Hvad med når vi skal tilbage til normal igen efter vores sekundære har fået writes, og de skal synces tilbage på den primære?
  etc.

"... og skal vi teste alt det her i produktion? Med de riscisi det medfører. Det går vores forretning aldrig med til."

Alt ovenstående er selvfølgelig ikke en undskyldning for ikke at have ordentlig redundans. Jeg prøver bare at sige, at jeg mistænker mange for at have redundans på papiret, og i bedste fald utestet redundans i virkeligheden.

Formålet er sikkert heller ikke at have ægte redundans, men snarere at kunne sige man har det, hvis nogen spørger, og så at kunne pege fingre af sin leverandør, som lovede redundans :-).

Oh well... Smarte DNS tricks er ikke meget værd, hvis ikke man et funktionelt sekundært sted at route pakkerne hen.