DE102010005331A1 - Method for safe switching back of data center after failover during financial data transaction, involves indicating that primary data center is again ready for operation after failover - Google Patents

Method for safe switching back of data center after failover during financial data transaction, involves indicating that primary data center is again ready for operation after failover Download PDF

Info

Publication number
DE102010005331A1
DE102010005331A1 DE102010005331A DE102010005331A DE102010005331A1 DE 102010005331 A1 DE102010005331 A1 DE 102010005331A1 DE 102010005331 A DE102010005331 A DE 102010005331A DE 102010005331 A DE102010005331 A DE 102010005331A DE 102010005331 A1 DE102010005331 A1 DE 102010005331A1
Authority
DE
Germany
Prior art keywords
data center
data
client
cla
transaction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102010005331A
Other languages
German (de)
Inventor
Nico 33102 Lammel
Helmut 33102 Finke
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wincor Nixdorf International GmbH
Original Assignee
Wincor Nixdorf International GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wincor Nixdorf International GmbH filed Critical Wincor Nixdorf International GmbH
Priority to DE102010005331A priority Critical patent/DE102010005331A1/en
Publication of DE102010005331A1 publication Critical patent/DE102010005331A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/2097Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements maintaining the standby controller/processing unit updated
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2023Failover techniques
    • G06F11/2033Failover techniques switching over of hardware resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/20Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
    • G06F11/202Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant
    • G06F11/2048Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where processing functionality is redundant where the redundant components share neither address space nor persistent storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/02Banking, e.g. interest calculation or account maintenance

Abstract

The method involves indicating that a primary data center (DC1) is again ready for operation after failover, where the status of the primary data center is indicated by a secondary data center (DC2). A client (CLA) is prompted to run out of service. A synchronization is performed by a configuration data or transaction data between the primary and secondary data center. The primary data center is switched back by the client after the synchronization. An independent claim is also included for a network structure for safe switching back of a data center after failover.

Description

Die Erfindung betrifft ein Verfahren zum sicheren Zurückschalten auf ein erstes Rechenzentrum nach Ausfallsicherung durch ein zweites Rechenzentrum und eine danach arbeitende Netzwerkstruktur. Insbesondere betrifft die Erfindung ein Verfahren zur Ausfallsicherung und zum sicheren Zurückschalten eines Clients oder eines Clusters von Clients, die als Transaktions-Terminals, insbesondere als Selbstbedienungs-Terminals (z. B. als Geldautomaten, Kontoauszugsdrucker oder Überweisungsterminals) ausgebildet sind, und die bevorzugt mit dem ersten Rechenzentrum verbunden sind und nur zur Ausfallsicherung mit dem zweiten Rechenzentrum verbunden sind, wobei Synchronisationsdaten zwischen den Rechenzentren ausgetauscht werden.The invention relates to a method for safely switching back to a first data center after failover by a second data center and a network structure operating thereafter. In particular, the invention relates to a method for failover and for safely switching back a client or a cluster of clients, which are designed as transaction terminals, in particular as self-service terminals (eg as ATMs, bank statement printers or transfer terminals), and preferably with connected to the first data center and are connected to the second data center only for failover, with synchronization data is exchanged between the data centers.

Gerade im Bereich von Transaktions-Terminals und Netzwerken, die für Finanztransaktionen konzipiert sind, können üblicherweise die Transaktions-Terminals mit mehr als einem Rechenzentrum bzw. Datenzentrum verbunden werden, um eine ausreichende Ausfallsicherung für den Fall zu haben, dass das bevorzugte Rechenzentrum ausfällt. Mindestens eines der weiteren Rechenzentren dann als Backup-Rechenzentrum und übernimmt für die Ausfallzeit die Aufgaben des bevorzugten Rechenzentrums. Es ist bekannt, dass hierzu Konfigurations- und Transaktionsdaten der angeschlossenen Terminals zwischen den beiden Rechenzentren synchronisiert werden müssen. Sind jedoch die beiden Rechenzentren bzw. Datenzentren sehr weit voneinander entfernt, so kann es zu Problemen bei der Synchronisation kommen, da die Synchronisationsprozesse im Allgemeinen sehr zeitkritisch sind. Dies betrifft insbesondere Hochverfügbarkeits-Cluster (engl. High-Availability-Cluster, kurz HA-Cluster genannt; siehe auch http://de.wikipedia.org/wiki/Computercluster ), bei denen ständig auf allen Knoten Dienste laufen und somit ein echter Aktiv-Aktiv-Betrieb (Active/Active) möglich ist.Especially in the area of transaction terminals and networks, which are designed for financial transactions, usually the transaction terminals can be connected to more than one data center or data center in order to have sufficient failover in the event that the preferred data center fails. At least one of the other data centers then as a backup data center and takes over the tasks of the preferred data center for the downtime. It is known that for this purpose configuration and transaction data of the connected terminals must be synchronized between the two data centers. However, if the two data centers or data centers are very far apart from each other, synchronization problems can arise since the synchronization processes are generally very time-critical. This applies in particular to high-availability clusters (high-availability clusters, abbreviated to HA clusters, see also http://de.wikipedia.org/wiki/Computercluster ), in which constantly running on all nodes services and thus a real active-active operation (Active / Active) is possible.

Bekannte Datenbank-Managementsysteme umfassen auch entsprechende Synchronisations-Mechanismen, wie z. B. das sogenannte Oracle RAC (Oracle Real Application Cluster; Oracle® ist eine eingetragene Marke der Firma Oracle Corporation, Redwood Shores, Canada). Das auf http://de.wikipedia.org/wiki/Oracle RAC beschriebene Oracle RAC ermöglicht Ausfallsicherheit, indem mehrere Knoten eines Rechnerverbundes (engl. Cluster) auf dieselbe Datenbank zugreifen und für Clientrechner Datenbankdienste zur Verfügung stellen. Fällt einer der Knoten aus, übernehmen die anderen dessen Funktionalität. Es hat sich jedoch gezeigt, dass diese üblichen Synchronisations-Mechanismen nur zuverlässig arbeiten, wenn die betroffenen Datenbanken nicht zu weit entfernt voneinander sind, d. h. nicht mehr als etwa 25 km voneinander entfernt sind. In vielen Netzwerkarchitekturen werden aber Rechenzentren und deren Datenbanken miteinander vernetzt, die deutlich weiter voneinander entfernt sind, so dass mitunter mehrere Tausend Kilometer überwunden werden müssen. Der Einsatz herkommlicher Mechanismen kann insbesondere beim Aktiv-Aktiv-Betrieb nicht mehr zum Erfolg führen; eine sichere Synchronisation erfordert dann einen sehr hohen Aufwand, auch bezüglich der einzusetzenden Hardware (u. a. spezielle Lichtwellenleiter, wie z. B. dark fiber), oder erscheint gar unmöglich zu sein.Known database management systems also include corresponding synchronization mechanisms, such. For example, Oracle RAC (Oracle Real Application Cluster, Oracle® is a registered trademark of Oracle Corporation, Redwood Shores, Canada). That up http://de.wikipedia.org/wiki/Oracle Oracle RAC described in RAC provides resilience by allowing multiple nodes in a cluster to access the same database and provide database services to client machines. If one of the nodes fails, the others take over its functionality. It has been found, however, that these conventional synchronization mechanisms only work reliably if the affected databases are not too far apart from each other, ie not more than 25 km apart. In many network architectures, however, data centers and their databases are networked with each other, which are significantly farther apart, so that sometimes several thousand kilometers have to be overcome. The use of conventional mechanisms can no longer be successful, especially in active-active operation; Secure synchronization then requires a great deal of effort, including with regard to the hardware to be used (including special optical waveguides, such as, for example, dark fiber), or even appears to be impossible.

Netzwerkarchitekturen, der eingangs genannten Art, bei denen bevorzugt Finanztransaktions-Terminals, insbesondere Geldautomaten (ATM: Automatic Teller Machines) mit Rechenzentren verbunden sind, werden z. B. in der US 2002/0147702 A1 oder der DE 600 33 895 T2 beschrieben. Das Problem des sicheren Zurückschaltens auf das bevorzugte Rechenzentrum nach Ausfallsicherung durch ein weit davon entfernt liegendes Backup-Rechenzentrum wird dort jedoch nicht behandelt.Network architectures of the type mentioned above, in which preferred financial transaction terminals, in particular ATMs (ATM: Automatic Teller Machines) are connected to data centers are z. B. in the US 2002/0147702 A1 or the DE 600 33 895 T2 described. However, the issue of securely switching back to the preferred data center after failover by a remote backup data center is not addressed there.

Aufgabe der Erfindung ist es, ein Verfahren zum sicheren Zurückschalten auf ein erstes Rechenzentrum nach Ausfallsicherung durch ein zweites Rechenzentrum vorzuschlagen, das auch bei weit entfernt zueinander liegenden Rechenzentren eingesetzt werden kann, ohne dass Transaktionsdaten verloren gehen. Auch soll eine das Verfahren durchführende Netzwerkstruktur vorgeschlagen werden. Insbesondere soll das Verfahren für Finanztransaktions-Terminals und damit verbundene Rechenzentren anwendbar sein.The object of the invention is to propose a method for securely switching back to a first data center after failover by a second data center, which can be used even in data centers located far from each other without losing transaction data. It is also intended to propose a network structure carrying out the method. In particular, the method should be applicable to financial transaction terminals and associated data centers.

Gelöst wird die Aufgabe durch ein Verfahren mit den Merkmalen des Anspruchs 1 sowie durch eine Netzwerkstruktur zur Durchführung des Verfahrens mit den Merkmalen des nebengeordneten Anspruchs.The object is achieved by a method having the features of claim 1 and by a network structure for carrying out the method with the features of the independent claim.

Demnach wird ein Verfahren vorgeschlagen, bei der mindestens ein Transaktions-Terminal als Client mit dem zweiten Rechenzentrum während einer Ausfallzeit des ersten Rechenzentrums verbunden ist und bei dem nach Ende der Ausfallzeit wieder auf das erste Rechenzentrum zurückgeschaltet wird, indem:
dem zweiten Rechenzentrum angezeigt wird, dass das erste Rechenzentrum wieder betriebsbereit ist;
der Client veranlasst wird, außer Betrieb zu gehen;
eine Synchronisierung von Konfigurations- und/oder Transaktionsdaten zwischen dem ersten und dem zweiten Rechenzentrum durchgeführt wird; und
nach Abschluss der Synchronisierung der Client veranlasst wird, auf das erste Rechenzentrum zurückzuschalten.Accordingly, a method is proposed in which at least one transaction terminal is connected as a client to the second data center during a downtime of the first data center and is switched back to the first data center at the end of the downtime by:
the second data center is indicated that the first data center is ready for use again;
the client is caused to go out of service;
a Synchronization of configuration and / or transaction data between the first and the second data center is performed; and
upon completion of the synchronization, the client is caused to switch back to the first data center.

Demzufolge wird der jeweilige Client kurzfristig außer Betrieb gesetzt, um in dieser Zeit die Synchronisierung von Konfigurations- und/oder Transaktionsdaten sicher durchzuführen und den Client erst dann wieder zu aktivieren, wenn die Synchronisierung abgeschlossen ist.As a result, the respective client is briefly put out of operation to safely perform the synchronization of configuration and / or transaction data in this time and only to reactivate the client when the synchronization is completed.

Sofern es sich um mehrere Clients bzw. Transaktions-Terminals handelt, die dasselbe bevorzugte Rechenzentrum haben und auf dieses zurückzuschalten sind, wird vorteilhafter Weise ein Terminal nach dem anderen außer Betrieb gesetzt und nach erfolgreicher Synchronisierung bzw. Resynchronsisation wieder aktiviert.If there are multiple clients or transaction terminals that have the same preferred data center and are to be switched back to this, one terminal after another is advantageously put out of service and reactivated after successful synchronization or resynchronization.

In den bevorzugten Anwendungen ist der mindestens eine Client ein Selbstbedienungsterminal, insbesondere ein Geldautomat, Kontoauszugsdrucker, Überweisungsterminal, das bevorzugt mit dem ersten Rechenzentrum verbunden wird und nur zur Ausfallsicherung mit dem zweiten Rechenzentrum verbunden wird.In the preferred applications, the at least one client is a self-service terminal, in particular an ATM, bank statement printer, transfer terminal, which is preferably connected to the first data center and is connected to the second data center only for failover.

Weitere Vorteile ergeben sich auch aus den Unteransprüchen.Further advantages will become apparent from the dependent claims.

Nachfolgend wird die Erfindung anhand von Ausführungsbeispielen und unter Bezugnahme auf die beiliegenden Zeichnungen beschrieben, die folgendes wiedergeben:The invention will now be described by way of example with reference to the accompanying drawings, in which:

1a/b zeigen eine Netzwerkstruktur mit zwei Rechenzentren und mehreren damit verbundenen Finanztransaktions-Terminals; 1a / b show a network structure with two data centers and several associated financial transaction terminals;

2a/b veranschaulichen den Normalbetrieb umfassend das Ausführen von Konfigurations-Änderungen und die Bearbeitung von Transaktionen; 2a / b illustrate normal operation, including making configuration changes and processing transactions;

3a–d veranschaulichen eine Ausfallsituation mit anschließender Wiederherstellung, bei der das bevorzugte Rechenzentrum für eine gewisse Zeitdauer ausfällt; und 3a Figure-d illustrate a failure situation with subsequent recovery in which the preferred data center will fail for a period of time; and

4 zeigt ein Ablaufdiagramm für das erfindungsgemäße Verfahren. 4 shows a flowchart for the inventive method.

Die 1a zeigt in Form eines Blockschaltbildes eine Netzwerkstruktur mit zwei Rechenzentren DC1 und DC2 sowie mehrere damit verbundene Finanztransaktions-Terminals in Form von Geldautomaten, die als Clients CLA bzw. CLB mit den Rechenzentren verbunden sind. Die ersten Clients CLA haben als bevorzugtes Rechenzentrum das erste Rechenzentrum DC1 und greifen nur zur Ausfallsicherung auf das zweite Rechenzentrum DC2 zu, welches somit als Backup-Rechenzentrum für die Clients CLA dient. Demnach ist im Normalfall der erste Client CLA bzw. das Cluster der ersten Clients über eine Datenleitung L mit dem ersten Rechenzentrum DC1 verbunden. Die Rechenzentren bzw. Datenzentren befinden sich an verschiedenen Standorten (locations), die durchaus sehr weit voneinander entfernt sein können. Bei Ausfall des ersten (bevorzugten) Rechenzentrums DC1 wird über die Datenleitung L' eine Verbindung (fall back connection) mit dem zweiten Rechenzentrum DC2 hergestellt. Für die Clients CLB bzw. Terminals des anderen Clusters stellt sich die Situation umgekehrt dar, d. h. das Rechenzentrum DC2 ist das bevorzugte und wird nur bei Ausfall von dem Rechenzentrum DC1 zeitweilig ersetzt. Die Rechenzentren DC1 und DC2 können untereinander (zwecks Synchronisation und dergleichen) über eine Datenverbindung DCL verbunden werden und sind wiederum mit einem Backend-System BES, hier dem Buchungssystem, verbunden. Die 1b zeigt die beschriebene Netzwerkarchitektur noch näher im Detail, wobei auf jeder Seite jeweils nur ein Client CLA bzw. CLB exemplarisch dargestellt ist. Die weiteren 2a/b und 3a–d bauen auf der in den 1a/b gezeigten Grundstruktur auf und geben verschiedene Situation wieder.The 1a shows in the form of a block diagram a network structure with two data centers DC1 and DC2 and several associated financial transaction terminals in the form of ATMs, which are connected as clients CLA and CLB with the data centers. The first clients CLA have as a preferred data center, the first data center DC1 and access only for failover to the second data center DC2, which thus serves as a backup data center for the client CLA. Accordingly, the first client CLA or the cluster of the first clients is normally connected via a data line L to the first computer center DC1. The data centers or data centers are located at different locations (locations), which can be very far apart. In the event of failure of the first (preferred) data center DC1, a connection (fall back connection) to the second data center DC2 is established via the data line L '. For the clients CLB or terminals of the other cluster, the situation is reversed, ie the data center DC2 is the preferred one and is only temporarily replaced by the data center DC1 in the event of a failure. The data centers DC1 and DC2 can be interconnected (for synchronization and the like) via a data connection DCL and are in turn connected to a backend system BES, here the booking system. The 1b shows the described network architecture in more detail, wherein on each page only one client CLA or CLB is shown as an example. The others 2a /Federation 3a -D build on the in the 1a / b shown basic structure and reflect different situation.

Anhand der 2a/b wird im Folgenden der Normalbetrieb beschrieben, bei dem keines der Rechenzentren ausfällt:
Im Normalbetrieb laufen die Prozesse für Konfigurations-Änderungen über beide Seiten der Applikationsserver ASC1 bzw. ASC2 ab, welche dann die Konfigurations-Änderungen an die jeweiligen Datenbanken übermitteln. Dieses Prinzip nennt man auch „verteilte Datenbanktransaktionen”. Hiermit wird sichergestellt, dass alle Rechenzentren, wie hier z. B. DC1 und DC2, mit derselben Konfiguration arbeiten. Die wesentlichen Befehle bzw. Operation sind hierbei: ws für „write sync”, rl für „read local” und cc für „config changes”. In der normalen Situaton laufen also beide Installationen mehr oder weniger unabhängig voneinander ab. Der Client CLA hat als bevorzugtes Rechenzentrum das Rechenzentrum DC1 und bleibt mit den Servern (Cluster aus PC/E Servern) innerhalb des ersten Rechenzentrums DC1 verbunden. Prozesse, wie z. B. bei Ausgleichs- oder Abrechnungsbuchungen (Clearing oder Settlement), werden auch von diesen Servern durchgeführt. Jedoch verfügt das Rechenzentrum DC2 als Backup-Datenzentrum auch über die Stammdaten des Client CLA, um zu wissen, dass dieser Client für das Rechenzentrum DC2 als Backup-Client zu behandeln ist. Alle aktiven Clients CLA werden im Rahmen einer aktuellen Statusanzeige auf der Verwalter- bzw. Administrator-Konsole (Admin Console) des Rechenzentrums DC1 dargestellt. Auf der Administrator-Konsole des anderen Rechenzentrums DC2 werden die Clients CLA mit dem Status „Standby” angezeigt. Die Administrator-Konsolen sind Teil des jeweiligen Datenbank-Managementsystems DBMS1 bzw. DBMS2.Based on 2a / b is described below the normal operation in which none of the data centers fails:
In normal operation, the processes for configuration changes run on both sides of the application server ASC1 or ASC2, which then transmit the configuration changes to the respective databases. This principle is also called "distributed database transactions". This ensures that all data centers, such as here. DC1 and DC2, work with the same configuration. The essential commands or operations are: ws for "write sync", rl for "read local" and cc for "config changes". In the normal situation, both installations run more or less independently of each other. The client CLA has the data center DC1 as the preferred data center and remains connected to the servers (cluster of PC / E servers) within the first data center DC1. Processes, such as For example, clearing or settlement transactions (clearing or settlement) are also performed by these servers. However, as a backup data center, the data center DC2 also has the master data of the client CLA, in order to know that this client is to be treated as a backup client for the data center DC2. All active clients CLA are displayed as part of a current progress bar on the administrator console (Admin Console) of the data center DC1. On the administrator console of the other data center DC2, the clients CLA are displayed with the status "Standby". The administrator consoles are part of the respective database management system DBMS1 or DBMS2.

Die Konfiguration und Änderungen von Stamm-Daten (Master Daten) stellt sich wie folgt dar:
Alle Änderungen innerhalb der Konfiguration und die Master-Daten werden in einer Java-Transaktion JTA in die Datenbank-Managementsysteme DBMS1 und DBMS2 beider Rechenzentren DC1 und DC2 geschrieben. Die folgenden Änderungen müssen für die PC/E Server ausgeführt werden:

  • – Es wird ein zusätzliches Modul „Sync Master Data” auf den Rechenzentren eingesetzt, das eine Aktualisierung (Update) der Master-Daten selbst und der Konfiguration an den entfernten Orten durchführt mit Bestätigung (Acknowledge) des entfernten Cache-Systems. Das Modul läuft auf den Rechenzentren und dient dazu die Stammdaten synchron halten.
  • – Alle Programmkomponenten (AdminBeans) in dem PC/E Server Core, welches die Stammdaten oder Konfiguration schreibt, weisen optional die „Sync Master Data” Funktionalität auf.
  • – Der PC/E (ProClassic/Enterprise) Database Persistance Lager muss in der Lage sein, das „Sync Master Data” Modul aufzurufen für jeden Save oder Update Anforderung eines Werteobjekt, wenn es erforderlich ist.
  • – Im Fall eine dualen Änderung bzw. Modifikation zur selben Zeit, was zu einem Konflikt führt, wird diejenige Save Operation unterbrochen und wiederholt, die den Konflikt erkennt.
  • – Jede PC/E Instanz besitzt einen eigenen „nur lokalen” Konfiguration für u. a. folgende Attribute: • Eigene Rechenzentrumskennung (Own Location identifier) • Ausfallrechenzentrumsadresse und Kennung (Backup Location address and identifier) • Sync status • ....
  • – Die Workstation Master-Daten besitzen ein Feld für das bevorzugte Rechenzentrum (primary Location bzw. Datacenter site identifier), der alle Prozesse in die Lage versetzt, zu bestimmen, ob der Client defaultmäßig zur aktuellen Instanz gehört. Auch muss das Backup Rechenzentrum (zweite Location identifier) konfigurierbar sein.
  • – Die Admin-Konsole zeigt die im Standby befindlichen Clients an (Workstations, bei denen das bevorzugte Rechenzentrum (primary Location identifier) ungleich dem aktuellen Rechenzentrum ist.
  • – Es wird ein zusätzlicher Befehl (s. SLC in 3c) verwendet, um den Client zu zwingen, zurück vom zweiten Rechenzentrum zum ersten Rechenzentrum zu schalten.
  • – Die Admin-Konsolen werden über einen Link miteinander verbunden, um eine Anmeldung an beiden Instanzen zu gewährleisten. Dadurch ist es möglich, sich an verschiedenen Admin-Konsolen über einen Browser (TAB Browser) anzumelden (LogIn).
  • – Das Modul zur Synchronisierung von Transaktions- und Statusinformationen
The configuration and changes of master data (master data) are as follows:
All changes within the configuration and the master data are in a JTA Java transaction written in the database management systems DBMS1 and DBMS2 both data centers DC1 and DC2. The following changes must be made for the PC / E Server:
  • An additional module "Sync Master Data" is used on the data centers, which performs an update of the master data itself and the configuration at the remote locations with acknowledgment of the remote cache system. The module runs on the data centers and serves to keep the master data synchronized.
  • - All program components (AdminBeans) in the PC / E Server Core, which writes the master data or configuration, optionally have the "Sync Master Data" functionality.
  • - The PC / E (ProClassic / Enterprise) database persistence warehouse must be able to invoke the "Sync Master Data" module for each save or update request of a value object, if required.
  • In the case of a dual change at the same time, resulting in a conflict, the Save operation that detects the conflict is interrupted and repeated.
  • - Each PC / E instance has its own "only local" configuration for, among others, the following attributes: • Own own location identifier • Backup location address and identifier • Sync status • ....
  • The workstation master data has a field for the preferred data center (primary location or data center site identifier), which enables all processes to determine whether the client by default belongs to the current instance. Also, the backup data center (second location identifier) must be configurable.
  • - The Admin Console displays the standby clients (workstations where the primary location identifier is different than the current datacenter).
  • - An additional command (see SLC in 3c ) is used to force the client to switch back from the second data center to the first data center.
  • - The Admin consoles are linked by a link to ensure logon to both instances. This makes it possible to log in to various admin consoles via a browser (TAB Browser) (LogIn).
  • - The module for the synchronization of transaction and status information

Was die Ereignisse und Befehle (Events and Commands) angeht so ist folgendes zu beachten:
Im Allgemeinen werden Events durch jede Instanz vor Ort (lokal) behandelt. Der Backend Status oder Device Status wird nicht an die anderen Instanzen weitergeleitet (routing). Deshalb muss der Client die aktuelle Status-Information zu jedem Zeitpunkt senden, wenn er neu mit einer Instanz verbunden wird, um Transaktionen abhängig von der Device Liste zu sperre, (disable).Concerning the events and commands (Events and Commands) the following should be considered:
In general, events are handled locally by each instance. The backend status or device status is not forwarded to the other instances (routing). Therefore, the client must send the current status information at any time when it is reconnected to an instance to lock (disable) transactions depending on the device list.

Das Weiterleiten (forwarding) von Events an einen separaten Server, wie z. B. Proview, wird auch separat von jedem Rechenzentrum ausgeführt. Deshalb muss das System in der Lage sein, die Events von den beiden verschiedenen Standorten zu empfangen.Forwarding events to a separate server, such as Proview is also run separately from each data center. Therefore, the system must be able to receive the events from the two different locations.

Befehle können auch lokal behandelt werden (nur für die aktuell angeschlossenen Clients). Um eine bessere Bedienbarkeit (usability) zu erreichen, kann die PC/E Admin-Konsole einen Schaltknopf bzw. Schaltfläche (Button) aufweisen, um leicht auf die Admin-Konsole umzuschalten, die den Befehl zu dem Client ausgeben kann.Commands can also be handled locally (only for the currently connected clients). For better usability, the PC / E Admin console can have a button or button to easily switch to the Admin console, which can issue the command to the client.

Der Unterschied besteht insbesondere in der Behandlung von Beschränkungen (restrictions). Jede Beschränkung muss zur zweiten Location weitergeleitet werden. Im Falle einer Wiederherstellung (recovery) des normalen Betriebs muss der aktuelle Beschränkungs-Datensatz des zweiten Standortes (second Location) mit dem des ersten Standortes (primary Location) synchronisiert werden.The difference is especially in the treatment of restrictions. Each restriction must be forwarded to the second location. In the case of recovery of the normal operation, the current second location limitation record must be synchronized with that of the first location (primary location).

Was einen zeitgesteuerten Serverdienst bzw. Timer-Service angeht, so wird dieser lokal behandelt und führt alle Aufgaben (tasks) nur für diejenigen Clients aus, die aktuell an den Standort angeschlossen sind. Clients, deren erster Standort (primary Location) auf einer anderen Instanz angesiedelt ist, werden nicht behandelt, sofern es keinen besonderen Bedarf hiefür gibt.As for a scheduled server service or timer service, it is treated locally and performs all tasks only for those clients that are currently connected to the site. Clients whose first location (primary location) is located on a different instance will not be treated unless there is a special need for it.

Was die Server-Dienste angeht, so haben diese nach Vorgabe (default-mäßig) Einfluss auf diejenigen Clients, die sich nicht im „Standby” -Modus befinden. Beispielsweise wird der Workstation Timer Service nur eigene und angeschlossene Systeme behandeln.As far as the server services are concerned, they have by default (by default) influence on those clients that are not in "standby" mode. For example, the Workstation Timer Service will handle only own and connected systems.

Was das Journal angeht, so wird dieses immer in der aktuellen Location geschrieben. Um eine Quersuche über Rechenzentren hinweg zu ermöglichen, wird eine zweite Journal Datenquellen Konfiguration eingesetzt. Dies erlaubt eine verbundene bzw. gemeinsame Suchabfrage nach Journal-Informationen für alle Clients, die mit beiden Rechenzentren-Standorten verbunden sind.As far as the journal is concerned, it is always written in the current location. To enable a cross-search across data centers, a second journal data source configuration is used. This allows a shared search query for journal information for all clients connected to both data center sites.

Was das Verarbeiten von Transaktionen (Transaction Processing) angeht, so ist insbesondere mit Verweis auf 2b folgendes zu sagen:
Das Verarbeiten von Transaktionen TA wird nur innerhalb einer jeden PC/E Server Instanz ausgeführt und nicht über die Rechenzentren-Standort hinweg. Eine Transaktion oder gar eine Session, die an einem Standort (z. B. beim Datenzentrum DC1) gestartet wurde, muss an demselben Standort abgeschlossen und beendet werden. Im Falle einer Ausfallsicherung (failover) wird der Client (hier z. B. CLA) eine neue Session auf der neuen Location (also am Datenzentrum DC2) starten, jedoch muss die Session der vorhergehenden Location in einer definierten Weise abgeschlossen werden. As far as the processing of transactions (Transaction Processing) is concerned, in particular with reference to 2 B to say the following:
The processing of transactions TA is performed only within each PC / E server instance and not across the data center site. A transaction or even a session that has been started at a site (for example, data center DC1) must be completed and terminated at the same site. In the event of a failover, the client (here, for example, CLA) will start a new session on the new location (that is, on data center DC2), but the session of the previous location must be completed in a defined manner.

Die folgenden Informationen werden im Rahmen eines Online-Mechanismus für die entfernte Location bereit gestellt:

  • • aktuelle Beschränkungen (restrictions)
  • • Server-seitige Zähler (counters), die nicht von dem Client während des Startup bereit gestellt werden
  • • Server-seitige Transaktions-Informationen, die erforderlich sind für die zweite Location (z. B. customer daily limits)
  • • Geldautomaten- bzw. ATM servicing transaction (add cash, remove cash etc.) Informationen für die Zähler und Clearing-Information
The following information is provided as part of an online mechanism for the remote location:
  • • current restrictions
  • • Server-side counters that are not provided by the client during startup
  • • Server-side transaction information required for the second location (for example, customer daily limits)
  • • ATM or ATM servicing transaction (add cash, remove cash etc.) information for the counters and clearing information

Diese Aufgabe wird von einem separaten Modul ausgeführt, um die Daten-Menge und Kommunikations-Latenzzeiten zu optimieren. Das Modul läuft auf den Rechenzentren und überträgt die genannte Information über die Datenverbindung DCL.This task is performed by a separate module to optimize the amount of data and communication latencies. The module runs on the data centers and transmits the said information via the data connection DCL.

Zum Berichtswesen (Reporting/Journal Appender) ist zu sagen, dass es für das Berichten und das Analysieren sinnvoll ist, ein gemeinsames zentralisiertes System zu konfigurieren (entweder ein Online-System oder eine eigene Datenbank). Alle Locations bzw. Systeme DC1 und DC2 schreiben die Informationen mit einer eindeutigen Kennung (unique identifier) in eine Tabelle, die die Workstation- und Transaktions-Information enthält. Alle Daten können auch lediglich lokal geschrieben werden, aber diese würde nur lokale Abfragen ermöglichen.For Reporting / Journal Appender, it is useful for reporting and parsing to configure a common centralized system (either an online system or a separate database). All locations or systems DC1 and DC2 write the information with a unique identifier into a table containing the workstation and transaction information. All data can only be written locally, but this would only allow local queries.

Im Weiteren wird mit Bezugnahme auf die 3a–d der Fall beschrieben, bei dem innerhalb der Netzwerkstruktur eines der Rechenzentren ausfällt:
Die 3a veranschaulicht den Fall, bei dem das bevorzugte Rechenzentrum DC1 ausfällt bzw. die Verbindung mit dem Client CLA gestört ist. Für den Aktiv-Aktiv-Betrieb speichert der Client CLA ständig zur Sicherung sog. Restart-Daten, d. h. einige Sicherungsdaten über die jeweils begonnen Transaktionen, wie z. B. die Restart-Daten RST1 für die Transaktion TA1. Bei Ausfall oder Störung kann dann z. B. für den Client CLA versucht werden, anhand der gespeicherten Restart-Daten RST1 die Transaktion TA1 mit dem bevorzugten Rechenzentrum DC1 zum Abschluss zu bringen. Dazu versucht der Client CLA zunächst die Verbindung zum bevorzugten Rechenzentrum DC1 wieder herzustellen; das andere Rechenzentrum DC2 bleibt davon unberührt. Die Erfindung geht von dem Grundgedanken bzw. der Grundregel aus, dass jede Transaktion bei demjenigen Rechenzentrum abgeschlossen werden muss, bei dem sie begonnen worden ist. Beispielsweise wurde die Transaktion TA1 auf dem ersten Rechenzentrum DC1 begonnen (gestartet bzw. initiiert). Deshalb wird diese Transaktion TA1 auch auf dem ersten Rechenzentrum DC1 abgeschlossen bzw. finalisiert. Ist der Abschluss erfolgreich so führt dies zu einem OK, andernfalls zu einem Cancel. Aufgrund dieser Grundregel müssen z. B. bei einem Failover nicht die Session-Daten von einem Rechenzentrum (z. B. DC1) zum anderen (DC2) übertragen werden (z. B. über die Verbindung DCL). Es brauchen lediglich nur solche Daten übertragen zu werden, die es den Rechenzentren ermöglicht, den Betrieb der Clients zu überwachen. Zu diesen Daten gehört die Information über Restriktionen und/oder Zählerstände. Folglich wird das zwischen den Rechenzentren übertragene Datenvolumen deutlich reduziert. Um dieser Grundregel besser zu entsprechen, legt jeder Client auch für jedes Rechenzentrum eine Datei bzw. einen Container an, also hier zwei Container C und C' (s. 3b) an, in welche er die Restart-Daten RST1 bzw. RTS2 ablegt.In addition, with reference to the 3a -D describes the case where one of the data centers fails within the network structure:
The 3a illustrates the case in which the preferred data center DC1 fails or the connection with the client CLA is disturbed. For active-active operation, the CLA client constantly saves what are known as restart data, that is, some backup data about the transactions that have been started in each case, such as: For example, the restart data RST1 for transaction TA1. In case of failure or malfunction z. For example, the client CLA will be attempted to complete the transaction TA1 with the preferred data center DC1 based on the stored restart data RST1. For this purpose, the client CLA first tries to reconnect to the preferred data center DC1; the other data center DC2 remains unaffected. The invention is based on the principle that each transaction must be completed at the data center where it started. For example, the transaction TA1 has been started (initiated) on the first data center DC1. Therefore, this transaction TA1 is completed on the first data center DC1. If the completion is successful, this leads to an OK, otherwise to a Cancel. Due to this principle z. For example, in the event of a failover, the session data is not transferred from one data center (eg DC1) to the other (DC2) (eg via the connection DCL). All you need to do is transfer data that allows the data centers to monitor client operations. This information includes information about restrictions and / or counter readings. As a result, the amount of data transferred between data centers is significantly reduced. In order to better comply with this basic rule, each client also creates a file or container for each data center, in other words two containers C and C '(s. 3b ), in which he stores the restart data RST1 or RTS2.

Die 3b zeigt nun die Situation, dass das erste Rechenzentrum DC1 ausdefallen ist und bereits eine zweite Transaktion TR2 mit dem zweiten Rechenzentrum DC2 begonnen worden ist. Der Client CLA hat in diesem Fall sowohl Sicherungsdaten RST1 für die erste Transaktion TA1 wie auch Sicherungsdaten RST2 für die zweite Transaktion TA2 lokal gespeichert, jedoch in unterschiedlichen Bereichen bzw. Containern C oder C'. Die erste Transaktion TA1 kann nur mit dem ersten Rechenzentrum DC1 finalisiert werden, da sie mit diesem Rechenzentrum begonnen wurde. Die zweite Transaktion TR2 kann mit dem zweiten Rechenzentrum DC2 ganz durchgeführt und finalisiert werden, wobei dieses Rechenzentrum als Backup-Servicepunkt für den Client CLA arbeitet. Dabei prüft das zweite Rechenzentrum DC2 ständig, ob das erste Rechenzentrum DC1 online ist. Dies wird in der 3b anhand der Abfrage col „check online” veranschaulicht. Solange das erste Datenzentrum DC1 nicht online ist, werden die zweite Transaktion TA2 und nachfolgende über das Rechenzentrum DC2 abgewickelt.The 3b now shows the situation that the first data center DC1 has failed and already a second transaction TR2 has been started with the second data center DC2. In this case, the client CLA has locally stored both backup data RST1 for the first transaction TA1 and backup data RST2 for the second transaction TA2, but in different areas or containers C or C '. The first transaction TA1 can only be finalized with the first data center DC1 since it was started with this data center. The second transaction TR2 can be fully executed and finalized with the second data center DC2, this data center working as a backup service point for the client CLA. The second computer center DC2 constantly checks whether the first data center DC1 is online. This is in the 3b using the query col "check online" illustrates. As long as the first data center DC1 is not online, the second transaction TA2 and subsequent ones are handled via the data center DC2.

Das bedeutet, dass im Falle, dass eines der Rechenzentren (z. B. DC1) nicht erreichbar ist oder nicht zur Verfügung steht, die betroffenen Clients (hier also CLA) einen Verbindungsversuch mit dem anderen Rechenzentrum (hier also DC2) starten. Alle Konfigurations- und Master-Daten sind bereits auf der zweiten Location verfügbar. Während dieser Zeitspanne werden alle Konfigurations-Änderungen blockiert.This means that if one of the data centers (eg DC1) is unavailable or not available, the affected clients (in this case CLA) start a connection attempt with the other data center (here DC2). All configuration and master data are already available on the second location. During this period, all configuration changes are blocked.

Zur Behandlung von Notfällen steht ein spezieller Konfigurations-Änderungs-Mechanismus zur Verfügung, der nicht repliziert wird. Dies bedeutet, dass diese Änderungen manuell auf dem zweiten Rechenzentrum durchgeführt werden müssen.For emergencies, there is a special configuration change mechanism that is not replicated. This means that these changes must be made manually on the second data center.

Der Client wird zuerst versuchen, die Transaktion auf der aktuellen Rechenzentren-Location abzuschließen. Falls dies aber nicht gelingt, wird die aktuelle Customer Session abgebrochen und der erneute Start (Restart) für diese Transaktion wird auf dem Client gespeichert (s. TA1 in 3a). Der Client wird zur zweiten Location umschalten und die normale Startup-Sequenz ausführen, um sich bei der PC/E Server-Instanz anzumelden (einschließlich Device Status und Zähler-Information).The client will first try to complete the transaction at the current data center location. If this fails, the current customer session is aborted and the restart for this transaction is saved on the client (see TA1 in 3a ). The client will switch to the second location and run the normal startup sequence to log in to the PC / E Server instance (including device status and meter information).

Der Client wird nun wissen und es dem Server mitteilen, dass eine Transaktion auf der ersten Location noch anhängig ist. Auch muss der Client sicherstellen, dass die alten Restart-Daten auf eine sichere Weise erhalten beleiben, um diese Transaktion gleich abzuschließen, sobald das Rechenzentrum wieder Online ist, und der Client wird dann zurückschalten.The client will now know and tell the server that a transaction is still pending on the first location. Also, the client must ensure that the old restart data is preserved in a secure manner to complete this transaction as soon as the data center is online again, and the client will then switch back.

Die 3c veranschaulicht die Situation, dass das bevorzugte Rechenzentrum DC1 wieder online geht. DC1 ist also wieder betriebsbereit (siehe auch Schritt 109 in 4). Dies wird durch das DC1 angezeigt (Schritt 110 in 4) Sobald das zweite Rechenzentrum DC2 dies feststellt (Abfrage COL „check online”), kann eine Synchronisation STD von Transaktionsdaten („Sync Transaktion Data”) durchgeführt werden (Schritte 120140 in 4). Um sicherzustellen, dass ausgehend vom Client CLA keine weiteren Transaktionen angestoßen oder Prozesse veranlasst werden, die die Synchronisation beeinträchtigen könnten, sendet das Rechenzentrum DC2 zunächst in einem ersten Schritt „1” einen Befehl bzw. ein Kommando OOS „out of service” an den Client CLA, um diesen für eine gewisse Zeitdauer außer Betrieb zu setzen (siehe auch Schritt 120 in 4). Dann wird in einem zweiten Schritt „2” die eigentliche Synchronisation STD durchgeführt (Schritt 130 in 4). Wenn die Synchronisation mit dem ersten Rechenzentrum DC1 abgeschlossen ist, sendet das zweite Datenzentrum DC2 einen Befehl SLC „switch location command” an den Client CLA. Damit wird der Client CLA wieder in Betrieb gebracht bzw. aktiviert (Schritt 140 in 4). Der Client CLA kann dann mit dem bevorzugten Rechenzentrum DC1 wieder Verbindung aufnehmen, um u. a. die noch offenen Transaktionen (hier TA1) zu finalisieren.The 3c illustrates the situation that the preferred data center DC1 goes online again. DC1 is ready for use again (see also step 109 in 4 ). This is indicated by the DC1 (step 110 in 4 As soon as the second data center DC2 detects this (query COL "check online"), a synchronization STD of transaction data ("Sync Transaction Data") can be carried out (steps 120 - 140 in 4 ). To ensure that, starting from the client CLA, no further transactions are initiated or processes are initiated which could impair the synchronization, the data center DC2 first sends an instruction or an OOS command "out of service" to the client in a first step "1" CLA to put it out of operation for a certain period of time (see also step 120 in 4 ). Then, in a second step "2", the actual synchronization STD is performed (step 130 in 4 ). When the synchronization with the first data center DC1 is completed, the second data center DC2 sends a command SLC "switch location command" to the client CLA. This activates or activates the client CLA again (step 140 in 4 ). The client CLA can then reconnect to the preferred data center DC1 in order, inter alia, to finalize the still open transactions (here TA1).

Die Behandlung von Transaktions-Clearing-Daten kann auf folgende Arten erfolgen:

  • 1) Verarbeiten am aktuellen Ausfall-Knoten (default): Die Transaktionen, die auf der zweiten Location verarbeitet werden, werden auf der zweiten Location aufgearbeitet (cleared) und abgeschlossen. Falls erforderlich, werden einige Transaktions-Informationen in zusätzlichen oder eigenen Tabellen gespeichert, um sie an den ersten (primary) PC/E Server für diese Workstation zurück zu synchronisieren.
  • 2) Speichern und Weiterleiten: Die Aufarbeitungs- bzw. Clearing-Information (auch EndOfDayProcessing) wird gespeichert, bis die erste Location wieder Online ist und wird dann für spätere Verarbeitung resynchronisiert.
The treatment of transaction clearing data can be done in the following ways:
  • 1) Processing at the current default node (default): The transactions that are processed on the second location are processed (cleared) and completed on the second location. If necessary, some transaction information is stored in additional or custom tables to synchronize back to the first (primary) PC / E server for that workstation.
  • 2) Saving and forwarding: The processing or clearing information (including EndOfDayProcessing) is saved until the first location is online again and then resynchronized for later processing.

Mit anderen Worten: Es wird auch ein separates Clearing durchgeführt, um Informationen über alle Transaktionen eines Clients, unabhängig davon, auf welchem Rechenzentrum sie ausgeführt worden sind, zusammenzuführen. Dies geschieht vorzugsweise auf dem bevorzugten Rechenzentrum (Master).In other words, a separate clearing is also performed to merge information about all transactions of a client, regardless of which data center they were run on. This is preferably done on the preferred data center (master).

Die 3d veranschaulicht eine Finalisierung auf dem Rechenzentrum DC1, nämlich die Finalisierung der Transaktion TA1, die auf eben diesen Rechenzentrum DC1 begonnen werden ist, aber noch nicht abgeschlossen werden konnte (siehe auch Befehl bzw. Operation fin). Während eines Failovers (s. 3b) wegen Ausfall des ersten Rechenzentrums DC1 wurden alle neuen Transaktionen (z. B. TA2) auf dem Ersatz-Rechenzentrum DC2 begonnen und werden auch auf diesem abgeschlossen werden.The 3d illustrates a finalization on the data center DC1, namely the finalization of the transaction TA1, which is started on just this data center DC1, but could not be completed (see also instruction or operation fin). During a failover (s. 3b ) due to failure of the first data center DC1 all new transactions (eg TA2) have been started on the replacement data center DC2 and will be completed on this.

Ein Client, der in der Lage war, eine Verbindung zu der zweiten Location erfolgreich zu öffnen bzw. zu eröffnen, wird nicht zurückschalten auf die erste Location, bis er einen bestimmten Server-Befehl erhält, nämlich den Befehl SLC „switch location command”. Dies stellt Server-seitig einen definierten Workstation-Status sicher.A client that was able to successfully open a connection to the second location will not switch back to the first location until it receives a particular server command, namely the SLC "switch location command" command. This ensures server-side a defined workstation status.

Sobald die PC/E Instanz von einem Client in einem Ausfallsicherungs-Szenario kontaktiert wird, wird der PC/E Server versuchen, sich mit der anderen Location zu verbinden, nämlich durch die Abfrage COL „check online”. Nur wenn die Kommunikation wiederhergestellt ist, wird der zweite Server versuchen, die Clients zurück zur ersten Location zu bewegen bzw. zu schalten. Als eine alternative oder auch zusätzliche Funktion kann die erste Location die zweite Location kontaktieren, um das Zurückschalten anzustoßen.As soon as the PC / E instance is contacted by one client in a failover scenario, the PC / E server will try to connect to the other location, namely the query COL "check online". Only when the communication is restored will the second server try to move the clients back to the first location. As an alternative or additional feature, the first location may contact the second location to trigger the switchback.

In diesem Falle wird der Server auch eine Meldung „Location-Umschaltung nicht erlaubt” als Beschränkung für alle Clients ausgeben, die den Server als ersten Server behandelt haben. Es ist erforderlich das Schalten eigener Clients zu vermeiden, wenn die Daten nicht zu einer Location resynchronisiert werden können, die momentan abgeschaltet bzw. heruntergefahren (down) ist. Falls die Location zurück ist, müssen neben den Daten des Backup-Clients auch die aktuellen Daten als erste resynchronsiert erden (s. auch 3b/c).In this case, the server will also receive a message "Location switching not allowed" as Issue a limit for all clients that have treated the server as the first server. It is necessary to avoid switching clients if the data can not be resynchronized to a location that is currently powered off or down (down). If the location is back, not only the data of the backup client but also the current data must be first resyncated (see also 3b / C).

Die Ausfall-Behebung (Failure Recovery) kann also folgendermaßen durchgeführt werden (s. insbesondere 3c):
Sobald die erste Location des Clients wieder Online ist (hier also DC1 für den Client CLA), wird die erste Location versuchen, die Backup-Location (hier also DC2) zu kontaktieren. Sobald die Verbindung zwischen beiden Clustern hergestellt ist (hier über DCL), sendet die zweite Location die Transaktions-Daten zur ersten Location.The failure recovery can thus be carried out as follows (see in particular 3c ):
As soon as the client's first location is online again (here DC1 for client CLA), the first location will try to contact the backup location (here DC2). As soon as the connection between both clusters has been established (here via DCL), the second location sends the transaction data to the first location.

Dazu geht der Client (hier CLA) für kurze Zeit Außerbetrieb (s. in 3c den Schritt „1” mit Befehl „out of service”), wobei dann alle Speicher- und Weiterleitungs-Daten resynchronisiert werden (s. Schritt „2” STD) und schließlich der Client den Befehl erhält, auf die erste Location zurück zu schalten (s. Schritt „3” mit Befehl „switch location command”).For this purpose, the client (here CLA) goes out of operation for a short time (see 3c step "1" with command "out of service"), in which case all storage and forwarding data are resynchronized (see step "2" STD) and finally the client receives the command to switch back to the first location (see FIG. see step "3" with command "switch location command").

Sind mehrere Clients aktiv (Cluster CLA in 1a), dann kann diese Abfolge auch nacheinander für jeweils einen Client durchgeführt werden. Die Clients werden dann nacheinander umgeleitet (rerouted), da die gespeicherten Transaktions-Daten an die zweite Location im vorraus übermittelt werden müssen. Danach kann die lokale Verarbeitung auf normale Weise fortgeführt werden.If several clients are active (Cluster CLA in 1a ), then this sequence can also be carried out in succession for each client. The clients are then rerouted consecutively, since the stored transaction data must be forwarded to the second location in advance. Thereafter, the local processing can be continued in the normal way.

Im Falle, dass der Client ausstehende Restart-Daten für die ersten Location hat, wird eine normale Fehler-Behandlung (error handling) ausgeführt, um auch die Session-Information auf dem Server zu bereinigen.In case the client has pending restart data for the first location, a normal error handling is performed to also clean up the session information on the server.

Die Clients, welche die erste Location im Rechenzentrum DC2 haben (also hier die Clients CLB), werden gleichermaßen auch die erforderlichen Transaktions-Zähler-Daten weiterleiten, um ein Umschalten auf das Rechenzentrum DC2 zu ermöglichen. Dies wird ausgeführt durch das Entfernen bzw. Aufheben einer bestimmten Beschränkung „Keine Location-Umschaltung erlaubt”. Dies stellt sicher, dass die erforderlichen Daten der Clients des Rechenzentrums DC2 während der Ausfallzeit des Rechenzentrums DC1 resynchronisiert sind, bevor ein Client dieses Rechenzentrum DC2 als Backup nutzt.The clients which have the first location in the data center DC2 (in this case the clients CLB) will likewise forward the required transaction counter data in order to enable a switchover to the data center DC2. This is done by removing or overriding a specific "no location switching allowed" restriction. This ensures that the required data of the data center clients DC2 are resynchronized during the downtime of the data center DC1 before a client uses this data center DC2 as a backup.

Das bedeutet, dass nach dem Weiterleiten der Backup-Client-Daten vom Rechenzentrum DC2 zurück zum Rechenzentrum DC1 und nach der Aktualisierung (Update) der vom Rechenzentrums DC2 stammenden Client-Daten auf das Rechenzentrum DC1, die normale Datenverarbeitung sich einstellt.This means that after forwarding the backup client data from the data center DC2 back to the data center DC1 and after updating the data from the data center DC2 originating client data to the data center DC1, the normal data processing sets itself.

Was die Kontinuität (Business continuity) angeht, so kann für den Fall, dass es nicht möglich ist, das erste bzw. bevorzugte Rechenzentrum (hier DC1) zu reaktivieren, die erste Location eines Client umgeschaltet werden. Die neue bevorzugte Location kann entweder die bestehende Backup Location (hier DC2) sein oder ein ganz anderes Rechenzentrum. Deshalb ist mittels eines Konfigurations-Exports ein Weg vorgesehen, eine neue Location auf der Grundlage der bestehenden Master-Daten und Konfiguration aufzubauen.As far as continuity (business continuity) is concerned, in the event that it is not possible to reactivate the first or preferred data center (here DC1), the first location of a client can be switched over. The new preferred location can either be the existing backup location (here DC2) or a completely different data center. Therefore, by means of a configuration export, a way is provided to build a new location based on the existing master data and configuration.

Zur Latenzzeit der Querverbindung zwischen den Rechenzentren ist folgendes zu sagen:
Da die Erfindung mindesrens zwei Instanzen in verschiedenen Rechenzentren vorhält, ist es erforderlich, auch die Netzwerk-Angelegenheiten in der Querverbindung (cross link) zu behandeln. Falls der Netzwerk-Querverbindung ganz unterbrochen (down) wäre, würde dies als ein Desaster für die Rechenzentren anzusehen sein, wenn nicht der zuvor beschriebenen Ausfallsicherungs-Prozess zur Verfügung stünde. Falls Synchronisations-Transaktions-Daten nicht replizierbar für die zweite Location sein sollten, wird der Client zunächst die Beschränkung „Keine Location Umschaltung” erhalten. Die Beschränkung ist ein Indikator für den Resynchronisations-Prozess, die zweite Location zuerst zu aktualisieren (update), bevor die Beschränkung aufgehoben wird. Diese Behandlung ist auch deshalb eingefügt worden, weil eine Customer Transaktion nicht durch den Synchronisations-Prozess an sich beeinflusst würde.For the latency of the cross-connection between the data centers, the following should be said:
Since the invention maintains at least two instances in different data centers, it is also necessary to handle the network issues in the cross-link. If the network interconnect were completely down, this would be considered a disaster for the data centers, unless the failover process described above were available. If synchronization transaction data should not be replicable for the second location, the client will first receive the "no location switch" restriction. The restriction is an indicator of the re-synchronization process of first updating the second location before removing the restriction. This treatment has also been inserted because a customer transaction would not be affected by the synchronization process itself.

Zusammenfassend und insbesondere Bezug nehmend auf die 3c und 3d ist zu sagen, dass in allen genannten Fällen eine ausfallsichere Synchronisation STD zwischen den beteiligten Rechenzentren (hier DC1 und DC2) erforderlich ist. Um die Synchronisation nicht zu beeinträchtigen, wird der Client CLA bzw. werden die betroffenen Clients nacheinander zeitweilig außer Betrieb gesetzt. Die Zeitdauer entspricht im Wesentlichen der Latenzzeit für die Datensynchronisation und beträgt weniger als 1 Minute. Demnach ist die Erfindung besonders für einen Active/Active-Betrieb bei weit entfernten Rechenzentren geeignet. Andere Betriebsformen, wie Active/Passive oder Active/HotStandby, die auf weit entfernte Rechenzentren angewendet werden, haben aber deutlich längere Ausfallzeiten (DownTime) von mehreren Stunden zu Folge und können durchaus einen halben bis ganzen Tag lang dauern.In summary, and in particular with reference to the 3c and 3d It must be said that in all these cases a fail-safe synchronization STD is required between the participating data centers (here DC1 and DC2). In order not to impair the synchronization, the client CLA or the affected clients are temporarily put out of order one after the other. The duration is essentially the data sync latency, less than 1 minute. Accordingly, the invention is particularly suitable for Active / Active operation at remote data centers. However, other forms of operation, such as Active / Passive or Active / HotStandby, which are applied to remote data centers, result in significantly longer downtimes of several hours and can take up to half a day to a full day.

Das hier vorgeschlagene Außer-Betrieb-Setzen eines Backup-Clients (hier CLA) durch das Backup-Rechenzentrum (hier DC2) kann bei mehreren Clients sequentiell durchgeführt werden.The here proposed decommissioning of a backup client (here CLA) by the backup data center (here DC2) can be carried out sequentially with multiple clients.

Die Erfindung kann bevorzugt auch bei Release-Wechseln eingesetzt werden. The invention can preferably also be used in release changes.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

CLA, CLBCLA, CLB
Transaktions-Terminals als Clients, die auf die Netzwerkstruktur zugreifenTransaction terminals as clients accessing the network structure
DC1DC1
erstes Rechenzentrum (bevorzugt vom Client CLA)first data center (preferred by client CLA)
DC2DC2
zweites Rechenzentrum (als Backup für Client CLA)second data center (as backup for client CLA)
L, L'L, L '
Datenverbindungen zwischen Clients und Rechenzentren bzw. den dazu gehörigen ServernData connections between clients and data centers or the associated servers
LBLB
Load BalancerLoad balancer
DCLDCL
Netzwerkverbindung (Querverbindung zwischen den Rechenzentren)Network connection (cross-connection between the data centers)
ASC1, ASC2ASC1, ASC2
Cluster von Servern (Application Server Nodes)Cluster of servers (Application Server Nodes)
DBC1, DBC2DBC1, DBC2
Cluster von DatenbankenCluster of databases
DBMS1DBMS1
Datenbank-Management-System (bzw. Admin-Konsole) für DC1Database Management System (or Admin Console) for DC1
BESBES
Backend-System (hier: Buchungs-System)Backend system (here: posting system)
JTAJTA
Java-TransaktionJava Transaction
TA1, TA2TA1, TA2
Transaktionentransactions
STDHOURS
Sync Transaktion DataSync Transaction Data
DOSDOS
Befehl „out of service”Command "out of service"
SLCSLC
Befehl ”switch location command”Command "switch location command"

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • US 2002/0147702 A1 [0004] US 2002/0147702 A1 [0004]
  • DE 60033895 T2 [0004] DE 60033895 T2 [0004]

Zitierte Nicht-PatentliteraturCited non-patent literature

  • http://de.wikipedia.org/wiki/Computercluster [0002] http://en.wikipedia.org/wiki/Computer_cluster [0002]
  • http://de.wikipedia.org/wiki/Oracle [0003] http://en.wikipedia.org/wiki/Oracle [0003]

Claims (7)

Verfahren (100) zum sicheren Zurückschalten auf ein erstes Rechenzentrum (DC1) nach Ausfallsicherung durch ein zweites Rechenzentrum (DC1), wobei mindestens ein Transaktions-Terminal als Client (CLA) mit dem zweiten Rechenzentrum (DC2) während einer Ausfallzeit des ersten Rechenzentrums (DC1) verbunden ist und nach Ende der Ausfallzeit wieder auf das erste Rechenzentrum (DC1) zurückgeschaltet wird, gekennzeichnet durch folgende Schritte: dem zweiten Rechenzentrum (DC2) wird angezeigt, dass das erste Rechenzentrum (DC1) wieder betriebsbereit ist (Schritt 110); der Client (CLA) wird veranlasst, außer Betrieb zu gehen (Schritt 120); es wird eine Synchronisierung (STD) von Konfigurations- und/oder Transaktionsdaten zwischen dem ersten und dem zweiten Rechenzentrum durchgeführt (Schritt 130); nach Abschluss der Synchronisierung (STD) wird der Client (CLA) veranlasst, auf das erste Rechenzentrum (DC1) zurückzuschalten (Schritt 140).Procedure ( 100 ) for safe switching back to a first data center (DC1) after failover by a second data center (DC1), wherein at least one transaction terminal as a client (CLA) to the second data center (DC2) during a downtime of the first data center (DC1) is connected and back to the first data center (DC1) after the end of the downtime, characterized by the following steps: the second data center (DC2) is informed that the first data center (DC1) is ready for operation again (step 110 ); the client (CLA) is caused to go out of action (step 120 ); a synchronization (STD) of configuration and / or transaction data is performed between the first and the second data center (step 130 ); Upon completion of the synchronization (STD), the client (CLA) is caused to switch back to the first data center (DC1) (step 140 ). Verfahren (100) nach Anspruch 1, dadurch gekennzeichnet, dass der mindestens eine Client (CLA) ein Selbstbedienungsterminal, insbesondere ein Geldautomat, Kontoauszugsdrucker, Überweisungsterminal, ist, das bevorzugt mit dem ersten Rechenzentrum (DC1) verbunden wird und nur zur Ausfallsicherung mit dem zweiten Rechenzentrum (DC2) verbunden wird.Procedure ( 100 ) according to claim 1, characterized in that the at least one client (CLA) is a self-service terminal, in particular an ATM, account statement printer, transfer terminal, which is preferably connected to the first data center (DC1) and only for failover with the second data center (DC2 ) is connected. Verfahren (100) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Rechenzentren (DC1, DC2) und die dazu gehörigen Datenbanken (DBC1, DBC2) im Aktiv-Aktiv-Betrieb betrieben werden.Procedure ( 100 ) according to claim 1 or 2, characterized in that the data centers (DC1, DC2) and the associated databases (DBC1, DBC2) are operated in the active-active mode. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass mehrere Transaktions-Terminals als ein Cluster von Clients (CLA) auf das erste Rechenzentrum (DC1) zurückgeschaltet werden, indem ein Client (CLA) nach dem anderen veranlasst wird, außer Betrieb zu gehen (Schritt 120),Procedure ( 100 ) according to one of the preceding claims, characterized in that a plurality of transaction terminals are switched back as a cluster of clients (CLA) to the first data center (DC1) by causing one client (CLA) after the other to go out of service ( step 120 ) Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass für jede Transaktion (TA1, TA2) ein Sicherungsdatensatz (RST1, RST2) lokal an dem Client (CLA) gespeichert wird, wobei der jeweilige Sicherungsdatensatz (RST1) in einem ersten Datencontainer (C) gespeichert wird, wenn die dazugehörige Transaktion (TA1) mit dem ersten, bevorzugten Rechenzentrum (DC1) ausgeführt wird, oder in einem zweiten Datencontainer (C') gespeichert wird, wenn die dazugehörige Transaktion (TA2) mit dem ersten, bevorzugten Rechenzentrum (DC2) ausgeführt wird.Procedure ( 100 ) according to one of the preceding claims, characterized in that for each transaction (TA1, TA2) a backup data record (RST1, RST2) is locally stored at the client (CLA), the respective backup data record (RST1) being stored in a first data container (C). is stored if the associated transaction (TA1) is executed with the first, preferred data center (DC1) or is stored in a second data container (C ') if the associated transaction (TA2) with the first preferred data center (DC2) is stored. is performed. Verfahren (100) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass wenn dem zweiten Rechenzentrum (DC2) über einen vorgebaren Zeitraum angezeigt wird, dass das erste Rechenzentrum (DC1) nicht wieder betriebsbereit ist, dem Client (CLA) als bevorzugtes Rechenzentrum das zweite Rechenzentrum (DC2) oder ein anderes Rechenzentrum zugeordnet wird.Procedure ( 100 ) according to one of the preceding claims, characterized in that when the second data center (DC2) is displayed over a prescribable period of time that the first data center (DC1) is not ready for operation again, the client (CLA) as the preferred data center, the second data center (DC2 ) or another data center. Netzwerk-Struktur zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis ... mit einem ersten Rechenzentrum (DC1) an einem ersten Standort und mindestens einem zweiten Rechenzentrum (DC2), das zur Ausfallsicherung des ersten Rechenzentrums (DC1) an einem zweiten Standort vorgesehen ist, wobei mindestens ein Transaktions-Terminal als Client (CLA) mit dem zweiten Rechenzentrum (DC2) während einer Ausfallzeit des ersten Rechenzentrums (DC1) verbunden ist, um nach Ende der Ausfallzeit wieder auf das erste Rechenzentrum (DC1) zurückgeschaltet zu werden, dadurch gekennzeichnet, dass das zweiten Rechenzentrum (DC2) in vorgebbaren Zeitabständen eine Abfrage (COL) an das erste Rechenzentrum (DC1) sendet, um abzufragen ob das erste Rechenzentrum (DC1) wieder betriebsbereit ist; dass das zweite Rechenzentrum (DC2) an den Client (CLA) einen Befehl (OOS) sendet, um den Client zu veranlassen außer Betrieb zu gehen; dass das zweite Rechenzentrum (DC2) mit dem ersten Rechenzentrum (DC1) über eine Datenverbindung (DCL) eine Synchronisierung (STD) von Konfigurations-Transaktionsdaten durchführt; und dass nach Abschluss der Synchronisierung (STD) das zweite Rechenzentrum (DC2) an den Client (CLA) einen weiteren Befehl (SLC) sendet, um den Client zu veranlassen, sich auf das erste Rechenzentrum (DC1) zurückzuschalten.Network structure for performing a method according to one of claims 1 to ... with a first data center (DC1) at a first location and at least one second data center (DC2) provided for failover of the first data center (DC1) at a second location is, wherein at least one transaction terminal as a client (CLA) to the second data center (DC2) during a downtime of the first data center (DC1) is connected to be switched back to the first data center (DC1), after the end of downtime in the second data center (DC2) sends a query (COL) to the first data center (DC1) at predeterminable time intervals in order to query whether the first data center (DC1) is ready for operation again; that the second data center (DC2) sends to the client (CLA) a command (OOS) to cause the client to go out of service; that the second data center (DC2) with the first data center (DC1) performs a synchronization (STD) of configuration transaction data via a data connection (DCL); and upon completion of the synchronization (STD), the second data center (DC2) sends to the client (CLA) another command (SLC) to cause the client to switch back to the first data center (DC1).
DE102010005331A 2010-01-21 2010-01-21 Method for safe switching back of data center after failover during financial data transaction, involves indicating that primary data center is again ready for operation after failover Pending DE102010005331A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102010005331A DE102010005331A1 (en) 2010-01-21 2010-01-21 Method for safe switching back of data center after failover during financial data transaction, involves indicating that primary data center is again ready for operation after failover

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102010005331A DE102010005331A1 (en) 2010-01-21 2010-01-21 Method for safe switching back of data center after failover during financial data transaction, involves indicating that primary data center is again ready for operation after failover

Publications (1)

Publication Number Publication Date
DE102010005331A1 true DE102010005331A1 (en) 2011-07-28

Family

ID=44315397

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102010005331A Pending DE102010005331A1 (en) 2010-01-21 2010-01-21 Method for safe switching back of data center after failover during financial data transaction, involves indicating that primary data center is again ready for operation after failover

Country Status (1)

Country Link
DE (1) DE102010005331A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020147702A1 (en) 2001-04-05 2002-10-10 Ncr Corporation Self-service terminals and self-service networks
DE60033895T2 (en) 1999-09-02 2007-12-06 Citicorp Development Center, Inc., Los Angeles SYSTEM AND METHOD FOR PROVIDING GLOBAL SELF-SERVICE FINANCIAL TRANSACTION DEVICES (ATMs) WITH WORLD WIDE-WEB CONTENT FOR SELF-SERVICE ATM CUSTOMERS

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE60033895T2 (en) 1999-09-02 2007-12-06 Citicorp Development Center, Inc., Los Angeles SYSTEM AND METHOD FOR PROVIDING GLOBAL SELF-SERVICE FINANCIAL TRANSACTION DEVICES (ATMs) WITH WORLD WIDE-WEB CONTENT FOR SELF-SERVICE ATM CUSTOMERS
US20020147702A1 (en) 2001-04-05 2002-10-10 Ncr Corporation Self-service terminals and self-service networks

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
http://de.wikipedia.org/wiki/Computercluster
http://de.wikipedia.org/wiki/Oracle

Similar Documents

Publication Publication Date Title
DE69923621T2 (en) Method and apparatus for correct and complete transfers in a fault tolerant distributed database system
DE60312746T2 (en) RECOVERY AFTER FAULTS IN DATA PROCESSING PLANTS
DE60207251T2 (en) METHOD FOR ENSURING THE OPERATION OF A GROUPNAMENTAL SERVER AUTHORIZED DURING NODE FAILURES AND NETWORK ALLOCATIONS
DE19836347C2 (en) Fault-tolerant computer system
DE602004005344T2 (en) METHOD, SYSTEM AND PROGRAM FOR HANDLING A FAILOVER TO A REMOTE MEMORY
DE602005003490T2 (en) Distributed system with quorum redundancy and method for it
DE19983497B4 (en) Remote transmission between file units
DE69918467T2 (en) Server device and method of use
DE69724846T2 (en) Multi-way I / O storage systems with multi-way I / O request mechanism
DE60030397T2 (en) Load distribution in a network
DE60214234T2 (en) METHOD AND APPARATUS FOR IMPLEMENTING A FIBER-OPERATING UNIT WITH HIGH AVAILABILITY
DE69533854T2 (en) Device and method for fault-tolerant key management
DE60224369T2 (en) Memory control system and method thereto
DE602005002532T2 (en) CLUSTER DATABASE WITH REMOTE DATA MIRROR
DE112016001295T5 (en) Resynchronizing to a first storage system by mirroring the first storage system after a failover to a second storage system
DE102013101863A1 (en) Highly available main memory database system, working methods and their uses
EP3446466B1 (en) Method for fast reconfiguration of gm clocks in the tsn network by means of an explicit teardown message
EP1959639B1 (en) Fail safe system for managing client-server communication
DE112011100623T5 (en) Read-other protocol for maintaining parity coherency in a writeback distributed redundancy data storage system
DE112012002097T5 (en) Manage a news subscription in a Publication Subscription messaging system
DE112018001561B4 (en) DISTRIBUTED STORAGE NETWORK
DE60003339T2 (en) KEEPING THE MATCH OF PASSIVELY REPLICATED NON-DETERMINISTIC OBJECTS
US8522069B2 (en) Process for secure backspacing to a first data center after failover through a second data center and a network architecture working accordingly
EP1358554A1 (en) Automatic startup of a cluster system after occurrence of a recoverable error
DE60303468T2 (en) Fault tolerant information processing device

Legal Events

Date Code Title Description
R163 Identified publications notified

Effective date: 20120301

R012 Request for examination validly filed