Bestandsinfrastruktur im Profil — Grundlage für die neue Cloud-Umgebung

Die Bestandsflotte umfasst zehn Bare-Metal-Server mit zusammen rund 140 CPU-Kernen, etwa 1,3 TB RAM und mehreren Terabyte Datenbankvolumen. In Summe halten die fünf datenbanktragenden Server rund 2.891 GB logisches Datenvolumen.

Entscheidend für das Sizing sind zwei Hebel, die die Datenmenge drastisch reduzieren. Erstens: Von rund 557 Tenants sind nur 153 aktiv (Login, Versand oder Job innerhalb des letzten Jahres) — rund 73 % können entfallen. Zweitens: Das logische Volumen aus information_schema überzeichnet den realen Plattenbedarf um etwa das 1,7-fache (auf Server 03 verifiziert: 1.106 GB logisch vs. 656 GB real). Auf realer Plattenbasis schrumpft das Migrationsziel damit auf ~550 GB (aktive Tenants inkl. kompletter Statistik) bzw. ~240 GB für die reinen Kerndaten.

Hinzu kommt ein operativer Treiber: alle zehn Server laufen auf abgekündigten Betriebssystemen (Debian 8/9, Ubuntu 16.04/18.04). Ein DB-Server läuft seit über acht Jahren ohne Reboot — also ohne Kernel-Patches. Das verschärft die Dringlichkeit der Migration unabhängig von der reinen Kapazitätsfrage.

Ziel der Analyse ist die vollständige Inventarisierung der alten sendeffect/IEM-Infrastruktur (Hardware sowie Datenbank- und Migrations-Footprint), um sie der neuen VM-Umgebung gegenüberzustellen und den initialen Ressourcenbedarf für die Datenmigration zu schätzen. Alle Bestandsserver werden nach der Migration außer Betrieb genommen. Die Hostnamen folgen dem Schema 11335-NN.root.easyname.cloud; Zugangsdaten unterscheiden sich pro Server.

Außerhalb des Scope: Server 11 (einzelne, fremde Kundenwebsite) und 01 (bereits abgebaut). Die Server unterscheiden sich stark in Spezifikation, Alter und Größe — sie wurden einzeln erfasst und nicht voneinander hochgerechnet.

Tenancy-Modell: Tenant = künftige Instanz

Jede sendlx_<N>-Datenbank entspricht einer IEM-Installation (ein vHost sf<N>.sendsfx.com) mit vielen Nutzern. Entscheidend: jede Nutzerzeile (userid/ownerid) ist selbst ein Tenant. In der neuen Umgebung wird jeder dieser Nutzer zu einer eigenen Instanz (eigene DB + Webroot). Die Zahl der neuen Instanzen richtet sich also nach der Zahl der aktiven Nutzer, nicht nach der Zahl der alten Datenbanken.

Aktiv-Regel (vereinbart)

Ein Nutzer gilt als aktiv, wenn er innerhalb des letzten Jahres eingeloggt war ODER versendet ODER einen Job ausgeführt hat. Login allein reicht nicht — die API versendet auch ohne Login. Signale: users.lastloggedin, MAX(stats_newsletters.starttime) je Absender und MAX(jobs.jobtime) je Owner.

Sizing-Ansatz (bewusst „leichtgewichtig")

• Pro-DB-/Tabellen-Größen über information_schema.tables (sofort verfügbar) — echte Zeilenzahlen via COUNT(*), da table_rows stark unterschätzt.
• Subscriber-Zuordnung zum Owner über list_subscribers ⋈ lists gruppiert nach Owner — jeder Subscriber gehört genau einem Owner.
• Statistik-Zuordnung ohne Scan der großen Tabellen: stats_newsletters trägt Pro-Kampagnen-Rollups; KEEP-Anteil daraus auf die realen Tabellengrößen anwenden.

Sicher aus der Migration ausschließbar

Bounce-Logs (list_subscriber_bounces_misc), Arbeits-/Temp-Tabellen (*_temp, aaa_*) und rekonstruierbare Suppression-Hashes (hashblacklist_*, list_subscriber_md5/sha*). Die Frage der Statistik-Aufbewahrung (komplette Historie vs. rollierendes Fenster) ist die größte verbleibende Stellschraube und in Abschnitt 10 als offener Punkt geführt.

Jeder DB-Server wurde einzeln erfasst. Pro Server zeigen wir das Hardware-Profil, die Datenbank-Eckdaten und die vier Migrationsszenarien (jeweils logische GB). Die Balken sind je Server relativ zum „Alles"-Szenario skaliert.

Flotten-Rollup — alle fünf DB-Server

Alle fünf Server sind exakt vermessen (keine Proxys mehr). Die Tabelle zeigt logische information_schema-GB; die reale Plattenbasis liegt bei ~0,6× (siehe Lesehilfe in Abschnitt 03).

Diese beiden Server halten keine Datenbanken; erfasst wurde die Hardware für ein vollständiges Bild der Alt-Flotte. Über ihre Webroots wurde zudem die Zuordnung der reinen DB-Server bestätigt (10.254.25.71 = Server 03, 10.254.25.46 = Server 05).

Das Versand-Tier wird anders dimensioniert als das DB-Tier: Treiber sind die Spitzen-Versandrate, die Verbindungs-Concurrency, die Anzahl Versand-IPs sowie der (kleine) Live-Spool und die Log-/Accounting-Aufbewahrung. Die drei Bounce-Log-NFS-Shares, die die Web/DB-Boxen einhängen, sind die MTAs selbst — es gibt keine separate Bounce-Infrastruktur.

Server 13 ist der laststärkste (pmtad ~69 % CPU, ~2,95 Mrd. ausgehende Nachrichten Lifetime). Alle drei laufen auf EOL-Betriebssystemen — teils mit 230–473 Tagen Uptime, um den Versand nicht zu unterbrechen.

• Server 09 (se2ifo / ifo-Institut) — im Scope: sendeffect-eigene Custom-Integration für den Kunden ifo-Institut (Newsletter/Presse). Datenbanken zusammen ~1,4 GB, aktiv. Webroot 2,9 GB, davon 2,6 GB verwerfbare Errorlogs — die eigentliche App ist klein. Kein sendlx_-Tenant, keine MTA. Als kleiner Custom-/Sondermigrations-Posten zu behandeln (mit dem ifo-Kunden abstimmen).
• Server 11 — außerhalb des Scope: eine einzelne, fremde Kundenwebsite (~5 MB). Keine sendeffect-Produktinfrastruktur.
• Server 01 — entfällt: bereits vor längerer Zeit außer Betrieb genommen.

Pilot-VM sendeffect-01 (Dogado / group.one OpenStack)

OpenStack Nova / KVM auf AMD EPYC-Rome (Zen 2), 4 vCPU, 8 GiB RAM (kein Swap), 100 GB Disk (vda, ext4, ~92 GB frei), Ubuntu 24.04 / MariaDB 11.8.8 / PHP 8.5. Achtung: innodb_buffer_pool_size steht auf dem Default von 128 MB (ungetunt). Diese VM ist ausdrücklich nur ein Pilot.

Übersetzung der Rechenleistung

• Das alte DB-Tier bietet ~76 physische Kerne / 152 Threads über fünf Boxen und ~1 TB RAM — ist aber meist im Leerlauf (typische Last 3–10/Box, nur 08 im Peak gesättigt).
• Neue EPYC-Rome-Kerne sind je Thread ~1,5–2× schneller als die alten Xeons → die aktive Last bildet sich auf deutlich weniger moderne vCPUs ab. vCPUs sind nicht der Engpass.
• Die IEM-Versandlast ist RAM- und IO-gebunden (Subscriber-Listen-Scans, Stats-Inserts), nicht CPU-gebunden ⇒ der Buffer-Pool (RAM) ist die primäre Stellschraube; auf das heiße Working-Set dimensionieren.

Warum dann massiv weniger RAM?

Das ist der wichtigste Punkt für die Buchung — und auf den ersten Blick wirkt er widersprüchlich, weil die alten Boxen zusammen ~1 TB RAM hatten. Entscheidend ist, wofür dieser Speicher diente: Jede der fünf alten DB-Boxen betrieb einen InnoDB-Buffer-Pool von 128 GiB — zusammen rund 640 GiB. Diese Pools waren pauschal groß konfiguriert und hielten die historischen Daten aller ~557 Tenants vor, von denen 73 % inaktiv sind und faktisch nie abgefragt werden.

In der neuen Umgebung muss der Buffer-Pool nur das heiße Working-Set der 153 aktiven Tenants cachen (aktiver Kern ~240 GB auf Platte, davon zu jedem Zeitpunkt nur ein Bruchteil wirklich „heiß") — nicht die gesamte historische Datenmenge. Damit genügen ~80–90 GB Buffer-Pool über zwei App+DB-VMs (je ~40–45 GB), eingebettet in 128 GB RAM.

Architektur = mehrmandantenfähiges All-in-one-LAMP pro VM (Apache + PHP-FPM + MariaDB, eine DB pro Tenant). Übersetzung: alte Flotte ~140 Kerne / ~1,3 TB RAM über 10 Bare-Metal-Boxen → neu braucht deutlich weniger, weil 73 % der Tenants entfallen, EPYC-Kerne stärker sind, KumoMTA effizienter als PowerMTA arbeitet und Dump-and-Reload Fragmentierung beseitigt.

Begründung je Rolle

• App+DB (RAM ist der Regler): fasst ~550 GB aktiv + alle Stats plus ~40 GB Webroots plus Puffer; Buffer-Pool ~40–45 GB/VM (⚠ Pilot steht auf 128 MB Default — auf ~70 % des RAM tunen). ~75 Tenants/VM. Bei schlechter Cache-Hit-Rate RAM erhöhen / Knoten hinzufügen.
• KumoMTA (gegen Kumo-Hardwareguide validiert): 8 vCPU/16 GB liegt zwischen „moderat" und „seriöser Startpunkt" → ausreichend für ~410 msg/s. Dedizierter SSD/NVMe-Spool (~300 GB) auf separater Mount-Ebene von den Logs; IOPS > Kapazität; 10 GbE. 2 Knoten für HA, Patch/Reboot ohne Mail-Stillstand und IP-Pool-/Reputations-Segmentierung über ~3.909 IPs.
• Monitoring: schlank starten mit nur 2 vCores / 8 GB / 250 GB (Prometheus + Grafana + Alertmanager) — das spart initial 2 Kerne gegenüber einer 4-vCore-Auslegung. Erst auf 4/16/500 erhöhen, wenn Loki dazukommt (KumoMTA-/Apache-Logs sind volumenstark — der eigentliche Disk-/RAM-Treiber).

Ein Produktionsvorfall während der Analyse macht greifbar, warum die neue Architektur — eine DB pro Tenant, eigener PHP-FPM-Pool je Tenant — nicht nur sauberer, sondern deutlich ausfallsicherer ist, und welche Maßnahmen das absichern.

Warum die neue Architektur das entschärft

• Eine DB pro Tenant: eine korrupte Tabelle betrifft nur die DB dieses einen Tenants — Tabellen und Sperren anderer Tenants bleiben unberührt.
• Eigener PHP-FPM-Pool je Tenant (eigener User/Socket): ein Tenant, der auf seine DB blockiert, kann die Worker anderer Tenants nicht aushungern. Das ist die eigentliche Behebung der Tenant-übergreifenden Kaskade vom 19.06.
• Kleinere, frische Tabellen (Dump-and-Reload, modernes Row-Format + full_crc32-Prüfsummen): schnelleres Erkennen, Reparieren und Wiederherstellen.
• Kleinerer Blast-Radius: von „alle Tenants des Web-Knotens, über mehrere DB-Server hinweg" → „höchstens die Tenants einer VM, meist nur der betroffene".

Empfohlene Resilienz-Maßnahmen

• Funktionierende Replikation oder Galera — und überwachen. Die Alt-Infrastruktur hatte Replikation, die still ausfiel → kein Failover im Vorfall. Ein gesunder Replica/Cluster macht aus einer mehrstündigen Wiederherstellung ein Failover von Sekunden. Auf Replication-Lag/-Stopp alarmieren.
• Physische Backups (Mariabackup), nicht nur logische Dumps. Die lange Wiederherstellungsdauer entstand, weil ein logischer Restore jede Zeile neu einfügt und alle Indizes neu aufbaut. Ein Mariabackup-Restore entspricht eher einer Dateikopie und ist bei großen Datenmengen dramatisch schneller. Beides vorhalten (physisch = schneller Full-Restore; logische Pro-Tenant-Dumps = Granularität/Portabilität) + Binlogs für PITR.
• Frühe Erkennung / Alerting (Aufgabe der Monitoring-VM): MariaDB-Error-Log nach Loki schicken und auf InnoDB: … corrupt/Prüfsummenfehler alarmieren, damit es vor dem Crash-Loop auffällt. Periodisches mysqlcheck/CHECK TABLE (oder der nächtliche logische Dump, der jede Zeile liest) deckt Korruption proaktiv auf.
• Redundantes Volume-Backend bei Dogado bestätigen (Ceph/SAN mit Replikation). Echte InnoDB-Korruption ist meist Storage-/Hardware-bedingt, kein DB-Versions-Bug — modernes redundantes Storage ist der größte einzelne Risikoreduzierer, mehr noch als MariaDB 11.8 selbst (das aber hilft: gepflegt, ~10 Jahre InnoDB-Fixes ggü. EOL 5.6/5.7).

Offene Entscheidungen

• Statistik-Aufbewahrung: komplette Historie vs. rollierendes Fenster — die größte verbleibende Stellschraube. Aktuelle Planungsempfehlung: alle Stats migrieren (siehe Abschnitt 08).
• Keep/Drop je Tenant: die endgültige Entscheidung erfordert Kontakt mit jedem Kunden auf jeder Instanz (zurückgestellt; blockiert das Sizing nicht, da inaktive Tenants über Puffer aufgefangen werden).
• Borderline-/inaktive Instanzen vor dem Verwerfen verifizieren: u. a. sf36, sf32/senddigital (07), sendlx_25/26 (03), sendlx_969 (12).
• se2ifo/ifo: Custom-Migration mit dem ifo-Kunden abstimmen.

Nächste Schritte

• Per-VM-Tenant-Packing-Plan finalisieren: 153 aktive Tenants (+ Puffer für inaktive) auf die neuen VMs verteilen, sobald die Ziel-VM-Spezifikation (Disk/RAM/Kerne) feststeht.
• CPU-/RAM-Hotplug auf der öffentlichen OpenStack-Plattform mit Dogado klären (Default oft deaktiviert → Resize via Reboot).
• Erste große Tenant-Migration als Validierungslauf (Cache-Hit-Rate, IO-Wait, CPU) vor Buchung der restlichen Knoten.
• Buffer-Pool der App+DB-VMs auf ~70 % des RAM tunen (Pilot steht auf 128 MB Default).