どのくらいのフェイルオーバー冗長性で十分ですか？

私は現在、すべてのクライアントが基本的に単一の西海岸のIPアドレスにトランザクションを送信して、いわゆる「ゲートウェイ」アプリケーションに到達するクライアントサーバーシステムに取り組んでいます。ゲートウェイはいくつかのアカウンティングを実行し、最終処理のために各トランザクションを複数のデータベースサーバーのいずれかにディスパッチします。サーバーは結果をクライアントに直接返します（ゲートウェイを介してバックアウトすることはありません）。

計画は、冗長性とフェイルオーバーのために、東海岸に2番目のゲートウェイを追加することです。通常はスタンバイ状態でのみ動作し、動作中のゲートウェイに障害が発生した場合に引き継いで実際のゲートウェイになるように設計されています。基本的には従来の構成です ここに示されています 。

一部の参加者は、スタンバイゲートウェイが1つしかないだけでは不十分であり、たとえば中西部に2つ目のスタンバイゲートウェイも実装する必要があると主張しています。他の人は、2つのスタンバイの追加コスト、複雑さ、および管理は不要であり、両方の海岸でゲートウェイが同時に利用できないことは問題にならない可能性が非常に低いと主張しています。

ベストプラクティスと見なされるものは何ですか？通常、（クライアントが利用できる物理的に分離されたアクセスポイントに関して）どの程度の冗長性が公称値と見なされますか？デュアル障害は、スタンバイが1つしかないことを後悔するほど一般的ですか？

編集：必要または必要な冗長性の量に対するコストと利益の「計算」に関して、質問を次のように言い換えた方がよいと思います。

地理的に離れたIPアドレスのコレクションに同時に到達できない頻度を示す統計はどこにありますか？

言い換えれば、次のようなテーブル

On average, 1 west coast IP + 1 east cost IP
are simultaneously unreachable 1 day/year.
On average, 1 west IP + 1 east IP + 1 southern IP
are simultaneously unreachable 1 hr/year.
On average, 1 west IP + 1 east IP + 1 southern IP + 1 northern IP
are simultaneously unreachable 1 minute/year.
etc.

コストとパフォーマンスを計算する実際の基準があるため、必要な冗長性の量を選択するのはかなり簡単です。 （「同時に到達不能」とは、「全国にランダムに散在するかなりの数のクライアントに対して」を意味する必要があると思います。これは、ローカルネットワークの障害が原因で、サーバーの数に関係なく、単一のクライアントがサーバーに到達できない可能性があるためです。）

ただし、このようなテーブルがないと、冗長性とパフォーマンスの計算は推測にすぎません。したがって：そのような計算の基礎となる実際の可用性データのソースはありますか？または、誰もが必要なものを推測して拡張しますか？必要に応じて、彼らが低いと推測したことがわかったら、または高いと推測した場合は削減しますか？

フォールトトレラント製品を提供している企業は、そのようなデータを収集して宣伝したいと思うようです。一方、データは、フォールトトレラントな顧客の99.99％が実際にはそれほど冗長性を必要としないことを示している可能性があります。たとえば、1年間行くことができ、東と西のIPアドレスに同時に到達できない場合は、中西部のIPを追加することを検討するつもりはありません。

また、サイトの外部の力が原因でIPアドレスに到達できないことと、サイトが内部で障害が発生したためにIPアドレスがダウンしていることには違いがあることも認識しています。 （IPアドレスの私の側の）内部障害は比較的簡単に対処できます。外部障害（地震のためにカリフォルニアがオフラインになったり、ハリケーン中にニューヨークがオフラインになったりするなど、IPアドレスのクライアント側で）他の地理的な場所に追加のIPアドレスを設定することによってのみ対処できます。 それは私が定量化したいと思っている確率です。今のところ、私は東と西のIPアドレスが同時に到達できない可能性が小さすぎて心配できないと主張するキャンプに傾いています。