Divu mezglu kopa – velns slēpjas detaļās

Čau Habr! Piedāvāju jūsu uzmanībai raksta tulkojumu "Divi mezgli — velns ir detaļās" autors Endrjū Bēkhofs.

Daudzi cilvēki dod priekšroku divu mezglu klasteriem, jo ​​tie šķiet konceptuāli vienkāršāki un ir arī par 33% lētāki nekā trīs mezglu kolēģi. Lai gan ir pilnīgi iespējams izveidot labu divu mezglu kopu, vairumā gadījumu nepārdomātu scenāriju dēļ šāda konfigurācija radīs daudzas nepārprotamas problēmas.

Pirmais solis, lai izveidotu augstas pieejamības sistēmu, ir atrast un mēģināt novērst atsevišķus atteices punktus, ko bieži saīsina kā SPoF (viens neveiksmes punkts).

Ir vērts paturēt prātā, ka nevienā sistēmā nav iespējams novērst visus iespējamos dīkstāves riskus. Tas izriet no tā, ka tipiska aizsardzība pret risku ir zināmas dublēšanas ieviešana, kas palielina sistēmas sarežģītību un jaunu atteices punktu rašanos. Tāpēc mēs sākotnēji pieņemam kompromisu un koncentrējamies uz notikumiem, kas saistīti ar atsevišķiem neveiksmes punktiem, nevis uz saistītu un līdz ar to arvien mazāk ticamu notikumu ķēdēm.

Ņemot vērā kompromisus, mēs ne tikai meklējam SPoF, bet arī līdzsvarojam riskus un sekas, kā rezultātā secinājums par to, kas ir kritisks un kas nav, katrai izvietošanai var atšķirties.

Ne visiem ir vajadzīgi alternatīvi elektroenerģijas piegādātāji ar neatkarīgām elektropārvades līnijām. Lai gan paranoja atmaksājās vismaz vienam klientam, kad viņu uzraudzība atklāja bojātu transformatoru. Klients veica tālruņa zvanus, mēģinot brīdināt elektroenerģijas uzņēmumu, līdz uzsprāga bojātais transformators.

Dabisks sākumpunkts ir vairāk nekā viens mezgls sistēmā. Tomēr, pirms sistēma pēc kļūmes var pārvietot pakalpojumus uz izdzīvojušo mezglu, tai parasti ir jānodrošina, lai pārvietotie pakalpojumi citur nebūtu aktīvi.

Divu mezglu klasterim nav nekādu mīnusu, ja kļūmes rezultātā abi mezgli apkalpo vienu un to pašu statisko vietni. Tomēr lietas mainās, ja abas puses neatkarīgi pārvalda koplietojamo darbu rindu vai nodrošina nekoordinētu rakstīšanas piekļuvi replicētai datu bāzei vai koplietotai failu sistēmai.

Tāpēc, lai novērstu datu bojājumus viena mezgla atteices rezultātā - mēs paļaujamies uz kaut ko, ko sauc "disociācija" (nožogojums).

Disociācijas princips

Disociācijas principa pamatā ir jautājums: vai konkurējošs mezgls var izraisīt datu bojājumus? Gadījumā, ja ir iespējama datu sabojāšana, labs risinājums būtu izolēt mezglu gan no ienākošajiem pieprasījumiem, gan no pastāvīgas krātuves. Visizplatītākā pieeja atdalīšanai ir bojāto mezglu atvienošana.

Ir divas disociācijas metožu kategorijas, kuras es saukšu taisni и netiešs, taču tos var saukt vienādi aktīvs и pasīvs. Tiešās metodes ietver darbības no izdzīvojušo vienaudžu puses, piemēram, mijiedarbību ar IPMI (Intelligent Platform Management Interface) vai iLO (mehānisms serveru pārvaldībai, ja tiem nav fiziskas piekļuves) ierīci, savukārt netiešās metodes balstās uz neveiksmīgo ierīci. mezgls, lai kaut kā atpazītu, ka tas ir neveselīgā stāvoklī (vai vismaz neļauj citiem dalībniekiem atveseļoties) un signalizē aparatūras sargsuns par nepieciešamību atvienot neveiksmīgo mezglu.

Kvorums palīdz, izmantojot gan tiešās, gan netiešās metodes.

Tieša disociācija

Tiešas disociācijas gadījumā mēs varam izmantot kvorumu, lai novērstu disociācijas sacīkstes tīkla atteices gadījumā.

Izmantojot kvoruma jēdzienu, sistēmā ir pietiekami daudz informācijas (pat bez savienojuma ar vienaudžiem), lai mezgli automātiski zinātu, vai tiem ir jāuzsāk disociācija un/vai atkopšana.

Bez kvoruma abas tīkla plaisas puses pamatoti pieņems, ka otra puse ir mirusi, un centīsies otru atdalīt. Sliktākajā gadījumā abām pusēm izdodas slēgt visu klasteru. Alternatīvs scenārijs ir nāves sakritība, nebeidzama mezglu cilpa, kas nārsto, neredz savus vienaudžus, tos pārstartē un atkopšanu uzsāk tikai, lai atsāknētu, kad viņu līdzinieks ievēro to pašu loģiku.

Atdalīšanas problēma ir tāda, ka visbiežāk izmantotās ierīces kļūst nepieejamas to pašu kļūmes notikumu dēļ, uz kuriem vēlamies atkopt. Lielākā daļa IPMI un iLO karšu ir instalētas resursdatoros, kurus tās kontrolē, un pēc noklusējuma tās izmanto to pašu tīklu, kas liek mērķa resursdatoriem uzskatīt, ka citi resursdatori ir bezsaistē.

Diemžēl IPMI un iLo ierīču darbības iezīmes reti tiek ņemtas vērā aprīkojuma iegādes laikā.

Netiešā disociācija

Kvorums ir svarīgs arī netiešās disociācijas pārvaldīšanai; ja tas tiek darīts pareizi, kvorums var ļaut izdzīvojušajiem pieņemt, ka zaudētie mezgli pēc noteikta laika pāriet uz drošu stāvokli.

Izmantojot šo konfigurāciju, aparatūras sargsuņa taimeris tiek atiestatīts ik pēc N sekundēm, ja kvorums netiek zaudēts. Ja taimeris (parasti vairāki N reizi) beidzas, ierīce veic negraciozu izslēgšanu (nevis izslēgšanu).

Šī pieeja ir ļoti efektīva, taču bez kvoruma klasterī nav pietiekami daudz informācijas, lai to pārvaldītu. Nav viegli noteikt atšķirību starp tīkla pārtraukumu un vienādranga mezgla kļūmi. Iemesls tam ir svarīgs tāpēc, ka bez spējas atšķirt abus gadījumus jūs esat spiests izvēlēties vienu un to pašu rīcību abos gadījumos.

Viena režīma izvēles problēma ir tāda, ka nav tādas darbības, kas maksimāli palielinātu pieejamību un novērstu datu zudumu.

• Ja izvēlaties pieņemt, ka vienādranga mezgls ir aktīvs, bet faktiski neizdodas, klasteris nevajadzīgi apturēs pakalpojumus, kas darbotos, lai kompensētu pakalpojumu zudumu no neveiksmīgā peer mezgla.
• Ja nolemjat pieņemt, ka mezgls nedarbojas, bet tā bija tikai tīkla kļūme un faktiski attālais mezgls darbojas, labākajā gadījumā jūs pierakstāties kādai turpmākai iegūto datu kopu manuālai saskaņošanai.

Neatkarīgi no tā, kādu heiristiku jūs izmantojat, ir triviāli izveidot kļūmi, kas izraisīs abu pušu neveiksmi vai arī klastera izslēgšanu pārdzīvojušajiem mezgliem. Kvoruma neizmantošana klasterim patiešām atņem vienu no spēcīgākajiem instrumentiem tās arsenālā.

Ja nav citas alternatīvas, vislabākā pieeja ir upurēt pieejamību (šeit autors atsaucas uz KLP teorēmu). Bojātu datu augsta pieejamība nepalīdz nevienam, un arī dažādu datu kopu manuāla saskaņošana nav patīkama.

Kvorums

Kvorums izklausās lieliski, vai ne?

Vienīgais mīnuss ir tāds, ka, lai tas būtu klasterī ar N dalībniekiem, jums ir nepieciešams savienojums starp N/2+1 atlikušo mezglu. Kas nav iespējams divu mezglu klasterī pēc viena mezgla kļūmes.

Kas galu galā noved mūs pie pamatproblēmas ar diviem mezgliem:
Kvorumam nav jēgas divos mezglu klasteros, un bez tā nav iespējams droši noteikt darbības virzienu, kas palielina pieejamību un novērš datu zudumu.
Pat sistēmā, kurā ir divi mezgli, kas savienoti ar krustojuma kabeli, nav iespējams galīgi atšķirt tīkla pārtraukumu no otra mezgla kļūmes. Viena gala atspējošana (kuras iespējamība, protams, ir proporcionāla attālumam starp mezgliem) būs pietiekami, lai atceltu jebkuru pieņēmumu, ka saites stāvoklis ir vienāds ar partnera mezgla stāvokli.

Divu mezglu klastera darbība

Dažkārt klients nevar vai nevēlas iegādāties trešo mezglu, un mēs esam spiesti meklēt alternatīvu.

1. variants — dublikāta disociācijas metode

Mezgla iLO vai IPMI ierīce ir kļūmes punkts, jo, ja tā neizdodas, izdzīvojušie nevar izmantot to, lai mezglu nogādātu drošā stāvoklī. 3 vai vairāk mezglu klasterī mēs varam to mazināt, aprēķinot kvorumu un izmantojot aparatūras sargsuni (netiešās disociācijas mehānisms, kā minēts iepriekš). Divu mezglu gadījumā mums ir jāizmanto tīkla jaudas sadales vienības (PDU).

Pēc neveiksmes izdzīvojušais vispirms mēģina sazināties ar primāro atdalīšanas ierīci (iegulto iLO vai IPMI). Ja tas izdodas, atveseļošanās turpinās kā parasti. PDU var piekļūt tikai tad, ja iLO/IPMI ierīce neizdodas; ja piekļuve ir veiksmīga, atkopšanu var turpināt.

Noteikti ievietojiet PDU citā tīklā, nevis klastera trafikā, pretējā gadījumā viena tīkla kļūme bloķēs piekļuvi abām atdalīšanas ierīcēm un bloķēs pakalpojumu atjaunošanu.

Šeit jūs varat jautāt - vai PDU ir viens neveiksmes punkts? Uz kuru atbilde, protams, ir.

Ja šis risks jums ir nozīmīgs, jūs neesat viens: savienojiet abus mezglus ar diviem PDU un sakiet klasterizācijas programmatūrai izmantot abus, ieslēdzot un izslēdzot mezglus. Klasteris tagad paliek aktīvs, ja viens PDU nomirst, un, lai bloķētu atkopšanu, būs nepieciešama otra PDU vai IPMI ierīces otrā kļūme.

2. iespēja — šķīrējtiesneša pievienošana

Dažos gadījumos, lai gan dublikāta atdalīšanas metode ir tehniski iespējama, tā ir politiski sarežģīta. Daudziem uzņēmumiem patīk zināma nošķirtība starp administratoriem un lietojumprogrammu īpašniekiem, un tīkla administratori, kas apzinās drošību, ne vienmēr ir entuziastiski kopīgot PDU piekļuves iestatījumus ar citiem.

Šajā gadījumā ieteicamā alternatīva ir izveidot neitrālu trešo pusi, kas var papildināt kvoruma aprēķinu.

Kļūmes gadījumā mezglam ir jāspēj redzēt sava vienaudžu vai arbitra ētera viļņus, lai atjaunotu pakalpojumus. Šķīrējtiesnesis ietver arī atvienošanas funkciju, ja abi mezgli var redzēt šķīrējtiesnesi, bet nevar redzēt viens otru.

Šī opcija ir jāizmanto kopā ar netiešās atdalīšanas metodi, piemēram, aparatūras sargsuņa taimeri, kas ir konfigurēts, lai iznīcinātu iekārtu, ja tā zaudē savienojumu ar savu vienādranga un arbitra mezglu. Tādējādi izdzīvojušais var pamatoti pieņemt, ka tā vienādranga mezgls būs drošā stāvoklī pēc aparatūras sargsuņa taimera termiņa beigām.

Praktiskā atšķirība starp šķīrējtiesnesi un trešo mezglu ir tāda, ka šķīrējtiesneša darbībai ir nepieciešams daudz mazāk resursu, un tas potenciāli var apkalpot vairāk nekā vienu klasteru.

3. variants – cilvēciskais faktors

Pēdējā pieeja ir tāda, ka izdzīvojušie turpina palaist visus pakalpojumus, kurus viņi jau palaida, bet nesāk jaunus, kamēr problēma nav atrisināta pati (tīkla atjaunošana, mezgla atsāknēšana) vai persona neuzņemas atbildību par manuālu apstiprinājumu, ka otra puse ir mirusi.

Bonusa iespēja

Vai es minēju, ka varat pievienot trešo mezglu?

Divi statīvi

Argumenta labad izliksimies, ka esmu jūs pārliecinājis par trešā mezgla priekšrocībām, tagad jāapsver mezglu fiziskais izvietojums. Ja tie atrodas (un tiek darbināti) vienā plauktā, tas arī veido SPoF, un to nevar atrisināt, pievienojot otru statīvu.

Ja tas ir pārsteidzoši, apsveriet, kas notiktu, ja statīvs ar diviem mezgliem sabojātos, un kā izdzīvojušais mezgls to atšķirtu no tīkla kļūmes.

Īsā atbilde ir tāda, ka tas nav iespējams, un atkal mēs risinām visas problēmas divu mezglu gadījumā. Vai izdzīvojušais:

• ignorē kvorumu un nepareizi mēģina uzsākt atjaunošanu tīkla pārtraukumu laikā (spēja pabeigt disociāciju ir cits stāsts un ir atkarīgs no tā, vai ir iesaistīts PDU un vai tie dala enerģiju ar kādu no statīviem), vai
• respektē kvorumu un priekšlaicīgi atvienojas, ja tā vienādranga mezgls neizdodas

Jebkurā gadījumā divi statīvi nav labāki par vienu, un mezgliem ir jāsaņem neatkarīgi barošanas avoti vai tie ir jāsadala trīs (vai vairāk, atkarībā no tā, cik mezglu jums ir) statīviem.

Divi datu centri

Šajā brīdī lasītāji, kuri vairs nevēlas riskēt, var apsvērt iespēju pēc katastrofas atgūšanas. Kas notiek, kad asteroīds ietriecas tajā pašā datu centrā ar mūsu trim mezgliem, kas izvietoti trīs dažādos plauktos? Acīmredzot sliktas lietas, taču atkarībā no jūsu vajadzībām ar otra datu centra pievienošanu var nepietikt.

Ja tas tiek izdarīts pareizi, otrais datu centrs nodrošina jums (un tas ir pamatoti) ar atjauninātu un konsekventu jūsu pakalpojumu un to datu kopiju. Tomēr, tāpat kā divu mezglu un divu plauktu scenārijos, sistēmā nav pietiekami daudz informācijas, lai nodrošinātu maksimālu pieejamību un novērstu bojājumus (vai datu kopu neatbilstības). Pat ar trim mezgliem (vai statīviem), tos sadalot tikai divos datu centros, sistēma nevar droši pieņemt pareizo lēmumu gadījumā (tagad daudz ticamāk), ka abas puses nevar sazināties.

Tas nenozīmē, ka divu datu centra risinājums nekad nav piemērots. Uzņēmumi bieži vēlas, lai persona būtu informēta, pirms veic neparastu soli, pārejot uz rezerves datu centru. Vienkārši paturiet prātā, ka, ja vēlaties automatizēt pārtraukumu, jums būs nepieciešams trešais datu centrs, lai kvorums būtu jēgpilns (tieši vai ar šķīrējtiesneša starpniecību), vai arī jūs atradīsit veidu, kā droši slēgt visus datus. centrs.

Avots: www.habr.com