Uzņēmums Citymobil kā galveno pastāvīgo datu krātuvi izmantojam MySQL datu bāzi. Mums ir vairāki datu bāzu klasteri dažādiem pakalpojumiem un mērķiem.

Kapteiņa pastāvīgā pieejamība ir kritisks rādītājs visas sistēmas un tās atsevišķu daļu veiktspējai. Automātiskā klasteru atkopšana galvenās kļūmes gadījumā ievērojami samazina incidentu reakcijas laiku un sistēmas dīkstāves laiku. Šajā rakstā es aplūkošu augstas pieejamības (HA) dizainu MySQL klasterim, kura pamatā ir MySQL Orchestrator un virtuālās IP adreses (VIP).

HA risinājums, kas balstīts uz VIP

Vispirms es īsi pastāstīšu, kas ir mūsu datu uzglabāšanas sistēma.

Mēs izmantojam klasisko replikācijas shēmu ar vienu rakstīšanai pieejamu šablonu un vairākām tikai lasāmām replikām. Klasteris var saturēt starpposma galveno elementu — mezglu, kas ir gan replika, gan galvenais citiem. Klienti piekļūst replikām, izmantojot HAProxy, kas nodrošina vienmērīgu slodzes sadalījumu un vieglu mērogošanu. HAProxy izmantošana ir saistīta ar vēsturiskiem iemesliem, un pašlaik notiek migrēšana uz ProxySQL.

Replikācija tiek veikta daļēji sinhronā režīmā, pamatojoties uz GTID. Tas nozīmē, ka vismaz vienai replikai ir jāreģistrē darījums, lai to uzskatītu par veiksmīgu. Šis replikācijas režīms nodrošina optimālu līdzsvaru starp veiktspēju un datu drošību galvenā mezgla kļūmes gadījumā. Būtībā visas izmaiņas tiek pārsūtītas no galvenā uz replikām, izmantojot Row Based Replication (RBR), bet dažiem mezgliem var būt mixed binlog format.

Orķestris periodiski atjaunina klastera topoloģijas stāvokli, analizē saņemto informāciju un, ja rodas problēmas, var uzsākt automātisku atkopšanas procedūru. Izstrādātājs ir atbildīgs par pašu procedūru, jo to var ieviest dažādos veidos: pamatojoties uz VIP, DNS, izmantojot pakalpojumu atklāšanas pakalpojumus vai pašrakstītus mehānismus.

Viens vienkāršs veids, kā atjaunot galveno, ja tas neizdodas, ir izmantot peldošās VIP adreses.

Kas jums jāzina par šo risinājumu, pirms turpināt darbu:

• VIP ir IP adrese, kas nav saistīta ar konkrētu fizisko tīkla interfeisu. Ja mezgls neizdodas vai tiek veikta plānotā apkope, mēs varam pārslēgt VIP uz citu resursu ar minimālu dīkstāvi.
• Virtuālās IP adreses atbrīvošana un izsniegšana ir lēta un ātra darbība.
• Lai strādātu ar VIP, jums ir nepieciešama piekļuve serverim, izmantojot SSH, vai, piemēram, īpašu utilītu izmantošana, keepalived.

Apskatīsim iespējamās problēmas ar mūsu vedni un iedomāsimies, kā jādarbojas automātiskajam atkopšanas mehānismam.

Tīkla savienojums ar galveno ierīci ir pazudis vai ir radusies problēma aparatūras līmenī, un serveris nav pieejams

1. Orķestris atjaunina klastera topoloģiju, un katra replika ziņo, ka kapteinis nav pieejams. Orķestris sāk jaunā meistara lomai piemērotas kopijas atlases procesu un sāk atveseļošanos.
2. Mēģinām noņemt VIP no vecmeistara - bez panākumiem.
3. Replika pāriet uz meistara lomu. Topoloģija tiek pārbūvēta.
4. Jauna tīkla saskarnes pievienošana ar VIP. Tā kā VIP nebija iespējams noņemt, mēs periodiski sākam sūtīt pieprasījumu fonā bezmaksas ARP. Šāda veida pieprasījums/atbilde ļauj atjaunināt pievienoto slēdžu IP un MAC adrešu kartēšanas tabulu, tādējādi paziņojot, ka mūsu VIP ir pārcēlies. Tas samazina iespējamību split brain atgriežot vecmeistaru.
5. Visi jaunie savienojumi tiek nekavējoties novirzīti uz jauno galveno. Vecie savienojumi neizdodas, un lietojumprogrammas līmenī tiek veikti atkārtoti izsaukumi uz datu bāzi.

Serveris darbojas normālā režīmā, radās kļūme DBVS līmenī

Algoritms ir līdzīgs iepriekšējam gadījumam: topoloģijas atjaunināšana un atkopšanas procesa sākšana. Tā kā serveris ir pieejams, mēs veiksmīgi atbrīvojam VIP uz vecā galvenā, pārsūtām to uz jauno un nosūtām vairākus ARP pieprasījumus. Iespējamā vecā meistara atgriešana nedrīkst ietekmēt pārbūvēto klasteru un lietojumprogrammas darbību.

Citas problēmas

Kopiju vai starpposma meistaru neveiksmes neved automātiskām darbībām un nepieciešama manuāla iejaukšanās.

Virtuālā tīkla saskarne vienmēr tiek pievienota īslaicīgi, tas ir, pēc servera atsāknēšanas VIP netiek automātiski piešķirts. Katrs datu bāzes gadījums pēc noklusējuma sākas tikai lasīšanas režīmā, orķestrētājs automātiski pārslēdz jauno galveno, lai rakstītu un mēģina instalēt read only par vecmeistaru. Šo darbību mērķis ir samazināt iespējamību split brain.

Atkopšanas procesa laikā var rasties problēmas, par kurām papildus standarta uzraudzības rīkiem ir jāinformē arī orķestra lietotāja saskarne. Mēs esam paplašinājuši REST API, pievienojot šo funkciju (PR pašlaik tiek pārskatīts).

HA risinājuma vispārējā diagramma ir parādīta zemāk.

Jauna meistara izvēle

Orķestris ir pietiekami gudrs un cenšas izvēlēties vispiemērotākā kopija kā jauns meistars pēc šādiem kritērijiem:

• replika atpaliek no meistara;
• Master un replikas MySQL versija;
• replikācijas veids (RBR, SBR vai jaukts);
• atrašanās vieta tajā pašā vai dažādos datu centros;
• pieejamība errant GTID — transakcijas, kas tika veiktas reprodukcijā un neatrodas galvenajā ierīcē;
• tiek ņemti vērā arī pielāgotie atlases noteikumi.

Ne katrs signāls ir ideāls meistara kandidāts. Piemēram, reprodukciju var izmantot datu dublēšanai, vai arī serverim ir vājāka aparatūras konfigurācija. Orķestris atbalsta manuāli noteikumi, ar kuriem jūs varat pielāgot kandidātu atlases preferences no vispiemērotākās uz ignorētajām.

Reakcijas un atveseļošanās laiks

Negadījuma gadījumā ir svarīgi samazināt sistēmas dīkstāves laiku, tāpēc ņemsim vērā MySQL parametrus, kas ietekmē klastera topoloģijas izveidi un atjaunināšanu, ko veicis orķestrētājs:

• slave_net_timeout — sekunžu skaits, kuru laikā replika gaida jaunus datus vai sirdsdarbības signālu, kas tiek saņemts no galvenā datora, pirms savienojums tiek atzīts par zaudētu un izveidots no jauna. Jo zemāka ir vērtība, jo ātrāk kopija var noteikt, ka saziņa ar meistaru ir pārtraukta. Mēs iestatījām šo vērtību uz 5 sekundēm.
• MASTER_CONNECT_RETRY — sekunžu skaits starp atkārtotas savienošanas mēģinājumiem. Tīkla problēmu gadījumā zema šī parametra vērtība ļaus ātri izveidot savienojumu un neļaus sākt klastera atkopšanas procesu. Ieteicamā vērtība ir 1 sekunde.
• MASTER_RETRY_COUNT — maksimālais atkārtotas savienošanas mēģinājumu skaits.
• MASTER_HEARTBEAT_PERIOD — intervāls sekundēs, pēc kura kapteinis nosūta sirdsdarbības signālu. Noklusējuma vērtība ir puse no vērtības slave_net_timeout.

Orķestra iespējas:

• DelayMasterPromotionIfSQLThreadNotUpToDate - ja vienāds true, tad galvenā loma kandidāta replikā netiks lietota, kamēr replikas SQL pavediens nebūs pabeidzis visas neizmantotās transakcijas no pārraides žurnāla. Mēs izmantojam šo opciju, lai nezaudētu darījumus, kad visas kandidātu kopijas atpaliek.
• InstancePollSeconds — topoloģijas veidošanas un atjaunināšanas biežums.
• RecoveryPollSeconds — topoloģijas analīzes biežums. Ja tiek atklāta problēma, tiek uzsākta topoloģijas atkopšana. Šis nemainīgs, vienāds ar 1 sekundi.

Katru klastera mezglu orķestrētājs aptaujā vienu reizi InstancePollSeconds sekundes Kad tiek konstatēta problēma, klastera stāvoklis tiek piespiests atjaunināts, un tad tiek pieņemts galīgais lēmums veikt atkopšanu. Eksperimentējot ar dažādiem datu bāzes un orķestratora parametriem, mēs varējām samazināt reakcijas un atkopšanas laiku līdz 30 sekundēm.

Testa stends

Mēs sākām testēt HA shēmu, izstrādājot lokālo testu stends un turpmāka ieviešana testa un ražošanas vidēs. Vietējais stends ir pilnībā automatizēts, pamatojoties uz Docker, un ļauj eksperimentēt ar orķestratora un tīkla konfigurāciju, mērogot kopu no 2-3 serveriem līdz vairākiem desmitiem un veikt vingrinājumus drošā vidē.

Vingrinājumu laikā mēs izvēlamies vienu no problēmu emulācijas metodēm: uzreiz nošaut meistaru, izmantojot kill -9, maigi pārtrauciet procesu un apturiet serveri (docker-compose stop), simulē tīkla problēmas, izmantojot iptables -j REJECT vai iptables -j DROP. Mēs sagaidām šādus rezultātus:

• orķestrētājs atklās problēmas ar meistaru un atjauninās topoloģiju ne vairāk kā 10 sekundēs;
• automātiski sāksies atkopšanas procedūra: mainīsies tīkla konfigurācija, galvenā loma tiks nodota kopijai, topoloģija tiks pārbūvēta;
• jaunais meistars kļūs rakstāms, dzīvās kopijas pārbūves procesā netiks zaudētas;
• datus sāks rakstīt jaunajam meistaram un replicēt;
• Kopējais atkopšanas laiks būs ne vairāk kā 30 sekundes.

Kā zināms, sistēma testēšanas un ražošanas vidēs var darboties atšķirīgi dažādu aparatūras un tīkla konfigurāciju, sintētiskās un reālās slodzes atšķirību dēļ utt. Tāpēc mēs periodiski veicam vingrinājumus reālos apstākļos, pārbaudot, kā sistēma uzvedas, ja tiek zaudēta tīkla savienojamība vai tās atsevišķas daļas ir degradētas. Nākotnē vēlamies izveidot pilnīgi identisku infrastruktūru abām vidēm un automatizēt tās testēšanu.

Atzinumi

Galvenā krātuves sistēmas mezgla veselība ir viens no galvenajiem SRE un operāciju komandas uzdevumiem. Orķestratora un HA risinājuma ieviešana, pamatojoties uz VIP, ļāva mums sasniegt šādus rezultātus:

• uzticama datu bāzes klastera topoloģijas problēmu noteikšana;
• automātiska un ātra reakcija uz ar meistaru saistītiem incidentiem, samazinot sistēmas dīkstāves laiku.

Tomēr risinājumam ir savi ierobežojumi un trūkumi:

• lai mērogotu HA shēmu vairākiem datu centriem, starp tiem būs nepieciešams viens L2 tīkls;
• Pirms VIP piešķiršanas jaunajam galvenajam, mums tas ir jāatbrīvo vecajā. Process ir secīgs, kas palielina atveseļošanās laiku;
• VIP atbrīvošanai nepieciešama SSH piekļuve serverim vai jebkura cita attālo procedūru izsaukšanas metode. Tā kā serverī vai datu bāzē ir problēmas, kas izraisīja atkopšanas procesu, mēs nevaram būt pārliecināti, ka VIP noņemšana tiks veiksmīgi pabeigta. Un tas var izraisīt divu serveru parādīšanos ar vienādu virtuālo IP adresi un problēmu split brain.

Izvairīties split brain, varat izmantot metodi STONITS (“Shoot The Other Node In The Head”), kas pilnībā izolē vai atspējo problēmas mezglu. Ir arī citi veidi, kā ieviest klastera augstu pieejamību: VIP un DNS kombinācija, pakalpojumu atklāšanas un starpniekservera pakalpojumi, sinhronā replikācija un citas metodes, kurām ir savi trūkumi un priekšrocības.

Es runāju par mūsu pieeju MySQL kļūmjpārlēces klastera izveidei. Tas ir viegli īstenojams un nodrošina pieņemamu uzticamības līmeni pašreizējos apstākļos. Attīstoties visai sistēmai kopumā un jo īpaši infrastruktūrai, šī pieeja neapšaubāmi attīstīsies.

Avots: www.habr.com