🥇Vai mums ir "jādzēš" serveri, ja datu centra dūmu tests "aizdegās"?

Kā jūs justos, ja kādā jaukā vasaras dienā datu centrs ar jūsu aprīkojumu izskatītos šādi?

Sveiki visiem! Mani sauc Dmitrijs Samsonovs, es strādāju par vadošo sistēmas administratoru uzņēmumā "Klasesbiedri" Fotoattēlā redzams viens no četriem datu centriem, kurā ir uzstādīts mūsu projektu apkalpojošais aprīkojums. Aiz šīm sienām atrodas aptuveni 4 tūkstoši iekārtu: serveri, datu uzglabāšanas sistēmas, tīkla iekārtas utt. - gandrīz trešdaļa no visa mūsu aprīkojuma.
Lielākā daļa serveru ir Linux. Operētājsistēmā Windows (MS SQL) ir arī vairāki desmiti serveru - mūsu mantojums, no kura mēs daudzus gadus esam sistemātiski atmetuši.
Tāpēc 5. gada 2019. jūnijā plkst. 14:35 inženieri vienā no mūsu datu centriem ziņoja par ugunsgrēka trauksmi.

Noliegums

14:45. Nelieli dūmu gadījumi datu centros ir biežāk sastopami, nekā jūs domājat. Rādītāji iekštelpās hallēs bija normāli, tāpēc mūsu pirmā reakcija bija samērā mierīga: ieviesa aizliegumu strādāt ar ražošanu, tas ir, jebkādām konfigurācijas izmaiņām, jaunu versiju izlaišanu utt., izņemot darbus, kas saistīti ar kaut kā labošanu.

Dusmas

Vai esat kādreiz mēģinājis no ugunsdzēsējiem noskaidrot, kur tieši uz jumta izcēlies ugunsgrēks, vai pats uzkāpt uz degoša jumta, lai novērtētu situāciju? Kāda būs uzticēšanās pakāpe informācijai, kas saņemta caur pieciem cilvēkiem?

14: 50. Saņemta informācija, ka ugunsgrēks tuvojas dzesēšanas sistēmai. Bet vai tas nāks? Dežūrējošais sistēmas administrators noņem ārējo trafiku no šī datu centra priekšējām daļām.

Šobrīd visu mūsu pakalpojumu frontes ir dublētas trīs datu centros, tiek izmantota balansēšana DNS līmenī, kas ļauj noņemt viena datu centra adreses no DNS, tādējādi pasargājot lietotājus no iespējamām problēmām ar piekļuvi pakalpojumiem. . Ja datu centrā jau ir radušās problēmas, tas automātiski pamet rotāciju. Vairāk varat lasīt šeit: Slodzes līdzsvarošana un kļūdu tolerance Odnoklassniki.

Pagaidām ugunsgrēks mūs nekādi nav skāris – ne lietotāji, ne tehnika nav cietuši. Vai tas ir nelaimes gadījums? Dokumenta pirmajā sadaļā “Nelaimes gadījumu rīcības plāns” ir definēts jēdziens “Avārija”, un sadaļa beidzas šādi:
«Ja rodas šaubas, vai nelaime ir vai nav, tad tā ir nelaime!»

14:53. Tiek iecelts ārkārtas situāciju koordinators.

Koordinators ir persona, kas kontrolē komunikāciju starp visiem dalībniekiem, novērtē negadījuma mērogu, izmanto ārkārtas rīcības plānu, piesaista nepieciešamo personālu, uzrauga remontdarbu pabeigšanu un, pats galvenais, deleģē jebkurus uzdevumus. Citiem vārdiem sakot, šī ir persona, kas pārvalda visu ārkārtas reaģēšanas procesu.

Tirdzniecība

15:01. Mēs sākam atspējot serverus, kas nav saistīti ar ražošanu.
15:03. Mēs pareizi izslēdzam visus rezervētos pakalpojumus.
Tas ietver ne tikai frontes (kurām šajā brīdī lietotāji vairs nepiekļūst) un to palīgpakalpojumus (biznesa loģiku, kešatmiņas utt.), bet arī dažādas datu bāzes ar replikācijas koeficientu 2 vai vairāk (Cassandra, bināro datu glabāšana, aukstā noliktava, NewSQL utt.).
15: 06. Saņemta informācija, ka ugunsgrēks draud vienā no datu centra zālēm. Mums nav aprīkojuma šajā telpā, bet fakts, ka uguns var izplatīties no jumta uz hallēm, ļoti maina priekšstatu par notiekošo.
(Vēlāk izrādījās, ka zālei fizisku apdraudējumu nebija, jo tā bija hermētiski noslēgta no jumta. Draudi bija tikai šīs zāles dzesēšanas sistēmai.)
15:07. Mēs pieļaujam komandu izpildi serveros paātrinātā režīmā bez papildu pārbaudēm (bez mūsu iecienītākā kalkulatora).
15:08. Temperatūra zālēs ir normas robežās.
15: 12. Tika fiksēta temperatūras paaugstināšanās zālēs.
15:13. Vairāk nekā puse datu centra serveru ir izslēgti. Turpināsim.
15:16. Tika pieņemts lēmums izslēgt visu aprīkojumu.
15:21. Mēs sākam izslēgt bezvalsts serveru barošanu, pareizi neizslēdzot lietojumprogrammu un operētājsistēmu.
15:23. Tiek izdalīta par MS SQL atbildīgo cilvēku grupa (to ir maz, pakalpojumu atkarība no tiem nav liela, taču funkcionalitātes atjaunošanas procedūra aizņem ilgāku laiku un ir sarežģītāka nekā, piemēram, Cassandra).

Депрессия

15: 25. Saņemta informācija par elektrības atslēgšanu četrās zālēs no 16 (Nr.6, 7, 8, 9). Mūsu tehnika atrodas 7. un 8. hallē. Par mūsu divām hallēm (Nr. 1 un 3) informācijas nav.
Parasti ugunsgrēku laikā strāvas padeve tiek atslēgta uzreiz, taču šajā gadījumā, pateicoties saskaņotam ugunsdzēsēju un datu centra tehniskā personāla darbam, tā netika atslēgta visur un ne uzreiz, bet pēc vajadzības.
(Vēlāk atklājās, ka 8. un 9. hallē strāva nebija atslēgta.)
15:28. Mēs sākam izvietot MS SQL datu bāzes no dublējumiem citos datu centros.
Cik ilgu laiku tas aizņems? Vai ir pietiekami daudz tīkla jaudas visam maršrutam?
15: 37. Tika reģistrēta dažu tīkla daļu izslēgšana.
Vadība un ražošanas tīkls ir fiziski izolēti viens no otra. Ja ir pieejams ražošanas tīkls, varat doties uz serveri, apturēt lietojumprogrammu un izslēgt OS. Ja tas nav pieejams, varat pieteikties, izmantojot IPMI, apturēt lietojumprogrammu un izslēgt OS. Ja nav neviena no tīkliem, tad neko nevar darīt. "Paldies, Cap!", jūs domājat.
"Un vispār ir daudz satricinājumu," jūs varētu arī domāt.
Lieta tāda, ka serveri pat bez ugunsgrēka rada milzīgu siltuma daudzumu. Precīzāk sakot, kad ir dzesēšana, tie rada siltumu, un, kad nav dzesēšanas, tie rada ellišķīgu pērli, kas labākajā gadījumā izkausēs daļu aprīkojuma un izslēgs citu daļu, bet sliktākajā... izraisīs ugunsgrēks zālē, kas gandrīz garantēti visu iznīcinās.

15:39. Mēs novēršam problēmas ar conf datu bāzi.

Conf datu bāze ir tāda paša nosaukuma pakalpojuma aizmugursistēma, ko izmanto visas ražošanas lietojumprogrammas, lai ātri mainītu iestatījumus. Bez šīs bāzes mēs nevaram kontrolēt portāla darbību, bet pats portāls var darboties.

15:41. Temperatūras sensori pamattīkla iekārtās reģistrē rādījumus tuvu maksimālajam pieļaujamajam. Šī ir kaste, kas aizņem visu plauktu un nodrošina visu tīklu darbību datu centrā.

15:42. Problēmu izsekotājs un wiki nav pieejami. Pārslēdzieties uz gaidīšanas režīmu.
Tā nav ražošana, taču negadījuma gadījumā jebkuras zināšanu bāzes pieejamība var būt kritiska.
15:50. Viena no uzraudzības sistēmām ir izslēgta.
Tās ir vairākas, un tās ir atbildīgas par dažādiem pakalpojumu aspektiem. Daži no tiem ir konfigurēti, lai darbotos autonomi katrā datu centrā (tas ir, tie uzrauga tikai savu datu centru), citi sastāv no sadalītiem komponentiem, kas pārredzami pārdzīvo jebkura datu centra zaudēšanu.
Šajā gadījumā tas pārstāja darboties biznesa loģikas indikatoru anomāliju noteikšanas sistēma, kas darbojas galvenā gaidīšanas režīmā. Pārslēgts gaidīšanas režīmā.

Pieņemšana

15:51. Visi serveri, izņemot MS SQL, tika izslēgti, izmantojot IPMI, neizslēdzoties pareizi.
Vai esat gatavs masveida serveru pārvaldībai, izmantojot IPMI, ja nepieciešams?

Pats brīdis, kad šajā posmā tiek pabeigta iekārtu glābšana datu centrā. Viss, ko varēja izdarīt, ir izdarīts. Daži kolēģi var atpūsties.
16: 13. Saņemta informācija, ka uz jumta plīsušas freona caurules no kondicionieriem - tas aizkavēs datu centra palaišanu pēc ugunsgrēka likvidēšanas.
16:19. Saskaņā ar datiem, kas saņemti no datu centra tehniskajiem darbiniekiem, temperatūras paaugstināšanās zālēs ir apstājusies.
17:10. Conf datu bāze ir atjaunota. Tagad mēs varam mainīt lietojumprogrammas iestatījumus.
Kāpēc tas ir tik svarīgi, ja viss ir izturīgs pret defektiem un darbojas pat bez viena datu centra?
Pirmkārt, ne viss ir izturīgs pret kļūmēm. Ir dažādi sekundārie pakalpojumi, kas vēl nav pietiekami labi pārdzīvojuši datu centra atteici, un ir datu bāzes galvenā gaidīšanas režīmā. Iespēja pārvaldīt iestatījumus ļauj darīt visu nepieciešamo, lai samazinātu negadījuma seku ietekmi uz lietotājiem pat sarežģītos apstākļos.
Otrkārt, kļuva skaidrs, ka tuvāko stundu laikā datu centra darbība pilnībā netiks atjaunota, tāpēc bija nepieciešams veikt pasākumus, lai ilgstoša repliku nepieejamība neradītu papildu problēmas, piemēram, pilnus diskus. atlikušie datu centri.
17:29. Picas laiks! Mēs nodarbinām cilvēkus, nevis robotus.

Atjaunošana

18:02. Hallē Nr.8 (mūsējā), 9, 10 un 11 temperatūra ir nostabilizējusies. Vienā no tiem, kas paliek bezsaistē (Nr. 7), atrodas mūsu aprīkojums, un temperatūra tur turpina celties.
18:31. Viņi deva atļauju iedarbināt iekārtas 1. un 3. hallē – šīs zāles ugunsgrēks neskāra.

Šobrīd serveru palaišana notiek hallēs Nr.1, 3, 8, sākot ar kritiskākajām. Tiek pārbaudīta visu darbojošos pakalpojumu pareiza darbība. Joprojām ir problēmas ar halli Nr.7.

18:44. Datu centra tehniskie darbinieki atklāja, ka telpā Nr.7 (kur atrodas tikai mūsu tehnika) daudzi serveri nav izslēgti. Saskaņā ar mūsu datiem tur tiešsaistē paliek 26 serveri. Pēc otrās pārbaudes mēs atrodam 58 serverus.
20:18. Datu centra tehniķi pūš gaisu cauri telpai bez gaisa kondicionēšanas, izmantojot mobilos kanālus, kas iet cauri gaiteņiem.
23:08. Pirmais admins tika nosūtīts mājās. Kādam ir jāguļ naktī, lai rīt varētu turpināt darbu. Tālāk mēs izlaidīsim vēl dažus administratorus un izstrādātājus.
02:56. Mēs palaidām visu, ko varēja palaist. Mēs daudz pārbaudām visus pakalpojumus, izmantojot automātiskos testus.

03:02. Pēdējā, 7.zālē ir atjaunota gaisa kondicionēšana.
03:36. Mēs ieviesām datu centra frontes DNS rotācijā. No šī brīža sāk ienākt lietotāju trafiks.
Lielāko daļu administratīvās komandas sūtām mājās. Bet mēs atstājam dažus cilvēkus.

Mazi FAQ:
J: Kas notika no 18:31 līdz 02:56?
A: Pēc “Katastrofu rīcības plāna” mēs uzsākam visus pakalpojumus, sākot ar svarīgākajiem. Šajā gadījumā koordinators čatā pakalpojumu izsniedz bezmaksas administratoram, kurš pārbauda, vai OS un lietojumprogramma ir sākusies, vai nav kļūdu un vai rādītāji ir normāli. Kad palaišana ir pabeigta, viņš ziņo tērzēšanai, ka ir brīvs, un saņem jaunu pakalpojumu no koordinatora.
Procesu vēl vairāk palēnina aparatūras kļūme. Pat ja OS apturēšana un serveru izslēgšana noritēja pareizi, daži serveri neatgriežas pēkšņas disku, atmiņas un šasijas kļūmes dēļ. Kad jauda tiek zaudēta, atteices līmenis palielinās.
J: Kāpēc jūs nevarat palaist visu uzreiz un pēc tam labot to, kas parādās uzraudzībā?
A: Viss ir jādara pakāpeniski, jo starp pakalpojumiem pastāv atkarības. Un viss ir jāpārbauda uzreiz, negaidot uzraudzību - jo labāk ar problēmām tikt galā uzreiz, negaidot, kad tās saasināsies.

7:40. Pēdējais admins (koordinators) aizgāja gulēt. Pirmās dienas darbi ir paveikti.
8:09. Pirmie izstrādātāji, datu centru inženieri un administratori (ieskaitot jauno koordinatoru) sāka restaurācijas darbus.
09:37. Sākām celt zāli Nr.7 (pēdējo).
Vienlaikus turpinām atjaunot citās telpās neizlaboto: disku/atmiņas/serveru nomaiņu, visu, kas “deg” uzraudzībā, pārslēgt lomas atpakaļ galvenās gaidstāves shēmās un citus sīkumus, kas ir tomēr diezgan daudz.
17:08. Atļaujam visu parasto darbu ar ražošanu.
21:45. Otrās dienas darbs ir pabeigts.
09:45. Šodien ir piektdiena. Uzraudzībā joprojām ir diezgan daudz nelielu problēmu. Nedēļas nogale ir priekšā, visi vēlas atpūsties. Mēs turpinām masveidā remontēt visu, ko varam. Regulāri admin uzdevumi, kurus varēja atlikt, tika atlikti. Koordinators ir jauns.
15:40. Pēkšņi CITĀ datu centrā tika restartēta puse no Core tīkla aprīkojuma steka. Frontes tika izņemtas no rotācijas, lai samazinātu riskus. Lietotājiem nav nekādas ietekmes. Vēlāk izrādījās, ka tā bija bojāta šasija. Koordinators strādā pie divu avāriju novēršanas uzreiz.
17:17. Tīkla darbība citā datu centrā ir atjaunota, viss ir pārbaudīts. Datu centrs tiek nodots rotācijai.
18:29. Trešās dienas darbi un vispār restaurācija pēc avārijas ir pabeigta.

Pēcvārds

04.04.2013. gads 404 kļūdas dienā, "Klasesbiedriem" izdzīvoja lielākajā avārijā — trīs dienas portāls pilnībā vai daļēji nebija pieejams. Visā šajā laikā vairāk nekā 100 cilvēku no dažādām pilsētām, no dažādiem uzņēmumiem (vēlreiz liels paldies!), attālināti un tieši datu centros, manuāli un automātiski, remontēja tūkstošiem serveru.
Mēs esam izdarījuši secinājumus. Lai tas neatkārtotos, esam veikuši un turpinām veikt apjomīgus darbus līdz pat šai dienai.

Kādas ir galvenās atšķirības starp pašreizējo negadījumu un 404?

Mums ir “Nelaimes gadījumu rīcības plāns”. Reizi ceturksnī rīkojam mācības - izspēlējam ārkārtas situāciju, kas administratoru grupai (visiem pēc kārtas) jānovērš, izmantojot “Ārkārtas rīcības plānu”. Vadošie sistēmu administratori pārmaiņus pilda koordinatora lomu.
Reizi ceturksnī testa režīmā mēs izolējam datu centrus (visus pēc kārtas), izmantojot LAN un WAN tīklus, kas ļauj mums operatīvi noteikt vājās vietas.
Mazāk salauztu disku, jo esam pastiprinājuši standartus: mazāk darba stundu, stingrāki SMART sliekšņi,
Mēs pilnībā atteicāmies no BerkeleyDB — vecas un nestabilas datu bāzes, kuras atjaunošanai pēc servera restartēšanas bija nepieciešams daudz laika.
Mēs samazinājām serveru skaitu ar MS SQL un samazinājām atkarību no atlikušajiem.
Mums ir savs mākonis - viens mākonis, kur jau divus gadus aktīvi migrējam visus pakalpojumus. Mākonis ievērojami vienkāršo visu darba ciklu ar lietojumprogrammu, un negadījuma gadījumā tas nodrošina tādus unikālus rīkus kā:
- pareiza visu lietojumprogrammu apturēšana ar vienu klikšķi;
- vienkārša lietojumprogrammu migrācija no neveiksmīgiem serveriem;
- automātiska ranžēta (pakalpojumu prioritātes secībā) visa datu centra palaišana.

Šajā rakstā aprakstītais negadījums bija lielākais kopš 404. dienas. Protams, ne viss gāja gludi. Piemēram, ugunsgrēka bojāta datu centra nepieejamības laikā citā datu centrā vienā no serveriem sabojājās disks, tas ir, tikai viena no trim Cassandra klastera replikām palika pieejama, tāpēc 4,2% mobilo sakaru lietojumprogrammas lietotāji nevarēja pieteikties. Tajā pašā laikā jau pieslēgtie lietotāji turpināja strādāt. Kopumā negadījuma rezultātā tika konstatētas vairāk nekā 30 problēmas - no banālām kļūdām līdz nepilnībām pakalpojumu arhitektūrā.

Taču vissvarīgākā atšķirība starp pašreizējo negadījumu un 404. negadījumu ir tā, ka, kamēr mēs likvidējām ugunsgrēka sekas, lietotāji joprojām sūtīja īsziņas un veica videozvanus uz Tamtam, spēlēja spēles, klausījās mūziku, dāvināja viens otram dāvanas, skatījās video, seriālus un televīzijas kanālus ОК, un arī straumēts Labi tiešraidē.

Kā notiek jūsu nelaimes gadījumi?

Avots: www.habr.com

Vai ir jādzēš serveri, ja aizdegās datu centra dūmu tests?