Katastrofu noturīgs mākonis: kā tas darbojas

Čau Habr!

Pēc Jaungada brīvdienām mēs atsākām katastrofu drošu mākoni, pamatojoties uz divām vietnēm. Šodien mēs jums pastāstīsim, kā tas darbojas, un parādīsim, kas notiek ar klientu virtuālajām mašīnām, kad atsevišķi klastera elementi neizdodas un visa vietne avarē (spoileris — ar tiem viss ir kārtībā).

Katastrofu izturīga mākoņu krātuves sistēma OST vietnē.

Kas ir iekšā

Zem pārsega klasterim ir Cisco UCS serveri ar VMware ESXi hipervizoru, divas INFINIDAT InfiniBox F2240 uzglabāšanas sistēmas, Cisco Nexus tīkla aprīkojums, kā arī Brocade SAN slēdži. Klasteris ir sadalīts divās vietās - OST un NORD, t.i., katram datu centram ir identisks aprīkojuma komplekts. Patiesībā tas padara to izturīgu pret katastrofām.

Vienas vietnes ietvaros tiek dublēti arī galvenie elementi (saimnieki, SAN slēdži, tīkls).
Abas vietas ir savienotas ar īpašiem optiskās šķiedras maršrutiem, kas arī ir rezervēti.

Daži vārdi par uzglabāšanas sistēmām. Mēs izveidojām pirmo katastrofu droša mākoņa versiju vietnē NetApp. Šeit mēs izvēlējāmies INFINIDAT, un lūk, kāpēc:

• Aktīva-aktīva replikācijas opcija. Tas ļauj virtuālajai mašīnai turpināt darboties pat tad, ja kāda no uzglabāšanas sistēmām pilnībā neizdodas. Es jums pastāstīšu vairāk par replikāciju vēlāk.
• Trīs disku kontrolleri, lai palielinātu sistēmas kļūdu toleranci. Parasti ir divi.
• Gatavs risinājums. Mēs saņēmām iepriekš saliktu plauktu, kas tikai jāpievieno tīklam un jākonfigurē.
• Uzmanīgs tehniskais atbalsts. INFINIDAT inženieri pastāvīgi analizē krātuves sistēmas žurnālus un notikumus, instalē jaunas programmaparatūras versijas un palīdz konfigurēt.

Šeit ir daži fotoattēli no izpakošanas:

Kā tas darbojas

Mākonis jau sevī ir izturīgs pret kļūmēm. Tas aizsargā klientu no atsevišķām aparatūras un programmatūras kļūmēm. Izturība pret katastrofām palīdzēs aizsargāties pret masīvām kļūmēm vienā vietnē: piemēram, krātuves sistēmas (vai SDS klastera, kas notiek diezgan bieži 🙂) kļūmēm, masveida kļūdām krātuves tīklā utt. Nu, un pats galvenais: šāds mākonis glābj, kad visa vietne kļūst nepieejama ugunsgrēka, aptumšošanas, raidera pārņemšanas vai citplanētiešu nolaišanās dēļ.

Visos šajos gadījumos klienta virtuālās mašīnas turpina darboties, un lūk, kāpēc.

Klastera dizains ir izstrādāts tā, lai jebkurš ESXi resursdators ar klienta virtuālajām mašīnām varētu piekļūt jebkurai no divām krātuves sistēmām. Ja OST vietnes krātuves sistēma neizdodas, virtuālās mašīnas turpinās darboties: resursdatori, kuros tie darbojas, piekļūs NORD datu uzglabāšanas sistēmai.

Šādi izskatās savienojuma shēma klasterī.

Tas ir iespējams tāpēc, ka starp abu vietņu SAN slēdžiem ir konfigurēta Inter-Switch saite: Fabric A OST SAN slēdzis ir savienots ar Fabric A NORD SAN slēdzi un līdzīgi Fabric B SAN slēdžiem.

Lai visām šīm SAN rūpnīcu sarežģītībām būtu jēga, Active-Active replikācija ir konfigurēta starp abām uzglabāšanas sistēmām: informācija gandrīz vienlaikus tiek ierakstīta lokālajā un attālajā krātuves sistēmā, RPO = 0. Izrādās, ka oriģinālie dati tiek glabāti vienā uzglabāšanas sistēmā, bet tā kopija tiek glabāta otrā. Dati tiek replicēti krātuves apjomu līmenī, un VM dati (tā diski, konfigurācijas fails, mijmaiņas fails utt.) tiek glabāti tajos.

ESXi resursdators redz primāro sējumu un tā repliku kā vienu diska ierīci (atmiņas ierīci). Ir 24 ceļi no ESXi resursdatora uz katru diska ierīci:

12 ceļi savieno to ar vietējo krātuves sistēmu (optimālie ceļi), bet atlikušie 12 ceļi savieno ar attālo krātuves sistēmu (neoptimālie ceļi). Parastā situācijā ESXi piekļūst datiem vietējā krātuves sistēmā, izmantojot “optimālos” ceļus. Ja šī krātuves sistēma neizdodas, ESXi zaudē optimālos ceļus un pārslēdzas uz “neoptimālajiem”. Tā tas izskatās diagrammā.

Katastrofu droša klastera shēma.

Visi klientu tīkli ir savienoti ar abām vietnēm, izmantojot kopēju tīkla struktūru. Katrā vietnē darbojas Provider Edge (PE), kurā tiek pārtraukti klienta tīkli. PE ir apvienoti kopējā klasterī. Ja PE neizdodas vienā vietnē, visa trafika tiek novirzīta uz otro vietni. Pateicoties tam, virtuālās mašīnas no vietnes, kas palikušas bez PE, klientam paliek pieejamas tīklā.

Tagad redzēsim, kas notiks ar klientu virtuālajām mašīnām dažādu kļūmju laikā. Sāksim ar vieglākajām iespējām un beigsim ar visnopietnāko - visas vietnes neveiksmi. Piemēros galvenā platforma būs OST, bet rezerves platforma ar datu replikām būs NORD.

Kas notiek ar klienta virtuālo mašīnu, ja...

Replicēšanas saite neizdodas. Replikācija starp abu vietņu uzglabāšanas sistēmām apstājas.
ESXi darbosies tikai ar vietējām diska ierīcēm (izmantojot optimālos ceļus).
Virtuālās mašīnas turpina strādāt.

ISL (Inter-Switch Link) pārtrūkst. Lieta ir maz ticama. Ja vien kāds traks ekskavators neizrok vairākus optiskos maršrutus vienlaikus, kuri kursē pa neatkarīgiem maršrutiem un tiek atvesti uz objektiem caur dažādiem ievadiem. Bet vienalga. Šajā gadījumā ESXi saimniekdatori zaudē pusi ceļu un var piekļūt tikai savām vietējām krātuves sistēmām. Replikas tiek savāktas, taču saimnieki tām nevarēs piekļūt.

Virtuālās mašīnas darbojas normāli.

SAN slēdzis neizdodas vienā no vietnēm. ESXi saimniekdatori zaudē dažus ceļus uz krātuves sistēmu. Šajā gadījumā saimniekdatori tajā vietā, kurā pārslēgšanās neizdevās, darbosies tikai ar vienu no saviem HBA.

Virtuālās mašīnas turpina darboties kā parasti.

Visi SAN slēdži vienā no vietnēm neizdodas. Pieņemsim, ka šāda katastrofa notika OST vietnē. Šādā gadījumā ESXi saimniekdatori šajā vietnē zaudēs visus ceļus uz savām diska ierīcēm. Sāk darboties standarta VMware vSphere HA mehānisms: tas restartēs visas NORD vietnes OST virtuālās mašīnas maksimāli 140 sekunžu laikā.

Virtuālās mašīnas, kas darbojas uz NORD vietņu saimniekiem, darbojas normāli.

ESXi saimniekdators neizdodas vienā vietnē. Šeit vSphere HA mehānisms atkal darbojas: virtuālās mašīnas no neveiksmīgā resursdatora tiek restartētas citos saimniekdatoros - tajā pašā vai attālajā vietnē. Virtuālās mašīnas restartēšanas laiks ir līdz 1 minūtei.

Ja visi ESXi saimniekdatori OST vietnē neizdodas, nav iespēju: virtuālās mašīnas tiek restartētas citā. Restartēšanas laiks ir tāds pats.

Uzglabāšanas sistēma nedarbojas vienā vietā. Pieņemsim, ka uzglabāšanas sistēma OST vietnē neizdodas. Pēc tam OST vietnes ESXi saimnieki pāriet uz darbu ar krātuves replikām NORD. Kad neveiksmīgā krātuves sistēma atgriezīsies darbā, notiks piespiedu replikācija un ESXi OST resursdatori atkal sāks piekļūt vietējai krātuves sistēmai.

Virtuālās mašīnas visu šo laiku ir strādājušas normāli.

Viena no vietnēm nedarbojas. Šajā gadījumā visas virtuālās mašīnas tiks restartētas dublējuma vietnē, izmantojot vSphere HA mehānismu. Virtuālās mašīnas restartēšanas laiks ir 140 sekundes. Šajā gadījumā visi virtuālās mašīnas tīkla iestatījumi tiks saglabāti, un tie būs pieejami klientam tīklā.

Lai nodrošinātu, ka iekārtu restartēšana dublēšanas vietā norit nevainojami, katra vietne ir tikai puse pilna. Otrā puse ir rezerve gadījumam, ja visas virtuālās mašīnas pāriet no otrās, bojātās vietnes.

Katastrofu izturīgs mākonis, kura pamatā ir divi datu centri, aizsargā pret šādām kļūmēm.

Šis prieks nav lēts, jo papildus galvenajiem resursiem ir nepieciešama rezerve otrajā vietā. Līdz ar to tādā mākonī tiek ievietoti biznesam kritiskie pakalpojumi, kuru ilgstoša dīkstāve rada lielus finansiālus un reputācijas zaudējumus vai arī informācijas sistēmai tiek piemērotas regulatoru vai uzņēmuma iekšējo normatīvo aktu prasības par noturību pret katastrofām.

Avoti:

1. www.infinidat.com/sites/default/files/resource-pdfs/DS-INFBOX-190331-US_0.pdf
2. support.infinidat.com/hc/en-us/articles/207057109-InfiniBox-best-practices-guides

Avots: www.habr.com