嘿哈布尔!
元旦假期过后,我们重新上线了基于两个站点的容灾云。 今天,我们将告诉您它是如何工作的,并展示当集群的各个元素发生故障并且整个站点崩溃时,客户端虚拟机会发生什么情况(剧透 - 它们一切都很好)。
OST站点的容灾云存储系统。
什么在里面
在后台,该集群拥有配备 VMware ESXi 管理程序的 Cisco UCS 服务器、两个 INFINIDAT InfiniBox F2240 存储系统、Cisco Nexus 网络设备以及 Brocade SAN 交换机。 该集群分为两个站点——OST和NORD,即每个数据中心都有一套相同的设备。 事实上,这就是它能够抵御灾难的原因。
在一个站点内,主要元素也是重复的(主机、SAN 交换机、网络)。
这两个站点通过同样保留的专用光纤线路连接。
关于存储系统的几句话。 我们在 NetApp 上构建了第一个版本的防灾云。 在这里我们选择了 INFINIDAT,原因如下:
- 主动-主动复制选项。 即使其中一个存储系统完全故障,它也允许虚拟机保持运行。 稍后我会告诉你更多关于复制的信息。
- 三个磁盘控制器可提高系统容错能力。 通常有两个。
- 准备好的解决方案。 我们收到了一个预组装的机架,只需连接到网络并进行配置即可。
- 细心的技术支持。 INFINIDAT 工程师不断分析存储系统日志和事件、安装新固件版本并帮助进行配置。
以下是一些开箱照片:
它是如何工作
云本身已经具有容错能力。 它可以保护客户端免受单一硬件和软件故障的影响。 抗灾能力将有助于防止一个站点内发生大规模故障:例如,存储系统(或 SDS 集群,这种情况经常发生)故障、存储网络中的大规模错误等。 嗯,最重要的是:当整个站点由于火灾、停电、袭击者接管或外星人登陆而无法访问时,这样的云可以节省时间。
在所有这些情况下,客户端虚拟机都会继续工作,原因如下。
集群设计旨在使任何具有客户端虚拟机的 ESXi 主机都可以访问两个存储系统中的任何一个。 如果OST站点上的存储系统出现故障,虚拟机将继续工作:运行虚拟机的主机将访问NORD上的存储系统以获取数据。
这就是集群中的连接图的样子。
这是可能的,因为在两个站点的 SAN 结构之间配置了交换机间链路:结构 A OST SAN 交换机连接到结构 A NORD SAN 交换机,结构 B SAN 交换机也是如此。
那么,为了使 SAN 工厂的所有这些复杂性有意义,在两个存储系统之间配置了主动-主动复制:信息几乎同时写入本地和远程存储系统,RPO = 0。 事实证明,原始数据存储在一个存储系统上,其副本存储在另一存储系统上。 数据在存储卷级别进行复制,VM 数据(其磁盘、配置文件、交换文件等)存储在存储卷上。
ESXi 主机将主卷及其副本视为一个磁盘设备(存储设备)。 从 ESXi 主机到每个磁盘设备有 24 条路径:
12条路径连接到本地存储系统(最优路径),其余12条路径连接到远程存储系统(非最优路径)。 正常情况下,ESXi 使用“最佳”路径访问本地存储系统上的数据。 当该存储系统发生故障时,ESXi 会丢失最佳路径并切换到“非最佳”路径。 这就是图表上的样子。
防灾集群方案。
所有客户端网络都通过公共网络结构连接到两个站点。 每个站点都运行一个提供商边缘 (PE),客户端的网络在其上终止。 PE 被联合到一个公共集群中。 如果一个站点的 PE 发生故障,所有流量将重定向到第二个站点。 因此,客户端仍可以通过网络访问来自没有 PE 的站点的虚拟机。
现在让我们看看在各种故障期间客户端虚拟机会发生什么情况。 让我们从最轻的选项开始,以最严重的选项结束——整个站点的故障。 在示例中,主平台将是 OST,带有数据副本的备份平台将是 NORD。
如果...,客户端虚拟机会发生什么情况?
复制链接失败。 两个站点的存储系统之间的复制停止。
ESXi 仅适用于本地磁盘设备(通过最佳路径)。
虚拟机继续工作。
ISL(交换机间链路)中断。 这种情况不太可能发生。 除非某个疯狂的挖掘机一次挖出几条光路,这些光路运行在独立的路线上,通过不同的输入带到站点。 但不管怎么说。 此时,ESXi主机丢失一半路径,只能访问本地存储系统。 副本被收集,但主机将无法访问它们。
虚拟机运行正常。
其中一个站点上的 SAN 交换机发生故障。 ESXi 主机丢失一些到存储系统的路径。 在这种情况下,交换机发生故障的站点上的主机将仅通过其 HBA 之一工作。
虚拟机继续正常运行。
其中一个站点上的所有 SAN 交换机均出现故障。 假设这样的灾难发生在 OST 网站上。 在这种情况下,该站点上的 ESXi 主机将丢失其磁盘设备的所有路径。 标准的VMware vSphere HA机制开始发挥作用:它将在最多140秒内重新启动NORD中OST站点的所有虚拟机。
NORD 站点主机上运行的虚拟机运行正常。
ESXi 主机在一个站点上发生故障。 此时,vSphere HA 机制再次发挥作用:发生故障的主机中的虚拟机将在同一或远程站点上的其他主机上重新启动。 虚拟机重启时间最长为1分钟。
如果 OST 站点上的所有 ESXi 主机都出现故障,则没有其他选择:在另一台主机上重新启动虚拟机。 重启时间是一样的。
存储系统某一站点出现故障。 假设 OST 站点的存储系统发生故障。 然后,OST 站点的 ESXi 主机切换为使用 NORD 中的存储副本。 故障存储系统恢复服务后,将发生强制复制,ESXi OST 主机将再次开始访问本地存储系统。
虚拟机一直运行正常。
其中一个站点出现故障。 在这种情况下,所有虚拟机将通过 vSphere HA 机制在备份站点上重新启动。 VM重启时间为140秒。 在这种情况下,虚拟机的所有网络设置都将被保存,并且客户端仍然可以通过网络访问它。
为保证备份站点机器重启顺利,每个站点仅半满。 后半部分是备用的,以防所有虚拟机从第二个损坏的站点移动。
基于两个数据中心的抗灾云可以防止此类故障。
这种乐趣并不便宜,因为除了主要资源之外,第二个站点还需要储备。 因此,关键业务服务被放置在这样的云中,其长期停机会导致巨大的财务和声誉损失,或者如果信息系统受到监管机构或公司内部法规的灾难恢复要求。
来源:
来源: habr.com