Get best of the week

灾难性云:如何工作

哈Ha!

新年假期过后,我们重新启动了基于两个站点的抗灾云。今天,我们将告诉您它是如何工作的,并显示当单个群集元素发生故障并且整个站点崩溃时,客户端虚拟机会发生什么情况(破坏者-一切都很好)。


OST站点上的防灾云存储。

里面有什么


群集的下方是带有VMware ESXi虚拟机管理程序的Cisco UCS服务器,两个INFINIDAT InfiniBox F2240存储系统,Cisco Nexus网络设备以及Brocade SAN交换机。群集被分成两个站点-OST和NORD,即在每个数据中心中具有相同的一组设备。实际上,这使其成为灾难性的。

在一个平台内,主要元素(主机,SAN交换机,网卡)也被复制。
两个站点通过专用光纤路径(也保留)连接。

关于存储的几句话。我们在NetApp上构建的第一个抗灾云。在这里选择了INFINIDAT,原因如下:

  • 主动-主动复制选项。即使其中一个存储系统完全故障,它也可以使虚拟机保持运行状态。稍后,我将告诉您更多有关复制的信息。
  • 三个磁盘控制器可提高系统弹性。通常有两个。
  • 现成的解决方案。我们已经组装好了一个机架,只需将其连接到网络并进行配置即可。
  • 周到的技术支持。INFINIDAT工程师不断分析存储系统的日志和事件,在固件中安装新版本,并提供配置帮助。

这是一些打开包装后的照片:





它是如何工作的


云本身已经具有弹性。它可以保护客户端免受单个硬件和软件故障的影响。灾难性灾难将有助于防止同一站点内发生大规模故障:例如,存储系统(或SDS群集,经常发生:)故障,存储网络中的大规模错误等。好吧,最重要的是:当由于火灾,停电,入侵者捕获,外星人着陆而无法访问整个站点时,这样的云就会保存下来。

在所有这些情况下,客户端虚拟机将继续运行,这就是原因。

设计群集方案后,任何具有客户端虚拟机的ESXi主机都可以访问两个存储系统中的任何一个。如果OST站点上的存储失败,则虚拟机将继续工作:它们工作的主机将访问NORD上的存储以获取数据。


这就是群集中连接图的外观。

这可能是由于以下事实:在两个站点的SAN工厂之间配置了交换机间链接:类似于光纤B SAN交换机,将光纤A OST SAN交换机连接到光纤A NORD SAN交换机。

好了,为了使SAN工厂的所有这些复杂性都有意义,在两个存储系统之间配置了Active-Active复制:信息几乎同时写入本地和远程存储系统,RPO = 0。事实证明,在一个SHD上,原始数据存储在另一数据上-它们的副本。在存储卷级别复制数据,并且VM数据(其磁盘,配置文件,交换文件等)已经存储在其中。

ESXi主机将主卷及其副本视为单个存储设备。从ESXi主机到每个磁盘设备的路径共有24条:

12条路径将其与本地存储相关联(最佳路径),其余12条路径将与远程存储(并非最佳路径)相关联。在正常情况下,ESXi使用“最佳”路径访问本地存储上的数据。如果此存储系统发生故障,则ESXi将丢失其最佳路径,并切换到“非最佳”路径。这是它在图中的外观。


抗灾群集的方案。

所有客户端网络都是通过公共网络工厂在两个站点上建立的。提供商边缘(PE)运行在终止客户端网络的每个站点上。 PE合并为一个群集。如果PE在一个站点上失败,则所有流量都将重定向到第二个站点。因此,该站点中没有PE的虚拟机仍可通过网络供客户端使用。

现在让我们看看在发生各种故障的情况下客户端虚拟机将会发生什么。让我们从最简单的选择开始,到最严重的选择结束-整个站点的故障。在示例中,主站点将是OST,而带有数据副本的备份将是NORD。

如果...,客户端虚拟机将如何处理?


复制链接失败。两个站点的存储系统之间的复制停止。
ESXi仅适用于本地磁盘设备(沿最佳路径)。
虚拟机继续工作。



ISL(交换机间链接)之间存在间隙。这种情况不太可能。除非有些疯狂的挖掘机立即挖掘出多条光学路线,这些路线会通过独立的路线并通过不同的输入带到现场。但不管怎么说。在这种情况下,ESXi主机丢失一半的路径,并且只能访问其本地存储。副本已收集,但主机将无法访问它们。

虚拟机正常工作。



在其中一个站点上拒绝SAN交换机。ESXi主机丢失了一些存储路径。在这种情况下,交换机发生故障的站点上的主机只能通过其自己的HBA运行。

同时,虚拟机继续正常运行。



站点之一上的所有SAN交换机均发生故障。假设这样的灾难发生在OST站点。在这种情况下,此站点上的ESXi主机将丢失其磁盘设备的所有路径。标准的VMware vSphere HA机制开始发挥作用:最多140秒后,它将在NORD中重新启动所有OST平台虚拟机。

在NORD站点的主机上运行的虚拟机可以正常工作。



在一个站点上拒绝ESXi主机。此时,vSphere HA机制将再次起作用:来自故障主机的虚拟机将在同一或远程站点上的其他主机上重新启动。虚拟机的重新启动时间最多为1分钟。

如果OST平台的所有ESXi主机均发生故障,则没有选项:VM在另一台上重新启动。重新启动时间相同。



拒绝同一站点上的存储。假设存储系统在OST站点被拒绝。然后,OST ESXi主机切换为使用NORD中的存储副本。故障的存储系统返回系统后,将执行强制复制,OST ESXi主机将再次开始联系本地存储系统。

虚拟机一直都在工作。



失败的站点之一。在这种情况下,所有虚拟机将通过vSphere HA机制在备份站点上重新启动。 VM重新启动时间-140秒。在这种情况下,将保存虚拟机的所有网络设置,并且客户端仍可通过网络使用它。

要重新启动备份站点上的计算机而不会出现问题,每个站点只有一半已满。如果所有虚拟机都从受伤的第二个站点移出,则后半部分是备用空间。



基于两个数据中心的防灾云可防止此类故障。

这种乐趣并不便宜,因为除了主要资源外,您还需要在第二个站点上保留一个资源。因此,他们将关键业务服务放在这样的云中,长时间的停机会导致大量的财务和声誉损失,或者如果公司的监管机构或内部法规对信息系统提出了容灾要求。

资料来源:

  1. www.infinidat.com/sites/default/files/resource-pdfs/DS-INFBOX-190331-US_0.pdf
  2. support.infinidat.com/hc/zh-CN/articles/207057109-InfiniBox-best-practices-guides

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles