|
Рис. 3.2.7 Архитектура с одним арбитратором На этом пространстве работает кластер из четырех узлов (узел ] приложение А; узел 2 приложение В; узел 3 приложение С; узел 4 приложение D) и арбитратора (всего пять). Каждый центр обработки данных содержит два узла кластера и один массив Sure-Store ХР. На каждом узле есть приложение, работающее с дисковым массивом. Между дисковыми массивами установлены связи непрерывного доступа, так что данные приложения А, расположенные на дисках А массива центра А, реплицируются на диски А1 массива, расположенного в центре В. 'Го же самое делается для приложений В, С и D, соответственно. Площадкаарбитратор содержит сервер-арбитратор. В таблице 3.2.1 представлены сценарии, иллюстрирующие возможные последствия выхода из строя одного или нескольких узлов, а также центра обработки данных в конфигурации с одним арбитратором. Таким образом, кластер будет остановлен только в случае выхода из строя третьего узла при уже недоступных двух узлах и арбитраторе. Во всех остальных случаях кластер будет способен произвести реконфигурацию. Понятно, что в обычном режиме приложение А работает на узле 1, присутствуя в «спящем» виде на других узлах кластера и будучи сконфигурировано так, что при остановке оно запускается на другом узле. Сценарии 7-14 иллюстрируют возможные последствия выхода из строя центра обработки данных в |
запускать приложения, управляющие сборкой на удаленной площадке, не имеет смысла. С другой стороны, систему управления поставками можно запустить на другой площадке, обеспечив работу абонентских узлов отдела продаж и непрерывность поставок продукции. Итак, катастрофоустойчивость системы в аппаратной части обеспечивается: • географическим разнесением узлов; • репликацией данных; • несколькими независимыми источниками питания; • высоконадежной сетевой инфраструктурой. 2.2.4. Сценарии отказов кластерной инфраструктуры Рассмотрим теперь несколько сценариев работы кластера, отвечающих разным уровням надежности и устойчивости к катастрофам. Динамическая характеристика, вычисляемая всякий раз, когда узел кластера выходит из строя, в [17] получила название «кластер-кворум» целостность кластера. Смысл этой характеристики поясним на следующем примере. Если система использует 10 узлов, и все они работают, то кластер-кворум равен 100%. Если же, в некоторый момент, выходят из строя два узла, то кластер-кворум становится равен 80%. Анализ функционирования кластерных систем показывает [77-82], что кластер способен к реконфигурации только в том случае, если число одновременно вышедших из строя узлов строго меньше половины работающих. Далее для различных архитектур при оценке последствий того или иного сценария отказов достаточно рассчитать значение кластер-кворума. Архитектура с одним арбитратором. В рамках данной архитектуры имеется два центра обработки данных и одна площадка-арбитратор (рис. 2.2.7). Па этом пространстве работает кластер из четырех узлов (узел 1 приложение А; узел 2 — приложение В; узел 3 — приложение С; узел 4 приложение D) и арбитратора (всего пять). Каждый центр обработки данных содержит два узла кластера и один массив Sure-Store ХР. На каждом узле есть приложение, работающее с дисковым массивом. Между дисковыми массивами установлены связи непрерывного доступа, так что данные приложения А, расположенные на дисках А массива центра А, реплицируются на диски А1 массива, расположенного в центре В. То же самое делается для приложений В, С и Г), соответственно. Площадка-арбитратор содержит сервер-арбитратор. 80 Центр обработки данных А Центр обработки данных В Арбитратор Рис. 2.2.7 А рхитектура с одним арбитратором В таблице 2.2.1 представлены сценарии, иллюстрирующие возможные последствия выхода из строя одного или нескольких узлов, а также центра обработки данных в конфигурации с одним арбитратором. Т аб л и ц а 2.2.1 Сценарии отказов в конфигурации с одним арбитратором Сценарии Не работает Отказ Целостность кластера Осталось Последствия 1 1 Арбитратор 80% 4 из 5 Нет 2 Узел 1 80% 4 из 5 Приложение А запускается на другом узле кластера 3 Узел 1 узел 2 75% 3 из 4 Приложение А и В запускается на другом узле кластера 4 Узел 1, узел 2 Арбитратор 67% 2 изЗ Приложение А и В запускается на другом узле кластера 5 Узел 1, узел 2, арбитратор Узел 3 50% I из 2 Кластер остановлен * 6 Арбитратор Узел 1 75% 3 из 4 Приложение А запускается на другом узле кластера 7 Центр А 60% 3 из 5 Приложение А и В запускается в центре В 8 Центр А Арбитратор 67% 2 из 3 Нет 9 Центр А Арбитратор 40% 2 из 5 Кластер остановлен* 10 Центр А Арбитратор; узел 3 50% 1 из 2 Кластер остановлен* 11 Арбитратор Центр А 50% 2 из 4 Кластер остановлен* 12 Узел 3 Центр Л 50% 2 из 4 Кластер остановлен* 13 Центр В 60% 3 из 5 Приложения С и D запускаются в цен тре А .. '4 Арбитратор 80% 4 из 5 Нет П римечание ^-кластер можно перезапустить вручную на оставшихся узлах. 81 Таким образом, кластер будет остановлен только в случае выхода из строя третьего узла при уже недоступных двух узлах и арбитраторе. Во всех остальных случаях кластер будет способен произвести реконфигурацию. Понятно, что в обычном режиме приложение А работает на узле 1, присутствуя в «спящем» виде на других узлах кластера и будучи сконфигурировано так, что при остановке оно запускается на другом узле. Сценарии 7-14 иллюстрируют возможные последствия выхода из строя центра обработки данных в конфигурации с одним арбитратором. В конфигурации с одним арбитратором кластер подвергается опасности всякий раз, когда узел останавливается по причине сбоя или при проведении регламентных работ. Архитектура с двумя арбитраторами. Наличие двух арбитраторов (рис. Рис. 2.2.8 Архитектура с двумя арбитраторами 2.2.8) обеспечивает повышенную защиту при остановке узлов и позволяет осуществлять планирование обслуживания арбитраторов без риска остановки кластера при обнаружении сбоя. В таблице 2.2.2 сценарии для архитектуры с двумя арбитраторами иллюстрируют возможные последствия остановки центра обработки данных и одного или нескольких узлов в конфигурации с двумя арбитраторами. Из анализа сценариев отказов в данной конфигурации видно, что некоторые сценарии, приводящие к остановке кластера с одним арбитратором, позволяют работать кластеру с двумя арбитраторами. Минимальный ущерб, при котором кластер становится недоступен, — это одновременный выход из строя одного из центров обработки данных и одного арбитратора. Если одновременный ущерб больше, то кластер будет остановлен. Во всех остальных случаях будет произведена реконфигурация и система продолжит 82 |