Disponibilidade e durabilidade

Nesta página, você verá informações sobre a resiliência de desastres do BigQuery para conjuntos de dados e sobre o sistema de recuperação de desastres. Nessas informações, há a descrição do sistema como ele foi projetado e não fornece garantias.

Domínios de falha

A seguir estão os tipos de domínios de falha que podem ocorrer em data centers do Google Cloud.

Nível da máquina: falhas que afetem uma ou poucas máquinas, mas não todas, na zona do Google Cloud. Um exemplo é a falha de hardware em uma única máquina.

Por zona: falhas que indisponibilizam uma única zona do Google Cloud enquanto outras zonas na mesma região do Google Cloud continuam disponíveis. As zonas do Google Cloud têm domínios de falha diferentes, mas é possível colocar várias zonas juntas no mesmo local geográfico. Alguns exemplos são um incêndio no edifício, falta de energia, corte do cabo de fibra ótica e particionamento de redes.

Por região: falhas que afetem uma região do Google Cloud inteira formada por várias zonas. Alguns exemplos são furacões e terremotos de grande magnitude.

Tipos de falhas

Há dois tipos de falhas: falhas leves e falhas graves.

Falha leve é uma deficiência operacional em que o hardware não é destruído. Alguns exemplos são falha de energia, particionamento de rede ou falha da máquina. Em geral, o BigQuery jamais perderá dados em uma falha leve, ainda que ela danifique apenas o hardware.

Falha grave é uma deficiência operacional em que o hardware é destruído. As falhas graves são mais fortes que as leves. Alguns exemplos são danos causados por enchentes, ataques terroristas, terremotos e furacões.

Disponibilidade e durabilidade para regiões únicas

Uma região é um local geográfico específico, como Iowa (us-central1) ou Montreal (northamerica-northeast1), em que é possível hospedar seus dados.

Em uma única região, os dados são armazenados somente nela. Não há backup ou replicação fornecida pelo Google Cloud para outra região. Se você quiser usar uma única região para os conjuntos de dados, mas considerar a falta de backup ou replicação muito arriscada, crie cópias do conjunto de dados em toda a região para aprimorar as garantias de recuperação de desastres.

Independentemente da resiliência, para saber mais sobre regiões únicas do BigQuery, consulte Considerações do local.

Caso ocorra uma falha no nível da máquina, o BigQuery continuará em execução com um atraso de apenas alguns milissegundos. Todas as consultas precisam ser bem-sucedidas.

Alguns tipos de falhas de zona podem causar perda de dados. Se uma falha grave destruir a zona, todos os dados não replicados serão perdidos. Em geral, os dados são replicados em cerca de 90 segundos, mas pode levar até 1 hora. Uma falha leve, como falta de energia, transformador quebrado ou particionamento de rede, provavelmente não causará perda de dados. Failover de zona leve é um caminho bem testado.

Se uma falha regional grave ocorrer, por exemplo, um desastre destruir a região, todos os dados nela serão perdidos. Uma falha regional leve resultará na indisponibilidade da região até que ela fique on-line novamente. Porém, não haverá perda de dados.

Disponibilidade e durabilidade para multirregiões

Uma multirregião é uma área geográfica grande, como os Estados Unidos (US) ou a Europa (EU), que contém dois ou mais lugares geográficos. Em uma multirregião, os dados são armazenados em uma única região, mas o backup é feito em uma região geograficamente separada para que haja resiliência a um desastre regional. O processo de recuperação e failover é gerenciado pelo BigQuery.

Independentemente da resiliência, para saber mais sobre as multirregiões do BigQuery, consulte Considerações do local.

Caso ocorra uma falha no nível da máquina, o BigQuery continuará em execução com um atraso de apenas alguns milissegundos. Todas as consultas precisam ser bem-sucedidas.

Alguns tipos de falhas de zona podem causar perda de dados. Se uma falha grave destruir a zona, todos os dados não replicados serão perdidos. Em geral, os dados são replicados em cerca de 90 segundos, mas pode levar até 1 hora. Uma falha leve, como falta de energia, transformador quebrado ou particionamento de rede, provavelmente não causará perda de dados.

Se uma falha regional grave ocorrer, por exemplo, um desastre destruir uma região, os dados recentes serão perdidos. Especificamente, isso significa qualquer dado do qual o backup ainda não tenha sido feito fora do local para uma região diferente. É possível que backups de dados fora do local fiquem desatualizados por até 48 horas. Além disso, pode demorar um pouco para recriar os dados a partir do backup. Ao usar backups para a recuperação de desastres, os dados serão recuperados em ordem de prioridade, sendo os dados de clientes platinum recuperados com maior prioridade. O tempo de recuperação pode ser de 7 a 30 dias.