Acerca da replicação síncrona de discos

---

O disco persistente regional e a elevada disponibilidade do Hyperdisk Balanced são opções de armazenamento que lhe permitem implementar serviços de elevada disponibilidade (HA) no Compute Engine. O disco persistente regional e o Hyperdisk Balanced replicam dados de alta disponibilidade de forma síncrona entre duas zonas na mesma região e garantem a AD para dados do disco até uma falha zonal.

Os volumes de alta disponibilidade do disco persistente regional e do Hyperdisk Balanced foram concebidos para cargas de trabalho que requerem um objetivo de ponto de recuperação (RPO) e um objetivo de tempo de recuperação (RTO) mais baixos. Para saber mais sobre o RPO e o RTO, consulte o artigo Noções básicas do planeamento de recuperação de desastres.

O disco persistente regional e os volumes de alta disponibilidade equilibrados do Hyperdisk são concebidos para funcionar com grupos de instâncias geridos regionais.

Este documento oferece uma vista geral de como criar serviços de HA com o disco persistente regional e os volumes de alta disponibilidade equilibrados do Hyperdisk.

Quando decidir usar o disco persistente regional ou o Hyperdisk Balanced de elevada disponibilidade, certifique-se de que compara as diferentes opções para aumentar a disponibilidade do serviço e o custo, o desempenho e a resiliência para diferentes arquiteturas de serviços.

Acerca da replicação síncrona de discos

Um disco persistente regional ou um volume de alta disponibilidade equilibrado do Hyperdisk, também conhecido como um disco regional ou um disco replicado de forma síncrona, tem uma zona principal e uma zona secundária na respetiva região onde armazena os dados do disco:

• A zona principal é a mesma zona onde se encontra a instância de computação à qual anexa o disco.
• A zona secundária é uma zona alternativa à sua escolha na mesma região.

O Compute Engine mantém réplicas do seu disco nestas duas zonas. Quando escreve dados no disco, o Compute Engine replica esses dados de forma síncrona nas réplicas do disco em ambas as zonas para garantir a HA. Os dados de cada réplica zonal são distribuídos por várias máquinas físicas na zona para garantir a durabilidade. As réplicas zonais garantem que os dados do disco permanecem disponíveis e oferecem proteção contra interrupções temporárias numa das zonas do disco.

Estado da réplica para réplicas zonais

O estado da réplica do disco para o disco persistente regional ou o Hyperdisk Balanced de alta disponibilidade mostra o estado de uma réplica zonal em comparação com o conteúdo do disco. As réplicas zonais dos seus discos estão sempre num dos seguintes estados de réplica de disco:

• Sincronizado: a réplica está disponível, recebe de forma síncrona todas as gravações efetuadas no disco e está atualizada com todos os dados no disco.
• A recuperar: a réplica está disponível, mas ainda está a recuperar os dados no disco da outra réplica.
• Fora de sincronização: a réplica está temporariamente indisponível e fora de sincronização com os dados no disco.

Para saber como verificar e acompanhar os estados das réplicas zonais, consulte o artigo Monitorize os estados das réplicas de disco.

Estados de replicação para discos regionais

Consoante o estado das réplicas zonais individuais, o seu disco persistente regional ou o volume de alta disponibilidade equilibrado do Hyperdisk podem estar num dos seguintes estados de replicação:

• Totalmente replicado: as réplicas em ambas as zonas estão disponíveis e sincronizadas com os dados mais recentes do disco.
• A recuperar: as réplicas zonais estão disponíveis, mas uma das réplicas zonais está a recuperar os dados mais recentes do disco.
• Degradado: uma das réplicas zonais tem o estado out of sync devido a uma falha ou uma interrupção.

Se o estado de replicação do disco for catching up ou degraded, significa que uma das réplicas zonais não está atualizada com todos os dados. Qualquer interrupção durante este período na zona da réplica em bom estado resulta numa indisponibilidade do disco até a zona da réplica em bom estado ser restaurada.

Quando o disco persistente regional ou o volume de alta disponibilidade equilibrado do Hyperdisk está a recuperar o atraso, oGoogle Cloud inicia a recuperação da réplica zonal que está a recuperar o atraso. A Google recomenda que aguarde até que a réplica zonal afetada alcance os dados no disco, momento em que o respetivo estado muda para Synced. Depois, a réplica zonal passa para o estado sincronizado e o estado do disco regional volta para o estado Fully replicated.

Se o disco regional tiver o estado catching up ou degraded durante um período prolongado e não cumprir os requisitos de RPO da sua organização, recomendamos que tire instantâneos da réplica principal de uma das seguintes formas:

• Ative os instantâneos agendados.
• Crie uma cópia instantânea manual do seu disco persistente regional ou disco de alta disponibilidade equilibrado Hyperdisk.

Depois de criar um instantâneo, pode criar um novo disco persistente regional ou um disco de alta disponibilidade equilibrado do Hyperdisk usando esse instantâneo como origem. Esta ação restaura o instantâneo para o novo disco. O novo disco também é iniciado num estado totalmente replicado com uma replicação de dados saudável.

Para saber como verificar o estado de replicação do seu Regional Persistent Disk ou Hyperdisk Balanced High Availability disk, consulte Determine o estado de replicação dos discos.

Ponto de restauro de recuperação de réplicas

Um ponto de verificação de recuperação de réplica é um atributo de disco que representa o ponto no tempo consistente com falhas mais recente de um disco totalmente replicado. O Compute Engine cria e mantém automaticamente um único ponto de verificação de recuperação de réplicas para cada disco regional. Quando um disco é totalmente replicado, o Compute Engine atualiza o respetivo ponto de verificação aproximadamente a cada 15 minutos para garantir que o ponto de verificação permanece atualizado. Quando o estado da replicação de disco é degraded, o Compute Engine permite-lhe criar um instantâneo padrão a partir do ponto de verificação de recuperação da réplica desse disco. A imagem instantânea padrão resultante captura os dados da versão consistente com falhas mais recente do disco totalmente replicado.

Em cenários raros, quando o disco está degradado, a réplica zonal sincronizada com os dados do disco mais recentes também pode falhar antes de a réplica dessincronizada ficar atualizada. Não vai poder anexar o disco à força a instâncias de computação em nenhuma das zonas. O disco replicado fica indisponível e tem de migrar os dados para um novo disco. Nestes cenários, se não tiver instantâneos padrão existentes disponíveis para o seu disco, ainda pode recuperar os dados do disco da réplica incompleta através de um instantâneo padrão criado a partir do ponto de verificação de recuperação da réplica.

O Compute Engine cria automaticamente pontos de verificação de recuperação de réplicas para cada disco persistente regional montado ou disco de alta disponibilidade equilibrado do Hyperdisk. Não incorre em cobranças adicionais pela criação destes pontos de verificação. No entanto, incorre em quaisquer custos de armazenamento aplicáveis para a criação de instantâneos e instâncias de computação quando usa estes pontos de verificação para migrar o seu disco regional para zonas de funcionamento.

Saiba como recuperar os dados do disco regional através de um ponto de verificação de recuperação de réplica.

Comutação por falha de disco regional

No caso de uma interrupção numa zona, a zona torna-se inacessível e a instância de computação nessa zona não pode realizar operações de leitura ou escrita no respetivo disco. Para permitir que a instância continue a realizar operações de leitura e escrita para o disco regional, o Compute Engine permite a migração de dados do disco para a outra zona onde o disco tem uma réplica. Este processo é denominado failover.

O processo de comutação por falha envolve separar a réplica zonal da instância na zona afetada e, em seguida, anexar a réplica zonal a uma nova instância na zona secundária. O Compute Engine replica sincronamente os dados no seu disco para a zona secundária para garantir uma comutação por falha rápida em caso de falha de uma única réplica.

Comutação por falha pelo plano de controlo regional específico da aplicação

O painel de controlo regional específico da aplicação não é um Google Cloud serviço. Quando cria arquiteturas de serviços de HA, tem de criar o seu próprio plano de controlo regional específico da aplicação. Este plano de controlo da aplicação decide que instância tem de ter o disco regional anexado e que instância é a instância principal atual.

Quando é detetada uma falha na instância ou na base de dados principal do disco regional, o plano de controlo regional específico da aplicação da arquitetura de serviço de HA pode iniciar automaticamente a comutação por falha para a instância de reserva na zona secundária. Durante a comutação por falha, o plano de controlo regional específico da aplicação volta a associar o disco regional à instância de espera na zona secundária. Em seguida, o Compute Engine direciona todo o tráfego para essa instância com base nos sinais de verificação de estado.

A latência geral da comutação por falha, excluindo o tempo de deteção de falhas, é a soma das seguintes latências:

• Menos de 1 minuto para anexar um disco regional a uma instância em espera
• Tempo necessário para a inicialização da aplicação e a recuperação de falhas

Para mais informações, consulte o artigo Compreender o plano de controlo regional específico da aplicação.

A página Bases de recuperação de desastres aborda as bases disponíveis no Compute Engine.

Comutação por falha através da associação forçada

Uma das vantagens do disco persistente regional e da alta disponibilidade do Hyperdisk Balanced é que, no improvável caso de uma indisponibilidade zonal, pode fazer manualmente a comutação por falha da sua carga de trabalho para outra zona. Quando a zona original tem uma indisponibilidade, não pode concluir a operação de desanexação do disco até que essa réplica zonal seja restaurada. Neste cenário, pode ter de anexar a réplica zonal secundária a uma nova instância de computação sem desanexar a réplica zonal principal da instância principal. Este processo é denominado associação forçada.

Quando a sua instância de computação na zona principal fica indisponível, pode forçar a associação do disco a uma instância na zona secundária. Para realizar esta tarefa, tem de efetuar uma das seguintes ações:

• Inicie outra instância de computação na mesma zona que a réplica do disco regional que está a anexar à força.
• Manter uma instância de computação em espera ativa nessa zona. Um hot standby é uma instância em execução idêntica à da zona principal. As duas instâncias têm os mesmos dados.

O Compute Engine executa a operação de associação forçada em menos de um minuto. O objetivo de tempo de recuperação (OTR) total depende não só da comutação por falha do armazenamento (a associação forçada do disco regional), mas também de outros fatores, incluindo o seguinte:

• Se tem de criar primeiro uma instância secundária
• O tempo que o sistema de ficheiros subjacente demora a detetar um disco ligado a quente
• O tempo de recuperação das aplicações correspondentes

Para mais informações sobre como fazer failover da instância de computação através da anexação forçada, consulte o artigo Faça failover do disco regional através do force-attach.

O disco persistente regional e o Hyperdisk equilibrado de alta disponibilidade favorecem a disponibilidade da carga de trabalho, o que significa que existem compromissos para a proteção de dados no improvável caso de ambas as réplicas de disco estarem indisponíveis em simultâneo. Para mais informações, consulte o artigo Faça a gestão de falhas para discos regionais.

Limitações

As secções seguintes listam as limitações aplicáveis ao disco persistente regional e ao Hyperdisk equilibrado de alta disponibilidade.

Limitações gerais para discos regionais

• Só pode associar um disco persistente regional a VMs que usam os tipos de máquinas E2, N1, N2 e N2D.
• Só pode anexar o Hyperdisk Balanced de alta disponibilidade a tipos de máquinas compatíveis.
• Não pode criar um disco persistente regional a partir de uma imagem do SO nem a partir de um disco criado a partir de uma imagem do SO.
• Não pode criar um disco de alta disponibilidade equilibrado do Hyperdisk clonando um disco zonal. Para criar um disco de alta disponibilidade equilibrado do Hyperdisk a partir de um disco zonal, conclua os passos descritos no artigo Altere um disco zonal para um disco de alta disponibilidade equilibrado do Hyperdisk.
• Quando usa o modo só de leitura, pode anexar um disco persistente equilibrado regional a um máximo de 10 instâncias de VM.
• O tamanho mínimo de um disco persistente padrão regional é de 200 GiB.
• Só pode aumentar o tamanho de um disco persistente regional ou volume de alta disponibilidade equilibrado do Hyperdisk. Não pode diminuir o respetivo tamanho.
• Os volumes de discos persistentes regionais e de alta disponibilidade equilibrados do Hyperdisk têm características de desempenho diferentes dos seus discos zonais correspondentes. Para mais informações, consulte os artigos Acerca do desempenho do Persistent Disk e Limites de desempenho de alta disponibilidade do Hyperdisk Balanced.
• Não pode usar um volume de alta disponibilidade equilibrado do Hyperdisk que esteja no modo de gravação múltipla como um disco de arranque.
• Se criar um disco replicado clonando um disco zonal, as duas réplicas zonais não estão totalmente sincronizadas no momento da criação. Após a criação, pode usar o clone do disco regional, em média, no prazo de 3 minutos. No entanto, pode ter de aguardar dezenas de minutos antes de o disco atingir um estado totalmente replicado e o objetivo do ponto de recuperação (RPO) estar próximo de zero. Saiba como verificar se o disco replicado foi totalmente replicado.

Limitações para pontos de verificação de recuperação de réplicas

• Um ponto de verificação de recuperação de réplicas faz parte dos metadados do dispositivo e não lhe mostra dados do disco por si só. Só pode usar o ponto de verificação como um mecanismo para criar um resumo do disco degradado. Depois de criar o instantâneo através do ponto de verificação, pode usá-lo para restaurar os seus dados.
• Só pode criar instantâneos a partir de um ponto de verificação de recuperação de réplica quando o disco estiver degradado.
• O Compute Engine atualiza o ponto de verificação de recuperação da réplica do disco apenas quando o disco está totalmente replicado.
• O Compute Engine mantém apenas um ponto de verificação de recuperação de réplicas para um disco e mantém apenas a versão mais recente desse ponto de verificação.
• Não pode ver as datas/horas exatas de criação e atualização de um ponto de verificação de recuperação de réplica.
• Só pode criar um resumo a partir do ponto de verificação de recuperação da réplica através da API Compute Engine.

O que se segue?

• Saiba como criar serviços de elevada disponibilidade com discos regionais.
• Reveja o guia de planeamento de recuperação de desastres.
• Saiba mais sobre os preços dos discos.
• Saiba como criar e gerir discos regionais.
• Saiba como monitorizar os estados das réplicas dos discos.
• Saiba como determinar o estado de replicação de um disco.
• Saiba como gerir falhas de discos regionais.