Synchrone Laufwerksreplikation


Regionale nichtflüchtige Speicher und Hyperdisk mit ausgeglichener Hochverfügbarkeit sind Speicheroptionen, mit denen Sie Hochverfügbarkeitsdienste in Compute Engine implementieren können. Regionaler nichtflüchtiger Speicher und Hyperdisk mit ausgeglichener Hochverfügbarkeit replizieren Daten synchron zwischen zwei Zonen in derselben Region und sorgen für Hochverfügbarkeit (HA) bei Laufwerksdaten für bis zu einen Zonenausfall.

Regionale nichtflüchtige Speicher- und Hyperdisk mit ausgeglichenen Hochverfügbarkeits-Volumes wurden für Arbeitslasten entwickelt, die ein niedrigeres Recovery Point Objective (RPO) und Recovery Time Objective (RTO) erfordern. Weitere Informationen zu RPO und RTO finden Sie unter Grundlagen der Planung der Notfallwiederherstellung.

Regionale nichtflüchtige Speicher und Hyperdisk mit ausgeglichenen Hochverfügbarkeits-Volumes sind für die Zusammenarbeit mit regional verwalteten Instanzgruppen konzipiert.

Dieses Dokument gibt einen Überblick darüber, wie Hochverfügbarkeitsdienste mit regionalem nichtflüchtigen Speicher und Hyperdisk mit ausgeglichenen Hochverfügbarkeits-Volumes aufgebaut werden können.

Wenn Sie regionalen nichtflüchtigen Speicher oder Hyperdisk mit ausgeglichenen Hochverfügbarkeits-Volumes verwenden, müssen Sie die verschiedenen Optionen zur Erhöhung der Dienstverfügbarkeit sowie Kosten, Leistung und Ausfallsicherheit für verschiedene Dienstarchitekturen vergleichen.

Synchrone Laufwerksreplikation

Ein regionaler nichtflüchtiger Speicher oder Hyperdisk mit ausgeglichener Hochverfügbarkeit, auch als regionales Laufwerk oder synchron repliziertes Laufwerk bezeichnet, hat eine primäre und eine sekundäre Zone innerhalb seiner Region, in der Laufwerksdaten gespeichert werden:

  • Die primäre Zone ist dieselbe Zone wie die der Compute-Instanz, an die Sie das Laufwerk anhängen.
  • Die sekundäre Zone ist eine alternative Zone Ihrer Wahl innerhalb derselben Region.

Compute Engine verwaltet Replikate Ihres Laufwerks in beiden Zonen. Wenn Sie Daten auf das Laufwerk schreiben, repliziert Compute Engine diese Daten synchron auf den Laufwerkreplikaten in beiden Zonen, um HA zu gewährleisten. Die Daten jedes zonalen Replikats sind auf mehrere physische Maschinen innerhalb der Zone verteilt, um Langlebigkeit zu gewährleisten. Zonale Replikate gewährleisten, dass die Daten des Speichers verfügbar bleiben, und bieten Schutz vor temporären Ausfällen in einer der Laufwerkszonen.

Replikatstatus für zonale Replikate

Der Status des Laufwerkreplikats für einen regionalen nichtflüchtigen Speicher oder Hyperdisk mit ausgeglichener Hochverfügbarkeit zeigt den Status eines zonalen Replikats im Vergleich zum Inhalt des Laufwerks an. Zonale Replikate für Ihre Laufwerke haben immer einen der folgenden Status für das Laufwerkreplikat:

  • Synchronisiert: Das Replikat ist verfügbar, empfängt synchron alle auf dem Laufwerk ausgeführten Schreibvorgänge und ist mit allen Daten auf dem Laufwerk auf dem neuesten Stand.
  • Wird aktualisiert: Das Replikat ist verfügbar, erfasst jedoch weiterhin die Daten auf dem Laufwerk vom anderen Replikat.
  • Nicht synchronisiert: Das Replikat ist vorübergehend nicht verfügbar und ist nicht mit den Daten auf dem Laufwerk synchronisiert.

Informationen zum Prüfen und Verfolgen des Replikatstatus Ihrer zonalen Replikate finden Sie unter Replikatstatus des Laufwerks überwachen.

Replikationsstatus für regionale Laufwerke

Je nach Status der einzelnen zonalen Replikate kann dasregionale nichtflüchtige Speicher- oder Hyperdisk mit ausgeglichenem Hochverfügbarkeits-Volume einen der folgenden Replikationsstatus haben:

  • Vollständig repliziert:Replikate in beiden Zonen sind verfügbar und werden mit den neuesten Laufwerksdaten synchronisiert.
  • Wird aktualisiert: Die zonalen Replikate sind verfügbar, aber eines der zonalen Replikate wird mit den neuesten Laufwerksdaten aktualisiert.
  • Eingeschränkt:Eines der zonalen Replikate hat aufgrund eines Fehlers oder eines Ausfalls den Status out of sync.

Wenn der Status der Laufwerkreplikation catching up oder degraded lautet, wird eines der zonalen Replikate nicht mit allen Daten aktualisiert. Jeder Ausfall während dieser Zeit in der Zone des fehlerfreien Replikats führt zu einer Nichtverfügbarkeit des Laufwerks, bis die fehlerfreie Replikatzone wiederhergestellt ist.

Wenn Ihr regionales nichtflüchtiges Speicher- oder Hyperdisk mit ausgeglichener Hochverfügbarkeits-Volume den Rückstand aufholt, beginnt Google Cloud mit der Reparatur des zonalen Replikats, das aktualisiert wird. Google empfiehlt, dass Sie warten, bis das betroffene zonale Replikat mit den Daten auf dem Laufwerk aktualisiert wurde. Dann ändert sich der Status in Synced. Nachdem das zonale Replikat dann in den Status „Synchronisiert“ gewechselt ist, ändert sich der Status des regionalen Laufwerks wieder in Fully replicated.

Wenn das regionale Laufwerk über einen längeren Zeitraum den Status catching up oder degraded hat und die RPO-Anforderungen Ihres Unternehmens nicht erfüllt, empfehlen wir Ihnen, Snapshots des primären Replikats auf eine der folgenden Arten zu erstellen:

  • Geplante Snapshots aktivieren.
  • Erstellen Sie einen manuellen Snapshot Ihres regionalen nichtflüchtigen Speichers oder Hyperdisk mit ausgeglichenem Hochverfügbarkeitslaufwerk.

Nachdem Sie einen Snapshot erstellt haben, können Sie mit diesem Snapshot als Quelle ein neues regionales nichtflüchtiges Speicherlaufwerk oder Hyperdisk mit ausgeglichenem Hochverfügbarkeitslaufwerk erstellen. Dadurch wird der Snapshot auf dem neuen Laufwerk wiederhergestellt. Das neue Laufwerk beginnt auch in einem vollständig replizierten Zustand mit fehlerfreier Datenreplikation.

Informationen zum Prüfen des Replikationsstatus Ihres regionalen nichtflüchtigen Speicher oder Hyperdisk mit ausgeglichenem Hochverfügbarkeitslaufwerk finden Sie unterReplikationsstatus von Laufwerken bestimmen.

Prüfpunkt zur Replikatwiederherstellung

Ein Prüfpunkt zur Replikatwiederherstellung ist ein Attribut für Speicher, das den neuesten absturzsicheren Zeitpunkt eines vollständig replizierten Laufwerks darstellt. Compute Engine erstellt automatisch einen einzelnen Prüfpunkt zur Replikatwiederherstellung für jedes regionale Laufwerk und verwaltet diesen. Wenn ein Laufwerk vollständig repliziert wird, aktualisiert Compute Engine den Prüfpunkt etwa alle 10 Minuten, um sicherzustellen, dass der Prüfpunkt aktuell bleibt. Wenn der Status der Laufwerkreplizierung degraded ist, können Sie in Compute Engine einen Standard-Snapshot aus dem Prüfpunkt zur Replikatwiederherstellung für dieses Laufwerk erstellen. Der resultierende Standard-Snapshot erfasst die Daten aus der neuesten absturzsicheren Version des vollständig replizierten Laufwerks.

In seltenen Fällen, wenn das Laufwerk beeinträchtigt ist, kann auch das zonale Replikat, das mit den neuesten Laufwerksdaten synchronisiert wurde, ausfallen, bevor das nicht mehr synchronisierte Replikat aktualisiert wurde. Sie können das Anhängen Ihres Laufwerks an Compute-Instanzen in keiner der Zonen erzwingen. Das replizierte Laufwerk ist nicht mehr verfügbar und Sie müssen die Daten auf ein neues Laufwerk migrieren. Wenn in einem solchen Fall keine Standard-Snapshots für Ihr Laufwerk verfügbar sind, können Sie die Laufwerksdaten möglicherweise trotzdem aus dem unvollständigen Replikat wiederherstellen, indem Sie einen Standard-Snapshot verwenden, der aus dem Prüfpunkt zur Replikatwiederherstellung erstellt wurde.

Compute Engine erstellt automatisch die Prüfpunkte zur Replikatwiederherstellung für alle bereitgestellten regionalen nichtflüchtigen Speicher oder Hyperdisk mit ausgeglichenem Hochverfügbarkeits-Volume. Für die Erstellung dieser Prüfpunkte fallen keine zusätzlichen Gebühren an. Für die Erstellung von Snapshots und Compute-Instanzen fallen jedoch entsprechende Speichergebühren an, wenn Sie diese Prüfpunkte verwenden, um Ihr regionales Laufwerk in funktionierende Zonen zu migrieren.

Weitere Informationen zum Wiederherstellen von Daten auf regionalen Laufwerken mithilfe eines Prüfpunkts zur Replikatwiederherstellung

Failover für regionales Laufwerk

Bei einem Ausfall in einer Zone kann nicht mehr auf die Zone zugegriffen werden und die Compute-Instanz in dieser Zone kann keine Lese- oder Schreibvorgänge auf dem Laufwerk ausführen. Damit die Instanz weiterhin Lese- und Schreibvorgänge auf dem regionalen Laufwerk ausführen kann, ermöglicht Compute Engine die Migration von Laufwerksdaten in die andere Zone, in der das Laufwerk ein Replikat hat. Dieser Vorgang wird als failover bezeichnet.

Beim Failover wird das zonale Replikat von der Instanz in der betroffenen Zone getrennt und dann an eine neue Instanz in der sekundären Zone angehängt. Compute Engine repliziert die Daten auf Ihrem Laufwerk synchron in die sekundäre Zone, um bei einem Ausfall eines einzelnen Replikats einen schnellen Failover sicherzustellen.

Failover durch anwendungsspezifische regionale Steuerungsebene

Die anwendungsspezifische regionale Steuerungsebene ist kein Google Cloud-Dienst. Wenn Sie HA-Dienstarchitekturen entwerfen, müssen Sie eine eigene anwendungsspezifische regionale Steuerungsebene erstellen. Diese Steuerungsebene der Anwendung entscheidet, an welche Instanz der regionale Datenträger angehängt sein muss und welche Instanz die aktuelle primäre Instanz ist.

Wenn ein Fehler in der primären Instanz oder Datenbank des regionalen Laufwerks erkannt wird, kann die anwendungsspezifische regionale Steuerungsebene Ihrer HA-Dienstarchitektur automatisch einen Failover zur Standby-Instanz in der sekundären Zone initiieren. Während des Failovers hängt die anwendungsspezifische regionale Steuerungsebene das regionale Laufwerk wieder an die Standby-Instanz in der sekundären Zone an. Compute Engine leitet dann den gesamten Traffic anhand von Signalen der Systemdiagnose an diese Instanz weiter.

Die Failover-Gesamtlatenz ohne die Fehlererkennungszeit ist die Summe der folgenden Latenzen:

  • Weniger als 1 Minute, um einen regionalen Datenträger an eine Standby-Instanz anzuhängen
  • Zeit, die für die Initialisierung der Anwendung und die Wiederherstellung nach einem Absturz erforderlich ist

Weitere Informationen finden Sie unter Informationen zur anwendungsspezifischen regionalen Steuerungsebene.

Auf der Seite Bausteine der Notfallwiederherstellung werden die Bausteine behandelt, die derzeit in Compute Engine verfügbar sind.

Failover durch erzwungenes Anhängen

Einer der Vorteile von regionalem nichtflüchtigem Speicher und Hyperdisk mit ausgeglichener Hochverfügbarkeit ist, dass Sie im unwahrscheinlichen Fall eines Zonenausfalls manuell einen Failover Ihrer Arbeitslast in eine andere Zone durchführen können. Wenn die ursprüngliche Zone ausfällt, können Sie den Trennvorgang des Speichers erst abschließen, wenn das zonale Replikat wiederhergestellt wurde. In diesem Szenario müssen Sie möglicherweise das sekundäre zonale Replikat an eine neue Compute-Instanz anhängen, ohne das primäre zonale Replikat von Ihrer primären Instanz zu trennen. Dieser Vorgang wird als erzwungenes Anhängen bezeichnet.

Wenn Ihre Compute-Instanz in der primären Zone nicht mehr verfügbar ist, können Sie das Anhängen Ihres Laufwerks an eine Instanz in der sekundären Zone erzwingen. Dafür müssen Sie einen der folgenden Schritte ausführen:

  • Starten Sie eine weitere Compute-Instanz in derselben Zone wie das regionale Laufwerkreplikat, dessen Anhängen Sie erzwingen möchten.
  • Halten Sie in dieser Zone eine Hot-Standby-Compute-Instanz verfügbar. Ein Hot-Standby ist eine ausgeführte Instanz, die mit der Instanz in der primären Zone identisch ist. Die beiden Instanzen haben dieselben Daten.

Compute Engine führt den Vorgang zum erzwungenen Anhängen in weniger als einer Minute aus. Das gesamte Recovery Time Objective (RTO) hängt nicht nur vom Speicher-Failover (dem erzwungenen Anhängen des regionalen Laufwerks), sondern auch von anderen Faktoren ab, darunter:

  • Ob Sie zuerst eine sekundäre Instanz erstellen müssen
  • Zeitspanne, in der das zugrunde liegende Dateisystem ein im „Hot“-Verfahren angehängtes Laufwerk erkennt
  • Wiederherstellungszeit der entsprechenden Anwendungen

Weitere Informationen zum Failover Ihrer Compute-Instanz mit erzwungenem Anhängen finden Sie unter Failover für regionalen Datenträger mit force-attach.

Regionale nichtflüchtige Speicher und Hyperdisk mit ausgeglichener Hochverfügbarkeit bevorzugen die Arbeitslastverfügbarkeit. Daraus ergeben sich Kompromisse beim Datenschutz für den unwahrscheinlichen Fall, dass beide Laufwerksreplikate gleichzeitig nicht mehr verfügbar sind. Weitere Informationen finden Sie unter Ausfälle bei regionalen Laufwerken verwalten.

Beschränkungen

In den folgenden Abschnitten werden die Einschränkungen aufgeführt, die für regionale nichtflüchtige Speicher und Hyperdisk mit ausgeglichener Hochverfügbarkeit gelten.

Allgemeine Einschränkungen für regionale Laufwerke

  • Mexiko, Osaka und Montreal haben drei Zonen, die sich in einem oder zwei physischen Rechenzentren befinden. In diesen Regionen gespeicherte Daten können bei einem Rechenzentrumsausfall verloren gehen. Daher sollten Sie für einen erhöhten Datenschutz in Erwägung ziehen, geschäftskritische Daten in einer zweiten Region zu sichern.
  • Sie können regionalen nichtflüchtigen Speicher nur an VMs anhängen, die den Maschinentyp E2, N1, N2 oder N2D verwenden.
  • Sie können Hyperdisk mit ausgeglichener Hochverfügbarkeit nur an unterstützte Maschinentypen anhängen.
  • Sie können keinen regionalen nichtflüchtigen Speicher aus einem Image oder aus einem Laufwerk erstellen, das aus einem Image erstellt wurde.
  • Im schreibgeschützten Modus können Sie einen regionalen abgestimmten nichtflüchtigen Speicher an maximal 10 VM-Instanzen anhängen.
  • Die Mindestgröße eines regionalen nichtflüchtigen Standardspeichers beträgt 200 GiB.
  • Sie können nur die Größe eines regionalen nichtflüchtigen Speichers oderHyperdisk mit ausgeglichenem Hochverfügbarkeits-Volume erhöhen. Sie können die Größe nicht verringern.
  • Regionale nichtflüchtige Speicher- und Hyperdisk mit ausgeglichener Hochverfügbarkeits-Volumes haben unterschiedliche Leistungsmerkmale als die entsprechenden zonalen Laufwerke. Weitere Informationen finden Sie unter Blockspeicherleistung.
  • Sie können ein Hyperdisk Balanced High Availability-Volume, das sich im Modus für mehrere Autoren befindet, nicht als Bootlaufwerk verwenden.
  • Wenn Sie einen replizierten Speicher durch Klonen eines zonalen Laufwerks erstellen, sind die beiden zonalen Replikate zum Zeitpunkt der Erstellung nicht komplett synchron. Nach der Erstellung können Sie den regionalen Laufwerkklon innerhalb von durchschnittlich 3 Minuten verwenden. Sie müssen jedoch möglicherweise einige Minuten warten, bevor das Laufwerk einen vollständig replizierten Zustand erreicht und das Recovery Point Objective (RPO) fast null ist. Informationen zum Prüfen, ob Ihr repliziertes Laufwerk vollständig repliziert wurde

Einschränkungen für Prüfpunkte zur Replikatwiederherstellung

  • Ein Prüfpunkt zur Replikatwiederherstellung ist Teil der Gerätemetadaten und zeigt Ihnen keine Laufwerksdaten an. Sie können den Prüfpunkt nur dafür verwenden, einen Snapshot Ihres eingeschränkten Laufwerks zu erstellen. Nachdem Sie den Snapshot mit dem Prüfpunkt erstellt haben, können Sie die Daten mit dem Snapshot wiederherstellen.
  • Sie können Snapshots von einem Prüfpunkt zur Replikatwiederherstellung nur dann erstellen, wenn das Laufwerk eingeschränkt ist.
  • Compute Engine aktualisiert den Prüfpunkt zur Replikatwiederherstellung für das Laufwerk nur, wenn es vollständig repliziert wurde.
  • Compute Engine bewahrt nur einen einzigen Prüfpunkt zur Replikatwiederherstellung für ein Laufwerk und nur die neueste Version dieses Prüfpunkts auf.
  • Sie können nicht die genauen Erstellungs- und Aktualisierungszeitstempel eines Prüfpunkts zur Replikatwiederherstellung sehen.
  • Sie können einen Snapshot von Ihrem Prüfpunkt zur Replikatwiederherstellung nur mithilfe der Compute Engine API erstellen.

Nächste Schritte