À propos des disques persistants régionaux

Un disque persistant régional est une option qui vous permet d'implémenter des services à haute disponibilité dans Compute Engine. Un disque persistant régional réplique les données de manière synchrone entre deux zones de la même région et assure la haute disponibilité pour les données du disque jusqu'à une défaillance zonale.

Les volumes de disques persistants régionaux sont conçus pour des charges de travail nécessitant un objectif de point de récupération (RPO) et un objectif de temps de récupération (RTO) inférieurs. Pour en savoir plus sur le RPO et le RTO, consultez la page Principes de base d'un plan de reprise après sinistre.

Les volumes de disques persistants régionaux sont également conçus pour fonctionner avec des groupes d'instances gérés régionaux.

Ce document présente les disques persistants régionaux et explique comment utiliser un volume de disque persistant régional pour créer des services à haute disponibilité.

Lorsque vous décidez d'utiliser un disque persistant régional, veillez à comparer les différentes options permettant d'augmenter la disponibilité du service et les coûts, performances et résilience de différentes architectures de services.

Réplication de disque zonale pour un disque persistant régional

Un volume de disque persistant régional possède une zone principale et une zone secondaire dans sa région où il stocke les données du disque :

  • La zone principale est la même que celle de l'instance de machine virtuelle (VM) à laquelle vous associez le disque.
  • La zone secondaire est une zone de votre choix dans la même région.

Compute Engine gère des instances répliquées de votre volume de disque persistant régional dans ces deux zones. Lorsque vous écrivez des données sur votre disque, Compute Engine les réplique de manière synchrone sur les instances répliquées des deux zones afin de garantir la haute disponibilité. Les données de chaque instance répliquée zonale sont réparties sur plusieurs machines physiques dans la zone pour assurer leur durabilité. Les instances répliquées zonales garantissent que les données du volume de disque persistant restent disponibles et offrent une protection contre les interruptions temporaires de l'une des zones du disque.

État de l'instance répliquée pour les instances répliquées zonales

L'état de l'instance répliquée du disque persistant régional indique l'état d'une instance répliquée zonale par rapport au contenu du disque. Les instances répliquées zonales de votre disque persistant régional se trouvent dans l'un des états d'instance répliquée suivants à tout moment :

  • Synchronisée : l'instance répliquée est disponible, reçoit de manière synchrone toutes les écritures effectuées sur le disque et est à jour avec toutes les données du disque.
  • En cours de récupération : l'instance répliquée est disponible, mais récupère les données sur le disque de l'autre instance répliquée.
  • Désynchronisée : l'instance répliquée est temporairement indisponible et désynchronisée des données du disque.

Pour savoir comment vérifier et suivre les états de vos instances dupliquées zonales, consultez la page Surveiller les états des instances dupliquées des disques persistants régionaux.

État de la réplication du disque persistant régional

Selon l'état des instances répliquées zonales individuelles, votre volume de disque persistant régional peut se trouver dans l'un des états de réplication suivants :

  • Entièrement répliqué. Les instances répliquées des deux zones sont disponibles et sont synchronisées avec les données les plus récentes du disque.
  • Récupération. Vos instances répliquées zonales sont disponibles, mais l'une d'entre elles récupère les dernières données de disque.
  • Dégradé : l'une des instances répliquées zonales n'est pas synchronisée en raison d'une défaillance ou d'une panne.

Si le volume de votre disque persistant régional est en phase de récupération ou se dégrade, l'une des instances dupliquées zonales n'est pas mise à jour avec toutes les données. Une panne pendant cette période dans la zone de l'instance répliquée opérationnelle entraîne l'indisponibilité du volume de disque persistant régional jusqu'à ce que la zone d'instance répliquée opérationnelle soit restaurée.

Lorsque le volume de votre disque persistant régional effectue une récupération, Google Cloud commence à réparer l'instance répliquée zonale en cours de récupération. Nous vous recommandons d'attendre que l'instance répliquée zonale concernée récupère les données sur le disque. Une fois que l'instance répliquée zonale passe à l'état synchronisé, le volume du disque persistant régional revient à un état entièrement répliqué. Si le volume de disque persistant régional effectue une récupération ou est dégradé pendant une période prolongée et ne répond pas aux exigences RPO de votre organisation, nous vous recommandons de prendre des instantanés de votre disque de l'une des manières suivantes :

  • Activer les instantanés programmés.
  • Créer un instantané manuel pour votre volume de disque persistant régional.

Une fois l'instantané créé, vous pouvez créer un volume de disque persistant régional à l'aide de cet instantané. Vous récupérez vos données sur le nouveau volume de disque persistant régional. Votre nouveau volume commence également dans un état entièrement répliqué avec une réplication de données opérationnelle.

Pour savoir comment vérifier l'état de réplication de votre volume de disque persistant régional, consultez la section Déterminer l'état de réplication du disque persistant régional.

Point de contrôle de récupération d'instance répliquée de disque persistant régional

Un point de contrôle de récupération d'instance répliquée est un attribut de disque persistant régional qui représente le plus récent moment cohérent avec le plantage d'un disque entièrement répliqué. Compute Engine crée et gère automatiquement un point de contrôle de récupération unique pour chaque volume de disque persistant régional. Lorsqu'un volume de disque persistant régional est entièrement répliqué, Compute Engine continue d'actualiser son point de contrôle toutes les 10 minutes pour garantir que celui-ci reste à jour. Lorsque le volume de disque persistant régional devient dégradé, Compute Engine vous permet de créer un instantané standard à partir du point de contrôle de récupération de l'instance répliquée de ce disque. L'instantané standard obtenu capture les données de la version la plus récente du disque entièrement répliqué cohérent avec le plantage.

Dans de rares cas, lorsque votre disque est dégradé, l'instance répliquée zonale synchronisée avec les dernières données de disque peut également échouer avant que l'instance répliquée non synchronisée ne la rattrape. Vous ne pouvez pas forcer l'association du disque aux VM dans l'une des zones. Votre volume de disque persistant régional devient indisponible et vous devez transférer les données vers un nouveau disque. Dans de tels scénarios, si vous ne disposez d'aucun instantané standard existant pour votre disque, vous pouvez peut-être récupérer vos données de disque à partir de l'instance répliquée incomplète à l'aide d'un instantané standard créé à partir du point de contrôle de récupération de l'instance répliquée.

Compute Engine crée automatiquement des points de contrôle de récupération pour chaque volume de disque persistant régional installé. La création de ces points de contrôle n'entraîne aucuns frais supplémentaires. Toutefois, des frais de stockage s'appliquent pour la création d'instantanés et de VM lorsque vous utilisez ces points de contrôle pour migrer votre disque vers des zones fonctionnelles.

Découvrez comment récupérer vos données de disque persistant régional à l'aide d'un point de contrôle de récupération d'instance répliquée.

Basculement du disque persistant régional

En cas de panne dans une zone, celle-ci devient inaccessible, et la VM de cette zone ne peut plus effectuer d'opérations de lecture ou d'écriture sur son disque. Pour permettre à la VM de continuer à effectuer des opérations de lecture et d'écriture sur le disque, Compute Engine autorise la migration des données du disque vers l'autre zone où le disque dispose d'une instance répliquée. Ce processus est appelé "basculement du disque persistant régional". Le processus de basculement implique de dissocier la VM de l'instance répliquée du disque dans la zone affectée, puis de réassocier une nouvelle VM à l'instance répliquée du disque dans l'autre zone. Compute Engine réplique de manière synchrone les données de votre disque vers la région secondaire afin d'assurer un basculement rapide en cas de défaillance d'une seule instance répliquée.

Basculement par plan de contrôle régional propre à l'application

Le plan de contrôle régional propre à l'application n'est pas un service Google Cloud. Lorsque vous concevez des architectures de services à haute disponibilité, vous devez créer votre plan de contrôle régional propre à l'application. Ce plan de contrôle d'application décide quelle VM doit être associée au disque persistant régional et laquelle est la VM principale actuelle. Lorsqu'une panne est détectée dans la VM principale ou la base de données du volume de disque persistant régional, le plan de contrôle régional propre à l'application de votre architecture de service à haute disponibilité peut initier automatiquement le basculement vers la VM de secours dans la zone secondaire. Pendant le basculement, le plan de contrôle régional propre à l'application réassocie le volume de disque persistant régional à la VM de secours dans la zone secondaire. Compute Engine dirige ensuite tout le trafic vers cette VM en fonction des signaux de vérification de l'état.

La latence de basculement globale, temps de détection des pannes exclu, est égale à la somme des latences suivantes :

  • Zéro seconde pour la réassociation d'un volume de disque persistant régional à une VM de secours
  • Temps nécessaire à l'initialisation de l'application et à la reprise après un plantage

Pour plus d'informations, consultez la section Comprendre le plan de contrôle régional propre à l'application.

La page Structure de la reprise après sinistre présente les composants actuellement disponibles dans Compute Engine.

Basculement par association forcée

L'un des avantages des disques persistants régionaux est que, dans l'éventualité peu probable d'une panne de zone, vous pouvez également faire basculer manuellement votre charge de travail exécutée sur le disque persistant régional vers une autre zone. Lorsque la zone d'origine subit une panne, vous ne pouvez pas terminer l'opération de dissociation tant que cette instance répliquée zonale n'est pas restaurée. Dans ce scénario, vous devrez peut-être associer la nouvelle VM à l'instance répliquée zonale secondaire sans dissocier la VM de votre instance répliquée zonale principale. Ce processus est appelé "association forcée".

Lorsque votre instance de VM dans la zone principale devient indisponible, vous pouvez forcer l'association du disque à une instance de VM dans la zone secondaire. Pour ce faire, vous devez effectuer l'une des opérations suivantes :

  • Démarrer une autre instance de VM dans la zone où se trouve le disque persistant régional dont vous forcez l'association.
  • Garder une instance de VM de secours à chaud (hot-standby) dans cette zone. Une instance de secours à chaud est une instance de VM en cours d'exécution qui est identique à celle que vous utilisez. Les deux instances disposent des mêmes données.

Compute Engine exécute l'opération d'association forcée en moins d'une minute. L'objectif de temps de récupération (RTO, Recovery Time Objective) total dépend non seulement du basculement de l'espace de stockage (l'association forcée du disque persistant régional), mais également d'autres facteurs, dont les suivants :

  • La nécessité ou non de créer une instance de VM secondaire au préalable
  • La durée pendant laquelle le système de fichiers sous-jacent détecte un disque associé à chaud
  • Le temps de récupération des applications correspondantes

Pour en savoir plus sur le basculement de votre VM par association forcée, consultez la section Effectuer le basculement du volume de disque persistant régional à l'aide de force-attach.

Un disque persistant régional favorise la disponibilité des charges de travail. Des compromis sont ainsi trouvés pour la protection des données dans le cas peu probable où les deux instances répliquées du disque sont indisponibles en même temps. Pour plus d'informations, consultez la page Gérer les défaillances des disques persistants régionaux.

Limites

Les limites suivantes s'appliquent aux disques persistants régionaux.

Limites générales des disques persistants régionaux

  • Vous ne pouvez associer un disque persistant régional qu'aux VM qui utilisent les types de machines E2, N1, N2 et N2D.
  • Vous ne pouvez pas créer de disque persistant régional à partir d'une image.
  • Lorsque vous utilisez le mode lecture seule, vous pouvez associer un disque persistant avec équilibrage à un maximum de 10 instances de VM.
  • La taille minimale d'un disque persistant standard régional est de 200 Gio.
  • Vous pouvez augmenter la taille d'un volume de disque persistant régional, mais vous ne pouvez pas la réduire.
  • Les volumes de disques persistants régionaux présentent des caractéristiques de performances différentes de celles des volumes de disques persistants zonaux. Pour en savoir plus, consultez la page Performances des options de stockage de blocs.
  • Si vous créez un disque persistant régional en clonant un disque zonal, les deux instances dupliquées zonales ne sont pas entièrement synchronisées au moment de la création. Une fois créé, vous pouvez utiliser le clone de disque régional dans un délai moyen de trois minutes. Toutefois, vous devrez peut-être attendre quelques dizaines de minutes avant que le disque n'atteigne un état entièrement répliqué et que l'objectif de point de récupération (RPO, Recovery Point Objective) soit proche de zéro. Apprenez à vérifier si votre disque persistant régional est entièrement répliqué.

Limites applicables au point de contrôle d'instance répliquée de disque persistant régional

  • Un point de contrôle de récupération d'instance répliquée fait partie des métadonnées de l'appareil et n'affiche aucune donnée de disque. Vous ne pouvez utiliser le point de contrôle que comme mécanisme de création d'un instantané de votre disque dégradé. Après avoir créé l'instantané à l'aide du point de contrôle, vous pouvez l'utiliser pour restaurer vos données.
  • Vous ne pouvez créer des instantanés à partir d'un point de contrôle de récupération d'instance répliquée que lorsque votre disque est dégradé.
  • Compute Engine actualise le point de contrôle de récupération de votre disque uniquement lorsque celui-ci est entièrement répliqué.
  • Compute Engine ne gère qu'un seul point de contrôle de récupération d'instance répliquée pour un disque et ne conserve que la dernière version de ce point de contrôle.
  • Vous ne pouvez pas afficher les horodatages de création et d'actualisation exacts d'un point de contrôle de récupération d'instance répliquée.
  • Vous ne pouvez créer un instantané à partir de votre point de contrôle de récupération d'instance répliquée qu'à l'aide de l'API Compute Engine.

Étapes suivantes