À propos de la réplication asynchrone de disques persistants

La réplication asynchrone des disques persistants (réplication asynchrone DP) fournit un objectif de point de récupération faible (RPO, Recovery Point Objective) et un objectif de temps de récupération faible (RTO, Recovery Time Objective) du stockage de blocs pour la reprise après sinistre active/passive interrégionale.

La réplication asynchrone des disques persistants est une option de stockage qui permet une réplication asynchrone des données entre deux régions. Dans le cas peu probable d'une panne régionale, la réplication asynchrone des disques persistants vous permet de basculer vos données vers une région secondaire et de redémarrer votre charge de travail dans cette région.

Vous pouvez utiliser la réplication asynchrone des disques persistants pour gérer la réplication pour les charges de travail Compute Engine au niveau de l'infrastructure, et non au niveau de la charge de travail.

Présentation

La réplication asynchrone des disques persistants réplique les données d'un disque associé à une charge de travail en cours d'exécution, le disque principal, vers un disque distinct situé dans une autre région. Le disque qui reçoit les données répliquées est appelé disque secondaire.

La région dans laquelle se trouve le disque principal est appelée région principale, et la région dans laquelle se trouve le disque secondaire est appelée région secondaire. Les régions principale et secondaire sont appelées paire de régions.

Tout disque répondant aux exigences de disque peut être utilisé comme disque principal. Après avoir créé un disque principal, vous pouvez créer un disque secondaire qui référence le disque principal et démarrer la réplication à partir du disque principal sur le disque secondaire.

Si vous arrêtez la réplication à partir du disque principal à un moment donné et que vous souhaitez redémarrer la réplication ultérieurement, vous devez créer un disque secondaire pour redémarrer la réplication.

Groupes de cohérence

Les groupes de cohérence vous permettent d'effectuer des tests de reprise après sinistre et de reprise après sinistre sur plusieurs disques. Un groupe de cohérence est une règle de ressources qui effectue les opérations suivantes :

  • Aligne la réplication sur les disques principaux et garantit que tous les disques contiennent des données de réplication à un moment précis, qui sont utilisées pour la reprise après sinistre.
  • Aligne les clones de disque des disques secondaires et garantit que tous les clones de disque contiennent des données à partir d'un moment précis, qui est utilisé pour les exercices de reprise après sinistre.

Si vous souhaitez aligner la période de réplication sur plusieurs disques, ajoutez des disques principaux à un groupe de cohérence. Si vous souhaitez cloner plusieurs disques et que ces clones contiennent des données à un moment précis, ajoutez des disques secondaires à un groupe de cohérence. Un groupe de cohérence peut être utilisé pour la réplication ou le clonage, mais pas les deux simultanément.

Si vous souhaitez ajouter des disques principaux à un groupe de cohérence, vous devez ajouter des disques au groupe de cohérence avant de commencer la réplication. Vous pouvez ajouter des disques secondaires à un groupe de cohérence à tout moment.

Basculement et restauration

En cas de panne dans la région principale, il est de votre responsabilité d'identifier la panne et de redémarrer votre charge de travail à l'aide des disques secondaires de la région secondaire. La réplication asynchrone des disques persistants n'offre pas de surveillance des interruptions. Vous pouvez identifier une panne à l'aide des métriques RPO, des vérifications d'état, des métriques spécifiques aux applications et en contactant Cloud Customer Care.

Le processus de basculement implique les tâches suivantes :

  1. Arrêtez la réplication.
  2. Associez les disques secondaires aux VM de la région secondaire.

Après avoir basculé les disques, il vous incombe de valider et de redémarrer la charge de travail de votre application dans la région secondaire, puis de reconfigurer les adresses réseau utilisées pour accéder à votre application de sorte qu'elles pointent vers la région secondaire.

Après un basculement de la région principale vers la région secondaire, la région secondaire devient la région principale agissant. Une fois la panne ou la catastrophe résolue, vous pouvez lancer la restauration pour démarrer la réplication de la région secondaire d'origine (la région principale agissante) vers la région principale d'origine. Vous pouvez éventuellement répéter le processus pour replacer la charge de travail dans la région principale d'origine.

Le processus de restauration implique les tâches suivantes :

  1. Configurez la réplication entre la nouvelle région principale et la région principale d'origine.

    • Le disque secondaire d'origine est désormais le nouveau disque principal et vous devez le configurer pour qu'il se réplique sur un nouveau disque secondaire dans la région principale d'origine.
    • Vous pouvez créer une règle de ressources de groupe de cohérence dans la nouvelle région principale afin que les nouveaux disques principaux (les disques secondaires d'origine) puissent répliquer de manière cohérente vers un nouvel ensemble de disques secondaires de la région principale d'origine.

  2. (Facultatif) Une fois la réplication initiale effectuée, vous pouvez répéter le processus de basculement pour renvoyer la charge de travail vers la région principale d'origine.

Chiffrement de disque

Les disques principaux et secondaires ne sont pas compatibles avec les clés de chiffrement fournies par le client. Utilisez plutôt des clés appartenant à Google et gérées par Google ou des clés de chiffrement gérées par le client (CMEK). Si vous utilisez des CMEK sur le disque principal, vous devez également utiliser CMEK sur le disque secondaire. Vous pouvez utiliser des clés CMEK différentes sur les deux disques.

Personnalisation du disque secondaire

Lorsque vous créez un disque secondaire, Compute Engine copie les propriétés du disque principal sur le disque secondaire. Ces propriétés incluent la description, le type de disque et les libellés du disque principal.

Si le disque principal est un disque de démarrage, le disque secondaire dispose également de la configuration de démarrage du disque principal. La configuration de démarrage inclut des informations sur l'architecture du système d'exploitation (OS), ses licences et ses fonctionnalités d'OS invité.

Vous pouvez modifier certaines propriétés du disque secondaire afin qu'elles diffèrent de celles du disque principal. Par exemple, le disque principal et le disque secondaire doivent avoir la même taille et la même clé de chiffrement, mais vous pouvez attribuer des libellés supplémentaires au disque secondaire.

Pour les disques de démarrage, vous pouvez activer des options de sécurité ou de mise en réseau supplémentaires sur le disque secondaire, en spécifiant des fonctionnalités d'OS invité supplémentaires. Toutefois, vous ne pouvez supprimer aucune des fonctionnalités d'OS invité issues du disque principal. Compute Engine fusionne les nouvelles fonctionnalités que vous spécifiez avec les fonctionnalités d'OS invité existantes du disque principal.

Exemple

Supposons que vous disposiez d'un disque de démarrage appelé disk-1, doté des fonctionnalités d'OS invité suivantes : [GVNIC, UEFI_COMPATIBLE].

Si vous créez un disque secondaire à partir de disk-1, vous ne pouvez spécifier que des fonctionnalités supplémentaires. Vous ne pouvez pas supprimer les fonctionnalités UEFI_COMPATIBLE et GVNIC. Ainsi, si vous spécifiez MULTI_IP_SUBNET lorsque vous créez le disque secondaire, la nouvelle fonctionnalité est fusionnée avec celles du disque principal. Par conséquent, les fonctionnalités d'OS invité résultantes pour le disque secondaire sont GVNIC, UEFI_COMPATIBLE et MULTI_IP_SUBNET.

Pour apprendre à personnaliser un disque secondaire, consultez la page Créer un disque secondaire personnalisé.

Réplication asynchrone des disques persistants et disques persistants régionaux

Vous pouvez utiliser la réplication asynchrone des disques persistants avec des disques persistants régionaux pour obtenir une haute disponibilité et une reprise après sinistre.

Les disques persistants régionaux peuvent être utilisés comme disque principal ou secondaire dans une paire de disques à réplication asynchrone. Une paire de disques est un disque principal qui est répliqué sur un disque secondaire.

Lorsque vous utilisez un disque régional comme disque principal, la réplication reste ininterrompue, même si l'une de ses zones subit une panne. Le disque principal régional continue de répliquer les données de la zone opérationnelle vers le disque secondaire. De même, lorsqu'un disque régional sert de disque secondaire, la réplication persiste malgré une panne dans l'une de ses zones. L'utilisation d'un disque régional en tant que disque secondaire prépare votre charge de travail pour la haute disponibilité entre les zones en cas de basculement, le disque secondaire devenant alors le nouveau disque principal.

Limites

  • La réplication asynchrone des disques persistants n'est compatible qu'avec les disques persistants avec équilibrage et SSD.
  • Les disques en lecture seule et les disques à écriture simultanée ne sont pas acceptés.
  • La taille maximale de chaque disque est de 32 Tio.
  • Vous devez arrêter la réplication avant de pouvoir supprimer un disque principal ou secondaire.
  • Si la réplication est en cours pour le disque de démarrage d'une VM, vous ne pouvez pas supprimer la VM tant que vous n'avez pas arrêté la réplication.
  • Si un disque principal est associé à une VM en tant que disque non amorçable et qu'il est configuré pour être supprimé avec la VM, vous ne pouvez pas supprimer la VM ni le disque tant que vous n'avez pas arrêté la réplication ou dissocié le disque principal de la VM. Les tentatives de suppression de la VM échoueront tant que vous n'aurez pas arrêté la réplication.

  • Chaque projet peut comporter au maximum 1 000 paires de disques dans chaque paire de régions.

    Par exemple, un projet donné, project-1, peut comporter jusqu'à 1 000 paires de disques dans la paire de régions Iowa-Oregon. project-1 peut également comporter jusqu'à 1 000 paires de disques dans la paire de régions Belgique-Francfort.

Régions où le service est disponible

La réplication asynchrone des disques persistants est disponible dans toutes les régions des continents suivants :

  • Asie, à l'exception de l'Indonésie
  • Europe
  • Amérique du Nord
  • Océanie

Vous pouvez répliquer un disque principal dans une région donnée sur un disque secondaire dans n'importe quelle région disponible sur le même continent. Cela signifie que vous pouvez créer une paire de régions à partir de deux régions situées sur le même continent.

Par exemple, supposons que vous disposiez d'un disque principal à Francfort (europe-west3). Vous pouvez répliquer ce disque sur un disque secondaire n'importe où en Europe, mais pas dans une région d'Amérique du Nord.

Pour obtenir la liste complète de toutes les régions dans Compute Engine, consultez la section Régions et zones disponibles.

Performances

L'objectif de reprise après sinistre (RPO), ou le délai avant expiration des données disponibles sur le site secondaire, dépend des taux de modifications du disque. La réplication asynchrone des disques persistants réplique généralement les données avec un RPO cible d'une minute, pour un maximum de 12,5 Go de blocs modifiés compressés par minute avec des blocs de disque répliqués avec une précision de bloc de 4 Ko. Si un bloc donné est modifié plusieurs fois entre des événements de réplication, seule la modification la plus récente est répliquée sur le disque secondaire. À des taux de modification de disque plus élevés, le RPO peut être supérieur à une minute et augmente généralement à mesure que les taux de modification du disque augmentent. Le RPO n'est pas configurable.

Le RPO peut dépasser une minute dans les scénarios suivants :

  • Quand la réplication du disque démarre. Lors de la réplication initiale, la réplication asynchrone des disques persistants réplique tous les blocs utilisés sur le disque principal sur le disque secondaire. La réplication initiale est terminée lorsque la métrique disk/async_replication/time_since_last_replication est disponible dans Cloud Monitoring.
  • Si le taux de modification du disque est supérieur à 12,5 Go de blocs modifiés compressés par minute. Après un pic de disque, le RPO pour les cycles de réplication ultérieurs peut dépasser une minute pendant que la réplication rattrape le retard.
  • Si vous dissociez un disque d'une VM ou redémarrez une VM pendant la réplication du disque. Les disques en cours de réplication qui sont dissociés d'une VM peuvent constater une augmentation du RPO pouvant atteindre cinq minutes pendant une courte période.

Pour savoir comment afficher le RPO pour vos disques, consultez la page Métriques de performances de la réplication asynchrone des disques persistants.

L'objectif de temps de récupération (RTO) lors du basculement dépend du temps nécessaire à l'exécution des différentes tâches impliquées dans le basculement de votre charge de travail vers une nouvelle région. Les tâches telles que l'arrêt de la réplication et l'association de disques aux VM de la région secondaire ne doivent prendre que quelques minutes. Vous pouvez accélérer le RTO en vous assurant que vos VM s'exécutent dans la région secondaire afin d'éviter de démarrer les VM en cas de basculement.

Étapes suivantes