Resumo da solução
Stratus everRun® SplitSite®
Proteção de disponibilidade em todo o metrô
Os desastres, sejam causados pela natureza ou por erro humano, podem resultar na perda total de um centro de dados físicos, deixando sua empresa potencialmente incapaz de funcionar por dias ou mesmo semanas. Em indústrias regulamentadas, um problema em todo o local pode levar à perda de dados que arrisca a conformidade, adicionando significativamente aos seus custos de inatividade. É por isso que as empresas em setores regulamentados como o farmacêutico, manufatura e serviços financeiros usam a proteção everRun SplitSite para garantir que todos os dados sejam replicados com segurança e permaneçam disponíveis o tempo todo. Embora muitas organizações continuem a adiar a implementação de uma solução de recuperação temendo os altos custos e demandas de recursos, não há mais necessidade de você suportar o risco.
everRun SplitSite estende a proteção de sua empresa contra falhas de energia localizadas e problemas em todo o edifício para máquinas físicas localizadas em diferentes edifícios ou centros de dados. Com o everRun SplitSite, se ocorrer um desastre em um local, as aplicações e os dados estarão imediatamente disponíveis, atualizados e totalmente operacionais no outro local, sem a necessidade de pessoal de TI no segundo local. Uma configuração do SplitSite conecta duas máquinas físicas (PMs) em dois locais geograficamente separados. O SplitSite fornece disponibilidade de aplicações usando replicação síncrona. A capacidade do SplitSite da everRun permite que um cliente execute suas aplicações eficientemente, embora com latências mais altas quando os servidores da everRun são separados geograficamente ou por switches de rede. Tanto a alta disponibilidade (HA) quanto os níveis de proteção FT (tolerante a falhas) podem ser usados, sem nenhuma alteração nas características ou disponibilidade. Como em uma configuração em um único local, o everRun detecta automaticamente falhas de disco e de rede e as configura ao redor delas. E para máquinas virtuais (VMs) com proteção FT, o everRun manterá as VMs funcionando sem tempo de inatividade, mesmo através de uma PM ou falha no local. Quando um site ou PM falha é devolvido ao serviço, o everRun irá automaticamente ressincronizar os drives de disco e a memória da VM.
O SplitSite da everRun suporta implantações tolerantes a desastres que mantêm redundância de hardware, assim como redundância de salas físicas de computadores e dos edifícios que as contêm. Ao apoiar a separação geográfica, esta poderosa solução tolerante a desastres protege ainda mais sua empresa de grandes paradas devido a eventos potencialmente catastróficos como inundações e quedas de energia. O SplitSite da everRun elimina o custo e o caos associados aos produtos típicos de recuperação reativa. A Stratus freqüentemente vê o SplitSite usado em campus maiores ou em ambientes metropolitanos como uma alternativa em tempo real para a recuperação de desastres em múltiplos locais.
Requisitos do SplitSite, e Licenciamento
Não há limitação universal de distância para o SplitSite, uma vez que vários fatores entram em jogo. Quaisquer comutadores de rede intervenientes aumentam a latência e aumentam a possibilidade de perder a conexão entre os nós resultando em "cérebro dividido" - uma situação em que nenhum dos servidores pode verificar se o outro ainda está funcionando, resultando em duas cópias da mesma VM rodando independentemente. Para todas as configurações do SplitSite, o Stratus exige que você também use o serviço de quorum porque uma configuração do SplitSite aumenta a probabilidade de cenários adicionais de falha de "split-brain".
As configurações do SplitSite estão sujeitas às especificações de latência máxima: Não mais que 10ms de latência A-Link de ida e volta para VMs HA e 2ms de latência A-Link de ida e volta para VMs FT. A separação de até 10 km (usando fibra de 1 Gbps) é uma topologia de rede A-Link comum que pode atender aos requisitos de latência. O desempenho da aplicação individual, mesmo dentro destas especificações de latência, pode depender da aplicação específica.
Apenas um uso de licença de quorum e conformidade com os requisitos de latência são necessários para o suporte da Stratus. Caso contrário, qualquer equipamento e topologia de rede são acomodados. Em uma rede convencional típica, uma boa distância entre os servidores é de 5 km a 10 km. Entretanto, a Stratus tem clientes que estão usando com sucesso o SplitSite hoje em cenários onde os PMs estão a 50km ou mais um do outro.
Uma configuração do SplitSite requer um planejamento cuidadoso da colocação dos componentes, para minimizar ou eliminar falhas que requerem que as VMs sejam desligadas. Treinamento específico ou assistência de serviços profissionais são muito provavelmente necessários para implantar o SplitSite corretamente. Se um cliente utiliza o SplitSite, ele é obrigado a comprar uma licença; no entanto, a Stratus não impõe o SplitSite através da ativação de recursos. Uma licença do SplitSite é, no entanto, necessária para receber suporte técnico na configuração de um SplitSite. A Stratus escolheu uma separação física de 10m como um ponto de demarcação de distância razoável para requerer o licenciamento do SplitSite.
Servidores SplitSite e Quorum
O uso de quorum é necessário para configurações do SplitSite para proteger contra perda de dados (devido ao split-brain) e para permitir que as VMs iniciem automaticamente se uma segunda PM ou local falhar. Em uma configuração do SplitSite, você usará pelo menos um, e de forma ideal dois, servidores de quorum. Estes servidores são usados para proteger contra falhas de rede que podem fazer com que os dois nós do everRun percam a comunicação um com o outro e operem o cérebro dividido. A disponibilidade do quorum é melhorada, e os cenários de desligamento obrigatório da VM são minimizados se o quorum for colocado em um terceiro local e um projeto apropriado de rede de quorum for implementado.
Se não houvesse servidores de quorum configurados, uma falha na rede poderia fazer com que os dois servidores de everRun perdessem toda a comunicação um com o outro. Na mesma situação com servidores de quorum configurados, as VMs redundantes em ambos os nós perguntariam ao servidor de quorum o status de seus pares e tomariam a ação apropriada com base na resposta. Se o servidor de quorum não responder, uma VM isolada se desligará. Sempre que a VM do outro servidor permanece em contato com o servidor de quorum, ela continua a funcionar. Ambas as VMs concordam sobre qual servidor de quorum está sendo usado (eleito) antes de qualquer falha. Se o servidor de quorum primário falhar, os nós concordam em eleger o servidor de quorum alternativo até que o servidor de quorum primário retorne ao serviço. Durante o gerenciamento ativo de uma falha, os nós não podem trocar de servidor de quorum.
Os servidores Quorum são particularmente importantes nas configurações do SplitSite. A melhor prática para SplitSite é colocar um servidor de quorum preferencial em uma terceira instalação e um servidor de quorum alternativo em uma quarta instalação. Entretanto, você também pode colocar o servidor de quorum alternativo com o servidor de quorum preferido e ainda assim obter um serviço satisfatório. Os servidores de quorum garantem a integridade das VMs contra cérebros rachados, e proporcionam a partida desacompanhada das VMs após falhas específicas. A comunicação do servidor Quorum ocorre através da rede de gerenciamento.
Os servidores Quorum não requerem hardware dedicado ou têm qualquer requisito específico de latência de rede. Eles funcionam como um serviço Windows que pode ser instalado em quase qualquer estação de trabalho ou servidor Windows que seja utilizado para outros fins, desde que o computador seja deixado em funcionamento 24 horas por dia. Entretanto, nunca se deve executar o serviço de quorum em uma VM do mesmo sistema everRun que o utiliza.
Mais sobre os Servidores Quorum
Um serviço de quorum é um serviço baseado no sistema operacional Windows implantado em uma máquina Windows diferente do sistema everRun. Os servidores Quorum fornecem garantias de integridade de dados e capacidades de reinício automático para falhas específicas em um ambiente everRun. Você pode configurar um par EverRun PM com 0, 1, ou 2 servidores de quorum. A Stratus recomenda fortemente a configuração de dois servidores de quorum: um servidor de quorum preferido e um servidor de quorum alternativo - especialmente para operação SplitSite. Se apenas dois sites estiverem disponíveis, o quorum pode ser colocado em um dos sites sem risco de "split-brain". Entretanto, se um PM cair e o PM sobrevivente não conseguir se comunicar com o servidor de quorum (por exemplo, por ser inacessível no mesmo local que o PM caído), os VMs no local sobrevivente são automaticamente desligados para evitar um possível cenário de "split-brain".
Em um SplitSite, as melhores práticas de configuração para a distribuição do quorum incluem:
- Um servidor de quorum preferencial localizado em uma terceira instalação, e uma alternativa está localizada em um quarto local (ou cuidadosamente colocada no terceiro)
- Os servidores do Quorum devem ser tão isolados quanto possível. Se ambos devem ser colocados em um (terceiro) site comum, certifique-se de que não dependam de fontes de energia ou switches de rede comuns.
- A conectividade física entre um PM sempre em funcionamento e os servidores de quorum não deve passar pelo site do outro PM
- A colocação de um servidor de quorum no mesmo site que um dos PMs sempre em funcionamento garante a integridade dos dados. Entretanto, falhas desse site exigem que as VMs sejam desligadas (para garantir contra a quebra do cérebro) até que sejam recuperadas manualmente.
- A rede de gerenciamento conecta fisicamente os PMs e os servidores de quorum. Configure cada PM EverRun para usar um gateway diferente para alcançar os servidores de quorum para melhor disponibilidade das VMs. Se os dois PMs usarem o mesmo gateway para chegar aos servidores de quorum, algumas falhas no site farão com que o gateway falhe e exigirão que as VMs se desliguem até serem recuperadas manualmente.
Considerações sobre o Quorum Server
- Software de serviço Quorum, pode ser instalado em qualquer computador de uso geral ou laptop rodando Windows Server 2016, Server 2012, Server 2008, Windows 10 ou Windows 7; sempre ligado e com 100MB de espaço mínimo em disco e uma placa de interface de rede com conectividade para a configuração everRun através da rede de gerenciamento
- Os servidores do Quorum não devem residir no mesmo local que qualquer um dos PM ao serem implantados em um SplitSite. Se ambos os servidores de quorum preferidos e alternativos falharem por uma razão comum, as VMs irão graciosamente rebaixar a redundância, e então continuarão a operar usando uma PM, enquanto se aguarda a recuperação de um servidor de quorum. Sempre que um PM e o servidor de quorum eleito falharem por uma razão comum, as instâncias de VMs em funcionamento no PM sobrevivente devem se desligar
- Se os servidores de quorum preferidos e alternativos devem residir em um local comum, alimentá-los com fontes de energia CA separadas (fases) ou configurá-los em dispositivos UPS separados, e minimizar a rede comum necessária para que o sistema everRun possa acessá-los
Requisitos da rede A-Link
- Os DNIs devem ter no mínimo 1 Gb e full-duplex; usar 10 Gb, se possível
- Switches e/ou conversores de fibra-para-cobre conectados à rede privada devem ser não-roteados, não-bloqueados e suportar IPv6
- Para sistemas rodando VMs FT-protegidos, os A-Links exigem:
- Uma largura de banda mínima de 1 Gbps por VM
- Uma latência máxima entre locais* de 2 ms, tempo de ida e volta
- Para sistemas rodando somente VMs com proteção HA, os A-Links exigem:
- Uma largura de banda mínima de 155 Mbps por VM
- Uma latência máxima entre locais* de 10 ms, tempo de ida e volta
- Não usar um cartão comum (DNI multiportes) para múltiplos A-Links
- Os A-Links podem ser conexões de fibra ponto-a-ponto dedicadas ou em uma VLAN. As VLANs usadas para conectar as portas A-Link não devem filtrar nenhuma comunicação entre os dois nós da EverRun.
Requisitos da rede privada
- Os DNIs devem ter no mínimo 1 Gb e full-duplex
- A rede privada não deve ser compartilhada com um A-Link ao implantar uma configuração SplitSite
- A rede privada pode ser uma conexão de fibra ponto-a-ponto dedicada. Se não for, ela deve ser configurada em uma VLAN privada. As VLANs usadas para conectar as portas da rede privada devem suportar IPv6 e não filtrar nenhuma comunicação entre os dois nós da EverRun.
Requisitos da Rede Comercial
- Um sistema everRun requer pelo menos uma rede comercial. Configurar a rede de negócios para ambos os nós na mesma VLAN
- Os nós devem estar no mesmo domínio multicast camada 2
- Conecte as redes comerciais em cada nó a um switch separado do switch do outro nó. As VLANs usadas para conectar as portas das redes empresariais devem suportar IPv6 e não filtrar nenhuma comunicação entre os dois nós da everRun.
Requisitos da Rede de Gestão
- Por padrão, a rede de gestão é compartilhada com uma rede comercial. Se não for compartilhada, todos os requisitos para uma rede de negócios continuam a ser aplicados
- Configurar gateways para uma LAN comercial para gerenciamento remoto
* Calcular a latência a 1 ms para cada 100 milhas de fibra, mais qualquer latência adicionada por interruptores ou conversores de fibra sem rota, sem bloqueio.