Soluzione
Stratus everRun® SplitSite®
Protezione della disponibilità in tutta l'area metropolitana
I disastri, siano essi causati dalla natura o da errori umani, possono portare alla perdita totale di un data center fisico, lasciando potenzialmente la vostra azienda incapace di funzionare per giorni o addirittura settimane. Nei settori regolamentati, un problema a livello di sito può portare a una perdita di dati che rischia di compromettere la conformità, aumentando significativamente i costi dei tempi di inattività. Ecco perché le aziende dei settori regolamentati come quello farmaceutico, manifatturiero e dei servizi finanziari utilizzano everRun SplitSite protection per garantire che tutti i dati siano replicati in modo sicuro e rimangano sempre disponibili. Sebbene molte organizzazioni continuino a rimandare l'implementazione di una soluzione di disaster recovery temendo costi e richieste di risorse elevate, non più necessario continuare a correre questo rischio.
everRun SplitSite estende la protezione della vostra azienda da interruzioni di corrente localizzate e problemi a livello di edificio a macchine fisiche situate in diversi edifici o data centre. Con everRun SplitSite, se il disastro si verifica in una sede, le applicazioni e i dati sono immediatamente disponibili, aggiornati e pienamente operativi nell'altra sede senza bisogno di personale IT nella seconda sede. Una configurazione SplitSite collega due macchine fisiche (PM) in due siti geograficamente separati. SplitSite fornisce la disponibilità delle applicazioni utilizzando la replica sincrona. La funzionalità di SplitSite di everRun consente al cliente di eseguire le proprie applicazioni in modo efficiente, anche se con latenze più elevate quando i server di everRun sono separati geograficamente o da switch di rete. Possono essere utilizzati sia livelli di protezione FT ad alta disponibilità (HA) che (fault tolerant), senza alcuna modifica delle caratteristiche o della disponibilità. Come nella configurazione di un singolo sito, everRun rileva automaticamente i guasti del disco e della rete e si configura intorno ad essi. E per le macchine virtuali (VM) con protezione FT, everRun manterrà in funzione le VM senza tempi di inattività, anche in caso di guasto di una PM o di un sito. Quando un sito o una PM guasta viene rimessa in servizio, everRun risincronizza automaticamente le unità disco e la memoria della VM.
everRun's SplitSite supporta implementazioni a prova di disastro che mantengono la ridondanza dell'hardware, così come la ridondanza delle sale computer fisiche e degli edifici che le contengono. Sostenendo la separazione geografica, questa potente soluzione a tolleranza di disastri salvaguarda ulteriormente la vostra azienda dai principali tempi di inattività dovuti ad eventi potenzialmente catastrofici come inondazioni e interruzioni di corrente. everRun SplitSite elimina i costi e il caos associati ai tipici prodotti di recupero reattivo. Stratus vede spesso SplitSite utilizzato in campus più grandi o in contesti metropolitani come un'alternativa in tempo reale al recupero di emergenza multisito.
SplitSite requisiti e licenze
Non esiste una limitazione universale della distanza per SplitSite, poiché entrano in gioco diversi fattori. Eventuali switch di rete intervenuti aumentano la latenza e aumentano la possibilità di perdere la connessione tra i nodi con conseguente "split brain" - una situazione in cui nessuno dei due server può verificare che l'altro sia ancora in funzione, con il risultato che due copie della stessa VM funzionano in modo indipendente. Per tutte le configurazioni SplitSite, Stratus richiede che si utilizzi anche il servizio quorum, perché una configurazione SplitSite aumenta la probabilità di ulteriori scenari di guasto split-brain.
Le configurazioni SplitSite sono soggette alle specifiche di massima latenza: Non più di 10ms di latenza di andata e ritorno A-Link per HA VMs e 2ms di latenza di andata e ritorno A-Link per FT VMs. La separazione fino a 10 km (utilizzando una fibra da 1 Gbps) è una topologia di rete A-Link comune che può soddisfare i requisiti di latenza. Le prestazioni delle singole applicazioni, anche all'interno di queste specifiche di latenza, possono dipendere dall'applicazione specifica.
Per il supporto da parte di Stratus è necessario solo l'uso di una licenza d'uso del quorum e il rispetto dei requisiti di latenza. In caso contrario, qualsiasi apparecchiatura di rete e topologia sono supportati. In una tipica rete tradizionale, una buona distanza tra i server è compresa tra 5 km e 10 km. Tuttavia, Stratus ha clienti che oggi utilizzano con successo SplitSite in scenari in cui le PM sono distanti tra loro 50 km o più.
Una configurazione SplitSite richiede un'attenta pianificazione del posizionamento dei componenti, per ridurre al minimo o eliminare i guasti che richiedono lo spegnimento delle VM. Una formazione specifica o l'assistenza di servizi professionali sono molto probabilmente necessarie per il corretto posizionamento di SplitSite. Se un cliente utilizza SplitSite è obbligato ad acquistare una licenza; tuttavia, Stratus non fa rispettare SplitSite attraverso l'attivazione delle funzionalità. Una licenza SplitSite è tuttavia necessaria per ricevere assistenza tecnica su una configurazione SplitSite. Stratus ha scelto una distanza fisica di 10 metri come punto di demarcazione ragionevole per richiedere la licenza SplitSite.
SplitSite e Quorum Server
L'uso del quorum è necessario per le configurazioni di SplitSite per proteggere dalla perdita di dati (dovuta a split-brain) e per consentire alle VM di avviarsi automaticamente in modo sicuro se un secondo everRun PM o sito non è riuscito. In una configurazione SplitSite, si utilizzerà almeno uno e, in modo ottimale, due server del quorum. Questi server sono utilizzati per proteggere da guasti di rete che potrebbero causare la perdita di comunicazione tra i due nodi del sito everRun e il funzionamento di split-brain. La disponibilità del quorum è migliorata, e gli scenari di spegnimento obbligatorio della VM sono ridotti al minimo se il quorum è collocato in una terza posizione e viene implementato un appropriato progetto di networking del quorum.
Se non ci fossero server del quorum configurati, un guasto della rete potrebbe causare la perdita di tutte le comunicazioni tra i due server everRun . Nella stessa situazione con i server del quorum configurati, le VM ridondanti su entrambi i nodi chiederebbero al server del quorum lo stato del loro pari e prenderebbero le misure appropriate in base alla risposta. Se il server del quorum non risponde, una VM isolata si spegne da sola. Ogni volta che la VM peer sull'altro server rimane in contatto con il server del quorum, continua a funzionare. Entrambe le istanze di VM concordano su quale server del quorum viene utilizzato (eletto) prima di qualsiasi guasto. Se il server del quorum primario fallisce, i nodi concordano di eleggere il server del quorum alternativo fino al ritorno in servizio del server primario. Durante la gestione attiva di un guasto, i nodi non possono cambiare il server del quorum.
I server del quorum sono particolarmente importanti nelle configurazioni di SplitSite. La pratica migliore per SplitSite è quella di collocare un server per il quorum preferito in una terza struttura e un server per il quorum alternativo in una quarta struttura. Tuttavia, è anche possibile collocare il server per il quorum alternativo con il server per il quorum preferito e ottenere comunque un servizio soddisfacente. I server per il quorum garantiscono l'integrità delle macchine virtuali contro lo split brain e prevedono l'avvio non presidiato delle macchine virtuali dopo specifici guasti. La comunicazione del quorum server avviene attraverso la rete di gestione.
I server del Quorum non richiedono hardware dedicato o hanno requisiti specifici di latenza di rete. Funzionano come un servizio Windows che può essere installato su quasi tutte le workstation o server Windows che vengono utilizzati per altri scopi, purché il computer venga lasciato in funzione 24 ore al giorno. Tuttavia, non si dovrebbe mai eseguire il servizio quorum in una VM dello stesso sistema everRun che lo utilizza.
Per saperne di più sui server del Quorum
Un servizio per il quorum è un servizio basato sul sistema operativo Windows distribuito su una macchina Windows distinta dal sistema everRun. I server del quorum forniscono garanzie di integrità dei dati e capacità di riavvio automatico per guasti specifici in un ambiente everRun. È possibile configurare una coppia di PM everRun con 0, 1 o 2 server del quorum. Stratus raccomanda vivamente di configurare due server per il quorum: un server per il quorum preferito e uno alternativo, specialmente per il funzionamento di SplitSite. Se sono disponibili solo due siti il quorum può essere posizionato su uno dei siti senza rischio di split-brain. Tuttavia, se unaPM va giù e la PM superstite non è in grado di comunicare con il server del quorum (ad esempio, perché è inaccessibile sullo stesso sito della PM giù), le VM del sito superstite vengono automaticamente spente per evitare un possibile scenario di split-brain.
In una configurazione SplitSite le migliori pratiche per l'implementazione del quorum includono:
- Un server per il quorum preferito si trova in una terza struttura, e un sostituto si trova in un quarto sito (o accuratamente posizionato nel terzo)
- I server del quorum dovrebbero essere il più possibile isolati. Se entrambi devono essere collocati in un sito comune (terzo), assicurarsi che non dipendano da fonti di alimentazione comuni o da switch di rete
- La connettività fisica tra una PM everRun e i server del quorum non deve passare attraverso il sito dell'altra PM
- L'inserimento di un server per il quorum nello stesso sito di uno delle PMs everRun garantisce l'integrità dei dati. Tuttavia, i guasti di quel sito richiedono che le macchine virtuali siano spente (per evitare split-brain) fino a quando non vengono recuperate manualmente.
- La rete di gestione collega fisicamente le PM e i server del quorum. Configurare ogni PM everRun per utilizzare un gateway diverso per raggiungere i server del quorum per la migliore disponibilità di VM. Se i due PM utilizzano lo stesso gateway per raggiungere i server del quorum, alcuni guasti del sito causeranno il guasto del gateway e richiederanno alle VM di spegnersi da sole fino al ripristino manuale
Considerazioni sul server del quorum
- Il software di servizio Quorum, può essere installato su qualsiasi computer generico o portatile con Windows Server 2016, Server 2012, Server 2008, Windows 10 o Windows 7; sempre acceso e con 100MB di spazio minimo su disco e una scheda di interfaccia di rete con connettività alla configurazione everRun tramite la rete di gestione
- I server del quorum non dovrebbero risiedere sullo stesso sito di entrambe le PM quando si distribuiscono in un SplitSite. Se entrambi i server del quorum preferito e alternativo falliscono per un motivo comune, le VM declasseranno la ridondanza e continueranno ad operare utilizzando una PM, in attesa del ripristino di un server del quorum. Ogni volta che una PM e il server del quorum eletto falliscono per un motivo comune, le istanze della VM in esecuzione sulla PM sopravvissuta devono spegnersi da sole.
- Se i server del quorum preferito e quelli alternativi devono risiedere su un sito comune, alimentarli da fonti di alimentazione CA separate (fasi) o configurarli su dispositivi UPS separati, e ridurre al minimo la rete comune necessaria al sistema everRun per accedervi.
Requisiti di rete A-Link
- Le NIC devono essere almeno 1 Gb e full-duplex; utilizzare 10 Gb, se possibile
- Gli switch e/o i convertitori da fibra ottica a rame collegati alla rete privata devono essere non indirizzati, non bloccanti e supportare IPv6
- Per i sistemi che utilizzano macchine virtuali protette da FT, i collegamenti A-Links richiedono:
- Una larghezza di banda minima di 1 Gbps per VM
- Una latenza massima inter-sito* di 2 ms, tempo di andata e ritorno
- Per i sistemi che utilizzano solo macchine virtuali protette da HA, i collegamenti A-Links richiedono:
- Una larghezza di banda minima di 155 Mbps per VM
- Una latenza massima inter-sito* di 10 ms, tempo di andata e ritorno
- Non utilizzare una scheda comune (NIC multiport NIC) per più A-Links
- A-Links può essere un collegamento in fibra ottica dedicato punto a punto o su una VLAN. Le VLAN utilizzate per collegare le porte A-Link non devono filtrare le comunicazioni tra i due nodi everRun
Requisiti della rete privata
- Le NIC devono essere almeno 1 Gb e full-duplex
- La rete privata non deve essere condivisa con un A-Link quando si implementa una configurazione SplitSite
- La rete privata può essere un collegamento in fibra ottica dedicato punto a punto. Se non lo è, deve essere configurata su una VLAN privata. Le VLAN utilizzate per collegare le porte della rete privata devono supportare IPv6 e non devono filtrare le comunicazioni tra i due nodi everRun
Requisiti della rete aziendale
- Un sistema everRun richiede almeno una rete aziendale. Configurare la rete aziendale per entrambi i nodi della stessa VLAN
- I nodi devono essere nello stesso dominio multicast di livello 2
- Collegare le reti aziendali di ogni nodo ad uno switch separato da quello dell'altro nodo. Le VLAN utilizzate per collegare le porte della rete aziendale devono supportare l'IPv6 e non devono filtrare le comunicazioni tra i due nodi everRun
Requisiti della rete di gestione
- Per impostazione predefinita, la rete di gestione è condivisa con una rete aziendale. Se non è condivisa, tutti i requisiti per una rete aziendale continuano ad essere applicati
- Configurare gateway verso una LAN aziendale per la gestione remota
* Calcolare la latenza a 1 ms per ogni 100 miglia di fibra, più l'eventuale latenza aggiunta da interruttori o convertitori di fibra non orientati e non bloccanti.