| Red Hat Cluster Manager: Руководство по установке и администрированию Red Hat Cluster Manager | ||
|---|---|---|
| Назад | Приложение B. Дополнительная информация о программном обеспечении | Вперед |
Понимание поведения кластера в случае значительных событий поможет правильно управлять кластером. Обратите внимание, поведение кластера зависит от того, применяются ли в конфигурации переключатели питания. Переключатели питания позволяют кластеру сохранять целостность данных при сбое в любых ситуациях..
В следующих разделах описано, как ведёт себя система в случаях различных отказов и ошибок.
В кластерной конфигурации, использующей переключатели питания, если система зависает, кластер поведет себя следующим образом:
Работающая кластерная система определяет, что зависшая кластерная система не обновляет свою метку времени на кворумных разделах и не отвечает через пульсирующие каналы.
Работающая кластерная система отключает, а затем включает повисшую систему. Если же используются сторожевые таймеры, отказавшая система перезагрузится самостоятельно.
Функционирующая кластерная система перезапускает все службы, работавшие в повисшей системе.
Если ранее повисшая система перегружается, и может включиться в кластер (то есть, она смогла записать информацию в оба кворумных раздела), службы перераспределяются между узлами кластера, в соответствии с политиками размещения служб.
В кластерной конфигурации, не использующей переключателей питания, при зависании системы, кластер поведет себя следующим образом:
Работающая кластерная система определяет, что зависшая кластерная система не обновляет свою метку времени на кворумных разделах и не отвечает через пульсирующие каналы.
Если используются сторожевые таймеры, отказавшая система может перезагрузиться самостоятельно.
Работающая кластерная система устанавливает в кворумных разделах состояние повисшей системы, как DOWN (ОТКЛЮЧЕНО), а затем перезапускает службы повисшей системы.
Если повисшая система вдруг продолжит свою работу, она заметит, что её состояние отмечено как DOWN (ОТКЛЮЧЕНО), и выполнит перезагрузку.
Если система продолжает висеть, необходимо вручную произвести отключение/включение питания повисшей системы, чтобы продолжить её работу в кластере.
Если ранее повисшая система перегружается, и может включиться в кластер, службы перераспределяются между узлами кластера в соответствии с политиками размещения служб.
Критическая ошибка системы (авария) - это управляемая реакция на ошибку, выявленную программой. В этом случае ядро пытается вернуть систему к устойчивому состоянию, отключив её. Если в кластерной системе происходит критическая ошибка, происходит следующее:
Работающая кластерная система определяет, что кластерная система, оказавшись в аварийном состоянии, не обновляет свою метку времени на кворумных разделах и не отвечает через пульсирующие каналы.
Кластерная система, столкнувшись с критической ошибкой, инициирует отключение и перезагрузку.
Если применяются переключатели питания, действующая кластерная система произведет отключение/включение кластерной системы, находящейся в аварийном состоянии.
Затем функционирующая кластерная система перезапустит все службы, работавшие в отказавшей системе.
Если отказавшая система перегружается и может включиться в кластер (то есть она смогла записать информацию в оба кворумных раздела), службы перераспределяются между узлами кластера, в соответствии с политиками размещения служб.
Кворумные разделы могут оказаться недоступными по причине отказа SCSI (или Fibre Channel) адаптера, подключенного к общему дисковому хранилищу, или отсоединения SCSI кабеля, соединяющего кластерную систему с общим хранилищем. Если происходит одно из этих событий, а шина SCSI по-прежнему окончена терминаторами, кластер ведет себя следующим образом:
Кластерная система, неспособная обратиться к кворумным разделам, замечает что она не может обновить метку времени на кворумных разделах и выполняет перезагрузку.
Если в конфигурации кластера применяются переключатели питания, работающая кластерная система производит отключение/включение перезагружающейся системы.
Затем функционирующая кластерная система перезапускает все службы, работавшие в системе, потерявшей доступ к кворумным разделам.
Если кластерная система перегружается и может включиться в кластер (то есть она смогла записать информацию в оба кворумных раздела), службы перераспределяются между узлами кластера, в соответствии с политиками размещения служб.
Отказ всех сетевых соединений происходит, если разорваны все пульсирующие сетевые соединения между системами. Причиной этому может явиться:
Отсоединение от системы всех сетевых кабелей, используемых для работы пульсирующих каналов.
Отказ всех последовательных и сетевых соединений, используемых для работы пульсирующих каналов.
Если кластер сталкивается с отказом всех сетевых соединений, эту проблему выявляют обе системы, но они также определяют, что подключение к SCSI-диску по-прежнему сохраняется. В таком случае, службы продолжать работать в кластерных системах, не останавливаясь.
Если происходит сбой всех сетевых соединений, диагностируйте проблему, а затем выполните следующее:
Если проблема затрагивает только одну кластерную систему, переместите её службы на другую кластерную систему. Затем исправьте проблему и верните службы в исходную систему.
Вручную остановите службы в одной кластерной системе. В этом случае службы не будут автоматически перенесены в другую систему. Вместо этого, запустите в другой системе службы вручную. После исправления проблемы, вы можете перераспределить службы между системами.
Выключите одну кластерную систему. В этом случае произойдет следующее:
Службы в отключенной системе прекращают свою работу.
Включенная кластерная система определяет, что другая система отключена.
Все службы, работавшие в отключенной кластерной системе, перезапускаются в оставшейся кластерной системе.
Если система перегружается и может включиться в кластер (то есть она смогла записать информацию в оба кворумных раздела), службы перераспределяются между узлами кластера, в соответствии с политиками размещения служб.
Если проверка соединения с удаленным переключателем питания не проходит, но обе системы по-прежнему продолжают работать, никаких изменений в поведении кластера не происходит, пока кластерная система не попытается использовать разорванное соединение для отключения/включения другой системы. Демон, управляющий питанием, будет генерировать сообщения с высоким приоритетом, говорящие об отказе переключателя питания или потери связи с переключателем (например, если был отсоединен кабель).
Если кластерная система попытается использовать отказавший переключатель питания, службы системы, столкнувшейся с проблемой, будут остановлены. Однако, для сохранения целостности данных, они не будут перенесены в другие кластерные системы. Вместо этого, они останутся отключенными до тех пор, пока эта проблема не будет решена.
Если в кластерной системе отказывает демон кворума, система больше не сможет наблюдать за кворумными разделами. Если в кластере не применяются переключатели питания, при описанных выше условиях служба может начать работу сразу в нескольких кластерных системах, что может привести к разрушению данных.
Если происходит сбой в работе кластерного демона, и в кластере применяются переключатели питания, происходит следующее:
Функционирующая кластерная система определяет, что кластерная система, в которой произошел сбой демона кворума, не обновляет свою метку времени на кворумном разделе, хотя при этом достижима через пульсирующие каналы.
Через некоторое время, функционирующая кластерная система выполняет отключение/включение кластерной системы с отказавшим демоном кворума. Если же используются сторожевые таймеры, отказавшая система перезагрузится самостоятельно.
Затем функционирующая кластерная система перезапускает все службы, работавшие в системе, столкнувшейся с отказом демона кворума.
Если кластерная система перегружается и может включиться в кластер (то есть, она смогла выполнить запись в оба кворумных раздела), службы перераспределяются между узлами кластера в соответствии с политиками размещения служб.
Если происходит сбой в работе кластерного демона, и в кластере не применяются ни переключатели питания, ни сторожевые таймеры, происходит следующее:
Функционирующая кластерная система определяет, что кластерная система, в которой произошел сбой демона кворума, не обновляет свою метку времени на кворумном разделе, хотя при этом достижима через пульсирующие каналы.
Затем функционирующая кластерная система перезапускает все службы, работавшие в системе, столкнувшейся с отказом демона кворума. В худшем случае, при катастрофической ошибке, обе кластерные системы будут выполнять одни и те же службы одновременно, что может привести к разрушению данных.
Если в кластерной системе происходит сбой демона пульсирующего канала, время переноса службы будет увеличено, так как демон кворума не сможет быстро определить состояние другой кластерной системы. Сам по себе, отказ демона пульсирующего канала не приводит к переносу службы.
Если демон, управляющий питанием, отказывает в одной кластерной системе и другая кластерная система столкнулась с серьезной проблемой (например, критической ошибкой системы), первая кластерная система не сможет отключить/включить вторую. Вместо этого, кластерная система будет продолжать выполнять свои службы, а службы, работавшие в отказавшей системе, не будут перенесены. В этом случае кластер себя ведет себя также, как и при сбое подключения к удаленному переключателю питания.
Если происходит отказ демона, управляющего службами, службы не могут быть остановлены или запущены без перезапуска этого демона или перезагрузки системы. Самым простым способом перезапустить демона, управляющего службами, является сначала остановить, а затем запустить программное обеспечение кластера. Например, чтобы остановить службу, выполните следующую команду:
/sbin/service cluster stop |
Затем перезапустите программное кластерное обеспечение, выполнив следующую команду:
/sbin/service cluster start |
Если происходит сбой демона мониторинга (clumibd), вы не сможете воспользоваться графической средой Red Hat Cluster Manager для наблюдения за состоянием кластера. Обратите внимание, для наблюдения за работой кластера с удаленных, не кластерных систем, с помощью графической среды, необходимо включить эту возможность в cluconfig.