Sobre replicação de disco síncrona

O disco permanente regional e a alta disponibilidade balanceada de hiperdisco são opções de armazenamento que permitem implementar serviços de alta disponibilidade (HA) no Compute Engine. O disco permanente regional e a alta disponibilidade balanceada de hiperdisco replicam dados de forma síncrona entre duas zonas na mesma região e garantem alta disponibilidade para dados de disco em até uma falha zonal.

Os volumes regionais de alta disponibilidade balanceada de disco permanente e hiperdisco são projetados para cargas de trabalho que exigem um objetivo de ponto de recuperação (RPO) e um objetivo de tempo de recuperação (RTO) mais baixos. Para saber mais sobre RPO e RTO, consulte Noções básicas de planejamento de recuperação de desastres .

Disco Permanente Regional e Os volumes Hyperdisk Balanced High Availability são projetados para funcionar com grupos de instâncias gerenciadas regionais.

Este documento fornece uma visão geral de como construir serviços de alta disponibilidade comDisco Permanente Regional e Volumes de alta disponibilidade balanceados de hiperdisco.

Quando você decide usar Disco permanente regional ou Alta disponibilidade balanceada de hiperdisco, certifique-se de comparar as diferentes opções para aumentar a disponibilidade do serviço e o custo, o desempenho e a resiliência para diferentes arquiteturas de serviço.

Sobre replicação de disco síncrona

UM Disco permanente regional ou O volume de alta disponibilidade balanceada de hiperdisco, também conhecido como disco regional ou disco replicado de forma síncrona, possui uma zona primária e uma zona secundária em sua região onde armazena dados do disco:

  • A zona primária é a mesma zona onde está localizada a instância de computação à qual você anexa o disco.
  • A zona secundária é uma zona alternativa de sua escolha dentro da mesma região.

O Compute Engine mantém réplicas do seu disco nessas duas zonas. Quando você grava dados no disco, o Compute Engine replica esses dados de forma síncrona nas réplicas de disco em ambas as zonas para garantir a alta disponibilidade. Os dados de cada réplica zonal são distribuídos por diversas máquinas físicas dentro da zona para garantir durabilidade. As réplicas zonais garantem que os dados do disco permaneçam disponíveis e fornecem proteção contra interrupções temporárias em uma das zonas do disco.

Estado da réplica para réplicas zonais

Estado da réplica do disco para Disco permanente regional ou A alta disponibilidade balanceada de hiperdisco mostra o estado de uma réplica zonal em comparação com o conteúdo do disco. As réplicas zonais dos seus discos estão sempre em um dos seguintes estados de réplica de disco:

  • Sincronizado : a réplica está disponível, recebe de forma síncrona todas as gravações realizadas no disco e está atualizada com todos os dados do disco.
  • Catching up : a réplica está disponível, mas ainda está atualizando os dados no disco da outra réplica.
  • Fora de sincronia : a réplica está temporariamente indisponível e fora de sincronia com os dados no disco.

Para saber como verificar e rastrear os estados das réplicas zonais, consulte Monitorar os estados da réplica do disco .

Estados de replicação para discos regionais

Dependendo do estado das réplicas zonais individuais, seuDisco permanente regional ou O volume de alta disponibilidade balanceada de hiperdisco pode estar em um dos seguintes estados de replicação:

  • Totalmente replicado: as réplicas em ambas as zonas estão disponíveis e são sincronizadas com os dados mais recentes do disco.
  • Atualização: suas réplicas zonais estão disponíveis, mas uma das réplicas zonais está atualizando os dados de disco mais recentes.
  • Degradado: uma das réplicas zonais tem um status out of sync devido a uma falha ou interrupção.

Se o status da replicação do disco estiver catching up ou degraded , uma das réplicas zonais não será atualizada com todos os dados. Qualquer interrupção durante esse período na zona da réplica íntegra resultará na indisponibilidade do disco até que a zona da réplica íntegra seja restaurada.

Quando seu Disco permanente regional ou O volume do Hyperdisk Balanced High Availability está se atualizando,Google Cloud começa a curar a réplica zonal que está se atualizando. O Google recomenda que você aguarde até que a réplica zonal afetada alcance os dados no disco, momento em que seu status muda para Synced . Depois que a réplica zonal passa para o estado sincronizado, o status do disco regional volta para o estado Fully replicated .

Se o disco regional tiver um status de catching up ou degraded por um período prolongado e não atender aos requisitos de RPO da sua organização, recomendamos que você tire instantâneos da réplica primária de uma das seguintes maneiras:

  • Habilite instantâneos agendados.
  • Crie um instantâneo manual do seuDisco permanente regional ou Disco de alta disponibilidade balanceado de hiperdisco.

Depois de criar um instantâneo, você pode criar um novoDisco permanente regional ou Disco de alta disponibilidade balanceada de hiperdisco usando esse instantâneo como origem. Isso restaura o instantâneo no novo disco. Seu novo disco também inicia em um estado totalmente replicado com replicação de dados íntegra.

Para saber como verificar o estado de replicação do seuDisco permanente regional ou Disco de alta disponibilidade balanceada de hiperdisco, consulte Determinar o estado de replicação dos discos .

Ponto de verificação de recuperação de réplica

Um ponto de verificação de recuperação de réplica é um atributo de disco que representa o ponto mais recente consistente com falhas de um disco totalmente replicado. O Compute Engine cria e mantém automaticamente um único ponto de verificação de recuperação de réplica para cada disco regional. Quando um disco é totalmente replicado, o Compute Engine atualiza seu ponto de verificação aproximadamente a cada 10 minutos para garantir que ele permaneça atualizado. Quando o status de replicação do disco é degraded , o Compute Engine permite criar um snapshot padrão a partir do ponto de verificação de recuperação da réplica desse disco. O instantâneo padrão resultante captura os dados da versão mais recente e consistente com falhas do disco totalmente replicado.

Em raros cenários, quando o disco está degradado, a réplica zonal sincronizada com os dados mais recentes do disco também pode falhar antes que a réplica fora de sincronia seja atualizada. Você não poderá forçar a anexação do disco a instâncias de computação em nenhuma das zonas. Seu disco replicado fica indisponível e você deve migrar os dados para um novo disco. Nesses cenários, se você não tiver nenhum instantâneo padrão disponível para o disco, ainda poderá recuperar os dados do disco da réplica incompleta usando um instantâneo padrão criado a partir do ponto de verificação de recuperação da réplica.

O Compute Engine cria automaticamente pontos de verificação de recuperação de réplica para cada instância montada Disco permanente regional ou Disco de alta disponibilidade balanceado de hiperdisco. Você não incorre em nenhuma cobrança adicional pela criação desses pontos de verificação. No entanto, você incorre em quaisquer cobranças de armazenamento aplicáveis ​​para a criação de instantâneos e instâncias de computação ao usar esses pontos de verificação para migrar seu disco regional para zonas funcionais.

Saiba mais sobre como recuperar os dados do disco regional usando um ponto de verificação de recuperação de réplica .

Failover de disco regional

No caso de uma interrupção numa zona, a zona torna-se inacessível e a instância de computação nessa zona não pode executar operações de leitura ou escrita no seu disco. Para permitir que a instância continue realizando operações de leitura e gravação no disco regional, o Compute Engine permite a migração de dados do disco para a outra zona onde o disco tem uma réplica. Este processo é chamado de failover .

O processo de failover envolve desanexar a réplica zonal da instância na zona afetada e, em seguida, anexar a réplica zonal a uma nova instância na zona secundária. O Compute Engine replica de forma síncrona os dados do seu disco para a zona secundária para garantir um failover rápido no caso de falha de uma única réplica.

Failover por plano de controle regional específico do aplicativo

O plano de controle regional específico da aplicação não é um Google Cloud serviço. Ao projetar arquiteturas de serviço de alta disponibilidade, você deve construir seu próprio plano de controle regional específico do aplicativo. Este plano de controle do aplicativo decide qual instância deve ter o disco regional anexado e qual instância é a instância primária atual.

Quando uma falha é detectada na instância primária ou no banco de dados do disco regional, o plano de controle regional específico do aplicativo da sua arquitetura de serviço de alta disponibilidade pode iniciar automaticamente o failover para a instância de espera na zona secundária. Durante o failover, o plano de controle regional específico do aplicativo reconecta o disco regional à instância de espera na zona secundária. O Compute Engine direciona todo o tráfego para essa instância com base em sinais de verificação de integridade.

A latência geral de failover, excluindo o tempo de detecção de falhas, é a soma das seguintes latências:

  • Menos de 1 minuto para anexar um disco regional a uma instância em espera
  • Tempo necessário para inicialização do aplicativo e recuperação de falhas

Para obter mais informações, consulte Noções básicas sobre o plano de controle regional específico do aplicativo .

A página Blocos de construção da recuperação de desastres abrange os blocos de construção disponíveis no Compute Engine.

Failover por anexação forçada

Um dos benefícios Disco Permanente Regional e A alta disponibilidade balanceada de hiperdisco significa que, no caso improvável de uma interrupção zonal, você pode fazer failover manualmente de sua carga de trabalho para outra zona. Quando a zona original sofre uma interrupção, não é possível concluir a operação de desanexação de disco até que a réplica zonal seja restaurada. Neste cenário, poderá ser necessário anexar a réplica zonal secundária a uma nova instância de computação sem desanexar a réplica zonal primária da sua instância primária. Este processo é chamado de anexação forçada .

Quando sua instância de computação na zona primária ficar indisponível, você poderá forçar a anexação do disco a uma instância na zona secundária. Para executar esta tarefa, você deve executar um dos seguintes procedimentos:

  • Inicie outra instância de computação na mesma zona que a réplica de disco regional que você está forçando a anexação.
  • Mantenha uma instância de computação em espera ativa nessa zona. Um hot standby é uma instância em execução idêntica àquela na zona primária. As duas instâncias possuem os mesmos dados.

O Compute Engine executa a operação de anexação forçada em menos de um minuto. O objetivo de tempo de recuperação total (RTO) depende não apenas do failover de armazenamento (a fixação forçada do disco regional), mas também de outros fatores, incluindo os seguintes:

  • Se você deve primeiro criar uma instância secundária
  • O tempo que o sistema de arquivos subjacente leva para detectar um disco conectado a quente
  • O tempo de recuperação dos aplicativos correspondentes

Para obter mais informações sobre como fazer failover de sua instância de computação usando force-attach, consulte Fazer failover de seu disco regional usando force-attach .

Disco Permanente Regional e A alta disponibilidade balanceada de hiperdiscos favorece a disponibilidade da carga de trabalho, o que significa que há compensações para a proteção de dados no caso improvável de ambas as réplicas de disco estarem indisponíveis ao mesmo tempo. Para obter mais informações, consulte Gerenciar falhas em discos regionais .

Limitações

As seções a seguir listam as limitações que se aplicam aDisco Permanente Regional e Alta disponibilidade balanceada de hiperdisco.

Limitações gerais para discos regionais

  • Você pode anexar discos permanentes regionais somente a VMs que usam tipos de máquina E2 , N1 , N2 e N2D .
  • Você pode anexar o Hyperdisk Balanced High Availability somente aos tipos de máquinas suportados .
  • Não é possível criar um disco permanente regional a partir de uma imagem do sistema operacional ou de um disco criado a partir de uma imagem do sistema operacional.
  • Ao usar o modo somente leitura, você pode anexar um disco permanente balanceado regional a no máximo 10 instâncias de VM.
  • O tamanho mínimo de um disco permanente padrão regional é 200 GiB.
  • Você só pode aumentar o tamanho de um Disco permanente regional ouVolume de alta disponibilidade balanceado de hiperdisco; você não pode diminuir seu tamanho.
  • Disco Permanente Regional e Os volumes de alta disponibilidade balanceada de hiperdisco têm características de desempenho diferentes de seus discos zonais correspondentes. Para obter mais informações, consulte Desempenho do armazenamento em blocos .
  • Você não pode usar um volume de alta disponibilidade balanceada de hiperdisco que esteja no modo multigravador como disco de inicialização.
  • Se você criar um disco replicado clonando um disco zonal, as duas réplicas zonais não estarão totalmente sincronizadas no momento da criação. Após a criação, você poderá usar o clone do disco regional em 3 minutos, em média. No entanto, pode ser necessário aguardar dezenas de minutos antes que o disco atinja um estado totalmente replicado e o objetivo do ponto de recuperação (RPO) esteja próximo de zero. Aprenda como verificar se o seu disco replicado está totalmente replicado .

Limitações para pontos de verificação de recuperação de réplica

  • Um ponto de verificação de recuperação de réplica faz parte dos metadados do dispositivo e não mostra nenhum dado do disco por si só. Você só pode usar o ponto de verificação como um mecanismo para criar um instantâneo do seu disco degradado. Depois de criar a captura instantânea usando o ponto de verificação, você poderá usar a captura instantânea para restaurar seus dados.
  • Você pode criar instantâneos a partir de um ponto de verificação de recuperação de réplica somente quando o disco estiver degradado.
  • O Compute Engine atualiza o ponto de verificação de recuperação de réplica do seu disco somente quando o disco é totalmente replicado.
  • O Compute Engine mantém apenas um ponto de verificação de recuperação de réplica para um disco e apenas a versão mais recente desse ponto de verificação.
  • Não é possível visualizar os carimbos de data/hora exatos de criação e atualização de um ponto de verificação de recuperação de réplica.
  • Só é possível criar um snapshot do ponto de verificação de recuperação de réplica usando a API Compute Engine.

O que vem a seguir