Gerenciar falhas em discos regionais

O disco permanente regional e a alta disponibilidade balanceada de hiperdisco são opções de armazenamento que fornecem replicação síncrona de dados entre duas zonas em uma região. Você pode usar o disco permanente regional ou a alta disponibilidade balanceada de hiperdisco como um elemento básico ao implementar serviços de alta disponibilidade (HA) no Compute Engine.

Este documento explica os vários cenários que podem interromper o funcionamento dos seus discos regionais e como você pode gerenciar esses cenários.

Antes de começar

  • Revise os conceitos básicos sobre discos regionais e failover. Para obter mais informações, consulte Sobre replicação de disco síncrona .
  • Se ainda não o fez, configure a autenticação. Autenticação é o processo pelo qual sua identidade é verificada para acesso a Google Cloud serviços e APIs. Para executar códigos ou amostras em um ambiente de desenvolvimento local, você pode se autenticar no Compute Engine selecionando uma das seguintes opções:

    Select the tab for how you plan to use the samples on this page:

    gcloud

    1. After installing the Google Cloud CLI, initialize it by running the following command: 

      gcloud init

      If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

    2. Set a default region and zone.

      3. REST

      Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.

        After installing the Google Cloud CLI, initialize it by running the following command: 

        gcloud init

        If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.

Funções obrigatórias

Para obter as permissões necessárias para migrar dados de disco regional usando um ponto de verificação de recuperação de réplica, peça ao administrador que conceda a você as seguintes funções do IAM:

Para obter mais informações sobre a concessão de funções, consulte Gerenciar acesso a projetos, pastas e organizações .

Essas funções predefinidas contêm as permissões necessárias para migrar dados de disco regional usando um ponto de verificação de recuperação de réplica. Para ver as permissões exatas necessárias, expanda a seção Permissões necessárias :

Permissões necessárias

As seguintes permissões são necessárias para migrar dados de disco regional usando um ponto de verificação de recuperação de réplica:

  • Para criar um snapshot padrão a partir do ponto de verificação de recuperação de réplica:
    • compute.snapshots.create no projeto
    • compute.disks.createSnapshot no disco
  • Para criar um novo disco regional a partir do instantâneo padrão: compute.disks.create no projeto onde você deseja criar o novo disco
  • Para migrar VMs para o novo disco:
    • compute.instances.attachDisk na instância de VM
    • compute.disks.use permission no disco recém-criado

Você também poderá obter essas permissões com funções personalizadas ou outras funções predefinidas .

Limitações

Você não pode usar operações force-attach em discos que estejam no modo multigravador.

Cenários de falha

Com discos regionais, quando o dispositivo é totalmente replicado , os dados são replicados automaticamente para duas zonas de uma região. Uma gravação é confirmada em uma instância de computação quando persiste de forma durável em ambas as réplicas.

Se a replicação para uma zona falhar ou ficar muito lenta por algum tempo, o status da replicação do disco mudará para degradado . Nesse modo, a gravação é reconhecida após persistir de forma duradoura em uma réplica.

Se e quando o Compute Engine detectar que a replicação pode ser retomada, os dados que foram gravados em uma réplica depois que a outra réplica entrou no estado degradado serão sincronizados com ambas as zonas e o disco retornará a um estado totalmente replicado. Esta transição é totalmente automatizada.

RPO e RTO são indefinidos enquanto um dispositivo está em estado degradado. Para minimizar a perda de dados e de disponibilidade no caso de falha de um disco operando em estado degradado, recomendamos que você faça backup regularmente de seus discos regionais usando snapshots padrão . Você pode recuperar um disco restaurando o instantâneo.

Falhas zonais

Um disco replicado, ou disco regional , é replicado de forma síncrona para réplicas de disco nas zonas primária e secundária. As falhas zonais acontecem quando uma réplica zonal fica indisponível. As falhas zonais podem ocorrer na zona primária ou secundária devido a um dos seguintes motivos:

  • Há uma interrupção zonal.
  • A réplica apresenta lentidão excessiva nas operações de gravação.

A tabela a seguir fornece os vários cenários de falha zonal que você pode encontrar para discos regionais e a ação recomendada para cada cenário. Em cada um desses cenários, presume-se que sua réplica zonal primária esteja íntegra e sincronizada durante o estado inicial.

Estado inicial do disco Falha em Novo estado do disco Consequências do fracasso Ação a ser tomada

Réplica primária: sincronizada

Réplica secundária: sincronizada

Status do disco: Totalmente replicado

Disco anexado em: zona primária

 Zona primária

Réplica primária: fora de sincronia ou indisponível

Réplica secundária: sincronizada

Status do disco: Degradado

Disco anexado em: zona primária

  • A réplica na zona secundária permanece íntegra e possui os dados de disco mais recentes.
  • A réplica na zona primária não está íntegra e não é garantido que tenha todos os dados do disco.
 Faça failover do disco anexando-o à força a uma VM na zona secundária íntegra.

Réplica primária: sincronizada

Réplica secundária: sincronizada

Status do disco: Totalmente replicado

Disco anexado em: zona primária

 Zona secundária

Réplica primária: sincronizada

Réplica secundária: fora de sincronia ou indisponível

Status do disco: Degradado

Disco anexado em: zona primária

  • A réplica na zona primária permanece íntegra e possui os dados de disco mais recentes.
  • A réplica na zona secundária não está íntegra e não é garantido que tenha todos os dados do disco.
 Nenhuma ação necessária. O Compute Engine sincroniza novamente a réplica não íntegra na zona secundária depois que ela estiver disponível novamente.

Réplica primária: sincronizada

Réplica secundária: fora de sincronia e indisponível

Status do disco: Degradado

Disco anexado em: zona primária

 Zona primária

Réplica primária: sincronizada, mas indisponível

Réplica secundária: fora de sincronia

Status do disco: indisponível

Disco anexado em: zona primária

  • Ambas as réplicas zonais estão indisponíveis e não podem atender ao tráfego. O disco fica indisponível.
  • Se a interrupção zonal ou a falha da réplica forem temporárias, nenhum dado será perdido.
  • Se a interrupção zonal ou a falha da réplica forem permanentes, todos os dados gravados na réplica íntegra enquanto o disco estiver degradado serão perdidos permanentemente.
 O Google recomenda que você use um snapshot padrão existente e crie um novo disco para recuperar seus dados. Como prática recomendada, faça backup regularmente dos discos regionais usando instantâneos padrão.

Réplica primária: sincronizada

Réplica secundária: em recuperação, mas disponível

Status do disco: atualizando

Disco anexado em: zona primária

 Zona primária

Réplica primária: indisponível

Réplica secundária: em recuperação, mas disponível

Status do disco: indisponível

Disco anexado em: zona primária

  • Ambas as réplicas zonais não podem atender ao tráfego. O disco fica indisponível.
  • Se a interrupção zonal ou a falha da réplica forem temporárias, o disco retomará as operações depois que a réplica primária estiver disponível novamente.
  • Se a interrupção zonal ou a falha da réplica for permanente, seu disco ficará inutilizável.

Réplica primária: sincronizada

Réplica secundária: fora de sincronia, mas disponível

Status do disco: Degradado

Disco anexado em: zona primária

 Zona primária

Réplica primária: indisponível

Réplica secundária: fora de sincronia, mas disponível

Status do disco: indisponível

Disco anexado em: zona primária

  • Ambas as réplicas zonais não podem atender ao tráfego. O disco fica indisponível.
  • Se a interrupção zonal ou a falha da réplica forem temporárias, o disco retomará as operações depois que a réplica primária estiver disponível novamente.
  • Se a interrupção zonal ou a falha da réplica for permanente, seu disco ficará inutilizável.

Falhas de aplicativos e VMs

No caso de interrupções causadas por configuração incorreta da VM, atualização malsucedida do sistema operacional ou outras falhas de aplicativo, você pode force-attach do disco regional a uma instância de computação na mesma zona que a réplica íntegra.

Categoria de falha e (probabilidade) Tipos de falha Ação
Falha no aplicativo (alta)
  • Aplicativos que não respondem
  • Falha devido a ações administrativas do aplicativo (por exemplo, atualização)
  • Erro humano (por exemplo, configuração incorreta de parâmetros como certificado SSL ou ACLs)
 O plano de controle de aplicativos pode disparar o failover com base nos limites de verificação de integridade .
Falha de VM (Média)
  • Falha de infraestrutura ou hardware
  • VM não responde devido a contenção de CPU, interrupção intermediária da rede
 As VMs geralmente são curadas automaticamente . O plano de controle do aplicativo pode disparar o failover com base nos limites de verificação de integridade .
Corrupção de aplicativos (baixo-médio) Corrupção de dados de aplicativos
(por exemplo, devido a bugs de aplicativos ou a uma atualização de sistema operacional malsucedida)		 Recuperação de aplicativos:

Fazer failover de um disco regional usando force-attach

Caso a zona primária falhe, você poderá fazer failover do seuDisco permanente regional ou Volume de alta disponibilidade balanceada de hiperdisco para uma instância de computação em outra zona usando uma operação de anexação forçada.

Quando há uma falha na zona primária, talvez você não consiga desanexar o disco da instância porque a instância não pode ser acessada para executar a operação de desanexação. Anexar à força permite anexar umDisco permanente regional ou Volume de alta disponibilidade balanceada de hiperdisco para uma instância de computação, mesmo que esse volume esteja anexado a outra instância.

Depois de concluir a operação de anexação forçada, o Compute Engine impedirá que a instância original grave no disco regional. Usar a operação de anexação forçada permite recuperar com segurança o acesso aos seus dados e recuperar o seu serviço. Você também tem a opção de encerrar manualmente a instância de VM após executar a operação de anexação forçada.

Para forçar a anexação de um disco existente a uma instância de computação, selecione uma das seguintes tarefas:

Console

  1. Acesse a página de instâncias de VM .

    Acesse as instâncias de VM

  2. Selecione seu projeto.

  3. Clique no nome da instância que você deseja alterar.

  4. Na página de detalhes, clique em Editar .

  5. Na seção Discos adicionais , clique em Anexar disco adicional .

  6. Selecione o disco regional ou replicado de forma síncrona na lista suspensa.

  7. Para forçar a anexação do disco, marque a caixa de seleção Forçar anexação do disco .

  8. Clique em Concluído e em Salvar .

Você pode executar as mesmas etapas para force-attach de um disco à instância de computação original após a falha ser resolvida.

gcloud

Na CLI gcloud, use o comando instances attach-disk para anexar o disco de réplica a uma instância de computação. Inclua o sinalizador --disk-scope e defina-o como regional .

gcloud compute instances attach-disk VM_NAME \
    --disk DISK_NAME --disk-scope regional \
    --force-attach

Substitua o seguinte:

  • VM_NAME : o nome da nova instância de computação na região
  • DISK_NAME : o nome do disco regional

Depois de force-attach do disco, monte os sistemas de arquivos no disco, se necessário. A instância de computação pode usar o disco anexado à força para continuar as operações de leitura e gravação no disco.

DESCANSAR

Construa uma solicitação POST para o método compute.instances.attachDisk e inclua a URL no disco regional que você acabou de criar. Para anexar o disco à nova instância de computação, o parâmetro de consulta forceAttach=true será necessário se a instância de computação primária ainda tiver o disco anexado.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/ZONE/instances/VM_NAME/attachDisk?forceAttach=true

{
 "source": "projects/PROJECT_ID/regions/REGION/disks/DISK_NAME"
}

Substitua o seguinte:

  • PROJECT_ID : o ID do seu projeto
  • ZONE : o local da sua instância de computação
  • VM_NAME : o nome da instância de computação onde você está adicionando o disco regional
  • REGION : a região onde seu disco regional está localizado
  • DISK_NAME : o nome do disco regional

Depois de anexar o disco regional, monte os sistemas de arquivos nos discos, se necessário. A instância de computação pode usar o disco de réplica para continuar as operações de leitura e gravação no disco.

Fazer failover de um disco de inicialização para uma instância secundária

Você pode ter apenas um disco de inicialização anexado a uma instância de computação. Ao fazer failover de um disco de inicialização regional, use um dos métodos a seguir, dependendo se a instância de computação secundária já existe:

Use o ponto de verificação de recuperação de réplica para recuperar discos regionais

Um ponto de verificação de recuperação de réplica representa o ponto de falha mais recente e consistente de uma réplica totalmente replicada.Disco permanente regional ou Volume de alta disponibilidade balanceado de hiperdisco. O Compute Engine permite criar snapshots padrão a partir do ponto de verificação de recuperação de réplica para discos regionais degradados.

Em raros cenários, quando o disco está degradado, a réplica zonal sincronizada com os dados mais recentes do disco também pode falhar antes que a réplica fora de sincronia seja atualizada. Você não poderá forçar a anexação do disco a instâncias de computação em nenhuma das zonas. Seu disco replicado fica indisponível e você deve migrar os dados para um novo disco. Nesses cenários, se você não tiver nenhum instantâneo padrão disponível para o disco, ainda poderá recuperar os dados do disco da réplica incompleta usando um instantâneo padrão criado a partir do ponto de verificação de recuperação da réplica. Consulte Procedimento para migrar e recuperar dados de disco para etapas detalhadas.

Procedimento para migrar e recuperar dados do disco

Para recuperar e migrar os dados de um disco regional usando o ponto de verificação de recuperação de réplica, execute as seguintes etapas:

  1. Crie um instantâneo padrão do impactoDisco permanente regional ou Volume de alta disponibilidade balanceada de hiperdisco a partir de seu ponto de verificação de recuperação de réplica.

    Você pode criar o snapshot padrão para um disco a partir do ponto de verificação de recuperação de réplica usando apenas a CLI gcloud ou REST.

    gcloud

    Para criar um snapshot usando o ponto de verificação de recuperação de réplica, use o comando gcloud compute snapshots create . Inclua a sinalização --source-disk-for-recovery-checkpoint para especificar que deseja criar o instantâneo usando um ponto de verificação de recuperação de réplica. Exclua os parâmetros --source-disk e --source-disk-region . 

    gcloud compute snapshots create SNAPSHOT_NAME \
    --source-disk-for-recovery-checkpoint=SOURCE_DISK \
    --source-disk-for-recovery-checkpoint-region=SOURCE_REGION \
    --storage-location=STORAGE_LOCATION \
    --snapshot-type=SNAPSHOT_TYPE

    Substitua o seguinte:

    • DESTINATION_PROJECT_ID : o ID do projeto no qual você deseja criar o instantâneo.
    • SNAPSHOT_NAME : um nome para o instantâneo.
    • SOURCE_DISK : o nome ou caminho completo do disco de origem que você deseja usar para criar o instantâneo. Para especificar o caminho completo de um disco de origem, use a seguinte sintaxe:
        projects/SOURCE_PROJECT_ID/regions/SOURCE_REGION/disks/SOURCE_DISK_NAME

      Se você especificar o caminho completo para o disco de origem, poderá excluir o sinalizador --source-disk-for-recovery-checkpoint-region . Se você especificar apenas o nome do disco, deverá incluir esse sinalizador.

      Para criar um instantâneo a partir do ponto de verificação de recuperação de um disco de origem em um projeto diferente, você deve especificar o caminho completo para o disco de origem.

    • SOURCE_PROJECT_ID : o ID do projeto do disco de origem cujo ponto de verificação você deseja usar para criar o instantâneo.
    • SOURCE_REGION : a região do disco de origem cujo ponto de verificação você deseja usar para criar o instantâneo.
    • SOURCE_DISK_NAME : o nome do disco de origem cujo ponto de verificação você deseja usar para criar o instantâneo.
    • STORAGE_LOCATION : opcional: a multirregião do Cloud Storage ou a região do Cloud Storage onde você deseja armazenar seu snapshot. Você pode especificar apenas um local de armazenamento.
      Use o sinalizador --storage-location somente se desejar substituir o local de armazenamento padrão predefinido ou personalizado configurado nas configurações do snapshot.
    • SNAPSHOT_TYPE : o tipo de instantâneo, STANDARD ou ARCHIVE . Se um tipo de instantâneo não for especificado, um instantâneo STANDARD será criado.

    Você pode usar o ponto de verificação de recuperação de réplica para criar um instantâneo somente em discos degradados . Se você tentar criar um instantâneo a partir de um ponto de verificação de recuperação de réplica quando o dispositivo estiver totalmente replicado, você verá a seguinte mensagem de erro:

    The device is fully replicated and should not create snapshots out of a recovery checkpoint. Please
create regular snapshots instead.

    DESCANSAR

    Para criar um snapshot usando o ponto de verificação de recuperação de réplica, faça uma solicitação POST para o método snapshots.insert . Exclua o parâmetro sourceDisk e, em vez disso, inclua o parâmetro sourceDiskForRecoveryCheckpoint para especificar que deseja criar a captura instantânea usando o ponto de verificação. 

    POST https://compute.googleapis.com/compute/v1/projects/DESTINATION_PROJECT_ID/global/snapshots

{
  "name": "SNAPSHOT_NAME",
  "sourceDiskForRecoveryCheckpoint": "projects/SOURCE_PROJECT_ID/regions/SOURCE_REGION/disks/SOURCE_DISK_NAME",
  "storageLocations": "STORAGE_LOCATION",
  "snapshotType": "SNAPSHOT_TYPE"
}

    Substitua o seguinte:

    • DESTINATION_PROJECT_ID : o ID do projeto no qual você deseja criar o instantâneo.
    • SNAPSHOT_NAME : um nome para o instantâneo.
    • SOURCE_DISK : o nome ou caminho completo do disco de origem que você deseja usar para criar o instantâneo. Para especificar o caminho completo de um disco de origem, use a seguinte sintaxe:
        projects/SOURCE_PROJECT_ID/regions/SOURCE_REGION/disks/SOURCE_DISK_NAME

      Se você especificar o caminho completo para o disco de origem, poderá excluir o sinalizador --source-disk-for-recovery-checkpoint-region . Se você especificar apenas o nome do disco, deverá incluir esse sinalizador.

      Para criar um instantâneo a partir do ponto de verificação de recuperação de um disco de origem em um projeto diferente, você deve especificar o caminho completo para o disco de origem.

    • SOURCE_PROJECT_ID : o ID do projeto do disco de origem cujo ponto de verificação você deseja usar para criar o instantâneo.
    • SOURCE_REGION : a região do disco de origem cujo ponto de verificação você deseja usar para criar o instantâneo.
    • SOURCE_DISK_NAME : o nome do disco de origem cujo ponto de verificação você deseja usar para criar o instantâneo.
    • STORAGE_LOCATION : opcional: a multirregião do Cloud Storage ou a região do Cloud Storage onde você deseja armazenar seu snapshot. Você pode especificar apenas um local de armazenamento.
      Use o parâmetro storageLocations somente se desejar substituir o local de armazenamento padrão predefinido ou customizado configurado nas configurações do snapshot.
    • SNAPSHOT_TYPE : o tipo de instantâneo, STANDARD ou ARCHIVE . Se um tipo de instantâneo não for especificado, um instantâneo STANDARD será criado.

    Você pode usar o ponto de verificação de recuperação de réplica para criar um instantâneo somente em discos degradados . Se você tentar criar um instantâneo a partir de um ponto de verificação de recuperação de réplica quando o dispositivo estiver totalmente replicado, você verá a seguinte mensagem de erro:

    The device is fully replicated and should not create snapshots out of a recovery checkpoint. Please
create regular snapshots instead.

  2. Crie um novo Disco permanente regional ou Disco de alta disponibilidade balanceada de hiperdisco usando este instantâneo. Ao criar o novo disco, você recupera todos os dados do ponto de verificação de recuperação de réplica mais recente restaurando os dados no novo disco a partir do instantâneo. Para etapas detalhadas, consulte Criar uma nova instância com um disco de inicialização regional .

  3. Migre todas as cargas de trabalho de VM para o disco recém-criado e valide se essas cargas de trabalho de VM estão sendo executadas corretamente. Para obter mais informações, consulte Mover uma VM entre zonas ou regiões .

Depois de recuperar e migrar os dados do disco e as VMs para o recém-criadoDisco permanente regional ou Disco Hyperdisk Balanced High Availability, você pode retomar suas operações.

Determine o RPO fornecido pelo ponto de verificação de recuperação de réplica

Esta seção explica como determinar o RPO fornecido pelo ponto de verificação de recuperação de réplica mais recente de um Disco permanente regional ou Volume de alta disponibilidade balanceado de hiperdisco.

As réplicas zonais estão totalmente sincronizadas

O Compute Engine atualiza o ponto de verificação de recuperação de réplica do seuDisco permanente regional ouVolume de alta disponibilidade balanceada do hiperdisco aproximadamente a cada 10 minutos. Como resultado, quando as réplicas zonais estão totalmente sincronizadas, o RPO é de aproximadamente 10 minutos.

As réplicas zonais estão fora de sincronia

Não é possível visualizar os carimbos de data/hora exatos de criação e atualização de um ponto de verificação de recuperação de réplica. No entanto, você pode estimar o RPO aproximado fornecido pelo seu ponto de verificação mais recente usando os seguintes dados:

  • Carimbo de data/hora mais recente do estado do disco totalmente replicado : você pode obter essas informações usando os dados do Cloud Monitoring para a métrica replica_state do disco regional. Verifique os dados da métrica replica_state da réplica fora de sincronia para determinar quando a réplica ficou fora de sincronia. Como o Compute Engine atualiza o ponto de verificação do disco a cada 10 minutos, a atualização mais recente do ponto de verificação pode ter ocorrido aproximadamente 10 minutos antes desse carimbo de data/hora.
  • Carimbo de data/hora da operação de gravação mais recente : você pode obter essas informações usando os dados do Cloud Monitoring para a métrica write_ops_count do disco regional. Verifique os dados da métrica write_ops_count para determinar a operação de gravação mais recente para o disco.

Depois de determinar esses carimbos de data/hora, use a fórmula a seguir para calcular o RPO aproximado fornecido pelo ponto de verificação de recuperação de réplica do seu disco. Se o valor calculado for menor que zero, o RPO será efetivamente zero.

Approximate RPO provided by the latest checkpoint = (Most recent write operation timestamp - (Most recent timestamp of the fully replicated disk state - 10 minutes))

O que vem a seguir