高可用性フレームワーク
Sun Cluster システムでは、ユーザーとデータ間の「パス」にあるすべてのコンポーネント、つまり、ネットワークインタフェース、アプリケーション自体、ファイルシステム、および多重ホストデバイスを高可用性にします。一般に、システムで単一 (ソフトウェアまたはハードウェア) の障害が発生してもあるクラスタコンポーネントが稼働し続けられる場合、そのコンポーネントは高可用性であると考えられます。
次の表に、Sun Cluster コンポーネントの障害の種類 (ハードウェアとソフトウェアの両方) と、高可用性フレームワークに組み込まれた回復の種類を示します。
表 3–1 Sun Cluster システムの障害の検出と回復のレベル|
障害が発生したクラスタリソース |
ソフトウェアの回復 |
ハードウェアの回復 |
|---|---|---|
|
データサービス |
HA API、HA フレームワーク |
なし |
|
パブリックネットワークアダプタ |
IP ネットワークマルチパス |
複数のパブリックネットワークアダプタカード |
|
クラスタファイルシステム |
一次複製と二次複製 |
多重ホストデバイス |
|
ミラー化された多重ホストデバイス |
ボリューム管理 (Solaris ボリュームマネージャー と VERITAS Volume Manager、SPARC ベースのクラスタでのみ使用可能) |
ハードウェア RAID-5 (Sun StorEdgeTM A3x00 など) |
|
広域デバイス |
一次複製と二次複製 |
デバイス、クラスタトランスポート接続点への多重パス |
|
プライベートネットワーク |
HA トランスポートソフトウェア |
ハードウェアから独立した多重プライベートネットワーク |
|
ノード |
CMM、フェイルファーストドライバ |
複数ノード |
Sun Cluster ソフトウェアの高可用性フレームワークは、ノードの障害をすばやく検出して、クラスタ内の残りのノードにあるフレームワークリソース用に新しい同等のサーバーを作成します。どの時点でもすべてのフレームワークリソースが使用できなくなることはありません。障害が発生したノードの影響を受けないフレームワークリソースは、回復中も完全に使用できます。さらに、障害が発生したノードのフレームワークリソースは、回復されると同時に使用可能になります。回復されたフレームワークリソースは、他のすべてのフレームワークリソースが回復するまで待機する必要はありません。
最も可用性の高いフレームワークリソースは、そのリソースを使用するアプリケーション (データサービス) に対して透過的に回復されます。フレームワークリソースのアクセス方式は、ノードの障害時にも完全に維持されます。アプリケーションは単に、フレームワークリソースサーバーが別のノードに移動したことを認識できないだけです。1 つのノードで障害が発生しても、残りのノード上にあるプログラムがそのノードに接続されているファイル、デバイス、およびディスクボリュームを使用できるので、その障害は完全に透過的と言えます。別のノードからそのディスクに代替ハードウェアパスが設定されている場合に、このような透過性が実現されます。この例としては、複数ノードへのポートを持つ多重ホストデバイスの使用があります。
クラスタメンバーシップモニター
データが破壊から保護されるように保証するには、すべてのノードが、クラスタメンバーシップに対して一定の同意に達していなければなりません。必要であれば、CMM は、障害に応じてクラスタサービス (アプリケーション) のクラスタ再構成を調整します。
CMM は、クラスタのトランスポート層から、他のノードへの接続に関する情報を受け取ります。CMM は、クラスタインターコネクトを使用して、再構成中に状態情報を交換します。
CMM は、クラスタメンバーシップの変更を検出すると、それに合わせてクラスタを構成します。このような同期構成では、クラスタの新しいメンバーシップに基づいて、クラスタリソースが再配布されることがあります。
Sun Cluster ソフトウェアの以前のリリースとは異なり、CMM は完全にカーネルで実行されます。
クラスタ自身が複数の異なるクラスタに分割されないようにする方法についての詳細は、「障害による影響の防止について」を参照してください。
フェイルファースト機構
あるノードで重大な問題を検出すると、CMM はクラスタフレームワークに依頼して、そのノードを強制的に停止 (パニック) し、クラスタメンバーシップから取り除きます。この機構を「フェイルファースト」といいます。フェイルファーストがノードを強制的に停止する方法は 2 つあります。
-
クラスタから切り離されたノードが定足数を満たさずに再び新しいクラスタを起動しようとすると、ノードは共有ディスクへのアクセスを「防止」されます。この種類のフェイルファーストについての詳細は、「障害による影響の防止について」を参照してください。
-
クラスタ固有のデーモン (clexecd、rpc.pmfd、rgmd 、または rpc.ed) が 1 つまたは複数異常終了すると、CMM はその障害を検出し、そのノードはパニックします。
クラスタデーモンが異常終了すると、ノードはパニックし、そのノードのコンソールには次のようなメッセージが表示されます。
panic[cpu0]/thread=40e60: Failfast: Aborting because "pmfd" died 35 seconds ago. 409b8 cl_runtime:__0FZsc_syslog_msg_log_no_argsPviTCPCcTB+48 (70f900, 30, 70df54, 407acc, 0) %l0-7: 1006c80 000000a 000000a 10093bc 406d3c80 7110340 0000000 4001 fbf0 |
パニック後、このノードは再起動して、クラスタに再び参加しようとします。あるいは、SPARC ベースのシステムで構成されているクラスタの場合、そのノードは OpenBootTM PROM (OBP) プロンプトのままになることがあります。ノードがどちらのアクションをとるかは、auto-boot? パラメータの設定によって決定されます。auto-boot? を設定するには、OpenBoot PROM の ok プロンプトで eeprom(1M) を使用します。
クラスタ構成レポジトリ (CCR)
CCR は、更新に 2 フェーズのコミットアルゴリズムを使用します。更新はすべてのクラスタメンバーで正常に終了する必要があり、そうしないと、その更新はロールバックされます。CCR はクラスタインターコネクトを使用して、分散更新を適用します。
注意 – CCR はテキストファイルで構成されていますが、CCR ファイルを手作業で絶対に編集しないでください。各ファイルには、ノード間の一貫性を保証するための検査合計レコードが含まれています。CCR ファイルを手作業で更新すると、ノードまたはクラスタ全体の機能が停止する可能性があります。
CCR は、CMM に依存して、定足数 (quorum) が確立された場合にのみクラスタが実行されるように保証します。CCR は、クラスタ全体のデータの一貫性を確認し、必要に応じて回復を実行し、データへの更新を容易にします。
- © 2010, Oracle Corporation and/or its affiliates