Informazioni sulla replica sincrona dei dischi

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

---

I dischi permanenti regionali e gli Hyperdisk bilanciati ad alta disponibilità sono opzioni di archiviazione che ti consentono di implementare servizi ad alta disponibilità in Compute Engine. Il disco permanente a livello di regione e l'alta disponibilità Hyperdisk bilanciata replicano in modo sincrono i dati tra due zone nella stessa regione e assicurano l'alta disponibilità per i dati del disco per un massimo di un errore di zona.

I volumi per disco permanente a livello di regione e Hyperdisk ad alta disponibilità bilanciati sono progettati per carichi di lavoro che richiedono un RPO (Recovery Point Objective) e un RTO (Recovery Time Objective) più bassi. Per scoprire di più su RPO e RTO, consulta Nozioni di base sulla pianificazione del disaster recovery.

I volumi di dischi permanenti regionali e Hyperdisk Equilibrato ad alta disponibilità sono progettati per funzionare con i gruppi di istanze gestite regionali.

Questo documento fornisce una panoramica su come creare servizi ad alta disponibilità con Volumi permanenti regionali e volumi ad alta disponibilità bilanciati su Hyperdisk.

Quando decidi di utilizzare Persistent Disk regionale o Hyperdisk Balanced High Speed, assicurati di confrontare le diverse opzioni per aumentare la disponibilità dei servizi e costi, prestazioni e resilienza per diverse architetture di servizio.

Informazioni sulla replica sincrona dei dischi

Un volume Regional Persistent Disk o Hyperdisk Equilibrato ad alta disponibilità, chiamato anche disco regionale o disco con replica sincrona, ha una zona principale e una secondaria all'interno della regione in cui memorizza i dati del disco:

• La zona principale è la stessa zona in cui si trova l'istanza di computing a cui colleghi il disco.
• Zona secondaria è una zona alternativa a tua scelta all'interno della stessa regione.

Compute Engine mantiene le repliche del disco in entrambe queste zone. Quando scrivi dati sul disco, Compute Engine replica in modo sincrono nelle repliche del disco in entrambe le zone per garantire l'alta disponibilità. I dati di ogni replica zonale vengono distribuiti su più macchine fisiche all'interno della zona per garantire la durabilità. Le repliche di zona assicurano che i dati del disco rimangano disponibili e proteggono da interruzioni temporanee in una delle zone disco.

Stato della replica per le repliche a livello di zona

Stato di replica del disco per Il disco permanente regionale o l'alta disponibilità Hyperdisk Bilanciata mostra lo stato di una replica a livello di zona rispetto al contenuto del disco. Le repliche di zona per i tuoi dischi si trovano sempre in uno dei seguenti stati di replica del disco:

• Sincronizzata: la replica è disponibile, riceve in modo sincrono tutte le scritture eseguite sul disco ed è aggiornata con tutti i dati sul disco.
• Recupero: la replica è disponibile, ma sta ancora recuperando i dati sul disco dell'altra replica.
• Non sincronizzata: la replica è temporaneamente non disponibile e non è sincronizzata con i dati sul disco.

Per scoprire come controllare e monitorare gli stati di replica delle repliche a livello di zona, consulta Monitorare gli stati di replica del disco.

Stati di replica per i dischi regionali

A seconda dello stato delle singole repliche a livello di zona, il volume del disco permanente regionale o a disponibilità elevata con hyperdisk bilanciato può trovarsi in uno dei seguenti stati di replica:

• Completamente replicate: le repliche in entrambe le zone sono disponibili e vengono sincronizzate con i dati del disco più recenti.
• Aggiornamento: le repliche a livello di zona sono disponibili, ma una delle repliche a livello di zona sta aggiornando i dati del disco più recenti.
• Compromesso: lo stato di una delle repliche a livello di zona è out of sync a causa di un errore o un'interruzione del servizio.

Se lo stato di replica del disco è catching up o degraded, una delle repliche a livello di zona non viene aggiornata con tutti i dati. Qualsiasi interruzione durante questo periodo di tempo nella zona della replica integro comporta l'indisponibilità del disco fino al ripristino della zona di replica integro.

Quando il volume del tuo disco permanente regionale o del volume Hyperdisk Bilanciato ad alta disponibilità è in fase di recupero, Google Cloud avvia la riparazione della replica a livello di zona che sta recuperando. Google consiglia di attendere che la replica di zona interessata raggiunga i dati sul disco, dopodiché il suo stato diventa Synced. Una volta che la replica di zona passa allo stato di sincronizzazione, lo stato del disco regionale torna allo stato Fully replicated.

Se il disco regionale è nello stato catching up o degraded per un periodo di tempo prolungato e non soddisfa i requisiti RPO dell'organizzazione, ti consigliamo di acquisire snapshot della replica principale in uno dei seguenti modi:

• Abilita snapshot pianificati.
• Crea uno snapshot manuale del tuo disco permanente regionale o del disco iperdisco bilanciato ad alta disponibilità.

Dopo aver creato uno snapshot, puoi creare un nuovo disco permanente regionale o un disco ad alta disponibilità con Hyperdisk Bilanciato utilizzando questo snapshot come origine. Lo snapshot viene ripristinato sul nuovo disco. Inoltre, il nuovo disco viene avviato in uno stato completamente replicato con una replica dei dati integro.

Per scoprire come controllare lo stato della replica del disco permanente regionale o Hyperdisk bilanciato ad alta disponibilità, consulta Determinare lo stato della replica dei dischi.

Checkpoint di recupero della replica

Un checkpoint di recupero della replica è un attributo del disco che rappresenta il punto più recente in termini di coerenza degli arresti anomali in un disco completamente replicato. Compute Engine crea e gestisce automaticamente un singolo checkpoint di recupero della replica per ogni disco a livello di regione. Quando un disco viene completamente replicato, Compute Engine continua ad aggiornare il checkpoint circa ogni 10 minuti per garantire che il checkpoint rimanga aggiornato. Quando lo stato di replica del disco è degraded, Compute Engine consente di creare uno snapshot standard dal checkpoint di recupero delle repliche del disco. Lo snapshot standard risultante acquisisce i dati dalla versione più recente coerente con l'arresto anomalo del disco completamente replicato.

In rari casi, quando le prestazioni del disco sono ridotte, anche la replica a livello di zona sincronizzata con i dati del disco più recenti può generare un errore prima che la replica non sincronizzata venga recuperata. Non potrai forzare l'associazione del disco alle istanze di calcolo in nessuna delle zone. Il disco replicato non è più disponibile ed è necessario eseguire la migrazione dei dati su un nuovo disco. In scenari di questo tipo, se non disponi di snapshot standard esistenti per il disco, potresti comunque riuscire a recuperare i dati del disco dalla replica incompleta utilizzando uno snapshot standard creato dal checkpoint di recupero della replica.

Compute Engine crea automaticamente i checkpoint di recupero delle repliche per ogni disco permanente regionale o Hyperdisk Equilibrato ad alta disponibilità montato. La creazione di questi punti di controllo non comporta costi aggiuntivi. Tuttavia, ti verranno addebitati eventuali costi di archiviazione applicabili per la creazione di snapshot e istanze di calcolo quando utilizzi questi checkpoint per eseguire la migrazione del tuo disco regionale alle zone operative.

Scopri di più su come ripristinare i dati dei dischi regionali utilizzando un checkpoint di recupero della replica.

Failover del disco a livello di regione

In caso di interruzione in una zona, quest'ultima diventa inaccessibile e l'istanza di computing in quella zona non può eseguire operazioni di lettura o scrittura sul disco. Per consentire all'istanza di continuare a eseguire operazioni di lettura e scrittura per il disco regionale, Compute Engine consente la migrazione dei dati del disco nell'altra zona in cui il disco ha una replica. Questo processo è noto come failover.

Il processo di failover prevede lo scollegamento della replica a livello di zona dall'istanza nella zona interessata e il collegamento della replica a una nuova istanza nella zona secondaria. Compute Engine replica in modo sincrono i dati sul disco nella zona secondaria per garantire un rapido failover in caso di errore di una singola replica.

Failover da parte del piano di controllo regionale specifico dell'applicazione

Il control plane regionale specifico per l'applicazione non è un Google Cloud servizio. Quando si progettano architetture di servizio ad alta disponibilità, devi creare il tuo piano di controllo a livello di regione specifico per l'applicazione. Questo piano di controllo dell'applicazione stabilisce a quale istanza deve essere collegato il disco regionale e quale istanza è l'istanza principale attuale.

Quando viene rilevato un errore nell'istanza o nel database principale del disco regionale, il piano di controllo regionale specifico per l'applicazione dell'architettura del servizio HA può avviare automaticamente il failover all' istanza in standby nella zona secondaria. Durante il failover, il piano di controllo a livello di regione specifico per l'applicazione ricollega il disco regionale all'istanza in standby nella zona secondaria. Compute Engine indirizza quindi tutto il traffico all'istanza in base agli indicatori del controllo di integrità.

La latenza complessiva di failover, escluso il tempo di rilevamento degli errori, è la somma delle latenze seguenti:

• Meno di un minuto per collegare un disco regionale a un'istanza in standby
• Tempo necessario per l'inizializzazione dell'applicazione e il ripristino in seguito a un arresto anomalo

Per ulteriori informazioni, consulta Informazioni sul piano di controllo regionale specifico per l'applicazione.

La pagina Componenti di base per il ripristino di emergenza illustra i componenti di base disponibili in Compute Engine.

Failover mediante collegamento forzato

Uno dei vantaggi di Persistent Disk a livello di regione e di alta disponibilità con Hyperdisk Bilanciato è che, nell'improbabile eventualità di un'interruzione a livello di zona, puoi eseguire manualmente il failover del carico di lavoro in un'altra zona. Quando la zona originale è in stato di interruzione, non puoi completare l'operazione di scollegamento del disco finché la replica a livello di zona non viene ripristinata. In questo scenario, potresti dover collegare la replica a livello di zona secondaria a una nuova istanza di computing senza scollegare la replica a livello di zona principale dall'istanza principale. Questa procedura è chiamata collegamento forzato.

Quando l'istanza Compute nella zona principale non è più disponibile, puoi forzare il collegamento del disco a un'istanza nella zona secondaria. Per eseguire questa attività, devi eseguire una delle seguenti operazioni:

• Avvia un'altra istanza di computing nella stessa zona della replica del disco regionale che stai forzando il collegamento.
• Mantieni un'istanza di computing in hot standby in quella zona. Un'istanza in standby caldo è un'istanza in esecuzione identica a quella nella zona principale. Le due istanze hanno gli stessi dati.

Compute Engine esegue l'operazione di attacco forzato in meno di un minuto. L'RTO (Recovery Time Objective) totale dipende non solo dal failover dello spazio di archiviazione (il collegamento forzato del disco regionale), ma anche da altri fattori, tra cui:

• Se devi prima creare un'istanza secondaria
• Il tempo impiegato dal file system sottostante per rilevare un disco collegato a caldo
• Il tempo di recupero delle applicazioni corrispondenti

Per ulteriori informazioni su come eseguire il failover dell'istanza Compute utilizzando il collegamento forzato, consulta Failover del disco a livello di regione utilizzando force-attach.

Il disco permanente regionale e l' alta disponibilità Hyperdisk Bilanciata favoriscono la disponibilità dei carichi di lavoro, il che significa che esistono dei compromessi in termini di protezione dei dati nell'improbabile caso che entrambe le repliche del disco non siano disponibili contemporaneamente. Per ulteriori informazioni, consulta Gestire gli errori per i dischi a livello di regione.

Limitazioni

Le sezioni seguenti elencano le limitazioni che si applicano a Disco permanente regionale e Disponibilità elevata con Hyperdisk Balanced.

Limitazioni generali per i dischi regionali

• È possibile collegare un disco permanente regionale solo alle macchine virtuali che utilizzano come machine family E2, N1, N2 e N2D.
• Puoi collegare Hyperdisk bilanciato ad alta disponibilità solo ai tipi di macchine supportati.
• Non puoi creare un disco permanente di una regione da un'immagine del sistema operativo o da un disco creato da un'immagine del sistema operativo.
• Non puoi creare un disco Hyperdisk Bilanciato ad alta disponibilità clonando un disco di zona. Per creare un disco Hyperdisk Bilanciato ad alta disponibilità da un disco di zona, completa i passaggi descritti in Cambiare un disco di zona in un disco Hyperdisk Balanced ad alta disponibilità.
• Quando utilizzi la modalità di sola lettura, puoi collegare un disco permanente regionale equilibrato a un massimo di 10 istanze VM.
• La dimensione minima di un disco permanente standard regionale è 200 GiB.
• Puoi solo aumentare le dimensioni di un disco permanente regionale o volume Hyperdisk bilanciato ad alta disponibilità; non puoi ridurle.
• I volumi di dischi permanenti regionali e Hyperdisk bilanciati ad alta disponibilità hanno caratteristiche di prestazioni diverse rispetto ai dischi zonali corrispondenti. Per ulteriori informazioni, consulta Rendimento dello spazio di archiviazione a blocchi.
• Non puoi utilizzare un volume Hyperdisk bilanciato con disponibilità elevata in modalità multi-writer come disco di avvio.
• Se crei un disco replicato clonando un disco a livello di zona, le due repliche a livello di zona non sono completamente sincronizzate al momento della creazione. Dopo la creazione, puoi utilizzare il clone del disco a livello di regione in media entro 3 minuti. Tuttavia, potresti dover attendere decine di minuti prima che il disco raggiunga uno stato di replica completa e il Recovery Point Objective (RPO) sia vicino allo zero. Scopri come verificare se il disco replicato è completamente replicato.

Limitazioni per i checkpoint di recupero della replica

• Un checkpoint di recupero della replica fa parte dei metadati del dispositivo e non mostra i dati del disco da solo. Puoi utilizzare il checkpoint solo come meccanismo per creare uno snapshot del disco con prestazioni ridotte. Dopo aver creato lo snapshot mediante il checkpoint, puoi utilizzarlo per ripristinare i dati.
• Puoi creare snapshot da un checkpoint di recupero della replica solo se le prestazioni del disco sono ridotte.
• Compute Engine aggiorna il checkpoint di recupero della replica del tuo disco solo quando il disco è completamente replicato.
• Compute Engine gestisce un solo checkpoint di recupero della replica per un disco e solo la versione più recente di quel checkpoint.
• Non puoi visualizzare i timestamp esatti di creazione e aggiornamento di un checkpoint di recupero della replica.
• Puoi creare uno snapshot dal checkpoint di recupero della replica solo utilizzando l'API Compute Engine.

Passaggi successivi

• Scopri come creare servizi ad alta disponibilità utilizzando dischi regionali.
• Consulta la guida alla pianificazione del ripristino di emergenza.
• Scopri di più sui prezzi dei dischi.
• Scopri come creare e gestire i dischi regionali.
• Scopri come monitorare gli stati di replica dei dischi.
• Scopri come determinare lo stato di replica di un disco.
• Scopri come gestire gli errori per i dischi a livello di regione.