Zotavení po havárii a převzetí služeb při selhání účtu úložiště
Microsoft se snaží zajistit, aby služby Azure byly vždy dostupné. Může ale dojít k neplánovaným výpadkům služeb. Pokud vaše aplikace vyžaduje odolnost, Microsoft doporučuje používat geograficky redundantní úložiště, aby se vaše data zkopírovaná do druhé oblasti. Zákazníci by navíc měli mít plán zotavení po havárii pro řešení oblastní výpadku služeb. Důležitou součástí plánu zotavení po havárii je příprava převzetí služeb při selhání sekundárním koncovým bodem v případě, že primární koncový bod přestane být dostupný.
Azure Storage podporuje převzetí služeb při selhání účtu pro geograficky redundantní účty úložiště. S převzetím služeb při selhání účtu můžete zahájit proces převzetí služeb při selhání pro váš účet úložiště, pokud primární koncový bod přestane být dostupný. Převzetí služeb při selhání aktualizuje sekundární koncový bod, aby se stal primárním koncovým bodem vašeho účtu úložiště. Po dokončení převzetí služeb při selhání mohou klienti začít psát do nového primárního koncového bodu.
Převzetí služeb při selhání účtu je k dispozici pro účty úložiště pro obecné účely verze 1, účty úložiště pro obecné účely verze 2 a účty úložiště objektů blob v nasazeních Azure Resource Manageru. Převzetí služeb při selhání účtu se nepodporuje u účtů úložiště s povoleným hierarchickým oborem názvů.
Tento článek popisuje koncepty a proces, které jsou součástí převzetí služeb při selhání účtu, a popisuje, jak připravit účet úložiště na obnovení s nejmenším dopadem na zákazníky. Informace o zahájení převzetí služeb při selhání účtu v Azure Portal nebo PowerShellu najdete v tématu Zahájení převzetí služeb při selhání účtu.
Poznámka
Tento článek používá modul Azure Az PowerShell, což je doporučený modul PowerShellu pro interakci s Azure. Pokud chcete začít s modulem Az PowerShell, projděte si téma věnované instalaci Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Volba správné možnosti redundance
Azure Storage udržuje několik kopií vašeho účtu úložiště, aby se zajistila stálost a vysoká dostupnost. Možnost redundance, kterou pro svůj účet zvolíte, závisí na míře odolnosti, kterou potřebujete. V případě ochrany před oblastními výpadky nakonfigurujte pro svůj účet geograficky redundantní úložiště s možností přístupu pro čtení ze sekundární oblasti nebo bez ní:
Geograficky redundantní úložiště (GRS) nebo geograficky zónově redundantní úložiště (GZRS) kopíruje vaše data asynchronně ve dvou geografických oblastech, které jsou od sebe vzdálené nejméně stovky kilometrů. Pokud dojde k výpadku primární oblasti, pak sekundární oblast slouží jako redundantní zdroj pro vaše data. Převzetí služeb při selhání můžete zahájit transformací sekundárního koncového bodu na primární koncový bod.
Geograficky redundantní úložiště jen pro čtení (RA-GRS) nebo geograficky zónově redundantní úložiště jen pro čtení (RA-GZRS) poskytuje geograficky redundantní úložiště s další výhodou přístupu pro čtení k sekundárnímu koncovému bodu. Pokud dojde k výpadku v primárním koncovém bodu, budou aplikace nakonfigurované pro přístup pro čtení k sekundárnímu a navrženému pro vysokou dostupnost dál číst ze sekundárního koncového bodu. Microsoft doporučuje ra-gzrs pro maximální dostupnost a stálost vašich aplikací.
Další informace o redundanci v Azure Storage najdete v Azure Storage redundanci.
Upozornění
Geograficky redundantní úložiště s sebou nese riziko ztráty dat. Data se kopírují do sekundární oblasti asynchronně, což znamená, že mezi zápisem dat do primární oblasti do sekundární oblasti dochází ke zpoždění. V případě výpadku dojde ke ztrátě operací zápisu do primárního koncového bodu, který ještě nebyl zkopírován do sekundárního koncového bodu.
Návrh pro zajištění vysoké dostupnosti
Je důležité navrhnout aplikaci pro vysokou dostupnost od začátku. Pokyny k návrhu aplikace a plánování zotavení po havárii najdete v těchto zdrojích informací o Azure:
- Navrhování odolných aplikací pro Azure:Přehled klíčových konceptů pro navrhování vysoce dostupných aplikací v Azure.
- Kontrolní seznam k odolnosti:Kontrolní seznam pro ověření, že vaše aplikace implementuje osvědčené postupy návrhu pro vysokou dostupnost.
- Použití geografické redundance k návrhu vysoce dostupných aplikací:Pokyny k návrhu pro vytváření aplikací, abyste využili výhod geograficky redundantního úložiště.
- Kurz: Sestavení vysocedostupné aplikace s úložištěm objektů blob: Kurz, který ukazuje, jak vytvořit vysoce dostupnou aplikaci, která automaticky přepíná mezi koncovými body při selhání a obnovení.
Kromě toho mějte na paměti tyto osvědčené postupy pro zachování vysoké dostupnosti vašich Azure Storage dat:
- Disky: Pomocí Azure Backup můžete zálohovat disky virtuálních počítačů používané virtuálními počítači Azure. Zvažte také použití Azure Site Recovery k ochraně virtuálních počítače v případě regionální havárie.
- Objekty blob bloku: Zapněte možnost softwarového odstranění, abyste se chránili před odstraněním a přepsáním na úrovni objektů, nebo pomocí azCopy, Azure PowerShellnebo knihovny Azure Data Movement zkopírujte objekty blob bloku do jiného účtu úložiště v jiné oblasti.
- Soubory: K Azure Backup sdílených složek použijte nástroj . Povolte také možnost softwarového odstranění, abyste se chránili před náhodným odstraněním sdílené složky. Geografickou redundanci v případě, že grs není k dispozici, můžete pomocí AzCopy nebo Azure PowerShell zkopírovat soubory do jiného účtu úložiště v jiné oblasti.
- Tabulky: Pomocí AzCopy můžete exportovat tabulková data do jiného účtu úložiště v jiné oblasti.
Sledování výpadků
Zákazníci se mohou přihlásit k odběru řídicího Azure Service Health, aby sledovali stav služeb Azure Storage a dalších služeb Azure.
Microsoft také doporučuje navrhnout aplikaci tak, aby se připravila na možnost selhání zápisu. Vaše aplikace by měla vystavit chyby zápisu způsobem, který vás upozorní na možnost výpadku v primární oblasti.
Vysvětlení procesu převzetí služeb při selhání účtu
Převzetí služeb při selhání účtu spravovaného zákazníkem umožňuje z jakéhokoli důvodu provést převzetí služeb při selhání celého účtu úložiště do sekundární oblasti, pokud primární účet nebude z nějakého důvodu dostupný. Když vynutíte převzetí služeb při selhání sekundární oblastí, klienti mohou po dokončení převzetí služeb při selhání začít zapisovat data do sekundárního koncového bodu. Převzetí služeb při selhání obvykle trvá přibližně hodinu.
Poznámka
Tato funkce se zatím nepodporuje v účtech, které mají hierarchický obor názvů (Azure Data Lake Storage Gen2). Další informace najdete v tématu Funkce úložiště objektů blob, které jsou k dispozici v Azure Data Lake Storage Gen2.
Jak funguje převzetí služeb při selhání
Za normálních okolností klient zapisuje data do účtu Azure Storage v primární oblasti a tato data se asynchronně kopírují do sekundární oblasti. Následující obrázek ukazuje scénář, kdy je primární oblast dostupná:
Pokud primární koncový bod z nějakého důvodu přestane být dostupný, klient už nebude moct zapisovat do účtu úložiště. Následující obrázek ukazuje scénář, ve kterém se primární server stal nedostupným, ale zatím nedošlo k žádnému obnovení:
Zákazník zahájí převzetí služeb účtu při selhání sekundárním koncovým bodem. Proces převzetí služeb při selhání aktualizuje položku DNS poskytnutou službou Azure Storage tak, aby se sekundární koncový bod stal novým primárním koncovým bodem pro váš účet úložiště, jak je znázorněno na následujícím obrázku:
Po aktualizaci položky DNS a směrování požadavků na nový primární koncový bod se pro geograficky redundantní účty obnoví přístup pro zápis. Stávající koncové body služby úložiště pro objekty blob, tabulky, fronty a soubory zůstanou po převzetí služeb při selhání stejné.
Důležité
Po dokončení převzetí služeb při selhání je účet úložiště nakonfigurovaný tak, aby byl místně redundantní v novém primárním koncovém bodu. Pokud chcete obnovit replikaci do nové sekundární lokality, znovu nakonfigurujte účet pro geografickou redundanci.
Mějte na paměti, že převod účtu místně redundantního úložiště na geografickou redundanci má náklady i čas. Další informace najdete v tématu Důležité důsledky převzetí služeb při selhání účtu.
Očekávaná ztráta dat
Upozornění
Převzetí služeb při selhání účtu obvykle zahrnuje ztrátu dat. Je důležité pochopit důsledky zahájení převzetí služeb při selhání účtu.
Vzhledem k tomu, že data jsou zapsána asynchronně z primární oblasti do sekundární oblasti, vždy dochází ke zpoždění před zkopírování zápisu do primární oblasti do sekundární oblasti. Pokud primární oblast přestane být dostupná, poslední zápisy ještě nebyly zkopírovány do sekundární oblasti.
Když vynutíte převzetí služeb při selhání, všechna data v primární oblasti se ztratí, protože sekundární oblast se stane novou primární oblastí. Nová primární oblast je po převzetí služeb při selhání nakonfigurovaná tak, aby byla místně redundantní.
Všechna data, která se už zkopírovaná do sekundární databáze, se zachová, když dojde k převzetí služeb při selhání. Jakákoli data zapisovaná do primárního serveru, která se také nezkopírovaná do sekundární lokality, se však trvale ztratí.
Vlastnost Čas poslední synchronizace označuje poslední čas, kdy je zaručeno, že data z primární oblasti budou zapsána do sekundární oblasti. Všechna data zapisaná před časem poslední synchronizace jsou k dispozici na sekundárním serveru, zatímco data zapisaná po době poslední synchronizace nemusí být zapsána do sekundární databáze a mohou být ztracena. Tuto vlastnost použijte v případě výpadku k odhadu množství ztráty dat, ke které může dojít zahájením převzetí služeb při selhání účtu.
Osvědčeným postupem je navrhnout aplikaci tak, abyste mohli použít čas poslední synchronizace k vyhodnocení očekávané ztráty dat. Pokud například protokolujíte všechny operace zápisu, můžete porovnat čas posledních operací zápisu s časem poslední synchronizace a určit, které zápisy nebyly synchronizovány do sekundární databáze.
Další informace o kontrole vlastnosti Čas poslední synchronizace najdete v tématu Kontrola vlastnosti Čas poslední synchronizace pro účet úložiště.
Při návratu zpět na původní primární server buďte opatrní.
Po převzetí služeb při selhání z primární do sekundární oblasti je váš účet úložiště nakonfigurovaný tak, aby byl místně redundantní v nové primární oblasti. Pak můžete účet v nové primární oblasti nakonfigurovat pro geografickou redundanci. Když je u účtu nakonfigurovaná geografická redundance po převzetí služeb při selhání, začne nová primární oblast okamžitě kopírovat data do nové sekundární oblasti, která byla primární před původním převzetím služeb při selhání. Může však nějakou dobu trvat, než se existující data v nové primární oblasti plně zkopírují do nové sekundární databáze.
Po změně konfigurace účtu úložiště pro geografickou redundanci je možné zahájit navrácení služeb po obnovení z nové primární lokality do nové sekundární lokality. V takovém případě se původní primární oblast před převzetím služeb při selhání znovu stane primární oblastí a je nakonfigurovaná na místně redundantní nebo zónově redundantní v závislosti na tom, jestli původní primární konfigurace byla GRS, RA-GRS nebo GZRS/RA-GZRS. Během navrácení služeb po obnovení se ztratí všechna data v primární oblasti po převzetí služeb při selhání (původní sekundární). Pokud se většina dat v účtu úložiště před navrácením služeb po obnovení nezkopíruje do nové sekundární oblasti, může dojít k významné ztrátě dat.
Pokud se chcete vyhnout významné ztrátě dat, zkontrolujte hodnotu vlastnosti Čas poslední synchronizace, než se vrátí zpět. Porovnejte čas poslední synchronizace s posledním zápisem dat do nové primární lokality, abyste vyhodnotíme očekávanou ztrátu dat.
Po operaci navrácení služeb po obnovení můžete novou primární oblast znovu nakonfigurovat tak, aby byla geograficky redundantní. Pokud byl původní primární server nakonfigurovaný pro LRS, můžete ho nakonfigurovat na GRS nebo RA-GRS. Pokud byl původní primární server nakonfigurovaný pro ZRS, můžete ho nakonfigurovat jako GZRS nebo RA-GZRS. Další možnosti najdete v tématu Změna způsobu replikace účtu úložiště.
Zahájení převzetí služeb při selhání účtu
Převzetí služeb při selhání účtu můžete zahájit z rozhraní API Azure Portal, PowerShellu, Azure CLI nebo Azure Storage poskytovatele prostředků. Další informace o zahájení převzetí služeb při selhání najdete v tématu Zahájení převzetí služeb při selhání účtu.
Další aspekty
V dalších aspektech popsaných v této části najdete informace o tom, jak mohou být vaše aplikace a služby ovlivněny při vynucení převzetí služeb při selhání.
Účet úložiště obsahující archivované objekty blob
Storage účty obsahující archivované objekty blob podporují převzetí služeb při selhání účtu. Po dokončení převzetí služeb při selhání je potřeba všechny archivované objekty blob znovu dosadět do online úrovně, aby bylo možné účet nakonfigurovat pro geografickou redundanci.
Poskytovatel prostředků úložiště
Po dokončení převzetí služeb při selhání mohou klienti znovu číst a zapisovat Azure Storage dat v nové primární oblasti. Poskytovatel prostředků Azure Storage ale nepřevezme služby při selhání, takže operace správy prostředků se musí provádět i v primární oblasti. Pokud je primární oblast nedostupná, nebudete moct provádět operace správy účtu úložiště.
Protože Azure Storage prostředků služby při selhání, vrátí vlastnost Location po dokončení převzetí služeb při selhání původní primární umístění.
Virtuální počítače Azure
Virtuální počítače Azure neprovede převzetí služeb při selhání v rámci převzetí služeb při selhání účtu. Pokud se primární oblast stane nedostupnou a přenecháte služby při selhání do sekundární oblasti, budete muset po převzetí služeb při selhání znovu vytvořit všechny virtuální počítače. S převzetím služeb při selhání účtu může také do souvislosti s možností ztráty dat. Microsoft doporučuje následující pokyny pro vysokou dostupnost a zotavení po havárii specifické pro virtuální počítače v Azure.
Nespravované disky Azure
Osvědčeným postupem je převést nespravované disky na spravované disky. Pokud ale potřebujete provést převzetí služeb při selhání pomocí účtu, který obsahuje nespravované disky připojené k virtuálním počítačům Azure, budete ho muset před zahájením převzetí služeb při selhání vypnout.
Nespravované disky se ukládají jako objekty blob stránky Azure Storage. Když je virtuální počítač spuštěný v Azure, pronajímá se všechny nespravované disky připojené k virtuálnímu počítači. Převzetí služeb při selhání účtu nemůže pokračovat v případě zapůjčení objektu blob. Převzetí služeb při selhání provedete takto:
- Než začnete, poznamenejte si názvy nespravovaných disků, jejich logické jednotky (LUN) a virtuální počítač, ke kterému jsou připojené. Tím usnadníte opětovné připojení disků po převzetí služeb při selhání.
- Vypněte virtuální počítač.
- Odstraňte virtuální počítač, ale zachovte soubory virtuálního pevného disku pro nespravované disky. Poznamenejte si čas odstranění virtuálního počítače.
- Počkejte, až se čas poslední synchronizace aktualizuje a bude pozdější než čas, kdy jste virtuální počítač odstranili. Tento krok je důležitý, protože pokud v případě převzetí služeb při selhání nebyl sekundární koncový bod plně aktualizován soubory virtuálního pevného disku, nemusí virtuální počítač v nové primární oblasti správně fungovat.
- Zahajte převzetí služeb při selhání účtu.
- Počkejte na dokončení převzetí služeb při selhání účtu a sekundární oblast se stane novou primární oblastí.
- Vytvořte virtuální počítač v nové primární oblasti a znovu připojte virtuální disky.
- Spusťte nový virtuální počítač.
Mějte na paměti, že při vypnutí virtuálního počítače dojde ke ztrátě všech dat uložených na dočasném disku.
Nepodporované funkce a služby
Převzetí služeb při selhání účtu nepodporuje následující funkce a služby:
- Synchronizace souborů Azure nepodporuje převzetí služeb při selhání účtu úložiště. U účtů úložiště obsahujících sdílené složky Azure, které se v Synchronizaci souborů Azure používají jako koncové body cloudu, by se nemělo provádět převzetí služeb při selhání. Pokud to uděláte, synchronizace přestane fungovat a v případě nově vrstvených souborů může dojít i k neočekávané ztrátě dat.
- Storage účty s povoleným hierarchickým oborem názvů (například pro Data Lake Storage Gen2) se v tuto chvíli nepodporují.
- U účtu úložiště obsahujícího objekty blob bloku úrovně Premium není možné provést služby při selhání. Storage účty, které podporují objekty blob bloku úrovně Premium, v současné době nepodporují geografickou redundanci.
- U účtu úložiště obsahujícího kontejnery s povolenými neměnností WORM není možné provést služby při selhání. Odemknuté/uzamčené uchovávání informací podle času nebo zásady blokování z právních předpisů brání převzetí služeb při selhání, aby se zachovalo dodržování předpisů.
Kopírování dat jako alternativa k převzetí služeb při selhání
Pokud je váš účet úložiště nakonfigurovaný pro přístup pro čtení sekundární, můžete navrhnout aplikaci tak, aby četla ze sekundárního koncového bodu. Pokud nechcete převzetí služeb při selhání v případě výpadku v primární oblasti, můžete ke kopírování dat z účtu úložiště v sekundární oblasti do jiného účtu úložiště v ovlivněné oblasti použít nástroje, jako je AzCopy, Azure PowerShellnebo knihovna pro přesun dat Azure. Aplikace pak můžete na tento účet úložiště odkazovat, aby byly dostupné pro čtení i zápis.
Upozornění
Převzetí služeb při selhání účtu by se nemělo používat jako součást strategie migrace dat.
Převzetí služeb při selhání spravované Microsoftem
V extrémních případech, kdy dojde ke ztrátě oblasti kvůli významné havárii, může Microsoft zahájit regionální převzetí služeb při selhání. V takovém případě se nevyžaduje žádná akce z vaší strany. Dokud se převzetí služeb při selhání spravované Microsoftem nedokončí, nebudete mít k účtu úložiště přístup pro zápis. Vaše aplikace mohou číst ze sekundární oblasti, pokud je váš účet úložiště nakonfigurovaný pro RA-GRS nebo RA-GZRS.