《VMware vSphere ESXI 中的HA工作原理介绍》由会员分享,可在线阅读,更多相关《VMware vSphere ESXI 中的HA工作原理介绍(3页珍藏版)》请在金锄头文库上搜索。
1、【资料】VMware vSphere ESXI/ESX中的HA工作原理介绍HA全称High Availability。它是VMware的企业应用环境中用来保障企业级应用的不间断运行需求所产 生的一个组件。HA允许一个集群中在资源许可的情况下,将出现故障的ESX主机上面的VM在其他的主机上启动起来, 其间的业务时间间断为:VM系统启动时间+应用启动时间+ 15秒左右的心跳检测时间。通常这个时间都 能够保持在3分钟内。HA不受DRS和VMotion的影响,也就是说它并不依赖于后两者存在,它的心跳检测信号可以通过在ESX 主机之间发生。HA甚至都不依赖于VC服务器,不过鉴于HA的配置需要一来VC,所
2、以我们一般认为HA 还是需要依赖于VC服务器的,但是我们必须清楚的认识:VC于HA的作用仅限于配置时需要它,配置完 成之后,只要我们设定了心跳检测的隔离地址,则我们可以丢弃VC服务器了(前提是我们不需要用到DRS 和VMotion等功能)。设定HA集群过程中,我们可以看到如下几个选项,他们分别的含义是:1、接入控制。用于设定集群中可以恢复或确保故障切换的最大主机故障数(VI3中集群最大允许故障主机 数目为4台)、确定违反可用性限制的VM是否可以被启动。2、默认群集设置。默认会应用于群集中的所有满足HA条件的VM。其中虚拟机重新启动优先级”选项指 定发生主机故障时重启VM的相对优先级,优先级较高
3、的VM将优先启动,依此类推,优先级从高到低次 第启动;“主机隔离响应选项则用于执行已与集群失去连接的ESX主机应对正在运行的VM执行的操作。 默认情况下,住过主机被隔离,则每台VM会保持启动状态,也就意味着被隔离ESX主机无法于集群中的 其他主机取得联系,但是其中的VM还继续保持运行;“关闭虚拟机”和虚拟机关闭”则会将VM交付于其 他ESX主机,等同于切断VM的电源,可能导致应用数据丢失。其中前者相当于拔电源,后者则是温和的 自动启动关机命令。区别在于,前者的等待时间较短,但是容易导致应用数据丢失,后者等待时间较长, 但是应用数据更容易受到保护。3、虚拟机监控。可以通过安装VMtools对虚拟
4、机的运行状态通过VMtools发出的监控信号进行监控,如 果在规定时间内没有收到信号则说明该机异常,将自动重启这台机。这个规定时间有:2分钟、1分钟、 30秒钟三个选项。4、高级选项。这里是对HA的一些高级选项进行配置。比如das.isolation-address (确定主机状态的隔 离地址)。HA的具体工作原理在集群中,VC通过心跳信号(Agent Heartbeat)来监控各台ESX主机的工作状态, ESX主机之间也能够相互发送心跳信号来确定相互之间的连通性和运行状态。集群中的心跳信号默认通过 Ser vice Console来传输(端口不定),那么,当某台ESX主机没有收到其他主机的信
5、号时,则可能有 两种可能:(1) 、其他ESX主机故障;(2) 、本机网络连通性出了问题,我们称之为孤立(isolation)。ESX主机的联通性心跳信号测试,还可以通过一个隔离地址”来实现,默认情况下这个地址是Ser vice Console的网关地址,但是,我们可以在高级选项中自定义这个地址。一旦ESX主机确定是自身的问题, 那么,系统将会自动解除对ESX主机上面虚拟机的VMDK文件解除锁定,方便其他主机接管它;如果ESX 主机确认非自身问题,则开始尝试接管其他可能故障的ESX主机上面的VM。根据实验资料,ESX主机会 在停止收到心跳信号数秒后,开始确认自己是否被孤立,如果确认是,则会根据
6、遇险的配置来决定其中VM 的状态处理。正常ESX主机会在停止接收到故障ESX主机的心跳喜好15s之后,开始尝试接管并启动原来在故障主机 上的VM。另一种特殊的情况,我们称之为脑裂”这种情况一般发生在非冗余网络和主机集群中。假定某 HA集群中有2台主机T1和T2,当T1崩溃后没能发出心跳信号时,T2无法确认是T1问题还是自身问 题,这时它会尝试ping隔离地址设定的IP,来确认是否是自身被孤立,如果隔离地址因为防火墙封闭或 其他原因无法ping通,则T2会认为自身是孤立主机,那么,它就会按照预先设定的操作进程对VM进行 相应的处理,进而扩大化故障范围正是为了防止脑裂”现象的发生,VMware中将
7、HA设置中的主机隔离 响应”默认配置为保持VM启动状态”。备注:早期的版本默认设置为关闭VM”。所以,我们一再强调对HA集群中的默认ESX主机为3台以 上,或者集群中的ESX拥有冗余网络。关于vmware推荐的ha群集最佳做法:主要是分设计群集,网络 配置,网络冗余.一关于设计群集:1)将警报设置为监控群集更改当VMware HA或容错执行可用来维护可用性的操作时(例如,虚拟机故 障切换),我们需要系统通知我们此更改。可以将vCenter Server中的警报触发设置配置为在执行操作 或向指定的一组管理员发送警示(如,电子邮件)时触发。2)监控群集有效性有效群集是尚未违反接入控制策略的群集。当
8、已启动的虚拟机数超过了故障切换需求, 即当前故障切换容量小于所配置的故障切换容量,则已启用VMwareHA的群集将会变为无效(红色)。 如果禁用了接入控制,则群集不会变为无效。vSphere Client中的群集的摘要”页面显示群集的配置问 题的列表。该列表说明了造成群集无效或过载(黄色)的原因。如果群集是由于VMware HA问题而变 为红色的,则DRS行为不会受到影响。3)检查群集的操作状态群集或其主机可能会出现一些配置问题和其他问题,这会对VMware HA的正常 运行产生负面影响。可以查看群集操作状态”屏幕来监控这些错误,能够从vSphereClient中群集的摘 要选项卡的VMwar
9、e HA部分访问此屏幕。大家应该解决此屏幕上列出的所有问题。二关于网络配置(维护):下列网络维护建议可以帮助我们避免对由于丢失VMware HA检测信号而发生故障的主机和网络隔离的 意外检测。1)对群集ESX/ESXi主机所在的网络进行更改时,VMware建议我们挂起主机监控功能。更改网络硬 件或网络设置会中断VMware HA用于检测主机故障的检测信号,并且这可能导致不必要的虚拟机故障 切换尝试。2)在ESX/ESXi主机上更改网络配置时(例如,添加端口组或移除vSwitch),VMware建议除了挂 起主机监控以外,还应将主机置于维护模式。群集范围的网络注意事项为了使VMware HA运行
10、,群集内的所有主机都必须有兼容网络。添加到群集 的第一个节点指明为了使所有后续主机成为群集成员还必须拥有的网络。如果IP地址和子网掩码的组合 生成的网络与其他主机的网络相匹配,则将此网络视为兼容网络。如果尝试添加具有太多或太少管理网络的主机,或者要添加的主机具有不兼容的网络,则配置任务将失败, 而且任务详细信息”窗格中将指定该主机不兼容。例如,如果添加到群集的第一个主机有两个网络用于VMware HA 通信,10.10.135.0/255.255.255.0 和 10.17.142.0/255.255.255.0,则所有后续主 机必须配置相同的两个网络,并用于VMware HA通信。网络隔离地
11、址网络隔离地址是要ping的IP地 址,以确定主机是否与网络隔离。只有当主机已停止从群集内的任何其他主机接收检测信号时才ping此 地址。如果主机可以ping其网络隔离地址,则说明该主机并未与网络隔离,并且群集内的其他主机已发 生故障。但是,如果主机无法ping其隔离地址,则可能该主机已与网络隔离,并且不会执行故障切换操 作。默认情况下,网络隔离地址是主机的默认网关。无论已定义了多少管理网络,都只指定了一个默认网 关,因此,应当使用das.isolationaddress高级属性为其他网络添加隔离地址。指定额外的隔离地 址时,VMware建议将das.failuredetectiontime高
12、级属性的设置增加到20000毫秒(20秒)或更 长时间。如果主机隔离响应是为了故障切换虚拟机(而非将其保持为启动状态),则从网络隔离的节点需 要时间释放其虚拟机的VMFS锁。必须在其他节点将该节点声明为故障节点之前进行此操作,以便当它 们启动虚拟机时,不会由于虚拟机仍然被此隔离节点锁定而收到错误。其他网络注意事项配置交换机。如 果连接服务器的物理网络交换机支持PortFast (或等效)设置,请将其启用。此设置可防止主机在执行冗 长的跨树算法期间误认为网络已被隔离。主机防火墙。在ESX/ESXi主机上,VMware HA需要并自动 打开以下防火墙端口。A入站端口: TCP/UDP 8042-8
13、045B出站端口: TCP/UDP 2050-2250端口组 名称和网络标签。在VLAN上使用一致的公用网络端口组名称和网络标签。端口组名称用于重新配置虚 拟机对网络的访问。如果在原始服务器和故障切换服务器间使用的名称不一致,虚拟机将在故障切换后中 断网络连接。虚拟机使用这些标签在重新启动时重新建立网络连接。三网络路径冗余群集节点之间的网络 路径冗余对VMware HA可靠性非常重要。单个管理网络会最终成为单一故障点。如果当我们只有一个 管理网络,则主机和群集之间的任何故障都可能导致不必要的(错误的)故障切换情况。可能的故障包括 网卡故障、网络电缆故障、网络电缆移除和交换机重置。考虑主机可能导
14、致故障的上述原因,然后尝试减 少这些问题(通常通过提供网络冗余来实现此目的)。可以使用网卡绑定在网卡级别或在管理网络级别实 现网络冗余。在大多数实现中,网卡绑定可以提供足够的冗余,但如果需要,可以使用或增加管理网络冗 余。冗余管理网络可以可靠地检测故障并防止出现隔离的情况,因为检测信号可以通过多个网络发送。在 群集内的服务器之间尽量少配置硬件分段,目的是为了限制单一故障点。此外,跃点过多的路由可能会导 致检测信号的网络数据包延迟,并增加潜在的故障点数目。使用网卡绑定的网络冗余如果用两个连接到不 同物理交换机的网卡组成一个网卡组,则可以提高管理网络的可靠性。因为通过两个网卡(并且通过单独 的交换
15、机)连接的服务器具有两条独立的路径来发送和接收检测信号,所以群集具有更好的弹性。要为管 理网络配置网卡组,请在活动或待机配置的vSwitch配置中配置vNIC。推荐的vNIC参数设置如下: A默认的负载平衡=基于源虚拟端口 ID的路由B故障恢复=否在为VMware HA群集内的主机添 加网卡后,必须在该主机上重新配置VMware HA。使用辅助网络的网络冗余除了使用网卡绑定提供检测 信号冗余之外,还可以创建一个辅助管理网络连接,并将其连接到一个单独的虚拟交换机上。主管理网络 连接用于网络和管理。辅助管理网络连接创建之后,VMware HA会同时通过主管理网络连接和辅助管理 网络连接发送检测信号。如果一条路径发生故障,VMware HA仍可通过另一条路径发送和接收检测信号。
