Bereitstellen eines Cloudzeugen für einen Failovercluster
Ein Cloudzeuge ist eine Art Failovercluster-Quorumzeuge, der Microsoft Azure verwendet, um eine Abstimmung über das Clusterquorum bereitzustellen. Dieser Artikel enthält eine Übersicht über das Cloudzeugenfeature, Informationen zu den unterstützten Szenarios und Anweisungen zum Konfigurieren eines Cloudzeugen für einen Failovercluster. Weitere Informationen finden Sie unter Einrichten eines Clusterzeugen.
Was ist ein Cloudzeuge?
Bevor Sie beginnen, sollten Sie den Artikel Grundlegendes zu Cluster- und Poolquorums lesen, um Ihr Wissen über Clusterquorums und Quorumzeugen aufzufrischen.
Sehen Sie sich zunächst das folgende Diagramm an, das eine Beispielkonfiguration eines Stretching-Failoverclusterquorums für mehrere Standorte für Windows Server darstellt.
Dieses Beispiel ist eine vereinfachte Konfiguration mit zwei Knoten in zwei lokalen Rechenzentren. In typischen Clustern verfügt jeder Knoten über eine Stimme zum Abstimmen, und durch eine Dateifreigabe erhält der Quorumzeuge eine zusätzliche Stimme. Mit dieser zusätzlichen Stimme kann der Cluster weiterhin ausgeführt werden, auch wenn eines der Rechenzentren deaktiviert wird. Im Beispiel verfügt das Clusterquorum über fünf mögliche Stimmen und benötigt nur drei Stimmen, um die Ausführung fortzusetzen.
Möglicherweise stellen Sie jedoch fest, dass neben den beiden Rechenzentren auch ein drittes Rechenzentrum namens Dateifreigabenzeuge vorhanden ist. Dieses Rechenzentrum wird von den anderen beiden Standorten getrennt und hostet einen Dateiserver, der die Systemdateifreigabe sichert. Der Dateifreigabezeuge fungiert als Quorumzeuge in dieser Clusterquorumkonfiguration, um sicherzustellen, dass das System weiterhin ausgeführt wird, auch wenn eines der Rechenzentren unerwartet heruntergefahren wird.
Ein Dateifreigabezeuge bietet genügend Redundanz, um den Dateiserver hochverfügbar zu halten. Sie sollten jedoch bedenken, dass das Hosten des File Share Witness auf einem anderen Server an einem separaten Standort die Einrichtung, regelmäßige Wartung und unabhängige Konnektivität zu den anderen Standorten erfordert.
Cloudzeugen unterscheiden sich von herkömmlichen Clusterquorum-Zeugenkonfigurationen, da sie eine Azure-VM in der Cloud als Quorumzeugen anstelle eines physischen Rechenzentrums verwenden. Sie verwenden Azure Blob Storage, um eine BLOB-Datei zu lesen und zu schreiben, die das System als entscheidende Stimme für das Quorum verwendet. Das folgende Diagramm zeigt eine Beispielkonfiguration, die einen Cloudzeugen verwendet.
Wie Sie sehen können, erfordern Cloudzeugenkonfigurationen kein drittes separates Rechenzentrum. Cloudzeugen erhalten wie jeder andere Quorumzeuge eine zusätzliche Stimme und helfen dabei, eine vollständige Abschaltung zu verhindern, wenn eines der anderen Rechenzentren deaktiviert wird. Sie benötigen jedoch keinen zusätzlichen Standort zum Speichern des Quorumzeugen. Bei Cloudzeugen ist zudem keine regelmäßige physische Wartung notwendig, wie dies bei lokalen Rechenzentren der Fall ist.
Neben Redundanz gibt es einige weitere Vorteile für die Verwendung des Cloudzeugenfeatures:
Sie müssen kein separates zusätzliches Rechenzentrum verwenden, um ein Quorum zu erreichen.
Durch die Verwendung von Azure Blob Storage wird ein zusätzlicher Wartungsaufwand verhindert, der normalerweise für das Hosten von VMs in der öffentlichen Cloud erforderlich ist.
Sie können dasselbe Azure-Speicherkonto für mehrere Cluster verwenden. Die einzigen Anforderungen sind, dass Sie nur ein Blob pro Cluster verwenden und die eindeutige ID des Clusters als Blobdateinamen angeben.
Die laufenden Kosten für Ihr Speicherkonto sind niedriger, da die Blobdatei nicht viel Daten benötigt und nur aktualisiert wird, wenn sich der Clusterknotenstatus ändert.
Azure verfügt über einen integrierten Cloudzeugen-Ressourcentyp.
Voraussetzungen
Sie müssen über ein Azure-Konto mit einem aktiven Abonnement und über ein gültiges allgemeines Azure-Speicherkonto verfügen, um einen Cloudzeugen konfigurieren zu können. In diesem Speicherkonto erstellt der Cloudzeuge den msft-cloud-witness
-Container zum Speichern der für die Abstimmungsvermittlung erforderliche Blobdatei.
Hinweis
Der Cloudzeuge ist nicht mit den folgenden Typen von Azure-Speicherkonten kompatibel:
- Blob Storage
- Azure Storage Premium
Sie können dieses Konto und den msft-cloud-witness
-Container verwenden, den der Cloudzeuge automatisch erstellt, um den Cloudzeugen clusterübergreifend zu konfigurieren. Jeder Cluster verfügt über eine eigene Blobdatei, die er im Container speichert.
Wenn Sie Ihr Azure-Speicherkonto erstellen und es sich bei dem Cluster, für den Sie den Cloudzeugen konfigurieren, um einen lokalen Cluster oder einen Cluster in Azure innerhalb derselben Azure-Region und Verfügbarkeitszonen handelt, wählen Sie beim Konfigurieren des Felds Replikation die Option Lokal redundanter Speicher (LRS) aus. Wenn sich Ihr Cluster in derselben Azure-Region, aber in verschiedenen Verfügbarkeitszonen befindet, wählen Sie stattdessen Zonenredundanter Speicher (ZRS) aus.
Sie müssen eines der folgenden unterstützten Szenarios verwenden:
Notfallwiederherstellung für Stretchingcluster mit mehreren Standorten (wie unter Bereitstellen eines Cloudzeugen für einen Failovercluster gezeigt)
Failovercluster ohne freigegebenen Speicher (z. B. SQL Always On)
Failovercluster, die auf einem Gastbetriebssystem ausgeführt werden, das entweder mit der Rolle „Virtueller Microsoft Azure-Computer“ oder in einer anderen öffentlichen Cloud ausgeführt wird
Failovercluster, die aus virtuellen Computern bestehen, die in den auf einem Gastbetriebssystem ausgeführten privaten Clouds gehostet werden
Speichercluster mit oder ohne freigegebenen Speicher, z. B. Dateiservercluster mit horizontaler Skalierung
Kleine Cluster für Zweigstellen (sogar Zwei-Knoten-Cluster)
Es wird empfohlen, immer dann einen Zeugen konfigurieren, wenn Sie Windows Server 2012 R2 und höher verwenden. Cluster in späteren Versionen von Windows Server verwalten die Zeugenstimme und die entsprechenden Knotenstimme mit dem dynamischen Quorum automatisch.
Außerdem müssen Sie sicherstellen, dass alle Firewalls zwischen dem Failovercluster und dem Azure-Speicherkontodienst Datenverkehr von Port 443 zulassen (wird auch als HTTPS-Port bezeichnet). Der Cloudzeuge verwendet die HTTPS-REST-Schnittstelle für den Azure-Speicherdienst. Aus diesem Grund müssen Sie Port 443 in allen Knoten in Ihrem Failovercluster öffnen, damit der Cloudzeuge wie beabsichtigt funktionieren kann.
Wenn Sie ein Azure-Speicherkonto erstellen, wird es von Azure den automatisch generierten primären und sekundären Zugriffsschlüsseln zugeordnet. Wenn Sie einen Cloudzeugen zum ersten Mal einrichten, wird die Verwendung des primären Zugriffsschlüssels empfohlen. Danach können Sie entweder den primären oder den sekundären Zugriffsschlüssel verwenden.
Konfigurieren des Cloudzeugen als Quorumzeugen für Ihren Cluster
Sie können den Cloudzeugen mit PowerShell oder mithilfe des Quorum-Konfigurationseinrichtungsworkflows konfigurieren, der in die Failovercluster-Verwaltungsanwendung integriert ist.
Führen Sie die folgenden Schritte aus, um den Quorum-Konfigurationseinrichtungsworkflow zum Konfigurieren des Cloudzeugen zu verwenden:
Öffnen Sie den Failovercluster-Manager.
Klicken Sie mit der rechten Maustaste auf den Namen Ihres Clusters.
Wechseln Sie wie im folgenden Screenshot gezeigt zu Weitere Aktionen>Clusterquorumeinstellungen konfigurieren, um den Workflow zum Konfigurieren des Clusterquorums zu starten.
Wählen Sie auf der Seite Quorumkonfiguration auswählen die Option Quorumzeugen auswählen.
Wählen Sie auf der Seite Quorumzeuge auswählen die Option Cloudzeugen konfigurieren.
Geben Sie auf der Seite Cloudzeugen konfigurieren die folgenden Informationen ein:
Name des Azure-Speicherkontos
Zugriffsschlüssel, der Ihrem Speicherkonto zugeordnet ist
Wenn Sie zum ersten Mal einen Cloudzeugen erstellen, verwenden Sie Ihren primären Zugriffsschlüssel.
Wenn Sie den primären Zugriffsschlüssel rotieren, verwenden Sie stattdessen den sekundären Zugriffsschlüssel.
Hinweis
Anstatt Zugriffsschlüssel direkt zu speichern, generiert Ihr Failovercluster ein SAS-Token (Shared Access Security), um sie stattdessen sicher zu speichern. Das Token ist nur gültig, solange der Zugriffsschlüssel, dem es zugeordnet ist, gültig bleibt. Wenn Sie den primären Zugriffsschlüssel rotieren, müssen Sie die Cloudzeugen in allen Clustern, die dieses Speicherkonto verwenden, mit dem sekundären Schlüssel aktualisieren, bevor Sie den Primärschlüssel neu generieren können.
Optional können Sie den Namen eines anderen vorhandenen Servers in das Feld Endpunktservername eingeben, wenn Sie einen anderen Azure-Dienstendpunkt für Ihren Cloudzeugen verwenden möchten (z. B. Azure China).
Wenn die Konfiguration erfolgreich ist, sollte Ihr neuer Cloudzeuge wie im folgenden Screenshot gezeigt im Akkordeonmenü für die Failoverclusterverwaltung angezeigt werden.
Überlegungen zu Proxys mit Cloudzeugen
Cloudzeugen verwenden HTTPS (Standardport 443) für die ausgehende Kommunikation mit dem Azure-Blobdienst. Azure verwendet .core.windows.net als Endpunkt. Sie müssen sicherstellen, dass dieser Endpunkt in allen Firewall-Zulassungslisten enthalten ist, die Sie zwischen dem Cluster und Azure Storage verwenden. Damit ein Proxy Azure Storage erreichen kann, konfigurieren Sie Windows-HTTP-Dienste (WinHTTP) mit den erforderlichen Proxyeinstellungen. Failovercluster verwendet WinHTTP für die HTTPS-Kommunikation.
Führen Sie die folgenden Schritte aus, um den Netsh-Befehl zum Konfigurieren eines Standardproxyservers zu verwenden:
Hinweis
- Dadurch wird die Standardproxykonfiguration für WinHTTP geändert. Alle Anwendungen, einschließlich Windows-Diensten, die WinHTTP verwenden, können davon betroffen sein.
Öffnen Sie eine Befehlszeile mit erhöhten Rechten:
- Navigieren Sie zu Start, und geben Sie cmd ein.
- Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie Als Administrator ausführen aus.
Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
netsh winhttp set proxy proxy-server="<ProxyServerName>:<port>" bypass-list="<HostsList>"
Beispiel:
netsh winhttp set proxy proxy-server="192.168.10.80:8080" bypass-list="<local>; *.contoso.com"
Weitere Informationen finden Sie unter Syntax, Kontexte und Formatierung des Befehls „Netsh“.