Jak działa tryb failover konta magazynu zarządzanego przez klienta

Tryb failover zarządzany przez klienta kont usługi Azure Storage umożliwia przełączenie całego konta magazynu geograficznie nadmiarowego w tryb failover do regionu pomocniczego, jeśli punkty końcowe usługi magazynu dla regionu podstawowego staną się niedostępne. Podczas pracy w trybie failover oryginalny region pomocniczy staje się nowym podstawowym i wszystkimi punktami końcowymi usługi magazynu dla obiektów blob, tabel, kolejek i plików są przekierowywane do nowego regionu podstawowego. Po rozwiązaniu awarii punktu końcowego usługi magazynu można wykonać kolejną operację trybu failover, aby powrócić po awarii do oryginalnego regionu podstawowego.

W tym artykule opisano, co się dzieje podczas pracy w trybie failover i powrotu po awarii konta magazynu zarządzanego przez klienta na każdym etapie procesu.

Ważne

Tryb failover konta zarządzanego przez klienta dla kont z hierarchiczną przestrzenią nazw (Azure Data Lake Storage Gen2) jest obecnie w wersji zapoznawczej i jest obsługiwany tylko w następujących regionach:

• (Azja i Pacyfik) Indie Środkowe
• (Azja i Pacyfik) Azja Południowo-Wschodnia
• (Europa) Europa Północna
• (Europa) Szwajcaria Północna
• (Europa) Szwajcaria Zachodnia
• (Europa) Europa Zachodnia
• (Ameryka Północna) Kanada Środkowa
• (Ameryka Północna) Wschodnie stany USA 2
• (Ameryka Północna) Południowo-środkowe stany USA

Aby wyrazić zgodę na korzystanie z wersji zapoznawczej, zobacz Konfigurowanie funkcji w wersji zapoznawczej w subskrypcji platformy Azure i określanie AllowHNSAccountFailover jej jako nazwy funkcji.

Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

W przypadku znacznej awarii, która ma wpływ na region podstawowy, firma Microsoft będzie zarządzać trybem failover dla kont z hierarchiczną przestrzenią nazw. Aby uzyskać więcej informacji, zobacz Tryb failover zarządzany przez firmę Microsoft.

Zarządzanie nadmiarowością podczas pracy w trybie failover i powrotu po awarii

Napiwek

Aby szczegółowo zrozumieć różne stany nadmiarowości podczas procesu trybu failover i powrotu po awarii konta magazynu, zobacz Nadmiarowość usługi Azure Storage dla definicji każdego z nich.

Gdy konto magazynu jest skonfigurowane na potrzeby nadmiarowości GRS lub RA-GRS, dane są replikowane trzy razy lokalnie zarówno w regionach podstawowych, jak i pomocniczych (LRS). Gdy konto magazynu jest skonfigurowane na potrzeby replikacji GZRS lub RA-GZRS, dane są strefowo nadmiarowe w regionie podstawowym (ZRS) i replikowane trzy razy lokalnie w regionie pomocniczym (LRS). Jeśli konto jest skonfigurowane pod kątem dostępu do odczytu (RA), będzie można odczytywać dane z regionu pomocniczego, o ile punkty końcowe usługi magazynu do tego regionu są dostępne.

Podczas procesu trybu failover zarządzanego przez klienta wpisy DNS dla punktów końcowych usługi magazynu są zmieniane tak, aby te dla regionu pomocniczego stały się nowymi podstawowymi punktami końcowymi konta magazynu. Po przejściu w tryb failover kopia konta magazynu w oryginalnym regionie podstawowym zostanie usunięta, a konto magazynu będzie replikowane trzy razy lokalnie w oryginalnym regionie pomocniczym (nowy podstawowy). W tym momencie konto magazynu staje się lokalnie nadmiarowe (LRS).

Oryginalne i bieżące konfiguracje nadmiarowości są przechowywane we właściwościach konta magazynu, aby umożliwić ostatecznie powrót do oryginalnej konfiguracji po powrocie po awarii.

Aby odzyskać nadmiarowość geograficzną po przejściu w tryb failover, należy ponownie skonfigurować konto jako magazyn GRS. (GZRS nie jest opcją po przejściu w tryb failover, ponieważ nowy podstawowy będzie LRS po przejściu w tryb failover). Po ponownym skonfigurowaniu konta na potrzeby nadmiarowości geograficznej platforma Azure natychmiast rozpoczyna kopiowanie danych z nowego regionu podstawowego do nowego pomocniczego. Jeśli skonfigurujesz konto magazynu na potrzeby dostępu do odczytu (RA) do regionu pomocniczego, ten dostęp będzie dostępny, ale replikacja z serwera podstawowego może zająć trochę czasu, aby zapewnić bieżącą pomocniczą.

Ostrzeżenie

Po ponownym skonfigurowaniu konta na potrzeby nadmiarowości geograficznej może upłynąć dużo czasu, zanim istniejące dane w nowym regionie podstawowym będą w pełni kopiowane do nowej pomocniczej.

Aby uniknąć poważnej utraty danych, sprawdź wartość właściwości Czas ostatniej synchronizacji przed powrotem po awarii. Porównaj czas ostatniej synchronizacji z ostatnim zapisem danych w nowym podstawowym, aby ocenić potencjalną utratę danych.

Proces powrotu po awarii jest zasadniczo taki sam jak proces trybu failover, z wyjątkiem tego, że platforma Azure przywraca konfigurację replikacji do pierwotnego stanu, zanim została przełączona w tryb failover (konfiguracja replikacji, a nie dane). Dlatego jeśli konto magazynu zostało pierwotnie skonfigurowane jako magazyn GZRS, region podstawowy po powrotu po awarii stanie się magazynem ZRS.

Po ponownym powrotu po awarii możesz skonfigurować konto magazynu tak, aby było ponownie geograficznie nadmiarowe. Jeśli oryginalny region podstawowy został skonfigurowany dla magazynu LRS, można skonfigurować go tak, aby był grs lub RA-GRS. Jeśli oryginalny podstawowy został skonfigurowany jako magazyn ZRS, można skonfigurować go tak, aby był GZRS lub RA-GZRS. Aby uzyskać dodatkowe opcje, zobacz Zmienianie sposobu replikacji konta magazynu.

Jak zainicjować tryb failover

Aby dowiedzieć się, jak zainicjować tryb failover, zobacz Inicjowanie trybu failover konta magazynu.

Uwaga

Przejście konta magazynu w tryb failover zwykle wiąże się z utratą danych i potencjalnie niespójnościami plików i danych. Ważne jest, aby zrozumieć wpływ przejścia konta w tryb failover na dane przed zainicjowaniem.

Aby uzyskać szczegółowe informacje na temat potencjalnej utraty i niespójności danych, zobacz Przewidywanie utraty i niespójności danych.

Proces przejścia w tryb failover i powrotu po awarii

Ta sekcja zawiera podsumowanie procesu trybu failover zarządzanego przez klienta w trybie failover.

Podsumowanie przejścia w tryb failover

Po przejściu klienta w tryb failover:

• Region pomocniczy staje się nowym podstawowym
• Kopia danych w oryginalnym regionie podstawowym jest usuwana
• Konto magazynu jest konwertowane na magazyn LRS
• Nadmiarowość geograficzna jest utracona

W tej tabeli przedstawiono podsumowanie wynikowej konfiguracji nadmiarowości na każdym etapie trybu failover zarządzanego przez klienta i powrotu po awarii:

Oryginał konfiguracja	Po tryb failover	Po ponownym włączeniu nadmiarowość geograficzna	Po powrót po awarii	Po ponownym włączeniu nadmiarowość geograficzna
GRS	LRS	GRS 1	LRS	GRS 1
GZRS	LRS	GRS 1	ZRS	GZRS 1

¹ Nadmiarowość geograficzna jest utracona podczas pracy awaryjnej zarządzanej przez klienta i musi zostać ręcznie ponownie skonfigurowana.

Szczegóły przejścia w tryb failover

Na poniższych diagramach przedstawiono, co się stanie podczas pracy w trybie failover zarządzanego przez klienta i powrotu po awarii konta magazynu skonfigurowanego na potrzeby nadmiarowości geograficznej. Szczegóły przejścia dla GZRS i RA-GZRS są nieco inne niż GRS i RA-GRS.

GRS/RA-GRS

Normalna operacja (GRS/RA-GRS)

W normalnych okolicznościach klient zapisuje dane na koncie magazynu w regionie podstawowym za pośrednictwem punktów końcowych usługi magazynu (1). Dane są następnie kopiowane asynchronicznie z regionu podstawowego do regionu pomocniczego (2). Na poniższej ilustracji przedstawiono normalny stan konta magazynu skonfigurowanego jako GRS, gdy są dostępne podstawowe punkty końcowe:

Punkty końcowe usługi magazynu stają się niedostępne w regionie podstawowym (GRS/RA-GRS)

Jeśli podstawowe punkty końcowe usługi magazynu staną się niedostępne z jakiegokolwiek powodu (1), klient nie może już zapisywać danych na koncie magazynu. W zależności od przyczyny awarii replikacja do regionu pomocniczego może już nie działać (2), dlatego należy oczekiwać utraty danych. Na poniższej ilustracji przedstawiono scenariusz, w którym podstawowe punkty końcowe stały się niedostępne, ale nie wystąpiło jeszcze żadne odzyskiwanie:

Proces trybu failover (GRS/RA-GRS)

Aby przywrócić dostęp do zapisu do danych, możesz zainicjować tryb failover. Identyfikatory URI punktu końcowego usługi magazynu dla obiektów blob, tabel, kolejek i plików pozostają takie same, ale ich wpisy DNS są zmieniane tak, aby wskazywały region pomocniczy (1), jak pokazano na poniższej ilustracji:

Tryb failover zarządzany przez klienta zwykle trwa około godziny.

Po zakończeniu pracy w trybie failover oryginalny pomocniczy staje się nowym podstawowym (1), a kopia konta magazynu w oryginalnym podstawowym stanie się usunięta (2). Konto magazynu jest skonfigurowane jako magazyn LRS w nowym regionie podstawowym i nie jest już geograficznie nadmiarowe. Użytkownicy mogą wznowić zapisywanie danych na koncie magazynu (3), jak pokazano na poniższej ilustracji:

Aby wznowić replikację do nowego regionu pomocniczego, skonfiguruj ponownie konto pod kątem nadmiarowości geograficznej.

Ważne

Należy pamiętać, że konwertowanie konta magazynu lokalnie nadmiarowego na użycie nadmiarowości geograficznej wiąże się zarówno z kosztami, jak i czasem. Aby uzyskać więcej informacji, zobacz Czas i koszt pracy w trybie failover.

Po ponownym skonfigurowaniu konta jako grs platforma Azure rozpoczyna kopiowanie danych asynchronicznie do nowego regionu pomocniczego (1), jak pokazano na poniższej ilustracji:

Dostęp do odczytu do nowego regionu pomocniczego nie będzie ponownie dostępny do momentu rozwiązania problemu powodującego oryginalną awarię.

Proces powrotu po awarii (GRS/RA-GRS)

Ostrzeżenie

Po ponownym skonfigurowaniu konta na potrzeby nadmiarowości geograficznej może upłynąć dużo czasu, zanim dane w nowym regionie podstawowym będą w pełni kopiowane do nowej pomocniczej.

Aby uniknąć poważnej utraty danych, sprawdź wartość właściwości Czas ostatniej synchronizacji przed powrotem po awarii. Porównaj czas ostatniej synchronizacji z ostatnim zapisem danych w nowym podstawowym, aby ocenić potencjalną utratę danych.

Po rozwiązaniu problemu powodującego oryginalną awarię możesz zainicjować inny tryb failover w celu powrotu po awarii do oryginalnego regionu podstawowego, co spowoduje wykonanie następujących czynności:

1. Bieżący region podstawowy staje się tylko do odczytu.
2. W przypadku przejścia w tryb failover zainicjowanego przez klienta i powrotu po awarii dane nie mogą zakończyć replikacji do regionu pomocniczego podczas procesu powrotu po awarii. Dlatego ważne jest, aby sprawdzić wartość właściwości Czas ostatniej synchronizacji przed powrotem po awarii.
3. Wpisy DNS dla punktów końcowych usługi magazynu są zmieniane tak, aby te dla regionu pomocniczego stały się nowymi podstawowymi punktami końcowymi dla konta magazynu.

Po zakończeniu powrotu po awarii oryginalny region podstawowy stanie się bieżącym ponownie (1), a kopia konta magazynu w oryginalnym pomocniczym regionie zostanie usunięta (2). Konto magazynu jest skonfigurowane jako lokalnie nadmiarowe w regionie podstawowym i nie jest już geograficznie nadmiarowe. Użytkownicy mogą wznowić zapisywanie danych na koncie magazynu (3), jak pokazano na poniższej ilustracji:

Aby wznowić replikację do oryginalnego regionu pomocniczego, ponownie skonfiguruj konto na potrzeby nadmiarowości geograficznej.

Ważne

Należy pamiętać, że konwertowanie konta magazynu lokalnie nadmiarowego na użycie nadmiarowości geograficznej wiąże się zarówno z kosztami, jak i czasem. Aby uzyskać więcej informacji, zobacz Czas i koszt pracy w trybie failover.

Po ponownym skonfigurowaniu konta jako GRS replikacja do oryginalnego regionu pomocniczego zostanie wznowione, jak pokazano na poniższej ilustracji:

GZRS/RA-GZRS

Normalna operacja (GZRS/RA-GZRS)

W normalnych okolicznościach klient zapisuje dane na koncie magazynu w regionie podstawowym za pośrednictwem punktów końcowych usługi magazynu (1). Dane są następnie kopiowane asynchronicznie z regionu podstawowego do regionu pomocniczego (2). Na poniższej ilustracji przedstawiono normalny stan konta magazynu skonfigurowanego jako magazyn GZRS, gdy są dostępne podstawowe punkty końcowe:

Punkty końcowe usługi magazynu stają się niedostępne w regionie podstawowym (GZRS/RA-GZRS)

Jeśli podstawowe punkty końcowe usługi magazynu staną się niedostępne z jakiegokolwiek powodu (1), klient nie może już zapisywać danych na koncie magazynu. W zależności od przyczyny awarii replikacja do regionu pomocniczego może już nie działać (2), dlatego należy oczekiwać utraty danych. Na poniższej ilustracji przedstawiono scenariusz, w którym podstawowe punkty końcowe stały się niedostępne, ale nie wystąpiło jeszcze żadne odzyskiwanie:

Proces trybu failover (GZRS/RA-GZRS)

Aby przywrócić dostęp do zapisu do danych, możesz zainicjować tryb failover. Identyfikatory URI punktu końcowego usługi magazynu dla obiektów blob, tabel, kolejek i plików pozostają takie same, ale ich wpisy DNS są zmieniane tak, aby wskazywały region pomocniczy (1), jak pokazano na poniższej ilustracji:

Przejście w tryb failover zwykle trwa około godziny.

Po zakończeniu pracy w trybie failover oryginalny pomocniczy staje się nowym podstawowym (1), a kopia konta magazynu w oryginalnym podstawowym stanie się usunięta (2). Konto magazynu jest skonfigurowane jako magazyn LRS w nowym regionie podstawowym i nie jest już geograficznie nadmiarowe. Użytkownicy mogą wznowić zapisywanie danych na koncie magazynu (3), jak pokazano na poniższej ilustracji:

Aby wznowić replikację do nowego regionu pomocniczego, skonfiguruj ponownie konto pod kątem nadmiarowości geograficznej.

Ponieważ konto zostało pierwotnie skonfigurowane jako magazyn GZRS, ponowne skonfigurowanie nadmiarowości geograficznej po przejściu w tryb failover powoduje zachowanie oryginalnej nadmiarowości magazynu ZRS w nowym regionie pomocniczym (oryginalnym podstawowym). Jednak konfiguracja nadmiarowości w bieżącym podstawowym zawsze określa efektywną nadmiarowość geograficzną konta magazynu. Ponieważ obecny podstawowy w tym przypadku jest LRS, efektywna nadmiarowość geograficzna w tym momencie to GRS, a nie GZRS.

Ważne

Należy pamiętać, że konwertowanie konta magazynu lokalnie nadmiarowego na użycie nadmiarowości geograficznej wiąże się zarówno z kosztami, jak i czasem. Aby uzyskać więcej informacji, zobacz Czas i koszt pracy w trybie failover.

Po ponownym skonfigurowaniu konta jako grs platforma Azure rozpoczyna kopiowanie danych asynchronicznie do nowego regionu pomocniczego (1), jak pokazano na poniższej ilustracji:

Dostęp do odczytu do nowego regionu pomocniczego nie będzie ponownie dostępny do momentu rozwiązania problemu powodującego oryginalną awarię.

Proces powrotu po awarii (GZRS/RA-GZRS)

Ostrzeżenie

Po ponownym skonfigurowaniu konta na potrzeby nadmiarowości geograficznej może upłynąć dużo czasu, zanim dane w nowym regionie podstawowym będą w pełni kopiowane do nowej pomocniczej.

Aby uniknąć poważnej utraty danych, sprawdź wartość właściwości Czas ostatniej synchronizacji przed powrotem po awarii. Porównaj czas ostatniej synchronizacji z ostatnim zapisem danych w nowym podstawowym, aby ocenić potencjalną utratę danych.

Po rozwiązaniu problemu powodującego oryginalną awarię możesz zainicjować inny tryb failover w celu powrotu po awarii do oryginalnego regionu podstawowego, co spowoduje wykonanie następujących czynności:

1. Bieżący region podstawowy staje się tylko do odczytu.
2. W przypadku przejścia w tryb failover zainicjowanego przez klienta i powrotu po awarii dane nie mogą zakończyć replikacji do regionu pomocniczego podczas procesu powrotu po awarii. Dlatego ważne jest, aby sprawdzić wartość właściwości Czas ostatniej synchronizacji przed powrotem po awarii.
3. Wpisy DNS dla punktów końcowych usługi magazynu są zmieniane tak, aby te dla regionu pomocniczego stały się nowymi podstawowymi punktami końcowymi dla konta magazynu.

Po zakończeniu powrotu po awarii oryginalny region podstawowy stanie się bieżącym ponownie (1), a kopia konta magazynu w oryginalnym pomocniczym regionie zostanie usunięta (2). Konto magazynu jest skonfigurowane jako magazyn ZRS w regionie podstawowym i nie jest już geograficznie nadmiarowe. Użytkownicy mogą wznowić zapisywanie danych na koncie magazynu (3), jak pokazano na poniższej ilustracji:

Aby wznowić replikację do oryginalnego regionu pomocniczego, ponownie skonfiguruj konto na potrzeby nadmiarowości geograficznej.

Ważne

Należy pamiętać, że konwertowanie konta magazynu ZRS na użycie nadmiarowości geograficznej wiąże się zarówno z kosztami, jak i czasem. Aby uzyskać więcej informacji, zobacz Czas i koszt pracy w trybie failover.

Po ponownym skonfigurowaniu konta jako magazynu GZRS replikacja do oryginalnego regionu pomocniczego zostanie wznowione, jak pokazano na poniższej ilustracji:

Zobacz też

• Planowanie odzyskiwania po awarii i przechodzenie w tryb failover
• Nadmiarowość usługi Azure Storage
• Inicjowanie trybu failover konta