Jak działa tryb failover zarządzany przez klienta (nieplanowany)

Tryb failover zarządzany przez klienta (nieplanowany) umożliwia przełączenie całego konta magazynu geograficznie nadmiarowego w tryb failover do regionu pomocniczego, jeśli punkty końcowe usługi magazynu dla regionu podstawowego staną się niedostępne. Podczas pracy w trybie failover oryginalny region pomocniczy staje się nowym regionem podstawowym. Wszystkie punkty końcowe usługi magazynu są następnie przekierowywane do nowego regionu podstawowego. Po rozwiązaniu awarii punktu końcowego usługi magazynu można wykonać kolejną operację trybu failover w celu powrotu po awarii do oryginalnego regionu podstawowego.

W tym artykule opisano, co się dzieje podczas trybu failover zarządzanego przez klienta (nieplanowanego) i powrotu po awarii na każdym etapie procesu.

Ważne

Tryb failover zarządzany przez klienta (nieplanowany) dla kont z włączoną usługą Azure Data Lake Storage Gen2 jest obecnie w wersji zapoznawczej i obsługiwany we wszystkich regionach publicznych GRS/GZRS.

Aby wyrazić zgodę na korzystanie z wersji zapoznawczej, zobacz Konfigurowanie funkcji w wersji zapoznawczej w subskrypcji platformy Azure i określanie AllowHNSAccountFailover jej jako nazwy funkcji.

Ważne

Tryb failover zarządzany przez klienta (nieplanowany) dla kont z włączonym protokołem SSH File Transfer Protocol (SFTP) jest obecnie w wersji zapoznawczej i obsługiwany tylko w następujących regionach:

• (Azja i Pacyfik) Indie Środkowe
• (Azja i Pacyfik) Azja Południowo-Wschodnia
• (Europa) Europa Północna
• (Europa) Szwajcaria Północna
• (Europa) Szwajcaria Zachodnia
• (Europa) Europa Zachodnia
• (Ameryka Północna) Kanada Środkowa
• (Ameryka Północna) Wschodnie stany USA 2
• (Ameryka Północna) Południowo-środkowe stany USA

Aby wyrazić zgodę na korzystanie z wersji zapoznawczej, zobacz Konfigurowanie funkcji w wersji zapoznawczej w subskrypcji platformy Azure i określanie AllowHNSAccountFailover jej jako nazwy funkcji.

Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

W przypadku znacznej awarii, która ma wpływ na region podstawowy, firma Microsoft będzie zarządzać trybem failover dla kont z hierarchiczną przestrzenią nazw. Aby uzyskać więcej informacji, zobacz Tryb failover zarządzany przez firmę Microsoft.

Zarządzanie nadmiarowością podczas nieplanowanego przejścia w tryb failover i powrotu po awarii

Napiwek

Aby szczegółowo zrozumieć różne stany nadmiarowości podczas nieplanowanego procesu pracy w trybie failover i powrotu po awarii, zobacz Nadmiarowość usługi Azure Storage dla definicji każdego z nich.

Gdy konto magazynu jest skonfigurowane na potrzeby nadmiarowego magazynu geograficznie nadmiarowego (GRS) lub nadmiarowości magazynu geograficznie nadmiarowego dostępu do odczytu (RA-GRS), dane są replikowane trzy razy w obu regionach podstawowej i pomocniczej magazynu lokalnie nadmiarowego (LRS). Gdy konto magazynu jest skonfigurowane na potrzeby magazynu geograficznie nadmiarowego (GZRS) lub replikacji magazynu geograficznie nadmiarowego z dostępem do odczytu (RA-GZRS), dane są strefowo nadmiarowe w regionie podstawowym magazynu strefowo nadmiarowego (ZRS) i replikowane trzy razy w regionie pomocniczym LRS. Jeśli konto jest skonfigurowane pod kątem dostępu do odczytu (RA), możesz odczytywać dane z regionu pomocniczego, o ile punkty końcowe usługi magazynu do tego regionu są dostępne.

Podczas procesu trybu failover zarządzanego przez klienta (nieplanowanego) wpisy systemu nazw domen (DNS) dla punktów końcowych usługi magazynu są przełączane. Pomocnicze punkty końcowe konta magazynu stają się nowymi podstawowymi punktami końcowymi, a oryginalne podstawowe punkty końcowe stają się nowym pomocniczym punktem końcowym. Po przejściu w tryb failover kopia konta magazynu w oryginalnym regionie podstawowym zostanie usunięta, a konto magazynu będzie replikowane trzy razy lokalnie w nowym regionie podstawowym. W tym momencie konto magazynu staje się lokalnie nadmiarowe i korzysta z magazynu LRS.

Oryginalne i bieżące konfiguracje nadmiarowości są przechowywane we właściwościach konta magazynu. Ta funkcja umożliwia powrót do oryginalnej konfiguracji po powrocie po awarii. Aby uzyskać pełną listę wynikowych konfiguracji nadmiarowości, przeczytaj planowanie odzyskiwania i tryb failover.

Aby odzyskać nadmiarowość geograficzną po przejściu w tryb failover, należy ponownie skonfigurować konto jako magazyn GRS. Po ponownym skonfigurowaniu konta na potrzeby nadmiarowości geograficznej platforma Azure natychmiast rozpoczyna kopiowanie danych z nowego regionu podstawowego do nowego pomocniczego. Jeśli skonfigurujesz konto magazynu pod kątem dostępu do odczytu do regionu pomocniczego, ten dostęp jest dostępny. Jednak ukończenie replikacji z regionu podstawowego do regionu pomocniczego może zająć trochę czasu.

Ostrzeżenie

Po ponownym skonfigurowaniu konta na potrzeby nadmiarowości geograficznej może upłynąć dużo czasu, zanim istniejące dane w nowym regionie podstawowym będą w pełni kopiowane do nowej pomocniczej.

Aby uniknąć poważnej utraty danych, sprawdź wartość właściwości Czas ostatniej synchronizacji przed powrotem po awarii. Aby ocenić potencjalną utratę danych, porównaj czas ostatniej synchronizacji z ostatnią godziną, w której dane zostały zapisane w nowym podstawowym.

Proces powrotu po awarii jest zasadniczo taki sam jak proces trybu failover, z tą różnicą, że konfiguracja replikacji jest przywracana do oryginalnego stanu przed przejściem w tryb failover.

Po powrotu po awarii możesz ponownie skonfigurować konto magazynu, aby korzystać z nadmiarowości geograficznej. Jeśli oryginalny podstawowy został skonfigurowany jako magazyn ZRS, można skonfigurować go tak, aby był GZRS lub RA-GZRS. Aby uzyskać więcej opcji, zobacz Zmienianie sposobu replikacji konta magazynu.

Jak zainicjować nieplanowany tryb failover

Aby dowiedzieć się, jak zainicjować nieplanowany tryb failover, zobacz Inicjowanie trybu failover konta.

Uwaga

Nieplanowane przejście w tryb failover zwykle wiąże się z utratą danych i potencjalnie niespójnościami plików i danych. Przed zainicjowaniem tego typu trybu failover konta ważne jest, aby zrozumieć wpływ przejścia w tryb failover na dane.

Aby uzyskać szczegółowe informacje na temat potencjalnej utraty i niespójności danych, zobacz Przewidywanie utraty i niespójności danych.

Nieplanowany proces przechodzenia w tryb failover i powrotu po awarii

Ta sekcja zawiera podsumowanie procesu trybu failover dla trybu failover zarządzanego przez klienta (nieplanowanego) trybu failover.

Podsumowanie nieplanowanego przejścia w tryb failover

Po przejściu klienta (nieplanowanego) w tryb failover:

• Region pomocniczy staje się nowym podstawowym
• Kopia danych w oryginalnym regionie podstawowym jest usuwana
• Konto magazynu jest konwertowane na magazyn LRS
• Nadmiarowość geograficzna jest utracona

Ta tabela zawiera podsumowanie wynikowej konfiguracji nadmiarowości na każdym etapie trybu failover zarządzanego przez klienta (nieplanowanego) i powrotu po awarii:

Oryginał konfiguracja	Po tryb failover	Po ponownym włączeniu nadmiarowość geograficzna	Po powrót po awarii	Po ponownym włączeniu nadmiarowość geograficzna
GRS	LRS	GRS 1	LRS	GRS 1
GZRS	LRS	GRS 1	ZRS	GZRS 1

¹ Nadmiarowość geograficzna zostaje utracona podczas pracy awaryjnej zarządzanej przez klienta (nieplanowanej) i musi zostać ręcznie ponownie skonfigurowana.

Szczegóły nieplanowanego przejścia w tryb failover

Na poniższych diagramach przedstawiono proces trybu failover i powrotu po awarii zarządzany przez klienta (nieplanowany) dla konta magazynu skonfigurowanego na potrzeby nadmiarowości geograficznej. Szczegóły przejścia dla GZRS i RA-GZRS są nieco inne niż GRS i RA-GRS.

GRS/RA-GRS

Normalna operacja (GRS/RA-GRS)

W normalnych okolicznościach klient zapisuje dane na koncie magazynu w regionie podstawowym za pośrednictwem punktów końcowych usługi magazynu (1). Dane są następnie kopiowane asynchronicznie z regionu podstawowego do regionu pomocniczego (2). Na poniższej ilustracji przedstawiono normalny stan konta magazynu skonfigurowanego jako GRS, gdy są dostępne podstawowe punkty końcowe:

Punkty końcowe usługi magazynu stają się niedostępne w regionie podstawowym (GRS/RA-GRS)

Jeśli podstawowe punkty końcowe usługi magazynu staną się niedostępne z jakiegokolwiek powodu (1), klient nie może już zapisywać danych na koncie magazynu. W zależności od podstawowej przyczyny awarii replikacja do regionu pomocniczego może już nie działać (2), więc należy się spodziewać utraty danych. Na poniższej ilustracji przedstawiono scenariusz, w którym podstawowe punkty końcowe stają się niedostępne, ale przed rozpoczęciem odzyskiwania:

Nieplanowany proces trybu failover (GRS/RA-GRS)

Aby przywrócić dostęp do zapisu do danych, możesz zainicjować tryb failover. Identyfikatory URI punktu końcowego usługi magazynu dla obiektów blob, tabel, kolejek i plików pozostają niezmienione, ale ich wpisy DNS są zmieniane tak, aby wskazywały region pomocniczy, jak pokazano poniżej:

Tryb failover zarządzany przez klienta (nieplanowany) zwykle trwa około godziny.

Po zakończeniu pracy w trybie failover oryginalny pomocniczy staje się nowym podstawowym (1), a kopia konta magazynu w oryginalnym podstawowym stanie się usunięta (2). Konto magazynu jest skonfigurowane jako magazyn LRS w nowym regionie podstawowym i nie jest już geograficznie nadmiarowe. Użytkownicy mogą wznowić zapisywanie danych na koncie magazynu (3), jak pokazano na poniższej ilustracji:

Aby wznowić replikację do nowego regionu pomocniczego, skonfiguruj ponownie konto pod kątem nadmiarowości geograficznej.

Ważne

Należy pamiętać, że konwertowanie konta magazynu lokalnie nadmiarowego na użycie nadmiarowości geograficznej wiąże się zarówno z kosztami, jak i czasem. Aby uzyskać więcej informacji, zobacz Czas i koszt pracy w trybie failover.

Po ponownym skonfigurowaniu konta w celu korzystania z magazynu GRS platforma Azure rozpoczyna asynchronicznie kopiowanie danych do nowego regionu pomocniczego (1), jak pokazano na poniższej ilustracji:

Dostęp do odczytu do nowego regionu pomocniczego nie jest ponownie dostępny do momentu rozwiązania problemu powodującego oryginalną awarię.

Nieplanowany proces powrotu po awarii (GRS/RA-GRS)

Ostrzeżenie

Po ponownym skonfigurowaniu konta na potrzeby nadmiarowości geograficznej może upłynąć znaczna ilość czasu, zanim dane w nowym regionie podstawowym będą w pełni kopiowane do nowej pomocniczej.

Aby uniknąć poważnej utraty danych, sprawdź wartość właściwości Czas ostatniej synchronizacji przed powrotem po awarii. Porównaj czas ostatniej synchronizacji z ostatnim zapisem danych w nowym podstawowym, aby ocenić potencjalną utratę danych.

Po rozwiązaniu problemu powodującego oryginalną awarię można zainicjować powrót po awarii do oryginalnego regionu podstawowego. Ten proces został opisany na poniższej ilustracji:

1. Bieżący region podstawowy staje się tylko do odczytu.
2. W przypadku przejścia w tryb failover zainicjowanego przez klienta i powrotu po awarii dane nie mogą zakończyć replikacji do regionu pomocniczego podczas procesu powrotu po awarii. Dlatego ważne jest, aby sprawdzić wartość właściwości Czas ostatniej synchronizacji przed powrotem po awarii.
3. Wpisy DNS dla punktów końcowych usługi magazynu są przełączane. Punkty końcowe w regionie pomocniczym stają się nowymi podstawowymi punktami końcowymi dla konta magazynu.

Po zakończeniu powrotu po awarii oryginalny region podstawowy stanie się bieżącym ponownie (1), a kopia konta magazynu w oryginalnym pomocniczym stanie się usunięta (2). Konto magazynu jest skonfigurowane jako lokalnie nadmiarowe w regionie podstawowym i nie jest już geograficznie nadmiarowe. Użytkownicy mogą wznowić zapisywanie danych na koncie magazynu (3), jak pokazano na poniższej ilustracji:

Aby wznowić replikację do oryginalnego regionu pomocniczego, skonfiguruj ponownie konto pod kątem nadmiarowości geograficznej.

Ważne

Należy pamiętać, że konwertowanie konta magazynu lokalnie nadmiarowego na użycie nadmiarowości geograficznej wiąże się zarówno z kosztami, jak i czasem. Aby uzyskać więcej informacji, zobacz Czas i koszt pracy w trybie failover.

Po ponownym skonfigurowaniu konta jako GRS replikacja do oryginalnego regionu pomocniczego zostanie wznowione, jak pokazano na poniższej ilustracji:

GZRS/RA-GZRS

Normalna operacja (GZRS/RA-GZRS)

W normalnych okolicznościach klient zapisuje dane na koncie magazynu w regionie podstawowym za pośrednictwem punktów końcowych usługi magazynu (1). Dane są następnie kopiowane asynchronicznie z regionu podstawowego do regionu pomocniczego (2). Na poniższej ilustracji przedstawiono normalny stan konta magazynu skonfigurowanego jako magazyn GZRS, gdy są dostępne podstawowe punkty końcowe:

Punkty końcowe usługi magazynu stają się niedostępne w regionie podstawowym (GZRS/RA-GZRS)

Jeśli podstawowe punkty końcowe usługi magazynu staną się niedostępne z jakiegokolwiek powodu (1), klient nie może już zapisywać danych na koncie magazynu. W zależności od podstawowej przyczyny awarii replikacja do regionu pomocniczego może już nie mieć miejsca (2), więc należy oczekiwać utraty danych. Na poniższej ilustracji przedstawiono scenariusz, w którym podstawowe punkty końcowe są niedostępne, ale przed odzyskaniem:

Nieplanowany proces trybu failover (GZRS/RA-GZRS)

Aby przywrócić dostęp do zapisu do danych, możesz zainicjować tryb failover. Identyfikatory URI punktu końcowego usługi magazynu dla obiektów blob, tabel, kolejek i plików pozostają takie same, ale ich wpisy DNS są zmieniane tak, aby wskazywały region pomocniczy (1), jak pokazano na poniższej ilustracji:

Przejście w tryb failover zwykle trwa około godziny.

Po zakończeniu pracy w trybie failover oryginalny pomocniczy staje się nowym podstawowym (1), a kopia konta magazynu w oryginalnym podstawowym stanie się usunięta (2). Konto magazynu jest skonfigurowane jako magazyn LRS w nowym regionie podstawowym i nie jest już geograficznie nadmiarowe. Użytkownicy mogą wznowić zapisywanie danych na koncie magazynu (3), jak pokazano na poniższej ilustracji:

Aby wznowić replikację do nowego regionu pomocniczego, skonfiguruj ponownie konto pod kątem nadmiarowości geograficznej.

Ponieważ konto zostało pierwotnie skonfigurowane jako magazyn GZRS, ponowne skonfigurowanie nadmiarowości geograficznej po przejściu w tryb failover powoduje zachowanie oryginalnej nadmiarowości magazynu ZRS w nowym regionie pomocniczym (oryginalnym podstawowym). Jednak konfiguracja nadmiarowości w bieżącym podstawowym zawsze określa efektywną nadmiarowość geograficzną konta magazynu. Ponieważ obecny podstawowy w tym przypadku jest LRS, efektywna nadmiarowość geograficzna w tym momencie to GRS, a nie GZRS.

Ważne

Należy pamiętać, że konwertowanie konta magazynu lokalnie nadmiarowego na użycie nadmiarowości geograficznej wiąże się zarówno z kosztami, jak i czasem. Aby uzyskać więcej informacji, zobacz Czas i koszt pracy w trybie failover.

Po ponownym skonfigurowaniu konta jako GRS platforma Azure rozpoczyna asynchronicznie kopiowanie danych do nowego regionu pomocniczego (1), jak pokazano na poniższej ilustracji:

Dostęp do odczytu do nowego regionu pomocniczego nie jest ponownie dostępny, dopóki oryginalna awaria nie zostanie rozwiązana.

Nieplanowany proces powrotu po awarii (GZRS/RA-GZRS)

Ostrzeżenie

Po ponownym skonfigurowaniu konta na potrzeby nadmiarowości geograficznej może upłynąć dużo czasu, zanim dane w nowym regionie podstawowym będą w pełni kopiowane do nowej pomocniczej.

Aby uniknąć poważnej utraty danych, sprawdź wartość właściwości Czas ostatniej synchronizacji przed powrotem po awarii. Porównaj czas ostatniej synchronizacji z ostatnim zapisem danych w nowym podstawowym, aby ocenić potencjalną utratę danych.

Po rozwiązaniu problemu powodującego oryginalną awarię można zainicjować powrót po awarii do oryginalnego regionu podstawowego. Ten proces został opisany na poniższej ilustracji:

1. Bieżący region podstawowy staje się tylko do odczytu.
2. Podczas pracy w trybie failover zainicjowanym przez klienta i powrotu po awarii dane nie mogą zakończyć replikacji do regionu pomocniczego podczas procesu powrotu po awarii. Dlatego ważne jest, aby sprawdzić wartość właściwości Czas ostatniej synchronizacji przed powrotem po awarii.
3. Wpisy DNS dla punktów końcowych usługi magazynu są przełączane. Pomocnicze punkty końcowe stają się nowymi podstawowymi punktami końcowymi dla konta magazynu.

Po zakończeniu powrotu po awarii oryginalny region podstawowy stanie się bieżącym ponownie (1), a kopia konta magazynu w oryginalnym pomocniczym stanie się usunięta (2). Konto magazynu jest skonfigurowane jako magazyn ZRS w regionie podstawowym i nie jest już geograficznie nadmiarowe. Użytkownicy mogą wznowić zapisywanie danych na koncie magazynu (3), jak pokazano na poniższej ilustracji:

Aby wznowić replikację do oryginalnego regionu pomocniczego, skonfiguruj ponownie konto pod kątem nadmiarowości geograficznej.

Ważne

Należy pamiętać, że konwertowanie konta magazynu ZRS na użycie nadmiarowości geograficznej wiąże się zarówno z kosztami, jak i czasem. Aby uzyskać więcej informacji, zobacz Czas i koszt pracy w trybie failover.

Po ponownym skonfigurowaniu konta jako magazynu GZRS replikacja do oryginalnego regionu pomocniczego zostanie wznowione, jak pokazano na poniższej ilustracji:

Zobacz też

• Planowanie odzyskiwania po awarii i przechodzenie w tryb failover
• Nadmiarowość usługi Azure Storage
• Inicjowanie trybu failover konta