Présentation du mode d'activation et de coordination de centre de données
S’applique à : Exchange Server 2010 SP2, Exchange Server 2010 SP3
Dernière rubrique modifiée : 2011-09-01
Le mode de coordination de l’activation du centre de données est un paramètre de propriété pour un groupe de disponibilité de base de données. Ce mode est désactivé par défaut et doit être activé pour tous les groupes de disponibilité de base de données constitués de deux membres ou plus qui utilisent la réplication continue. Il ne doit pas être activé pour les groupes de disponibilité de base de données en mode de réplication tierce, sauf indication contraire du fournisseur tiers.
Si une panne grave affectant le groupe de disponibilité de base de données (par exemple, une défaillance totale de l’un des centres de données) se produit, le mode de coordination de l’activation du centre de données permet de contrôler le comportement initial de montage de la base de données pour un groupe de disponibilité de base de données. Lorsque le mode de coordination de l’activation du centre de données est désactivé et qu’une défaillance affectant plusieurs serveurs se produit dans le groupe de disponibilité de base de données, ce dernier redémarre et tente de monter les bases de données une fois la majorité des membres du groupe restaurée après la défaillance. Dans une configuration à centres de données multiples, ce comportement pourrait provoquer un syndrome de « split-brain », une condition qui se produit lorsque tous les réseaux sont défaillants et que les membres d’un groupe de disponibilité de base de données ne peuvent pas échanger des signaux de pulsations. Le syndrome de « split brain » peut également se produire lorsque la connectivité réseau est défaillante entre les centres de données. Ce syndrome peut être évité en exigeant toujours qu’une majorité des membres du groupe de disponibilité de base de données (et dans le cas des groupes de disponibilité de base de données ayant un nombre de membres pair, le serveur témoin du groupe de disponibilité de base de données) soient disponibles et en interaction pour que le groupe de disponibilité de base de données soit opérationnel. Quand une majorité des membres communiquent, le groupe de disponibilité de base de données a un quorum.
Par exemple, considérez un scénario pour lequel le centre de données principal contient deux membres d’un groupe de disponibilité de base de données et le serveur témoin, et le centre de données secondaire contient deux autres membres d’un groupe de disponibilité de base de données. Si le centre de données principal n’est plus alimenté en courant et que vous activez le groupe de disponibilité de base de données dans le centre de données secondaire (par exemple, en activant l’autre serveur témoin dans le centre de données secondaire) et si le centre de données principal est restauré sans connectivité réseau au centre de données secondaire, les bases de données actives du groupe de disponibilité de base de données risquent d’être confrontées à une situation de « split brain ».
Fonctionnement du mode de coordination de l’activation du centre de données
Le mode de coordination de l’activation du centre de données est conçu pour empêcher les situations de « split brain » en incluant un protocole appelé DACP (Activation Coordination Protocol). Après une panne catastrophique, lorsque le groupe de disponibilité de base de données procède à la récupération, les bases de données ne sont pas montées automatiquement même si le groupe de disponibilité de base de données a un quorum. Au lieu de cela, le protocole DACP est utilisé pour déterminer l’état en cours du groupe de disponibilité de base de données et si Active Manager doit essayer de monter les bases de données.
Vous pouvez envisager le mode de coordination de l’activation du centre de données comme niveau d’application du quorum pour le montage des bases de données. Pour comprendre l’utilité du protocole DACP et son fonctionnement, il est important de comprendre sa fonction principale. Envisagez le scénario à deux centres de données. Supposons qu’il s’agit d’une panne totale d’alimentation dans le centre de données principal. Dans ce cas, tous les serveurs et le réseau WAN sont en panne. De fait, l’organisation peut décider d’activer le centre de données de secours. Dans la plupart des scénarios de récupération, lorsque l’alimentation est restaurée dans le centre de données principal, la connectivité WAN n’est, en général, pas immédiatement restaurée. Ceci signifie que les membres du groupe de disponibilité de base de données seront sous tension mais ne pourront pas communiquer avec les membres du groupe de disponibilité de base de données dans le centre de données de secours activé. Le centre de données principal devrait toujours contenir la majorité des votants du quorum du groupe de disponibilité de base de données, ce qui signifie que lorsque l’alimentation est restaurée, même en l’absence de connectivité WAN aux membres du groupe de disponibilité de base de données dans le centre de données de secours, les membres du groupe de disponibilité de base de données du centre de données principal ont la majorité et par conséquent le quorum. Il s’agit d’un problème car avec le quorum, ces serveurs peuvent monter leurs bases de données, ce qui risque de provoquer une divergence à partir des bases de données actives réelles qui sont désormais montées dans le centre de données de secours activé.
DACP a été créé pour résoudre ce problème. Active Manager stocke un bit en mémoire (0 ou 1) qui indique si le groupe de disponibilité de base de données est autorisé à monter des bases de données locales attribuées comme actives sur le serveur. Lorsqu’un groupe de disponibilité de base de données s’exécute en mode de coordination de l’activation du centre de données (qui peut être n’importe quel groupe de disponibilité avec trois membres ou plus) et chaque fois qu’Active Manager démarre, le bit est défini à 0, ce qui signifie qu’il n’est pas autorisé à monter les bases de données. Puisque le mode de coordination de l’activation du centre de données est activé, le serveur doit essayer de communiquer avec tous les autres membres du groupe de disponibilité de base de données qu’il connaît pour obtenir un autre membre du groupe de disponibilité afin de lui fournir une réponse pour qu’il sache s’il peut monter des bases de données locales qui lui sont attribuées comme étant actives. La réponse est fournie sous la forme d’un paramètre de bit pour d’autres serveurs Active Manager dans le groupe de disponibilité de base de données. Si un autre serveur répond que son bit est défini à 1, cela signifie que les serveurs sont autorisés à monter des bases de données. Ainsi, au démarrage, le serveur définit son bit à 1 et monte ses bases de données.
Cependant, lorsque vous effectuez une récupération après une coupure de courant du centre de données principal et dans le cas où les serveurs ont été récupérés mais que la connectivité WAN n’a pas été restaurée, tous les membres du groupe de disponibilité de base de données dans le centre de données principal auront une valeur de bit DACP définie à 0. Par conséquent, aucun des serveurs effectuant la sauvegarde dans le centre de données principal récupéré ne montera les bases de données parce qu’aucun d’entre eux ne peut communiquer avec un membre du groupe de disponibilité de base de données ayant une valeur de bit DACP définie à 1.
Mode de coordination de l’activation du centre de données pour les groupes de disponibilité de base de données comptant deux membres
Les groupes de disponibilité de base de données ayant deux membres comportent des limitations qui empêchent le bit DACP seul d’être pleinement protégé contre le syndrome de « split brain » au niveau de l’application. Pour un groupe de disponibilité de base de données comptant uniquement deux membres, le mode de coordination de l’activation du centre de données utilise également l’heure d’amorçage de l’autre serveur témoin du groupe pour déterminer s’il peut monter des bases de données au démarrage. L’heure d’amorçage de l’autre serveur témoin est comparée à celle à laquelle le bit DACP a été défini sur 1.
Si l’heure de définition du bit DACP est antérieure à l’heure d’amorçage de l’autre serveur témoin, le système part du principe que le membre DAG et le serveur témoin ont été redémarrés en même temps (probablement en raison d’une panne de courant du centre de données principal), et le membre n’est donc pas autorisé à monter des bases de données.
Si l’heure à laquelle le bit DACP a été défini est plus récente que l’heure d’amorçage de l’autre serveur témoin, le système suppose que le membre DAG a été redémarré pour une autre raison (peut-être une interruption programmée durant laquelle une opération de maintenance a été menée, un blocage du système ou une panne de courant isolée du membre DAG) et l’autorise à monter des bases de données.
.gif "Important") Important : |
|---|
| Dans la mesure où l’heure d’amorçage de l’autre serveur témoin permet de déterminer si un membre du groupe de disponibilité de base de données peut monter ses bases de données actives au démarrage, vous ne devez jamais redémarrer simultanément l’autre serveur témoin et le membre DAG. Sinon, le membre DAG sera dans l’incapacité de monter les bases de données au démarrage. Si cela se produit, vous devez exécuter la cmdlet Restore-DatabaseAvailabilityGroup sur le groupe de disponibilité de base de données. Le bit DACP sera alors réinitialisé et le membre DAG pourra monter les bases de données. |
Autres avantages du mode de coordination de l’activation du centre de données
Outre la prévention du syndrome de « split brain » au niveau de l’application, le mode de coordination de l’activation du centre de données permet d’utiliser les cmdlets intégrées de résilience de site pour effectuer des permutations de centre de données, parmi lesquelles :
L’exécution d’une permutation de centre de données pour les groupes de disponibilité de base de données non définis en mode de coordination d’activation du centre de données implique l’utilisation d’une combinaison d’outils Exchange et d’outils de gestion de clusters.
Pour plus d’informations sur les basculements de centre de données, voir Switchovers de centre de données.
Fonctionnement du mode de coordination de l’activation du centre de données
Le mode de coordination de l’activation du centre de données peut être activé uniquement à l’aide de l’environnement de ligne de commande Exchange Management Shell. Plus spécifiquement, vous pouvez utiliser la cmdlet Set-DatabaseAvailabilityGroup pour activer et désactiver le mode de coordination de l’activation du centre de données, comme illustré dans l’exemple suivant.
Set-DatabaseAvailabilityGroup -Identity DAG2 -DatacenterActivationMode DagOnly
Dans l’exemple précédent, un groupe de disponibilité de base de données appelé DAG2 est activé pour le mode de coordination d’activation du centre de données.
Pour plus d’informations sur le fonctionnement du mode de coordination de l’activation du centre de données, voir Configurer les propriétés du groupe de disponibilité de la base de données et Set-DatabaseAvailabilityGroup.
© 2010 Microsoft Corporation. Tous droits réservés.