数仓集群管理:单节点故障 RTO 机制分析
摘要:大规模分布式系统中的故障无法避免。发生单点故障时,集群状态和业务是如何恢复的?
一、前言
GaussDB(DWS)产品采用分布式架构设计。集群管理(高可用)需要在稳定性和灵敏性之间做好平衡。
集群发生单节点故障(如宕机、断网、下电等)时,端到端业务恢复的RTO (Recovery Time Objective)流程和指标,主要包含两大过程:集群状态恢复(CM Server主备倒换,DN/GTM主备倒换)和业务恢复(CN可正常执行业务)。
本文关注集群状态恢复部分,剩余部分后续单独分析。
参考链接:
GaussDB(DWS) 集群管理系列:CM组件介绍(架构和部署形态)
GaussDB(DWS) 集群管理系列:CM组件介绍(核心功能)
二、假设条件和关键配置参数
通常情况下故障CN自动剔除的触发时间较长(默认10分钟),因此本文不涉及CN剔除和实例修复的流程,也不讨论CN故障时DDL业务的中断。
假设如下:
1. 除明确故障外(如节点已经宕机),链接可在超时时间内成功建立(即建立链接时间按超时时间计算)
2. 消息传递不消耗时间
3. DN/GTM执行failover时间不超过 T_{\rm failover}_T_failover (通常小于5秒)
关键配置参数如下:
【CM侧配置参数】实例心跳超时instance_heartbeat_timeout(默认30秒), 后续用 T_{\rm hb}_T_hb 表示。
说明:由于C/C++语言中乘法和除法不满足结合律,本文涉及运算均为整数运算。
三、集群拓扑示例
忽略CN的部署,以下图所示的三节点集群为例:
-
两个cm_server实例,主备分别部署在节点1和节点2
-
两个GTM实例,主备分别部署在节点1和节点2
-
一组DN实例,主备从分别部署在节点1,节点2和节点3
-
每个节点上均部署cm_agent组件
四、整体流程分析
当节点1故障,集群将短时间处于不可用状态,然后自动恢复至降级状态,随后可在CN上正常执行业务。因此,RTO流程的讨论可分为四个阶段。
1.单节点故障发生,集群处于不可用状态,cm_server/GTM/DN处于无主状态
2.cm_server备机升主,GTM/DN等待仲裁
3.GTM/DN备机(并行)升主,集群恢复至降级状态
4. CN链接至GTM和DN,正常执行业务
以故障发生时刻为0时刻点,下面逐个分析每个阶段并计算相关时间。
五、CM Server备机升主
单节点故障发生后,集群管理组件出于稳定性考虑,并不会立刻感知故障状态。两个cm_server实例之间通信时,根据心跳判断对方的存活状态。如果二者间心跳超时,则进入如下的自仲裁流程(对端链接均指与另一个cm_server的链接)。
两次自仲裁轮询之间的睡眠时间固定为 11 秒,心跳超时的阈值为 T_{\rm cms\_hb}=\frac{T_{\rm hb}}{2}_T_cms_hb=2_T_hb,建立链接(包括cm_server之间的链接以及cm_agent与cm_server的链接)的超时时间阈值为 T_{\rm cms\_conn}=\frac{T_{\rmcms\_hb}}{2}-1_T_cms_conn=2_T_cms_hb−1. 如此设定阈值的原因是,忽略代码的执行时间,当心跳超时判定为真时,cm_server之间至少可尝试两次建链,而cm_agent可与两个cm_server均尝试建立链接。
备cm_server升主流程和各阶段相应最大耗时为:
1. 判定心跳超时,假定通信即时感知对端故障,可能多等待一次建链超时和睡眠,耗时 T_{\rm cms\_hb}+T_{\rmcms\_conn}+1=\frac{3T_{\rm cms\_hb}}{2}_T_cms_hb+_T_cms_conn+1=23_T_cms_hb
2. 自仲裁升主的预升主阶段,根据假设,此时cm_agent已经发起过预链接,因此直接可预升主并重置心跳,耗时 00
3. 第二次判定心跳超时,耗时 T_{\rm cms\_hb}+T_{\rmcms\_conn}+1=\frac{3T_{\rm cms\_hb}}{2}_T_cms_hb+_T_cms_conn+1=23_T_cms_hb
4. 自仲裁升主的正式升主阶段,cm_agent已经发起正式链接,因此正式升主,耗时 00
综上,总的最大耗时为\frac{3T_{\rm cms\_hb}}{2}×2=\frac{3T_{\rmhb}}{4}×223_T_cms_hb×2=43_T_hb×2。(注意这里是整数运算。)
六、DN/GTM备机升主
集群管理的仲裁采用被动触发的形式。每个cm_agent检测所在节点的实例状态,并定期上报(固定间隔1秒)至主cm_server;主cm_server综合各实例状态进行仲裁,然后将必要的仲裁结果发送至相关cm_agent;cm_agent收到仲裁结果,执行相应的命令。
以某个主 DN 故障为例,一次典型的仲裁流程包括:
① CM Agent 1探测DN主实例并发现故障
② CM Agent 1持续上报实例故障信息至CMServer
③ CM Server执行仲裁流程,选择DN备机升主
④ CM Server下发升主命令至CM Agent 2
⑤ CM Agent 2对实例执行升主操作
对于单节点故障,DN和GTM实例的仲裁可同时进行,分步骤的时间如下:
1. cm_server2升主后,无法收到cm_agent1上报的消息,达到超时时间T_hb后将DN1和GTM1的状态强行置为Down,耗时 T_{\rm hb}_T_hb
2. cm_server2不断收到cm_agent2上报DN2和GTM2为备机的消息,分别下发failover命令执行升主,耗时 11 秒
3. cm_agent2收到failover命令,(轮询间隔)耗时 0.20.2 秒(按照 11 计算)
4. cm_agent2执行failover,耗时 T_{\rm failover}_T_failover
5. cm_agent2检测到DN2和GTM2升主成功,耗时 11 秒
6. cm_agent2上报DN2和GTM2为主机的消息,(轮询间隔)耗时 0.20.2 秒(按照 11 计算)
7. cm_server2收到DN2和GTM2已升主的消息,更新集群状态为降级,耗时 00 秒
综上,总耗时为T_{\rm hb} + T_{\rm failover} +4_T_hb+_T_failover+4.
七、小结
将CM Server自仲裁和DN/GTM仲裁的时间相加,即为集群状态恢复的耗时(单位:秒)
T_{\rm cluster} = \frac{3T_{\rmhb}}{4}×2 + T_{\rm hb} + T_{\rm failover} + 4 \approx \frac{5T_{\rm hb}}{2} +T_{\rm failover} + 4 \text{(按照实数运算近似)}_T_cluster=43_T_hb×2+_T_hb+_T_failover+4≈25_T_hb+_T_failover+4(按照实数运算近似)
按照默认值计算,集群状态恢复的理论时间 T_{\rm cluster} = 84_T_cluster=84.
由于分析过程均按最大时间计算,所以理论时间相比实际会有放大。通常情况下,cm_server判定心跳超时无需多等待一次链接超时,cm_agent探测实例状态几乎是即时的。因此,实际发生故障时,(按照默认值)cm_server自仲裁时间约为 T_{\rm hb} = 30_T_hb=30,DN/GTM备机升主时间约为 T_{\rm hb} + T_{\rm failover} =35_T_hb+_T_failover=35,从而集群恢复时间大约为 6565 秒。
用户可根据自身情况,通过调整instance_heartbeat_timeout参数选择合适的RTO指标。