Architecture sans partage vs architecture avec disques partagés

Aperçu

Cet article étudie les avantages et les inconvénients de l'architecture sans partage par rapport à l'architecture avec disques partagés pour les clusters de haute disponibilité. On s'intéresse aux contraintes matérielles, à l'impact sur l'organisation des données applicatives, au temps de récupération, à la simplicité de mise en œuvre.

Les tableaux comparatifs suivants expliquent en détail la différence entre l'architecture avec disques partagés et SafeKit, un produit de clustering logiciel implémentant une architecture sans partage.

Qu'est-ce qu'une architecture avec disques partagés ?

Une architecture avec disques partagés (comme avec le failover cluster de Microsoft) est basée sur 2 serveurs partageant un disque avec un basculement automatique des applications en cas de pannes matérielles ou logicielles.

Cette architecture a des contraintes matérielles : le stockage partagé externe spécifique, les cartes spécifiques à installer à l'intérieur des serveurs, et les commutateurs spécifiques entre les serveurs et le stockage partagé.

Une architecture avec disques partagés a un fort impact sur l'organisation des données applicatives. Toutes les données de l'application doivent être localisées sur le disque partagé pour une reprise après basculement.

De plus, en cas de basculement, la procédure de récupération du système de fichiers doit être exécutée sur le disque partagé. Ceci augmente le temps de récupération (RTO).

Enfin, la solution n'est pas facile à configurer car des compétences sont nécessaires pour configurer le matériel spécifique. Des compétences applicatives sont également requises pour configurer les données de l'application dans le disque partagé.

Qu'est-ce qu'une architecture sans partage ?

Une architecture sans partage (comme avec SafeKit) est basée sur 2 serveurs répliquant les données en temps réel avec un basculement automatique des applications en cas de pannes matérielles ou logicielles.

Il existe deux types de réplication de données : une réplication de fichiers au niveau octet vs une réplication de disque au niveau bloc. Nous considérons ici la réplication de fichiers au niveau octet car elle présente de nombreux avantages par rapport à la réplication de disque au niveau bloc.

L'architecture sans partage n'a aucune contrainte matérielle : les serveurs peuvent être physiques ou virtuels avec n'importe quel type d'organisation disques. La réplication de fichiers en temps réel (synchrone pour avoir 0 perte de données) est effectuée via le réseau standard entre les serveurs.

Cette architecture n'a pas d'impact sur l'organisation des données applicatives. Par exemple, si une application a ses données sur le disque système, la réplication de fichiers en temps réel fonctionne.

Le temps de récupération (RTO) en cas de basculement est réduit au temps de redémarrage de l'application sur les fichiers répliqués du serveur secondaire.

Enfin, la solution est très simple à configurer puisque seuls les chemins des répertoires à répliquer sont configurés.

Avantages et inconvénients d'une architecture sans partage par rapport à une architecture avec disques partagés

Architecture sans partage	Architecture avec disques partagés
Produit
SafeKit sous Windows et Linux	Toolkit de clustering pour disque partagé
Matériel supplémentaire
Non - Utilisez les disques internes des serveurs	Oui - Coût supplémentaire avec une baie de disques partagés
Organisation des données de l'application
0 impact sur l'organisation des données de l'application avec SafeKit. Il suffit de définir des répertoires à répliquer en temps réel. Même des répertoires dans le disque système peuvent être répliqués.	Impact sur l'organisation des données de l'application. Configuration spéciale de l'application pour mettre ses données sur un disque partagé. Les données dans le disque système ne peuvent pas être récupérées par le serveur de secours.
Complexité du déploiement
Non - installer un logiciel sur 2 serveurs	Oui - nécessite des compétences informatiques spécifiques pour la configuration du système d'exploitation et du disque partagé
Basculement
Redémarrer simplement l'application sur le deuxième serveur	Basculer le disque partagé. Remonter le système de fichiers. Passer la procédure de récupération sur le système de fichiers. Et puis redémarrer l'application
Reprise après sinistre
Il suffit de placer les 2 serveurs sur 2 sites distants connectés par un réseau local étendu.	Coût supplémentaire avec une seconde baie de disques. Compétences informatiques spécifiques pour configurer la mise en miroir des baies sur un réseau SAN.
Quorum et split brain
Application exécutée sur un serveur unique après une isolation de réseau (split brain). Cohérence des données après un split brain. Pas besoin d'une troisième machine, d'un disque de quorum ou d'une voie de heartbeat spéciale pour le split brain. Plus d'informations sur les heartbeats, le failover et le quorum	Requiert un disque de quorum spécial ou un troisième serveur de quorum pour éviter la corruption des données sur un split brain
Convient pour
Les éditeurs de logiciels qui souhaitent ajouter une option de disponibilité simple pour leur application	Les entreprises possédant des compétences en informatique dans le clustering et avec des applications de bases de données volumineuses

Différenciateurs clés d'un cluster miroir avec réplication et reprise sur panne

Cluster miroir d'Evidian SafeKit avec réplication de fichiers temps réel et reprise sur panne
Économisez avec 3 produits en 1 En savoir plus >	Le logiciel de haute disponibilité SafeKit sur Windows et Linux permet d'économiser sur : les stockages partagés ou répliqués externes coûteux, les boîtiers de load balancing, les éditions entreprise des OS et des bases de données SafeKit offre toutes les fonctionnalités de clustering par logiciel : réplication de fichiers temps réel synchrone, surveillance des défaillances serveur / réseau / logiciel, redémarrage automatique de l'application, adresse IP virtuelle basculée en cas de panne pour rerouter les clients
Configuration très simple En savoir plus >	La configuration du cluster est très simple et réalisée au moyen de modules applicatifs. De nouveaux services et de nouveaux répertoires répliqués peuvent être ajoutés à un module applicatif existant pour compléter une solution de haute disponibilité Toute la configuration des clusters se fait à l'aide d'une console d'administration web centralisée simple Il n'y a pas de contrôleur de domaine ou d'Active Directory à configurer comme avec Microsoft cluster
Réplication synchrone En savoir plus >	La réplication en temps réel est synchrone sans perte de données en cas de panne Ce n'est pas le cas avec une réplication asynchrone
Retour d'un serveur tombé en panne totalement automatisé (failback) En savoir plus >	Suite à une panne lorsqu'un serveur reboot, le retour du serveur tombé en panne se fait de manière totalement automatique dans le cluster avec une resynchronisation de ses données et sans arrêter l'application sur le seul serveur restant Ce n'est pas le cas avec la plupart des solutions de réplication particulièrement celles avec une réplication au niveau base de données. Des opérations manuelles sont requises pour resynchroniser le serveur défaillant. Il peut être même nécessaire d'arrêter l'application sur le seul serveur restant
Réplication de n'importe quel type de données En savoir plus >	La réplication fonctionne pour les bases de données mais aussi pour n'importe quel fichier qui doit-être répliqué Ce n'est pas le cas pour la réplication au niveau base de données
Réplication de fichiers vs réplication de disque En savoir plus >	La réplication est basée sur des répertoires de fichiers qui peuvent être localisés n'importe où (même dans le disque système) Ce n'est pas le cas avec la réplication de disque où une configuration spéciale de l'application est nécessaire pour placer les données applicatives dans un disque spécial
Réplication de fichiers vs disque partagé En savoir plus >	Les serveurs peuvent être placés dans deux sites distants Ce n'est pas le cas avec les solutions à disque partagé
Sites distants et adresse IP virtuelle En savoir plus >	Toutes les fonctionnalités de clustering SafeKit fonctionnent pour 2 serveurs sur des sites distants. La réplication requiert un réseau de type LAN étendu (latence = performance de la réplication synchrone, bande passante = performance de la resynchronisation après panne). Si les deux serveurs sont connectés au même réseau IP via un réseau local étendu entre deux sites distants, l'adresse IP virtuelle de SafeKit fonctionne avec une redirection au niveau 2 Si les deux serveurs sont connectés à deux réseaux IP différents entre deux sites distants, l'adresse IP virtuelle peut être configurée au niveau d'un load balancer avec le "health check" de SafeKit.
Split brain et quorum En savoir plus >	La solution fonctionne avec seulement 2 serveurs et pour le quorum (isolation réseau entre 2 sites), un simple split brain checker vers un routeur est offert pour supporter une seule exécution de l'application critique Ce n'est pas le cas pour la plupart des solutions de clustering où un 3^ième serveur est nécessaire pour le quorum
Cluster actif/actif En savoir plus >	Le serveur secondaire n'est pas dédié au redémarrage du serveur primaire. Le cluster peut être actif-actif en exécutant deux modules miroirs différents Ce n'est pas le cas avec un système fault-tolerant dans lequel le secondaire est dédié à l'exécution de la même application synchronisée au niveau instruction
Solution de haute disponibilité uniforme En savoir plus >	SafeKit implémente un cluster miroir avec une réplication et une reprise sur panne. Mais il implémente aussi un cluster ferme avec load balancing et reprise sur panne. Ainsi une architecture N-tiers peut-être rendue hautement disponible et load balancée avec la même solution sur Windows et Linux (même installation, configuration, administration avec la console SafeKit ou les commandes en ligne). Ceci est unique sur le marché Ce n'est pas le cas avec une architecture mixant des technologies différentes pour le load balancing, la réplication et la reprise sur panne
RTO / RPO En savoir plus >	SafeKit met en œuvre un redémarrage rapide de l'application en cas de panne : autour d'1 mn ou moins Un redémarrage rapide de l'application n'est pas assuré avec une réplication complète de machines virtuelles. En cas de panne d'un hyperviseur, une machine virtuelle doit être rebootée sur un nouvel hyperviseur avec un temps de redémarrage lié au reboot de l'OS comme avec VMware HA ou Hyper-V cluster

Différenciateurs clés d'un cluster ferme avec équilibrage de charge et reprise sur panne

Cluster ferme d'Evidian SafeKit avec load balancing et reprise sur panne
Pas de load balancer, ni de serveur proxy dédié, ni d'adresse Ethernet multicast spéciale En savoir plus >	La solution ne nécessite pas de load balancer, ni de serveur proxy en amont de la ferme pour implémenter le load balancing. SafeKit est installé directement sur les serveurs applicatifs à load balancer. Le load balancing est basé sur une adresse IP virtuelle/adresse MAC Ethernet standard et fonctionne avec des serveurs physiques et des machines virtuelles sur Windows et Linux sans configuration réseau spéciale Ce n'est pas le cas avec les load balancers réseau Ce n'est pas le cas avec les proxys dédiés sur Linux Ce n'est pas le cas avec une adresse Ethernet multicast spéciale sur Windows
Toutes les fonctionnalités de clustering En savoir plus >	La solution inclut toutes les fonctionnalités de clustering : adresse IP virtuelle, load balancing sur adresse IP client ou sur sessions, surveillance des défaillances serveurs / réseaux / logicielles, redémarrage automatique de l'application avec un temps de reprise rapide, une option de réplication avec un module miroir Ce n'est pas le cas avec les autres solutions de load balancing. Elles sont capables de réaliser le load balancing mais elle n'inclut pas une solution de clustering complète avec des scripts de redémarrage et un redémarrage automatique de l'application en cas de défaillance. Elles n'offrent pas l'option de réplication La configuration du cluster est très simple et réalisée au moyen de modules applicatifs. Il n'y a pas de contrôleur de domaine et d'Active Directory à configurer sur Windows. La solution fonctionne sur Windows et Linux
Sites distants et adresse IP virtuelle En savoir plus >	Si les serveurs sont connectés au même réseau IP via un réseau local étendu entre des sites distants, l’adresse IP virtuelle de SafeKit fonctionne avec un équilibrage de charge au niveau 2 Si les serveurs sont connectés à des réseaux IP différents entre des sites distants, l'adresse IP virtuelle peut être configurée au niveau d'un load balancer à l'aide du "health check" de SafeKit. Ainsi, vous pouvez profiter de toutes les fonctionnalités de clustering de SafeKit, notamment la surveillance et la reprise automatique de l'application critique sur les serveurs applicatifs
Solution de haute disponibilité uniforme En savoir plus >	SafeKit implémente un cluster ferme avec load balancing et reprise sur panne. Mais il implémente aussi un cluster miroir avec réplication et reprise sur panne. Ainsi une architecture N-tiers peut-être rendue hautement disponible et load balancée avec la même solution sur Windows et Linux (même installation, configuration, administration avec la console SafeKit ou avec les commandes en ligne). Ceci est unique sur le marché Ce n'est pas le cas avec une architecture mixant des technologies différentes pour le load balancing, la réplication et la reprise sur panne

Différenciateurs clés de la technologie de haute disponibilité SafeKit

Cluster logiciel vs cluster matériel
En savoir plus >

Un cluster logiciel simple avec le package SafeKit installé sur deux serveurs

Un cluster matériel complexe avec du stockage externe ou des boîtiers de load balancing

Cluster de type "shared nothing"" vs cluster à disque partagé
En savoir plus >

SafeKit est un cluster sans partage de type "shared-nothing": simple à déployer même sur des sites distants

Un cluster à disque partagé est complexe à déployer

Haute disponibilité applicative vs Haute disponibilité de machines virtuelles complètes
En savoir plus >

La haute disponibilité applicative supporte les pannes matérielles et logicielles avec un temps de reprise rapide (RTO autour d'1 mn ou moins)
La haute disponibilité applicative nécessite de définir des scripts de redémarrage par application et des dossiers à répliquer (modules applicatifs SafeKit).

La haute disponibilité de machines virtuelles complètes (VM) supporte seulement les pannes matérielles avec un reboot de la VM et un temps de reprise dépendant du reboot de l'OS.
Pas de scripts de redémarrage à définir avec des machines virtuelles complètes en haute disponibilité (modules SafeKit hyperv.safe ou kvm.safe). Les hyperviseurs sont actif/actif avec simplement plusieurs machines virtuelles.

Haute disponibilité vs tolérance aux fautes
En savoir plus >

Chaque serveur peut être le serveur de reprise de l'autre serveur.
Exception logicielle avec redémarrage dans un autre environnement OS.
Upgrade en douceur de l'application et de l'OS possible serveur par serveur (les versions N et N+1 peuvent coexister)

Serveur secondaire dédié à l'exécution de la même application synchronisée au niveau instruction.
Exception logicielle sur les 2 serveurs en même temps.
Upgrade en douceur impossible

Réplication synchrone vs réplication asynchrone
En savoir plus >

SafeKit met en œuvre une réplication temps réel synchrone sans perte de données en cas de panne

Avec une réplication asynchrone, il y a une perte de données en cas de panne

Réplication de fichiers au niveau octet vs réplication de disque au niveau du bloc
En savoir plus >

SafeKit met en œuvre la réplication de fichiers temps réel au niveau octet et se configure simplement avec les répertoires applicatifs à répliquer même dans le disque système

La réplication de disque au niveau bloc est complexe à configurer et nécessite de mettre les données de l'application dans un disque spécial

Heartbeat, reprise sur panne et quorum pour éviter 2 serveurs maîtres
En savoir plus >

Pour éviter 2 serveur maîtres, SafeKit propose un simple "split brain checker" configuré sur un routeur

Pour éviter 2 serveur maîtres, les autres clusters demandent une configuration complexe avec une 3^ième machine, un disque de quorum spécial, une interconnexion spéciale

Adresse IP virtuelle
primaire/secondaire, load balancing réseau, basculement sur panne
En savoir plus >

Aucun serveur proxy dédié et aucune configuration réseau particulière ne sont requis dans un cluster SafeKit pour mettre en œuvre des adresses IP virtuelles

Une configuration réseau spéciale est requise dans d'autres clusters pour mettre en œuvre des adresses IP virtuelles. A noter que SafeKit propose un vérificateur d'état adapté aux équilibreurs de charge

Partenaires, le succès avec SafeKit

Cette solution indépendante de la plateforme est idéale pour un partenaire revendant une application critique et qui souhaite proposer une option de redondance et de haute disponibilité simple à déployer auprès de nombreux clients.

Avec de nombreuses références dans de nombreux pays gagnées par des partenaires, SafeKit s'est avéré être la solution la plus simple à mettre en œuvre pour la redondance et la haute disponibilité des logiciels de gestion des bâtiments, vidéosurveillance, contrôle d'accès, systèmes SCADA...

Architectures de clustering avancée

Plusieurs modules peuvent être déployés dans le même cluster. Ainsi, des architectures de clustering avancées peuvent être mises en œuvre :

un cluster qui mixte ferme et miroir avec le déploiement d’un module ferme et d’un module miroir dans le même cluster,
un cluster actif/actif avec réplication en déployant plusieurs modules miroirs sur 2 serveurs,
un cluster Hyper-V ou un cluster KVM avec réplication temps réel et reprise de machines virtuelles complètes entre 2 hyperviseurs actifs,
un cluster N-1 avec le déploiement de N modules miroirs sur N+1 serveurs.

Configuration avancée

Module miroir / pptx
- userconfig.xml + restart scripts
- Heartbeat (<hearbeat>)
- Virtual IP address (<vip>)
- Real-time file replication (<rfs>)
Module ferme / pptx
- userconfig.xml + restart scripts
- Farm configuration (<farm>)
- Virtual IP address (<vip>)
Checkers / pptx
- Failover machine (<failover>)
- Process monitoring (<errd>)
- Network and duplicate IP checkers
- Custom checker (<custom>)
- Split brain checker (<splitbrain>)
- TCP, ping, module checkers

Partage de charge réseau et reprise sur panne
Windows farm	Linux farm
Generic farm >	Generic farm >
Microsoft IIS >	-
NGINX >
Apache >
Amazon AWS farm >
Microsoft Azure farm >
Google GCP farm >
Other cloud >

Architecture sans partage vs architecture avec disques partagés

Evidian SafeKit