LifeKeeper白皮书.docx

一、 NCR LifeKeeper技术简介及其应用 (共享磁盘阵列柜方式)（一） NCR LifeKeeper原理1、 NCR LifeKeeper定义、特性、资源保护LifeKeeper For Windows NT 提供了一个完全容错的软件解决方案，并提供数据、应用程序和通信资源的高度可用性LifeKeeper 不需要任何特别的容错硬件你可以集合使用二到十六个NT结点并访问特定地点的配置数据然后，LifeKeeper 会自动地提供错误检测和多层现场恢复在出现故障的情况下，LifeKeeper会将保护资源自动转换到一个根据优先权而设定的系统在实际进行切换用户时， 会经历一个十分短暂的休眠，但是，当系统完成了切换操作后，LifeKeeper会在所选择的系统上自动地恢复操作可以被LifeKeeper2.0保护起来的资源是：Ø 卷（Volume）Ø IP 地址Ø 共享文件Ø LAN（局域网）管理器服务器名称Ø 应用程序Ø 定义的用户Ø MSCS应用程序2、心跳故障检测HeartbeatLifeKeeper在集群节点间保持着间歇的通信信号，也叫做心跳信号，是错误检测的一个机制即通过每一个通信路径，在两个对等系统之间进行周期性的握手,如果连续没有收到的心跳信号到了一定的数目，LifeKeeper 就把这条路径标示为失效（红色）。

如果你只定义了一条通信路径，当LifeKeeper 把这唯一的一条通信路径标为失效时， LifeKeeper 便立即开始恢复过程然而，如果你有冗余路径， LifeKeeper 能够通过第二条路径确定是系统故障还是只是通信路径有问题如果LifeKeeper 开启优先级第二的通信路径并收到了心跳信号，它就不开始failover恢复，只需要把第一条通信路径标成红色（失效），作为信号告诉你需要修理一下有故障的路径 一般情况下LifeKeeper 只在下列事件发生时，启动系统恢复功能：Ø 所有的通信路径故障如果所有节点都没能收到心跳信号， 把所有通信路径都标为失效， Lifekeeper 开始安全检查Ø 安全检查失败当所有通信路径故障时，LifeKeeper向整个网络发出安全检查信号如果信号指出配对系统还“活”着的时候，LifeKeeper 不启动Failover如果安全检查没从配对节点返回信号，LifeKeeper 就开始Failover因而，为了减少由于潜在的通讯错误所引起的不必要的系统切换，建议您使用不同介质的多条通信路径3、 通信路径 LifeKeeper支持在节点之间和心跳通讯中，使用如下通讯路径：(1) socket，即套接字。

你使用任何的网络硬件接口，只要它能够支持TCP/IP的通讯协议这样的硬件包括：以太网、快速以网、令牌环网以及FDDI 或CDDI 2)串行口 在LifeKeeper配置中， 你应当配置有一个串行口通信路径串口通信路径需要利用RS232的拟调解线路来与LifeKeeper系统相连接3)共享磁盘 你可以定义一个共享磁盘分区来作为LifeKeeper的通讯中介可以只使用小至1MB的分区，当然，也可以使用更大的空间LifeKeeper 假定，当通过心跳信号检测其它服务器失败时，则认为此服务器是关闭的因此，为了避免不必要的失效切换，最好建立两种以上独立的物理路径，使用至少两种心跳例如，如果两个服务器被一个串口连接起来，并且，从属服务器来的心跳信号无法被主服务器所检测到，则下面之一是可能引起这一现象的原因：Ø 服务器的RS-232卡或者端口失败Ø 电缆失效Ø 主服务器暂时挂起Ø 主服务器失败失效切换只可能在最后一种情况下才发生因此，节点间的多种通信路径可以帮助避免不必要的失效切换二）NCR LifeKeeper 配置示范软件、硬件配置1、软件：NCR LifeKeeper 2.0及Recovery Kit2、 硬件：服务器可以是任何Intel基础上的平台， Server的型号、配置不必一致，只需硬件平台能保证NT运行；磁盘阵列正常使用。

NCR LifeKeeper运行机制1、 共享的SCSI 和LifeKeeper软件锁定LifeKeeper For Winddows NT 软件锁定：LifeKeeper 管理共享磁盘上的数据，以防止多个服务器在同一时间访问数据LifeKeeper在逻辑设备级（卷）上控制对数据的访问，并让Windows NT 软件或硬件RAID Controllers 管理物理级有了Lifekeeper For Windows NT 来管理对共享数据的访问，用户就可以不必担心群中的其它服务器访问数据时， 可能会带来的数据访问冲突LifeKeeper 自动在被应用程序定义为共享资源的磁盘卷上设置锁定当被保护的应用程序由一个服务器被移动/转换到另一个服务器时， LifeKeeper 控制这些锁定，以保证激活服务器对共享卷的访问在主系统发生故障的情况下， 次节点系统将能够在磁盘上建立SCSI 锁定，并在备份的系统上将资源投入使用2、 Local Recovery（局部恢复）LifeKeeper 2.0在快速检查（Quickcheck）和深入检查（deepcheck）的时间间隔执行预先定义的行为，以察看资源本身是否失效。

如果快速检查和深入检查均局部告失败，系统将尝试局部恢复资源如果尝试成功，资源将不会向下一优先级的节点进行失效切换（failover ）如果局部恢复尝试失败，系统将向下一优先级的节点进行失效切换例如，你可以在LifeKeeper 服务器上配置多块NIC 卡， 当定义的NIC发生故障时， 你就可以配置将IP 资源切转到另一个NIC 上，从而避免不必要的失效切换3、 Failover（失效切换）指定主要的节点或资源失败时，重新恢复资源的过程一个失效切换通常是没有事先计划的，它将发生在一个被从属系统所检测到并确定为失败的情况下4、 ACS（管理员可配置的迁回）Administrator Configurable Switchback（ACS ）允许LifeKeeper管理员通过命令行或GUI界面来指定资源，其所在LK节点发生故障而后又恢复正常，该资源将被自动地切换回到原来节点上可能的值是Intelligent（智能的）和Automatic（自动的）如果选择Automatic ，那么，一旦发生故障的节点回到服务状态时，被配置失效切换的层次都将被切换回到该节点上如果策略是Intelligent，即使当发生故障的节点回到服务状态时，被配置失效切换的层次也会留在它们被失效切换到的节点上，等待由管理员决定合适的时间进行切换。

5、 Switchover（正常切换）指用一个有顺序的方式关闭资源，然后将它们恢复到一个备份系统的过程这通常发生在当你处于维护或者测试模式中的情况下这时，没有任何东西失败工作方式1、 Active/Standby在一个激活/备用对中， 主节点处于处理状态，从属节点处于备用状态，以防主节点上发生失败备用系统可以是一个小一点、性能低一点的系统，但是，当主节点失败时，它必须有保证资源可达性的处理能力例如，假设NT Server1是主“激活”节点，NT Server2是次“备用”节点如果NT Server1发生故障了，它的被保护资源由NT Server2 节点来恢复当节点NT Server1恢复后， 资源可以被NT Server1重新获得然而，当NT Server2 节点失败时，NT Server2节点上并没有需要被NT Server1节点恢复的资源2、 Active/Active在一个激活/激活对中， 两个节点都是激活的处理器，但是它们也可分别作为其对应节点上的资源和资源层次的从属节点在激活/激活的图表中，有两个主要应用：APPA 处于Volume w中，并且在NT Server1上激活APPB存储在Volume M上，并且在NT Server2上激活。

在这一配置中，NT Server1应该是Volume W：资源的主节点，NT Server2应该是Volume M：\资源的主节点当NT Server2失败时， LifeKeeper应该将Volume M：\转换到NT Server1上去如果系统资源是足够的，这一转换不会影响到已经在NT Server1上运行的APPA，转换只是简单地将NT Server2上的被保护应用程序（APPB）加到NT Server1的运行负载上去3、 N-Way（N=3，N=4…… N=16）N-Way配置是激活/激活或激活/备用的一个有三到十六个服务器的扩展服务器A被配置为服务器B 和服务器C的备份而且，服务器A可以被配置为除了服务器B和服务器C的其他服务器做备份当任何一个服务器发生故障时，被保护的应用程序被从该服务器上转到备用的服务器上在N-WAY配置中，可以配置Cascading Recovery （层叠恢复）当主节点发生故障时，层叠恢复允许多个从属节点被按照一定的优先级次序恢复一个资源或层次对于在一对节点上的资源恢复，如果节点A发生故障了，资源将会失效切换到节点B上；如果节点B再发生故障而节点 A仍然不可用，资源将会失效切换到节点C上。

多个从属节点被指定一个恢复优先级在上面的例子中，节点A有最高的优先级，节点B有第二优先级，而节点C有最低优先级LifeKeeper按优先级次序测验节点来决定在失效切换时哪一个服务器将进行工作二、NCR LifeKeeper with Extended Mirroring技术简介及其应用（支持非共享磁盘阵列的扩展方式）（一） NCR Extended Mirroring原理1、 NCR Extended Mirroring简介NCR 扩展镜像是一种软件产品，专为Windows NT 系统设计的客户/服务器环境下一种有效、高性能的高可用性解决方案单独使用NCR扩展镜像软件，无需较贵的RAID磁盘子系统，无需考虑小型计算机系统接口（SCSI）对缆线长度的限制，去除了单点故障（磁盘阵列子系统）集群计算机环境所要考虑的主要问题是系统总开销，而使用NCR 扩展镜像软件的NCR Lifekeeper For Windows NT 是解决这个问题的首选方案公司只需最小的硬件集成便可以得到低价、高可用性的方案NCR扩展镜像软件在局域网的服务器之间提供完全基于软件的镜像一个服务器被指定为主服务，另一个为从服务器。

客户只能对主服务器上的镜像卷进行读或写，从服务器上相应的卷被锁定以防对数据的存取，除非在主服务器上检测到故障状态这是实现一个高性能方案要考虑的一个重要问题，因为数据的完整性是主要因素尽管NCR扩展镜像软件可以单独使用，但是与NCR LifeKeeper for Windows NT 配合使用会显著增强它的功能2、 NCR Extended Mirroring特性在NCR 扩展镜像环境下，一个镜像是主服务器上的一个卷，其内容与从服务器上的相关磁盘通过LAN同步NCR 扩展镜像软件使卷镜像的创建更为容易在卷镜像建立后，主服务器和从服务器上的驱动器已经同步，并且两个服务器都已启动运行，出现下面的事件：Ø 最初的镜像建立后，系统禁止所有用户存取从镜像卷，不允许对从服务器上的镜像卷读和写主服务器镜像则可以进行读和写操作Ø 到达主服务器的所有镜像和非镜像卷的读操作被传递给卷后， 可以无干扰的。