SCSIリザベーション

SCSIリザベーションを利用したストレージフェンシング

LifeKeeper for Linuxでは、リソースフェンシングとノードフェンシングの両方を利用できますが、主要なフェンシングメカニズムは、SCSIリザベーションによるストレージフェンシングです。共有ストレージに対する最高レベルのデータ保護を提供するこのフェンシングを使用すると、非常に粒度の高いLUNレベルのロックによって最大限の柔軟性と最大限のセキュリティを実現できます。このアーキテクチャでベースとなる共有リソース (LUN) は、プライマリーquorumデバイスです。 quorumは、共有ストレージに対する排他的なアクセスと定義できます。つまり、この共有ストレージは1度に1台のサーバーからしかアクセスできません。quorum (排他的アクセス) を持つサーバーは、「プライマリー」の役割を持ちます。quorumの確立 (排他的アクセスをどのサーバーに与えるか) は、「quorumデバイス」によって行われます。

上述の通り、リザベーションが有効の場合、quorumデバイスはその共有リソースです。共有リソースは、共有リソースに対するリザベーションを持つサーバーを判断してquorumを確立します。これにより、ある1つのサーバーがそのLUNにアクセスできる限り、クラスターは実質的には単一のサーバーで運用されることになります。

SCSIリザベーションは、共有のユーザデータを保護し、LifeKeeperが指定するシステムのみデータを変更できるようにします。クラスター内外の他のシステムがそのデータを変更することは許可されません。さらにSCSIリザベーションによって、クラスター内の複数のサーバーで障害が起きた場合に、LifeKeeper保護下のアプリケーションは共有のユーザデータに安全にアクセスできます。サーバーの多数派quorumは必要ありません。唯一の要件は、共有データの所有権の帰属が確立していることです。

quorum/witness機能を追加すると、quorumのメンバーシップを確立することができます。このメンバーシップがない場合、スプリットブレインの状況で複数のサーバー (場合によっては全サーバー) がお互いを終了させることも考えられます。リザベーションが有効になっている構成にWatchdogを追加すると、部分的にサーバーがハングしている状態からリカバリするメカニズムが提供されます。ハングしたサーバーがLifeKeeperに検出されないような場合に、Watchdogはリカバリーを開始します。また、サーバーがハングしてさらにリザベーションが奪われた場合に、Watchdogはそのサーバーをリブートしてリカバリーを開始することができます。

I/Oフェンシングのための代替方式

SCSIリザベーションを利用したリソースフェンシングに加えて、LifeKeeper for Linuxはリザベーションの無効化もサポートします。リザベーションの有効無効にかかわらず、以下の2つの点に注意すべきです。

• ストレージへのアクセスは LifeKeeper が制御する必要があります。
• ストレージへの意図しないアクセス (ファイルシステムのマウント、手動のfsckなど) が発生しないように細心の注意を払う必要があります。

以上の2つのルールを順守してリザベーションを有効にすると、LifeKeeperはたいていのエラーを防止できます。リザベーションが (単独で) 無効になった状態は、保護がない状態です。したがって、この保護を実現するには、他の選択肢を検討する必要があります。以降のセクションでは、SCSIリザベーションなしでもLifeKeeperで非常に信頼性の高い構成を実現できる各種のフェンシングオプションと代替方式を説明します。