灾难恢复能力等级
系统发生故障时,业务如何考察系统的“高可用”能力
RTO(Recovery Time Objective)恢复时间目标:在故障或灾难发生之后,数据库停止工作的最高可承受时间,这是一个最大可容忍时限,必须在此时限内恢复数据。
RPO(Recovery Point Object)恢复点目标:这是一个过去的时间点,当灾难或紧急事件发生时,数据可以恢复到的时间点,是业务系统所能容忍的数据丢失量。
| 灾难恢复能力等级 | RTO(恢复时间目标) | RPO(恢复点目标) |
| 1 | 2天以上 | 1至7天 |
| 2 | 24小时以上 | 1天至7天 |
| 3 | 12小时以上 | 数小时至1天 |
| 4 | 数小时至2天 | 数小时至1天 |
| 5 | 数分钟至2天 | 0至30分钟 |
| 6 | 数分钟 | 0 |
OceanBase RPO=0 RTO<30秒,意味着当少数派故障时,OceanBase能够在30秒内恢复业务,且不会丢失任何数据。
OceanBase基于通用PC服务器提供高可用性
OceanBase依靠自身的软件能力,可以在易损的硬件基础上提供更高的可用性。
OB Server进程异常后的处理策略
如果OB Server进程异常终止,通过server_permanent_offline_time参数的值来判定是否进行“临时线下”处理。
observer进程异常终止的持续时长<server_permanent_offline_time
由于进程异常终止时间不长,异常进程可能很快就可以恢复,因此OceanBase暂时不做处理,以避免频繁的数据迁移。
此时P5-P8只有两份副本,虽然依然满足多数派,可以保证RPO=0,但存在风险(如果再有服务器故障)
observer进程异常终止的持续时长>server_permanent_offline_time
OceanBase会将机器做“临时下线”处理,从其它zone的主副本中,将缺失的数据复制到本zone内剩余的机器上(需要有足够的资源),以维持副本个数。
异常终止的observer进程恢复后会自动加入集群,如果已经做过“临时下线”处理,需要从本zone内其它机器上(或者其他zone内)将unit迁移过来。
传统数据库与OceanBase高可用方案对比
OceanBase容灾:同城三机房
同城3个机房组成一个集群(每个机房是一个Zone),机房间延迟一般在0.5~2ms之间
机房级灾难时,剩余的两份副本依然是多数派,依然可以同步Redo-Log日志,保证RPO=0
但无法应对城市级的灾难
OceanBase容灾:三地五中心副本
三个城市,组成一个5副本的集群
任何一个IDC或者城市的故障,依然构成多数派,可以确保RPO=0
由于3份以上副本才能构成多数派,但每个城市最多只有2份副本,为降低时延,城市1和城市2应该离的比较近,以降低同步Redo-Log的时延
为降低成本,城市3可以只部署日志型副本(只有日志)
OceanBase容灾:同城两机房“主-备”方案
同城三机房或者三地五中心的方案对基础设施要求太高。为了利旧企业现网的基础设施,OceanBase提供了同城 两机房和两地三中心两种方案
每个城市都部署一个OceanBase集群,一个为主集群一个为备集群;每个集群有自己单独的 Paxos group,多副本一致性
• “集群间”通过Redo-log做数据同步,形式上 类似传统数据库“主从复制”模式;有“异步同 步”和“强同步”两种数据同步模式,类似ODD 中的“最大性能”和“最大保护”两种模式
OceanBase容灾:两地三中心“主-备”方案
• 主城市与备城市组成一个5副本的集群。任何IDC的故障,最多损失2份副本,剩余的3份副本依然满足多数派
• 备用城市建设一个独立的3副本集群,做为一个备集群,从主集群”异步同步“或者”强同步“到备集群
• 一旦主城市遭遇灾难,备城市可以接管业务
小结:Paxos协议的工业性实现保障数据可靠性及服务可用性
严格的Paxos协议:多副本(ZONE)一致性协议,一主多从。“多数派”强一致
特性优势:多数派数据强一致性,可容忍任意少数派故障
leader故障时服务自动切换,无需人工干预
可灵活应对单机故障、机房级灾难、城市级灾难、实现全方位容灾。
技术价值:任意少数派故障保证RPO=0;高负载压测亦不降级
leader故障服务自动恢复,RTO<30秒
RTO,RPO显著优于传统主备数据库
可达到国际灾难恢复能力6级
