CentOS Cluster

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

<?xml version="1.0"?>
<cluster name="dbcluster" config_version="10">

  <cman two_node="1" expected_votes="1"/>
  <clusternodes>
    <clusternode name="test1" votes="1" nodeid="1">
      <fence>
        <method name="single">
        </method>
      </fence>
    </clusternode>
    <clusternode name="test2" votes="1" nodeid="2">
      <fence>
        <method name="single">
        </method>
      </fence>
    </clusternode>
  </clusternodes>

  <fencedevices>
  </fencedevices>


        <rm>
        <failoverdomains>
        <failoverdomain name="DB" nofailback="0" ordered="1" restricted="0">
               <failoverdomainnode name="test1" priority="1"/>
               <failoverdomainnode name="test2" priority="2"/>
           </failoverdomain>
        </failoverdomains>
        <resources/>
        <service autostart="1" domain="db" exclusive="0" name="IP" recovery="relocate">
                <ip address="IPADDR" monitor_link="on" sleeptime="3"/>
        </service>
        </rm>

</cluster>

Cluster Status for dbcluster @ Mon Jun 24 12:02:27 2013
Member Status: Quorate

Member Name ID Status
------ ---- ---- ------
test1 1 Online, rgmanager
test2 2 Online, Local, rgmanager

Service Name Owner (Last) State
------- ---- ----- ------ -----
service:IP test1 started

Jun 24 11:59:13 test2 corosync[1421]: [TOTEM ] A processor failed, forming new configuration.
Jun 24 11:59:15 test2 kernel: dlm: closing connection to node 1
Jun 24 11:59:15 test2 corosync[1421]: [QUORUM] Members[1]: 2
Jun 24 11:59:15 test2 corosync[1421]: [TOTEM ] A processor joined or left the membership and a new membership was formed.
Jun 24 11:59:15 test2 corosync[1421]: [CPG ] chosen downlist: sender r(0) ip(IPADDR) ; members(old:2 left:1)
Jun 24 11:59:15 test2 corosync[1421]: [MAIN ] Completed service synchronization, ready to provide service.
Jun 24 11:59:15 test2 rgmanager[2688]: State change: test1 DOWN
Jun 24 11:59:15 test2 fenced[1477]: fencing node test1

silentsnake schreef op maandag 24 juni 2013 @ 22:09:
[...]


Dit is niet waar, je kan prima een twee node cluster maken, wat ook aangegeven wordt door de "two_nodes" parameter. Dan kan één node nogsteeds een quorum hebben. Immers staat expected_votes op 1, dus er moet minimaal 1 vote zijn om quorum te hebben (dus maar 1 node).


[...]


Als dit de laatste log regel is heeft Cidolfas het denk ik bij het juist eind. Aangezien je geen fence agents heb gespecificeerd weet het cluster niet wat ie moet doen. Als je geen fencing wil moet je fence_manual als fence agent opgeven, of een scriptje dat een status code 0 terug geeft.

Let wel op dat fencing niet voor niets bestaat - als allebei de nodes het virtuele IP address aan gaan nemen omdat node 1 denkt dat node 2 dood is terwijl node2 nog leeft heb je natuurlijk een IP conflict te pakken, om maar eens een voorbeeld te noemen. Het is dus zeer zeker aan te raden om fatsoenlijke fencing te configureren.

Mocht je geen LOM hebben (bijvoorbeeld DRAC / ILO) of een remote power switch kan je altijd IPMI gebruiken - de meeste Dell / HP servertjes hebben een IPMI agent die je kan gebruiken om een remote reset / poweroff te doen buiten het OS om.

Waar je wel op moet letten bij een twee node cluster is de mogelijkheid van een split-brain. Als de cluster heartbeat om wat voor reden dan ook niet meer kan plaats vinden bestaat de kans dat de nodes elkaar op exact hetzelfde moment gaan fencen. Je hele cluster gaat dan dus down. Dit kan je voorkomen door een quorum disk te hebben die wel redundant is (denk aan een HA iSCSI of Fibre Channel verbinding). De quorum disk is dan de tie breaker in geval van een split brain en kan dus bepalen welke node er gefenced gaat worden.

Een andere manier zonder quorum disk is je cluster heartbeat over twee NICs per server te laten lopen en daar een bond van te maken. Eventueel met cross kabels zodat je geen dependency heb op je netwerk switch.

Als je nog meer vragen hebt laat het weten!

Cidolfas schreef op dinsdag 25 juni 2013 @ 15:41:
[...]


Nee, fencing zorgt er voor dat een bepaalde node 100% zeker kan zijn dat hij de enige is die de gedeelde resource actief heeft.

Stel je hebt twee nodes, node A en node B. Deze nodes controleren van elkaar of ze nog actief zijn middels heartbeat over een netwerk.

In jou voorbeeld is de gedeelde resource een virtueel ip nummer (VIP). Deze mag maar op 1 node tegelijk actief zijn, anders heb je een dubbel IP nummer conflict op je netwerk.

Het VIP is in eerste instantie actief op node A. Als je deze node A uit zet zal node B dat zien, omdat node A niet meer op heartbeat reageert.

Echter, hoe weet je zeker dat node A uit is? Als het heartbeat netwerk uitvalt heb je immers dezelfde situatie. Ook dan zullen de nodes elkaar niet meer zien, maar is node A en dus het VIP nog gewoon online.

Voordat node B dus kan besluiten om het VIP adres actief te maken op node B, moet hij 100% zeker zijn dat node A het VIP niet meer in gebruik heeft. Alleen heartbeat is daar dus niet genoeg voor.

Daarom is fencing bedacht. Node B kan node A fencen, wat normaal een manier is om er voor te zorgen dat de node niet meer bij de gedeelde resource kan. In de meeste gevallen gebruikt men dan een power management interface (zoals te vinden in iLO etc..) om de hele server uit te zetten.

Dus node B sluit node A uit (fencing), en weer daarom zeker dat hij het VIP veilig kan claimen en activeren.

Als je hier mee verder gaat moet je dus ook rekening houden met een fence delay op een van de nodes. Als beide nodes elkaar tegelijk niet meer zien (heartbeat netwerk valt uit) wil je niet dat ze allebei tegelijk gaan fencen, want dan staan daarna beide servers uit