Poniżej znajduje się przykład polecenia Sentinel Set w celu zmodyfikowania konfiguracji w dół-milisekund master o nazwie obiekty Cache:

Sentinel ustawił obiekty Master-Master w dół po Milliisekundach 1000 

Jak już wspomniano, Sentinel Set może być używany do ustawienia wszystkich parametrów konfiguracji, które można rozwiązać w pliku konfiguracyjnym uruchamiania. Ponadto możliwe jest zmiana tylko konfiguracji kworum głównego bez usunięcia i ponownego dodania Master z usunięciem Sentinel, a następnie Sentinel Monitor, ale po prostu użycie:

Sentinel Ustaw obiekty Master-Master Quorum 5 

Zauważ, że nie ma równoważnego polecenia GET, ponieważ Sentinel Master zapewnia wszystkie parametry konfiguracyjne w prostym do analizowania formatu (jako tablica par pola/wartości).

Zaczynając od Redis wersja 6.2, Sentinel umożliwia również uzyskanie i ustawianie globalnych parametrów konfiguracyjnych, które były obsługiwane tylko w pliku konfiguracyjnym przed tym.

• Sentinel Config otrzymaj bieżącą wartość globalnego parametru konfiguracyjnego Sentinel. Określona nazwa może być wieloznaczką, podobną do polecenia Redis Config GET.
• Sentinel Config Ustaw wartość globalnego parametru konfiguracyjnego Sentinel.

Globalne parametry, które można manipulować, obejmują:

• Resolve-Hostnames, ogłasza nazwy Hostnam . Widzieć Adresy IP i nazwy DNS.
• Ogłaszaj-IP, ogłasza port . Widzieć Sentinel, Docker, NAT i możliwe problemy.
• Sentinel-User, Sentinel-Pass . Widzieć Konfigurowanie instancji Sentinel z uwierzytelnianiem.

Dodawanie lub usuwanie wartowników

Dodanie nowego wartownika do wdrożenia jest prostym procesem ze względu na mechanizm automatycznego odkrywania zaimplementowany przez Sentinel. Wszystko, co musisz zrobić, to rozpocząć nowy Sentinel skonfigurowany do monitorowania aktualnie aktywnego Master. W ciągu 10 sekund Sentinel nabył listę innych wartowników i zestaw replików dołączonych do mistrza.

Jeśli chcesz dodać wiele wartowników jednocześnie, sugeruje się dodanie go jeden po drugim, czekając, aż wszystkie pozostałe wartowniki już wiedzą o pierwszym przed dodaniem następnego. Jest to przydatne, aby nadal zagwarantować, że większość można osiągnąć tylko z jednej strony partycji, w przypadku awarii przypadków powinny nastąpić w procesie dodawania nowych wartowników.

Można to łatwo osiągnąć, dodając każdego nowego wartownika z opóźnieniem 30 -sekundowym i podczas braku partycji sieciowych.

Na końcu procesu można użyć polecenia Sentinel Mastername, aby sprawdzić, czy wszyscy wartownicy zgadzają się na całkowitą liczbę Sentinels monitorujących mistrz.

Usunięcie wartownika jest nieco bardziej złożone: Sentinels nigdy nie zapominają już widziały Sentinels, Nawet jeśli nie są one osiągalne przez długi czas, ponieważ nie chcemy dynamicznie zmieniać większości potrzebnej do autoryzacji przełączania awaryjnego i tworzenia nowego numeru konfiguracji. W celu usunięcia wartownika należy wykonać następujące kroki przy braku partycji sieciowych:

1. Zatrzymaj proces Sentinel Sentinel, który chcesz usunąć.
2. Wyślij polecenie Sentinel Reset * do wszystkich innych instancji Sentinel (zamiast * Możesz użyć dokładnej nazwy głównej, jeśli chcesz zresetować tylko jeden mistrz). Jeden po drugim, czekając co najmniej 30 sekund między przypadkami.
3. Sprawdź, czy wszyscy wartownicy zgadzają się co do liczby aktualnie aktywnych Sentinels, sprawdzając wyniki Sentinel Mastername każdego Sentinel.

Usunięcie starych replików mistrza lub nieosiągalnych

Sentinels nigdy nie zapominają o replikach danego mistrza, nawet jeśli są one nieosiągalne przez długi czas. Jest to przydatne, ponieważ wartownicy powinni być w stanie poprawnie ponownie skonfigurować powracającą replikę po partycji sieciowej lub zdarzeniu awarii.

Ponadto po awarii awaryjne nieudane mistrz jest praktycznie dodawane jako replika nowego mistrza, w ten sposób zostanie ponownie skonfigurowana do powtórzenia z nowym mistrzem, gdy tylko będzie dostępna ponownie.

Jednak czasami chcesz usunąć replikę (która może być starym mistrzem) na zawsze z listy replików monitorowanych przez wartowniki.

Aby to zrobić, musisz wysłać polecenie Sentinel Reset Mastername do wszystkich wartowników: odświeżą listę replików w ciągu następnych 10 sekund, tylko dodając te wymienione jako poprawnie replikacja z bieżącego wyjścia informacyjnego głównego.

Wiadomości pubowe/sub

Klient może użyć Sentinel jako serwera PUB/Subbled Compatybilne (ale nie można użyć Public) w celu zasubskrybowania lub psubscribe do kanałów i otrzymania powiadomienia o konkretnych zdarzeniach.

Nazwa kanału jest taka sama jak nazwa wydarzenia. Na przykład kanał o nazwie +sdown otrzyma wszystkie powiadomienia związane z instancjami wchodzącymi do sdown (sdown oznacza, że ​​instancja nie jest już dostępna z punktu widzenia wartownika, w którym zapytasz).

Aby uzyskać wszystkie wiadomości, po prostu zasubskrybuj za pomocą PSUBSCRIPE * .

Poniżej znajduje się lista kanałów i formatów wiadomości, które możesz otrzymać za pomocą tego interfejsu API. Pierwsze słowo to nazwa kanału / zdarzenia, reszta jest formatem danych.

Uwaga: gdzie Szczegóły instancji jest określone, co oznacza, że ​​podano następujące argumenty w celu zidentyfikowania instancji docelowej:

Część identyfikująca mistrz (od argumentu @ do końca) jest opcjonalna i jest określona tylko wtedy, gdy instancja nie jest sama mistrzem.

• +Mistrz resetowania-- Mistrz został zresetowany.
• +niewolnik-- Wykryto i dołączono nową replikę.
• +Nieważne-niewolnicy w stanie awaryjnym-- Stan przełączania awaryjnego zmienił się na stan Reconf-Slaves.
• +Wykorzystane przez przełącznik awaryjne-- Wykryto przełączanie awaryjne zapoczątkowane przez innego Sentinel lub jakikolwiek inny podmiot zewnętrzny (załączona replika zamieniona w mistrz).
• +SLAVE-RECONF-SENT-- Lider Sentinel wysłał polecenie repliki do tej instancji, aby ponownie skonfigurować nową replikę.
• +Slave-Reconf-inprog-- Replika, które rekonfiguruje się, okazała się repliką nowej pary Master IP: Port, ale proces synchronizacji nie jest jeszcze kompletny.
• +Slave-Reconf-Done-- Replika jest teraz zsynchronizowana z nowym mistrzem.
• -dup-sentinel-- Jeden lub więcej wartowników dla określonego Mistrza zostało usunięte jako powielone (dzieje się tak na przykład, gdy instancja Sentinel jest ponownie uruchomiona).
• +posterunek-- Nowy wartownik dla tego mistrza został wykryty i załączony.
• +sdown-- Określona instancja jest teraz w stanie subiektywnie.
• -sdown-- Określona instancja nie jest już w stanie subiektywnie.
• +Odown-- Określona instancja jest teraz w stanie obiektywnie w dół.
• -Odown-- Określona instancja nie jest już w stanie obiektywnie w dół.
• +New-Epoch-- Obecna epoka została zaktualizowana.
• +próba-- Nowa awaria awaryjna, czekając na wybór większości.
• +Wybrany lider-- Wygrał wybory do określonej epoki, może wykonać przełączanie awaryjne.
• +SPECT-SELECT-SLAVE-- Nowy stan przełączania awaryjnego to SELECT-SLAVE: Staramy się znaleźć odpowiednią replikę promocji.
• Brak dobrego niewolnicy-- Nie ma dobrej repliki do promowania. Obecnie spróbujemy po pewnym czasie, ale prawdopodobnie to się zmieni, a maszyna stanowa w ogóle przerwie przełączanie awaryjne w tym przypadku.
• Wybrany niewolnik-- Znaleźliśmy określoną dobrą replikę do promowania.
• State awaryjne-send-slaveof-noone-- Staramy się ponownie skonfigurować promowaną replikę jako mistrza, czekając na zmianę.
• Przejście awaryjne dla czasu-- Przewodniczący zakończony limit czasu, repliki zostaną ostatecznie skonfigurowane do replikacji z nowym mistrzem.
• Extiver-end-- Przełączanie awaryjne zakończone z powodzeniem. Wszystkie repliki wydaje się być ponownie skonfigurowane do powtórzenia z nowym mistrzem.
• Mistrz przełącznika-- Nowy główny adres IP i adres jest określony po zmianie konfiguracji. To jest Wiadomość, którymi interesuje się większość użytkowników zewnętrznych.
• +nachylenie -- Wprowadzono tryb przechylania.
• -nachylenie -- Tryb pochylenia wyszedł.

Obsługa stanu

Błąd -Busy jest zwracany przez instancję Redis, gdy skrypt LUA działa na więcej czasu niż skonfigurowany limit czasu skryptu LUA. Kiedy zdarzy się to przed uruchomieniem porażki nad Redis Sentinel, spróbuje wysłać polecenie zabijania skryptu, to odniesie sukces tylko wtedy.

Jeśli instancja jest nadal w stanie błędu po tej próbie.

Priorytet repliki

Instancje Redis mają parametr konfiguracyjny o nazwie repliki priorytet . Informacje te są ujawniane przez Redis Replica Instances w ich wyjściu informacji, a Sentinel używa ich, aby wybrać replikę spośród tych, których można użyć w celu awarii Master:

1. Jeśli priorytet repliki jest ustawiony na 0, replika nigdy nie jest promowana na Master.
2. Repliki z niżej Sentinel preferuje numer priorytetu.

Na przykład, jeśli istnieje replika S1 w tym samym centrum danych bieżącego głównego, a inna replika S2 w innym centrum danych, możliwe jest ustawienie S1 z priorytetem 10 i S2 z priorytetem 100, tak że jeśli główny nie powiedzie się, a zarówno S1, jak i S2 będą dostępne, s1 będzie preferowane.

Aby uzyskać więcej informacji o sposobie wyboru replik, sprawdź Wybór repliki i priorytet sekcja niniejszej dokumentacji.

Uwierzytelnianie Sentinel i Redis

Gdy główny jest skonfigurowany do uwierzytelnienia od klientów, jako miara bezpieczeństwa, repliki muszą być również świadomi poświadczeń, aby uwierzytelnić się za pomocą głównego i utworzyć połączenie Master-Replica używane do protokołu replikacji asynchronicznej.

Uwierzytelnianie listy kontroli dostępu Redis

Począwszy od Redis 6, uwierzytelnianie użytkownika i uprawnienia jest zarządzane z listą kontroli dostępu (ACL).

Aby Sentinels połączyli się z instancjami Redis Server, gdy są one skonfigurowane z ACL, konfiguracja Sentinel musi zawierać następujące dyrektywy:

Sentinel Auth-User Sentinel Auth-Pass

Gdzie i są nazwą użytkownika i hasłem do dostępu do instancji grupy. Te poświadczenia powinny być dostarczone we wszystkich przypadkach Redis grupy z minimalnymi uprawnieniami kontroli. Na przykład:

127.0.0.1: 6379> ACL SETUSER Sentinel-User On> Some Sword AllChannels +Multi +SlaveOF +Ping +Exec +Subcribe +Config | Rewrite +Rola +Publikuj +Informacje +Klient | nazwa SetName +Klient +Skrypt | Kill +Kill +Kill | Kill +Kill +Kill +Kill +Kill | Kill +Kill | Kill +Skrypt | Zabij się 

Uwierzytelnianie tylko z hasłem Redis

Do Redis 6, uwierzytelnianie jest osiągane za pomocą następujących dyrektyw konfiguracji:

• wymaganie w głównym, aby ustawić hasło do uwierzytelnienia i upewnić się, że instan.
• MasterAuth w replikach, aby repliki mogły uwierzytelnić się z głównym, aby poprawnie odtworzyć z niego dane.

Gdy używany jest Sentinel, nie ma ani jednego mistrza, ponieważ po replikach przełączania awaryjnego mogą odgrywać rolę mistrzów, a starych mistrzów mogą zostać ponownie skonfigurowane, aby działać jako replik, więc chcesz ustawić powyższe dyrektywy we wszystkich twoich przypadkach, zarówno mistrzów, jak i replik.

Jest to również zwykle rozsądna konfiguracja, ponieważ nie chcesz chronić danych tylko w głównym, mając te same dane dostępne w replikach.

Jednak w rzadkim przypadku, w którym potrzebujesz repliki, która jest dostępna bez uwierzytelnienia, nadal możesz to zrobić, konfigurując Priorytet repliki zerowej, Aby zapobiec promocji tej repliki na master i konfigurację w tej replice tylko dyrektywa MasterAuth, bez korzystania z dyrektywy wymagań, aby dane były czytelne przez nieautentycznych klientów.

Aby Sentinels połączyli się z instancjami Redis Server, gdy są one skonfigurowane z wymaganiem, konfiguracja Sentinel musi zawierać dyrektywę Sentinel Auth-Pass, w formacie:

Sentinel Auth-Pass

Konfigurowanie instancji Sentinel z uwierzytelnianiem

Same instancje Sentinel można zabezpieczyć, wymagając od klientów uwierzytelnienia za pośrednictwem polecenia Auth. Zaczynając od Redis 6.2, dostępna jest lista kontroli dostępu (ACL), podczas gdy poprzednie wersje (począwszy od Redis 5.0.1) Obsługa uwierzytelniania tylko hasła.

Zauważ, że konfiguracja uwierzytelniania Sentinel powinna być zastosowane do każdej z instancji w twoim wdrożeniu i Wszystkie instancje powinny korzystać z tej samej konfiguracji. Ponadto uwierzytelnianie ACL i hasła nie powinno być używane razem.

Uwierzytelnianie listy kontroli dostępu Sentinel

Pierwszym krokiem w zabezpieczeniu instancji Sentinel z ACL jest zapobieganie nieautoryzowanemu dostępowi do niego. Aby to zrobić, musisz wyłączyć domyślny superuser (lub przynajmniej skonfiguruj go z silnym hasłem) i utworzyć nowy i umożliwić mu dostęp do kanałów PUB/Sub:

127.0.0.1: 5000> ACL SETUSER admin na> administrator-hasło AllChannels +@All OK 127.0.0.1: 5000> ACL Setuser domyślnie OK OK 

Domyślny użytkownik jest używany przez Sentinel do łączenia się z innymi instancjami. Możesz podać poświadczenia innego superuserów z następującymi dyrektywami konfiguracyjnymi:

Sentinel Sentinel-User Sentinel Sentinel-Pass

Gdzie i są odpowiednio superuser i hasło Sentinel (e.G. Administrator i administrator w powyższym przykładzie).

Wreszcie, w celu uwierzytelniania przychodzących połączeń klientów, możesz utworzyć Sentinel Ograniczony profil użytkownika, taki jak następujące:

127.0.0.1: 5000> ACL SETUSER STERINEL-USER ON> Użytkownik-Pass słów-@all +Auth +Klient | GetName +Klient | Idname | setName +polecenie +hello +ping +rola +sentinel | get-master-addr-po-name +Sentinel | Sentinel | Myid +Sentinel | Replias +Sentinel | Sentinel | 

Więcej informacji można znaleźć w dokumentacji wybranego klienta Sentinel.

Uwierzytelnianie tylko dla hasła Sentinel

Aby użyć Sentinel z uwierzytelnianiem tylko dla hasła, dodaj dyrektywę konfiguracji wymagań Wszystko Twoje instancje Sentinel w następujący sposób:

wymaganie „your_password_here” 

Po skonfigurowaniu w ten sposób Sentinels zrobi dwie rzeczy:

1. Wymagane będzie hasło od klientów w celu wysyłania poleceń do wartowników. Jest to oczywiste, ponieważ w ten sposób taka dyrektywa konfiguracyjna działa ogólnie w Redis.
2. Ponadto to samo hasło skonfigurowane do dostępu do lokalnego wartownika, będzie używane przez niniejszą instancję Sentinel w celu uwierzytelnienia wszystkich innych instancji Sentinel, z którymi się łączy.

To znaczy że Będziesz musiał skonfigurować to samo hasło wymagane we wszystkich instancjach Sentinel. W ten sposób każdy wartownik może rozmawiać z każdym innym wartownikiem bez potrzeby skonfigurowania dla każdego wartownika hasła, aby uzyskać dostęp do wszystkich innych wartowników, byłoby to bardzo niepraktyczne.

Przed użyciem tej konfiguracji upewnij się, że biblioteka klientów może wysłać polecenie Auth do instancji Sentinel.

Wdrożenie klientów Sentinel

Sentinel wymaga wyraźnej obsługi klienta, chyba że system jest skonfigurowany do wykonywania skryptu, który wykonuje przejrzyste przekierowanie wszystkich żądań do nowej instancji głównej (wirtualne IP lub inne podobne systemy). Temat implementacji bibliotek klientów jest omówiony w wytycznych dotyczących klientów dokumentu Sentinel.

Bardziej zaawansowane koncepcje

W poniższych sekcjach omówimy kilka szczegółów na temat tego, jak działa Sentinel, bez uciekania się do szczegółów wdrożenia i algorytmów, które zostaną omówione w ostatniej części tego dokumentu.

Stan sddów i awarii Odown

Redis Sentinel ma dwa różne koncepcje bycie w dół, jeden nazywa się Subiektywnie w dół warunek (sdd) i jest stanem w dół, który jest lokalny dla danej instancji wartownika. Inny jest nazywany Obiektywnie w dół Warunek (Odown) i jest osiągany, gdy wystarczająca liczba wartowników (przynajmniej liczba skonfigurowana jako parametr kworum monitorowanego mistrza) ma warunek sdown i uzyskaj informacje zwrotne od innych wartowników za pomocą sentinel is-master-down-na-addr polecenie polecenia.

Z punktu widzenia wartownika osiągnięto warunek sdown, gdy nie otrzymuje prawidłowej odpowiedzi na żądania pingowe dla liczby sekund określonych w konfiguracji jako parametr IS-Master-Down-After-Millisekunds.

Dopuszczalna odpowiedź na ping jest jedną z poniższych:

• Ping odpowiedział +pong.
• Ping odpowiedział błędem ładowania.
• Ping odpowiedział z błędem -mastdown.

Każda inna odpowiedź (lub w ogóle brak odpowiedzi) jest uważana za nie ważną. Zwróć jednak uwagę na to logiczny mistrz, który reklamuje się jako replika w wyniku informacji, jest uważany za na dół.

Należy zauważyć, że Sdown wymaga, aby nie otrzymano akceptowalnej odpowiedzi na cały skonfigurowany przedział, więc na przykład jeśli przedział wynosi 30000 milisekund (30 sekund) i otrzymujemy dopuszczalną odpowiedź ping co 29 sekund, instancja jest uważana za działanie.

Sdown nie wystarczy, aby uruchomić przełączanie awaryjne: oznacza to, że tylko jeden wartownik uważa, że ​​instancja Redis nie jest dostępna. Aby uruchomić przełączanie awaryjne, należy osiągnąć stan Odown.

Aby przejść z sdown na Odown, nie stosuje się silnego algorytmu konsensusu, ale tylko forma plotek: jeśli dany wartownik otrzyma doniesienia, że ​​mistrz nie działa z wystarczającej liczby wartowników w danym zakresie czasu, sdds jest promowany do Odown. Jeśli ten potwierdzenie zostanie później brakuje, flaga jest wyczyszczona.

Wymagane jest bardziej ścisłe autoryzacja, która wykorzystuje rzeczywistą większość, aby naprawdę rozpocząć przełączanie awaryjne, ale nie można wywołać awaryjnego przełączania awaryjnego bez dotarcia do stanu Odown.

Warunek Odvn Dotyczy tylko mistrzów. W przypadku innych przypadków Sentinel nie wymaga działania, więc stan Odown nigdy nie jest osiągany po repliki i innych wartowników, ale tylko sdd jest.

Jednak Sdown ma również implikacje semantyczne. Na przykład replika w stanie sdown nie jest wybierana do promowania przez wartownik wykonujący awaryję.

Sentinels i Replicas Auto Discovery

Sentinels pozostają w kontakcie z innymi Sentinels, aby wzajemnie sprawdzić dostępność wzajemnego i wymieniać wiadomości. Nie musisz jednak konfigurować listy innych adresów Sentinel w każdej uruchomionej instancji Sentinel, ponieważ Sentinel używa instancji Redis Pub/Sublites, aby odkryć inne Sentinels, które monitorują tych samych mistrzów i repliki.

Ta funkcja jest zaimplementowana przez wysyłanie witaj wiadomości do kanału o nazwie __sentinel __: Hello .

Podobnie nie musisz konfigurować, jaka jest lista replików dołączonych do mistrza, ponieważ Sentinel automatycznie odkryje tę listę zapytania.

• Każdy Sentinel publikuje wiadomość do każdego monitorowanego Master i Replica Pub/Sub Channel __sentinel __: Witam, co dwie sekundy, ogłaszając swoją obecność z IP, Port, Runid.
• Każdy wartownik jest subskrybowany do kanału pub/sub kanał __sentinel __: Witam każdego mistrza i repliki, szukając nieznanych wartowników. Po wykryciu nowych wartowników, są one dodawane jako wartownicy tego mistrza.
• Wiadomości witam również pełna bieżąca konfiguracja głównego. Jeśli odbiorczy Sentinel ma konfigurację dla danego mistrza, który jest starszy niż otrzymany, natychmiast aktualizuje nową konfigurację.
• Przed dodaniem nowego wartownika do Master a Sentinel zawsze sprawdza, czy jest już wartownik z tym samym runidem lub tym samym adresem (IP i para portów). W takim przypadku wszystkie pasujące wartowniki są usuwane, a nowe dodane.

Sentinel ponownie konfiguracja instancji poza procedurą przełączania awaryjnego

Nawet gdy nie jest w toku awaryjnego, wartownicy zawsze będą próbować ustawić bieżącą konfigurację na monitorowanych instancjach. Konkretnie:

• Repliki (zgodnie z aktualną konfiguracją), które twierdzą, że są mistrzami, zostaną skonfigurowane jako repliki do replikacji z bieżącym głównym.
• Repliki podłączone do niewłaściwego mistrza, zostaną ponownie skonfigurowane do powtórzenia z właściwym mistrzem.

Aby Sentinels do rekonfiguracji repliki należy obserwować niewłaściwą konfigurację, która jest większa niż okres używany do nadawania nowych konfiguracji.

Zapobiega to Sentinelsowi z przestarzałą konfiguracją (na przykład dlatego, że po prostu dołączyły z partycji) spróbują zmienić konfigurację repliki przed otrzymaniem aktualizacji.

Zwróć również uwagę, w jaki sposób semantyka zawsze próba narzucenia bieżącej konfiguracji sprawia, że ​​przełączanie awaryjne jest bardziej odporne na partycje:

• Mistrzowie nieudane są ponownie skonfigurowane jako repliki po powrocie dostępnych.
• Replicas podzielone podczas partycji są rekonfigurowane po osiągnięciu.

Ważną lekcją do zapamiętania w tej sekcji jest: Sentinel to system, w którym każdy proces zawsze będzie próbował narzucić ostatnią konfigurację logiczną na zestaw monitorowanych instancji.

Wybór repliki i priorytet

Kiedy instancja Sentinel jest gotowa do wykonania przełączania awaryjnego, ponieważ Mistrz jest w stanie Odown, a wartownik otrzymał upoważnienie do przełączania awaryjnego z większości znanych instancji Sentinel, należy wybrać odpowiednią replikę.

Proces wyboru repliki ocenia następujące informacje o replikach:

1. Czas odłączenia od mistrza.
2. Priorytet repliki.
3. Przetworzone przesunięcie replikacji.
4. Uruchom id.

Replika, która okazuje się być odłączona od mistrza przez ponad dziesięć razy skonfigurowaną limit czasu głównego (opcja w dół-milisekund), a czas, w którym mistrz nie jest również dostępny z punktu widzenia Sentinel wykonujący awaryjne przewagę, jest uważany za nie nadaje się do awarii i jest pominięty.

Mówiąc bardziej rygorystycznie, replika, której wyjście informacyjne sugeruje, że została odłączona od mistrza za więcej niż:

(Down-After-Milliiseconds * 10) + Miliseconds_since_master_is_in_sdown_state 

Jest uważany za zawodny i jest całkowicie lekceważony.

Wybór repliki rozważa tylko repliki, które zdały powyższy test, i sortuje go na podstawie powyższych kryteriów, w następującej kolejności.

1. Repliki są sortowane według prioryczności repliki, zgodnie z konfiguracją w Redis.plik conf z instancji Redis. Preferowany będzie niższy priorytet.
2. Jeśli priorytet jest taki sam, przesunięcie replikacji przetworzone przez replikę jest sprawdzane, a replika, która otrzymała więcej danych z głównego, jest wybrana.
3. Jeśli wiele replików ma ten sam priorytet i przetworzył te same dane z głównego, wykonuje się dalszą kontrolę, wybierając replikę z leksykograficznie mniejszym identyfikatorem biegu. Posiadanie niższego identyfikatora biegu nie jest prawdziwą zaletą dla repliki, ale jest przydatne, aby proces wyboru repliki bardziej deterministycznie, zamiast uciekać się do losowej repliki.

W większości przypadków priorytet repliki nie musi być ustawiany jawnie, aby wszystkie instancje używają tej samej wartości domyślnej. Jeśli istnieje szczególna preferencja niepowodzenia, należy ustalić priorytet repliki we wszystkich instancjach, w tym mistrzowie, ponieważ mistrz może stać się repliką w przyszłości-a następnie będzie potrzebować odpowiednich ustawień priorytetu repliki repliki.

Instancję Redis można skonfigurować ze specjalną priorytetą repliki zero, aby być Nigdy nie wybrano przez Sentinels jako nowy mistrz. Jednak skonfigurowana w ten sposób replika będzie nadal ponownie skonfigurowana przez Sentinels w celu powtórzenia z nowym mistrzem po przełączaniu awaryjnym, jedyną różnicą jest to, że nigdy nie stanie się samym mistrzem.

Algorytmy i wewnętrzne

W poniższych sekcjach zbadamy szczegóły zachowania Sentinel. Nie jest to ściśle potrzebne, aby użytkownicy byli świadomi wszystkich szczegółów, ale głębokie zrozumienie Sentinel może pomóc w wdrożeniu i obsłudze Sentinel w bardziej skuteczny sposób.

Kworum

Poprzednie sekcje wykazały, że każdy mistrz monitorowany przez Sentinel jest powiązany z skonfigurowanym kworum. Określa liczbę procesów Sentinel, które muszą zgodzić się na nieosiągalność lub warunek błędu mistrza, aby uruchomić przełączanie awaryjne.

Jednak po uruchomieniu przełączania awaryjnego, aby faktycznie wykonać przełączanie awaryjne, co najmniej większość wartowników musi upoważnić wartownika do przełączania awaryjnego. Sentinel nigdy nie wykonuje przełączania awaryjnego w partycji, w której istnieje mniejszość Sentinels.

Postarajmy się, aby wszystko było bardziej jasne:

• QUORUM: Liczba procesów Sentinel, które muszą wykryć warunek błędu, aby mistrz był oznaczony jako Odown.
• Przełączanie awaryjne jest wyzwalane przez Odown państwo.
• Po uruchomieniu przełączania awaryjnego Sentinel próbujący przełączanie awaryjnego musi poprosić o zezwolenie na większość wartowników (lub więcej niż większość, jeśli kworum jest ustawione na liczbę większą niż większość).

Różnica może wydawać się subtelna, ale w rzeczywistości jest dość prosta do zrozumienia i użycia. Na przykład, jeśli masz 5 instancji Sentinel, a kworum jest ustawione na 2, przełączanie awaryjne zostanie uruchomione, gdy tylko 2 wartownicy uważają, że mistrz nie jest osiągalny, jednak jeden z dwóch wartowników będzie mógł przełączyć się tylko wtedy, gdy uzyska zezwolenie co najmniej z 3 wartowników.

Jeśli zamiast tego kworum jest skonfigurowane do 5, wszystkie wartowniki muszą zgodzić się na temat stanu błędu głównego, a autoryzacja ze wszystkich wartowników jest wymagana do przełączania awaryjnego.

Oznacza to, że kworum można wykorzystać do dostrojenia Sentinel na dwa sposoby:

1. Jeśli kworum jest ustawione na wartość mniejszą niż większość wartowników, które wdrażamy, w zasadzie uczyniamy Sentinel bardziej wrażliwym na mistrzowskie awarie, wywołując przełączanie awaryjne, gdy tylko nawet mniejszość Sentinels nie jest już w stanie rozmawiać z mistrzem.
2. Jeśli kworum jest ustawione na wartość większą niż większość wartowników, sprawiamy, że Sentinel jest w stanie przełączyć się tylko wtedy, gdy istnieje bardzo duża liczba (większa niż większość) dobrze połączonych wartowników, które zgadzają.

Epoki konfiguracyjne

Sentinels wymagają zezwolenia z większości, aby rozpocząć przełączanie awaryjne z kilku ważnych powodów:

Kiedy wartość jest autoryzowana, dostaje wyjątkowy Epoka konfiguracyjna Dla mistrza to się nie skończyło. Jest to liczba, która zostanie użyta do wersji nowej konfiguracji po zakończeniu awaryjnego. Ponieważ większość zgodziła się, że dana wersja została przypisana do danego wartownika, żaden inny wartownik nie będzie mógł z niej korzystać. Oznacza to, że każda konfiguracja każdego przełączania awaryjnego jest wersja z unikalną wersją. Zobaczymy, dlaczego jest to takie ważne.

Ponadto wartownicy mają zasadę: jeśli wartownik zagłosował kolejnego wartownika na awaryjne mistrza, poczekaj trochę czasu, aby ponownie spróbować tego samego mistrza. To opóźnienie to 2 * czas awaryjny, który można skonfigurować w Sentinel.conf . Oznacza to, że Sentinels nie będzie próbował jednocześnie przełączyć tego samego mistrza, pierwszy, który poprosi o autoryzację.

Redis Sentinel gwarantuje żywotność nieruchomość, że jeśli większość wartowników będzie w stanie rozmawiać, ostatecznie zostanie zezworzony do przełączania awaryjnego.

Redis Sentinel również gwarantuje bezpieczeństwo właściwość, którą każdy wartownik awaryjny będzie ten sam mistrz za pomocą innego Epoka konfiguracyjna.

Propagacja konfiguracyjna

Gdy Sentinel będzie w stanie skutecznie przełączyć się na Master, zacznie nadawać nową konfigurację, aby pozostali Sentinels zaktualizowali swoje informacje o danym Master.

Aby przełączanie awaryjne uznano za skuteczne, wymaga to, aby wartownik był w stanie wysłać replikę No One Command do wybranej repliki, a przełącznik na Master został później zaobserwowany w wyjściu informacyjnym Master.

W tym momencie, nawet jeśli w toku jest w toku rekonfiguracja replików, przełączanie awaryjne jest uważane za udane, a wszystkie wartowniki są zobowiązane do rozpoczęcia zgłaszania nowej konfiguracji.

Sposób, w jaki propagowana jest nowa konfiguracja, jest powodem, dla którego potrzebujemy, aby każda przełączanie awaryjne Sentinel jest autoryzowane z innym numerem wersji (epoka konfiguracyjna).

Każdy wartownik ciągle nadawał swoją wersję konfiguracji mistrza za pomocą wiadomości Redis Pub/Sub, zarówno w Master, jak i we wszystkich replikach. W tym samym czasie wszyscy wartownicy czekają na wiadomości, aby zobaczyć, jaka jest konfiguracja reklamowana przez pozostałe Sentinels.

Konfiguracje są transmitowane w __sentinel __: Hello Pub/Sub Channel.

Ponieważ każda konfiguracja ma inny numer wersji, większa wersja zawsze wygrywa w mniejszych wersjach.

Na przykład konfiguracja Master MyMaster zaczyna od wszystkich wartowników, którzy wierzą, że Mistrz jest w 192 roku.168.1.50: 6379. Ta konfiguracja ma wersję 1. Po pewnym czasie Sentinel jest upoważniony do przełączania awaryjnego w wersji 2. Jeśli przełączanie awaryjne zakończy się sukcesem, zacznie nadawać nową konfigurację, powiedzmy 192.168.1.50: 9000, z wersją 2. Wszystkie pozostałe instancje zobaczą tę konfigurację i odpowiednio zaktualizują ich konfigurację, ponieważ nowa konfiguracja ma większą wersję.

Oznacza to, że Sentinel gwarantuje drugą właściwość żywotności: zestaw wartowników, którzy są w stanie komunikować się, zbiega się z tą samą konfiguracją z wyższym numerem wersji.

Zasadniczo, jeśli sieć jest partycjonowana, każda partycja zbiega się z wyższą konfiguracją lokalną. W szczególnym przypadku braku partycji istnieje pojedyncza partycja i każdy wartownik zgodzi się na konfigurację.

Spójność pod partycjami

Konfiguracje Redis Sentinel są ostatecznie spójne, więc każda partycja zbiega się z dostępną konfiguracją wyższej konfiguracji. Jednak w rzeczywistym systemie za pomocą Sentinel jest trzech różnych graczy:

• Instancje Redis.
• Instancje Sentinel.
• Klienci.

Aby zdefiniować zachowanie systemu, musimy rozważyć wszystkie trzy.

Poniżej znajduje się prosta sieć, w której znajdują się 3 węzły, z których każdy działa instancja Redis i instancja Sentinel:

 +-------------+ |. Sentinel 1 | ----- Klient A | Redis 1 (m) | + -------------+ | |. + -------------+ | + ------------+ | Sentinel 2 | -----+-// ---- | Sentinel 3 | ----- Klient B | Redis 2 (S) | |. Redis 3 (M) | +-------------+ +------------+ 

W tym systemie pierwotnym stanem było to, że Redis 3 był mistrzem, podczas gdy Redis 1 i 2 były replikami. Partycja wystąpiła izolowanie starego mistrza. Sentinels 1 i 2 założyli przełączanie awaryjne promujące Sentinel 1 jako nowy mistrz.

Właściwości Sentinel gwarantują, że Sentinel 1 i 2 mają teraz nową konfigurację dla Master. Jednak Sentinel 3 nadal ma starą konfigurację, ponieważ żyje w innej partycji.

Wiemy, że Sentinel 3 będzie aktualizowany konfigurację, gdy partycja sieciowa zagoi się, jednak to, co stanie się podczas partycji, jeśli są klienci podzielone na stara mistrz?

Klienci nadal będą mogli napisać do Redis 3, starego mistrza. Kiedy partycja dołączy, Redis 3 zostanie przekształcony w replikę Redis 1, a wszystkie dane zapisane podczas partycji zostaną utracone.

W zależności od konfiguracji możesz chcieć, czy nie, ten scenariusz nastąpi:

• Jeśli używasz Redis jako pamięci podręcznej, może być przydatne, że klient B nadal jest w stanie napisać do starego mistrza, nawet jeśli jego dane zostaną utracone.
• Jeśli używasz Redis jako sklepu, nie jest to dobre i musisz skonfigurować system, aby częściowo zapobiec temu problemowi.

Ponieważ Redis jest asynchronicznie powtórzony, nie ma sposobu, aby całkowicie zapobiec utratę danych w tym scenariuszu, jednak możesz powiązać rozbieżność między Redis 3 i Redis 1 przy użyciu następującej opcji konfiguracji Redis:

Min-Replicas-to-Write 1 min-replicas-max-lag 10 

Z powyższą konfiguracją (zobacz samozwańczy Redis.Przykład conf w rozkładu Redis, aby uzyskać więcej informacji) instancja Redis, podczas działania jako mistrz, przestanie akceptować zapisy, jeśli nie może napisać do co najmniej 1 repliki. Ponieważ replikacja jest asynchroniczna Nie możliwość pisania W rzeczywistości oznacza, że ​​replika jest albo odłączona, albo nie wysyła nam asynchronicznych potwierdze.

Za pomocą tej konfiguracji Redis 3 w powyższym przykładzie stanie się niedostępny po 10 sekundach. Gdy partycja zagoi się, konfiguracja Sentinel 3 zbiega się z nową, a klient B będzie mógł przynieść prawidłową konfigurację i kontynuować.

Ogólnie Redis + Sentinel jako całość to ostatecznie spójny system gdzie jest funkcja scalania Ostatnie wygrywa, a dane ze starych mistrzów są odrzucane w celu powtórzenia danych bieżącego głównego, więc zawsze istnieje okno do utraty potwierdzonych zapisów. Wynika to z replikacji asynchronicznej Redis i odrzucającą naturę „wirtualnej” funkcji scalania systemu. Zauważ, że nie jest to ograniczenie samego Sentinel, a jeśli zorganizujesz przełączanie awaryjne za pomocą silnie spójnej replikowanej maszyny stanowej, te same właściwości nadal będą miały zastosowanie. Istnieją tylko dwa sposoby, aby uniknąć przegranej uznanych pisze:

1. Użyj replikacji synchronicznej (i odpowiedniego algorytmu konsensusu, aby uruchomić komplikowaną maszynę do stanu).
2. Użyj ostatecznie spójnego systemu, w którym można połączyć różne wersje tego samego obiektu.

Redis obecnie nie jest w stanie korzystać z żadnego z powyższych systemów i obecnie jest poza celami rozwoju. Istnieją jednak rozwiązanie wdrażające proxy „2” na sklepach Redis, takich jak SoundCloud Roshi lub Netflix Dynomit.

Sentinel Trwałe stan

Stan Sentinel jest utrzymywany w pliku konfiguracyjnym Sentinel. Na przykład za każdym razem, gdy odbierana jest nowa konfiguracja lub tworzona (lider Sentinels), dla master konfiguracja jest utrzymywana na dysku wraz z epoką konfiguracyjną. Oznacza to, że bezpieczne jest zatrzymanie i ponowne uruchomienie procesów Sentinel.

Tryb przechylania

Redis Sentinel jest silnie zależny od czasu komputera: na przykład, aby zrozumieć, czy dostępna jest instancja, pamięta czas najnowszej udanej odpowiedzi na polecenie ping i porównuje go z aktualnym czasem na zrozumienie, ile ma lat.

Jeśli jednak czas komputera zmienia się w nieoczekiwany sposób lub jeśli komputer jest bardzo zajęty lub z jakiegoś powodu zablokowany proces, Sentinel może zacząć zachowywać się w nieoczekiwany sposób.

Tryb pochylenia to specjalny tryb „ochrony”, w którym wartość może wejść, gdy wykryto coś dziwnego, które może obniżyć niezawodność systemu. Przerwanie timera Sentinel jest zwykle nazywane 10 razy na sekundę, więc spodziewamy się, że mniej więcej 100 milisekund padł między dwoma połączeniami z przerwaniem timera.

To, co robi Sentinel, to zarejestrować poprzedni raz, gdy wywołano przerwanie czasu i porównać go z bieżącym połączeniem: jeśli różnica czasu jest ujemna lub nieoczekiwanie duża (2 sekundy lub więcej), wprowadzany jest tryb przechylania (lub jeśli został już wprowadzony do wyjścia z przekładni w trybie pochylenia.

W trybie przechylania wartownik będzie nadal monitorować wszystko, ale:

• W ogóle przestaje działać.
• Zaczyna odpowiadać negatywnie na prośby Sentinel is-master-down-byd-by-addr, ponieważ możliwość wykrycia awarii nie jest już zaufana.

Jeśli wszystko wydaje się normalne przez 30 sekund, tryb pochylenia jest wychodzony.

W trybie Tilt Sentinel, jeśli wyślemy polecenie Info, możemy uzyskać następującą odpowiedź:

$ redis -cli -p 26379 127.0.0.1: 26379> Informacje (inne informacje z Sentinel Server pominęły.) # Sentinel Sentinel_masters: 1 Sentinel_Tilt: 0 Sentinel_Tilt_Since_Seconds: -1 Sentinel_Running_Scripts: 0 Sentinel_scripts_queue_length: 0 Sentinel_Simulate_Failure_flags: 0 Master0: name = MyMaster, Status = OK, adres = 127.0.0.1: 6379, niewolnicy = 0, wartownicy = 1 

Pole „Sentinel_tilt_since_seconds” wskazuje, ile sekund Sentinel jest już w trybie przechyłu. Jeśli nie jest w trybie przechyłu, wartość wyniesie -1.

Zauważ, że w pewnym sensie tryb przechylenia można wymienić za pomocą monotonicznego interfejsu API zegara, które oferuje wiele jądra. Jednak nadal nie jest jasne, czy jest to dobre rozwiązanie, ponieważ obecny system pozwala uniknąć problemów w przypadku, gdy proces został po prostu zawieszony lub nie wykonywany przez harmonogram przez długi czas.

Uwaga na temat słowa niewolnika używanego na tej stronie Man: Począwszy od Redis 5, jeśli nie ze względu na kompatybilność wsteczną, projekt Redis nie używa już słowa niewolnik. Niestety w tym poleceniu słowo niewolnik jest częścią protokołu, więc będziemy w stanie usunąć takie zdarzenia tylko wtedy, gdy ten interfejs API zostanie naturalnie przestarzały.

Na tej stronie

To jest strona internetowa społeczna sponsorowana przez Redis Ltd. © 2023. Redis i logo kostki to zarejestrowane znaki towarowe Redis Ltd. Polityka warunków użytkowania i prywatności.