Аварийное переключение
Аварийное переключение (англ. failover) — передача функциональной нагрузки на резервный компонент компьютерной системы или сети (сервер, сетевое устройство, функциональный модуль и т. п.) в случае сбоя или нарушения функционирования основного компонента той же системы или сети. В общем случае основной и резервный компоненты могут быть как идентичными, так и различными по набору функций. Аварийное переключение, как правило, выполняется автоматически (без вмешательства оператора), но в отдельных случаях система может запрашивать разрешение на переключение.
Аварийное переключение является одним из методов обеспечения отказоустойчивости. Абсолютная (теоретическая) цель аварийного переключения — обеспечить непрерывную доступность функций (например, сетевых сервисов), предоставляемых системой или сетью. На практике это означает снижение вероятности сбоя системы или уменьшение времени, в течение которого система не выполняет требуемые функции.
Механизм аварийного переключения зависит от особенностей конкретной системы. В общем случае автоматизация процесса обеспечивается посредством специального сигнала («пульс», англ. heartbeat), которым регулярно обмениваются основное и резервное устройства.
Использование программной виртуализации позволяет снизить зависимость реализаций аварийного переключения от разнообразия моделей аппаратного обеспечения и оборудования.
Примеры реализаций
Cisco ASA
В межсетевых экранах Cisco ASA аварийное переключение осуществляется между двумя идентичными устройствами, соединёнными специальной линией (канал аварийного переключения, англ. failover link) и, при необходимости, дополнительной линией передачи состояния (канал аварийного переключения с учётом состояния, англ. stateful failover link). Линия передачи состояния предусмотрена для минимизации потерь трафика в момент аварийного переключения: по ней происходит постоянный обмен информацией обо всех установленных сеансах связи. Эта линия может быть как выделенной, так и совмещённой со специальной.
Оба устройства ASA должны быть одной модели, иметь одинаковые номера версий программного обеспечения, количество и тип интерфейсов, а также одинаковый объём оперативной памяти. Объём флеш-памяти может отличаться, но на устройстве с меньшим объёмом памяти её должно было достаточно для размещения системных и конфигурационных файлов[1].
Аварийное переключение инициируется автоматически по результатам анализа работоспособности активного устройства и его интерфейсов. При этом в активном режиме может работать как одно из устройств пары аварийного переключения, так и оба, в зависимости от настроек.
Если только одно из устройств настроено в активном режиме (Active/Standby Failover), весь трафик в нормальных условиях передаётся через него. Второе при этом находится в режиме ожидания, принимая нагрузку только в случае отказа первого.
Если оба устройства настроены в активном режиме (Active/Active Failover), трафик в нормальных условиях обрабатывается двумя устройствами. Использование такого режима требует создания нескольких виртуальных межсетевых экранов — контекстов, эмуляция которых распределяется между физическими устройствами. Это позволяет более гибко управлять балансировкой нагрузки в сети. В случае отказа одного из устройств обработку всего трафика (и эмуляцию всех контекстов) принимает на себя второе.
Режим Active/Active Failover не является средством увеличения производительности устройств, так как каждое из них должно быть способным принять на себя всю сетевую нагрузку. Кроме того, он имеет ряд ограничений: в многоконтекстном режиме не поддерживаются VPN, протоколы динамической маршрутизации и multicast[2].
См. также
Ссылки
- ↑ Configuring Failover / Cisco Security Appliance Command Line Configuration Guide, Version 8.0 // Cisco.com Архивная копия от 28 февраля 2014 на Wayback Machine (англ.)
- ↑ Enabling Multiple Context Mode / Cisco Security Appliance Command Line Configuration Guide, Version 8.0 // Cisco.com Архивная копия от 13 марта 2014 на Wayback Machine (англ.)