Кластерні файлові системи (v 1.01.00 переклад альфа версія)

ІМ'Я

fenced - сервіс захисту вводу/виводу.

ВИКОРИСТАННЯ

   **fenced** [_OPTION_]...

ОПИС

Сервіс захисту, fenced, мусить бути запущений на кожному вузлі, що використовує CLVM чи GFS. Він повинен запускатись одразу після приєднання вузла до кластеру CMAN (fenced використовується тільки з CMAN; і його не використовують з GULM/SLM/RLM.). Вузлу на якому не запущено fenced заборонено монтувати файлову систему GFS.

Всі сервіси захисту запускаються в кластері з групи під назвою "fence domain". Кожний член fence domain, котрий вийшов з ладу захиститься уявним членом домену. Дійсний захист не відбувається, хіба, що кластер має кворум такий, що падіння вузла приводить до втрат кворуму, тоді впавший вузол не захищається поки не відновиться кворум. Якщо впавший вузол, член домену, (належно захищений) приєднується до кластеру дійсна чергова операція захисту відміняється, операція захисту пройде.

Сервіс захисту залежить від CMAN для інформації членства в кластері котрий в свою чергу залежить від CCS для надання інформації через cluster.conf. Сервіс захисту звертається до агенту захисту згідно до інформації у cluster.conf.

Падіння вузла

Коли член домену падає, дійсна операція захисту мусить здійснитись перед початком відновлення GFS. Це означає, що будь-яка затримка в здійсненні захисту призведе до затримки виконання операцій файловою системою GFS, більшість операцій файлової системи буде заблокованим протягом цього періоду.

Коли член домену падає, здійснення операції захисту може затриматись на вказану в конфігурації кількість секунд (post_fail_delay чи -f). Протягом цього часу впавший вузол може приєднатись знов до кластеру ы відмінити свій захист. Час затримки по замовчуванню рівний 0 для мінімізації часу протягом котрого програми, що використовують GFS очікують відновлення. Затримка в -1 заставить сервіс захисту чекати невизначений період поки впавший вузол не приєднається до кластеру.

Запуск домену

Коли домен вперше створюється в кластері (приєднанням до домену першого вузла) і наступного включення (приростом кластерного кворуму) будь-яких вузлів перелічених у cluster.conf, що не є присутніми членами кластеру CMAN захищаються. Статус цих вузлів є невідомий і для забезпечення належної безпеки вони потребують захисту. Захист при старті домену можна відмінити, але це буде дійсно безпечно тільки у випадку, якщо оператор є присутній для визначення, що ні один вузол кластеру не потребує захисту. (Загрозливі вузли, що потребують захисту, є ті котрі мали примонтовану gfs, і не відмонтували її повністю і зараз перебувають або завизші, або від'єднанні від мережі інших вузлів.)

Перший шлях для запобігання зайвому захисту вузлів при старті полягає в перевірці, що кожний вузол приєднався до кластеру перед тим як котрийсь вузол запустить сервіс захисту. Цей шлях трошки складний для автоматизації.

Другий шлях для запобігання зайвому захисту вузлів при старті полягає у використанні post_join_delay параметру (чи опції -j). Це число секунд протягом яких сервіс захисту буде затриманий перед початком здійснення захисту будь-якої жертви після приєднання вузлів до домену. ця затримка дає шанс кожному вузлу, що захищається, приєднатись до кластеру і уберегтися від можливості бути захищеним. Затримка тут в -1 призведе до очікування сервісом невизначеного проміжку часу для приєднання всіх вузлів до кластеру і ні один вузол не буде захищеним протягом запуску домену.

Для відміни захисту при створенні домену, використовують опцію -c для оголошення, що всі вузли є в чистому чи безпечному стані для старту. Опція clean_start в cluster.conf може бути встановлення для такої ж поведінки, але автоматична відміна захисту в cluster.conf приводить до ризику пошкодити файлову систему.

Запобігання від зайвого захисту при старті переважно використовують коли вузли є захищені by power cycling. Якщо вузли є захищені відключенням їх доступу SAN, тоді відміна захисту вузлів зазвичай менш руйнівна.

ФАЙЛ НАЛАШТУВАНЬ

Поведінка сервісу захисту контролюється відповідними опціями у файлі cluster.conf в розділі . Дивіться вище для пояснення значень змінних. Затримка вимірюється секундами; -1 секунда означає необмежений час затримки. Вказані значення є по замовчуванню.

Затримка після приєднання вузла до домену є кількість секунд протягом котрих сервіс буде чекати перед захистом жертв.

        <fence_daemon post_join_delay="3">
        </fence_daemon>

Затримка після падіння члену домену в секундах протягом котрої сервіс очікує перед здійсненням захисту будь-якої жертви

        <fence_daemon post_fail_delay="0">
        </fence_daemon>

Запобігання від зайвого захисту при старті використовують для заборони здійснення захисту сервісом при старті. Вона вказує сервісу, що всі вузли є в чистому стані для старту.

        <fence_daemon clean_start="0">
        </fence_daemon>

ОПЦІЇ

Опції командного рядка змінюють відповідні значення вказані в файлі налаштувань cluster.conf

-j secs : Затримка після старту

-f secs : Затримка після виявлення падіння вузла

-c : Всі вузли при старті вважати в чистому стані.

-D : Включає відлагоджувальний режим і не переходить у фоновий режим

-n name : Ім'я домену захисту по замовчуванню "default".

-V : Видруковує інформацію про версію та припиняє роботу.

-h : Видруковує довідкову інформацію про допустимі опції і припиняє роботу.

ДИВІТЬСЯ ТАКОЖ

gfs(8), fence(8).