Ya hemos hablado anteriormente del Database Mirroring en SQL Server, tanto para SQL Server 2005 como para SQL Server 2008. En esta ocasión, vamos a hacer una reflexión sobre el funcionamiento de Database Mirroring en modo de Alta Disponibilidad, es decir, utilizando un árbitro (Witness), y centrándonos en el caso de una arquitectura formado por dos CPDs geográficamente separados.
El hecho de disponer de CPDs geográficamente separados, nos va a permitir utilizar un Cluster Geográfico, y sobre el mismo montar SQL Server. En este escenario, cada Disco Compartido del Cluster, no se trata de un único Disco, sino que por el contrario, se trata de dos Discos (uno en cada CPD) utilizando algún sistema de replicación síncrona o asíncrona. El hecho de conmutar un Nodo de una Cluster Geográfico, evidentemente, implica cambiar el sentido de las réplicas.
Sin entrar en mayor detalle sobre los Cluster Geográficos, podemos aventurar que se trata de una solución costosa, por los requisitos de almacenamiento que tiene. Pero además, algunos productos que utilizan SQL Server, no soportan que SQL Server se ejecute en Cluster (ej: SMS 2003, si mal no recuerdo), y otros productos no soportan que SQL Server se ejecute en un Cluster Geográfico (ej: MOSS 2007). Esto evidencia, que en ocasiones, es necesario recurrir a alternativas para dotar de Alta Disponibilidad a SQL Server, que no pasen por Microsoft Cluster. Y justo este, es uno de los escenarios, en que Database Mirroring se presenta con un buen candidato a evaluar.
Vale. Nos han convencido, y hemos montando dos máquinas con SQL Server, una en cada CPD, y hemos configurado Database Mirroring para sus bases de datos de usuario. Además, hemos configurado una instancia de SQL Server para actuar como árbitro (Witness). Aquí surge la duda ¿dónde montamos el Witness del Database Mirroring?
Lo primero, tener claro que es suficiente con una instancia SQL Express, o cualquier otra instancia de SQL Server. Pero claro, si tenemos dos CPDs geográficamente separados, el tema está en elegir el CPD que deseamos.
Aquí nos interesa hablar del concepto de Quorum en Database Mirroring. Para que las bases de datos estén levantadas y dando servicio, es necesario que se forme Quorum. Para formar Quorum, cada uno de los dos servidores SQL de cada CPD, cuenta un voto, y el Witness cuenta un tercer voto, de tal modo, que habrá Quorum si más de la mitad de los servidores están levantados. Como el máximo número de votos son 3, el servicio de base de datos se prestará sólo y cuando estén levantados y comunicándose entre sí al menos dos instancias.
Aclaro el tema del Quorum, parece que lo más razonable sea montar el Witness en el CPD en que se ejecute habitualmente el servidor Principal de Mirroring (recordemos que uno actúa como Principal y el otro como Mirror).
Llegados a este punto, una vez que hemos creado nuestro entorno y antes de pasarlo a producción, deberemos realizar nuestras pruebas para validarlo (como siempre hacemos todos, ¿verdad? ;-). Así, planificamos las siguientes pruebas:
Prueba 1: Parar el Witness y el Mirror. Sinceramente, no tiene ningún sentido, desde el punto de vista, de que es francamente complicado que ocurra. Sin embargo, didácticamente es bastante interesante. Así, realizamos la prueba, y obtenemos las siguientes conclusiones:
- ¿Hay servicio? NO, se quedan las BBDD suspendidas, ya que no se llegar a formar Quorum (falta un voto)
- ¿Se puede cambiar el Witness para conseguir Quorum? NO, ni se puede cambiar, ni se puede quitar. Si tuviésemos todas las máquinas levantadas, pues sí, pero a toro pasao, no hay donde rascar.
- ¿Se puede Romper el Mirror y Re-hacerlo sin Backup/Restore? Si se puede. En las pruebas realizadas, puedes romper el Mirror (ALTER DATABASE WSS_GuilleSQL SET WITNESS OFF), y posteriormente cuando se recupere el servicio en el resto de servidores SQL, rehacer el Mirror, sin necesidad de hacer Backup y Restore.
Prueba 2: Parar el Witness y el Principal. Esta prueba es bastante interesante, ya que esta situación se podría producir si se perdiese el CPD en el que está el servidor Principal y el Witness (ej: va el CPD y arde como Roma).
- ¿Hay servicio? NO, se quedan las BBDD suspendidas en el servidor de Mirror.
- ¿Se la puede cambiar el Witness? NO, ni se puede cambiar, ni se puede quitar.
- ¿Se puede Romper el Mirror y Re-hacerlo sin Backup/Restore? => NO se puede. Es posible Romper el Mirror, pero para re-hacerlo, es necesario Backup/Restore, que en función del tamaño y la velocidad de copia del entorno, pues podría ser de varias horas (ojo, que mientras se podría dar servicio).
Claro, esto a priori, puede parecer molesto, pero no, es el funcionamiento lógico y normal, pero es más, se trata del funcionamiento esperado.
Vamos a ver, si se quema el CPD, rompemos el Mirror, que nos da igual, y ya crearemos el Mirror otro día cuando tengamos máquina donde hacerlo, pero mientras, ofrecemos el servicio. ¿OK? Evidentemente, debe actuar un Administrador, ya que en el visor de sucesos del sistema no se registra ningún evento del tipo “The CPD A is like a Barbacoa”. Pues no, no se registra tal evento.
Sin embargo, si no se quema el CPD, lo lógico es que pueda haberse producido un corte en las comunicaciones entre ambos CPDs (difícil, ya que lo lógico es que estén unidos por múltiples fibras o proveedores de comunicaciones, pero no tentemos). En este caso, el funcionamiento aquí descrito, intenta evitar el Síndrome del Cerebro Partido (Split Brain), de la siguiente forma:
- En el CPD principal, se llega a formar Quorum, por la presencia del servidor Principal y el Witness. En consecuencia, aquí se levantan las bases de datos y se ofrece el servicio.
- En el CPD espejo, no se llega a formar Quorum.
Así, todos los servidores han conseguido ponerse de acuerdo en cómo actuar, aún sin que puedan comunicarse entre sí.
Una posibilidad, es sacar el Witness a un tercer CPD, para en el caso del apagado de un CPD, conseguir mantener el servicio. Otra posibilidad, es que el Witness sea una Instancia de SQL Server en un Cluster geográfico (no pondría la mano en el fuego de si está o no soportado, aunque imagino que sí.
Y poco más, hasta aquí llegan mis reflexiones de hoy.
