- Văn bản
- Lịch sử
Recall the vocabulary for availabil
Recall the vocabulary for availability from Chapter 4. A failure occurs when the system no longer delivers a service that is consistent with
its specification; this failure is observable by the system's users. A fault (or combination of faults) has the potential to cause a failure.
Recall also that recovery or repair is an important aspect of availability. The tactics we discuss in this section will keep faults from
becoming failures or at least bound the effects of the fault and make repair possible. We illustrate this in Figure 5.2.
Figure 5.2. Goal of availability tactics
Many of the tactics we discuss are available within standard execution environments such as operating systems, application servers, and
database management systems. It is still important to understand the tactics used so that the effects of using a particular one can be
considered during design and evaluation. All approaches to maintaining availability involve some type of redundancy, some type of health
monitoring to detect a failure, and some type of recovery when a failure is detected. In some cases, the monitoring or recovery is
automatic and in others it is manual.
We first consider fault detection. We then consider fault recovery and finally, briefly, fault prevention.
FAULT DETECTION
Three widely used tactics for recognizing faults are ping/echo, heartbeat, and exceptions.
Ping/echo. One component issues a ping and expects to receive back an echo, within a predefined time, from the component
under scrutiny. This can be used within a group of components mutually responsible for one task. It can also used be used by
clients to ensure that a server object and the communication path to the server are operating within the expected performance
bounds. "Ping/echo" fault detectors can be organized in a hierarchy, in which a lowest-level detector pings the software
processes with which it shares a processor, and the higher-level fault detectors ping lower-level ones. This uses less
communications bandwidth than a remote fault detector that pings all processes.
Heartbeat (dead man timer). In this case one component emits a heartbeat message periodically and another component
listens for it. If the heartbeat fails, the originating component is assumed to have failed and a fault correction component is
notified. The heartbeat can also carry data. For example, an automated teller machine can periodically send the log of the last
transaction to a server. This message not only acts as a heartbeat but also carries data to be processed.
Exceptions. One method for recognizing faults is to encounter an exception, which is raised when one of the fault classes we
discussed in Chapter 4 is recognized. The exception handler typically executes in the same process that introduced the
exception.
The ping/echo and heartbeat tactics operate among distinct processes, and the exception tactic operates within a single process. The
exception handler will usually perform a semantic transformation of the fault into a form that can be processed.
This document was created by an unregistered ChmMagic, please go to http://www.bisenter.com to register it. Thanks .
FAULT RECOVERY
Fault recovery consists of preparing for recovery and making the system repair. Some preparation and repair tactics follow.
Voting. Processes running on redundant processors each take equivalent input and compute a simple output value that is sent
to a voter. If the voter detects deviant behavior from a single processor, it fails it. The voting algorithm can be "majority rules" or
"preferred component" or some other algorithm. This method is used to correct faulty operation of algorithms or failure of a
processor and is often used in control systems. If all of the processors utilize the same algorithms, the redundancy detects only
a processor fault and not an algorithm fault. Thus, if the consequence of a failure is extreme, such as potential loss of life, the
redundant components can be diverse.
One extreme of diversity is that the software for each redundant component is developed by different teams and executes on
dissimilar platforms. Less extreme is to develop a single software component on dissimilar platforms. Diversity is expensive to
develop and maintain and is used only in exceptional circumstances, such as the control of surfaces on aircraft. It is usually
used for control systems in which the outputs to the voter are straightforward and easy to classify as equivalent or deviant, the
computations are cyclic, and all redundant components receive equivalent inputs from sensors. Diversity has no downtime
when a failure occurs since the voter continues to operate. Variations on this approach include the Simplex approach, which
uses the results of a "preferred" component unless they deviate from those of a "trusted" component, to which it defers.
Synchronization among the redundant components is automatic since they are all assumed to be computing on the same set
of inputs in parallel.
Active redundancy (hot restart). All redundant components respond to events in parallel. Consequently, they are all in the same
state. The response from only one component is used (usually the first to respond), and the rest are discarded. When a fault
occurs, the downtime of systems using this tactic is usually milliseconds since the backup is current and the only time to
recover is the switching time. Active redundancy is often used in a client/server configuration, such as database management
systems, where quick responses are necessary even when a fault occurs. In a highly available distributed system, the
redundancy may be in the communication paths. For example, it may be desirable to use a LAN with a number of parallel paths
and place each redundant component in a separate path. In this case, a single bridge or path failure will not make all of the
system's components unavailable.
Synchronization is performed by ensuring that all messages to any redundant component are sent to all redundant
components. If communication has a possibility of being lost (because of noisy or overloaded communication lines), a reliable
transmission protocol can be used to recover. A reliable transmission protocol requires all recipients to acknowledge receipt
together with some integrity indication such as a checksum. If the sender cannot verify that all recipients have received the
message, it will resend the message to those components not acknowledging receipt. The resending of unreceived messages
(possibly over different communication paths) continues until the sender marks the recipient as out of service.
Passive redundancy (warm restart/dual redundancy/triple redundancy). One component (the primary) responds to events and
informs the other components (the standbys) of state updates they must make. When a fault occurs, the system must first
ensure that the backup state is sufficiently fresh before resuming services. This approach is also used in control systems, often
when the inputs come over communication channels or from sensors and have to be switched from the primary to the backup
on failure. Chapter 6, describing an air traffic control example, shows a system using it. In the air traffic control system, the
secondary decides when to take over from the primary, but in other systems this decision can be done in other components.
This tactic depends on the standby components taking over reliably. Forcing switchovers periodically—for example, once a day
or once a week—increases the availability of the system. Some database systems force a switch with storage of every new
data item. The new data item is stored in a shadow page and the old page becomes a backup for recovery. In this case, the
downtime can usually be limited to seconds.
Synchronization is the responsibility of the primary component, which may use atomic broadcasts to the secondaries to
guarantee synchronization.
Spare. A standby spare computing platform is configured to replace many different failed components. It must be rebooted to
the appropriate software configuration and have its state initialized when a failure occurs. Making a checkpoint of the system
state to a persistent device periodically and logging all state changes to a persistent device allows for the spare to be set to the
appropriate state. This is often used as the standby client workstation, where the user can move when a failure occurs. The
downtime for this tactic is usually minutes.
There are tactics for repair that rely on component reintroduction. When a redundant component fails, it may be reintroduced
This document was created by an unregistered ChmMagic, please go to http://www.bisenter.com to register it. Thanks .
after it has been corrected. Such tactics are shadow operation, state resynchronization, and rollback.
Shadow operation. A previously failed component may be run in "shadow mode" for a short time to make sure that it mimics the
behavior of the working components before restoring it to service.
State resynchronization. The passive and active redundancy tactics require the component being restored to have its state
upgraded before its return to service. The updating approach will depend on the downtime that can be sustained, the size of
the update, and the number of messages required for the update. A single message containing the state is preferable, if
possible. Incremental state upgrades, with periods of service between increments, lead to complicated software.
Checkpoint/rollback. A checkpoint is a recording of a consistent state created either periodically or in response to specific
events. Sometimes a system fails in an unusual manner, with a detectably inconsistent state. In this case, the system should be
restored using a previous checkpoint of a consistent state and a log of the transactions that occurred since the snapsh
its specification; this failure is observable by the system's users. A fault (or combination of faults) has the potential to cause a failure.
Recall also that recovery or repair is an important aspect of availability. The tactics we discuss in this section will keep faults from
becoming failures or at least bound the effects of the fault and make repair possible. We illustrate this in Figure 5.2.
Figure 5.2. Goal of availability tactics
Many of the tactics we discuss are available within standard execution environments such as operating systems, application servers, and
database management systems. It is still important to understand the tactics used so that the effects of using a particular one can be
considered during design and evaluation. All approaches to maintaining availability involve some type of redundancy, some type of health
monitoring to detect a failure, and some type of recovery when a failure is detected. In some cases, the monitoring or recovery is
automatic and in others it is manual.
We first consider fault detection. We then consider fault recovery and finally, briefly, fault prevention.
FAULT DETECTION
Three widely used tactics for recognizing faults are ping/echo, heartbeat, and exceptions.
Ping/echo. One component issues a ping and expects to receive back an echo, within a predefined time, from the component
under scrutiny. This can be used within a group of components mutually responsible for one task. It can also used be used by
clients to ensure that a server object and the communication path to the server are operating within the expected performance
bounds. "Ping/echo" fault detectors can be organized in a hierarchy, in which a lowest-level detector pings the software
processes with which it shares a processor, and the higher-level fault detectors ping lower-level ones. This uses less
communications bandwidth than a remote fault detector that pings all processes.
Heartbeat (dead man timer). In this case one component emits a heartbeat message periodically and another component
listens for it. If the heartbeat fails, the originating component is assumed to have failed and a fault correction component is
notified. The heartbeat can also carry data. For example, an automated teller machine can periodically send the log of the last
transaction to a server. This message not only acts as a heartbeat but also carries data to be processed.
Exceptions. One method for recognizing faults is to encounter an exception, which is raised when one of the fault classes we
discussed in Chapter 4 is recognized. The exception handler typically executes in the same process that introduced the
exception.
The ping/echo and heartbeat tactics operate among distinct processes, and the exception tactic operates within a single process. The
exception handler will usually perform a semantic transformation of the fault into a form that can be processed.
This document was created by an unregistered ChmMagic, please go to http://www.bisenter.com to register it. Thanks .
FAULT RECOVERY
Fault recovery consists of preparing for recovery and making the system repair. Some preparation and repair tactics follow.
Voting. Processes running on redundant processors each take equivalent input and compute a simple output value that is sent
to a voter. If the voter detects deviant behavior from a single processor, it fails it. The voting algorithm can be "majority rules" or
"preferred component" or some other algorithm. This method is used to correct faulty operation of algorithms or failure of a
processor and is often used in control systems. If all of the processors utilize the same algorithms, the redundancy detects only
a processor fault and not an algorithm fault. Thus, if the consequence of a failure is extreme, such as potential loss of life, the
redundant components can be diverse.
One extreme of diversity is that the software for each redundant component is developed by different teams and executes on
dissimilar platforms. Less extreme is to develop a single software component on dissimilar platforms. Diversity is expensive to
develop and maintain and is used only in exceptional circumstances, such as the control of surfaces on aircraft. It is usually
used for control systems in which the outputs to the voter are straightforward and easy to classify as equivalent or deviant, the
computations are cyclic, and all redundant components receive equivalent inputs from sensors. Diversity has no downtime
when a failure occurs since the voter continues to operate. Variations on this approach include the Simplex approach, which
uses the results of a "preferred" component unless they deviate from those of a "trusted" component, to which it defers.
Synchronization among the redundant components is automatic since they are all assumed to be computing on the same set
of inputs in parallel.
Active redundancy (hot restart). All redundant components respond to events in parallel. Consequently, they are all in the same
state. The response from only one component is used (usually the first to respond), and the rest are discarded. When a fault
occurs, the downtime of systems using this tactic is usually milliseconds since the backup is current and the only time to
recover is the switching time. Active redundancy is often used in a client/server configuration, such as database management
systems, where quick responses are necessary even when a fault occurs. In a highly available distributed system, the
redundancy may be in the communication paths. For example, it may be desirable to use a LAN with a number of parallel paths
and place each redundant component in a separate path. In this case, a single bridge or path failure will not make all of the
system's components unavailable.
Synchronization is performed by ensuring that all messages to any redundant component are sent to all redundant
components. If communication has a possibility of being lost (because of noisy or overloaded communication lines), a reliable
transmission protocol can be used to recover. A reliable transmission protocol requires all recipients to acknowledge receipt
together with some integrity indication such as a checksum. If the sender cannot verify that all recipients have received the
message, it will resend the message to those components not acknowledging receipt. The resending of unreceived messages
(possibly over different communication paths) continues until the sender marks the recipient as out of service.
Passive redundancy (warm restart/dual redundancy/triple redundancy). One component (the primary) responds to events and
informs the other components (the standbys) of state updates they must make. When a fault occurs, the system must first
ensure that the backup state is sufficiently fresh before resuming services. This approach is also used in control systems, often
when the inputs come over communication channels or from sensors and have to be switched from the primary to the backup
on failure. Chapter 6, describing an air traffic control example, shows a system using it. In the air traffic control system, the
secondary decides when to take over from the primary, but in other systems this decision can be done in other components.
This tactic depends on the standby components taking over reliably. Forcing switchovers periodically—for example, once a day
or once a week—increases the availability of the system. Some database systems force a switch with storage of every new
data item. The new data item is stored in a shadow page and the old page becomes a backup for recovery. In this case, the
downtime can usually be limited to seconds.
Synchronization is the responsibility of the primary component, which may use atomic broadcasts to the secondaries to
guarantee synchronization.
Spare. A standby spare computing platform is configured to replace many different failed components. It must be rebooted to
the appropriate software configuration and have its state initialized when a failure occurs. Making a checkpoint of the system
state to a persistent device periodically and logging all state changes to a persistent device allows for the spare to be set to the
appropriate state. This is often used as the standby client workstation, where the user can move when a failure occurs. The
downtime for this tactic is usually minutes.
There are tactics for repair that rely on component reintroduction. When a redundant component fails, it may be reintroduced
This document was created by an unregistered ChmMagic, please go to http://www.bisenter.com to register it. Thanks .
after it has been corrected. Such tactics are shadow operation, state resynchronization, and rollback.
Shadow operation. A previously failed component may be run in "shadow mode" for a short time to make sure that it mimics the
behavior of the working components before restoring it to service.
State resynchronization. The passive and active redundancy tactics require the component being restored to have its state
upgraded before its return to service. The updating approach will depend on the downtime that can be sustained, the size of
the update, and the number of messages required for the update. A single message containing the state is preferable, if
possible. Incremental state upgrades, with periods of service between increments, lead to complicated software.
Checkpoint/rollback. A checkpoint is a recording of a consistent state created either periodically or in response to specific
events. Sometimes a system fails in an unusual manner, with a detectably inconsistent state. In this case, the system should be
restored using a previous checkpoint of a consistent state and a log of the transactions that occurred since the snapsh
0/5000
Nhớ lại từ vựng cho sẵn có từ chương 4. Một lỗi xảy ra khi hệ thống không còn cung cấp một dịch vụ mà là phù hợp vớiđặc điểm kỹ thuật của nó; sự thất bại này là quan sát bởi người dùng của hệ thống. Một lỗi (hoặc sự kết hợp của lỗi) có khả năng gây ra một sự thất bại. Cũng nhớ lại rằng phục hồi hoặc sửa chữa là một khía cạnh quan trọng của tình trạng sẵn có. Chiến thuật chúng tôi thảo luận trong phần này sẽ giữ cho lỗi từ trở thành thất bại hoặc ít ràng buộc những ảnh hưởng của lỗi và làm cho sửa chữa có thể. Chúng tôi minh họa điều này trong con số 5.2.Con số 5,2. Mục tiêu của chiến thuật sẵn cóNhiều người trong số các chiến thuật chúng tôi thảo luận có sẵn trong thực hiện tiêu chuẩn môi trường như hệ điều hành, máy chủ ứng dụng, và Các hệ thống quản lý cơ sở dữ liệu. Đó là vẫn còn quan trọng để hiểu những chiến thuật được sử dụng để tác dụng của việc sử dụng một cụ thể có thể coi trong thiết kế và đánh giá. Tất cả các phương pháp tiếp cận để duy trì tình trạng sẵn có liên quan đến một số loại dự phòng, một số loại của sức khỏe Giám sát để phát hiện một sự thất bại, và một số loại phục hồi khi lỗi được phát hiện. Trong một số trường hợp, giám sát hoặc phục hồi là tự động và trong những người khác nó là hướng dẫn sử dụng.Chúng tôi đầu tiên xem xét phát hiện lỗi. Chúng tôi sau đó xem xét việc phục hồi lỗi và cuối cùng, một thời gian ngắn, lỗi công tác phòng chống.PHÁT HIỆN LỖIBa chiến thuật được sử dụng rộng rãi cho công nhận lỗi là ping/echo, nhịp tim, và trường hợp ngoại lệ.Ping/echo. Một thành phần vấn đề một ping và hy vọng sẽ nhận được trở lại một echo, trong một thời gian được xác định trước, từ các thành phầnunder scrutiny. This can be used within a group of components mutually responsible for one task. It can also used be used by clients to ensure that a server object and the communication path to the server are operating within the expected performance bounds. "Ping/echo" fault detectors can be organized in a hierarchy, in which a lowest-level detector pings the software processes with which it shares a processor, and the higher-level fault detectors ping lower-level ones. This uses less communications bandwidth than a remote fault detector that pings all processes.Heartbeat (dead man timer). In this case one component emits a heartbeat message periodically and another componentlistens for it. If the heartbeat fails, the originating component is assumed to have failed and a fault correction component is notified. The heartbeat can also carry data. For example, an automated teller machine can periodically send the log of the last transaction to a server. This message not only acts as a heartbeat but also carries data to be processed.Exceptions. One method for recognizing faults is to encounter an exception, which is raised when one of the fault classes wediscussed in Chapter 4 is recognized. The exception handler typically executes in the same process that introduced the exception.The ping/echo and heartbeat tactics operate among distinct processes, and the exception tactic operates within a single process. The exception handler will usually perform a semantic transformation of the fault into a form that can be processed.This document was created by an unregistered ChmMagic, please go to http://www.bisenter.com to register it. Thanks .FAULT RECOVERYFault recovery consists of preparing for recovery and making the system repair. Some preparation and repair tactics follow.Voting. Processes running on redundant processors each take equivalent input and compute a simple output value that is sentto a voter. If the voter detects deviant behavior from a single processor, it fails it. The voting algorithm can be "majority rules" or "preferred component" or some other algorithm. This method is used to correct faulty operation of algorithms or failure of a processor and is often used in control systems. If all of the processors utilize the same algorithms, the redundancy detects only a processor fault and not an algorithm fault. Thus, if the consequence of a failure is extreme, such as potential loss of life, the redundant components can be diverse.One extreme of diversity is that the software for each redundant component is developed by different teams and executes on dissimilar platforms. Less extreme is to develop a single software component on dissimilar platforms. Diversity is expensive to develop and maintain and is used only in exceptional circumstances, such as the control of surfaces on aircraft. It is usually
used for control systems in which the outputs to the voter are straightforward and easy to classify as equivalent or deviant, the
computations are cyclic, and all redundant components receive equivalent inputs from sensors. Diversity has no downtime
when a failure occurs since the voter continues to operate. Variations on this approach include the Simplex approach, which
uses the results of a "preferred" component unless they deviate from those of a "trusted" component, to which it defers.
Synchronization among the redundant components is automatic since they are all assumed to be computing on the same set
of inputs in parallel.
Active redundancy (hot restart). All redundant components respond to events in parallel. Consequently, they are all in the same
state. The response from only one component is used (usually the first to respond), and the rest are discarded. When a fault
occurs, the downtime of systems using this tactic is usually milliseconds since the backup is current and the only time to
recover is the switching time. Active redundancy is often used in a client/server configuration, such as database management
systems, where quick responses are necessary even when a fault occurs. In a highly available distributed system, the
redundancy may be in the communication paths. For example, it may be desirable to use a LAN with a number of parallel paths
and place each redundant component in a separate path. In this case, a single bridge or path failure will not make all of the
system's components unavailable.
Synchronization is performed by ensuring that all messages to any redundant component are sent to all redundant
components. If communication has a possibility of being lost (because of noisy or overloaded communication lines), a reliable
transmission protocol can be used to recover. A reliable transmission protocol requires all recipients to acknowledge receipt
together with some integrity indication such as a checksum. If the sender cannot verify that all recipients have received the
message, it will resend the message to those components not acknowledging receipt. The resending of unreceived messages
(possibly over different communication paths) continues until the sender marks the recipient as out of service.
Passive redundancy (warm restart/dual redundancy/triple redundancy). One component (the primary) responds to events and
informs the other components (the standbys) of state updates they must make. When a fault occurs, the system must first
ensure that the backup state is sufficiently fresh before resuming services. This approach is also used in control systems, often
when the inputs come over communication channels or from sensors and have to be switched from the primary to the backup
on failure. Chapter 6, describing an air traffic control example, shows a system using it. In the air traffic control system, the
secondary decides when to take over from the primary, but in other systems this decision can be done in other components.
This tactic depends on the standby components taking over reliably. Forcing switchovers periodically—for example, once a day
or once a week—increases the availability of the system. Some database systems force a switch with storage of every new
data item. The new data item is stored in a shadow page and the old page becomes a backup for recovery. In this case, the
downtime can usually be limited to seconds.
Synchronization is the responsibility of the primary component, which may use atomic broadcasts to the secondaries to
guarantee synchronization.
Spare. A standby spare computing platform is configured to replace many different failed components. It must be rebooted to
the appropriate software configuration and have its state initialized when a failure occurs. Making a checkpoint of the system
state to a persistent device periodically and logging all state changes to a persistent device allows for the spare to be set to the
appropriate state. This is often used as the standby client workstation, where the user can move when a failure occurs. The
downtime for this tactic is usually minutes.
There are tactics for repair that rely on component reintroduction. When a redundant component fails, it may be reintroduced
This document was created by an unregistered ChmMagic, please go to http://www.bisenter.com to register it. Thanks .
after it has been corrected. Such tactics are shadow operation, state resynchronization, and rollback.
Shadow operation. A previously failed component may be run in "shadow mode" for a short time to make sure that it mimics the
behavior of the working components before restoring it to service.
State resynchronization. The passive and active redundancy tactics require the component being restored to have its state
upgraded before its return to service. The updating approach will depend on the downtime that can be sustained, the size of
the update, and the number of messages required for the update. A single message containing the state is preferable, if
possible. Incremental state upgrades, with periods of service between increments, lead to complicated software.
Checkpoint/rollback. A checkpoint is a recording of a consistent state created either periodically or in response to specific
events. Sometimes a system fails in an unusual manner, with a detectably inconsistent state. In this case, the system should be
restored using a previous checkpoint of a consistent state and a log of the transactions that occurred since the snapsh
used for control systems in which the outputs to the voter are straightforward and easy to classify as equivalent or deviant, the
computations are cyclic, and all redundant components receive equivalent inputs from sensors. Diversity has no downtime
when a failure occurs since the voter continues to operate. Variations on this approach include the Simplex approach, which
uses the results of a "preferred" component unless they deviate from those of a "trusted" component, to which it defers.
Synchronization among the redundant components is automatic since they are all assumed to be computing on the same set
of inputs in parallel.
Active redundancy (hot restart). All redundant components respond to events in parallel. Consequently, they are all in the same
state. The response from only one component is used (usually the first to respond), and the rest are discarded. When a fault
occurs, the downtime of systems using this tactic is usually milliseconds since the backup is current and the only time to
recover is the switching time. Active redundancy is often used in a client/server configuration, such as database management
systems, where quick responses are necessary even when a fault occurs. In a highly available distributed system, the
redundancy may be in the communication paths. For example, it may be desirable to use a LAN with a number of parallel paths
and place each redundant component in a separate path. In this case, a single bridge or path failure will not make all of the
system's components unavailable.
Synchronization is performed by ensuring that all messages to any redundant component are sent to all redundant
components. If communication has a possibility of being lost (because of noisy or overloaded communication lines), a reliable
transmission protocol can be used to recover. A reliable transmission protocol requires all recipients to acknowledge receipt
together with some integrity indication such as a checksum. If the sender cannot verify that all recipients have received the
message, it will resend the message to those components not acknowledging receipt. The resending of unreceived messages
(possibly over different communication paths) continues until the sender marks the recipient as out of service.
Passive redundancy (warm restart/dual redundancy/triple redundancy). One component (the primary) responds to events and
informs the other components (the standbys) of state updates they must make. When a fault occurs, the system must first
ensure that the backup state is sufficiently fresh before resuming services. This approach is also used in control systems, often
when the inputs come over communication channels or from sensors and have to be switched from the primary to the backup
on failure. Chapter 6, describing an air traffic control example, shows a system using it. In the air traffic control system, the
secondary decides when to take over from the primary, but in other systems this decision can be done in other components.
This tactic depends on the standby components taking over reliably. Forcing switchovers periodically—for example, once a day
or once a week—increases the availability of the system. Some database systems force a switch with storage of every new
data item. The new data item is stored in a shadow page and the old page becomes a backup for recovery. In this case, the
downtime can usually be limited to seconds.
Synchronization is the responsibility of the primary component, which may use atomic broadcasts to the secondaries to
guarantee synchronization.
Spare. A standby spare computing platform is configured to replace many different failed components. It must be rebooted to
the appropriate software configuration and have its state initialized when a failure occurs. Making a checkpoint of the system
state to a persistent device periodically and logging all state changes to a persistent device allows for the spare to be set to the
appropriate state. This is often used as the standby client workstation, where the user can move when a failure occurs. The
downtime for this tactic is usually minutes.
There are tactics for repair that rely on component reintroduction. When a redundant component fails, it may be reintroduced
This document was created by an unregistered ChmMagic, please go to http://www.bisenter.com to register it. Thanks .
after it has been corrected. Such tactics are shadow operation, state resynchronization, and rollback.
Shadow operation. A previously failed component may be run in "shadow mode" for a short time to make sure that it mimics the
behavior of the working components before restoring it to service.
State resynchronization. The passive and active redundancy tactics require the component being restored to have its state
upgraded before its return to service. The updating approach will depend on the downtime that can be sustained, the size of
the update, and the number of messages required for the update. A single message containing the state is preferable, if
possible. Incremental state upgrades, with periods of service between increments, lead to complicated software.
Checkpoint/rollback. A checkpoint is a recording of a consistent state created either periodically or in response to specific
events. Sometimes a system fails in an unusual manner, with a detectably inconsistent state. In this case, the system should be
restored using a previous checkpoint of a consistent state and a log of the transactions that occurred since the snapsh
đang được dịch, vui lòng đợi..
Nhớ lại những từ vựng cho sẵn từ Chương 4. Một thất bại xảy ra khi hệ thống không còn cung cấp một dịch vụ cho phù hợp với đặc điểm kỹ thuật của nó; sự thất bại này là quan sát bởi người sử dụng của hệ thống. Một lỗi (hoặc kết hợp các lỗi) có khả năng gây ra một sự thất bại. Nhớ lại cũng phục hồi, sửa chữa là một khía cạnh quan trọng của tính sẵn sàng. Các chiến thuật chúng tôi thảo luận trong phần này sẽ giữ cho lỗi từ trở thành thất bại hoặc ít nhất là ràng buộc những ảnh hưởng của các lỗi và làm cho sửa chữa tốt. Chúng tôi chứng minh điều này trong hình 5.2. Hình 5.2. Mục tiêu của chiến thuật sẵn có Nhiều người trong số các chiến thuật, chúng tôi thảo luận có sẵn trong môi trường thực hiện tiêu chuẩn như hệ điều hành, máy chủ ứng dụng, và các hệ thống quản lý cơ sở dữ liệu. Nó vẫn là quan trọng để hiểu được chiến thuật được sử dụng để các hiệu ứng của việc sử dụng một cụ thể có thể được xem xét trong thiết kế và đánh giá. Tất cả các phương pháp để duy trì tính sẵn sàng liên quan đến một số loại dư thừa, một số loại hình y tế giám sát để phát hiện một sự thất bại, và một số loại phục hồi khi có sự cố. Trong một số trường hợp, giám sát hoặc phục hồi là tự động và trong những người khác nó là thủ công. Chúng tôi xem xét đầu tiên phát hiện lỗi. Sau đó chúng tôi xem xét phục hồi lỗi và cuối cùng, một thời gian ngắn, lỗi phòng. LỖI PHÁT HIỆN chiến thuật Ba sử dụng rộng rãi cho những lỗi nhận được ping / echo, nhịp tim, và trường hợp ngoại lệ. Ping / echo. Một phần vấn đề một ping và hy vọng sẽ nhận lại một tiếng vang, trong một thời gian định sẵn, từ các thành phần được nghiên cứu kỹ. Điều này có thể được sử dụng trong một nhóm các thành phần chịu trách nhiệm lẫn nhau đối với một nhiệm vụ. Nó cũng có thể được sử dụng được sử dụng bởi khách hàng để đảm bảo rằng một đối tượng máy chủ và đường truyền đến máy chủ đang hoạt động trong các hoạt động mong muốn giới hạn. "Ping / echo" dò lỗi có thể được tổ chức theo một hệ thống phân cấp, trong đó một mức độ thấp nhất ping dò phần mềm quy trình mà nó chia sẻ một bộ xử lý, và các cấp cao hơn các máy dò lỗi ping những cấp thấp hơn. Này sử dụng ít băng thông truyền thông hơn so với một máy dò lỗi từ xa mà ping tất cả các quy trình. Heartbeat (timer người đàn ông đã chết). Trong trường hợp này một phần phát ra một thông báo nhịp tim định kỳ và các thành phần khác lắng nghe cho nó. Nếu nhịp tim không thành, các thành phần có nguồn gốc được giả định đã thất bại và một thành phần sửa lỗi được thông báo. Nhịp tim cũng có thể mang dữ liệu. Ví dụ, một máy rút tiền tự động định kỳ có thể đăng nhập gửi của người cuối cùng giao dịch với một máy chủ. Thông điệp này không chỉ đóng vai trò như một nhịp tim mà còn mang dữ liệu được xử lý. Trường hợp ngoại lệ. Một phương pháp để nhận biết lỗi là gặp phải một ngoại lệ, được nâng lên khi một trong các lớp lỗi chúng ta đã thảo luận trong chương 4 được công nhận. Việc xử lý ngoại lệ thường thực hiện trong cùng một quá trình mà giới thiệu các trường hợp ngoại lệ. Các chiến thuật ping / echo và nhịp tim hoạt động giữa các quá trình khác biệt, và các chiến thuật ngoại lệ hoạt động trong một quá trình duy nhất. Việc xử lý ngoại lệ thường sẽ thực hiện một chuyển đổi ngữ nghĩa của đứt gãy thành một dạng có thể được xử lý. Tài liệu này được tạo ra bởi một ChmMagic chưa đăng ký, vui lòng vào http://www.bisenter.com để đăng ký nó. Cảm ơn. FAULT RECOVERY phục hồi lỗi bao gồm việc chuẩn bị cho việc phục hồi và làm cho việc sửa chữa hệ thống. Một số chiến thuật chuẩn bị và sửa chữa theo. Voting. Tiến trình đang chạy trên bộ vi xử lý dự phòng từng có đầu vào tương đương và tính toán một giá trị đầu ra đơn giản đó được gửi đến một cử tri. Nếu cử tri phát hiện hành vi lệch lạc từ một bộ xử lý duy nhất, nó không thành công nó. Các thuật toán có quyền biểu quyết có thể được "quy tắc đa số" hay "thành phần ưa thích" hoặc một số thuật toán khác. Phương pháp này được sử dụng để sửa lỗi hoạt động của các thuật toán hay thất bại của một bộ xử lý và thường được sử dụng trong các hệ thống điều khiển. Nếu tất cả các bộ vi xử lý sử dụng các thuật toán tương tự, sự dư thừa chỉ phát hiện một lỗi xử lý và không phải là một lỗi thuật toán. Như vậy, nếu hậu quả của một sự thất bại là cực đoan, chẳng hạn như khả năng mất cuộc sống, các thành phần dư thừa có thể được đa dạng. Một cực đoan của sự đa dạng là phần mềm cho mỗi thành phần dư thừa được phát triển bởi đội bóng khác nhau và thực hiện trên các nền tảng khác nhau. Ít cực đoan hơn là phát triển một phần mềm duy nhất trên các nền tảng khác nhau. Đa dạng là tốn kém để phát triển và duy trì và chỉ được sử dụng trong trường hợp đặc biệt, chẳng hạn như sự kiểm soát của các bề mặt trên máy bay. Nó thường được sử dụng cho hệ thống điều khiển trong đó các kết quả đầu ra để các cử tri là đơn giản và dễ dàng để phân loại là tương đương hoặc tà, các tính toán là cyclic, và tất cả các thành phần dư thừa nhận đầu vào tương đương từ các cảm biến. Đa dạng không có thời gian chết khi thất bại xảy ra kể từ khi các cử tri tiếp tục hoạt động. Những thay đổi trong cách tiếp cận này bao gồm các phương pháp Simplex, mà sử dụng kết quả của một "ưa thích" thành phần, trừ khi họ đi chệch khỏi những người của một thành phần "tin cậy", mà nó trì hoãn. Đồng bộ hóa giữa các thành phần dư thừa là tự động bởi tất cả đều giả định là tính toán trên cùng một đầu vào song song. dự phòng hoạt động (restart nóng). Tất cả các thành phần không cần thiết đáp ứng với các sự kiện song song. Do đó, họ là tất cả trong cùng một nhà nước. Những phản ứng từ chỉ có một thành phần được sử dụng (thường là người đầu tiên trả lời), và phần còn lại sẽ bị loại bỏ. Khi một lỗi xảy ra, thời gian chết của hệ thống bằng cách sử dụng chiến thuật này thường là vài phần nghìn giây kể từ khi sao lưu là hiện tại và thời gian duy nhất để phục hồi là thời gian chuyển đổi. Hoạt động dự phòng thường được sử dụng trong một cấu hình client / server, chẳng hạn như quản lý cơ sở dữ liệu hệ thống, nơi phản ứng nhanh là cần thiết ngay cả khi có một lỗi xảy ra. Trong một hệ thống phân phối sẵn sàng cao, các dự phòng có thể ở đường dẫn truyền thông. Ví dụ, nó có thể là mong muốn sử dụng một mạng LAN với một số đường dẫn song song và đặt mỗi thành phần dư thừa trong một con đường riêng biệt. Trong trường hợp này, một cầu hoặc đường dẫn thất bại duy nhất sẽ không làm cho tất cả các thành phần của hệ thống không có. Đồng bộ hóa được thực hiện bằng cách đảm bảo rằng tất cả các tin nhắn đến bất kỳ thành phần dư thừa được gửi đến tất cả các dư thừa các thành phần. Nếu giao tiếp có khả năng bị mất (vì đường dây thông tin ồn ào hoặc quá tải), một đáng tin cậy giao thức truyền dẫn có thể được sử dụng để phục hồi. Một giao thức truyền tin cậy yêu cầu tất cả người nhận để xác nhận đã nhận cùng với một số dấu hiệu cho thấy toàn vẹn như một checksum. Nếu người gửi không thể xác minh rằng tất cả những người nhận đã nhận được tin nhắn, nó sẽ gửi lại tin nhắn cho những thành phần không thừa nhận biên lai. Việc gửi lại tin nhắn unreceived (có thể qua con đường truyền thông khác nhau) tiếp tục cho đến khi người gửi đánh dấu sự tiếp nhận, tính ra khỏi dịch vụ. dự phòng Passive (khởi động lại ấm / dual thừa / triple dự phòng). Một thành phần (tiểu học) phản ứng với các sự kiện và thông báo cho các thành phần khác (dự phòng) của sản nhà nước họ phải làm. Khi một lỗi xảy ra, hệ thống đầu tiên phải đảm bảo rằng trạng thái dự phòng là đủ tươi trước khi nối lại dịch vụ. Phương pháp này cũng được sử dụng trong các hệ thống điều khiển, thường khi các yếu tố đầu vào đi qua các kênh thông tin liên lạc hoặc từ các cảm biến và phải được chuyển từ tiểu học đến các sao lưu trên thất bại. Chương 6, mô tả một ví dụ kiểm soát không lưu, cho thấy một hệ thống sử dụng nó. Trong hệ thống kiểm soát không lưu, những thứ quyết định khi nào lấy lên từ tiểu học, nhưng trong các hệ thống khác quyết định này có thể được thực hiện trong các thành phần khác. Chiến thuật này phụ thuộc vào các thành phần dự phòng đảm nhận đáng tin cậy. Switchovers buộc định kỳ, ví dụ, một lần một ngày hoặc một lần một tuần tăng sự sẵn có của hệ thống. Một số hệ thống cơ sở dữ liệu buộc một switch với lưu trữ của mỗi mới mục dữ liệu. Các mục dữ liệu mới được lưu trữ trong một trang bóng và các trang cũ sẽ trở thành một bản sao lưu để phục hồi. Trong trường hợp này, thời gian chết thường có thể được hạn chế đến giây. Đồng bộ hóa là trách nhiệm của các thành phần chính, trong đó có thể sử dụng chương trình phát sóng nguyên tử để secondaries để đảm bảo đồng bộ hóa. Phụ. Một nền tảng điện toán tùng chế độ chờ được cấu hình để thay thế nhiều thành phần khác nhau thất bại. Nó phải được khởi động lại với các cấu hình phần mềm phù hợp và có trạng thái của nó được khởi tạo khi có sự cố xảy ra. Làm một trạm kiểm soát của hệ thống nhà nước với một thiết bị liên tục định kỳ và đăng nhập tất cả các thay đổi trạng thái để cho phép một thiết bị liên tục cho các phụ tùng được thiết lập để các chính quyền tiểu bang. Điều này thường được sử dụng như các máy trạm client chờ, nơi người dùng có thể di chuyển khi có sự cố xảy ra. Các thời gian chết cho chiến thuật này thường là phút. Có vài thủ thuật để sửa chữa mà dựa vào thành phần tái áp. Khi một thành phần dư thừa không, nó có thể được giới thiệu lại tài liệu này đã được tạo ra bởi một ChmMagic chưa đăng ký, vui lòng vào http://www.bisenter.com để đăng ký nó. Cảm ơn. sau khi nó đã được sửa chữa. Chiến thuật như vậy là hoạt động bóng, đồng bộ hoá lại nhà nước, và rollback. với Shadow hoạt động. Một thành phần không thành công trước đó có thể được chạy trong chế độ "bóng tối" trong một thời gian ngắn để đảm bảo rằng nó bắt chước các hành vi của các thành phần làm việc trước khi khôi phục nó để phục vụ. resynchronization Nhà nước. Các chiến thuật dự phòng thụ động và chủ động đòi hỏi các thành phần đang được khôi phục trạng thái của nó đã nâng cấp trước khi trở về với dịch vụ. Phương pháp cập nhật sẽ phụ thuộc vào thời gian chết có thể được duy trì, kích thước của các bản cập nhật, và số tin nhắn cần thiết cho việc cập nhật. Một tin nhắn đơn chứa nhà nước là thích hợp hơn, nếu có thể. Nâng cấp nhà nước gia tăng, với các thời kỳ dịch vụ giữa gia, dẫn đến các phần mềm phức tạp. Checkpoint / rollback. Một trạm kiểm soát là một ghi âm của một nhà nước thống nhất tạo ra hoặc định kỳ hoặc phản ứng với cụ thể các sự kiện. Đôi khi một hệ thống bị lỗi trong một cách không bình thường, với một nhà nước detectably không phù hợp. Trong trường hợp này, hệ thống sẽ được phục hồi bằng cách sử dụng một trạm kiểm soát trước đó của một nhà nước thống nhất và một bản ghi của giao dịch đã xảy ra kể từ khi snapsh
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- con yêu mẹcon nhớ mẹ
- As a project assistant
- a set of historical data
- 米迦勒
- 수교한 이래 경제
- I am always with you
- Abe has shown he is determined to get th
- Tại sao bạn không biết
- man
- Room
- VietPress USA (24-3-2015): Tết Ất Mùi 20
- con nhớ mẹ
- VietPress USA (24-3-2015): Tết Ất Mùi 20
- Cảm ơn
- VietPress USA (24-3-2015): Tết Ất Mùi 20
- Ice
- VietPress USA (24-3-2015): Tết Ất Mùi 20
- woman
- công ty tôi hôm nay rất nhiều việc
- rác
- con yêu mẹcon nhớ mẹ
- làm sao bạn vào phòng này đc
- kao dán
- VietPress USA (24-3-2015): Tết Ất Mùi 20
