Share via

Distribuzioni a elevata disponibilità

  • Articolo

 

Si applica a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Ultima modifica dell'argomento: 2008-01-17

Uno dei principali temi di sviluppo per l'elevata disponibilità in Microsoft Exchange Server 2007 consisteva nel mettere alla prova le opzioni di configurazione e le pratiche inerenti l'elevata disponibilità presenti nelle versioni precedenti di Exchange Server. Seguendo un processo strutturato di pianificazione con Exchange 2007, è possibile ridurre i costi operativi e di distribuzione, fornendo al tempo stesso un numero maggiore di servizi agli utenti finali.

Le soluzioni a elevata disponibilità in Exchange Server 2003 sono state distribuite con successo nella produzione da Microsoft e da numerosi clienti per fornire un ambiente di messaggistica a elevata disponibilità. Inoltre, molti clienti hanno distribuito correttamente una tecnologia di replica di partner e hanno creato soluzioni che eseguono automaticamente il failover a una seconda copia dei dati quando si verifica un errore. Exchange 2007 include miglioramenti per le soluzioni a elevata disponibilità presenti in Exchange 2003 e nuove funzioni a elevata disponibilità che eliminano l'esigenza di tecnologie di replica di terze parti riducendo i costi e la complessità della soluzione globale. Tali miglioramenti sono stati indotti principalmente dai commenti dei clienti che segnalarono quanto segue:

  • Il requisito di un'archiviazione condivisa per la soluzione ha fatto aumentare i costi e la complessità della soluzione. Ad esempio, l'hardware per l'intera soluzione doveva essere selezionato dalla categoria Cluster Solution del Windows Server Catalog of Tested Products. In Exchange 2007, i cluster a copia singola (SCC) continuano a mantenere questo requisito, mentre i server di cassette postali in cluster configurati in un ambiente di replica continua cluster (CCR) non lo hanno.

  • L'utilizzo di una copia singola dei dati delle cassette postali comportava che eventuali errori della copia e della relativa archiviazione fossero estremamente dannosi, con frequenti e lunghe interruzioni e a volte con perdite di dati.

  • La mancanza di integrazione dell'installazione e della gestione tra il servizio Cluster ed Exchange Server indusse l'amministratore di Exchange alla comprensione delle funzioni e dei concetti associati ai cluster. Ciò rappresentò un significativo passo in avanti per alcuni amministratori di Exchange.

  • Le impostazioni di configurazione predefinite non erano configurate per garantire procedure di ripristino ottimali. Gli amministratori dovevano riconfigurare manualmente le impostazioni dei cluster e le risorse cluster predefinite per potersi adeguare alle procedure consigliate.

  • Tutti i servizi di Exchange (accesso cliente, trasporto e archiviazione) venivano gestiti utilizzando la medesima strategia di disponibilità anche se tra l'uno e l'altro esistevano enormi differenze, incluse strategie di elevata disponibilità molto diverse.

  • Alcuni clienti richiedevano una strategia di partner per poter disporre di una soluzione in grado di mantenere due copie dei dati delle cassette postali. Tali soluzioni si aggiungevano ai costi e alla complessità della distribuzione.

Le soluzioni a elevata disponibilità in Exchange 2007 sono state progettate per far fronte alle vulnerabilità tipiche dell'approccio a elevata disponibilità di Exchange 2003. Exchange 2007 elimina tali vulnerabilità attraverso modifiche dell'architettura, il supporto di nuove configurazioni, una variazione nei modelli di gestione e l'introduzione di nuovi approcci a elevata disponibilità. Si ottiene in tal modo una soluzione flessibile in grado di garantire all'organizzazione la libertà di scegliere una soluzione adatta alle proprie specifiche esigenze.

Opzioni di distribuzione a elevata disponibilità

L'elevata disponibilità dovrebbe essere sempre progettata sia a livello del singolo componente che del sistema o della soluzione globale. In generale, esistono due tipi di opzioni di distribuzione a elevata disponibilità per Exchange 2007:

  • Distribuzioni con un singolo centro dati con ridondanza in grado di eseguire automaticamente il ripristino a seguito di determinati errori dopo una breve interruzione. In caso di errore del sito, una soluzione con un singolo centro dati utilizza le procedure di ripristino di emergenza per far riprendere il funzionamento.

  • Distribuzioni con più centri dati con ridondanza in grado di eseguire automaticamente il ripristino a seguito di errori più specifici. Una soluzione con più centri dati consente a un'organizzazione di evitare interruzioni in caso di errore di un centro dati senza il ricorso alle procedure di ripristino di emergenza. Gli errori non risolvibili (ad esempio, l'errore di un intero sito) richiedono una procedura di ripristino manuale.

Entrambe queste opzioni di distribuzione vengono illustrate in maggiore dettaglio più avanti in questo argomento.

Configurazioni di un singolo centro dati

Le configurazioni di un singolo centro dati per i ruoli del server Messaggistica unitificata, Trasporto Hub, Accesso client e Trasporto Edge coinvolgono server ridondanti configurati in modo simile. Per i server Cassette postali, sono disponibili tre configurazioni a elevata disponibilità che forniscono la disponibilità dei dati e dei servizi in un singolo centro dati: SCC, CCR e replica continua locale (LCR). Nella seguente figura viene illustrata una distribuzione generale per una configurazione di un singolo centro dati completamente ridondante.

Configurazione di un singolo centro dati con ridondanza completa

Configurazione cassette postali in un singolo centro dati

Nella figura precedente, la configurazione con ridondanza per il ruolo del server Cassette postali è stata sottratta. Ciò è dovuto al fatto che vi sono diverse opzioni disponibili per un'organizzazione, inclusa un'ampia serie di configurazioni che utilizzano SCC e CCR.

Cluster a copia singola

La configurazione del cluster di archiviazione condivisa in Exchange 2007 è definita cluster a copia singola (SCC). Un SCC utilizza il servizio Cluster e l'archiviazione condivisa per ospitare un server di cassette postali in cluster. Un server di cassette postali in cluster è un computer logico che si sposta tra i nodi fisici nel corso della sua durata. Ciò è reso possibile dalla capacità del servizio Cluster di creare e gestire una identità di rete mobile. L'identità di rete mobile viene utilizzata come identità di rete del server di cassette postali in cluster. Exchange Il programma di installazione crea automaticamente questa identità di rete utilizzando il nome host e l'indirizzo IP forniti dall'amministratore. L'identità di rete mobile si sposta tra i diversi nodi del cluster, in base alla disponibilità dei nodi e alle esigenze di manutenzione. Tali meccanismi consentono agli utenti di accedere ai dati delle loro cassette postali se è disponibile l'archiviazione e se almeno uno dei due nodi è operativo. Per eseguire il ripristino a seguito di errori, Exchange e il servizio Cluster agiscono congiuntamente per portare il server di cassette postali in cluster in linea su un nodo disponibile dopo il verificarsi di un errore.

Di seguito sono riportati i miglioramenti principali in Exchange 2007 rispetto al cluster di archiviazione condivisa presente nelle precedenti versioni di Exchange Server:

  • Solo il ruolo del server Cassette postali è compatibile con i cluster ed è l'unico ruolo che è possibile installare in un cluster di failover.

  • La procedura di failover predefinita è stata ottimizzata per eseguire il failover solo nel caso in cui sia altamente probabile che un failover possa migliorare la disponibilità. Solo un errore completo del nodo o la sua impossibilità a comunicare con i clienti può generare un failover.

  • La maggior parte parte dell'attività di amministrazione non viene più eseguita da Amministrazione cluster ma da strumenti di Exchange, ad esempio Exchange Management Shell. Ciò semplifica notevolmente i compiti degli amministratori di SCC.

  • L'installazione dei server di cassette postali in cluster è stata integrata nel programma di installazione, fornendo la stessa esperienza di una installazione autonoma.

Nella seguente figura viene illustrata una tipica configurazione per un SCC. Un SCC supporta cluster fino a otto nodi, con almeno un nodo passivo.

Figura 2   Architettura di base di un cluster a copia singola

Architettura cluster di copia singola

Nella figura precedente, i due nodi sono uniti in un cluster di failover. Viene utilizzato un disco condiviso per gestire la risorsa quorum del cluster, rappresentata dal disco "Quorum". Il nodo attivo al momento include le risorse disco comprendenti i file di database e i registri del server di cassette postali in cluster. Tale appartenenza è indicata dalle linee blu che vanno dal nodo attivo ai dischi. In questa configurazione, i dischi sono accessibili dal nodo attivo ma non contemporaneamente anche dal nodo passivo.

I nodi attivo e passivo sono collegati almeno da due reti (privata e mista). Solo una delle due reti viene utilizzata per la comunicazione client (la rete mista). Il servizio Cluster controlla regolarmente l'integrità della comunicazione di entrambe le reti.

Per ulteriori informazioni sui cluster a copia singola, vedere Cluster a copia singola.

Replica continua cluster

Come indicato dal nome, un cluster a copia singola contiene una singola copia dei dati delle cassette postali. Un errore dell'archiviazione che ospita i dati delle cassete postali non genera un ripristino automatico. In realtà, un tale tipo di errore provoca generalmente un'interruzione prolungata e la perdita di dati. I miglioramenti di SCC rispetto alle soluzioni cluster precedenti sono il risultato dei commenti forniti dai clienti sulle precedenti soluzioni a elevata disponibilità. Tuttavia, SCC presenta ancora la complessità associata all'utilizzo dell'archiviazione condivisa. Presenta almeno due singoli punti di errore predefiniti: il disco quorum e la copia dei dati di Exchange. In Exchange 2007, esiste un secondo tipo di configurazione a elevata disponibilità che fornisce una ridondanza completa senza dover richiedere hardware alla categoria Cluster Solutions del Windows Server Catalog of Tested Products. Questa soluzione è denominata replica continua cluster (CCR).

CCR utilizza il log shipping asincrono incorporato per replicare i dati delle cassette postali tra due server in un cluster di failover. L'integrazione di replica e cluster crea una soluzione senza alcun punto di errore e fornisce il ripristino automatico a seguito degli errori dei server. Inoltre, elimina la necessità dell'archiviazione condivisa, riducendo la complessità e i costi di implementazione. CCR supporta solo cluster a due nodi e solo due copie dei dati (la copia attiva e la copia passiva). Nella seguente figura viene illustrato un tipico ambiente CCR.

Distribuzione di base di CCR

Architettura di replica continua cluster

Due modifiche significative illustrate nella figura precedente sono l'assenza di un disco quorum condiviso e la presenza di una condivisione file su un terzo computer esterno al cluster. La condivisione file rappresenta una delle nuove funzionalità di quorum del cluster introdotte con l'aggiornamento descritto nell'articolo 921181 della Microsoft Knowledge Base, È disponibile un aggiornamento che aggiunge una funzionalità di witness di condivisione file e una funzionalità di heartbeat cluster configurabile ai cluster di server basati su Windows Server 2003 Service Pack 1. L'aggiornamento consente al servizio Cluster di utilizzare una risorsa quorum che utilizza una condivisione file anziché un nodo voter nel cluster. Senza l'aggiornamento, le uniche opzioni di quorum disponibili sono quelle che consentono di utilizzare il disco condiviso o la configurazione con maggioranza dei nodi tradizionale, entrambe con svantaggi e costi aggiuntivi:

  • L'utilizzo di un disco condiviso reintroduce nella soluzione la complessità correlata all'archiviazione condivisa.

  • I quorum maggioranza dei nodi richiedono tre o più nodi. In questa configurazione, è richiesto un nodo aggiuntivo che abbia la funzione di nodo voter nel cluster.

Per ulteriori informazioni sulla replica continua cluster, vedere Replica continua cluster.

Replica continua locale

CCR fornisce la ridondanza completa di dati e servizi e SCC fornisce una ridondanza dei servizi. Per le organizzazioni che richiedono ridondanza dei dati senza ridondanza dei servizi, esiste una replica continua locale (LCR). LCR non è una soluzione cluster e pertanto non fornisce disponibilità dei servizi. Nella seguente figura viene illustrato un tipico ambiente LCR.

Distribuzione di base di replica continua locale

Architettura di base di replica continua cluster

LCR utilizza la tecnologia di replica continua incorporata descritta nella precedente sezione CCR per creare una seconda copia (denominata copia passiva) di un gruppo di archiviazione sul computer locale. È necessario che il computer sia un server Cassette postali autonomo. In un ambiente LCR, l'amministratore decide quali gruppi di archiviazione hanno una copia passiva e configura una seconda posizione per la copia passiva sullo stesso server.

Quando utilizza LCR, l'amministratore deve decidere esplicitamente quali gruppi di archiviazione hanno nodi passivi. Gli amministratori possono decidere di creare una copia passiva di un gruppo di archiviazione esistente o abilitare LCR per un nuovo gruppo di archiviazione durante il processo di archiviazione. L'amministratore deve configurare una seconda posizione per i file di registro e del database per i gruppi di archiviazione abilitati per LCR.

In LCR, l'attivazione della seconda copia è manuale. Non vi è alcun failover in LCR in quanto il failover è un'operazione cluster e LCR non è una soluzione cluster. In questo caso, l'amministratore deve decidere quando la copia attiva non è più utilizzabile e quindi attivare manualmente la copia passiva, che diventa la nuova copia attiva. Il processo di attivazione della copia passiva è semplice e veloce.

In qualsiasi momento, un amministratore può decidere di abilitare LCR e di creare una copia passiva di un database esistente o di abilitare LCR immediatamente durante la creazione di un nuovo database. Dopo l'abilitazione di LCR, viene creata una copia di riferimento utilizzando un processo denominato seeding e viene avviata la replica (log shipping). Una procedura consigliata prevedere il posizionamento della copia passiva sui dischi o su una archiviazione isolata dalla copia attiva. Questa pratica riduce al minimo il rischio di più errori simultanei. LCR ha un impatto sulle risorse del server Cassette postali. Il server Cassette postali esegue tutta l'elaborazione associata alla replica continua e ciò deve essere preso in considerazione al momento della pianificazione della capacità per il server. Il carico di input/output (I/O) sulla copia attiva è limitato in quanto la maggior parte dell'attività di I/O per la copia passiva è associata ai file di database e di registro della copia passiva.

LCR supporta i backup per la copia passiva utilizzando il servizio Copia Shadow del volume (VSS) abilitato per Exchange. Quando i volumi del disco contenenti la copia attiva vengono separati dalla copia passiva, i backup del servizio VSS senza supporto VSS basato su hardware si rivelano l'opzione ideale. I backup dalla copia passiva distribuiscono l'I/O di backup dai volumi del disco della copia attiva. Dato che la copia passiva non richiede una risposta in tempo reale ai client, può compensare i costi associati all'utilizzo di un writer VSS basato su software. Inoltre, a seconda della pianificazione della capacità, potrebbe essere utile estendere l'intervallo di backup sul server con LCR. Il fattore fondamentale è sostenere il carico CPU dell'agente di backup nel corso dell'intervallo di backup.

La copia passiva è la prima misura di difesa contro un danneggiamento e gli errori dei dati. Con LCR, il primo ripristino a seguito di errori può avere un contratto di servizio (SLA) relativamente breve. Un errore doppio richiede il ripristino da backup. Con questo modello, un SLA per un errore doppio può essere molto più lungo. Di conseguenza, un regime che preveda backup completi settimanali e backup incrementali giornalieri è una strategia valida e consigliata. Tale strategia riduce anche il totale dei dati spostati sul supporto di backup.

Riepilogando, LCR è un'opzione eccellente per le organizzazioni che necessitano di un ripristino veloce a seguito di danni o errori dei dati ma che si possono permettere interruzioni del server sia pianificate che non pianificate. La replica continua locale garantisce i seguenti vantaggi:

  • Ripristino rapido, in due fasi, a seguito di danni o errori di un database attivo.

  • Selettività dell'amministratore, che fornisce protezione agli utenti che ne hanno più bisogno.

  • Disponibilità su server Cassette postali di qualsiasi dimensione e in tutti i prodotti.

  • Impatto minimo sul database attivo e sull'I/O del registro.

  • Possibilità di distribuire l'I/O di backup dai volumi del registro e del database attivo.

  • Possibilità di ridurre la quantità totale di dati spostati sul supporto di backup, estendendo l'intervallo di backup.

  • La sottrazione dell'amministrazione a livello di Exchange utilizzando Exchange Management Console o Exchange Management Shell.

Per ulteriori informazioni sulla replica continua locale, vedere Replica continua locale.