Bereitstellen eines Cloudzeugen für einen Failovercluster
Ein Cloudzeuge ist eine Art Failovercluster-Quorumzeuge, der Microsoft Azure verwendet, um eine Abstimmung über das Clusterquorum bereitzustellen. Dieser Artikel enthält eine Übersicht über die Cloud Witness-Funktion, die unterstützten Szenarien und Anweisungen zum Konfigurieren eines Cloud Witnesses für einen Failover-Cluster. Weitere Informationen finden Sie unter Einrichten eines Clusterzeugen.
Was ist ein Cloud-Zeuge?
Bevor Sie beginnen, sollten Sie den Artikel Grundlegendes zu Cluster- und Poolquorums lesen, um Ihr Wissen über Clusterquorums und Quorumzeugen aufzufrischen.
In typischen Clustern verfügt jeder Knoten über eine Stimme zum Abstimmen, und durch einen Dateifreigabenzeugen erhält der Quorumzeuge eine zusätzliche Stimme. Mit dieser zusätzlichen Stimme kann der Cluster weiterhin ausgeführt werden, auch wenn eines der Rechenzentren deaktiviert wird. Im Beispiel verfügt das Clusterquorum über fünf mögliche Stimmen und benötigt nur drei Stimmen, um die Ausführung fortzusetzen.
Möglicherweise stellen Sie jedoch fest, dass neben den beiden Rechenzentren auch ein drittes Rechenzentrum vorhanden ist, das als Dateifreigabenzeuge fungiert. Dieses Rechenzentrum wird von den anderen beiden Standorten getrennt und hostet einen Dateiserver, der die Systemdateifreigabe sichert. Der Dateifreigabezeuge fungiert als Quorumzeuge in dieser Clusterquorumkonfiguration, um sicherzustellen, dass das System weiterhin ausgeführt wird, auch wenn eines der Rechenzentren unerwartet heruntergefahren wird.
Ein Dateifreigabezeuge bietet genügend Redundanz, um den Dateiserver hochverfügbar zu halten. Sie sollten jedoch bedenken, dass das Hosten des File Share Witness auf einem anderen Server an einem separaten Standort die Einrichtung, regelmäßige Wartung und unabhängige Konnektivität zu den anderen Standorten erfordert.
Cloud-Zeuge unterscheidet sich von herkömmlichen Cluster-Quorum-Zeugenkonfigurationen, da es eine virtuelle Azure-Maschine (VM) in der Cloud als Quorum-Zeuge anstelle eines physischen Rechenzentrums verwendet. Der Cloudzeuge verwendet Azure Blob Storage, um eine Blobdatei zu lesen und zu schreiben, die das System als entscheidende Stimme für das Quorum verwendet.
Wie Sie sehen können, benötigen Cloudzeugenkonfigurationen kein drittes separates Rechenzentrum. Cloudzeugen erhalten wie jeder andere Quorumzeuge eine zusätzliche Stimme und helfen dabei, eine vollständige Abschaltung zu verhindern, wenn eines der anderen Rechenzentren deaktiviert wird. Sie benötigen jedoch keinen zusätzlichen Standort zum Speichern des Quorumzeugen. Ein Cloud-Zeuge benötigt auch nicht die regelmäßige physische Wartung, die für ein Rechenzentrum vor Ort erforderlich ist.
Neben Redundanz gibt es einige weitere Vorteile bei der Verwendung der Cloud-Zeuge-Funktion:
Sie müssen kein separates zusätzliches Rechenzentrum verwenden, um ein Quorum zu erreichen.
Durch die Verwendung von Azure Blob Storage wird ein zusätzlicher Wartungsaufwand verhindert, der normalerweise für das Hosten von VMs in der öffentlichen Cloud erforderlich ist.
Sie können dasselbe Azure-Speicherkonto für mehrere Cluster verwenden. Die einzigen Anforderungen sind, dass Sie nur ein Blob pro Cluster verwenden und die eindeutige ID des Clusters als Blobdateinamen angeben.
Die laufenden Kosten für Ihr Speicherkonto sind niedriger, da die Blobdatei nicht viel Daten benötigt und nur aktualisiert wird, wenn sich der Clusterknotenstatus ändert.
Azure verfügt über einen integrierten Cloudzeugen-Ressourcentyp.
Voraussetzungen
Sie müssen über ein Azure-Konto mit einem aktiven Abonnement und über ein gültiges universelles Azure-Speicherkonto verfügen, um einen Cloudzeugen konfigurieren zu können. In diesem Speicherkonto erstellt der Cloudzeuge den msft-cloud-witness-Container zum Speichern der für die Abstimmungsvermittlung erforderliche Blobdatei.
Hinweis
Der Cloudzeuge ist nicht mit den folgenden Typen von Azure-Speicherkonten kompatibel:
- Blob Storage
- Azure Storage Premium
Sie können dieses Konto und den msft-cloud-witness-Container verwenden, den der Cloudzeuge automatisch erstellt, um den Cloudzeugen clusterübergreifend zu konfigurieren. Jeder Cluster verfügt über eine eigene Blobdatei, die er im Container speichert.
Wenn Sie Ihr Azure-Speicherkonto erstellen und es sich bei dem Cluster, für den Sie den Cloudzeugen konfigurieren, um einen lokalen Cluster oder einen Cluster in Azure innerhalb derselben Azure-Region und Verfügbarkeitszonen handelt, wählen Sie beim Konfigurieren des Felds Replikation die Option Lokal redundanter Speicher (LRS) aus. Wenn sich Ihr Cluster in derselben Azure-Region, aber in verschiedenen Verfügbarkeitszonen befindet, wählen Sie stattdessen Zonenredundanter Speicher (ZRS) aus.
Sie müssen eines der folgenden unterstützten Szenarios verwenden:
Notfallwiederherstellung für gestreckte Cluster mit mehreren Standorten.
Failovercluster ohne freigegebenen Speicher (z. B. SQL Always On)
Failovercluster, die auf einem Gastbetriebssystem ausgeführt werden, das entweder mit der Rolle „Virtueller Microsoft Azure-Computer“ oder in einer anderen öffentlichen Cloud ausgeführt wird
Failovercluster, die aus virtuellen Computern bestehen, die in den auf einem Gastbetriebssystem ausgeführten privaten Clouds gehostet werden
Speichercluster mit oder ohne freigegebenen Speicher, z. B. Dateiservercluster mit horizontaler Skalierung
Kleine Cluster für Zweigstellen (sogar Zwei-Knoten-Cluster)
Es wird empfohlen, immer dann einen Zeugen konfigurieren, wenn Sie Windows Server 2012 R2 und höher verwenden. Cluster in späteren Versionen von Windows Server verwalten die Zeugenstimme und die entsprechenden Knotenstimme mit dem dynamischen Quorum automatisch.
Außerdem müssen Sie sicherstellen, dass alle Firewalls zwischen dem Failovercluster und dem Azure-Speicherkontodienst Datenverkehr von Port 443 zulassen (wird auch als HTTPS-Port bezeichnet). Ein Cloudzeuge verwendet die HTTPS-REST-Schnittstelle für den Azure-Speicherdienst. Daher müssen Sie Port 443 auf allen Knoten in Ihrem Failovercluster öffnen, damit ein Cloud Witness ordnungsgemäß funktioniert.
Wenn Sie ein Azure-Speicherkonto erstellen, wird es von Azure den automatisch generierten primären und sekundären Zugriffsschlüsseln zugeordnet. Wenn Sie einen Cloudzeugen zum ersten Mal einrichten, wird die Verwendung des primären Zugriffsschlüssels empfohlen. Danach können Sie entweder den primären oder den sekundären Zugriffsschlüssel verwenden.
Konfigurieren des Cloudzeugen als Quorumzeugen für Ihren Cluster
Sie können einen Cloudzeugen mit PowerShell oder mithilfe des Quorum-Konfigurationseinrichtungsworkflows konfigurieren, der in die Failovercluster-Verwaltungsanwendung integriert ist.
Wählen Sie unter Server-Manager die Option Tools aus, und wählen Sie dann Failovercluster-Manager aus.
Wählen Sie im linken Bereich unter Failovercluster-Manager den Cluster aus, den Sie konfigurieren möchten.
Wählen Sie im rechten Bereich unter AktionenWeitere Aktionenaus, und wählen Sie dann "Cluster-Quorumeinstellungen konfigurieren"aus.
Klicken Sie unter Assistent zum Konfigurieren des Clusterquorums auf Weiter.
Wählen Sie unter Quorum-Konfigurationsoption auswählen die Option Quorumzeugen auswählen aus, und klicken Sie dann auf Weiter.
Wählen Sie unter Quorumzeugen auswählen die Option Dateifreigabezeugen konfigurieren aus, und klicken Sie dann auf Weiter.
Geben Sie unter Cloudzeugen konfigurieren die folgenden Informationen ein, und klicken Sie dann auf Weiter:
Name des Azure-Speicherkontos
Zugriffsschlüssel, der Ihrem Speicherkonto zugeordnet ist
Wenn Sie zum ersten Mal einen Cloudzeugen erstellen, verwenden Sie Ihren primären Zugriffsschlüssel.
Wenn Sie den primären Zugriffsschlüssel rotieren, verwenden Sie stattdessen den sekundären Zugriffsschlüssel.
Hinweis
Anstatt Zugriffsschlüssel direkt zu speichern, generiert Ihr Failovercluster ein SAS-Token (Shared Access Signature) für sicheren Speicher. Der Token bleibt nur so lange gültig, wie der zugehörige Zugriffsschlüssel gültig ist. Wenn Sie den Primärzugriffsschlüssel wechseln, aktualisieren Sie die Cloud-Zeugen auf allen Clustern, die dieses Speicherkonto verwenden, mit dem Sekundärschlüssel, bevor Sie den Primärschlüssel neu generieren.
Der Azure-Dienstendpunkt
Sie können den Namen eines anderen vorhandenen Servers in das Feld Azure-Dienstendpunkt eingeben, wenn Sie beabsichtigen, einen anderen Azure-Dienstendpunkt für ihren Cloud Witness wie Azure China zu verwenden.
Überprüfen Sie unter Bestätigung Ihre Quorumeinstellungen, und klicken Sie dann auf Weiter.
Überprüfen Sie unter Zusammenfassung Ihre Zeugenkonfiguration, und wählen Sie dann Fertig stellen aus.
Sie können Bericht anzeigen auswählen, um weitere Konfigurationsdetails zu sehen.
Nachdem Sie den Cloudzeugen erstellt haben, navigieren Sie zum mittleren Bereich des Failovercluster-Managers. Hier wird er unter Hauptressourcen des Clusters angezeigt.
Überlegungen zu Proxys mit einem Cloudzeugen
Cloud Witness verwendet HTTPS (Standardport 443), um die ausgehende Kommunikation mit dem Azure-BLOB-Dienst herzustellen. Azure verwendet .core.windows.net als Endpunkt. Sie müssen sicherstellen, dass dieser Endpunkt in allen Firewall-Positivlisten enthalten ist, die Sie zwischen dem Cluster und Azure Storage verwenden. Damit ein Proxy Azure Storage erreichen kann, konfigurieren Sie Windows-HTTP-Dienste (WinHTTP) mit den erforderlichen Proxyeinstellungen. Failovercluster verwendet WinHTTP für die HTTPS-Kommunikation.
Sie können den Befehl netsh verwenden, um einen Standardproxyserver zu konfigurieren, indem Sie ein PowerShell-Fenster mit erhöhten Rechten öffnen und den folgenden Befehl ausführen:
Hinweis
Durch Ausführen dieses Befehls wird die Standardproxykonfiguration für WinHTTP geändert. Alle Anwendungen, einschließlich Windows-Diensten, die WinHTTP verwenden, können davon betroffen sein.
netsh winhttp set proxy proxy-server="<ProxyServerName>:<port>" bypass-list="<HostsList>"
Zum Beispiel:
netsh winhttp set proxy proxy-server="192.168.10.80:8080" bypass-list="<local>; *.contoso.com"