部署故障轉移叢集的雲端見證
雲端見證是故障轉移叢集仲裁見證的類型,會使用 Microsoft Azure 來提供叢集仲裁的投票。 本文包含雲端見證功能的概觀、其支援的案例,以及如何設定故障轉移叢集的雲端見證的指示。 如需詳細資訊,請參閱設定叢集見證。
什麼是雲端見證?
開始之前,您應該先閱讀了解叢集和集區仲裁,來重溫有關叢集仲裁與仲裁見證的相關記憶。
在典型叢集中,每個節點都有一個投票,而 檔案共用見證為仲裁見證提供一個額外的投票。 此額外投票可讓叢集繼續執行,即使其中一個資料中心關閉也一樣。 在此範例中,叢集仲裁有五個可能投票,而且只需要三票來繼續執行。
不過,您可能會注意到,除了兩個資料中心之外,還有一個第三個資料中心,作為 檔案共用見證。 此資料中心會與其他兩個站台分開,並裝載用來備份系統檔案部分的檔案伺服器。 檔案共用見證會作為此叢集仲裁組態中的仲裁見證,確保即使其中一個資料中心意外關閉,系統仍會執行。
擁有檔案共用見證可提供足夠的備援,讓您的檔案伺服器保持高可用性。 不過,您應該記住,將檔案共用見證裝載在獨立站台的另一個伺服器上,需要安裝設定、定期維護,以及與其他站台的獨立連線。
雲端見證與傳統叢集仲裁見證組態不同,因為它使用雲端中的 Azure 虛擬機(VM)作為仲裁見證,而不是實體數據中心。 雲端見證會使用 Azure Blob 儲存體來讀取和寫入 Blob 文件,該系統用作決定票來實現仲裁。
如您所見,雲端見證設定不需要第三個不同的數據中心。 雲端見證就像其他任何仲裁見證一樣,擁有額外的投票,並有助於防止當其中一個數據中心關閉時發生全面停機。 不過,它不需要額外的站台來儲存仲裁見證。 雲端見證服務也不需要像現場數據中心那樣定期進行實體維護。
除了備援之外,還有一些使用雲端見證功能的其他優點:
您不需要使用獨立的額外資料中心來達成仲裁。
使用 Azure Blob 儲存體可免除在公用雲端中裝載 VM 通常所需的額外維護負擔。
您可以針對多個叢集使用相同的 Azure 儲存體帳戶。 唯一的需求是您每個叢集只使用一個 Blob,並根據叢集的唯一識別碼來命名 Blob 檔案名稱。
降低儲存體帳戶的持續成本,因為除了叢集節點狀態變更之時,Blob 檔案不需要太多資料和更新。
Azure 隨附內建的雲端見證資源類型。
必要條件
您必須具有 Azure 帳戶,並且擁有有效的 Azure 一般用途儲存帳戶及有效訂用帳戶,才能設定雲端見證。 此儲存帳戶是雲端見證用來建立 msft-cloud-witness 容器,以儲存投票仲裁所需的 Blob 檔案。
注意
雲端見證與下列類型的 Azure 記憶體帳戶不相容:
- Blob 儲存體
- Azure 進階儲存體
您也可以使用此帳戶和雲端見證自動建立的 msft-cloud-witness 容器,在多個不同叢集上設定雲端見證。 每個叢集都有自己的 Blob 檔案,檔案會儲存在容器中。
當您建立 Azure 儲存帳戶時,如果您要設定雲端見證的叢集是在內部部署或位於相同 Azure 區域和可用性區域中,請在設定 [複本] 欄位時,選取 [本地備援儲存體(LRS)]。 如果您的叢集位於相同的 Azure 區域,但在不同的可用性區域中,請改為選取 [區域備援儲存體 (ZRS)]。
您必須使用下列其中一個支援的案例:
跨多站點集群的災害復原。
容錯移轉叢集沒有共用儲存體,例如 SQL Always On。
容錯移轉叢集是在客體 OS 內執行,且裝載於 Microsoft Azure 虛擬機器角色或任何其他公用雲端。
容錯移轉叢集是由裝載私人雲端中的 VM 所組成,且在客體 OS 內部執行。
儲存體叢集具有或沒有共用儲存體,例如擴充檔案伺服器叢集。
小型分公司叢集,甚至是雙節點叢集。
如果您使用 Windows Server 2012 R2 和更新版本,建議您一律設定見證。 更新版本 Windows Server 中的叢集會自動管理見證投票,且其節點會使用動態仲裁進行投票。
您也必須確定容錯移轉叢集與 Azure 儲存體帳戶服務之間的所有防火牆,都允許來自連接埠 443 的流量,也稱為 HTTPS 連接埠。 雲端見證會使用 HTTPS REST 介面連接 Azure 儲存服務。 因此,您必須在故障轉移叢集的所有節點上開啟埠 443,以便雲端見證功能能夠如預期運作。
建立 Azure 儲存帳戶時,Azure 會將其與自動產生的主要和次要存取金鑰相關聯。 當您第一次設定雲端見證時,建議您使用主要存取密鑰。 之後,您可以使用主要或次要存取金鑰。
將雲端見證設定為叢集的仲裁見證人
您可以使用故障轉移叢集管理員應用程式內建的仲裁設定設定工作流程,或使用 PowerShell 來設定雲端見證。
在 Server Manager中,選取 [工具],然後選取 [故障轉移叢集管理員] 。
在左窗格的 [故障轉移叢集管理員]下,選取您想要設定的叢集。
在右窗格的 [動作] 底下,選取 [更多動作],然後選取 [設定叢集仲裁設定]。
在 [設定叢集仲裁精靈]下,選取 [下一步]。
在 [選取仲裁組態選項] 下,選取 [選取仲裁見證],然後選取 [下一步]。
在 [選取仲裁見證] 下,選取 [設定檔案雲端見證],然後選取 [下一步]。
在 [設定雲端見證] 下,輸入下列資訊,然後選取 [下一步]:
您的 Azure 儲存體帳戶名稱。
與儲存體帳戶相關聯的存取金鑰。
如果您是首次建立雲端見證,請使用您的主要存取金鑰。
如果您要輪替主要存取金鑰,請改用次要存取金鑰。
注意
您的故障轉移叢集不會直接儲存存取金鑰,而是會產生一個共用存取簽章 (SAS) 令牌,以保障安全儲存。 只要相關聯的存取密鑰有效,令牌才會保持有效。 在您輪替主要存取密鑰時,請先使用次要密鑰在所有使用該儲存體帳戶的叢集上更新雲端見證,然後再重新產生主要密鑰。
Azure 服務端點
如果您計劃使用不同的 Azure 服務端點來作為雲端見證,例如 Azure 中國,您可以將另一個現有伺服器的名稱輸入到 Azure 服務端點 欄位。
在 [確認] 下,檢閱法定人數設定,然後選取 [下一步]。
在 [摘要] 下,檢閱您的見證組態,然後選取 [完成]。
您可以選取 檢視報表,以取得進一步的組態詳細數據。
建立雲端見證之後,瀏覽「故障轉移叢集管理員」的中間窗格,您會看到它列在 「叢集核心資源」底下。
使用代理伺服器時的雲端見證考量
雲端見證會使用 HTTPS(預設埠 443)來建立與 Azure Blob 服務的輸出通訊。 Azure 會使用 .core.windows.net 作為端點。 您必須確定此端點包含在叢集與 Azure 記憶體之間使用的任何防火牆允許清單中。 如果需要 Proxy 才能連線到 Azure 儲存體,請使用必要的 Proxy 設定來設定 Windows HTTP 服務 (WinHTTP)。 容錯移轉叢集會利用 WinHTTP 進行 HTTPS 通訊。
您可以使用 netsh 命令來設定預設 Proxy 伺服器,方法是開啟提升權限的 PowerShell 視窗並執行下列命令:
注意
執行此命令會變更 WinHTTP 的預設 Proxy 組態。 任何應用程式,包括使用 WinHTTP 的 Windows 服務都可能會受到影響。
netsh winhttp set proxy proxy-server="<ProxyServerName>:<port>" bypass-list="<HostsList>"
例如:
netsh winhttp set proxy proxy-server="192.168.10.80:8080" bypass-list="<local>; *.contoso.com"