大数据谢列3：Hdfs的HA实现 (2)

在典型的HA集群中，会配置两个或更多的NameNodes，但是在任何时候，都只能有一个NameNode处于活动状态，其他NameNode处于备用状态。
Active状态的NameNode负责集群中的所有Client的操作，
Standby状态的NameNode仅需要保存足够的状态的即可。

有两种实现方式

Quorum Journal Manager (QJM)

QJM是一个专用的HDFS实现，设计的唯一目的是提供高度可用的编辑日志，并且是大多数HDFS安装的推荐选择。

QJM作为一组journalnodes(JNs)独立守护进程运行，每次编辑都必须写入大部分JNs节点。

为了使备节点与主节点保持状态同步，两个节点都与JNs进程通信。

Active NameNode执行任何关于名称空间修改时，它会持久地记录修改记录到大部分的JNs。

通常，有三个journal节点，因此系统可以容忍其中一个节点的丢失。
尽管这种方式类似ZooKeeper工作方式，但是必须说明的是QJM实现没有使用ZooKeeper
同时还要注意，HDFS的HA确实使用了ZooKeeper来选择active NameNode，后续会介绍

standby NameNode能够从JNs中读取edits ，并不断监视它们对edit log的修改。

当standby NameNode````看到这edits时，它将它们应用到自己的名称空间。

standby NameNode必须持有集群中NameNode位置的最新信息。
所以，DataNodes需要配置所有NameNode的位置，并向所有NameNode发送NameNode 位置信息和心跳。

因为standby NameNode 在内存中有最新的状态:最新的edit log和最新的NameNode映射
所以Active NameNode发生故障时，standby NameNode可以很快接管(在几十秒内)。

实际观察到的故障转移时间要长一些(大约一分钟左右)，因为系统需要保守地判断active NameNode是否发生了故障。

NFS

与QJM方共享不同，edit log记录到JNs不同，

此处的共享内存一般使用过一个支持NFS(Network File System：网络文件系统)的NAS(Network Attached Storage：网络附属存储)创建应共享文件，通常会挂载在每隔一个NameNode的机器上，NameNode可以对其进行读、写操作。

但是，目前只支持一个共享edit目录。
因此，系统的可用性受到共享edit目录的可用性的限制，
为了消除所有单点故障，共享编辑目录需要有冗余。

具体来说，就是到存储的多条网络路径，以及存储本身的冗余(磁盘、网络和电源)。
所以，建议使用高质量的专用NAS设备作为共享存储服务器，而不是简单的Linux服务器。

故障转移和规避

在HA集群中，standby NameNode还执行名称空间状态检查点操作，
因此在HA集群中没有必要运行 Secondary NameNode, CheckpointNode, or BackupNode。

同时无论是QJM还是NFS中，
在同一时刻只有一个NameNode处于Active是至关重要的。
否则，名称空间状态将很快在两者之间出现分歧（脑裂），可能导致数据丢失或其他不正确的结果。
为了避免这个情况，同一时间只允许一个NameNode 对 JournalNodes 或 NFS的共享内存写入。

在故障转移期间，即将成为Active状态的NameNode将接管向共享eidt文件写入数据的角色，
这将有效地阻止其他NameNode继续处于Active状态，从而允许新的Active状态安全地进行故障转移。

但是要如何实现呢？

故障转移

从active NameNode到standby NameNode```` 的过渡由系统中称为故障转移控制器(failover controller)的新实体进行管理。

可以理解为active NameNode挂了standby NameNode上位的过程

有各种各样的故障转移控制器，但是默认的实现是使用ZooKeeper来确保只有一个NameNode是active的。

每个NameNode运行一个轻量级的故障转移控制器进程，
它的任务是监视它的NameNode是否出现故障(使用一个简单的心跳机制)，
并在NameNode出现故障时触发故障转移。

故障转移也可以由管理员手动启动，
例如，在例行维护的情况下。
这被称为优雅的故障转移( graceful failover)，因为故障转移控制器为两个NameNode安排了有序的角色转换。

但是，
在意料之外的故障转移的情况下，不可能确保失败的NameNode已经停止运行。

例如，网络或网络分区速度较慢的情况下，
即使以前active NameNode仍然在运行
也可能会触发故障转移。

为了避免这种情况，HA实现了确保以前active NameNode不会造成任不良影响的方法称为规避(fencing)。

规避