Oracle DG 自动故障转移 —— Fast-Start Fail Over（FSFO）

最新推荐文章于 2024-07-23 02:33:49 发布

Hehuyi_In

最新推荐文章于 2024-07-23 02:33:49 发布

阅读量4.8k

点赞数

CC 4.0 BY-SA版权

分类专栏：灾备 Oracle

本文链接：https://blog.youkuaiyun.com/Hehuyi_In/article/details/90076193

Oracle 同时被 2 个专栏收录

189 篇文章

订阅专栏

灾备

23 篇文章

订阅专栏

本文详细介绍了Oracle Data Guard的Fast-Start Failover（FSFO）机制，涵盖配置步骤、工作原理及测试案例，确保数据库高可用性。

前面介绍了 Oracle DG 手动 SwitchOver & Failover及Failover后利用闪回恢复主从同步和 Oracle DG Broker 进行 SwitchOver & Failover及Failover后恢复主从同步

这篇来看下DG的自动切换方法 —— Fast-Start Fail Over。

FSFO允许代理在主库故障的情况下自动故障转移到先前选择的备库，无需手动执行任何步骤，以便快速可靠地恢复业务。FSFO只能在代理配置中使用，并且只能通过DGMGRL或OEM进行配置。

FSFO支持在最高可用性与最高性能模式下使用。最大可用性模式保证不会丢失任何数据，最高性能模式可保证丢失的数据量不超过FastStartFailoverLagLimit属性指定的数据量（单位为秒）。

一、何时会进行FSFO

配置完成后，FSFO将在以下情况下起作用：

主库与 Observer和目标备库失联时间均超过FastStartFailoverThreshold属性配置阈值（单位为秒）
单实例数据库中主实例崩溃
RAC中所有主实例崩溃
shutdown abort主库
应用程序通过调用DBMS_DG.INITIATE_FS_FAILOVER函数启动FSFO
Oracle 错误：可以指定启动 FSFO 故障切换的 ORA 错误列表（默认为空）
Broker 可配置为遇到以下任一条件时启动FSFO：

Health Condition	Description	默认启用
Datafile Offline	数据文件由于写错误脱机	Yes
Corrupted Dictionary	关键数据库对象的字典损坏，该状态可在数据库open时被检测到	Yes
Corrupted Controlfile	控制文件由于写入错误永久损坏	Yes
Inaccessible Logfile	由于IO错误，LGWR无法写入日志组的任何成员	No
Stuck Archiver	由于设备已满或不可用，归档进程无法归档redo log	No

二、 Observer

Observer是一个OCI（Oracle Call Interface）客户端组件，通常运行在独立服务器并监视主库可用性。

Observer 应安装在独立的服务器上，与主、备服务器分开。DGMGRL包含Observer 软件，因此要在独立的服务器上安装DGMGRL。安装方法有以下两种：

通过选择Oracle Universal Installer中的Administrator选项来安装完整的Oracle Client Administrator。此安装包括DGMGRL，但不包括OEM代理。这种安装方式可以使用DGMGRL命令但无法使用OEM来管理Observer。
安装完整的Oracle数据库软件包，这种安装方式包括DGMGRL。
安装步骤参考 https://www.jianshu.com/p/55fd93a81150

顾名思义，Observer可以观察主备库之间的活动，决定是否进行FSFO，因此我们需要在连接性最高的服务器上安装Observer。FSFO可能会导致错误的故障转移，即使主库正在运行并且可以在本地访问，也可能会发生FSFO；如果客户端无法访问主库，也可能不发生FSFO。

三、 FSFO过程

1. FSFO之前

DG稳定运行，主库将REDO数据传输到备库，Observer监视整体状态。

2. FSFO期间

主库遇到灾难，并且它与Observer和目标备库均失联。在检测到通信中断后，Observer在FastStartFailoverThreshold指定时间内尝试重连主库，如果还是无法连接，且目标备库已准备好进行FSFO，则将发生FSFO。

3. FSFO之后

FSFO已完成，并且目标备库以主库角色运行。在修复了原主库之后，Observer将重建与该数据库的连接，并将其恢复为新主库的备库。新主库开始将重做数据传输给它。

四、 FSFO配置前提条件

直到11g为止，数据库保护模式应为“最大可用性”或“最大性能”
已配置 Oracle DG Broker，配置方法参考 Oracle DG Broker 进行 SwitchOver & Failover及Failover后恢复主从同步
LOGXPTMODE属性在最大可用性模式下应为SYNC，在最大性能模式下应为ASYNC，主备库LOGXPTMODE设置必须相同
主库和作为FSFO目标的备库必须都启用闪回数据库
在Observer上配置tnsnames.ora文件，使其能连接到主库和作为FSFO目标的备库
创建一个静态服务名称，以便Observer可以在恢复时自动重启数据库

五、配置

最简单的方法只需要配置Observer并enable fast_start failover; 即可。

参考 https://blog.youkuaiyun.com/shiyu1157758655/article/details/55504518

下面是按照官方文档配置推荐的主要参数。

1. 连接到dgmgrl并检查配置

DGMGRL> connect sys/oracle
Connected.

DGMGRL> show configuration;

Configuration - dgconfig1
  Protection Mode: MaxPerformance
  Databases:
    testdb     - Primary database
    std_testdb - Physical standby database

Fast-Start Failover: DISABLED
Configuration Status: SUCCESS

2. 设置故障转移目标

只能为当前主库设置一个目标转移备库，若只有一个备库，此步骤可忽略。若要修改目标转移备库，需要先禁用FSFO，改完后再启用。

DGMGRL> EDIT DATABASE TESTDB SET PROPERTY FASTSTARTFAILOVERTARGET=STD_TESTDB;
Property "faststartfailovertarget" updated

DGMGRL> EDIT DATABASE STD_TESTDB SET PROPERTY FASTSTARTFAILOVERTARGET=TESTDB;
Property "faststartfailovertarget" updated

3. 设置保护模式与LogXptMode

LOGXPTMODE属性在最大可用性模式下应为SYNC，在最大性能模式下应为ASYNC，主备库LOGXPTMODE设置必须相同

DGMGRL> EDIT CONFIGURATION SET PROTECTION MODE AS MaxAvailability;
DGMGRL> edit database orcl set property 'LogXptMode'='ASYNC'; 
DGMGRL> edit database orcl_dg set property 'LogXptMode'='ASYNC';

4. 设置FSFO阈值

如果主库与 Observer和目标备库失联时间均超过FastStartFailoverThreshold属性配置阈值（单位为秒），将启动FSFO。

换句话说，FastStartFailoverThreshold表示，Observer和目标备库在检测到主库不可用后、希望等多少秒才启动FSFO。再此期间，它们会尝试重连主库。

默认值为30秒，最小6秒。

DGMGRL> edit configuration set property faststartfailoverthreshold=300;

5. 设置最大可接受延迟时间

FastStartFailoverLagLimit表示，自动故障转移允许的最大数据丢失量（单位为秒），仅在最高性能保护模式时才可使用。

FastStartFailoverLagLimit作为DG可接受的最大延迟时间，备库的apply lag只有在此限制之内，才允许FSFO。

如果无法维持已配置的数据丢失保证，主库上的redo生成将停止。为了避免长时间停顿，Observer或者目标备库可能会在第一次记录到无法发生FSFO之后，允许主库继续生成redo。此时若主库故障，将无法发生FSFO。

默认值为30秒，最小值为10秒。

DGMGRL> edit configuration set property faststartfailoverlaglimit=50;

6. 设置FastStartFailoverPmyShutdown属性

默认为true，表示在FastStartFailoverThreshold属性指定的秒数过去之后，使用ABORT选项关闭主数据库。

如果不希望由于主库redo生成停止或主库与Observer和目标备库失联时间超过FastStartFailoverThreshold指定时间而在触发FSFO后关闭主库，需要将其设置为假。

DGMGRL> edit configuration set property FastStartFailoverThreshold=false;

7. 设置自动恢复数据库属性

如果FastStartFailoverAutoReinstate属性设置为TRUE，在原主库故障修复后，会自动尝试将其恢复为新主库的备库。

DGMGRL> EDIT CONFIGURATION SET PROPERTY FASTSTARTFAILOVERAUTOREINSTATE=TRUE;

Property "faststartfailoverautoreinstate" updated

8. 启动Observer

ObserverConnectIdentifier用于指定Observer应如何连接并监视主备库。如果希望Observer使用不同于发送重做数据连接串的连接标识符，请为主库和目标备库设置此属性（可选）。

配置Observer（可选）

dgmgrl sys/xxxx@OBSRV_ORCL_DGMGRL

DGMGRL>edit database orcl set property ObserverConnectIdentifier='OBSRV_ORCL_DGMGRL';
DGMGRL>edit database orcl_dg set property ObserverConnectIdentifier='OBSRV_ORCL_DG_DGMGRL';

启动Observer

[oracle@localhost oradata]$ dgmgrl
...
DGMGRL> connect sys/oracle@testdb
Connected.

DGMGRL> start observer;
Observer started

9. 启用fast_start故障转移

DGMGRL> enable fast_start failover;
Enabled.

启用Fast_Start Failover时alert日志如下：

Fast-Start Failover (FSFO) has been enabled between:
  Primary = "testdb"
  Standby = "std_testdb"
Sat Jun 23 15:49:22 2018
FSFP started with pid=69, OS id=17552

10. 查看FSFO配置

DGMGRL> show fast_start failover;

Fast-Start Failover: ENABLED
  Threshold:          50 seconds
  Target:             std_testdb
  Observer:           test1.localdomain
  Lag Limit:          50 seconds (not in use)
  Shutdown Primary:   TRUE
  Auto-reinstate:     TRUE
  Observer Reconnect: (none)
  Observer Override:  FALSE

Configurable Failover Conditions
  Health Conditions:
    Corrupted Controlfile          YES
    Corrupted Dictionary           YES
    Inaccessible Logfile            NO
    Stuck Archiver                  NO
    Datafile Offline               YES

Oracle Error Conditions: (none)

也可以从v$database视图检查

SELECT fs_failover_status,
fs_failover_current_target,
fs_failover_threshold,
fs_failover_observer_present,
fs_failover_observer_host
FROM v$database;

六、 FSFO测试

测试环境描述：
1	操作系统：	SUSE Linux 11
2	Oracle Cluster版本：	N/A
3	Oracle数据库版本：	12.1.0.2
4	架构：	Dataguard+FSFO

编号	描述	测试动作	预期结果	实际结果/备注
1	计划外主库实例挂掉	kill -9 pid_of_smon 或者 SQL > shutdown abort	Primary instance crash，standby instance进行切换。切换后，原standby instance成primary instance. 在dgmgrl控制台可以看到ORA-16829: fast-start failover configuration is lagging，且原primary instance可以看到ORA-16661: the standby database needs to be reinstated	2分钟左右完成切换
2	计划外备库实例挂掉	kill -9 pid_of_smon 或者 SQL > shutdown abort	dgmgrl控制台主库报错ORA-16810: multiple errors or warnings detected for the database，备库报错ORA-01034: ORACLE not available	备库挂掉，应用不受影响
3	计划内关闭主库	SQL > shutdown immediate	主备库不切换，在dgmgrl控制台可以看到主库报错：Error: ORA-01034: ORACLE not available，备库提示信息：(*) Physical standby database	计划内维护
4	计划内关闭备库	SQL > shutdown immediate	主备库不切换，在dgmgrl控制台可以看到主库报错：ORA-16829: fast-start failover configuration is lagging，备库提示信息：(*) Physical standby database (disabled)	计划内维护
5	重新启动失败数据库实例	SQL > startup	启动原primary库之后，自动变成physical standby角色。在完成Clearing online log之后，进行mrp的介质恢复。在dgmgrl控制台，看到原primary状态从ORA-16661: the standby database needs to be reinstated，变成ORA-16657: reinstatement of database in progress，继而变成ORA-16829: fast-start failover configuration is lagging，待lag补齐之后最终变成Physical standby database	重启的原primary库恢复正常大约5~10分钟，重启期间应用完全不受影响。
6	主库监听挂掉	kill -9 pid_of_listener	应用无法连接。主库和备库之间如果没有lag，处于standby redolog的recovery，则不受影响。主库和备库之间如果有lag，则当备库启动时，需要使用archivelog的recovery，就会报错 ORA-01196: file n is inconsistent due to a failed media recovery session。Dgmgrl控制台报错备库 ORA-16664: unable to receive the result from a database	监听挂掉，应用无法连接数据库，需要手工启动监听。注：已经添加自动重启监听脚本，发现监听宕掉，自动拉起监听。
7	备库监听挂掉	kill -9 pid_of_listener	应用正常连接。主库和备库之间如果没有lag，处于standby redolog的recovery，则不受影响。主库和备库之间如果有lag，dgmgrl控制台主库报错：ORA-16810: multiple errors or warnings detected for the database，备库报错：ORA-12541: TNS:no listener 备库启动时，需要使用archivelog的recovery，就会报错 ORA-01196: file n is inconsistent due to a failed media recovery session。Dgmgrl控制台报错备库 ORA-16664: unable to receive the result from a database	应用连接正常，需要手工启动备库监听注：已经添加自动重启监听脚本，发现监听宕掉，自动拉起监听。
8	计划内切换主备库	DGMGRL> switchover to 'fltrec_dg';	在切换期间，应用连接报错ORA-16456: switchover to standby in progress or completed。切换后，应用恢复正常。	大约2分钟左右完成切换