Notfallwiederherstellung

Verfügbarkeit der Azure Databricks Steuerebene

Die Azure Databricks Steuerebene ist widerstandsfähig für Zonenfehler und wird innerhalb von ca. 15 Minuten nach einem Zonenausfall automatisch wiederhergestellt. Bei regulären Zonenfehlertests wird dies überprüft.

Alle zustandslosen Dienste der Steuerungsebene können einzelne VMs oder alle VMs in einer ganzen Zone verlieren, ohne dass der Dienst ausfällt. Arbeitsbereichsdaten werden in Datenbanken gespeichert, die über Zonen in der Region repliziert werden. Speicherkonten, die Databricks-Runtime-Images hosten, sind ebenfalls innerhalb der Region redundant, und alle Regionen verfügen über sekundäre Speicherkonten, die den Betrieb übernehmen, wenn das primäre Speicherkonto ausfällt.

Einige Azure Regionen verwenden eine Steuerebene, die in einem gekoppelten Bereich bereitgestellt wird. Weitere Informationen finden Sie unter Azure Databricks-Regionen.

Die Resilienz bei Zonenausfällen toleriert höchstens den Ausfall einer Zone und ist nur in Azure-Regionen verfügbar, die mehrere Zonen unterstützen.

Verfügbarkeit der Computeebene

Die Verfügbarkeit des Arbeitsbereichs hängt von der Verfügbarkeit der Steuerungsebene ab.

DBFS-Stammdaten sind nicht betroffen, wenn das Speicherkonto mit zonenredundanten Speicher (Zone Redundant Storage, ZRS) oder geozonenredundanten Speicher (GZRS) konfiguriert ist. Der Standardwert ist georedundanter Speicher (GRS).

Clusterknoten werden aus unterschiedlichen Verfügbarkeitszonen bezogen, indem Knoten beim Azure-Computeanbieter angefordert werden, vorausgesetzt, dass in den verbleibenden Zonen ausreichend Kapazität vorhanden ist. Wenn ein Knoten verloren geht, fordert der Cluster-Manager Ersatzknoten vom Azure-Computeanbieter an, der sie aus den verfügbaren AZs abruft. Die Ausnahme ist, wenn der Treiberknoten verloren geht. In diesem Fall startet der Cluster-Manager den Job und den Cluster neu.

Informationen zur Bestätigung der Multi-AZ-Unterstützung finden Sie in der Liste der Azure Regionen. Verwenden Sie für die Multi-AZ-Resilienz der Computeebene einen zonenredundanten Speicher.

Terminologie der Region

Diese Seite verwendet die folgenden Regionsdefinitionen:

• Primäre Region: Die Region, in der Benutzer täglich interaktive und automatisierte Datenanalyseworkloads ausführen.

• Sekundäre Region: Die Region, in der IT-Teams Workloads vorübergehend während eines Ausfalls einer primären Region verschieben.

• Georedundanter Speicher: Asynchrone regionsübergreifende Replikation des dauerhaften Speichers. Sehen Sie sich die Dokumentation Ihrer Cloud an:

  Georedundanter Speicher über Regionen (Azure) hinweg.

Terminologie zum Bereitstellungsstatus

Diese Seite verwendet die folgenden Bereitstellungsstatusdefinitionen:

• Aktive Bereitstellung (manchmal als hot deployment bezeichnet): Benutzer stellen eine Verbindung mit ihr her und führen Workloads aus. Aufträge und Datenströme werden hier im Zeitplan ausgeführt.

• Passive Bereitstellung (manchmal als kalter Bereitstellung bezeichnet): Hier werden keine Prozesse ausgeführt. IT-Teams halten sie bereit, indem sie die Bereitstellung von Code, Konfiguration und anderen Azure Databricks Objekten automatisieren. Eine passive Bereitstellung wird nur aktiv, wenn die aktive Bereitstellung ausfällt.

  Wichtig

  Ein Projekt kann mehrere passive Bereitstellungen in verschiedenen Regionen umfassen, um zusätzliche Resilienz zu erhalten.

Die meisten Teams führen jeweils eine aktive Bereitstellung aus, die aktiv-passive Strategie. Die weniger verbreitete Active-Active-Strategie verwendet zwei gleichzeitig aktive Bereitstellungen.

Terminologie der Notfallwiederherstellungsbranche

Definieren Sie diese beiden Branchenbegriffe mit Ihrem Team:

• Ziel des Wiederherstellungspunkts (RPO): Der maximale Zeitraum des Datenverlusts, den Ihr Dienst während eines schwerwiegenden Vorfalls tolerieren kann. Siehe RPO.

  Azure Databricks speichert ihre primären Kundendaten nicht. Das lebt in ADLS (für Arbeitsbereiche, die vor dem 6. März 2023 erstellt wurden, Azure Blob Storage) oder anderen Systemen, die Sie steuern. Die Azure Databricks Steuerebene speichert einige Objekte (z. B. Aufträge und Notizbücher), sodass das Azure Databricks RPO der maximale Zeitraum ist, in dem Änderungen an diesen Objekten verloren gehen können. Sie sind für die Definition des RPO für Ihre Kundendaten in ADLS (für Arbeitsbereiche, die vor dem 6. März 2023, Azure Blob Storage) erstellt wurden, und für andere Datenquellen verantwortlich, die Sie steuern.

• Wiederherstellungszeitziel (RTO): Die maximale Zeit, innerhalb der ein Geschäftsprozess nach einem Notfall wiederhergestellt werden muss. Siehe RTO.

Notfallwiederherstellung und Datenbeschädigung

Eine DR-Lösung mindert nicht die Datenkorruption. Beschädigte Daten in der primären Region werden in die sekundäre Region repliziert und sind dadurch in beiden Regionen beschädigt. Um diese Art von Fehlern zu vermeiden, verwenden Sie Delta-Zeitreisen, ähnliche Tools oder Datensicherungstools.

• Muss Ihre DR-Lösung interaktive Prozesse, automatisierte Prozesse oder beides berücksichtigen?
• Welche Datendienste nutzen Sie? Einige könnten On-Premises sein.
• Wie kommen Eingabedaten in die Cloud?
• Wer nutzt diese Daten? Welche Prozesse nutzen es im weiteren Verlauf?
• Gibt es Integrationen von Drittanbietern, die sich über DR-Änderungen informieren müssen?

• Können Sie Ihre Konfiguration vordefinieren und modular gestalten, um DR-Lösungen auf natürliche und wartungsfähige Weise zu unterstützen?
• Welche Kommunikationstools und -kanäle benachrichtigen interne Teams und Drittanbieter (Integrationen, Downstream-Consumer) über DR-Failover- und Failbackänderungen? Wie bestätigen Sie ihre Bestätigung?
• Welche Dienste schalten Sie gegebenenfalls ab, bis die vollständige Wiederherstellung erfolgt ist?

Allgemeine bewährte Methoden

Zu den allgemeinen bewährten Methoden für einen erfolgreichen DR-Plan gehören:

1. Verstehen, welche Prozesse für das Unternehmen kritisch sind und in DR ausgeführt werden müssen.
2. Identifizieren Sie eindeutig, welche Dienste beteiligt sind, welche Daten verarbeitet werden, was der Datenfluss ist und wo sie gespeichert wird.
3. Isolieren Sie die Dienste und Daten so weit wie möglich. Erstellen Sie beispielsweise einen speziellen Cloudspeichercontainer für die DR-Daten, oder verschieben Sie Azure Databricks Objekte, die während eines Notfalls in einen separaten Arbeitsbereich erforderlich sind.
4. Sie sind für die Aufrechterhaltung der Integrität zwischen primären und sekundären Bereitstellungen für Objekte verantwortlich, die nicht in der Azure Databricks Kontrollebene gespeichert sind.
5. Verwenden Sie für Datenquellen systemeigene Azure Tools, um Daten nach Möglichkeit in Ihre DR-Regionen zu replizieren.

Aktiv/Passiv-Lösungsstrategie

Dieser Abschnitt konzentriert sich auf die aktiv-passive Strategie, da sie am häufigsten, am einfachsten und kostengünstigsten ist. Eine aktiv passive Lösung synchronisiert Daten- und Objektänderungen von Ihrer aktiven Bereitstellung mit einer passiven Bereitstellung in einer sekundären Region. Während eines DR-Ereignisses wird die passive Bereitstellung zur aktiven.

Zwei gängige Varianten:

• Einheitlich (unternehmensweit): Ein Satz aktiver und passiver Bereitstellungen für die gesamte Organisation.
• Nach Abteilung oder Projekt: Jede Domäne verwaltet eine eigene DR-Lösung mit primären und sekundären Regionen, die auf ihre Anforderungen zugeschnitten sind.

Sie können auch eine passive Bereitstellung für schreibgeschützte Workloads verwenden, z. B. für Benutzerabfragen, die weder Daten noch Azure-Databricks-Objekte ändern.

Aktiv/Aktiv-Lösungsstrategie

In einer aktiven Lösung werden alle Datenprozesse in beiden Regionen jederzeit parallel ausgeführt. Ihr Operations-Team darf jeden Auftrag erst dann als abgeschlossen markieren, nachdem er in beiden Regionen erfolgreich abgeschlossen wurde. Objekte können in der Produktion nicht geändert werden und müssen einem strikten CI/CD-Promotionsprozess von der Entwicklungs-/Staging-Umgebung in die Produktion folgen.

Aktiv-Aktiv ist die komplexeste Strategie und verursacht höhere Kosten, da Workloads in beiden Regionen ausgeführt werden, bietet jedoch die niedrigsten RTO- und RPO-Werte.

Sie können eine Aktiv-Aktiv-Konfiguration unternehmensweit oder abteilungsweise implementieren. Sie benötigen keinen doppelten Arbeitsbereich für jede Workload. Beispielsweise sind Entwicklungs- oder Staging-Arbeitsbereiche oft einfacher aus einer Entwicklungspipeline zu rekonstruieren als zu synchronisieren.

Wählen Sie Ihre Tools

Es gibt zwei Hauptansätze für die Synchronisierung von Daten zwischen Arbeitsbereichen in Ihren primären und sekundären Regionen:

• Synchronisierungsclient, der vom primären in das sekundäre Region kopiert: Ein Synchronisierungsclient überträgt Produktionsdaten und Ressourcen aus der primären in die sekundäre Region. In der Regel wird dies auf geplanter Basis ausgeführt, und die Zeitplanhäufigkeit hängt von Ihrem Ziel-RTO und RPO ab.
• CI/CD-Tools für die parallele Bereitstellung: Verwenden Sie für Produktionscode und Ressourcen CI/CD-Tools, die Änderungen gleichzeitig an Produktionssysteme in beide Regionen pushen. Wenn Sie z. B. Code und Ressourcen aus Staging/Entwicklung in die Produktion pushen, stellt ein CI/CD-System ihn gleichzeitig in beiden Regionen zur Verfügung. Der Kerngedanke besteht darin, alle Artefakte in einem Azure Databricks Arbeitsbereich als Infrastructure-as-Code zu behandeln. Die meisten Artefakte können sowohl für primäre als auch für sekundäre Arbeitsbereiche gemeinsam bereitgestellt werden, während einige Artefakte möglicherweise erst nach einem DR-Ereignis bereitgestellt werden müssen. Tools finden Sie unter Automatisierungsskripts, Beispiele und Prototypen.

Je nach Ihren Anforderungen können Sie die Ansätze kombinieren. Verwenden Sie beispielsweise CI/CD für Notebook Quellcode, aber verwenden Sie die Synchronisierung für die Konfiguration wie Pools und Zugriffssteuerungen.

In der folgenden Tabelle wird beschrieben, wie sie jeden Datentyp mit jeder Tooloption behandeln.

Auswählen von Regionen und mehreren sekundären Arbeitsbereichen

Sie steuern, wann DR ausgelöst wird und zu welcher sekundären Region Sie ein Failover durchführen. Sie sind auch für die Stabilisierung der DR-Umgebung verantwortlich, bevor Sie den normalen Betrieb fortsetzen. Dies bedeutet in der Regel, mehrere Azure Databricks Arbeitsbereiche für Die Produktion und DR zu erstellen und dann einen sekundären Failoverbereich auszuwählen.

Bevor Sie Ihre sekundäre Region auswählen, vergewissern Sie sich, dass alle Ressourcen und Dienste, von denen Sie abhängig sind (Computetypen, Produkte, Integrationen) verfügbar sind. Einige Azure Databricks Dienste sind nur in bestimmten Regionen verfügbar.

Überprüfen Sie auch die Verfügbarkeit der Datenreplikation und des VM-Typs.

Batchverarbeitung aus Datenquellen

Batchdaten befinden sich in der Regel in einer Quelle, die Sie replizieren oder an eine andere Region übermitteln können.

Daten werden z. B. häufig nach einem Zeitplan in den Cloudspeicher hochgeladen. Leiten Sie im DR-Modus diese Uploads an den Speicher in Ihrer sekundären Region weiter und passen Sie die Workloads so an, dass sie aus diesem Speicher lesen und in ihn schreiben.

Datenströme

Die Verarbeitung eines Datenstroms ist eine größere Herausforderung. Streamingdaten können aus verschiedenen Quellen aufgenommen, verarbeitet und an eine Streaming-Lösung gesendet werden.

• Nachrichtenwarteschlange wie Kafka
• Datenbankänderungsdaten-Erfassungsstrom
• Dateibasierte fortlaufende Verarbeitung
• Dateibasierte geplante Verarbeitung, auch als Einmal-Auslöser bekannt

In all diesen Fällen müssen Sie Ihre Datenquellen so konfigurieren, dass sie den DR-Modus unterstützen und Ihre sekundäre Bereitstellung in Ihrer sekundären Region verwenden.

Ein Datenstrom-Schreiber speichert einen Prüfpunkt mit Informationen über die verarbeiteten Daten. Dieser Prüfpunkt kann einen Datenspeicherort (normalerweise Cloudspeicher) enthalten, der zu einem neuen Speicherort geändert werden muss, um einen erfolgreichen Neustart des Datenstroms sicherzustellen. Beispielsweise kann der Unterordner source unter dem Prüfpunkt den dateibasierten Cloudordner speichern.

Dieser Prüfpunkt muss rechtzeitig repliziert werden. Erwägen Sie die Synchronisierung des Prüfpunktintervalls mit einer neuen Cloudreplikationslösung.

Das Aktualisieren von Prüfpunkten ist eine Funktion des Schreibers und betrifft daher den Datenstrom bei der Aufnahme, Verarbeitung und Speicherung auf einer anderen Streaming-Quelle.

Stellen Sie für Streamingworkloads sicher, dass Prüfpunkte im vom Kunden verwalteten Speicher konfiguriert sind, damit sie für die Wiederaufnahme der Workload ab dem Zeitpunkt des letzten Fehlers in die sekundäre Region repliziert werden können. Sie können auch den sekundären Streamingprozess parallel zum primären Prozess ausführen.

Bereiten Sie für jeden der folgenden Punkte einen Plan für Failover vor, und testen Sie alle Annahmen:

• Erfassung: Verstehen Sie, wo Sich Ihre Datenquellen befinden und wo diese Quellen ihre Daten erhalten. Wenn möglich, parametrisieren Sie die Quelle, und verwenden Sie eine separate Konfigurationsvorlage für die sekundäre Bereitstellung und Region.
• Ausführungsänderungen: Wenn Sie einen Planer zum Auslösen von Aufträgen oder anderen Aktionen haben, benötigen Sie möglicherweise einen separaten Zeitplan, der mit der sekundären Bereitstellung oder den zugehörigen Datenquellen funktioniert.
• Interaktive Konnektivität: Erwägen Sie, wie Konfiguration, Authentifizierung und Netzwerkverbindungen von regionalen Unterbrechungen für jede Verwendung von REST-APIs, CLI-Tools oder anderen Diensten wie ODBC betroffen sind.
• Automatisierungsänderungen: Für alle Automatisierungstools.
• Ausgaben: Für alle Tools, die Ausgabedaten oder Protokolle generieren.
• Nachgeschaltete Änderungen: Planen Sie für BI-Tools, Dashboards, Zeitplanungen und Drittanbieterintegrationen, die aus Azure Databricks lesen oder schreiben, wie Sie sie im sekundären Arbeitsbereich erneut anzeigen und deren Besitzer benachrichtigen.

Testfailover

Viele Szenarien können DR auslösen: ein unerwarteter Ausfall im Cloud-Netzwerk, Cloud-Speicher oder in einem anderen Kerndienst, bei dem kein ordnungsgemäßes Herunterfahren möglich ist; eine geplante Abschaltung oder ein geplanter Ausfall; oder sogar der regelmäßige Wechsel zwischen Regionen im Rahmen Ihres Testzyklus.

Zum Testen des Failovers stellen Sie eine Verbindung mit dem System her, und führen Sie ein Herunterfahren aus. Vergewissern Sie sich, dass alle Aufträge abgeschlossen sind und Cluster beendet werden.

Ein Synchronisierungsclient (oder CI/CD-Tooling) repliziert relevante Azure Databricks Objekte und Ressourcen in den sekundären Arbeitsbereich. Um den sekundären Arbeitsbereich zu aktivieren, kann ihr Prozess einige oder alle der folgenden Elemente umfassen:

1. Führen Sie Tests aus, um sicherzustellen, dass die Plattform auf dem neuesten Stand ist.
2. Deaktivieren Sie Pools und Cluster für die primäre Region, sodass diese nicht mit der Verarbeitung neuer Daten beginnt, wenn der ausgefallene Dienst wieder online geht.
3. Führen Sie den Wiederherstellungsvorgang für Ihre Datenquellen aus (siehe unten).
4. Starten Sie relevante Pools (oder erhöhen Sie die min_idle_instances Zahl auf eine relevante Zahl).
5. Starten Sie relevante Cluster, falls sie nicht bereits beendet sind.
6. Ändern Sie die parallele Ausführung für Jobs und führen Sie die entsprechenden Jobs aus. Das können einmalige Durchläufe oder regelmäßige Durchläufe sein.
7. Aktualisieren Sie für alle externen Tools, die eine URL oder einen Domänennamen für Ihren Azure Databricks-Arbeitsbereich verwenden, die Konfigurationen, um die neue Steuerungsebene zu berücksichtigen. Aktualisieren Sie beispielsweise URLs für REST-APIs und JDBC-/ODBC-Verbindungen. Die kundenorientierte URL der Azure Databricks-Webanwendung ändert sich, wenn sich die Steuerungsebene ändert. Benachrichtigen Sie daher die Benutzer Ihrer Organisation über die neue URL.

Details des Wiederherstellungsvorgangs

1. Überprüfen Sie das Datum der letzten synchronisierten Daten. Siehe Terminologie der Notfallwiederherstellung. Die Details dieses Schritts variieren je nachdem, wie Sie Daten und Ihre individuellen Geschäftsanforderungen synchronisieren.
2. Stabilisieren Sie Ihre Datenquellen, und stellen Sie sicher, dass sie alle verfügbar sind. Schließen Sie alle externen Datenquellen wie Azure Cloud SQL sowie Ihren Delta Lake, Parquet oder andere Dateien ein.
3. Finden Sie Ihren Wiederherstellungspunkt für Streaming. Richten Sie den Prozess ein, um von dort aus neu zu starten, und haben Sie einen Prozess bereit, potenzielle Duplikate zu identifizieren und zu beseitigen (Delta Lake erleichtert dies).
4. Schließen Sie den Datenflussprozess ab, und informieren Sie die Benutzer.

Testwiederherstellung (Failback)

Das Failback ist einfacher zu steuern und kann in einem Wartungsfenster ausgeführt werden. Planen Sie einige oder alle der folgenden Schritte:

1. Erhalten Sie eine Bestätigung, dass die primäre Region wiederhergestellt wurde.
2. Deaktivieren Sie Pools und Cluster in der sekundären Region, damit keine neuen Daten verarbeitet werden.
3. Synchronisieren Sie alle neuen oder geänderten Ressourcen im sekundären Arbeitsbereich mit der primären Bereitstellung. Je nach Entwurf Ihrer Failoverskripts können Sie möglicherweise dieselben Skripts ausführen, um Objekte aus der sekundären Region (DR) mit der primären Region (Produktionsregion) zu synchronisieren.
4. Synchronisieren Sie alle neuen Datenaktualisierungen zurück zur primären Bereitstellung. Sie können die Überwachungspfade von Protokollen und Delta-Tabellen verwenden, um keinen Datenverlust zu gewährleisten.
5. Beenden Sie alle Workloads in der DR-Region.
6. Ändern Sie die URL für Jobs und Benutzer auf die primäre Region, und verweisen Sie nachgelagerte Verbindungen (BI-Tools, Scheduler, Integrationen von Drittanbietern) wieder auf diese zurück.
7. Führen Sie Tests aus, um sicherzustellen, dass die Plattform auf dem neuesten Stand ist.
8. Starten Sie relevante Pools (oder erhöhen Sie die min_idle_instances Zahl auf eine relevante Zahl).
9. Starten Sie relevante Cluster, falls sie nicht bereits beendet sind.
10. Ändern Sie die gleichzeitige Ausführung von Jobs und führen Sie relevante Jobs aus. Das können einmalige Durchläufe oder regelmäßige Durchläufe sein.
11. Richten Sie bei Bedarf ihre sekundäre Region für zukünftige DR-Dateien erneut ein.