oraclewhitepapers.com

Что такое отказоустойчивость в enterprise: RAC, Data Guard и базовые сценарии

23.04.2026 23 мин. Безопасность и отказоустойчивость
$ cat requirements.txt
Время чтения: 23 мин.
Тип: Оригинал
Область: Безопасность и отказоустойчивость

Когда корпоративная система останавливается, бизнес почти сразу начинает считать потери. И речь обычно не только о прямом недополученном доходе. Останавливаются платежи, зависают интеграции, ломаются SLA, накапливаются очереди в middleware, пользователи начинают дублировать операции, а поддержка получает лавину инцидентов. В реальных enterprise-проектах простой базы данных — это не абстрактная неприятность, а вполне измеримый ущерб, который в некоторых отраслях действительно может исчисляться миллионами за час.

Именно поэтому отказоустойчивость в корпоративной инфраструктуре рассматривают не как дополнительную функцию, а как базовый архитектурный принцип. Её нельзя «прикрутить» в конце проекта одной галочкой в настройках. Она закладывается в топологию площадок, в сетевую связность, в схему хранения данных, в клиентские драйверы, в connection pool приложений и, что особенно важно, в операционные процедуры команды эксплуатации.

Ниже разберём, что на практике означает отказоустойчивость для Oracle Database, как в этой логике работают RAC и Data Guard, какие типы сбоев они действительно покрывают, а где у каждого подхода есть жёсткие границы. Материал особенно полезен DBA, архитекторам, DevOps-инженерам и тем, кто проектирует или сопровождает критичные корпоративные системы, где вопрос звучит не «упадёт ли что-то», а «что произойдёт, когда это неизбежно случится».

Отказоустойчивость: определение и контекст

Что такое отказоустойчивость

Отказоустойчивость (resilience, high availability — HA) — это способность системы продолжать работу при отказе одного или нескольких компонентов. Важный акцент здесь именно на слове продолжать. Не просто быстро восстановиться после ручного вмешательства, а пережить сбой с минимальным влиянием на бизнес-процесс, пользователей и данные.

Если смотреть на это глазами корпоративной эксплуатации, то отказоустойчивость базы данных означает сразу несколько вещей:

  • Минимизация простоя: при сбое серверов, процессов, сетевых связей или отдельных компонентов приложения не должны зависать на часы, пока кто-то вручную разбирается с инфраструктурой.
  • Автоматическое восстановление: платформа должна сама отработать предсказуемый сценарий переключения на резервный ресурс, без обязательного участия администратора в первые секунды инцидента.
  • Защита данных: коммитированные транзакции не должны теряться из-за падения процесса, узла или целой площадки — по крайней мере, если архитектура заявляет соответствующий RPO.
  • Прозрачность для приложений: клиентская логика по возможности не должна «знать», что внутри произошёл failover, перераспределение сессий или смена primary/standby-роли.

На практике это означает, что отказоустойчивость — не отдельный продукт, а совокупность механизмов на нескольких уровнях: кластеризация, репликация, хранение, сетевой дизайн, мониторинг, корректно настроенные таймауты, TAF/FAN/connection retry и дисциплина тестирования. Очень часто именно последние два пункта ломают красивую архитектуру: инфраструктура формально готова к failover, а приложение — нет.

Важно не путать отказоустойчивость с резервным копированием. Backup — это средство восстановления после уже случившейся катастрофы, логической ошибки или повреждения данных. HA — это архитектура, которая позволяет системе не остановиться или остановиться на минимально возможное время в момент отказа. В enterprise это две разные линии защиты, и одна не заменяет другую.

Практический нюанс: наличие резервной копии ещё не означает приемлемый RTO. Восстановить крупную БД из backup теоретически можно, но для production-системы с жёстким SLA это часто уже слишком поздно.

Почему это критично в enterprise

В корпоративной среде даже 15 минут простоя могут оказаться критичными. Причём последствия часто выходят далеко за пределы ИТ-контура:

  • Останавливается обработка платежей
  • Срываются критичные бизнес-процессы
  • Пользователи теряют доверие к сервису
  • Компания получает штрафы за нарушение SLA (Service Level Agreement)

Поэтому enterprise-системы обычно проектируют исходя из целевых показателей доступности — 99.9% или 99.99%. В пересчёте это означает не более 43 минут простоя в месяц или около 4 минут соответственно. Такие цифры быстро отрезвляют: если на восстановление после сбоя у команды уходит полчаса просто на сбор контекста, о 99.99% можно забыть.

Именно по этой причине разговор об отказоустойчивости всегда должен начинаться не с конкретной технологии, а с требований бизнеса к RTO и RPO. Без этого невозможно понять, достаточно ли Oracle Restart, нужен ли RAC, оправдан ли Data Guard в синхронном режиме и стоит ли строить вторую площадку.

Уровни отказов и их последствия

Прежде чем обсуждать конкретные механизмы, важно понять, какие отказы вообще бывают и чем они отличаются по последствиям. Это ключевой момент: одна технология отлично закрывает локальный сбой узла, но совершенно бесполезна при потере хранилища или площадки целиком.

Типичные сценарии отказов в enterprise

Сценарий Примеры Время восстановления без HA Влияние на данные
Сбой процесса БД Crash базы, Out of Memory, deadlock 5–15 минут (перезагрузка) Нет потерь (транзакции откатываются)
Сбой сервера Hardware failure, kernel panic 30–60 минут (переключение + проверка) Риск потерь при несинхронизированной репликации
Отказ диска Failure хранилища, I/O ошибки 2–4 часа (восстановление, проверка целостности) Потери данных без резервирования
Сетевой отказ Разрыв соединения между компонентами 5–30 минут (переключение) Зависит от консистентности данных
Региональный отказ Пожар в ЦОД, стихийное бедствие Дни (если нет удалённой копии) Полная потеря данных

Эта таблица хорошо показывает главный принцип enterprise-архитектуры: отказы бывают разного масштаба, и нельзя рассчитывать закрыть все риски одним инструментом. RAC отлично помогает пережить падение узла или процесса, но ничего не даст, если потеряно общее хранилище. Data Guard, наоборот, спасает при отказе площадки или storage, но не заменяет локальную кластеризацию там, где важны секунды при сбое одного сервера.

В Oracle Database первые четыре категории можно покрывать средствами высокой доступности внутри архитектуры БД и инфраструктуры вокруг неё. Региональный отказ уже относится к классу disaster recovery и требует вынесенной standby-копии, отдельной площадки и заранее подготовленного сценария переключения.

RAC: локальная отказоустойчивость через кластеризацию

Как работает RAC

RAC (Real Application Clusters) — это кластерная архитектура Oracle, в которой несколько серверов, обычно от 2 до 4 узлов, а иногда и больше, одновременно работают с одной и той же базой данных, размещённой на общем хранилище. Каждый узел запускает собственный экземпляр Oracle, но все они обращаются к единому набору данных.

Ключевая идея RAC проста: если один узел выходит из строя, остальные продолжают обслуживать сессии и выполнять запросы к той же базе. Для бизнеса это означает локальную высокую доступность без полной остановки сервиса. Для инженера — серьёзную цену этой прозрачности, потому что согласованная работа нескольких инстансов с общей БД требует очень аккуратной настройки сети, storage и cluster stack.

На практике RAC используют не только ради отказоустойчивости, но и ради масштабирования. Однако здесь важно не идеализировать технологию: RAC хорошо работает там, где нагрузка действительно распараллеливается между узлами и приложение умеет жить в кластерной среде. Если же workload создаёт много межузлового cache fusion-трафика или постоянно тянет «горячие» блоки между инстансами, ожидаемого выигрыша может не быть.

Архитектура RAC

Компоненты:

  1. Shared Storage: единое хранилище (SAN, NAS), доступное всем узлам
  2. Oracle Instances: отдельные процессы Oracle на каждом узле
  3. Cluster Interconnect: высокоскоростная сеть между узлами (обычно Infiniband или Gigabit Ethernet)
  4. GES (Global Enqueue Service): распределённый менеджер блокировок, обеспечивающий консистентность

С архитектурной точки зрения самое чувствительное место здесь — не сами инстансы, а связка shared storage + interconnect + cluster services. Если interconnect нестабилен, растут задержки cache fusion, начинаются ложные подозрения на node eviction, а при плохом сетевом дизайне кластер может вести себя заметно хуже, чем ожидают на этапе закупки.

GES и связанные с ним механизмы глобальной координации обеспечивают согласованность доступа к данным между узлами. Это один из фундаментальных элементов RAC: система должна точно понимать, какой инстанс в данный момент владеет нужным блоком и как безопасно передать этот блок другому узлу. Именно из-за этого RAC предъявляет повышенные требования к задержкам и стабильности межузловой сети.

Практический совет: при проектировании RAC почти всегда стоит отдельно проверять не только пропускную способность interconnect, но и предсказуемость latency. Для cluster stack кратковременные сетевые «дрожания» часто опаснее, чем просто умеренно высокая, но стабильная задержка.

Как RAC обеспечивает отказоустойчивость

Когда, например, Node 1 выходит из строя, кластер через heartbeat-механизмы фиксирует потерю узла за считанные секунды. После этого surviving nodes перераспределяют ресурсы, освобождают или перехватывают необходимые блокировки, а клиенты, подключённые к аварийному узлу, получают разрыв соединения.

Дальше критично вступает в игру уже не только сам RAC, но и клиентская сторона:

  1. Кластер (через Cluster Heartbeat) обнаруживает отказ за несколько секунд
  2. Node 2 берёт на себя блокировки и ресурсы Node 1
  3. Приложения, подключённые к Node 1, получают ошибку соединения
  4. Connection Pool (в приложении) автоматически переключается на Node 2
  5. Транзакции перезапускаются, данные целы

Время восстановления обычно составляет 10–30 секунд, хотя в реальной эксплуатации это зависит от настроек clusterware, сетевых таймаутов, профиля нагрузки и того, насколько корректно ведёт себя приложение при потере сессии. Формально кластер может отработать быстро, но если пул соединений держит длинные таймауты или приложение не умеет повторно выполнять прерванную бизнес-операцию, фактический простой для пользователя окажется больше.

Это один из самых частых источников разочарования в проектах: инфраструктурная команда демонстрирует быстрый node failover, а прикладная команда потом обнаруживает, что часть запросов зависает до исчерпания TCP timeout. Поэтому RAC имеет смысл оценивать только вместе с полным стеком — от SCAN/listener до JDBC/OCI-клиента и логики retry.

Преимущества RAC

  • ✅ Высокая скорость восстановления при отказе узла
  • ✅ Нет потерь данных (всё на одном диске)
  • ✅ Масштабируемость: можно добавлять узлы для увеличения пропускной способности
  • ✅ Автоматическое переключение

К этим преимуществам обычно добавляют ещё один важный практический момент: RAC позволяет выполнять часть инфраструктурных операций более гибко — например, выводить отдельный узел в обслуживание при сохранении работы сервиса на остальных. Но это работает хорошо только при достаточном запасе ресурсов на surviving nodes и корректном распределении сервисов.

Недостатки и ограничения

  • ❌ Требует дорогого общего хранилища (SAN)
  • ❌ Сложность администрирования и настройки
  • ❌ Не защищает от отказа самого хранилища
  • ❌ Высокие требования к сетевой инфраструктуре (Cluster Interconnect)
  • ❌ Не помогает при региональных отказах

Из практики стоит добавить: RAC — это технология, которая очень не любит «почти правильно». Если storage, multipath, DNS, VIP, SCAN, MTU, bonding, time sync или fencing настроены с огрехами, проблемы проявляются не в день внедрения, а под нагрузкой или в момент отказа, когда времени на диагностику уже нет.

Кроме того, RAC сам по себе не устраняет единые точки отказа вне кластера. Общее хранилище остаётся критическим компонентом, и при его недоступности все узлы потеряют доступ к базе. Именно поэтому RAC нельзя воспринимать как универсальный ответ на все сценарии HA.

Когда использовать RAC

RAC действительно оправдан, когда выполняются следующие условия:

  • Требуется высокая доступность в одном ЦОД
  • Есть бюджет на SAN и высокоскоростную сеть
  • Нужна масштабируемость по горизонтали (больше узлов = больше параллельных запросов)
  • База данных критична, но находится в одном географическом регионе

Иными словами, RAC — это хороший выбор для локальной HA в пределах одной площадки, когда бизнес не готов мириться даже с минутами простоя при падении сервера. Но если основной риск — потеря storage, площадки или целого региона, одного RAC недостаточно, и это нужно признавать сразу, а не после первого архитектурного аудита.

Data Guard: защита от отказа хранилища и географического разделения

Как работает Data Guard

Data Guard — это механизм репликации Oracle Database на другой сервер, а чаще — на другую площадку. В отличие от простого копирования файлов, здесь используется передача и применение redo logs, то есть журналов изменений, формируемых primary-базой в процессе работы.

Идея очень практичная: primary обслуживает рабочую нагрузку, генерирует redo, а standby-база получает эти изменения по сети и воспроизводит их у себя. В результате у нас есть актуальная копия production-системы, пригодная для быстрого переключения при аварии.

Архитектура Data Guard строится вокруг primary/standby-роли и постоянной доставки redo. На бумаге это выглядит просто, но в эксплуатации всё сильно зависит от качества сети между площадками, пропускной способности канала, задержек, настроек apply и выбранного режима защиты. Именно эти параметры определяют, будет ли standby почти синхронной копией или будет заметно отставать от primary при пиках нагрузки.

Как это работает:

  1. Приложение пишет данные в Primary Database
  2. Oracle генерирует redo logs (логи операций)
  3. Redo logs передаются по сети на Standby сервер
  4. Standby применяет эти логи, воспроизводя все операции
  5. Standby всегда остаётся актуальной копией Primary

В реальных проектах ключевой вопрос всегда звучит так: насколько «актуальной» должна быть standby-копия и какую цену бизнес готов за это платить по latency и инфраструктуре. Если нужна почти нулевая потеря данных, придётся идти в синхронные режимы и мириться с более жёсткими требованиями к каналу связи. Если приоритет — производительность primary, архитектура обычно уходит в асинхронную модель с допустимым RPO.

Режимы защиты Data Guard

Режим Синхронизация Потеря данных Производительность Когда использовать
Maximum Protection Синхронная (подтверждение на обоих) Ноль Может быть медленнее Критичные данные, можно пожертвовать скоростью
Maximum Availability Синхронная, но асинхронная на ошибку Минимальная Хороший баланс Большинство enterprise-систем
Maximum Performance Асинхронная Может быть потеря Лучший Когда производительность критичнее, чем нулевая потеря

На практике чаще всего выбирают Maximum Availability как разумный компромисс между RPO и производительностью. Maximum Protection — режим для действительно жёстких требований, но он чувствителен к доступности standby и качеству канала. Если связь нестабильна, такой режим может оказаться операционно неудобным. Maximum Performance проще в эксплуатации и меньше влияет на primary, но бизнес должен осознанно принять риск потери последних транзакций при аварии.

Здесь полезно помнить простое правило: режим Data Guard — это не техническая абстракция, а фактически договор между ИТ и бизнесом о допустимой потере данных.

Failover: переключение на Standby

Если primary-база выходит из строя, standby можно перевести в роль primary и вернуть сервис в работу. В базовом виде доступны два подхода:

  1. Managed Failover (планируемый): администратор вручную переключает приложения
  2. Automatic Failover (автоматический): Oracle Data Guard Broker автоматически переключает приложения на Standby

Автоматическое переключение обычно строится вокруг Oracle Data Guard Broker и требует аккуратной настройки сетевых параметров, ролей, observer-компонента и условий failover. Формально это выглядит как автоматизация, но на деле архитектура должна быть очень хорошо выверена: ложный failover в enterprise хуже, чем задержка ручного переключения.

Время восстановления может составлять от нескольких секунд при отлаженном автоматическом сценарии до нескольких минут, если нужно ручное подтверждение, проверка консистентности и переподключение прикладного контура. В production важно считать не только время повышения standby до primary, но и полное время возврата бизнес-сервиса — включая listeners, DNS/SCAN-логику, connection pools и middleware.

Практический нюанс: если приложения жёстко привязаны к конкретному хосту или старому connect descriptor, то даже идеально настроенный failover Data Guard не даст нужного эффекта. Смена роли БД должна быть прозрачной и для клиентского слоя.

Преимущества Data Guard

  • ✅ Защита от отказа всего сервера/хранилища
  • ✅ Можно разместить Standby на расстоянии (в другом ЦОД или регионе)
  • ✅ Standby можно использовать для чтения (в режиме Active Data Guard)
  • ✅ Хороший баланс между безопасностью данных и производительностью
  • ✅ Меньше сложности, чем RAC

Особенно ценен Data Guard там, где нужно разделить риски по площадкам. Это уже не просто локальная HA, а полноценный элемент DR-стратегии. Возможность читать со standby в режиме Active Data Guard тоже полезна, хотя важно понимать её границы: это помогает разгрузить primary по отчётным и аналитическим сценариям, но не снимает проблему write-нагрузки.

Недостатки Data Guard

  • ❌ Требует сетевого канала между Primary и Standby
  • ❌ При асинхронной репликации возможна потеря последних транзакций
  • ❌ Standby в режиме read-only не помогает масштабировать нагрузку на запись
  • ❌ Требует управления двумя экземплярами базы данных

Дополнительно стоит учитывать и операционные затраты. Две базы — это не только два хоста, но и две зоны мониторинга, проверки apply lag, патчинг, контроль redo transport, тестирование switchover/failover и постоянная дисциплина в управлении ролями. В ряде организаций сама технология внедряется быстро, а вот зрелый операционный процесс вокруг неё выстраивается месяцами.

Когда использовать Data Guard

Data Guard оправдан, когда:

  • Требуется защита от отказа сервера/хранилища
  • Есть возможность развернуть Standby на расстоянии
  • Нужна гибкость в выборе уровня синхронизации
  • Бюджет позволяет содержать две копии базы данных

Если говорить проще, Data Guard — стандартный выбор там, где бизнес хочет не просто быстро перезапускать базу, а гарантированно иметь резервную площадку и контролируемый сценарий восстановления после серьёзного сбоя.

RAC + Data Guard: комбинированная архитектура

В реальных enterprise-системах часто используют оба решения вместе. И это как раз тот случай, когда комбинация оправдана архитектурно, а не выглядит избыточной роскошью.

Такой подход даёт несколько уровней защиты одновременно:

  • Локальная HA: RAC обеспечивает быстрое восстановление при отказе узла в Primary
  • Региональная DR: Data Guard обеспечивает восстановление при отказе всего Primary Site
  • Максимальная надёжность: система может пережить несколько одновременных отказов

На практике архитектура «RAC на primary + Data Guard на standby» встречается очень часто в критичных средах. Иногда standby-сайт тоже строят на RAC, если нужно сохранить ту же модель доступности после переключения. Это дорого, но логично: failover на резервную площадку мало полезен, если после него система оказывается на одном единственном сервере без запаса по отказоустойчивости и производительности.

При этом важно понимать, что комбинированная архитектура не отменяет необходимости тестировать каждый слой отдельно. Быстрый failover между RAC-узлами и успешный switchover/failover через Data Guard — это два разных сценария, и оба должны регулярно проверяться в боевом приближении.

Практические сценарии отказов и как их покрывают решения

Сценарий 1: Crash процесса Oracle

Что происходит: процесс Oracle на одном из узлов падает (Out of Memory, segmentation fault).

Покрытие RAC: ✅ Полное

  • Приложения автоматически переключаются на другой узел
  • Время простоя: 5–10 секунд

Покрытие Data Guard: ✅ Частичное (если Primary полностью упал)

  • Если это Primary, приложения должны переключиться на Standby
  • Если это Standby, простоя нет (Primary продолжает работать)

С инженерной точки зрения это один из самых «лёгких» инцидентов. Падение процесса обычно не означает потери коммитированных данных: Oracle выполнит recovery, незавершённые транзакции будут откатаны, а committed changes сохранятся. Здесь хорошо работает как локальная кластеризация, так и стандартные механизмы instance recovery.

Сценарий 2: Отказ одного сервера (Node) в RAC

Что происходит: сервер зависает, перезагружается или полностью выходит из строя.

Покрытие RAC: ✅ Полное

  • Оставшиеся узлы берут на себя нагрузку
  • Время простоя: 15–30 секунд (время обнаружения отказа + переключение)

Покрытие Data Guard: ✅ Нет (это локальная проблема)

  • Data Guard не поможет, потому что это не отказ Primary как целого

Это классический сценарий, ради которого RAC и внедряют. Но важно, чтобы surviving nodes действительно имели запас по CPU, памяти и I/O. Иначе формально кластер переживёт отказ узла, но оставшиеся инстансы окажутся перегружены, и пользователи увидят уже не простой, а тяжёлую деградацию производительности. Для бизнеса разница часто несущественна: сервис «жив», но пользоваться им невозможно.

Сценарий 3: Отказ хранилища (SAN)

Что происходит: общее хранилище становится недоступным или выходит из строя.

Покрытие RAC: ❌ Нет

  • Оба узла потеряют доступ к данным
  • Система полностью упадёт

Покрытие Data Guard: ✅ Полное

  • Если Primary потеряет доступ к хранилищу, можно переключиться на Standby
  • Время простоя: 1–5 минут (время переключения)

Это важное напоминание о том, что RAC не устраняет зависимость от shared storage. Наоборот, он делает это хранилище ещё более критичным элементом всей конструкции. Поэтому в серьёзных проектах вопрос резервирования storage, multipath и выноса standby на независимую площадку обычно рассматривается наравне с самим кластером.

Сценарий 4: Сетевой отказ между узлами RAC

Что происходит: Cluster Interconnect разрывается, узлы теряют связь друг с другом.

Покрытие RAC: ⚠️ Частичное

  • Возможен split-brain (оба узла думают, что другой упал)
  • Кластер использует Quorum (голосование) для выбора, какой раздел продолжит работу
  • Обычно меньший раздел отключается, чтобы избежать конфликта данных
  • Может привести к потере одного узла

Покрытие Data Guard: ✅ Полное (если Primary остаётся живым)

  • Если Primary теряет связь со Standby, Primary продолжает работать
  • Standby не получает обновления, пока связь не восстановится

Сетевой split — один из самых неприятных классов сбоев в кластерной среде. Он опасен не столько остановкой, сколько риском рассогласования. Именно поэтому quorum и fencing-механизмы в RAC настолько важны: кластер обязан быстро и жёстко определить, какая часть имеет право продолжать работу. Здесь нельзя позволить «двум primary» думать, что они единственные владельцы базы.

В эксплуатации такие инциденты часто связаны не с полным разрывом, а с кратковременной сетевой деградацией: потери пакетов, ошибки на интерфейсах, некорректный failover сетевого оборудования. Поэтому сетевой контур RAC требует не меньше внимания, чем сама БД.

Сценарий 5: Отказ Primary Site целиком (ЦОД горит)

Что происходит: весь Primary Site (все серверы, хранилище, сеть) становится недоступным.

Покрытие RAC: ❌ Нет

  • RAC работает только в одном месте

Покрытие Data Guard: ✅ Полное

  • Переключаемся на Standby Site
  • Время простоя: 2–10 минут (время обнаружения отказа + переключение + запуск приложений)

Это уже чистый сценарий disaster recovery. И здесь особенно хорошо видно различие между HA и DR: локальный кластер внутри площадки не спасает, если потеряна сама площадка. Единственный реальный ответ — заранее подготовленный standby-сайт, понятный runbook переключения и проверенная схема запуска прикладного контура на резервной стороне.

Как выбрать архитектуру отказоустойчивости

Матрица решений

Требование Решение RTO* RPO**
Защита от crash процесса RAC или Restart 5–15 сек 0
Защита от отказа сервера (локально) RAC 15–30 сек 0
Защита от отказа хранилища Data Guard 1–5 мин 0–несколько сек
Защита от отказа ЦОД Data Guard (удалённый) 2–10 мин 0–несколько мин
Масштабирование нагрузки на чтение RAC или Active Data Guard

RTO (Recovery Time Objective) — максимальное приемлемое время простоя.
RPO (Recovery Point Objective) — максимально допустимая потеря данных.

Эта матрица полезна как отправная точка, но в проектной практике важно смотреть шире. Например, требование «RTO 30 секунд» автоматически тянет за собой вопросы к клиентскому ПО, сети, балансировке, DNS-кешам и операционным процедурам. А требование «RPO 0» обычно быстро приводит к обсуждению синхронной репликации, latency между площадками и влияния на throughput primary.

Практические рекомендации

Для малых и средних систем (менее критичные):

  • Используйте простой Restart (автоматический перезапуск базы)
  • Добавьте резервные копии на случай потери данных
  • Стоимость: минимальная

Это разумный вариант там, где бизнес готов пережить минуты или даже часы восстановления, а стоимость полноценной HA-архитектуры не окупается.

Для критичных систем в одном ЦОД:

  • Используйте RAC (2–3 узла)
  • Добавьте резервное хранилище (RAID на SAN)
  • Стоимость: высокая (SAN, дополнительные серверы)

Здесь смысл в быстром переживании локальных инфраструктурных отказов. Но важно заранее признать ограничение: один ЦОД — это всё ещё один ЦОД.

Для критичных систем с требованием Disaster Recovery:

  • Используйте RAC на Primary + Data Guard на Standby (может быть тоже RAC)
  • Используйте синхронную репликацию (Maximum Availability)
  • Стоимость: очень высокая (два полных комплекта инфраструктуры)

Это уже типичная enterprise-конфигурация для сервисов, где и локальная, и региональная устойчивость одинаково критичны.

Для систем с требованием нулевой потери данных:

  • Используйте RAC + Data Guard в режиме Maximum Protection
  • Добавьте мониторинг и автоматическое восстановление
  • Стоимость: максимальная, требует серьёзной инженерной работы

Это самый требовательный сценарий. В таких проектах важно учитывать не только стоимость лицензий и железа, но и зрелость команды. Нулевая потеря данных — это не только технология, но и дисциплина эксплуатации.

Как проверить, что отказоустойчивость работает

Одна из типичных ошибок — считать архитектуру отказоустойчивой по факту установки компонентов. На практике HA существует только в том случае, если её регулярно тестируют. Система, которую ни разу не переводили через реальный сценарий отказа, не считается подтверждённо отказоустойчивой.

Тестирование RAC

Тест 1: Отключение одного узла

Задача такого теста — проверить, как быстро clusterware обнаруживает потерю ноды, как перераспределяются сервисы и как ведёт себя прикладной connection pool. Важно замерять не только время node eviction, но и реальное восстановление пользовательских транзакций.

Тест 2: Имитация сетевого отказа

Этот сценарий проверяет более сложный класс проблем: split-brain, quorum, fencing и корректность реакции кластера на деградацию interconnect. Такие тесты особенно полезны после изменений в сетевой инфраструктуре, миграции на новые коммутаторы или изменения MTU/bonding-политик.

Практический совет: проводите RAC-тесты не только в техническое окно, но и хотя бы периодически под реалистичной прикладной нагрузкой. Многие проблемы connection failover видны только при живых сессиях и активных транзакциях.

Тестирование Data Guard

Тест 1: Проверка синхронизации

Нужно регулярно сверять sequence#, transport lag и apply lag. Если sequence# совпадают, Standby находится в синхронизации.

Такой контроль полезен не только в момент внедрения, но и как постоянная эксплуатационная процедура. Standby, который формально существует, но фактически отстаёт на десятки минут, даёт ложное чувство безопасности.

Тест 2: Имитация failover

После этого приложения должны переключиться на новый Primary (бывший Standby).

Важно проверять не только сам факт смены роли, но и то, как меняется поведение приложений, batch-процессов, интеграций, ETL и мониторинга. Очень часто именно внешние зависимости оказываются не готовы к роли нового primary.

Мониторинг в production

Используйте:

  • Oracle Enterprise Manager: встроенный мониторинг состояния RAC и Data Guard
  • Custom scripts: проверка v$instance, v$cluster_interconnects, v$dataguard_status
  • Alerting: настройка алертов при отказе узла или разрыве синхронизации

На практике хороший мониторинг HA должен фиксировать не только факт аварии, но и ранние симптомы: рост apply lag, ошибки redo transport, нестабильность interconnect, проблемы listener/service registration, исчерпание FRA, скачки I/O latency. Чем раньше замечен дрейф параметров, тем выше шанс не довести ситуацию до реального отказа.

Часто задаваемые вопросы

Можно ли обойтись без RAC и Data Guard?

Да, если система некритична. В этом случае опора делается на качественную систему резервного копирования и восстановления. Но нужно честно понимать последствия: при отказе базы восстановление из backup обычно занимает часы, а иногда и больше — особенно если база крупная, требуется roll-forward и последующая верификация приложения.

Сколько стоит RAC и Data Guard?

Стоимость складывается из нескольких компонентов:

  • Лицензии Oracle: RAC и Data Guard включены в Enterprise Edition
  • Инфраструктура: SAN для RAC, второй сервер для Data Guard
  • Администрирование: требуется опытный DBA

Ориентир по порядку затрат — $100–500 тыс. за полный setup, в зависимости от масштаба, требований и региона. На практике к этому стоит добавлять стоимость сетевой инфраструктуры, резервирования площадки, мониторинга и регулярного тестирования. В enterprise главным расходом часто оказывается не сама установка, а долгосрочная эксплуатация.

Что лучше: RAC или Data Guard?

Это не выбор в формате «или». Эти технологии решают разные задачи:

  • RAC — защита от отказа отдельного сервера в одном месте
  • Data Guard — защита от отказа всего места или хранилища

Поэтому для максимальной надёжности используют оба механизма вместе. Если же нужно выбрать что-то одно, решение всегда должно опираться на конкретные риски: локальные node failure, проблемы storage, требования DR, RTO/RPO и бюджет.

Как быстро переключиться с Primary на Standby?

  • Автоматический failover: 10–30 секунд (если настроен Broker)
  • Ручной failover: 2–5 минут (время на команды + проверку)

Эти цифры реалистичны только при условии, что сам процесс уже отработан и приложения умеют корректно переподключаться. В неподготовленной среде фактическое переключение может занять дольше из-за внешних зависимостей, ручных согласований и непредвиденных действий операторов.

Теряются ли данные при failover?

Зависит от режима Data Guard:

  • Maximum Protection: нет потерь
  • Maximum Availability: потеря последних 1–10 секунд (в худшем случае)
  • Maximum Performance: может