通过

部署仲裁见证

本文介绍了三种类型的仲裁见证,可根据你的环境的特定需求和拓扑进行部署。 通过了解这些见证类型,可以定制群集配置,以最符合网络环境的特定设计和复原需求。

每种仲裁见证类型都有其自己的要求和注意事项。 本指南中概述的是每种见证类型的特定先决条件和配置步骤,因此可以选择并实现最符合环境需求的解决方案。 如果使用的是 Windows Server 2012 R2 及更高版本,建议始终配置见证。 更高版本的 Windows Server 中的群集自动管理使用动态仲裁进行的见证投票及其节点投票。

先决条件

若要配置云见证,需要满足以下条件:

  • 必须在你的设备上安装和配置故障转移群集功能。 若要了解详细信息,请参阅 安装或卸载角色、角色服务或功能

  • 必须具有一个 Azure 帐户,该帐户应拥有活动订阅和有效的 Azure 常规用途存储帐户。 在此存储帐户中,云见证会创建 msft-cloud-witness 容器来存储投票仲裁所需的 Blob 文件。 可以使用此帐户及云见证自动创建的msft-cloud-witness容器,在多个不同的群集中配置云见证。 每个群集都有自己的 Blob 文件,该文件存储在容器中。

  • 创建 Azure 存储帐户时,如果要为其配置云见证的群集位于本地或位于同一 Azure 区域和可用性区域中的 Azure 中,请在配置复制字段时选择本地冗余存储 (LRS)。 如果群集位于同一 Azure 区域,但在不同的可用性区域中,请转而选择“区域冗余存储(ZRS)”。

  • 创建 Azure 存储帐户时,Azure 会将其与自动生成的主访问密钥和辅助访问密钥相关联。 首次设置云见证时,建议使用主访问密钥。 然后,可使用主访问密钥,也可使用辅助访问密钥。

  • 必须确保故障转移群集和 Azure 存储帐户服务之间的所有防火墙都允许来自端口 443(也称为 HTTPS 端口)的流量。 云见证使用 Azure 存储服务的 HTTPS REST 接口。 因此,必须在故障转移群集中的所有节点上打开端口 443,这样云见证才能按预期工作。

还必须使用以下受支持的方案之一:

  • 拉伸多站点群集的灾难恢复。

  • 没有共享存储的故障转移群集,例如 SQL Always On。

  • 在 Microsoft Azure 虚拟机角色或任何其他公有云中托管的来宾 OS 内运行的故障转移群集。

  • 由在来宾 OS 中运行的私有云中托管的 VM 构成的故障转移群集。

  • 带有或不带共享存储的存储群集,例如横向扩展文件服务器群集。

  • 小型分支机构群集,甚至双节点群集。

注释

云见证与以下类型的 Azure 存储帐户不兼容:

  • Blob 存储
  • Azure 高级存储

若要配置磁盘见证,需要满足以下条件:

  • 必须在你的设备上安装和配置故障转移群集功能。 若要了解详细信息,请参阅 安装或卸载角色、角色服务或功能

  • 共享存储:用于见证的磁盘必须是可供群集中的所有节点访问的共享磁盘,通常由存储区域网络(SAN)或其他共享存储技术提供。

  • 磁盘配置

    • 不应为磁盘见证分配驱动器号或用于任何其他目的,例如托管用户数据或应用程序。
    • 配置为基本磁盘,而不是动态磁盘。
    • 格式化为 NTFS 或 ReFS for Windows Server 2012 及更高版本。
    • 最小磁盘大小必须大于 512MB。

若要配置文件共享见证,需要满足以下条件:

  • 必须在你的设备上安装和配置故障转移群集功能。 若要了解详细信息,请参阅 安装或卸载角色、角色服务或功能

  • 你在故障转移群集上具有“完全控制”权限。

  • 用于在见证设备上配置文件共享的管理凭据。

  • 用于托管文件共享见证的设备,必须支持 SMB 2 或更高版本。

  • 如果为文件共享使用未加入域的设备,群集必须运行 Windows Server 2019 或更高版本。

  • 文件共享必须专用于单个群集,不用于存储用户或应用程序数据。

  • 托管文件共享见证的设备必须至少有 5 MB 的可用空间。

  • 文件共享在物理上应与群集节点或群集站点分开。 例如,如有必要,请考虑分离网络、电源、机架和房间。 如果群集节点或站点之间的网络通信中断,这种隔离会增加群集节点或站点保持正常运行的可能性。

警告

故障转移群集不支持使用分布式文件系统 (DFS) 或复制存储技术。 DFS 可能会导致空间分区或时间分区,其中群集节点独立运行,可能引发数据丢失。

创建文件共享

文件共享见证可以托管在已加入域的 Windows 设备上,也可以托管在未加入域的设备上,例如网络连接存储 (NAS) 设备、已加入工作组的 Windows 设备或具有本地 USB 存储的路由器。 您还可以使用单独的故障转移集群来确保文件共享的高可用性。 可以将单个文件服务器配置为多个文件共享,这些文件共享可以作为多个群集的见证。

必须先创建一个文件共享,然后才能配置文件共享见证。 以下步骤允许您为已加入域的 Windows 设备和未加入域的设备设置文件共享。 选择与您的情景相关的选项卡。

若要在已加入域的 Windows 设备上配置文件共享见证服务,请按照以下步骤操作:

重要

SMB 文件共享必须托管在与该群集属于同一 Active Directory 林的 Windows 服务器上。

  1. 右键单击“ 开始”,选择 “计算机管理”。

  2. 计算机管理控制台 中,展开 “系统工具 > 共享文件夹”。

  3. 右键单击“ 共享”,选择“ 新建共享”。

  4. “创建共享文件夹向导”上,选择 “下一步 ”开始。

  5. 输入要共享的文件夹的路径,或选择“ 浏览 ”以找到文件夹,然后选择“ 下一步”。

  6. 输入 共享名称的名称,然后选择 “更改” 以配置脱机设置。 添加共享的说明是可选的。

  7. 选择 “共享文件夹中无文件或程序可脱机使用”。 依次选择“确定”、“下一步”。

  8. “共享文件夹权限”下,选择“ 自定义权限”,然后选择“ 自定义”。

  9. 选择 “所有人”,然后选择“ 删除”。

  10. 选择 “添加”、“输入名称”或找到群集的群集名称对象(CNO),或找到包含 CNO 的合适 Active Directory 组。 然后选择“ 确定”。

  11. 选择 “更改 ”和 “读取 ”权限。

  12. 选择“ 安全 ”选项卡,然后选择“ 高级”。

  13. “高级安全设置” 屏幕的“ 权限 ”选项卡下,选择“ 添加”。

  14. “基本权限”下,选择“ 修改”、“ 读取”和“执行”、“ 列出文件夹内容”和 “读取”。 然后选择“ 确定”。

  15. 确认并配置任何其他文件夹权限以满足组织的要求。 为每个对话框选择 “确定 ”,直到返回到 “共享文件夹权限 ”屏幕。

  16. 选择 “完成 ”以创建共享。

配置云见证

可以使用故障转移群集管理器、PowerShell 和 Windows Admin Center 配置云见证。

  1. 服务器管理器中,选择 工具,然后选择 故障转移群集管理器

  2. 在左窗格中的 “故障转移群集管理器”下,选择要配置的群集。

  3. 在右窗格的“操作”下选择“更多操作”,然后选择“配置群集仲裁设置”。

  4. 在“配置群集仲裁向导”下,选择“下一步”

  5. 在“选择仲裁配置选项”下,选中“选择仲裁见证”,然后选择“下一步”

  6. “选择仲裁见证”下,选择“ 配置云见证”,然后选择“ 下一步”。

  7. 在“配置云见证”下,输入以下信息,然后选择“下一步”

    • 你的 Azure 存储帐户名称。

    • 与存储帐户关联的访问密钥。

      • 如果首次创建云见证,请使用主访问密钥。

      • 如果要轮换主访问密钥,请改用辅助访问密钥。

      注释

      故障转移群集生成用于安全存储的共享访问签名(SAS)令牌,而不是直接存储访问密钥。 只要关联的访问密钥有效,令牌才有效。 在轮换主访问密钥之前,使用辅助密钥在所有使用该存储帐户的群集上更新云见证,然后再重新生成主密钥。

    • Azure 服务终结点

      如果您计划为云见证使用不同的 Azure 服务终结点(例如 Azure 中国),可以在 Azure 服务终结点 字段中输入另一个现有服务器的名称。

  8. 在“确认”下查看仲裁设置,然后选择“下一步”

  9. 在“摘要”下,查看见证配置,然后选择“完成”

    可以选择 查看报表 以获取进一步的配置详细信息。

创建云见证后,可以通过导航到 群集核心资源下的故障转移群集管理器中间窗格来找到它。

配置磁盘见证

可以通过执行以下步骤,使用故障转移群集管理器配置磁盘见证:

  1. 服务器管理器中,选择 工具,然后选择 故障转移群集管理器

  2. 在左窗格中的 “故障转移群集管理器”下,选择要配置的群集。

  3. 在右窗格的“操作”下选择“更多操作”,然后选择“配置群集仲裁设置”。

  4. 在“配置群集仲裁向导”下,选择“下一步”

  5. 在“选择仲裁配置选项”下,选中“选择仲裁见证”,然后选择“下一步”

  6. “选择仲裁见证”下,选择“ 配置磁盘见证”,然后选择“ 下一步”。

  7. “配置存储见证”下,选择要指定为磁盘见证的磁盘,然后选择“ 下一步”。

  8. 在“确认”下查看仲裁设置,然后选择“下一步”

  9. 在“摘要”下,查看见证配置,然后选择“完成”

配置文件共享见证

可以通过执行以下步骤,使用故障转移群集管理器在已加入域的 Windows 设备上配置文件共享见证:

  1. 服务器管理器中,选择 工具,然后选择 故障转移群集管理器

  2. 在左窗格中的 “故障转移群集管理器”下,选择要配置的群集。

  3. 在右窗格的“操作”下选择“更多操作”,然后选择“配置群集仲裁设置”。

  4. 在“配置群集仲裁向导”下,选择“下一步”

  5. 在“选择仲裁配置选项”下,选中“选择仲裁见证”,然后选择“下一步”

  6. “选择仲裁见证”下,选择 “配置文件共享见证”,然后选择 “下一步”

  7. 在“ 配置文件共享见证”下,键入文件路径位置或选择“ 浏览”,再次选择“ 浏览 ”,找到要用作见证资源的文件共享。 然后选择下一步

  8. “确认”下,查看配置并选择“ 下一步”。

  9. 向导运行后,将显示 “摘要 ”页。 如果要查看向导执行的任务的报告,请选择“ 查看报表”。 选择 “完成 ”以完成配置。

注释

配置群集仲裁后,建议运行 “验证仲裁配置” 测试来验证更新的仲裁设置。

云见证的代理注意事项

云见证使用 HTTPS(默认端口 443)与 Azure Blob 服务建立出站通信。 Azure 使用 .core.windows.net 作为终结点。 需要确保此终结点包含在群集和 Azure 存储之间使用的任何防火墙允许列表中。 如需通过代理来访问 Azure 存储,请使用所需的代理设置来配置 Windows HTTP 服务 (WinHTTP)。 故障转移群集利用 WinHTTP 进行 HTTPS 通信。

可以通过打开提升的 PowerShell 窗口并运行以下命令,使用 netsh 命令配置默认代理服务器:

netsh winhttp set proxy proxy-server="<ProxyServerName>:<port>" bypass-list="<HostsList>"

例如:

netsh winhttp set proxy proxy-server="192.168.10.80:8080" bypass-list="<local>; *.contoso.com"

注释

运行此命令会更改 WinHTTP 的默认代理配置。 任何应用程序(包括使用 WinHTTP 的 Windows 服务)都可能会受到影响。

另请参阅