Przerażające zamieszanie z macierzami (DAC)
Przerażające zamieszanie z macierzami (ang. Dreaded Array Confusion, DAC) to termin odnoszący się do grupy typów awarii macierzy RAID, które są praktycznie niemożliwe do zdiagnozowania, a łączy je wspólna cecha: brak awarii jakiegokolwiek dysku przy jednoczesnej całkowitej awarii macierzy prowadzącej do całkowitej utraty danych. Hipotezuje się, że trzy kluczowe przyczyny odpowiadają za większość przypadków DAC:
Błędy oprogramowania lub firmware’u: Choć dramatyczne błędy w działaniu RAID są dziś rzadkie, zawsze są możliwe, szczególnie w przypadku bardziej skomplikowanych typów macierzy, takich jak RAID parzystości, gdzie muszą być wykonywane obliczenia rekonstrukcyjne na macierzy. Błąd w oprogramowaniu lub firmware’rze RAID (zależnie od tego, czy mówimy o RAID programowym czy sprzętowym) może objawiać się na wiele sposobów, w tym poprzez przypadkowe zniszczenie macierzy. Problemy z firmware’em mogą wystąpić również w samych dyskach.
Awaria sprzętu: Awaria sprzętu, takiego jak procesory, pamięć lub kontrolery, może mieć dramatyczny wpływ na macierz RAID. Błędy pamięci w szczególności mogą łatwo doprowadzić do całkowitej utraty macierzy. Uważa się, że jest to najmniej powszechna przyczyna DAC.
Trzęsienie dysków: W tym scenariuszu poszczególne dyski poluzowują się i odłączają od backplane’u, a następnie wracają na swoje miejsce, wywołując zdarzenie resilvering (odbudowy). Gdyby miało to miejsce z wieloma dyskami podczas cyklu odbudowy lub gdyby podczas odbudowy napotkano URE (błąd niemożliwy do odczytania), doszłoby do całkowitej utraty danych na macierzach parzystości, potencjalnie nawet bez wystąpienia jakiejkolwiek awarii sprzętu.
Ze względu na naturę DAC i dlatego, że nie jest to problem samego RAID, lecz komponentów go wspierających, jesteśmy w bardzo trudnej sytuacji, gdy próbujemy zidentyfikować lub skwantyfikować ryzyko. Nikt nie wie, jak prawdopodobne jest wystąpienie DAC, i choć wiemy, że DAC jest poważniejszym zagrożeniem dla systemów opartych na RAID parzystości, nie wiemy o ile. Anegdotyczne dowody sugerują, że ryzyko na lustrzanym RAID jest niezmiernie niskie, a na RAID parzystości może wzrosnąć powyżej poziomu szumu tła w analizie ryzyka. Spośród trybów awarii, błędy oprogramowania i trzęsienie dysków stanowią znacznie wyższe ryzyko dla systemów działających na RAID parzystości, ponieważ ryzyko URE dotyczy tylko macierzy parzystości, a oprogramowanie potrzebne do parzystości jest o wiele bardziej złożone niż oprogramowanie potrzebne do lustrzanowania. RAID parzystości jest po prostu bardziej kruchy i niesie ze sobą więcej rodzajów ryzyka, narażając go na DAC na więcej sposobów niż lustrzany RAID.
Ponieważ DAC obejmuje wiele możliwości i ponieważ jest praktycznie niemożliwe do zidentyfikowania po jego wystąpieniu, istnieje niewielka możliwość zebrania jakichkolwiek danych na ten temat. Od czasu identyfikacji DAC jako ryzyka wiele osób, głównie ze społeczności Spiceworks, zgłosiło anegdotyczne naoczne relacje o awariach macierzy DAC. Ze względu na naturę IT w środowiskach użytkowników końcowych, statystyki dotyczące niejasnych pojęć, takich jak DAC, które nie są powszechnie znane, nie są gromadzone i nie mogą być. DAC pojawia się w firmach na całym świecie, gdzie administrator systemu wraca do biura, by zastać serwer z całkowicie utraconymi danymi i żadnym niesprawnym sprzętem. Dane są już utracone. Diagnostyka najprawdopodobniej nie zostanie przeprowadzona, logi nie będą istnieć, a nawet jeśli problem zostanie zidentyfikowany, komu należy go zgłosić? I nawet jeśli zostanie zgłoszony — jak skwantyfikować, jak często to się zdarza w stosunku do tego, jak często nie zdarza się lub jak często może się zdarzyć bez zgłoszenia? Niestety wiem tylko tyle, że po zidentyfikowaniu i częściowym nagłośnieniu ryzyka i jego objawów nagle wiele osób przyznało, że również osobiście doświadczyło DAC i nie miało pojęcia, co się wydarzyło.
Jeśli moje anegdotyczne badania są jakimkolwiek wskaźnikiem, wydaje się, że DAC stanowi znaczące ryzyko dla macierzy parzystości, a awarie istnieją w zauważalnym procencie macierzy, jednak dokładność i wielkość przekroju tych danych była mała. Niemniej jednak początkowo uważano, że DAC jest tak rzadki, że teoretycznie nie byłoby możliwe znalezienie kogokolwiek, kto kiedykolwiek go zaobserwował — ale tak nie jest. Znam już wiele osób, które tego doświadczyły.
Jesteśmy zmuszeni, ze względu na naturę branży, zaakceptować DAC jako potencjalne ryzyko i wymienić go jako nieznane ryzyko “mniejsze” w ocenach ryzyka oraz być na nie przygotowani, choć nie możemy go skwantyfikować. Jednak wiedza o tym, że może być ryzykiem, i zrozumienie, dlaczego może do niego dojść, są ważne przy ocenie ryzyka i jego ograniczania.
[Anegdotyczne dowody sugerują, że DAC jest prawie zawsze wyłączny dla sprzętowych implementacji RAID pojedynczej parzystości na kontrolerach SCSI.]
