JP4481498B2 - 複製サーバのためのプロトコル - Google Patents
複製サーバのためのプロトコル Download PDFInfo
- Publication number
- JP4481498B2 JP4481498B2 JP2000571348A JP2000571348A JP4481498B2 JP 4481498 B2 JP4481498 B2 JP 4481498B2 JP 2000571348 A JP2000571348 A JP 2000571348A JP 2000571348 A JP2000571348 A JP 2000571348A JP 4481498 B2 JP4481498 B2 JP 4481498B2
- Authority
- JP
- Japan
- Prior art keywords
- server
- primary server
- client
- backup
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1448—Management of the data involved in backup or backup restore
- G06F11/1451—Management of the data involved in backup or backup restore by selection of backup contents
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99931—Database or file accessing
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Hardware Redundancy (AREA)
- Computer And Data Communications (AREA)
- Multi Processors (AREA)
Description
【0001】
(背景技術)
本発明はフォールトトレラント(fault tolerant)サーバシステムに関し、特に冗長サーバ(redundant server)を含むフォールトトレラントサーバシステムに関する。
【0002】
電気通信システムにおけるサービスの高稼働率はフォールトトレラントコンピュータ又は分散システムアーキテクチャによって実現することができる。しかし、この冗長化利用は、他のシステム特性(property)に悪影響を及ぼしうる。例えば、ハードウェアレベルの冗長化利用はコスト、物理的な大きさ、電力消費、故障率等を増加させる。そのため、システム内において複数レベルの冗長化利用を不可能にしている。
【0003】
例えば、分散システムは堅牢さを高めるためにコンピュータ間での複製を実現することができる。これらコンピュータの各々がフォールトトレラントである場合、コストは倍増する。さらに、ソフトウェア障害から回復可能とするためにソフトウェア中にバックアップコピーが維持されている場合、フォールトトレラントハードウェアのコスト及び分散システムにおける複数コピーのための追加メモリのコストを増加させる。従って、コストを低く維持するために、複数レベルの冗長化利用は避けることが好ましい。このような設計上の選択が、1レベルのみの冗長化を利用するという結果であるため、可能な限り多くの誤り及び他の外乱をカバーするように選択されねばならない。
【0004】
外乱はハードウェア欠陥やソフトウェア欠陥によって起こりうる。ハードウエア欠陥は恒久的な物と一時的な物に特徴づけることができる。いずれの場合も、そのような欠陥はフォールトトレラントコンピュータによって補償(cover)することが可能である。コンピュータハードウェアの急速な進歩によって、システム内の集積回路及び/又は集積装置総数は減少を続け、さらに、そのような集積回路及び集積装置のそれぞれの信頼性は引き続き向上するであろう。全体として、今日ハードウェア欠陥はシステム外乱の主要因ではなく、将来的にはさらに少なくなるであろう。従って、単に可能性があるハードウェア誤りを取り扱うためだけに個別の冗長性、すなわちフォールトトレラントコンピュータを持つことを妥当とするのはより困難になっていくであろう。
【0005】
ソフトウェア誤りに関しては同じことは言えない。ソフトウェアの複雑性は増加を続けており、開発期間短縮の必要性はより複雑化するソフトウェアを可能性のある全ハードウェア構成(configuration)、動作モードなどでテストすることを妨げている。より良いテスト方法としては通常の場合において完全なデバッグを行うことが期待される。非常に特殊な場合にのみ発生する誤り、いわゆる「ハイゼンバグ(Heisenbuggs)」については、可能性もしくは経済性の点から完全なテストは期待できない。替わりに、その種の誤りはシステム内の冗長性によって補償する必要がある。
【0006】
プロセスの柔軟結合複製(loosely coupled replication)は一時的な誤りを含むほぼ全てのハードウェア及びソフトウェア誤りを補償可能である。例えば、I.Lee及びR.K. Iyerによって「連係保護システムにおけるソフトウェア信頼性(Software Dependability in the Tandem Guardian System)」(IEEE TRANSATIONS ON SOFTWARE ENGINEERING, vol.21, No. 5, May 1995)において、チェックポインティング(checkpointing:すなわち、現在の状態をスタンバイコンピュータにコピーする)及びリスターティング(restarting:すなわち、例えば最後のチェックポイントから起こったトランザクションのログを読むことによって最後にチェックポイントされた状態から、実行を開始し、その後に新しいトランザクションの処理を開始する)が、チェックポインティング手法がハードウェア誤りを補償するためにシステムに組み込まれていたにもかかわらず、ソフトウェア誤りのおおよそ75%から96%の間を補償したことが報告されている。この報告での説明はテスト中に見つからなかったソフトウェア誤りが微細であり、非常に特殊な条件が誘因であるとしている。これらの条件(例えば、メモリ状態、タイミング、乱調状態(race conditions)等)は、それらを引き継いだ後では再発生しない。従って、ソフトウェア誤りは再発生しない。
【0007】
ネットワークにおける複製の問題は、中央リソースの調停といったいくつかのサービスが、自分自身を配分に貸し出さないことにある。この種のサービスは1プロセス中に実装しなければならず、またパフォーマンス上の理由により、サービスのデータをそのスタック及びヒープに保持する必要がある。冗長化を実現するには、この種のプロセスを分散ネットワーク内部で複製しなければならない。高性能な通信制御システムにおいて、この複製は非常に少ないオーバヘッド及び複製のために発生するいかなる遅延もなく実行されねばならない。
【0008】
(発明の概要)
従って、本発明の目的は、フォールトトレラントクライアントサーバシステムを実装するための方法及び装置を提供することにある。
【0009】
本発明の1つの見地によれば、上述の、また別の目的はプライマリサーバ、バックアップサーバ及びクライアントを有するフォールトトレラントクライアントサーバシステムによって達成される。クライアントはプライマリサーバにリクエストを送信する。プライマリサーバはリクエストを受信し、処理する。処理にはプライマリサーバによって実行されるバックアップ処理とは独立したクライアントへの応答を含み、この応答はプライマリサーバ状態情報を含んでいる。バックアップ処理とは独立して応答を送信することによって、より高レベルの同時性(concurrence)が達成され、システムをより効率的にする。プライマリサーバはまた、バックアップサーバへの定期的なプライマリサーバ状態情報送信を含むバックアップ処理を実行する。クライアントはプライマリサーバから応答を受信し、プライマリサーバ状態情報をクライアントからバックアップサーバに送信する。
【0010】
本発明の別の見地によれば、プライマリサーバ状態情報はプライマリサーバからバックアップサーバへの最新のプライマリサーバ状態情報の伝送以来プライマリサーバが取り扱っている全てのリクエスト−応答ペアを含む。
【0011】
本発明のさらに別の見地によれば、プライマリサーバはプライマリサーバ状態情報を記憶手段に記憶する。プライマリサーバにおけるバックアップ処理の実行は記憶手段が所定量まで満たされたことに応答して実行されても良い。
【0012】
別の実施例において、プライマリサーバにおけるバックアップ処理の実行は予め定めた時間間隔に基づいて周期的に実行されても良い。
【0013】
(発明の詳細な説明)
同様の部分には同じ参照数字を付与した図面を参照して、本発明の種々の機能を説明する。
【0014】
図1は、クライアントサーバアプリケーションにおける冗長サーバ利用を説明するブロック図である。特に、複数のクライアントアプリケーションCが示されている。プライマリサーバS(101)は第1のプロセッサ103で稼働している。第1のプロセッサ103と別個の第2のプロセッサ105は、プライマリサーバS(101)と並列にバックアップサーバS’(107)を実行している。全体的には、一つが働かなくなった場合にはどのクライアントアプリケーションCにも問題なく他方が引き継ぎできるよう、プライマリサーバS(101)及びバックアップサーバS’(107)はクライアントアプリケーションCからの任意の特定リクエストの処理後に発生する仮想時間Tにおいて、同一の内部状態を有すべきである。(なぜならバックアップサーバS’(107)はプライマリサーバS(101)を後追いするため、バックアップサーバS’(107)はプライマリサーバS(101)よりも実時間において後にその仮想時間に達するからである。)複製されたサーバプロセスの存在はそのサーバを用いるクライアントアプリケーションCからは不可視であるべきである。このような方針(strategy)を実装するには、以下の問題を解決する必要がある。
【0015】
アドレッシング:
サービスがプライマリサーバS(101)で実行されるかバックアップサーバS’(107)(もしくは両方)で実行されるかに関わらず、クライアントアプリケーションCは矛盾のない方法でサーバへのアドレッシングを行う必要がある。
【0016】
複製及び同期:
故障及び修復通知のみならず、異なるクライアントアプリケーションCからの入来リクエストはプロセッサ間の物理ネットワークの相違に起因してプライマリサーバS(101)とバックアップサーバS’(107)とに異なる順番で到達可能である。しかし、これらのリクエストは同一の順番に並び替えられねばならない。
【0017】
故障及び修復通知:
サーバプロセスの失敗及び新しいサーバプロセスの開始は依然として稼働しているサーバによって検出されねばならない。
【0018】
状態の転送:
失敗後のサーバプロセス再開始時、プロセッシングリクエストの開始可能となる前に稼働中のサーバが新しいサーバへ自らの内部状態を転送しなければならない。
【0019】
上述の問題のアドレッシングにおいて、本発明の好ましい実施例は以下の目標(goals)を満足するように試みる。
・複製の問題を1度だけ解決する。複製の実装は多くの落とし穴(pitfalls)を有し、また認証(verify)するのが困難である。カバーせねばならない起こりうる故障が数多く存在する。
・少ないオーバヘッドのみを付加し、かつオーバヘッドは複製されたプロセスとの通信にのみ付加する。
・故障の場合及び新しいプロセスを再統合(reintegrating)する際の通常動作における最悪の場合の応答時間が事前にわかっており、また許容範囲に維持されること。
【0020】
・クリティカルタイミングパスにはいかなる追加メッセージも付加しない。従来の多くの実装技術はこの目標を達成していない。例えば、プライマリサーバは第2のサーバへメッセージを送信し、応答をクライアントに送信する前に応答を得ねばならないであろう。このようなことは、付加された冗長性によってシステムの実時間応答時間を遅らせないために、回避することが好ましい。
・多くのクライアント及び動的なクライアントを取り扱う。通信アプリケーションは概して1つのサーバに対して多くの発生しうるクライアントを有する。これは、例えばサーバプロセスが失敗した場合や復旧する場合にクライアント内の情報を更新しなければならないアルゴリズムは使用できないことを意味する。また、一般にクライアントプロセスの生存時間は短い(通話中のみ存在する場合もある)。これは、サーバがクライアントを常に監視する必要のあるアルゴリズムは使用できないことを意味する。
【0021】
プロトコルをより単純にするため、本発明の好適な実施例はいくつかの制限を課している。これら制限のいくつかはプロトコルをより汎用的にすることによって容易に解除できる。しかしながら、それらを含めることによって、関係する根本的な機構の説明が容易になる。それらの制限は、
・プライマリ及びバックアップの、2つのサーバのみが関係する。
プロトコルをより多くのサーバを含むように拡張することが可能で
あることは本技術分野の当業者には理解されるであろう。
・一時に1つの誤り、すなわち1つのクライアントもしくはサーバ
の故障に対する耐性である。システムは別の誤りが見過ごされうる
より前に、(例えばコールドスタンバイを開始することによって)
復旧せねばならない。
【0022】
・簡単なネットワーク構成。複雑なネットワーク誤り、例えばネッ
トワークを2つに分割し、それぞれにサーバの片方が存在するよう
な場合は考慮しない。
・小さなメッセージ。バルクデータ転送や類似のデータ転送はバッフ
ァもしくはキューをオーバフローさせるであろう。
・ソフトリアルタイム応答。通常の場合(すなわち、故障したサー
バがない場合)、複製でないサーバを用いるシステムとほぼ同一の
応答時間を保証することが可能である。しかし、より長い応答時間
が故障、復旧及び再統合時には許容されねばならない。これらのよ
り長い応答時間が依然として所定の最大時間を超えないことを保証
することができる。
【0023】
・サーバの決定論的(deterministic)なオペレーション。以下に詳
細を説明するように、バックアップサーバはプライマリサーバから
周期的に更新メッセージを受信する。バックアップサーバにおける
これらの更新メッセージの処理は、更新メッセージを送信した時点
におけるプライマリサーバの内部状態にバックアップサーバの内部
状態が到達することを保証するため、決定論的でなければならない
。サーバソフトウェアは(コールされた時に応じて異なる値を返す
)日時クロックへのコールの様な、非決定論的なシステムコールを
含むことはできない。なぜならそのようなコールはバックアップサ
ーバの内部状態をプライマリサーバの内部状態と異ならせる原因と
なりうるからである。
【0024】
従って、バックアップサーバの状態はプライマリサーバからバッ
クアップサーバが受信した情報によって100%特定されねばなら
ない。これは以下の2つの方法のいずれかによって達成できる。す
なわち、
a)プライマリサーバへ供給されるリクエストがさらにバックアッ
プサーバへも転送され、リクエストに対して同一の処理を行うこと
によってプライマリサーバと同一の内部状態に至るか、
b)処理結果(すなわち、サーバの内部状態変化のみならず、プラ
イマリサーバによって生成されるクライアントへの返答)がバック
アップサーバへ送信されるかである。
【0025】
・簡単なアプリケーションに限定する。以下に説明される独創的な
プロトコルの説明において、複製サーバは他のサーバからのサービ
スを要求できない。そのような場合を取り扱うため、プロトコルを
拡張しなければならないであろう。そのような拡張において、第2
のサーバは複製サーバからのリクエストを検出し、同一の(又は類
似の)プロトコルに従う。
【0026】
始めに、解決すべき4つの問題について説明する。まず、それらの一つ、すなわち複製及び同期についての独創的な解決策を説明する。好ましい実施例において、複製及び同期はクライアント及びサーバ間で用いられる通信プロトコルの一部として実装される。このようなアプローチの利点は、
・実装はプロトコルの設計時にただ1回行えばよい。
・複製がアプリケーションから不可視となる。プロトコルは複製され
たサーバのアドレッシングを取り扱う。
【0027】
望ましい複製及び同期の効率的な実装のために設計された独創的なプロトコルは、
1)2つの交換可能な実装が可能である。
a)通信方法のエクステンションとして実装する。これはプライマ
リサーバにおいてクライアントからのリクエストを処理するための
余分なシステムコールが不要であることを意味する。
b)交換可能な方法として、プロトコルをプロトコルスタックに統
合することもできる。これはより効率的な実装を可能にする。
フォールトトレラントが既存のOS上のソフトウェアのレイヤとし
て実装されている所謂”ミドルウェア”ソリューションは、第1の
方法(すなわち、交換可能な方法”a”)から利益を得るが、第2
の方法(すなわち、交換可能な方法”b”)からは利益を受けない
であろう。
【0028】
2)サーバ間の複製はリアルタイムクリティカルループの外で行うこと
ができる。クライアントはプライマリサーバS(101)が応答可
能になり次第応答を取得できる。
3)冗長性を維持するために必要とされる追加情報はオーバヘッドを最
小にするために応答に添付される。
【0029】
4)バックアップサーバS’(107)への更新/心拍(Heartbeats)は
、オーバヘッドを最小化し、また障害後の復旧時間が所定の最大時
間を超えないことの保証を可能にするために周期的になされる。プ
ライマリサーバでは処理可能で、バックアップサーバでは処理でき
ないリクエストの数は、2つの周期的更新の間に到達可能な数に制
限される。
5)複製はI/Oプロセッサがメインプロセッサにオーバヘッドを全く
与えない範囲内でサポート可能である。
【0030】
プロトコルはリクエストが処理された順番に関する情報及び、処理されたリクエストが2つの分離されたコンピュータにおける2つの独立した場所に常に保持されることを保証する。このストラテジは2つの観察(ovservations)に基づく:
1)プライマリサーバ状態の冗長なコピーは一方でフォールトトレラン
ト性を維持したまま、通常行われるよりも遅れた時間に確立される
。すなわち、従来のシステムにおいて、サーバ状態情報はプライマ
リサーバからバックアップサーバへクライアントへの応答より前に
送信される。しかし、クライアントに応答を送信する前に他のいか
なるプロセッサも結果を見ていないことから、本発明はこれが保守
的なアプローチであると認識している。その結果、リクエストを処
理する前にプライマリサーバクラッシュが起こると考えられていた
。これは、クライアントが応答を受信する時間に依存する場合であ
る。そして、これがフォールトトレラント性を有するようにするた
めにサーバ状態情報の冗長なコピーの存在を確立可能な最後の時間
である。
【0031】
2)3つの独立したパーティが関与する:サービスをリクエストするク
ライアントアプリケーションC、プライマリサーバS(101)、
バックアップサーバS’(107)。任意の時間において、2つの
重畳なコピーに重要な情報(critical information)を維持すること
ができる。しかし、それらのコピーは(従来の2フェーズコミット
プロトコルにおけるように)プライマリサーバS(101)及びバ
ックアップサーバS’(107)によってのみ維持される必要はな
い。むしろ、クライアントが(一時的な)情報の保持のために使用
可能である。
【0032】
単純なサーバアプリケーションについてのメッセージフローに基づく複製が図2に示される。クライアントアプリケーションCがクライアントプロセッサで稼働するプロトコルスタック205を介してプライマリサーバ101へアクセスする。対応するプロトコルスタック215,215’もまたプライマリ及びバックアップサーバプロセッサPRO1,PRO2で稼働している。リクエスト201がクライアントアプリケーションCからプライマリサーバS(101)へ送信される。プライマリサーバS(101)のプロトコルスタック215はリクエストにシーケンス番号(sequence number)を付加し、それからリクエストを処理する。リクエストの処理結果に従って、プライマリサーバS(101)は応答メッセージ203を生成し、直ちにプロトコルスタック215を介してクライアントアプリケーションCへ送信する。本発明の1つの見地によれば、その内容がサーバのプロトコルスタック215は、バックアップパス209を介してバックアップサーバS’(107)のプロトコルスタック215’と周期的に通信されるキューへ入来リクエスト201を記憶するという追加機能を実行する。本発明の別の見地によれば、クライアントCへの応答メッセージ203はまた(最後のフロー(flush)からの)入来リクエストのシーケンスのどの位置においてクライアントのリクエスト201が処理されたか(すなわち、シーケンス番号)を示す情報をさらに含む。
【0033】
クライアントアプリケーションのプロトコルスタック205は応答メッセージ203を受信すると、2つのことを行う。すなわち、1)応答メッセージ203をクライアントアプリケーションCへパスし、2)応答メッセージ及び元のリクエストを例えば含んでよいメッセージ207をバックアップサーバのプロトコルスタック215’へ送信する。バックアップサーバのプロトコルスタック215’は、メッセージ207をバックアップサーバS’(107)へパスする。いくつかの実施例において、バックアップサーバのプロトコルスタック215’はアクノリッジ(acknowledge)メッセージ211をクライアントのプロトコルスタック205へ送信し、それによってクライアントのメッセージ受信を確認するようにしても良い。
【0034】
クライアントアプリケーションのプロトコルスタック205からのバックアップサーバにおける受信情報に加え、プライマリサーバのプロトコルスタック215のキューが所定の値に達した時点で、又は所定時間の経過した時点で、プライマリサーバのプロトコルスタック215内のキューはバックアップパス209を介してバックアップサーバS’(107)へフラッシング(flushed)される。重要な冗長情報をバックアップサーバS’(107)へ供給するのに加え、フラッシングはバックアップサーバS’(107)にプライマリサーバS(101)が正常に動作し続けている事を伝える心拍(heartbeat)として機能する。フラッシング/心拍の間隔は故障があった際の復旧に必要な最大時間を設定する。
【0035】
バックアップサーバS’(107)はプライマリサーバS(101)から1回もしくはそれより多い心拍の受信に誌敗すると、実行を肩代わりし、クライアントCからのリクエスト受信を開始する。
【0036】
復旧が可能であることを保証するため、バックアップサーバへパスすべき情報は、a)元のリクエスト及び、b)応答メッセージに付加されたシーケンス番号である。この情報によって、バックアップサーバは(クラッシュ後に)リクエストをそれらがプライマリサーバによって処理されていたのと同じ順番になるようにソートし、同一の処理を実行することが可能になる。同一の情報がクライアントアプリケーションのプロトコルスタック205及びプライマリサーバのプロトコルスタック215の両方からバックアップサーバS’(107)へパスされても良いが、情報がプライマリサーバのプロトコルスタック215から入来する場合には、シーケンス番号はあまり重要でない。なぜなら一般に入来リクエストのコピーがそれらが処理された順番にパスされるからである。
【0037】
(シーケンス番号を含む)プライマリサーバ応答メッセージ全体をバックアップサーバへパスすることによって、バックアップサーバは故障検出を改善することが可能になる。メッセージの順番をソートするためにシーケンス番号を用いることに加え、バックアップサーバS’(107)は、自分自身の応答をプライマリサーバS(101)からの応答とを比較することによって、プライマリサーバと同期していることを確かめることも可能である。しかしながら、この目的のためには、応答のチェックサムなどの代替情報をパスすれば十分であることに注意すべきである。
【0038】
故障検出目的のため、完全な応答情報がソースのいずれかから(すなわち、クライアントC又はプライマリサーバS(101)からの周期的な更新を介して)パスされても、両方からパスされても良い。1つの実施例においては、クライアントのプロトコルスタック205を介してより長いパスを伝達されねばならない情報量を最小化するため、完全な応答情報はプライマリサーバのプロトコルスタック215からの周期的な更新を介してのみパスされる。
【0039】
応答メッセージにテキストによってシーケンス情報を付加することのいくつかの代替処理が存在する。その1つは単純に処理されたリクエストのシーケンス番号を付加するというものである。他に、最新の周期的な更新以来のリクエストシーケンス全体を含ませるというものである。これらの代替処理は同一目的に役立ち、それぞれは”サーバ状態情報”と見なすことができる。なぜならそれらはそれぞれバックアップサーバS’(107)がプライマリサーバS(101)の状態と同一状態を達成するために行わねばならない行動の順番を定義するからである。
【0040】
多くの故障事例及び本発明がそれらをどのように取り扱うかについて、以下に説明する。
応答送信前のプライマリサーバクラッシュ
この場合、クライアントCはアクノリッジ(すなわち応答メッセージ203)をプライマリサーバS(101)から受信しない。それに応答して、クライアントCのプロトコルスタック205は元のリクエストをプライマリ及びセカンダリサーバS(101)、S’(107)の両方に再送する。それ以外の場合(すなわち、故障でない場合)、クライアントアプリケーションCはリクエストをプライマリサーバS(101)にのみ送信する。(一般にクライアントアプリケーションはこのフォールトトレラント活動(activity)に気づかないことに注意すべきである。なぜなら、クライアントアプリケーションCは1つの論理サーバに対してのみアドレス指定するからである。アドレス変換及び2つのサーバS(101)、S’(107)への通信は、クライアントプロセッサ内部のプロトコルスタック205が行う。)セカンダリサーバS’(107)がプライマリサーバS(101)からの心拍を受信し損ねた場合、セカンダリサーバS’(107)が処理を引き継ぐ。それ以外の場合、セカンダリサーバS’(107)はクライアントCからのリクエストを単に破棄する。
【0041】
応答送信後かつバックアップサーバへ情報をフラッシング前におけるプライマリサーバクラッシュ
最後の応答を送信した時点で存在していた状態にバックアップサーバS’(107)を更新するのに必要な情報はクライアントのプロトコルスタック205’から供給される更新メッセージから読み出すことが可能である。プライマリサーバS(101)からクライアントCへの”応答パス”におけるメッセージはバックアップサーバS’(107)への更新情報のみならずクライアントアプリケーションへの応答も含んでいる。クライアントアプリケーションがクライアントCから受信する必要のあるのは追加の更新情報ではなく、応答情報のみである。図2に示すように、更新情報はクライアントのプロトコルスタック205からバックアップサーバS’(107)へ(バックアップサーバのプロトコルスタック215’を介して)転送される。この更新情報は他の場合にはバックアップサーバS’(107)がプライマリサーバS(101)によって直接通信される周期的更新によって受信する情報と同一である。いくらかの余分な情報をすでに存在しているメッセージに付加するコストはそのための余分なメッセージを送信しなければならない場合と比較して小さい。
【0042】
最初 (initial) のリクエスト送信後のクライアントクラッシュ
この場合、バックアップサーバS’(107)は自分自身を更新するための情報をプライマリサーバがキューをフラッシングする際に受信する。
【0043】
プライマリシステムクラッシュ
プライマリサーバS(101)及び同一のプロセッサ103で実行されていた全てのクライアントは失われる。バックアップサーバS’(107)は最後にフラッシングされたキューから残りのコマンドを実行し、プライマリサーバのプロセッサ103の外部で実行されているクライアントへの最後の応答によって与えられた位置までの更新を得る。
【0044】
メッセージ損失 (loss)
すぐにアクノリッジを得なかったメッセージは受信プロセス(又はプロセッサ)が故障であると見なすより前に、1度もしくは2度再送信される。
【0045】
以下、図3を用いてクライアントのプロトコルスタック205をより詳細に説明する。ステップ301において、クライアントアプリケーションの実行がプライマリサーバへ送信されるべきリクエストの要因となる。ステップ302で、そのリクエストはプロトコルスタック205で処理され、プライマリサーバへ送信される。プロトコルはメッセージ損失に際し再送信を実行し、そのメッセージのコピーを再送信を行うために保持する。ステップ303で、プライマリサーバから応答が帰ってくる。応答はクライアントアプリケーションプロセスに遅滞なく送り返される。リクエストのコピーと関連する応答は複製プロトコルのために保持される。この実施例ではプライマリサーバが比較的早く応答すると仮定しているため、プライマリサーバからクライアントへ送信された別個のアクノリッジは存在しない。すなわち、プライマリサーバから返された応答は応答として十分に機能する。比較的遅いプライマリサーバを含む他の実施例においては、プロトコルにプライマリサーバからクライアントへ応答を送信する前に送信される別個のアクノリッジを含ませることが必要であろう。
【0046】
ステップ304において、アプリケーションプロセスは行われるべき複製を待つことなく実行を回復(resume)可能である。ステップ305で、プロトコルスタック205はリクエスト及びキュー内の応答バックアップサーバへ複製されていないリクエストのために指定された応答を保存する。
【0047】
ステップ306において、クライアントは元のリクエストとバックアップサーバへの応答を含んだメッセージ送信する。これに応答して、クライアントのメッセージが正常受信されたことを確認するため、バックアップサーバはアクノリッジ(ステップ307)をクライアントに返信する。ここで、アクノリッジを用いない場合、バックアップサーバから以外の応答は予期されていないため、クライアントは自分のメッセージが受信されたかどうかを知る他の手段がないことに注意すべきである。
【0048】
本明細書の冒頭において他のいくつかの問題点を説明した。すなわち、故障及び修復通知及び状態送信である。以下、これら問題点に対する本発明の解決方法を説明する。
【0049】
故障及び修復通知に関して、プライマリサーバ及びセカンダリサーバ間の通信はまた心拍として機能する。セカンダリサーバが規則的に更新されないと、セカンダリサーバは未処理のクライアントタイムアウトを受信するのに十分な時間待ち、それから処理を引き継ぐ。サーバプロセスが再起動した場合、セカンダリサーバはアクティブなプライマリサーバがあるかどうかをチェックする。
【0050】
状態転送(State Transfer)は、故障したサーバが再起動する際に用いられる。稼働中サーバの状態はそれらのサーバが再びプライマリ/バックアップペアとして作動可能になる前に再起動するサーバへコピーされなければならない。この状態転送とシステムソフトウェア及びハードウェアアップグレード時に必要な種類の状態転送との間には根本的相違はない。また、現代のプロセッサはハードウェア故障の数が少なく、状態転送はシステムアップグレード用に最適化するべきである。
【0051】
ここで、本発明の1つの見地が、故障及び修復通知だけでなく異なるクライアントからのリクエストが異なる順番でプライマリサーバS(101)及びバックアップサーバS’(107)に到達可能であっても、それらを同一の順番に並び替えることを必要としていたことを思い出すであろう。従って、いくつかの実施例において、因果依存(causal dependency)(本明細書では”因果的配列”(causal ordering)とも言う)を実施するための機構を提供することは有益であろう。本質的に、これはメッセージ処理をそれらが受信された厳密な順番ではなく、論理的に発行された順番で参照する。因果的配列についてのより完全な説明は、米国ニューヨーク州Ithacaのコーネル大学によって開発されたISISツールキット(ISIS tool kit)に関して見つけることができるであろう。その説明はIEEE COMPUTER COCIETY PRESSによって1994年に出版された、K.P.Birman及びR.van Renesseによる「ISISツールキットを用いた信頼性の高い分散コンピューティング(Reliable Distributed Computing with the ISIS tool kit)」(ISBN 0-8186-5342-6)に見つけることができる。因果的配列は少ないオーバヘッドで実装可能であり、高度の同時発生(concurrence)を許すことによってシステム効率を向上可能である。
【0052】
図4a及び4bはこの効率向上を説明する。図4aにおいて、プロセッサPro1がリソースハンドラであるPro2にリソース要求を送信する(ステップ401)。基本システム(underlying system)において因果的配列をサポートしない場合、Pro2はリソースPro3にそれを初期化するためのメッセージを送信しなければならない(ステップ402)。リソースがレディ状態であることを応答してきた(ステップ403)後で、Pro2はPro1へリソースが利用可能であることを通知する応答の送信を許可される(ステップ404)。そして、プロセッサPro1はリソースPro3にメッセージを送信可能となる(ステップ405)。個々のプロセッサの振る舞いが先に送られたメッセージより前に後で送られたメッセージの受信(及び、結果としての処理)を行わないように予定された制限によって強制されていることに気づくであろう。
【0053】
次に、基本システムが因果的配列をサポートする例を示す図4bを参照する。この例もまた、プロセッサPro1がリソースの供給をリソースハンドラPro2に送信することから開始する(ステップ406)。しかし、今回リソースハンドラPro2はPro3からの応答を待つ必要はない。その替わり、Pro2はリソースが利用可能であることを通知する応答を直ちにPro1へ送信する(ステップ407)。ほぼ同時に、Pro2はリソースPro3に初期化メッセージを送信する(ステップ408)。これは同時に行われるため、因果的配列を用いない例(図4a)よりもかなり早く、プロセッサPro1は自らのメッセージをリソースPro3へ送信可能になる(ステップ409)。因果的配列はPro3がPro1からのメッセージを受信する前に初期化メッセージを処理することを保証するため、Pro2からのメッセージが遅れたとしても(ステップ408’で示す)何の問題も発生しない。
【0054】
クライアントが複製されたサーバをコールする限られた事例のために、完全な因果的配列モデルを実装する必要はない。なぜなら、そのような事例においては、シーケンス番号があれば複製されたサーバが正しい順番でリクエストを処理することができるからである。しかし、複製されたサーバに他の複製されたサーバのコールを許すといったように、プロトコルがより汎用的な事例に拡張される場合、完全なモデルが必要である。
【0055】
本発明を具体的な実施例に関して説明してきたが、本技術分野の当業者は上に説明された好ましい実施例以外の特定の形式において本発明を実施可能であることを容易に理解するであろう。これは本発明の精神から離れることなく実施可能である。好ましい実施例は単なる例証であって、いかなる方法によっても限定的に解釈されるべきではない。本発明の範囲は上述の説明ではなく、添付された請求の範囲によって与えられ、また請求の範囲に含まれる全ての変形物及び等価物は本発明の範囲に含まれることが意図されている。
【図面の簡単な説明】
【図1】 クライアントサーバアプリケーションにおける冗長サーバの使用を説明するブロック図である。
【図2】 フォールトトレラントクライアントサーバアプリケーションにおけるメッセージフローを説明する図である。
【図3】 本発明の1つの見地に従った、クライアント、プライマリサーバ及びバックアップサーバの間におけるメッセージのフローを説明する図である。
【図4a】 プロセス間通信に因果的配列(causal ordering)を用いることにより達成される効率性の向上を説明する図である。
【図4b】 プロセス間通信に因果的配列(causal ordering)を用いることにより達成される効率性の向上を説明する図である。
(背景技術)
本発明はフォールトトレラント(fault tolerant)サーバシステムに関し、特に冗長サーバ(redundant server)を含むフォールトトレラントサーバシステムに関する。
【0002】
電気通信システムにおけるサービスの高稼働率はフォールトトレラントコンピュータ又は分散システムアーキテクチャによって実現することができる。しかし、この冗長化利用は、他のシステム特性(property)に悪影響を及ぼしうる。例えば、ハードウェアレベルの冗長化利用はコスト、物理的な大きさ、電力消費、故障率等を増加させる。そのため、システム内において複数レベルの冗長化利用を不可能にしている。
【0003】
例えば、分散システムは堅牢さを高めるためにコンピュータ間での複製を実現することができる。これらコンピュータの各々がフォールトトレラントである場合、コストは倍増する。さらに、ソフトウェア障害から回復可能とするためにソフトウェア中にバックアップコピーが維持されている場合、フォールトトレラントハードウェアのコスト及び分散システムにおける複数コピーのための追加メモリのコストを増加させる。従って、コストを低く維持するために、複数レベルの冗長化利用は避けることが好ましい。このような設計上の選択が、1レベルのみの冗長化を利用するという結果であるため、可能な限り多くの誤り及び他の外乱をカバーするように選択されねばならない。
【0004】
外乱はハードウェア欠陥やソフトウェア欠陥によって起こりうる。ハードウエア欠陥は恒久的な物と一時的な物に特徴づけることができる。いずれの場合も、そのような欠陥はフォールトトレラントコンピュータによって補償(cover)することが可能である。コンピュータハードウェアの急速な進歩によって、システム内の集積回路及び/又は集積装置総数は減少を続け、さらに、そのような集積回路及び集積装置のそれぞれの信頼性は引き続き向上するであろう。全体として、今日ハードウェア欠陥はシステム外乱の主要因ではなく、将来的にはさらに少なくなるであろう。従って、単に可能性があるハードウェア誤りを取り扱うためだけに個別の冗長性、すなわちフォールトトレラントコンピュータを持つことを妥当とするのはより困難になっていくであろう。
【0005】
ソフトウェア誤りに関しては同じことは言えない。ソフトウェアの複雑性は増加を続けており、開発期間短縮の必要性はより複雑化するソフトウェアを可能性のある全ハードウェア構成(configuration)、動作モードなどでテストすることを妨げている。より良いテスト方法としては通常の場合において完全なデバッグを行うことが期待される。非常に特殊な場合にのみ発生する誤り、いわゆる「ハイゼンバグ(Heisenbuggs)」については、可能性もしくは経済性の点から完全なテストは期待できない。替わりに、その種の誤りはシステム内の冗長性によって補償する必要がある。
【0006】
プロセスの柔軟結合複製(loosely coupled replication)は一時的な誤りを含むほぼ全てのハードウェア及びソフトウェア誤りを補償可能である。例えば、I.Lee及びR.K. Iyerによって「連係保護システムにおけるソフトウェア信頼性(Software Dependability in the Tandem Guardian System)」(IEEE TRANSATIONS ON SOFTWARE ENGINEERING, vol.21, No. 5, May 1995)において、チェックポインティング(checkpointing:すなわち、現在の状態をスタンバイコンピュータにコピーする)及びリスターティング(restarting:すなわち、例えば最後のチェックポイントから起こったトランザクションのログを読むことによって最後にチェックポイントされた状態から、実行を開始し、その後に新しいトランザクションの処理を開始する)が、チェックポインティング手法がハードウェア誤りを補償するためにシステムに組み込まれていたにもかかわらず、ソフトウェア誤りのおおよそ75%から96%の間を補償したことが報告されている。この報告での説明はテスト中に見つからなかったソフトウェア誤りが微細であり、非常に特殊な条件が誘因であるとしている。これらの条件(例えば、メモリ状態、タイミング、乱調状態(race conditions)等)は、それらを引き継いだ後では再発生しない。従って、ソフトウェア誤りは再発生しない。
【0007】
ネットワークにおける複製の問題は、中央リソースの調停といったいくつかのサービスが、自分自身を配分に貸し出さないことにある。この種のサービスは1プロセス中に実装しなければならず、またパフォーマンス上の理由により、サービスのデータをそのスタック及びヒープに保持する必要がある。冗長化を実現するには、この種のプロセスを分散ネットワーク内部で複製しなければならない。高性能な通信制御システムにおいて、この複製は非常に少ないオーバヘッド及び複製のために発生するいかなる遅延もなく実行されねばならない。
【0008】
(発明の概要)
従って、本発明の目的は、フォールトトレラントクライアントサーバシステムを実装するための方法及び装置を提供することにある。
【0009】
本発明の1つの見地によれば、上述の、また別の目的はプライマリサーバ、バックアップサーバ及びクライアントを有するフォールトトレラントクライアントサーバシステムによって達成される。クライアントはプライマリサーバにリクエストを送信する。プライマリサーバはリクエストを受信し、処理する。処理にはプライマリサーバによって実行されるバックアップ処理とは独立したクライアントへの応答を含み、この応答はプライマリサーバ状態情報を含んでいる。バックアップ処理とは独立して応答を送信することによって、より高レベルの同時性(concurrence)が達成され、システムをより効率的にする。プライマリサーバはまた、バックアップサーバへの定期的なプライマリサーバ状態情報送信を含むバックアップ処理を実行する。クライアントはプライマリサーバから応答を受信し、プライマリサーバ状態情報をクライアントからバックアップサーバに送信する。
【0010】
本発明の別の見地によれば、プライマリサーバ状態情報はプライマリサーバからバックアップサーバへの最新のプライマリサーバ状態情報の伝送以来プライマリサーバが取り扱っている全てのリクエスト−応答ペアを含む。
【0011】
本発明のさらに別の見地によれば、プライマリサーバはプライマリサーバ状態情報を記憶手段に記憶する。プライマリサーバにおけるバックアップ処理の実行は記憶手段が所定量まで満たされたことに応答して実行されても良い。
【0012】
別の実施例において、プライマリサーバにおけるバックアップ処理の実行は予め定めた時間間隔に基づいて周期的に実行されても良い。
【0013】
(発明の詳細な説明)
同様の部分には同じ参照数字を付与した図面を参照して、本発明の種々の機能を説明する。
【0014】
図1は、クライアントサーバアプリケーションにおける冗長サーバ利用を説明するブロック図である。特に、複数のクライアントアプリケーションCが示されている。プライマリサーバS(101)は第1のプロセッサ103で稼働している。第1のプロセッサ103と別個の第2のプロセッサ105は、プライマリサーバS(101)と並列にバックアップサーバS’(107)を実行している。全体的には、一つが働かなくなった場合にはどのクライアントアプリケーションCにも問題なく他方が引き継ぎできるよう、プライマリサーバS(101)及びバックアップサーバS’(107)はクライアントアプリケーションCからの任意の特定リクエストの処理後に発生する仮想時間Tにおいて、同一の内部状態を有すべきである。(なぜならバックアップサーバS’(107)はプライマリサーバS(101)を後追いするため、バックアップサーバS’(107)はプライマリサーバS(101)よりも実時間において後にその仮想時間に達するからである。)複製されたサーバプロセスの存在はそのサーバを用いるクライアントアプリケーションCからは不可視であるべきである。このような方針(strategy)を実装するには、以下の問題を解決する必要がある。
【0015】
アドレッシング:
サービスがプライマリサーバS(101)で実行されるかバックアップサーバS’(107)(もしくは両方)で実行されるかに関わらず、クライアントアプリケーションCは矛盾のない方法でサーバへのアドレッシングを行う必要がある。
【0016】
複製及び同期:
故障及び修復通知のみならず、異なるクライアントアプリケーションCからの入来リクエストはプロセッサ間の物理ネットワークの相違に起因してプライマリサーバS(101)とバックアップサーバS’(107)とに異なる順番で到達可能である。しかし、これらのリクエストは同一の順番に並び替えられねばならない。
【0017】
故障及び修復通知:
サーバプロセスの失敗及び新しいサーバプロセスの開始は依然として稼働しているサーバによって検出されねばならない。
【0018】
状態の転送:
失敗後のサーバプロセス再開始時、プロセッシングリクエストの開始可能となる前に稼働中のサーバが新しいサーバへ自らの内部状態を転送しなければならない。
【0019】
上述の問題のアドレッシングにおいて、本発明の好ましい実施例は以下の目標(goals)を満足するように試みる。
・複製の問題を1度だけ解決する。複製の実装は多くの落とし穴(pitfalls)を有し、また認証(verify)するのが困難である。カバーせねばならない起こりうる故障が数多く存在する。
・少ないオーバヘッドのみを付加し、かつオーバヘッドは複製されたプロセスとの通信にのみ付加する。
・故障の場合及び新しいプロセスを再統合(reintegrating)する際の通常動作における最悪の場合の応答時間が事前にわかっており、また許容範囲に維持されること。
【0020】
・クリティカルタイミングパスにはいかなる追加メッセージも付加しない。従来の多くの実装技術はこの目標を達成していない。例えば、プライマリサーバは第2のサーバへメッセージを送信し、応答をクライアントに送信する前に応答を得ねばならないであろう。このようなことは、付加された冗長性によってシステムの実時間応答時間を遅らせないために、回避することが好ましい。
・多くのクライアント及び動的なクライアントを取り扱う。通信アプリケーションは概して1つのサーバに対して多くの発生しうるクライアントを有する。これは、例えばサーバプロセスが失敗した場合や復旧する場合にクライアント内の情報を更新しなければならないアルゴリズムは使用できないことを意味する。また、一般にクライアントプロセスの生存時間は短い(通話中のみ存在する場合もある)。これは、サーバがクライアントを常に監視する必要のあるアルゴリズムは使用できないことを意味する。
【0021】
プロトコルをより単純にするため、本発明の好適な実施例はいくつかの制限を課している。これら制限のいくつかはプロトコルをより汎用的にすることによって容易に解除できる。しかしながら、それらを含めることによって、関係する根本的な機構の説明が容易になる。それらの制限は、
・プライマリ及びバックアップの、2つのサーバのみが関係する。
プロトコルをより多くのサーバを含むように拡張することが可能で
あることは本技術分野の当業者には理解されるであろう。
・一時に1つの誤り、すなわち1つのクライアントもしくはサーバ
の故障に対する耐性である。システムは別の誤りが見過ごされうる
より前に、(例えばコールドスタンバイを開始することによって)
復旧せねばならない。
【0022】
・簡単なネットワーク構成。複雑なネットワーク誤り、例えばネッ
トワークを2つに分割し、それぞれにサーバの片方が存在するよう
な場合は考慮しない。
・小さなメッセージ。バルクデータ転送や類似のデータ転送はバッフ
ァもしくはキューをオーバフローさせるであろう。
・ソフトリアルタイム応答。通常の場合(すなわち、故障したサー
バがない場合)、複製でないサーバを用いるシステムとほぼ同一の
応答時間を保証することが可能である。しかし、より長い応答時間
が故障、復旧及び再統合時には許容されねばならない。これらのよ
り長い応答時間が依然として所定の最大時間を超えないことを保証
することができる。
【0023】
・サーバの決定論的(deterministic)なオペレーション。以下に詳
細を説明するように、バックアップサーバはプライマリサーバから
周期的に更新メッセージを受信する。バックアップサーバにおける
これらの更新メッセージの処理は、更新メッセージを送信した時点
におけるプライマリサーバの内部状態にバックアップサーバの内部
状態が到達することを保証するため、決定論的でなければならない
。サーバソフトウェアは(コールされた時に応じて異なる値を返す
)日時クロックへのコールの様な、非決定論的なシステムコールを
含むことはできない。なぜならそのようなコールはバックアップサ
ーバの内部状態をプライマリサーバの内部状態と異ならせる原因と
なりうるからである。
【0024】
従って、バックアップサーバの状態はプライマリサーバからバッ
クアップサーバが受信した情報によって100%特定されねばなら
ない。これは以下の2つの方法のいずれかによって達成できる。す
なわち、
a)プライマリサーバへ供給されるリクエストがさらにバックアッ
プサーバへも転送され、リクエストに対して同一の処理を行うこと
によってプライマリサーバと同一の内部状態に至るか、
b)処理結果(すなわち、サーバの内部状態変化のみならず、プラ
イマリサーバによって生成されるクライアントへの返答)がバック
アップサーバへ送信されるかである。
【0025】
・簡単なアプリケーションに限定する。以下に説明される独創的な
プロトコルの説明において、複製サーバは他のサーバからのサービ
スを要求できない。そのような場合を取り扱うため、プロトコルを
拡張しなければならないであろう。そのような拡張において、第2
のサーバは複製サーバからのリクエストを検出し、同一の(又は類
似の)プロトコルに従う。
【0026】
始めに、解決すべき4つの問題について説明する。まず、それらの一つ、すなわち複製及び同期についての独創的な解決策を説明する。好ましい実施例において、複製及び同期はクライアント及びサーバ間で用いられる通信プロトコルの一部として実装される。このようなアプローチの利点は、
・実装はプロトコルの設計時にただ1回行えばよい。
・複製がアプリケーションから不可視となる。プロトコルは複製され
たサーバのアドレッシングを取り扱う。
【0027】
望ましい複製及び同期の効率的な実装のために設計された独創的なプロトコルは、
1)2つの交換可能な実装が可能である。
a)通信方法のエクステンションとして実装する。これはプライマ
リサーバにおいてクライアントからのリクエストを処理するための
余分なシステムコールが不要であることを意味する。
b)交換可能な方法として、プロトコルをプロトコルスタックに統
合することもできる。これはより効率的な実装を可能にする。
フォールトトレラントが既存のOS上のソフトウェアのレイヤとし
て実装されている所謂”ミドルウェア”ソリューションは、第1の
方法(すなわち、交換可能な方法”a”)から利益を得るが、第2
の方法(すなわち、交換可能な方法”b”)からは利益を受けない
であろう。
【0028】
2)サーバ間の複製はリアルタイムクリティカルループの外で行うこと
ができる。クライアントはプライマリサーバS(101)が応答可
能になり次第応答を取得できる。
3)冗長性を維持するために必要とされる追加情報はオーバヘッドを最
小にするために応答に添付される。
【0029】
4)バックアップサーバS’(107)への更新/心拍(Heartbeats)は
、オーバヘッドを最小化し、また障害後の復旧時間が所定の最大時
間を超えないことの保証を可能にするために周期的になされる。プ
ライマリサーバでは処理可能で、バックアップサーバでは処理でき
ないリクエストの数は、2つの周期的更新の間に到達可能な数に制
限される。
5)複製はI/Oプロセッサがメインプロセッサにオーバヘッドを全く
与えない範囲内でサポート可能である。
【0030】
プロトコルはリクエストが処理された順番に関する情報及び、処理されたリクエストが2つの分離されたコンピュータにおける2つの独立した場所に常に保持されることを保証する。このストラテジは2つの観察(ovservations)に基づく:
1)プライマリサーバ状態の冗長なコピーは一方でフォールトトレラン
ト性を維持したまま、通常行われるよりも遅れた時間に確立される
。すなわち、従来のシステムにおいて、サーバ状態情報はプライマ
リサーバからバックアップサーバへクライアントへの応答より前に
送信される。しかし、クライアントに応答を送信する前に他のいか
なるプロセッサも結果を見ていないことから、本発明はこれが保守
的なアプローチであると認識している。その結果、リクエストを処
理する前にプライマリサーバクラッシュが起こると考えられていた
。これは、クライアントが応答を受信する時間に依存する場合であ
る。そして、これがフォールトトレラント性を有するようにするた
めにサーバ状態情報の冗長なコピーの存在を確立可能な最後の時間
である。
【0031】
2)3つの独立したパーティが関与する:サービスをリクエストするク
ライアントアプリケーションC、プライマリサーバS(101)、
バックアップサーバS’(107)。任意の時間において、2つの
重畳なコピーに重要な情報(critical information)を維持すること
ができる。しかし、それらのコピーは(従来の2フェーズコミット
プロトコルにおけるように)プライマリサーバS(101)及びバ
ックアップサーバS’(107)によってのみ維持される必要はな
い。むしろ、クライアントが(一時的な)情報の保持のために使用
可能である。
【0032】
単純なサーバアプリケーションについてのメッセージフローに基づく複製が図2に示される。クライアントアプリケーションCがクライアントプロセッサで稼働するプロトコルスタック205を介してプライマリサーバ101へアクセスする。対応するプロトコルスタック215,215’もまたプライマリ及びバックアップサーバプロセッサPRO1,PRO2で稼働している。リクエスト201がクライアントアプリケーションCからプライマリサーバS(101)へ送信される。プライマリサーバS(101)のプロトコルスタック215はリクエストにシーケンス番号(sequence number)を付加し、それからリクエストを処理する。リクエストの処理結果に従って、プライマリサーバS(101)は応答メッセージ203を生成し、直ちにプロトコルスタック215を介してクライアントアプリケーションCへ送信する。本発明の1つの見地によれば、その内容がサーバのプロトコルスタック215は、バックアップパス209を介してバックアップサーバS’(107)のプロトコルスタック215’と周期的に通信されるキューへ入来リクエスト201を記憶するという追加機能を実行する。本発明の別の見地によれば、クライアントCへの応答メッセージ203はまた(最後のフロー(flush)からの)入来リクエストのシーケンスのどの位置においてクライアントのリクエスト201が処理されたか(すなわち、シーケンス番号)を示す情報をさらに含む。
【0033】
クライアントアプリケーションのプロトコルスタック205は応答メッセージ203を受信すると、2つのことを行う。すなわち、1)応答メッセージ203をクライアントアプリケーションCへパスし、2)応答メッセージ及び元のリクエストを例えば含んでよいメッセージ207をバックアップサーバのプロトコルスタック215’へ送信する。バックアップサーバのプロトコルスタック215’は、メッセージ207をバックアップサーバS’(107)へパスする。いくつかの実施例において、バックアップサーバのプロトコルスタック215’はアクノリッジ(acknowledge)メッセージ211をクライアントのプロトコルスタック205へ送信し、それによってクライアントのメッセージ受信を確認するようにしても良い。
【0034】
クライアントアプリケーションのプロトコルスタック205からのバックアップサーバにおける受信情報に加え、プライマリサーバのプロトコルスタック215のキューが所定の値に達した時点で、又は所定時間の経過した時点で、プライマリサーバのプロトコルスタック215内のキューはバックアップパス209を介してバックアップサーバS’(107)へフラッシング(flushed)される。重要な冗長情報をバックアップサーバS’(107)へ供給するのに加え、フラッシングはバックアップサーバS’(107)にプライマリサーバS(101)が正常に動作し続けている事を伝える心拍(heartbeat)として機能する。フラッシング/心拍の間隔は故障があった際の復旧に必要な最大時間を設定する。
【0035】
バックアップサーバS’(107)はプライマリサーバS(101)から1回もしくはそれより多い心拍の受信に誌敗すると、実行を肩代わりし、クライアントCからのリクエスト受信を開始する。
【0036】
復旧が可能であることを保証するため、バックアップサーバへパスすべき情報は、a)元のリクエスト及び、b)応答メッセージに付加されたシーケンス番号である。この情報によって、バックアップサーバは(クラッシュ後に)リクエストをそれらがプライマリサーバによって処理されていたのと同じ順番になるようにソートし、同一の処理を実行することが可能になる。同一の情報がクライアントアプリケーションのプロトコルスタック205及びプライマリサーバのプロトコルスタック215の両方からバックアップサーバS’(107)へパスされても良いが、情報がプライマリサーバのプロトコルスタック215から入来する場合には、シーケンス番号はあまり重要でない。なぜなら一般に入来リクエストのコピーがそれらが処理された順番にパスされるからである。
【0037】
(シーケンス番号を含む)プライマリサーバ応答メッセージ全体をバックアップサーバへパスすることによって、バックアップサーバは故障検出を改善することが可能になる。メッセージの順番をソートするためにシーケンス番号を用いることに加え、バックアップサーバS’(107)は、自分自身の応答をプライマリサーバS(101)からの応答とを比較することによって、プライマリサーバと同期していることを確かめることも可能である。しかしながら、この目的のためには、応答のチェックサムなどの代替情報をパスすれば十分であることに注意すべきである。
【0038】
故障検出目的のため、完全な応答情報がソースのいずれかから(すなわち、クライアントC又はプライマリサーバS(101)からの周期的な更新を介して)パスされても、両方からパスされても良い。1つの実施例においては、クライアントのプロトコルスタック205を介してより長いパスを伝達されねばならない情報量を最小化するため、完全な応答情報はプライマリサーバのプロトコルスタック215からの周期的な更新を介してのみパスされる。
【0039】
応答メッセージにテキストによってシーケンス情報を付加することのいくつかの代替処理が存在する。その1つは単純に処理されたリクエストのシーケンス番号を付加するというものである。他に、最新の周期的な更新以来のリクエストシーケンス全体を含ませるというものである。これらの代替処理は同一目的に役立ち、それぞれは”サーバ状態情報”と見なすことができる。なぜならそれらはそれぞれバックアップサーバS’(107)がプライマリサーバS(101)の状態と同一状態を達成するために行わねばならない行動の順番を定義するからである。
【0040】
多くの故障事例及び本発明がそれらをどのように取り扱うかについて、以下に説明する。
応答送信前のプライマリサーバクラッシュ
この場合、クライアントCはアクノリッジ(すなわち応答メッセージ203)をプライマリサーバS(101)から受信しない。それに応答して、クライアントCのプロトコルスタック205は元のリクエストをプライマリ及びセカンダリサーバS(101)、S’(107)の両方に再送する。それ以外の場合(すなわち、故障でない場合)、クライアントアプリケーションCはリクエストをプライマリサーバS(101)にのみ送信する。(一般にクライアントアプリケーションはこのフォールトトレラント活動(activity)に気づかないことに注意すべきである。なぜなら、クライアントアプリケーションCは1つの論理サーバに対してのみアドレス指定するからである。アドレス変換及び2つのサーバS(101)、S’(107)への通信は、クライアントプロセッサ内部のプロトコルスタック205が行う。)セカンダリサーバS’(107)がプライマリサーバS(101)からの心拍を受信し損ねた場合、セカンダリサーバS’(107)が処理を引き継ぐ。それ以外の場合、セカンダリサーバS’(107)はクライアントCからのリクエストを単に破棄する。
【0041】
応答送信後かつバックアップサーバへ情報をフラッシング前におけるプライマリサーバクラッシュ
最後の応答を送信した時点で存在していた状態にバックアップサーバS’(107)を更新するのに必要な情報はクライアントのプロトコルスタック205’から供給される更新メッセージから読み出すことが可能である。プライマリサーバS(101)からクライアントCへの”応答パス”におけるメッセージはバックアップサーバS’(107)への更新情報のみならずクライアントアプリケーションへの応答も含んでいる。クライアントアプリケーションがクライアントCから受信する必要のあるのは追加の更新情報ではなく、応答情報のみである。図2に示すように、更新情報はクライアントのプロトコルスタック205からバックアップサーバS’(107)へ(バックアップサーバのプロトコルスタック215’を介して)転送される。この更新情報は他の場合にはバックアップサーバS’(107)がプライマリサーバS(101)によって直接通信される周期的更新によって受信する情報と同一である。いくらかの余分な情報をすでに存在しているメッセージに付加するコストはそのための余分なメッセージを送信しなければならない場合と比較して小さい。
【0042】
最初 (initial) のリクエスト送信後のクライアントクラッシュ
この場合、バックアップサーバS’(107)は自分自身を更新するための情報をプライマリサーバがキューをフラッシングする際に受信する。
【0043】
プライマリシステムクラッシュ
プライマリサーバS(101)及び同一のプロセッサ103で実行されていた全てのクライアントは失われる。バックアップサーバS’(107)は最後にフラッシングされたキューから残りのコマンドを実行し、プライマリサーバのプロセッサ103の外部で実行されているクライアントへの最後の応答によって与えられた位置までの更新を得る。
【0044】
メッセージ損失 (loss)
すぐにアクノリッジを得なかったメッセージは受信プロセス(又はプロセッサ)が故障であると見なすより前に、1度もしくは2度再送信される。
【0045】
以下、図3を用いてクライアントのプロトコルスタック205をより詳細に説明する。ステップ301において、クライアントアプリケーションの実行がプライマリサーバへ送信されるべきリクエストの要因となる。ステップ302で、そのリクエストはプロトコルスタック205で処理され、プライマリサーバへ送信される。プロトコルはメッセージ損失に際し再送信を実行し、そのメッセージのコピーを再送信を行うために保持する。ステップ303で、プライマリサーバから応答が帰ってくる。応答はクライアントアプリケーションプロセスに遅滞なく送り返される。リクエストのコピーと関連する応答は複製プロトコルのために保持される。この実施例ではプライマリサーバが比較的早く応答すると仮定しているため、プライマリサーバからクライアントへ送信された別個のアクノリッジは存在しない。すなわち、プライマリサーバから返された応答は応答として十分に機能する。比較的遅いプライマリサーバを含む他の実施例においては、プロトコルにプライマリサーバからクライアントへ応答を送信する前に送信される別個のアクノリッジを含ませることが必要であろう。
【0046】
ステップ304において、アプリケーションプロセスは行われるべき複製を待つことなく実行を回復(resume)可能である。ステップ305で、プロトコルスタック205はリクエスト及びキュー内の応答バックアップサーバへ複製されていないリクエストのために指定された応答を保存する。
【0047】
ステップ306において、クライアントは元のリクエストとバックアップサーバへの応答を含んだメッセージ送信する。これに応答して、クライアントのメッセージが正常受信されたことを確認するため、バックアップサーバはアクノリッジ(ステップ307)をクライアントに返信する。ここで、アクノリッジを用いない場合、バックアップサーバから以外の応答は予期されていないため、クライアントは自分のメッセージが受信されたかどうかを知る他の手段がないことに注意すべきである。
【0048】
本明細書の冒頭において他のいくつかの問題点を説明した。すなわち、故障及び修復通知及び状態送信である。以下、これら問題点に対する本発明の解決方法を説明する。
【0049】
故障及び修復通知に関して、プライマリサーバ及びセカンダリサーバ間の通信はまた心拍として機能する。セカンダリサーバが規則的に更新されないと、セカンダリサーバは未処理のクライアントタイムアウトを受信するのに十分な時間待ち、それから処理を引き継ぐ。サーバプロセスが再起動した場合、セカンダリサーバはアクティブなプライマリサーバがあるかどうかをチェックする。
【0050】
状態転送(State Transfer)は、故障したサーバが再起動する際に用いられる。稼働中サーバの状態はそれらのサーバが再びプライマリ/バックアップペアとして作動可能になる前に再起動するサーバへコピーされなければならない。この状態転送とシステムソフトウェア及びハードウェアアップグレード時に必要な種類の状態転送との間には根本的相違はない。また、現代のプロセッサはハードウェア故障の数が少なく、状態転送はシステムアップグレード用に最適化するべきである。
【0051】
ここで、本発明の1つの見地が、故障及び修復通知だけでなく異なるクライアントからのリクエストが異なる順番でプライマリサーバS(101)及びバックアップサーバS’(107)に到達可能であっても、それらを同一の順番に並び替えることを必要としていたことを思い出すであろう。従って、いくつかの実施例において、因果依存(causal dependency)(本明細書では”因果的配列”(causal ordering)とも言う)を実施するための機構を提供することは有益であろう。本質的に、これはメッセージ処理をそれらが受信された厳密な順番ではなく、論理的に発行された順番で参照する。因果的配列についてのより完全な説明は、米国ニューヨーク州Ithacaのコーネル大学によって開発されたISISツールキット(ISIS tool kit)に関して見つけることができるであろう。その説明はIEEE COMPUTER COCIETY PRESSによって1994年に出版された、K.P.Birman及びR.van Renesseによる「ISISツールキットを用いた信頼性の高い分散コンピューティング(Reliable Distributed Computing with the ISIS tool kit)」(ISBN 0-8186-5342-6)に見つけることができる。因果的配列は少ないオーバヘッドで実装可能であり、高度の同時発生(concurrence)を許すことによってシステム効率を向上可能である。
【0052】
図4a及び4bはこの効率向上を説明する。図4aにおいて、プロセッサPro1がリソースハンドラであるPro2にリソース要求を送信する(ステップ401)。基本システム(underlying system)において因果的配列をサポートしない場合、Pro2はリソースPro3にそれを初期化するためのメッセージを送信しなければならない(ステップ402)。リソースがレディ状態であることを応答してきた(ステップ403)後で、Pro2はPro1へリソースが利用可能であることを通知する応答の送信を許可される(ステップ404)。そして、プロセッサPro1はリソースPro3にメッセージを送信可能となる(ステップ405)。個々のプロセッサの振る舞いが先に送られたメッセージより前に後で送られたメッセージの受信(及び、結果としての処理)を行わないように予定された制限によって強制されていることに気づくであろう。
【0053】
次に、基本システムが因果的配列をサポートする例を示す図4bを参照する。この例もまた、プロセッサPro1がリソースの供給をリソースハンドラPro2に送信することから開始する(ステップ406)。しかし、今回リソースハンドラPro2はPro3からの応答を待つ必要はない。その替わり、Pro2はリソースが利用可能であることを通知する応答を直ちにPro1へ送信する(ステップ407)。ほぼ同時に、Pro2はリソースPro3に初期化メッセージを送信する(ステップ408)。これは同時に行われるため、因果的配列を用いない例(図4a)よりもかなり早く、プロセッサPro1は自らのメッセージをリソースPro3へ送信可能になる(ステップ409)。因果的配列はPro3がPro1からのメッセージを受信する前に初期化メッセージを処理することを保証するため、Pro2からのメッセージが遅れたとしても(ステップ408’で示す)何の問題も発生しない。
【0054】
クライアントが複製されたサーバをコールする限られた事例のために、完全な因果的配列モデルを実装する必要はない。なぜなら、そのような事例においては、シーケンス番号があれば複製されたサーバが正しい順番でリクエストを処理することができるからである。しかし、複製されたサーバに他の複製されたサーバのコールを許すといったように、プロトコルがより汎用的な事例に拡張される場合、完全なモデルが必要である。
【0055】
本発明を具体的な実施例に関して説明してきたが、本技術分野の当業者は上に説明された好ましい実施例以外の特定の形式において本発明を実施可能であることを容易に理解するであろう。これは本発明の精神から離れることなく実施可能である。好ましい実施例は単なる例証であって、いかなる方法によっても限定的に解釈されるべきではない。本発明の範囲は上述の説明ではなく、添付された請求の範囲によって与えられ、また請求の範囲に含まれる全ての変形物及び等価物は本発明の範囲に含まれることが意図されている。
【図面の簡単な説明】
【図1】 クライアントサーバアプリケーションにおける冗長サーバの使用を説明するブロック図である。
【図2】 フォールトトレラントクライアントサーバアプリケーションにおけるメッセージフローを説明する図である。
【図3】 本発明の1つの見地に従った、クライアント、プライマリサーバ及びバックアップサーバの間におけるメッセージのフローを説明する図である。
【図4a】 プロセス間通信に因果的配列(causal ordering)を用いることにより達成される効率性の向上を説明する図である。
【図4b】 プロセス間通信に因果的配列(causal ordering)を用いることにより達成される効率性の向上を説明する図である。
Claims (10)
- プライマリサーバと、
バックアップサーバ及び、
クライアントを有するフォールトトレラントクライアントサーバシステムであって、
前記クライアントが、
リクエストを前記プライマリサーバに送信する手段と、
前記プライマリサーバからプライマリサーバ状態情報を含む応答を受信する手段と、
前記プライマリサーバ状態情報を前記バックアップサーバに送信する手段とを有し、
前記プライマリサーバが、
前記リクエストを受信し、処理する手段と、
前記リクエストに応答して、バックアップ処理とは独立して前記クライアントに前記プライマリサーバ状態情報を含む応答を送信する手段と、
前記バックアップサーバへの前記プライマリサーバ状態情報の周期的な送信を含むバックアップ処理を実行する手段とを有し、
前記バックアップサーバが、
前記プライマリサーバからの前記プライマリサーバ状態情報を受信する手段と、
前記クライアントから前記プライマリサーバ状態情報を受信する手段とを有することを特徴とするフォールトトレラントクライアントサーバシステム。 - 前記プライマリサーバ状態情報が、前記プライマリサーバから前記バックアップサーバへ最後にプライマリサーバ状態情報を伝送してから前記プライマリサーバが取り扱いした全てのリクエスト−応答ペアを含むことを特徴とする請求項1記載のフォールトトレラントクライアントサーバシステム。
- 前記プライマリサーバ状態情報が応答から得たチェックサムを含むことを特徴とする請求項1記載のフォールトトレラントクライアントサーバシステム。
- 前記プライマリサーバの前記バックアップ処理を実行する手段が、予め定めた時間間隔に基づき周期的に活性化されることを特徴とする請求項1記載のフォールトトレラントクライアントサーバシステム。
- 前記プライマリサーバが、前記プライマリサーバ状態情報を記憶する手段をさらに有し、
前記プライマリサーバのバックアップ処理を実行する手段が、前記プライマリサーバ状態情報を記憶する手段が予め定めた量満たされたことに応答して活性化されることを特徴とする請求項1記載のフォールトトレラントクライアントサーバシステム。 - プライマリサーバと、バックアップサーバ及びクライアントを有するフォールトトレラントクライアントサーバシステムの操作方法であって、
前記クライアントから前記プライマリサーバへリクエストを送信するステップと、
前記プライマリサーバにおいて、前記リクエストを受信し、前記プライマリサーバによって実行される全てのバックアップ処理とは独立して、プライマリサーバ状態情報を含む応答を前記クライアントに送信する処理を含む処理を行うステップと、
前記プライマリサーバにおいて、前記バックアップサーバへの前記プライマリサーバ状態情報の周期的な送信を含むバックアップ処理を実行するステップと、
前記クライアントにおいて、前記プライマリサーバからの前記応答を受信するステップ及び、
前記クライアントから前記バックアッププロセッサへ前記プライマリサーバ状態情報を送信するステップとを有することを特徴とするフォールトトレラントクライアントサーバシステムの操作方法。 - 前記プライマリサーバ状態情報が、前記プライマリサーバから前記バックアップサーバへ最後にプライマリサーバ状態情報を伝送してから前記プライマリサーバが取り扱いした全てのリクエスト−応答ペアを含むことを特徴とする請求項6記載の方法。
- 前記プライマリサーバ状態情報が応答から得たチェックサムを含むことを特徴とする請求項6記載の方法。
- 前記プライマリサーバにおけるバックアップ処理実行ステップが、予め定めた時間間隔に基づき周期的に実行されることを特徴とする請求項6記載の方法。
- 前記プライマリサーバが、前記プライマリサーバ状態情報を記憶手段に記憶するステップをさらに実行し、
前記プライマリサーバにおけるバックアップ処理実行ステップが、前記記憶手段が予め定めた量満たされたことに応答して実行されることを特徴とする請求項6記載の方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/159,771 US6247141B1 (en) | 1998-09-24 | 1998-09-24 | Protocol for providing replicated servers in a client-server system |
| US09/159,771 | 1998-09-24 | ||
| PCT/SE1999/001673 WO2000017755A2 (en) | 1998-09-24 | 1999-09-23 | Protocol for replicated servers |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002525748A JP2002525748A (ja) | 2002-08-13 |
| JP4481498B2 true JP4481498B2 (ja) | 2010-06-16 |
Family
ID=22573949
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000571348A Expired - Lifetime JP4481498B2 (ja) | 1998-09-24 | 1999-09-23 | 複製サーバのためのプロトコル |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US6247141B1 (ja) |
| EP (1) | EP1116115B1 (ja) |
| JP (1) | JP4481498B2 (ja) |
| KR (1) | KR100599912B1 (ja) |
| CN (1) | CN1213376C (ja) |
| AU (1) | AU6380499A (ja) |
| BR (1) | BR9913941A (ja) |
| CA (1) | CA2344311C (ja) |
| DE (1) | DE69905594T2 (ja) |
| WO (1) | WO2000017755A2 (ja) |
Families Citing this family (98)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6397247B1 (en) * | 1998-03-25 | 2002-05-28 | Nec Corporation | Failure prediction system and method for a client-server network |
| US8010627B1 (en) * | 1998-09-25 | 2011-08-30 | Sprint Communications Company L.P. | Virtual content publishing system |
| US6629263B1 (en) * | 1998-11-10 | 2003-09-30 | Hewlett-Packard Company | Fault tolerant network element for a common channel signaling (CCS) system |
| US6880008B1 (en) * | 1999-03-31 | 2005-04-12 | Sony Corporation | System and method for retrieving a backup file having a file name exactly corresponding to the date and time of a client request, if no exact match for the date and time corresponding to the client request is found, to search for the backup file having the file name with a date and time that are closest to but prior to the specified date and time |
| US6457011B1 (en) * | 1999-07-23 | 2002-09-24 | Microsoft Corporation | Method of updating a shared database in a computer network |
| US6324692B1 (en) * | 1999-07-28 | 2001-11-27 | Data General Corporation | Upgrade of a program |
| US6345282B1 (en) * | 1999-09-30 | 2002-02-05 | Nortel Networks Limited | Multi-processor data synchronization method and apparatus |
| US6667980B1 (en) * | 1999-10-21 | 2003-12-23 | Sun Microsystems, Inc. | Method and apparatus for providing scalable services using a packet distribution table |
| US6564336B1 (en) * | 1999-12-29 | 2003-05-13 | General Electric Company | Fault tolerant database for picture archiving and communication systems |
| US6769008B1 (en) | 2000-01-10 | 2004-07-27 | Sun Microsystems, Inc. | Method and apparatus for dynamically altering configurations of clustered computer systems |
| US6757836B1 (en) | 2000-01-10 | 2004-06-29 | Sun Microsystems, Inc. | Method and apparatus for resolving partial connectivity in a clustered computing system |
| US6862613B1 (en) | 2000-01-10 | 2005-03-01 | Sun Microsystems, Inc. | Method and apparatus for managing operations of clustered computer systems |
| US6587866B1 (en) * | 2000-01-10 | 2003-07-01 | Sun Microsystems, Inc. | Method for distributing packets to server nodes using network client affinity and packet distribution table |
| US6735206B1 (en) | 2000-01-10 | 2004-05-11 | Sun Microsystems, Inc. | Method and apparatus for performing a fast service lookup in cluster networking |
| US6789213B2 (en) * | 2000-01-10 | 2004-09-07 | Sun Microsystems, Inc. | Controlled take over of services by remaining nodes of clustered computing system |
| US6735205B1 (en) | 2000-01-10 | 2004-05-11 | Sun Microsystems, Inc. | Method and apparatus for fast packet forwarding in cluster networking |
| US6748437B1 (en) | 2000-01-10 | 2004-06-08 | Sun Microsystems, Inc. | Method for creating forwarding lists for cluster networking |
| US6735717B1 (en) * | 2000-04-13 | 2004-05-11 | Gnp Computers, Inc. | Distributed computing system clustering model providing soft real-time responsiveness and continuous availability |
| US7007190B1 (en) * | 2000-09-06 | 2006-02-28 | Cisco Technology, Inc. | Data replication for redundant network components |
| US6816980B1 (en) | 2000-09-15 | 2004-11-09 | Zeronines Technology, Inc. | Fault tolerant, state-compatible computer system and method |
| US6760861B2 (en) * | 2000-09-29 | 2004-07-06 | Zeronines Technology, Inc. | System, method and apparatus for data processing and storage to provide continuous operations independent of device failure or disaster |
| US6854072B1 (en) * | 2000-10-17 | 2005-02-08 | Continuous Computing Corporation | High availability file server for providing transparent access to all data before and after component failover |
| US7069334B2 (en) | 2000-12-27 | 2006-06-27 | Intel Corporation | Image restoration and reconfiguration support for crashed devices |
| US7130883B2 (en) | 2000-12-29 | 2006-10-31 | Webex Communications, Inc. | Distributed network system architecture for collaborative computing |
| US6901448B2 (en) * | 2000-12-29 | 2005-05-31 | Webex Communications, Inc. | Secure communications system for collaborative computing |
| US20030167418A1 (en) * | 2000-12-29 | 2003-09-04 | Min Zhu | Fault-tolerant server for collaborative computing |
| US20030164853A1 (en) | 2000-12-29 | 2003-09-04 | Min Zhu | Distributed document sharing |
| US7069298B2 (en) | 2000-12-29 | 2006-06-27 | Webex Communications, Inc. | Fault-tolerant distributed system for collaborative computing |
| US7203755B2 (en) * | 2000-12-29 | 2007-04-10 | Webex—Communications, Inc. | System and method for application sharing in collaborative setting |
| US20020091881A1 (en) * | 2001-01-10 | 2002-07-11 | International Business Machines Corporation | Managing a failure to access a database in a computer system |
| US6950961B2 (en) * | 2001-02-13 | 2005-09-27 | Hewlett-Packard Development Company, L.P. | Highly available, monotonic increasing sequence number generation |
| US7454614B2 (en) * | 2001-03-29 | 2008-11-18 | Microsoft Corporation | Method and apparatus for fault tolerant TCP handshaking |
| US7028217B2 (en) * | 2001-06-04 | 2006-04-11 | Lucent Technologies Inc. | System and method of general purpose data replication between mated processors |
| US20030028592A1 (en) * | 2001-08-03 | 2003-02-06 | Masahiro Ooho | Backup-restoration system and right management server |
| US7107355B2 (en) * | 2002-02-11 | 2006-09-12 | Sun Microsystems, Inc. | High availability lightweight directory access protocol service |
| US8688787B1 (en) | 2002-04-26 | 2014-04-01 | Zeronines Technology, Inc. | System, method and apparatus for data processing and storage to provide continuous e-mail operations independent of device failure or disaster |
| US8140888B1 (en) * | 2002-05-10 | 2012-03-20 | Cisco Technology, Inc. | High availability network processing system |
| US20040153709A1 (en) * | 2002-07-03 | 2004-08-05 | Burton-Krahn Noel Morgen | Method and apparatus for providing transparent fault tolerance within an application server environment |
| AU2003259297A1 (en) * | 2002-07-29 | 2004-02-16 | Eternal Systems, Inc. | Consistent message ordering for semi-active and passive replication |
| US7266607B2 (en) * | 2002-08-27 | 2007-09-04 | International Business Machines Corporation | Quasi-high availability hosted applications |
| DE10253037B4 (de) * | 2002-11-14 | 2007-07-12 | Roland Schaad | Verfahren zur funktionellen Aufrechterhaltung eines Datenverarbeitungsnetzwerkes nach Auftreten eines Hardware- und/oder Softwarefehlers |
| JP4141875B2 (ja) | 2003-03-27 | 2008-08-27 | 株式会社日立製作所 | リカバリ処理方法及びその実施システム並びにその処理プログラム |
| US7114096B2 (en) * | 2003-04-02 | 2006-09-26 | International Business Machines Corporation | State recovery and failover of intelligent network adapters |
| US20040225738A1 (en) * | 2003-05-09 | 2004-11-11 | Patel Dipak M. | Methods, systems and computer program products for replicating servers and network traffic for problem determination and/or tuning |
| US7251745B2 (en) * | 2003-06-11 | 2007-07-31 | Availigent, Inc. | Transparent TCP connection failover |
| CN100364244C (zh) * | 2003-09-02 | 2008-01-23 | 华为技术有限公司 | 多接口对多接口的备份方法 |
| US7394832B1 (en) * | 2003-09-09 | 2008-07-01 | Nortel Networks Limited | Technique for synchronizing redundant network elements |
| US8949395B2 (en) | 2004-06-01 | 2015-02-03 | Inmage Systems, Inc. | Systems and methods of event driven recovery management |
| US7676502B2 (en) * | 2006-05-22 | 2010-03-09 | Inmage Systems, Inc. | Recovery point data view shift through a direction-agnostic roll algorithm |
| US8055745B2 (en) * | 2004-06-01 | 2011-11-08 | Inmage Systems, Inc. | Methods and apparatus for accessing data from a primary data storage system for secondary storage |
| US9209989B2 (en) * | 2004-06-01 | 2015-12-08 | Inmage Systems, Inc. | Causation of a data read operation against a first storage system by a server associated with a second storage system according to a host generated instruction |
| US8868858B2 (en) * | 2006-05-19 | 2014-10-21 | Inmage Systems, Inc. | Method and apparatus of continuous data backup and access using virtual machines |
| US7698401B2 (en) * | 2004-06-01 | 2010-04-13 | Inmage Systems, Inc | Secondary data storage and recovery system |
| US8224786B2 (en) * | 2004-06-01 | 2012-07-17 | Inmage Systems, Inc. | Acquisition and write validation of data of a networked host node to perform secondary storage |
| US7979656B2 (en) | 2004-06-01 | 2011-07-12 | Inmage Systems, Inc. | Minimizing configuration changes in a fabric-based data protection solution |
| US8180882B2 (en) | 2004-07-22 | 2012-05-15 | Tyco Electronics Subsea Communications Llc | Distributed messaging system and method for sharing network status data |
| US7343454B2 (en) * | 2004-11-16 | 2008-03-11 | International Business Machines Corporation | Methods to maintain triangle ordering of coherence messages |
| EP1834261B1 (en) * | 2005-01-07 | 2014-06-25 | Thomson Reuters Global Resources | Systems, methods, and software for distributed loading of databases |
| US7895308B2 (en) * | 2005-05-11 | 2011-02-22 | Tindall Steven J | Messaging system configurator |
| US7877552B2 (en) * | 2005-05-24 | 2011-01-25 | Marathon Technologies Corporation | Symmetric multiprocessor fault tolerant computer system |
| CN100362482C (zh) * | 2005-07-21 | 2008-01-16 | 上海华为技术有限公司 | 一种双机备份实现方法及系统 |
| US9141481B1 (en) * | 2010-08-06 | 2015-09-22 | Open Invention Network, Llc | System and method for reliable non-blocking messaging for multi-process application replication |
| US8601225B2 (en) * | 2005-09-16 | 2013-12-03 | Inmage Systems, Inc. | Time ordered view of backup data on behalf of a host |
| US8683144B2 (en) * | 2005-09-16 | 2014-03-25 | Inmage Systems, Inc. | Causation of a data read against a first storage system to optionally store a data write to preserve the version to allow viewing and recovery |
| CN100452768C (zh) * | 2005-11-29 | 2009-01-14 | 华为技术有限公司 | 源特定组播和源无关组播配合的组播方法及其接入设备 |
| US20070203974A1 (en) * | 2006-02-09 | 2007-08-30 | Baskey Michael E | Method and system for generic application liveliness monitoring for business resiliency |
| US7735010B2 (en) * | 2006-04-05 | 2010-06-08 | Lexisnexis, A Division Of Reed Elsevier Inc. | Citation network viewer and method |
| US8875135B2 (en) * | 2006-04-17 | 2014-10-28 | Cisco Systems, Inc. | Assigning component operations of a task to multiple servers using orchestrated web service proxy |
| US8321377B2 (en) * | 2006-04-17 | 2012-11-27 | Microsoft Corporation | Creating host-level application-consistent backups of virtual machines |
| US8554727B2 (en) * | 2006-05-19 | 2013-10-08 | Inmage Systems, Inc. | Method and system of tiered quiescing |
| US8838528B2 (en) * | 2006-05-22 | 2014-09-16 | Inmage Systems, Inc. | Coalescing and capturing data between events prior to and after a temporal window |
| US8527721B2 (en) * | 2008-12-26 | 2013-09-03 | Rajeev Atluri | Generating a recovery snapshot and creating a virtual view of the recovery snapshot |
| US8527470B2 (en) | 2006-05-22 | 2013-09-03 | Rajeev Atluri | Recovery point data view formation with generation of a recovery view and a coalesce policy |
| US7725764B2 (en) * | 2006-08-04 | 2010-05-25 | Tsx Inc. | Failover system and method |
| US7434096B2 (en) * | 2006-08-11 | 2008-10-07 | Chicago Mercantile Exchange | Match server for a financial exchange having fault tolerant operation |
| US7634507B2 (en) * | 2006-08-30 | 2009-12-15 | Inmage Systems, Inc. | Ensuring data persistence and consistency in enterprise storage backup systems |
| US7610510B2 (en) * | 2007-02-16 | 2009-10-27 | Symantec Corporation | Method and apparatus for transactional fault tolerance in a client-server system |
| US8209417B2 (en) * | 2007-03-08 | 2012-06-26 | Oracle International Corporation | Dynamic resource profiles for clusterware-managed resources |
| US20080250097A1 (en) * | 2007-04-04 | 2008-10-09 | Adadeus S.A.S | Method and system for extending the services provided by an enterprise service bus |
| US7782801B2 (en) * | 2007-05-29 | 2010-08-24 | Red Hat, Inc. | Flush support for virtual synchrony |
| US8683033B2 (en) * | 2007-09-17 | 2014-03-25 | International Business Machines Corporation | Apparatus, system, and method for server failover to standby server during broadcast storm or denial-of-service attack |
| US20090150459A1 (en) * | 2007-12-07 | 2009-06-11 | International Business Machines Corporation | Highly available multiple storage system consistency heartbeat function |
| US8028194B2 (en) * | 2008-07-25 | 2011-09-27 | Inmage Systems, Inc | Sequencing technique to account for a clock error in a backup system |
| US8069227B2 (en) * | 2008-12-26 | 2011-11-29 | Inmage Systems, Inc. | Configuring hosts of a secondary data storage and recovery system |
| US8682954B2 (en) * | 2009-07-15 | 2014-03-25 | International Business Machines Corporation | Replication in a network environment |
| JP5560113B2 (ja) * | 2010-06-25 | 2014-07-23 | 株式会社日立製作所 | 計算機システム及び計算機の管理方法 |
| US8693035B2 (en) * | 2010-06-28 | 2014-04-08 | Kabushiki Kaisha Toshiba | Data processing apparatus and data processing method for performing predetermined process at a different processing node |
| WO2012077262A1 (en) * | 2010-12-10 | 2012-06-14 | Nec Corporation | Server management apparatus, server management method, and program |
| US8868862B2 (en) * | 2011-12-29 | 2014-10-21 | Alcatel Lucent | Method and apparatus for synchronization in primary-backup replication schemes |
| JP2013161252A (ja) * | 2012-02-03 | 2013-08-19 | Fujitsu Ltd | 冗長コンピュータ制御プログラム、方法、及び装置 |
| JP5982842B2 (ja) * | 2012-02-03 | 2016-08-31 | 富士通株式会社 | コンピュータ障害監視プログラム、方法、及び装置 |
| CN103823727B (zh) * | 2014-02-13 | 2016-04-13 | 深圳市同洲电子股份有限公司 | 一种直播录制的备份方法和装置 |
| US9558078B2 (en) | 2014-10-28 | 2017-01-31 | Microsoft Technology Licensing, Llc | Point in time database restore from storage snapshots |
| JP6676352B2 (ja) * | 2015-11-27 | 2020-04-08 | 株式会社三菱Ufj銀行 | データ処理装置 |
| CN105955989B (zh) * | 2015-12-31 | 2020-12-22 | 华云数据控股集团有限公司 | 一种云平台数据库主从服务器的建立方法 |
| US10320626B1 (en) | 2016-04-07 | 2019-06-11 | Wells Fargo Bank, N.A. | Application discovery and dependency mapping |
| US10839852B2 (en) | 2016-09-21 | 2020-11-17 | International Business Machines Corporation | Log snapshot control on an automated data storage library |
| US10782890B2 (en) * | 2016-09-21 | 2020-09-22 | International Business Machines Corporation | Log snapshot procedure control on an automated data storage library |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5005122A (en) * | 1987-09-08 | 1991-04-02 | Digital Equipment Corporation | Arrangement with cooperating management server node and network service node |
| US4879716A (en) | 1987-12-23 | 1989-11-07 | Bull Hn Information Systems Inc. | Resilient data communications system |
| US5307481A (en) | 1990-02-28 | 1994-04-26 | Hitachi, Ltd. | Highly reliable online system |
| US5157663A (en) | 1990-09-24 | 1992-10-20 | Novell, Inc. | Fault tolerant computer system |
| JPH04271454A (ja) | 1991-02-27 | 1992-09-28 | Toshiba Corp | 疎結合計算機システム |
| EP0537903A2 (en) * | 1991-10-02 | 1993-04-21 | International Business Machines Corporation | Distributed control system |
| WO1993009494A1 (en) | 1991-10-28 | 1993-05-13 | Digital Equipment Corporation | Fault-tolerant computer processing using a shadow virtual processor |
| JP3213766B2 (ja) | 1992-03-16 | 2001-10-02 | 株式会社日立製作所 | レプリケートファイル更新システム |
| JP3130536B2 (ja) | 1993-01-21 | 2001-01-31 | アップル コンピューター インコーポレーテッド | 多数のネットワークされたコンピュータ記憶装置からデータを転送し記憶する装置ならびに方法 |
| US5434994A (en) | 1994-05-23 | 1995-07-18 | International Business Machines Corporation | System and method for maintaining replicated data coherency in a data processing system |
| US5673381A (en) | 1994-05-27 | 1997-09-30 | Cheyenne Software International Sales Corp. | System and parallel streaming and data stripping to back-up a network |
| US5566297A (en) | 1994-06-16 | 1996-10-15 | International Business Machines Corporation | Non-disruptive recovery from file server failure in a highly available file system for clustered computing environments |
| US5581753A (en) | 1994-09-28 | 1996-12-03 | Xerox Corporation | Method for providing session consistency guarantees |
| US5634052A (en) * | 1994-10-24 | 1997-05-27 | International Business Machines Corporation | System for reducing storage requirements and transmission loads in a backup subsystem in client-server environment by transmitting only delta files from client to server |
| US5513314A (en) | 1995-01-27 | 1996-04-30 | Auspex Systems, Inc. | Fault tolerant NFS server system and mirroring protocol |
| US5696895A (en) | 1995-05-19 | 1997-12-09 | Compaq Computer Corporation | Fault tolerant multiple network servers |
| US5796934A (en) | 1996-05-31 | 1998-08-18 | Oracle Corporation | Fault tolerant client server system |
| US5758359A (en) | 1996-10-24 | 1998-05-26 | Digital Equipment Corporation | Method and apparatus for performing retroactive backups in a computer system |
-
1998
- 1998-09-24 US US09/159,771 patent/US6247141B1/en not_active Expired - Lifetime
-
1999
- 1999-09-23 EP EP99951348A patent/EP1116115B1/en not_active Expired - Lifetime
- 1999-09-23 CN CNB998136808A patent/CN1213376C/zh not_active Expired - Fee Related
- 1999-09-23 DE DE69905594T patent/DE69905594T2/de not_active Expired - Lifetime
- 1999-09-23 AU AU63804/99A patent/AU6380499A/en not_active Abandoned
- 1999-09-23 WO PCT/SE1999/001673 patent/WO2000017755A2/en active IP Right Grant
- 1999-09-23 JP JP2000571348A patent/JP4481498B2/ja not_active Expired - Lifetime
- 1999-09-23 BR BR9913941-3A patent/BR9913941A/pt not_active IP Right Cessation
- 1999-09-23 CA CA002344311A patent/CA2344311C/en not_active Expired - Lifetime
- 1999-09-23 KR KR1020017003798A patent/KR100599912B1/ko not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| EP1116115B1 (en) | 2003-02-26 |
| JP2002525748A (ja) | 2002-08-13 |
| CN1213376C (zh) | 2005-08-03 |
| BR9913941A (pt) | 2001-06-12 |
| US6247141B1 (en) | 2001-06-12 |
| EP1116115A2 (en) | 2001-07-18 |
| AU6380499A (en) | 2000-04-10 |
| CA2344311C (en) | 2008-04-01 |
| DE69905594D1 (de) | 2003-04-03 |
| WO2000017755A2 (en) | 2000-03-30 |
| WO2000017755A3 (en) | 2000-06-08 |
| KR20010079917A (ko) | 2001-08-22 |
| DE69905594T2 (de) | 2003-11-27 |
| CN1342280A (zh) | 2002-03-27 |
| CA2344311A1 (en) | 2000-03-30 |
| KR100599912B1 (ko) | 2006-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4481498B2 (ja) | 複製サーバのためのプロトコル | |
| US7627694B2 (en) | Maintaining process group membership for node clusters in high availability computing systems | |
| US9424143B2 (en) | Method and system for providing high availability to distributed computer applications | |
| EP1533701B1 (en) | System and method for failover | |
| JP4301849B2 (ja) | 情報処理方法及びその実施システム並びにその処理プログラム並びにディザスタリカバリ方法およびシステム並びにその処理を実施する記憶装置およびその制御処理方法 | |
| US5440726A (en) | Progressive retry method and apparatus having reusable software modules for software failure recovery in multi-process message-passing applications | |
| EP0818001B1 (en) | Fault-tolerant processing method | |
| US5440727A (en) | Asynchronous replica management in shared nothing architectures | |
| EP1019822B1 (en) | Highly-available cluster configuration database | |
| US5590277A (en) | Progressive retry method and apparatus for software failure recovery in multi-process message-passing applications | |
| US7194652B2 (en) | High availability synchronization architecture | |
| US7676616B2 (en) | Method, apparatus and program storage device for providing asynchronous status messaging in a data storage system | |
| US7188237B2 (en) | Reboot manager usable to change firmware in a high availability single processor system | |
| JPH11502658A (ja) | 故障許容処理方法 | |
| US6338146B1 (en) | Method and apparatus for fault-tolerant, scalable and non-blocking three-phase flushing for committing database transactions in a cluster of multiprocessors | |
| Moser et al. | Membership algorithms for asynchronous distributed systems | |
| JPS59133663A (ja) | 分散マルチプロセツサ・コンピユ−タの障害許容システムにおけるタスク実行手段間のメツセ−ジ転送方法 | |
| Garcia-Molina et al. | Issues in disaster recovery | |
| US7065673B2 (en) | Staged startup after failover or reboot | |
| EP0881569B1 (en) | File system and file management method which realize distributed replication in system having shared type raid | |
| Murray et al. | Somersault software fault-tolerance | |
| JPH0512048A (ja) | 多重化サブシステム間処理引継ぎ処理方式 | |
| Mukai et al. | A networkwide backup system with inter‐memory autonomic copy mechanism | |
| CN115344430A (zh) | 基于最小法定人数和二进制日志的数据库灾备方法 | |
| Mitchell et al. | Sharing state information for fast recovery in ak faulty system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060919 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100226 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100318 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130326 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4481498 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130326 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140326 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |