Sistemas Distribuídos: Conceitos e Projeto Introdução a Tolerância a Falhas

Transcrição

1 Sistemas Distribuídos: Conceitos e Projeto Introdução a Tolerância a Falhas Francisco José da Silva e Silva Laboratório de Sistemas Distribuídos (LSD) Departamento de Informática / UFMA 11 de julho de 2013 Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

2 Agenda 1 Conceitos Introdutórios de Tolerância a Falhas 2 Fases da Tolerância a Falhas 3 Classificação e Modelos de Falhas 4 Redundância 5 Construção de Sistemas Distribuídos Tolerantes a Falhas Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

3 Conceitos Introdutórios de Tolerância a Falhas Conceitos Introdutórios de Tolerância a Falhas Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

4 Conceitos Introdutórios de Tolerância a Falhas Dependabilidade Em muitas áreas computadores realizam tarefas críticas e que envolvem vidas humanas: sistemas de controle de vôo, monitoramento de pacientes, sistemas de controle e controle de tráfego aéreo; Outras áreas de aplicação dependem fortemente de computadores, cuja falha pode gerar grandes perdas financeiras ou de oportunidades; Todas estas áreas requerem sistemas altamente confiáveis, dado sua dependência deles; Dependabilidade é a propriedade de um sistema que justifica a confiança posta nos serviços que ele provê, isto é, o quão o seu sistema/serviço/funcionalidade pode seguramente depender deste sistema. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

5 Conceitos Introdutórios de Tolerância a Falhas Atributos de Qualidade para um Software Confiável (Dependable) Disponibilidade: propriedade de um sistema estar pronto para ser utilizado imediatamente; Confiabilidade: propriedade do sistema continuar em execução contínua sem falhas. Se um sistema fica indisponível por um milissegundo a cada hora, terá uma disponibilidade de 99,9999% mas é altamente não confiável. De forma semelhante, se nunca falha mas é desligado duas semanas todo mês de agosto, possui alta confiabilidade mas apenas 96 % de disponibilidade; Segurança: refere-se a situação de quando uma sistema temporariamente não opere corretamente, nada de catastrófico ao ambiente ocorra; Mantenabilidade: define a facilidade de se reparar sistemas que falharam. Um sistema de fácil manutenção pode também apresentar alta disponibilidade, especialmente se falhas puderem ser detectadas e reparadas automaticamente; Segurança: prevenir o acesso e manipulação não autorizado de informações. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

6 Conceitos Introdutórios de Tolerância a Falhas Conceitos Básicos Um sistema apresenta um defeito caso não consiga cumprir suas promessas (especificações); Defeitos são causados por falhas em componentes do sistema; Um erro é uma parte do estado do sistema que pode levar a uma falha. Ou seja, o sistema está em estado de erro se o processamento posterior a partir deste estado pode levar a uma falha. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

7 Conceitos Introdutórios de Tolerância a Falhas Abordagens para Melhor a Confiabilidade Prevenção de falhas: tentar prevenir a ocorrência de falhas (sua introdução no sistema); Tolerância a falhas: fazer com que o sistema continue prestando seus serviços mesmo na presença de falhas. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

8 Conceitos Introdutórios de Tolerância a Falhas Prevenção de Falhas Tenta-se eliminar as falhas antes do uso regular do sistema; Foco em metodologias para projeto, teste e validação de sistemas; Se usada de forma exclusiva, não há redundância e todos os componentes devem funcionar corretamente; Recuperação manual em caso de defeito, o que é inaceitável para algumas aplicações: 1 Tempo imprevisível para manutenção manual, tornando a abordagem inviável para sistemas de tempo real; 2 Indisponibilidade do sistema durante sua recuperação manual, agravado quando o sistema é manuseado por pessoas não qualificadas em sua recuperação: exploração espacial; 3 Custos elevados de manutenção e associado ao tempo indisponível, como em sistemas bancários e de defesa. Técnicas de prevenção de falhas podem ser combinadas com técnicas de tolerância a falhas, cujo foco é em como construir componentes cujas falhas podem ser mascaradas. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

9 Conceitos Introdutórios de Tolerância a Falhas Tolerância a Falhas em Sistemas Distribuídos Uma característica que distingue sistemas distribuídos de sistemas centralizados é a noção de falha parcial; Uma falha parcial ocorre quando um componente no sistema distribuído falha; Um objetivo importante do projeto de um sistema distribuído é contruí-lo de forma que possa se recuperar automaticamente de falhas parciais sem afetar dramaticamente o desempenho geral. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

10 Fases da Tolerância a Falhas Fases da Tolerância a Falhas Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

11 Fases da Tolerância a Falhas Fases da Tolerância a Falhas 1 Detecção de erro; 2 Confinamento do dano; 3 Recuperação do erro; 4 Tratamento da falha e continuidade do serviço. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

12 Fases da Tolerância a Falhas Detecção de Erro Falhas e defeitos não podem ser diretamente observados mas podem ser deduzidos pela presença de erros; Como erros são definidos pelo estado do sistema, verificações podem ser realizadas para verificar a existência dos mesmos; Mecanismos de detecção de erros muitas vezes são chamados de detecção de defeitos/falhas. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

13 Fases da Tolerância a Falhas Propriedades Importantes na Detecção de Erro 1 Um detector ideal deve ser determinado somente a partir das especificações do sistema e não deve ser influenciado pelo projeto interno do sistema; 2 Deve ser completo e correto, detectando todos os erros possíveis no comportamento do sistema que podem ocorrer na presença das falhas que se deseja tolerar, nunca informando um erro quando ele não estiver presente; 3 Deve ser independente do sistema com relação a sua susceptibilidade de falha. Se o detector falhar sempre que o sistema falhar, ele não será útil. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

14 Fases da Tolerância a Falhas Propriedades Importantes na Detecção de Erro Em sistemas reais os critérios anteriores raramente podem ser completamente satisfeitos: Tipicamente não é viável realizar uma detecção completa devido a custos financeiros ou de desempenho, além de verificações muito complexas poderem falhar; Independência completa normalmente não pode ser obtida, já que o sistema e o detector usualmente compartilham algum ambiente (fonte de energia, sala, etc). Portanto, o objetivo é manter o custo da detecção de erros baixo, maximizando os erros que são detectados; Não há garantias de que todos os erros serão detectados, mas sim que a maioria daqueles de interesse, particularmente os que possuam maior probabilidade de ocorrer, serão detectados. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

15 Fases da Tolerância a Falhas Detectores Replicados Replica-se algum componente do sistema; Os resultados dos componentes replicados são comparados ou votados para a detecção de erros; Método caro para detecção de erros; Usualmente empregado para detecção de erros em componentes de hardware; Evidentemente, este tipo de detecção não funcionará caso o projeto do sistema possua falhas. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

16 Fases da Tolerância a Falhas Detectores Temporais Se a especificação de um componente incluir restrições de tempo, um detector temporal pode ser utilizado para verificar se estas estão sendo respeitadas; Uma violação de tempo indica que o componente está se comportando incorretamente; Utilizado frequentemente tanto em sistemas de hardware quanto de software. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

17 Fases da Tolerância a Falhas Detectores Estruturais e de Código Em qualquer dado, dois tipos de verificações podem ser realizadas: 1 Verificação semântica, que tenta garantir se o valor do dado é consistente com o restante do sistema; 2 Verificação estrutural, que verifica se a estrutura do dado é consistente com o que deveria ser. A forma mais usual de verificação estrutural, usualmente empregada em hardware, é a codificação, na qual bits são adicionados aos dados e estão relacionados a estes. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

18 Fases da Tolerância a Falhas Detectores de Estado Razoável Determina se o estado de um dado objeto do sistema é razoável; Um exemplo típico é verificar se um dado valor está dentro de uma dada faixa; Uma variação é monitorar a taxa de mudança de um dado valor. Esta taxa deve estar dentro de algum limite; Outra possibilidade é o uso de asserções sobre o estado sistema, uma expressão lógica relativa ao valor de diferentes variáveis do sistema que deve ser avaliada como verdadeiro caso o sistema esteja consistente. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

19 Fases da Tolerância a Falhas Detectores que Realizam Diagnóstico Verificações são feitas em componentes para garantir que eles estão funcionando corretamente; Tipicamente utilizam valores de entrada especiais para os quais valores corretos de saída são conhecidos; Frequentemente utilizados na inicialização de sistemas. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

20 Fases da Tolerância a Falhas Confinamento de Dano Devido a interações entre os componentes, um erro pode ser propagado para outras partes do sistema; Portanto, após detectar um erro e antes de recuperar o sistema do estado de erro necessitamos determinar os limites do estado corrompido; O objetivo é identificar o limite no estado além do qual nenhuma troca de informação ocorreu. O dano estará confinado a este limite; Os limites podem ser identificados dinamicamente, registrando-se e examinando o fluxo de informação entre componentes; Pode-se ainda projetar o sistema de forma que portas ante-incêndio são estaticamente incorporadas ao sistema. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

21 Fases da Tolerância a Falhas Recuperação do Erro: Técnicas Básicas 1 Recuperação por retrocesso O estado do sistema é recuperado para um estado anterior, assumindo-se que este esteja livre de erro; Exemplo: uso de checkpointing. 2 Recuperação para frente Avança o sistema para um estado livre de erro através de ações corretivas; Somente conhecendo a natureza exata do erro pode-se remover o erro através de ações corretivas; É usualmente dependente da aplicação e do sistema. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

22 Fases da Tolerância a Falhas Tratamento de Falha e Continuidade do Serviço Se a falha é permanente, o componente com problema deve ser identificado e não mais utilizado após a recuperação; A recuperação compreende uma reconfiguração dinâmica do sistema, sem intervenções manuais; Uma estratégia simples para se atingir isso é o uso de stanby spare: quando o componente principal falhar, um componente redundante passa a ser utilizado. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

23 Classificação e Modelos de Falhas Classificação e Modelos de Falhas Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

24 Classificação e Modelos de Falhas Classificação de Falhas Transientes: ocorrem uma vez e desaparecem. Ex: um pássaro passando em frente a um transmissor de micro-ondas; Intermitentes: ocorrem, desaparecem e reaparecem. Ex: conector mal conectado; Permanentes: ocorrem continuamente até que o componente defeituoso seja reparado. Ex: bugs de software. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

25 Classificação e Modelos de Falhas Modelos (Tipos) de Falhas Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

26 Classificação e Modelos de Falhas Modelos (Tipos) de Falhas A falha arbitrária é a mais grave e é também conhecida como falha bizantina. Um servidor pode gerar saídas que não deveriam ser produzidas mas são difíceis de detectar. Pior ainda: ele pode estar maliciosamente trabalhando em conjunto com outros servidores para produzir respostas erradas; A falha mais benigna é a queda (crash) e também são conhecidas como fail-stop failure; Existe também a situação no qual um servidor está gerando saídas aleatórias mas que podem ser reconhecidas pelos demais processos como lixo. Neste caso, o servidor está apresentando falhas arbitrárias de forma benigna. Estas falhas são conhecidas como sendo fail-safe. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

27 Redundância Redundância Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

28 Redundância Redundância A técnica básica para mascarar defeitos é a utilização de redundância; Tipos de redundância: De informação: bits extras são adicionados para permitir recuperação de bits trocados. Ex: código de Hamming; Temporal: uma ação é realizada e, caso necessário, repetida. Ex: uso de transações. Este tipo de redundância é particularmente útil no caso de faltas transientes ou intermitentes; Física: equipamentos ou processos são adicionados para permitir que o sistema como um todo supere a perda ou mal funcionamento de alguns componentes. Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

29 Construção de Sistemas Distribuídos Tolerantes a Falhas Blocos para Construção de Sistemas Distribuídos Tolerantes a Falhas Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30

30 Construção de Sistemas Distribuídos Tolerantes a Falhas Blocos de Construção Francisco Silva (UFMA/LSD) SD: Princípios e Algoritmos 11 de julho de / 30