corosync集群的选举算法

 

《Cluster Concepts》

http://linux-ha.org/wiki/Cluster_Concepts

 

《Managing Computers with Automation》

http://techthoughts.typepad.com/managing_computers/2007/10/split-brain-quo.html

 

《clusters and quorums》

http://docs.openstack.org/ha-guide/intro-ha-concepts.html#clusters-and-quorums

 

《votequorum - Votequorum Configuration Overview》

http://manpages.ubuntu.com/manpages/saucy/man5/votequorum.5.html

 

集群（cluster）中的概念有：

1、subcluster，子集群。集群中发生了脑裂，分裂成若干个子集群，每个子集群中的节点无法与其它子集群的节点联系。

2、fencing，栅栏。指像栅栏一样，将子集群与资源隔离开，使子集群无法访问资源。

3、quorum，法定票数。只有达到法定票数的子集群才能继续工作，无法达到法定票数的子集群被栅栏隔离开。

4、vote，投票。每个节点拥有1票，计算某个子集群中的总票数，就是这个子集群中有多少个节点。

法定票数=大于集群节点总数的一半的最小整数。例如，节点总数是3，节点总数的一半是1.5，大于1.5的最小整数是2，即法定票数是2。如果节点总数是4，则法定票数是3。

假如有一个9个节点的集群：{a0, a1, a2, a3, a4, a5, a6, a7, a8}，则法定票数是5，若因为网络问题发生脑裂，以下是所有可能性的其中几种：

可能性一：{a0, a1, a2}, {a3, a4, a5}, {a6, a7, a8}，分裂成了3个子集群，则每个子集群的票数是3、3、3，都小于法定票数5，不满足法定票数的子集群被栅栏隔离，全部子集群都被隔离，整个集群处于无法工作的状态。

可能性二：{a0, a1, a2, a3, a4}, {a5, a6, a7, a8}，分裂成了2个子集群，则每个子集群的票数是5、4，只有一个子集群的票数达到法定票数5，该集群得以继续工作，不满足法定票数的子集群被栅栏隔离，整个集群可以继续工作。

可以看出，一个集群中，能够达到法定票数的子集群最多只能有一个。

对于集群中一些不支持并发的资源，如磁盘资源，在发生脑裂时，如果不使用栅栏，每个子集群都具有写入磁盘资源的权限，这将破坏磁盘数据。

注意：脑裂概念和子集群中的节点不可用的概念不要混淆起来。例如法定票数=3，子集群{a0, a1, a2}，达到了法定票数，能够继续工作，但a2节点可能已经处于不可用状态，但a2还是属于这个子集群。子集群是一个逻辑概念，其实子集群{a0, a1, a2}相当于a0只知道a1、a2的存在，a1只知道a0、a2的存在，a2只知道a0、a1的存在。即使a2节点处于不可用状态，只要满足前的“知道存在”关系，a2就还在这个子集群中。子集群中的资源还是能在可用节点上转移。

对于只有2个节点的集群，法定票数是2，当发生脑裂时，两个子集群的票数都是1，不满足法定票数，此时整个集群都无法工作。这也是官网推荐的最小集群节点数量为3的原因。个人认为，如果不存在不能并发的资源，其实脑裂也无妨。如果想两个节点都能工作，编辑corosync.conf，在quorum语块中显示指定“two_node: 1”：

quorum {
    provider: corosync_votequorum
    two_node: 1
    }

如果超过2个节点加入集群，two_node自动失效。