고가용성
중요:
Citrix Hypervisor 8.2 누적 업데이트 1은 2025년 6월 25일에 수명이 종료됩니다. 원활한 전환과 지속적인 지원을 위해 지금 XenServer 8로의 업그레이드를 계획하십시오. 자세한 내용은 업그레이드.
Citrix Virtual Apps and Desktops 라이센스 파일을 사용하여 Citrix Hypervisor 8.2 누적 업데이트 1 호스트에 라이센스를 부여하는 경우 이러한 라이센스 파일은 XenServer 8과 호환되지 않습니다. 업그레이드하기 전에 XenServer 8에서 사용할 XenServer Premium Edition 소켓 라이센스 파일을 얻어야 합니다. 이러한 소켓 라이센스 파일은 Citrix 워크로드를 실행하기 위한 Citrix for Private Cloud, Citrix Universal Hybrid Multi-Cloud, Citrix Universal MSP 및 Citrix Platform License 구독의 자격으로 사용할 수 있습니다. 아직 이러한 새로운 서브스크립션으로 전환하지 않은 Citrix 고객은 XenServer Premium Edition 소켓 라이센스 10,000개에 대한 무료 프로모션에 참여를 요청할 수 있습니다. 자세한 내용은 XenServer 서버.
업그레이드하기 전에 XenServer 8에 대한 호환 라이센스를 얻지 못한 경우 호스트를 업그레이드할 때 90일 평가판으로 되돌아갑니다. 평가판은 Premium Edition과 동일한 기능을 제공하지만 몇 가지 제한 사항이 있습니다. 자세한 내용은 XenServer 8 라이센스 개요.
고가용성은 Citrix Hypervisor 서버를 중단시키거나 접근할 수 없게 만드는 문제를 미리 계획하고 안전하게 복구하도록 설계된 자동 기능 세트입니다. 예를 들어, 네트워크가 물리적으로 중단되거나 호스트 하드웨어에 오류가 발생하는 경우입니다.
개요
고가용성은 호스트에 접근할 수 없거나 불안정해질 경우 해당 호스트에서 실행 중인 VM이 자동으로 다른 호스트에서 안전하게 다시 시작되도록 보장합니다. 이렇게 하면 VM을 수동으로 다시 시작할 필요가 없으므로 VM 가동 중지 시간이 최소화됩니다.
풀 마스터에 접근할 수 없거나 불안정해지면 고가용성을 통해 풀의 관리 제어권을 복구할 수도 있습니다. 높은 가용성은 수동 개입 없이 관리 제어가 자동으로 복원됨을 보장합니다.
선택적으로, 고가용성은 수동 개입 없이 양호한 상태인 것으로 알려진 호스트에서 VM을 다시 시작하는 프로세스를 자동화할 수도 있습니다. 이러한 VM은 서비스를 시작할 시간을 확보하기 위해 그룹별로 다시 시작하도록 예약할 수 있습니다. 이 기능을 사용하면 종속된 VM보다 먼저 인프라 VM이 시작될 수 있습니다(예: 종속된 SQL 서버보다 먼저 DHCP 서버가 시작됨).
경고:
다중 경로 스토리지와 본딩 네트워킹과 함께 고가용성을 사용하세요. 고가용성을 설정하기 전에 다중 경로 스토리지와 본딩 네트워킹을 구성하세요. 다중 경로 스토리지와 본딩 네트워킹을 설정하지 않은 고객은 인프라가 불안정할 때 예상치 못한 호스트 재부팅 동작(자체 펜싱)이 나타날 수 있습니다.
모든 그래픽 솔루션(NVIDIA vGPU, AMD MxGPU(더 이상 지원되지 않음), vGPU 패스스루)은 고가용성을 사용하는 환경에서 사용할 수 있습니다. 그러나 이러한 그래픽 솔루션을 사용하는 VM은 고가용성으로 보호할 수 없습니다. 이러한 VM은 적절한 여유 리소스가 있는 호스트가 있는 동안 최선을 다해 다시 시작할 수 있습니다.
과도한 약속
사용자가 정의한 호스트 장애 횟수 이상으로 현재 실행 중인 VM을 다른 곳에서 다시 시작할 수 없는 경우 풀이 과도하게 커밋됩니다. 장애 발생 후 해당 VM을 실행하기에 풀 전체에 충분한 여유 메모리가 없으면 과도한 커밋이 발생할 수 있습니다. 그러나 높은 가용성을 지속 불가능하게 만들 수 있는 더 미묘한 변경 사항도 있습니다. 즉, 가상 블록 장치(VBD) 및 네트워크를 변경하면 어떤 VM을 어떤 호스트에서 다시 시작할 수 있는지에 영향을 미칠 수 있습니다. Citrix Hypervisor는 모든 잠재적인 작업을 확인하고 그것들이 고가용성 요구 사항을 위반하는지 여부를 판단할 수 없습니다. 그러나 고가용성이 지속 불가능해지면 비동기 알림이 전송됩니다.
Citrix Hypervisor는 풀에 있는 호스트 집합에 언제든지 장애가 발생할 경우 수행할 작업을 자세히 설명하는 장애 조치 계획을 동적으로 유지 관리합니다. 이해해야 할 중요한 개념은 고가용성 구성의 일부로 정의된 호스트 장애 허용 범위 값입니다. 호스트 장애 허용 값 은 모든 보호된 VM을 다시 시작하면서 허용되는 호스트 장애 수를 결정합니다. 예를 들어, 64개의 호스트로 구성된 리소스 풀이 있고 허용할 수 있는 호스트 장애가 개이고 이 3으로 설정되어 있다고 가정해 보겠습니다. 이 경우 풀은 세 개의 호스트가 실패한 후 다른 호스트에서 VM을 다시 시작하는 장애 조치 계획을 계산합니다. 계획을 찾을 수 없는 경우 풀이 과도하게 할당된 것으로 간주됩니다. 이 계획은 VM 수명 주기 작업 및 이동을 기반으로 동적으로 재계산됩니다. 변경 사항(예: 풀에 새 VM 추가)으로 인해 풀이 과도하게 커밋되면 XenCenter나 이메일을 통해 경고가 전송됩니다.
과도한 약속 경고
VM을 시작하거나 재개하려는 시도로 인해 풀이 과도하게 커밋되는 경우 XenCenter에 경고 알림이 표시됩니다. 그런 다음 작업을 취소하거나 계속 진행할 수 있습니다. 계속 진행하면 풀이 과도하게 커밋되고 구성된 모든 이메일 주소로 메시지가 전송됩니다. 이는 관리 API를 통한 메시지 인스턴스로도 사용할 수 있습니다. 다양한 우선순위의 VM에서 사용되는 메모리 양은 풀 및 호스트 수준에서 표시됩니다.
호스트 펜싱
때로는 네트워크 연결이 끊어지거나 제어 스택에 문제가 발생하여 서버에 오류가 발생할 수 있습니다. 이러한 경우 Citrix Hypervisor 서버는 자체 펜싱을 수행하여 VM이 두 서버에서 동시에 실행되지 않도록 합니다. 펜스 작업이 수행되면 서버가 즉시 갑자기 다시 시작되어 해당 서버에서 실행 중인 모든 VM이 중지됩니다. 다른 서버는 VM이 더 이상 실행 중이 아니라는 것을 감지하고 해당 VM은 할당된 재시작 우선 순위에 따라 다시 시작됩니다. 펜스된 서버는 재부팅 시퀀스에 들어가고, 재시작되면 리소스 풀에 다시 가입하려고 시도합니다.
메모:
클러스터형 풀에 있는 호스트는 리소스 풀에 있는 다른 호스트의 절반 이상과 통신할 수 없는 경우에도 자체 펜싱을 수행할 수 있습니다. 자세한 내용은 클러스터형 풀을 참조하세요.
구성 요구 사항
고가용성 기능을 사용하려면 다음이 필요합니다.
-
Citrix Hypervisor 풀(이 기능은 단일 리소스 풀 내에서 서버 수준에서 높은 가용성을 제공합니다).
메모:
최소 3개의 Citrix Hypervisor 서버가 포함된 풀에서만 고가용성을 활성화하는 것이 좋습니다. 자세한 내용은 CTX129721 - 풀에서 하트비트가 손실된 경우의 고가용성 동작을 참조하세요.
-
356MB 이상 크기의 iSCSI, NFS 또는 Fibre Channel LUN을 하나 이상 포함하는 공유 스토리지 - 하트비트 SR. 고가용성 메커니즘은 하트비트 SR에 두 개의 볼륨을 생성합니다.
- 4MB 하트비트 볼륨: 하트비트를 제공하는 데 사용됩니다.
- 256MB 메타데이터 볼륨: 마스터 장애 조치가 있는 경우 사용할 풀 마스터 메타데이터를 저장합니다.
메모:
이전에는 고가용성 하트비트 디스크로 전용 NFS 또는 iSCSI 스토리지 저장소를 사용하는 것이 좋습니다. 그러나 이는 스토리지 저장소가 기본 스토리지 어플라이언스의 리소스를 공유하지 않는 경우에만 이점이 있으며, 그렇지 않으면 호스트의 제어 도메인(dom0)에서 복잡성과 리소스 사용량이 증가할 뿐입니다.
풀이 클러스터형 풀인 경우 하트비트 SR은 GFS2 SR이어야 합니다.
CHAP를 사용하여 인증된 경우 SMB 또는 iSCSI를 사용하여 연결된 스토리지는 하트비트 SR로 사용할 수 없습니다.
-
모든 호스트에 대한 정적 IP 주소.
경고:
고가용성이 활성화되어 있는 동안 서버의 IP 주소가 변경되면 고가용성은 호스트의 네트워크에 장애가 발생한 것으로 가정합니다. IP 주소가 변경되면 호스트가 차단되어 부팅이 불가능한 상태가 될 수 있습니다. 이 상황을 해결하려면
host-emergency-ha-disable명령을 사용하여 고가용성을 비활성화하고,pool-emergency-reset-master명령을 사용하여 풀 마스터를 재설정한 다음, 고가용성을 다시 활성화합니다. -
최고의 안정성을 위해 고가용성 관리 네트워크로 전용 본딩 인터페이스를 사용하는 것이 좋습니다.
-
관리 네트워크는 포트 694를 통해 네트워크 하트비트 UDP 트래픽을 허용해야 합니다.
VM을 고가용성으로 보호하려면 민첩해야 합니다. 이는 VM을 의미합니다.
-
공유 스토리지에 가상 디스크가 있어야 합니다. 모든 유형의 공유 저장소를 사용할 수 있습니다. iSCSI, NFS 또는 파이버 채널 LUN은 스토리지 하트비트에만 필요하며 가상 디스크 스토리지에 사용할 수 있습니다.
-
라이브 마이그레이션을 사용할 수 있습니다.
-
로컬 DVD 드라이브에 대한 연결이 구성되어 있지 않습니다.
-
풀 전체 네트워크에 가상 네트워크 인터페이스가 있습니다.
메모:
고가용성이 활성화된 경우 풀의 서버에서 본딩 관리 인터페이스를 사용하고 하트비트 SR에 대해 다중 경로 스토리지를 사용하는 것이 좋습니다.
CLI에서 VLAN과 본딩된 인터페이스를 생성하는 경우, 생성은 되었지만 플러그인되어 활성화되지 않을 수 있습니다. 이런 상황에서는 VM이 민첩하지 못한 것처럼 보일 수 있으며 고가용성으로 보호되지 않습니다. CLI pif-plug 명령을 사용하면 VLAN과 PIF를 결합하여 VM이 민첩해질 수 있습니다. xe diagnostic-vm-status CLI 명령을 사용하여 VM이 Agile하지 않은 이유를 정확하게 확인할 수도 있습니다. 이 명령은 배치 제약 조건을 분석하고 필요한 경우 시정 조치를 취할 수 있습니다.
구성 설정 다시 시작
가상 머신은 고가용성에 따라 보호되는 것, 최선의 노력형 또는 보호되지 않는 것으로 간주될 수 있습니다. ha-restart-priority 의 값은 VM이 보호, 최선의 노력 또는 보호되지 않음으로 처리되는지 여부를 정의합니다. 각 범주에 속하는 VM의 재시작 동작은 서로 다릅니다.
보호됨
고가용성은 풀이 과도하게 커밋되지 않고 VM이 민첩한 경우 보호된 VM이 오프라인이 되거나 호스트가 오프라인이 된 경우 해당 VM을 다시 시작하도록 보장합니다.
서버에 장애가 발생하여 보호된 VM을 다시 시작할 수 없는 경우 고가용성은 풀에 여유 용량이 있을 때 VM을 시작하려고 시도합니다. 이제 추가 용량이 있을 때 VM을 시작하려는 시도가 성공할 수 있습니다.
ha-restart-priity 값: 재시작
최선의 노력
베스트 이포트 VM의 호스트가 오프라인이 되면 고가용성은 다른 호스트에서 베스트 이포트 VM을 다시 시작하려고 시도합니다. 모든 보호된 VM이 성공적으로 다시 시작된 후에만 이 시도가 수행됩니다. 고가용성은 최선의 노력을 기울인 VM을 다시 시작하려고 한 번만 시도합니다. 이 시도가 실패하면 고가용성은 VM을 다시 시작하기 위한 추가 시도를 하지 않습니다.
ha-restart-priority 값: 최선의 노력
보호되지 않음
보호되지 않은 VM이나 해당 VM이 실행되는 호스트가 중지되면 고가용성은 VM을 다시 시작하려고 시도하지 않습니다.
ha-restart-priority 값: 값은 빈 문자열입니다.
메모:
고가용성은 실행 중인 VM을 중지하거나 마이그레이션하여 보호되거나 최선의 노력을 기울이는 VM을 다시 시작할 수 있는 리소스를 확보하지 않습니다.
풀에 서버 장애가 발생하고 허용 가능한 장애 수가 0으로 떨어지면 보호된 VM이 다시 시작되지 않을 수 있습니다. 이러한 경우 시스템 경고가 생성됩니다. 다른 장애가 발생하면 재시작 우선 순위가 설정된 모든 VM은 최선의 노력 방식에 따라 동작합니다.
시작 순서
시작 순서는 장애가 발생했을 때 Citrix Hypervisor 고가용성이 보호된 VM을 다시 시작하려고 시도하는 순서입니다. 보호된 각 VM의 순서 속성 값은 시작 순서를 결정합니다.
VM의 순서 속성은 고가용성과 VM을 시작 및 종료하는 다른 기능에서 사용됩니다. 고가용성을 위해 보호된 것으로 표시된 VM뿐만 아니라 모든 VM은 순서 속성 집합을 가질 수 있습니다. 그러나 고가용성은 보호된 VM에 대해서만 순서 속성을 사용합니다.
순서 속성의 값은 정수입니다. 기본값은 가장 높은 우선순위인 0입니다. 순서 값이 0인 보호된 VM이 고가용성에 의해 먼저 다시 시작됩니다. 순서 속성 값이 클수록 VM이 순서상 나중에 다시 시작됩니다.
명령줄 인터페이스를 사용하여 VM의 순서 속성 값을 설정할 수 있습니다.
xe vm-param-set uuid=<vm uuid> order=<int>
<!--NeedCopy-->
또는 XenCenter에서 VM의 시작 옵션 패널에서 시작 순서 를 필요한 값으로 설정합니다.
Citrix Hypervisor 풀에서 고가용성 활성화
XenCenter나 명령줄 인터페이스(CLI)를 사용하여 풀에서 고가용성을 활성화할 수 있습니다. 어느 경우든 풀이 과도하게 커밋되었을 때 어떤 VM에 가장 높은 재시작 우선 순위가 부여되는지 결정하는 우선 순위 집합을 지정합니다.
경고:
고가용성을 활성화하면 VM 재시작 계획을 손상시키는 일부 작업(예: 풀에서 서버 제거)이 비활성화될 수 있습니다. 이러한 작업을 수행하기 위해 고가용성을 일시적으로 비활성화하거나, 고가용성으로 보호되는 VM을 보호 해제할 수 있습니다.
고가용성이 활성화된 경우 풀에서 클러스터링을 활성화할 수 없습니다. 클러스터링을 활성화하기 위해 고가용성을 일시적으로 비활성화합니다. 클러스터형 풀에서 고가용성을 활성화할 수 있습니다. 자체 펜싱과 같은 일부 고가용성 동작은 클러스터형 풀에 따라 다릅니다. 자세한 내용은 클러스터형 풀을 참조하세요.
CLI를 사용하여 고가용성 활성화
-
풀에 호환되는 스토리지 리포지토리(SR)가 연결되어 있는지 확인하세요. iSCSI, NFS 또는 파이버 채널 SR이 호환됩니다. CLI를 사용하여 이러한 저장소 저장소를 구성하는 방법에 대한 자세한 내용은 저장소 저장소 관리를 참조하세요.
-
보호하려는 각 VM에 대해 재시작 우선 순위와 시작 순서를 설정합니다. 다음과 같이 재시작 우선순위를 설정할 수 있습니다.
xe vm-param-set uuid=<vm uuid> ha-restart-priority=restart order=1 <!--NeedCopy--> -
풀에서 고가용성을 활성화하고 선택적으로 시간 초과를 지정합니다.
xe pool-ha-enable heartbeat-sr-uuids=<sr uuid> ha-config:timeout=<timeout in seconds> <!--NeedCopy-->혹은 풀에 대한 기본 시간 초과를 설정할 수 있습니다. 시간 초과를 설정하는 방법에 대한 자세한 내용은 고가용성 시간 초과 구성을 참조하세요.
-
pool-ha-compute-max-host-failures-to-tolerate명령을 실행합니다. 이 명령은 풀에 있는 모든 보호된 VM을 실행할 리소스가 부족해지기 전에 실패할 수 있는 최대 호스트 수를 반환합니다.xe pool-ha-compute-max-host-failures-to-tolerate <!--NeedCopy-->허용할 수 있는 실패 횟수에 따라 경고가 전송되는 시기가 결정됩니다. 시스템은 풀 상태가 변경되면 장애 조치 계획을 다시 계산합니다. 이 계산을 사용하면 풀 용량을 식별하고 보호된 VM의 활성 상태 보장을 잃지 않고 얼마나 많은 실패가 발생할 수 있는지 파악할 수 있습니다. 이 계산된 값이
ha-host-failures-to-tolerate에 지정된 값 아래로 떨어지면 시스템 경고가 생성됩니다. -
ha-host-failures-to-tolerate매개변수를 지정하세요. 값은 계산된 값보다 작거나 같아야 합니다.xe pool-param-set ha-host-failures-to-tolerate=2 uuid=<pool uuid> <!--NeedCopy-->
고가용성 시간 초과 구성
고가용성 시간 초과는 풀에 있는 호스트가 네트워킹이나 스토리지에 액세스할 수 없는 기간입니다. Citrix Hypervisor 서버가 제한 시간 내에 네트워킹이나 스토리지에 액세스하지 못하는 경우 자체 펜싱을 수행하고 다시 시작할 수 있습니다. 기본 시간 초과는 60초입니다. 하지만 다음 명령을 사용하여 이 값을 변경할 수 있습니다.
풀에 대한 기본 고가용성 시간 초과를 설정하세요.
xe pool-param-set uuid=<pool uuid> other-config:default_ha_timeout=<timeout in seconds>
<!--NeedCopy-->
xe CLI 대신 XenCenter를 사용하여 고가용성을 활성화하는 경우에도 이 기본값이 적용됩니다.
또는 고가용성을 활성화할 때 시간 초과를 설정할 수 있습니다.
xe pool-ha-enable heartbeat-sr-uuids=<sr uuid> ha-config:timeout=<timeout in seconds>
<!--NeedCopy-->
고가용성을 활성화할 때 시간 초과를 설정하는 경우 해당 설정에만 적용됩니다. 따라서 고가용성을 비활성화한 다음 나중에 다시 활성화하면 고가용성 기능은 기본 시간 제한을 다시 사용하게 됩니다.
CLI를 사용하여 VM에서 고가용성 보호 제거
VM에 대한 고가용성 기능을 비활성화하려면 xe vm-param-set 명령을 사용하여 ha-restart-priority 매개변수를 빈 문자열로 설정합니다. ha-restart-priority 매개변수를 설정해도 시작 순서 설정은 지워지지 않습니다. ha-restart-priority 매개변수를 restart 또는 best-effort 로 적절히 설정하여 VM에 대한 고가용성을 다시 활성화할 수 있습니다.
접근할 수 없는 호스트 복구
어떤 이유로 호스트가 고가용성 상태 파일에 액세스할 수 없는 경우 호스트에 접근할 수 없게 될 수 있습니다. Citrix Hypervisor 설치를 복구하려면 host-emergency-ha-disable 명령을 사용하여 고가용성을 비활성화해야 할 수 있습니다.
xe host-emergency-ha-disable --force
<!--NeedCopy-->
호스트가 풀 마스터인 경우 고가용성이 비활성화된 상태로 정상적으로 시작됩니다. 풀 멤버가 다시 연결되고 고가용성이 자동으로 비활성화됩니다. 호스트가 풀 멤버이고 마스터에 접속할 수 없는 경우 다음 작업 중 하나를 수행해야 할 수 있습니다.
-
호스트를 풀 마스터로 재부팅하도록 강제합니다(
xe pool-emergency-transition-to-master)xe pool-emergency-transition-to-master uuid=<host uuid> <!--NeedCopy--> -
호스트에게 새로운 마스터가 있는 위치를 알려주세요 (
xe pool-emergency-reset-master):xe pool-emergency-reset-master master-address=<new master hostname> <!--NeedCopy-->
모든 호스트가 성공적으로 다시 시작되면 고가용성을 다시 활성화합니다.
xe pool-ha-enable heartbeat-sr-uuid=<sr uuid>
<!--NeedCopy-->
고가용성이 활성화된 경우 호스트 종료
호스트를 종료하거나 재부팅할 때는 고가용성 메커니즘이 호스트에 장애가 발생했다고 가정하지 않도록 특별히 주의하세요. 고가용성이 활성화된 경우 호스트를 정상적으로 종료하려면 호스트를 비활성화하고, 호스트를 대피시킨 다음 마지막으로 XenCenter나 CLI를 사용하여 호스트를 종료합니다. 고가용성이 활성화된 환경에서 호스트를 종료하려면 다음 명령을 실행하세요.
xe host-disable host=<host name>
xe host-evacuate uuid=<host uuid>
xe host-shutdown host=<host name>
<!--NeedCopy-->
고가용성으로 보호되는 VM 종료
VM이 고가용성 계획에 따라 보호되고 자동으로 다시 시작되도록 설정된 경우 이 보호 기능이 활성화되어 있는 동안에는 종료할 수 없습니다. VM을 종료하려면 먼저 고가용성 보호 기능을 비활성화한 다음 CLI 명령을 실행합니다. XenCenter에서는 보호된 VM의 종료 버튼을 선택하면 보호 기능을 자동으로 비활성화할 수 있는 대화 상자를 제공합니다.
메모:
게스트 내에서 VM을 종료하고 VM이 보호되는 경우, 고가용성 장애 조건에서 자동으로 다시 시작됩니다. 자동 재시작 기능은 운영자 오류로 인해 보호된 VM이 실수로 종료되는 것을 방지하는 데 도움이 됩니다. 이 VM을 종료하려면 먼저 고가용성 보호 기능을 비활성화하세요.