Maîtrisez les outils et bonnes pratiques DevOps - DevOps Knowledge Hub Maîtrisez les outils et bonnes pratiques DevOps - DevOps Knowledge Hub

Guide pour atteindre une haute disponibilité avec les clusters RabbitMQ

Construisez une HA RabbitMQ avec le clustering, les files d'attente quorum, les messages durables, la récupération client, l'équilibrage de charge et une surveillance pratique.

Guide pour atteindre une haute disponibilité avec les clusters RabbitMQ

La haute disponibilité de RabbitMQ commence par une question claire sur les pannes : qu'arrive-t-il à vos éditeurs, consommateurs et messages en file d'attente lorsqu'un nœud de courtier disparaît ? Un seul nœud RabbitMQ peut devenir un point de défaillance unique, c'est pourquoi les systèmes de production combinent généralement le clustering, les files d'attente répliquées, les messages durables et la logique de reconnexion client.

Pour les nouveaux déploiements RabbitMQ, les files d'attente quorum sont le choix HA normal. Les files d'attente miroir classiques ont été dépréciées pendant des années et supprimées dans RabbitMQ 4.0, traitez-les donc comme des conseils hérités uniquement pour les anciens clusters.

Comprendre la haute disponibilité dans RabbitMQ

La haute disponibilité dans RabbitMQ fait référence à la capacité du système de messagerie à continuer de fonctionner sans interruption significative, même si un ou plusieurs nœuds du cluster tombent en panne. Ceci est réalisé en répliquant les données des messages et la configuration sur plusieurs nœuds, de sorte qu'un autre nœud puisse continuer à servir la file d'attente après le basculement.

Les objectifs principaux d'une configuration HA RabbitMQ sont :

  • Tolérance aux pannes : Le système peut résister à des pannes de nœuds individuels sans interruption totale du service.
  • Durabilité des données : Les messages ne sont pas perdus même si un nœud plante.
  • Temps de disponibilité du service : Maintenir des capacités de traitement des messages en continu.

Concepts de base pour la HA RabbitMQ

Avant de plonger dans les mécanismes HA spécifiques, il est essentiel de comprendre quelques concepts fondamentaux de RabbitMQ :

Clustering

Un cluster RabbitMQ se compose de plusieurs nœuds RabbitMQ connectés via un réseau. Ces nœuds partagent un état commun, des ressources (comme les utilisateurs, les hôtes virtuels, les échanges et les files d'attente) et peuvent répartir la charge de travail. Les clients peuvent se connecter à n'importe quel nœud du cluster, et les messages peuvent être routés vers des files d'attente résidant sur différents nœuds.

Durabilité des messages

La durabilité des messages est cruciale pour éviter la perte de données. Dans RabbitMQ, ceci est réalisé grâce à deux paramètres principaux :

  1. Files d'attente durables : Lors de la déclaration d'une file d'attente, définir l'argument durable sur true garantit que la définition de la file d'attente elle-même survit à un redémarrage du courtier. Si le courtier tombe en panne et redémarre, la file d'attente durable existera toujours.
  2. Messages persistants : Lors de la publication d'un message, définir son delivery_mode sur 2 marque le message comme persistant. Associez-le aux confirmations de l'éditeur afin que l'éditeur sache quand RabbitMQ a accepté la responsabilité du message.

Avertissement : Pour une véritable durabilité, à la fois la file d'attente doit être durable et les messages doivent être persistants. Si une file d'attente est durable mais que les messages ne sont pas persistants, les messages seront perdus lors du redémarrage du courtier. Si les messages sont persistants mais que la file d'attente n'est pas durable, la définition de la file d'attente sera perdue, rendant les messages inaccessibles.

HA héritée avec les files d'attente miroir classiques

La mise en miroir des files d'attente classiques répliquait les files d'attente classiques sur les nœuds dans RabbitMQ 3.x. Elle n'est pas disponible dans RabbitMQ 4.x. Si vous exécutez un ancien cluster, vous pouvez encore voir des politiques qui utilisent ha-mode, mais les nouvelles conceptions doivent utiliser des files d'attente quorum à la place.

Comment fonctionne la mise en miroir des files d'attente

Lorsqu'une file d'attente est mise en miroir, elle désigne un nœud comme maître et les autres nœuds comme miroirs (ou répliques). Toutes les opérations sur la file d'attente (publication, consommation, ajout/suppression de messages) passent par le nœud maître. Le maître réplique ensuite ces opérations sur tous ses nœuds miroirs. Si le nœud maître tombe en panne, l'un des miroirs est promu pour devenir le nouveau maître.

Exemple de configuration héritée

Les anciens clusters RabbitMQ 3.x configuraient la mise en miroir avec des politiques :

rabbitmqctl set_policy ha-all 
"^my-ha-queue-" '{"ha-mode":"all"}' --apply-to queues

Détaillons les paramètres clés :

  • ha-all : Le nom de la politique.
  • "^my-ha-queue-" : Une expression régulière qui correspond aux noms de files d'attente commençant par my-ha-queue-. Seules les files d'attente correspondant à ce modèle verront la politique appliquée.
  • "ha-mode":"all" : Cet argument crucial spécifie le comportement de mise en miroir.
    • all : Met en miroir la file d'attente sur tous les nœuds du cluster.
    • exactly : Met en miroir la file d'attente sur un nombre spécifié de nœuds (ha-params définit alors le nombre).
    • nodes : Met en miroir la file d'attente sur une liste spécifique de nœuds (ha-params définit alors les noms des nœuds).
  • --apply-to queues : Spécifie que cette politique s'applique aux files d'attente.

Modes de synchronisation (ha-sync-mode)

Les files d'attente mises en miroir peuvent être synchronisées de différentes manières :

  • manual (par défaut) : Les nœuds miroirs nouvellement ajoutés ne se synchronisent pas automatiquement avec le maître. Un administrateur doit déclencher manuellement la synchronisation. Ceci est utile pour les grandes files d'attente où la synchronisation automatique pourrait causer des problèmes de performances lors des redémarrages de nœuds.
  • automatic : Les nouveaux nœuds miroirs se synchronisent automatiquement avec le maître dès qu'ils rejoignent le cluster. Ceci est généralement préféré pour une gestion plus simple mais peut avoir un impact temporaire sur les performances.
rabbitmqctl set_policy ha-auto-sync 
"^important-queue-" '{"ha-mode":"exactly","ha-params":2,"ha-sync-mode":"automatic"}' --apply-to queues

Cette politique mettrait en miroir les files d'attente correspondant à ^important-queue- sur exactement 2 nœuds, et les nouveaux miroirs se synchroniseraient automatiquement.

Avantages et inconvénients de la mise en miroir des files d'attente classiques

Avantages :

  • Bien établi et largement compris.
  • Peut offrir une bonne résilience contre les pannes de nœuds.

Inconvénients :

  • Surcharge de performance : Toutes les opérations passent par le maître, ce qui peut devenir un goulot d'étranglement. La réplication vers les miroirs ajoute de la latence.
  • Complexité des partitions réseau : La gestion des partitions et le comportement de basculement étaient plus difficiles à raisonner qu'avec les files d'attente quorum.
  • Sécurité des données : Bien que mises en miroir, il existe une fenêtre lors de la défaillance du maître et du basculement où les données pourraient être perdues si le maître tombait en panne avant de répliquer complètement un message qui avait été accusé réception par le producteur.
  • Synchronisation manuelle pour les nouveaux nœuds : ha-sync-mode: manual nécessite une intervention manuelle pour synchroniser les nouveaux nœuds afin d'éviter la perte de messages.

Atteindre une haute disponibilité avec les files d'attente modernes : les files d'attente quorum

Les files d'attente quorum sont des files d'attente répliquées et durables conçues pour la sécurité des données et un basculement prévisible. Elles utilisent Raft et sont le remplacement recommandé pour les files d'attente miroir classiques.

Comment fonctionnent les files d'attente quorum

Les files d'attente quorum sont basées sur l'algorithme de consensus Raft, qui fournit un moyen distribué et tolérant aux pannes de maintenir un journal cohérent (le contenu de la file d'attente) sur plusieurs nœuds. Au lieu d'un seul maître, une file d'attente quorum fonctionne avec un leader et plusieurs suiveurs. Les opérations d'écriture (publication de messages) doivent être répliquées sur une majorité (quorum) de nœuds avant d'être accusées réception par le producteur. Cela garantit que même si le leader tombe en panne, un état cohérent peut être récupéré à partir des nœuds restants.

Avantages des files d'attente quorum par rapport à la mise en miroir des files d'attente classiques

  • Garanties de durabilité plus fortes : Les messages ne sont accusés réception qu'après avoir été répliqués en toute sécurité sur une majorité de nœuds, ce qui réduit considérablement le risque de perte de données en cas de défaillance du leader.
  • Synchronisation automatique : Toutes les répliques sont toujours synchronisées. Lorsqu'un nouveau nœud rejoint le cluster ou qu'un nœud hors ligne revient en ligne, il rattrape automatiquement le leader sans intervention manuelle.
  • Configuration plus simple : Pas de paramètres ha-mode ou ha-sync-mode complexes. Vous définissez simplement le facteur de réplication.
  • Comportement cohérent : Comportement prévisible en cas de partitions réseau ; ils sont conçus pour éviter les scénarios de split-brain en garantissant que seule une majorité peut progresser.

Configuration des files d'attente quorum

Créer une file d'attente quorum est simple. Déclarez la file d'attente avec x-queue-type défini sur quorum :

import pika

connection = pika.BlockingConnection(pika.ConnectionParameters('localhost'))
channel = connection.channel()

# Déclarez une file d'attente quorum avec 3 répliques
channel.queue_declare(
    queue='my.quorum.queue',
    durable=True,
    arguments={
        'x-queue-type': 'quorum',
        'x-quorum-initial-group-size': 3
    }
)

print("File d'attente quorum 'my.quorum.queue' déclarée.")

channel.close()
connection.close()

Arguments clés pour les files d'attente quorum :

  • x-queue-type: 'quorum' : Désigne la file d'attente comme une file d'attente quorum.
  • x-quorum-initial-group-size : Définit le nombre initial de membres de la file d'attente. De nombreux déploiements utilisent 3 ou 5 membres, en fonction de la taille du cluster et de la tolérance aux pannes.

Conseil : Pour les files d'attente quorum, un nombre impair de membres (par exemple, 3 ou 5) est généralement recommandé. Avec 3 membres, un quorum est de 2 nœuds. Avec 5 membres, un quorum est de 3 nœuds. Cela permet à la file d'attente de continuer après la perte d'une minorité de ses membres.

Quand utiliser les files d'attente quorum

Les files d'attente quorum sont généralement recommandées pour :

  • Les données critiques : Où la perte de message est absolument inacceptable.
  • Les files d'attente répliquées prévisibles : Leur architecture est conçue pour un basculement plus sûr et un comportement de cohérence plus clair que les files d'attente classiques mises en miroir.
  • Une gestion HA plus simple : La synchronisation automatique et des garanties plus fortes réduisent la complexité opérationnelle.

La mise en miroir des files d'attente classiques pourrait encore convenir pour :

  • Les systèmes hérités RabbitMQ 3.x qui ne peuvent pas encore migrer.
  • La compatibilité temporaire lors d'un déplacement planifié vers les files d'attente quorum.

Stratégies pour la résilience et la durabilité du courtier

Au-delà des mécanismes HA spécifiques aux files d'attente, des stratégies plus larges sont essentielles pour un déploiement RabbitMQ véritablement résilient.

1. Messages persistants et files d'attente durables

Comme mentionné, assurez-vous que toutes les files d'attente critiques sont déclarées avec durable=True et que tous les messages destinés à survivre aux redémarrages du courtier sont publiés avec delivery_mode=2 (persistant). C'est la base absolue de la durabilité des données, indépendamment de la mise en miroir ou des files d'attente quorum.

2. Gestion des connexions client et récupération automatique

Les bibliothèques clientes RabbitMQ (comme pika pour Python, amqp-client pour Java) offrent des fonctionnalités de récupération automatique de connexion et de canal. Configurez vos clients pour utiliser ces fonctionnalités. Si un nœud tombe en panne ou si un problème réseau survient, le client tentera automatiquement de se reconnecter, de rétablir les canaux et de redéclarer les files d'attente, les échanges et les liaisons.

Exemple (pika, simplifié) :

import pika

params = pika.ConnectionParameters(
    host='localhost',
    port=5672,
    credentials=pika.PlainCredentials('guest', 'guest'),
    heartbeat=60, # Activer les heartbeats
    blocked_connection_timeout=300 # Détecter les connexions bloquées
)

connection = pika.BlockingConnection(params)

Le BlockingConnection de Pika ne fournit pas le même modèle de récupération de topologie transparent que certains autres clients. En Python, enveloppez la création de connexion, la configuration du canal, les déclarations, les consommateurs et les confirmations de l'éditeur dans une logique de nouvelle tentative afin que votre application puisse reconstruire l'état après la reconnexion.

3. Équilibrage de charge des connexions client

Pour des performances et une résilience optimales, répartissez les connexions client sur tous les nœuds actifs de votre cluster RabbitMQ. Ceci peut être réalisé en utilisant :

  • DNS Round Robin : Configurez votre DNS pour renvoyer plusieurs adresses IP pour votre nom d'hôte RabbitMQ.
  • Équilibreur de charge dédié : Utilisez un équilibreur de charge matériel ou logiciel (par exemple, HAProxy, Nginx) pour répartir les connexions client. Cela permet également des contrôles de santé pour retirer les nœuds malsains de la rotation.
  • Chaîne de connexion côté client : Certaines bibliothèques clientes vous permettent de spécifier une liste de noms d'hôte, qu'elles essaieront séquentiellement ou aléatoirement.

4. Surveillance et alertes

Une surveillance proactive est essentielle pour maintenir une haute disponibilité. Mettez en œuvre une surveillance robuste pour :

  • Statut des nœuds : Utilisation du CPU, de la mémoire, des E/S disque sur chaque nœud RabbitMQ.
  • Métriques RabbitMQ : Longueurs des files d'attente, taux de messages (publiés, consommés, non accusés), nombre de connexions, canaux et consommateurs.
  • Santé du cluster : Connectivité des nœuds, application des politiques, statut de synchronisation des files d'attente.

Configurez des alertes pour les seuils critiques (par exemple, longueur de file d'attente dépassant une limite, nœud hors ligne, utilisation élevée du CPU) pour permettre une réponse rapide aux problèmes potentiels.

5. Stratégie de sauvegarde et de restauration

Bien qu'il ne s'agisse pas directement d'un mécanisme HA, une stratégie de sauvegarde et de restauration solide est cruciale pour la reprise après sinistre (DR). Sauvegardez régulièrement vos définitions RabbitMQ (échanges, files d'attente, utilisateurs, politiques) et, si nécessaire, les magasins de messages (pour les files d'attente non mises en miroir/quorum ou dans des scénarios DR extrêmes). Cela vous permet de récupérer après une perte de données catastrophique ou une corruption du cluster.

Choisir entre la mise en miroir des files d'attente classiques et les files d'attente quorum

Voici un guide rapide pour vous aider à choisir :

Fonctionnalité Mise en miroir des files d'attente classiques (pour les files d'attente classiques) Files d'attente quorum
Sécurité des données Plus faible ; risque de perte de message lors de la défaillance du maître Plus forte ; messages accusés réception après écriture quorum
Cohérence Peut conduire à un split-brain dans les partitions Forte (Raft) ; évite le split-brain
Réplication Modèle Maître/Esclave ; nécessite ha-sync-mode Leader/Suiveur (Raft) ; synchronisation automatique
Configuration Politiques avec ha-mode, ha-params, ha-sync-mode Déclaration de file d'attente avec x-queue-type=quorum et optionnel x-quorum-initial-group-size
Performances Le maître peut être un goulot d'étranglement Réplication plus sûre ; évaluez votre charge de travail
Complexité Complexité opérationnelle plus élevée pour la synchronisation et la récupération Plus simple ; gestion automatique du basculement et de la synchronisation
Cas d'utilisation Systèmes hérités, données moins critiques Données critiques, exigences de durabilité élevées

Pour les nouveaux déploiements, en particulier ceux où l'intégrité des données est primordiale, les files d'attente quorum sont généralement le choix recommandé en raison de leurs garanties plus fortes et de leur modèle opérationnel plus simple.

À retenir

Pour les nouveaux travaux HA RabbitMQ, utilisez les files d'attente quorum, les déclarations durables, les messages persistants, les confirmations de l'éditeur et la logique de reconnexion client. Placez un équilibreur de charge ou une configuration client multi-hôtes devant le cluster, puis alertez sur la santé des nœuds, la profondeur des files d'attente, les messages non accusés, les alarmes de disque, les alarmes mémoire et le nombre de consommateurs.

Si vous exécutez encore des files d'attente miroir classiques, planifiez la migration. Il s'agit d'un comportement hérité, et RabbitMQ 4.x a supprimé la mise en miroir des files d'attente classiques.