Fondé en 2008 · Édition numérique · 15 juin 2026

SMB IT Journal

La ressource informatique pour les petites entreprises

Français
EnglishEspañolDeutsch中文ItalianoFrançaisPortuguêsNederlandsSvenskaNorskDanskРусский日本語한국어हिन्दीفارسیالعربيةPolski
Stockage

Disque de secours à chaud ou pagaille à chaud

16 juillet 2012 · 13 min de lecture

Une approche courante pour ajouter une couche de sécurité au RAID consiste à disposer d'un ou plusieurs disques de secours afin de réduire au minimum le temps de remplacement d'un disque défaillant. La forme la plus extrême de cette approche est désignée par l'expression “disque de secours à chaud” – un disque de secours physiquement présent dans la grappe mais inutilisé jusqu'à ce que la grappe détecte une défaillance de disque, moment auquel le système désactive automatiquement le disque défaillant et active le disque de secours à chaud, exactement comme si une personne venait de retirer un disque de la grappe et d'en insérer un autre, permettant à une opération de reconstruction (resilvering) de commencer dans les meilleurs délais. Cela peut faire passer le temps de remplacement d'un disque de plusieurs heures ou jours à quelques secondes et, en théorie, peut apporter une augmentation considérable de la sécurité.

Tout d'abord, je souhaite aborder ce qui constitue, selon moi, une erreur dans les conventions de dénomination. Ce que nous appelons un disque de secours à chaud devrait, à mon avis, être appelé un disque de secours tiède, car il est présent et prêt à fonctionner, mais ne contient pas les données nécessaires pour être utilisé immédiatement. Un disque de secours stocké en dehors du châssis, qui nécessite l'intervention d'une personne pour échanger les disques manuellement, serait un disque de secours à froid. Pour être véritablement un disque de secours à chaud, un disque devrait être rempli de données et, par conséquent, serait un membre participatif de la grappe RAID à un titre ou à un autre. Red Hat propose un bon article sur la manière dont cette terminologie s'applique aux sites de reprise après sinistre à titre de référence. Cette distinction est importante car ce que nous appelons un disque de secours à chaud ne contient pas déjà de données et ne remplace pas immédiatement le disque défaillant, mais intervient plutôt pour entamer immédiatement le processus de restauration du disque perdu – une distinction essentielle.

Afin de garder les concepts clairs, je désignerai désormais ce que les fournisseurs appellent disques de secours à chaud par l'expression “disques de secours tièdes.” Cela prendra tout son sens sous peu.

Les disques de secours tièdes soulèvent deux préoccupations principales. La première est la nature inefficace du disque de secours tiède dans la plupart des cas d'usage, et la seconde est le risque de “destruction automatisée de la grappe”.

La plupart des gens abordent le concept du disque de secours tiède comme un moyen d'atténuer le risque élevé d'une défaillance d'un second disque sur une grappe RAID 5 à parité. Les grappes RAID 5 ne protègent que contre la défaillance d'un seul disque au sein de la grappe. Une fois qu'un seul disque a défailli, la grappe se retrouve sans aucune forme de parité et toute défaillance supplémentaire d'un disque entraîne la perte totale de la grappe. Le RAID 5 est choisi parce qu'il offre un coût très faible pour la capacité donnée et sacrifie la fiabilité afin d'atteindre cette rentabilité. Étant donné que le RAID 5 est donc risqué par rapport à d'autres options RAID, telles que le RAID 6 ou le RAID 10, il est courant de mettre en place un disque de secours tiède afin de réduire au minimum le temps pendant lequel la grappe reste dans un état dégradé, permettant à la grappe de commencer à se reconstruire le plus rapidement possible.

L'enseignement le plus pertinent à retenir ici est donc que les disques de secours tièdes servent généralement de tampon pour permettre l'utilisation de types de grappes RAID moins fiables comme mesure d'économie. Les disques de secours tièdes sont nettement plus courants dans les grappes RAID 5, suivies des grappes RAID 6. Ces deux types sont choisis de préférence au RAID 10 en raison de leur coût rapporté à la capacité, et non pour leur fiabilité ou leurs performances. Il existe un cas où l'idée du disque de secours tiède a véritablement du sens pour accroître la fiabilité, à savoir le RAID 10 avec un disque de secours tiède, mais nous y reviendrons. En dehors de ce scénario, j'estime que les disques de secours tièdes ont peu de sens dans le monde réel.

Commençons par examiner le RAID 1 avec un disque de secours tiède. Le RAID 1 se compose de deux disques, ou plus, en miroir. L'ajout d'un disque de secours tiède est appréciable dans la mesure où, si l'un des disques de la paire en miroir tombe en panne, le disque de secours tiède commencera immédiatement à se mettre en miroir avec le disque restant et vous serez de nouveau protégé rapidement. C'est merveilleux. À une petite imperfection près : au lieu d'utiliser un disque de secours tiède, ce même disque aurait pu être ajouté à la grappe RAID 1 dès le départ, où il aurait constitué un troisième miroir. Dans ce rôle de troisième miroir, le disque aurait contribué aux performances globales de la grappe, offrant un gain de performance en lecture de près de cinquante pour cent tout en maintenant les performances en écriture au même niveau, et en assurant une protection instantanée en cas de défaillance d'un disque plutôt qu'une protection “dès qu'il s'est remis en miroir”. En substance, il aurait été un véritable “disque de secours à chaud” plutôt qu'un disque de secours tiède. Ainsi, sans dépenser un centime de plus, le système aurait bénéficié de meilleures performances de grappe et d'une meilleure fiabilité, simplement en intégrant le disque supplémentaire dans un rôle “à chaud, au sein de la grappe” plutôt que de le laisser tiède et inactif à attendre que le désastre survienne.

Avec le RAID 5, nous observons une mise en garde encore plus frappante contre le concept du disque de secours tiède, là précisément où il est plus courant que partout ailleurs. Le RAID 5 est un RAID à parité simple, capable de reconstruire, à l'aide de la parité, tout disque de la grappe qui tombe en panne. C'est ici que les véritables problèmes commencent. Contrairement au RAID 1, où une opération de remise en miroir peut être assez rapide, une reconstruction (resilvering) RAID 5 risque de prendre un temps considérable. Le disque de secours tiède ne contribuera pas à protéger la grappe tant que ce processus de reconstruction ne s'est pas terminé avec succès – ce qui prend couramment de nombreuses heures, et facilement des jours, voire des semaines ou des mois selon la taille de la grappe et son niveau de sollicitation. Si nous prenions ce même disque de secours tiède et l'affections plutôt au rôle de membre de la grappe avec une bande de parité supplémentaire, nous obtiendrions du RAID 6. Le même ensemble de disques dont nous disposons pour le RAID 5 plus disque de secours tiède permettrait de créer une grappe RAID 6 de capacité exactement identique. Là encore, comme dans l'exemple du RAID 1 ci-dessus, cela reviendrait à peu près à disposer d'un disque de secours à chaud, où le disque participe à la grappe avec des données réelles plutôt que de rester inactif à attendre qu'un autre disque tombe en panne avant d'intervenir pour entamer le processus de prise de relais. Dans ce rôle, la grappe se dégrade à l'équivalent d'un RAID 5 en cas de défaillance, mais sans aucun temps de reconstruction, de sorte que le disque supplémentaire est immédiatement utile plutôt que de ne l'être qu'à l'issue d'un processus de reconstruction potentiellement très long. Ainsi, pour le même budget et la même capacité, le choix de configurer les disques en RAID 6 plutôt qu'en RAID 5 plus disque de secours tiède constitue un avantage total.

Nous pouvons poursuivre cet exemple avec le RAID 6 plus disque de secours tiède. Celui-ci est un peu moins facile à définir car, dans la plupart des systèmes RAID, à l'exception du RAIDZ3 quelque peu rare proposé par ZFS, il n'existe pas de système à triple parité disponible un cran au-dessus du RAID 6 (imaginez s'il existait un RAID 7, par exemple). S'il en existait un, l'argument exact avancé pour le RAID 5 plus disque de secours tiède s'appliquerait au RAID 6 plus disque de secours tiède. Dans la majorité des cas, le RAID 6 avec un disque de secours tiède doit se justifier face à une grappe RAID 10. Le RAID 10 est plus performant et bien plus fiable qu'une grappe RAID 6, mais le RAID 6 est généralement choisi pour économiser de l'argent par rapport au RAID 10. Or, pour compenser la fragilité du RAID 6, on a parfois recours à des disques de secours tièdes. Dans certains cas, comme une petite grappe RAID 6 de cinq disques avec un disque de secours tiède, cela équivaut, à coût égal, à une grappe RAID 10 de six disques sans disque de secours tiède. Dans les grappes plus grandes, l'avantage de coût du RAID 6 devient effectivement manifeste, mais plus les économies sont importantes, plus l'écart de risque est grand, car les systèmes RAID à parité voient leur risque augmenter avec la taille de la grappe bien plus rapidement que les systèmes RAID basés sur le miroir comme le RAID 10. Tout argent économisé aujourd'hui l'est au prix d'un risque de panne ou de perte de données demain.

Là où un disque de secours tiède intervient de manière efficace, c'est dans une grappe RAID 10 où la reconstruction du disque de secours tiède est une reconstruction de miroir, comme dans le RAID 1, qui ne comporte pas les risques liés à la parité, et où il n'existe pas d'extension logique du système RAID au-dessus du RAID 10 dont nous chercherions à économiser le coût en optant pour un système plus fragile. Ici, l'ajout d'un disque de secours tiède peut avoir du sens pour les grappes critiques, car il n'existe pas de moyen plus rentable d'obtenir le même surcroît de fiabilité. Cependant, le RAID 10 est si fiable sans disque de secours tiède que tout atelier envisageant le RAID 5 ou le RAID 6 avec un disque de secours tiède s'arrêterait logiquement au simple RAID 10, ayant déjà dépassé le niveau de fiabilité auquel il envisageait auparavant de se contenter. Ainsi, seuls les ateliers qui n'envisagent pas ces systèmes plus fragiles et qui recherchent l'option la plus robuste possible se tourneraient logiquement vers le RAID 10 plus disque de secours tiède comme solution.

Par souci d'exactitude technique, le RAID 10 peut être étendu pour de meilleures performances en lecture et une amélioration spectaculaire de la fiabilité (mais avec une augmentation de coût de cinquante pour cent) en passant à des miroirs RAID 1 de trois disques dans sa bande RAID 0, plutôt qu'à des miroirs RAID 1 standards de deux disques, exactement comme nous l'avons montré dans notre exemple du RAID 1. Il s'agit d'un niveau de fiabilité rarement recherché dans le monde réel, mais qui peut exister et constitue une option. Normalement, cela est limité par les contraintes de nombre de disques dans les châssis de grappes physiques, ainsi que par le fait que cette approche rivalise mal avec la construction d'une seconde grappe RAID 10 entièrement distincte dans un châssis différent, puis la mise en miroir de ces deux grappes à un niveau supérieur, créant ainsi de facto un RAID 101 – ce qui correspond au résultat effectif des clusters de grappes de stockage haut de gamme courants aujourd'hui.

Notre seconde préoccupation est celle de la “destruction automatisée de la grappe.” Elle ne s'applique qu'aux scénarios de RAID à parité que sont le RAID 5 et le RAID 6 (ou les rares RAID 2, RAID 3, RAID 4 et RAIDZ3). Avec le concept du disque de secours tiède, l'idée est que, lorsqu'un disque tombe en panne, le disque de secours tiède est automatiquement et instantanément substitué par le contrôleur de la grappe et que le processus de reconstruction de la grappe commence immédiatement. Si la reconstruction était un processus parfaitement fiable, cela serait évidemment fort bienvenu. La réalité est, hélas, bien différente.

Au cours d'un processus de reconstruction, une grappe RAID à parité est exposée au risque de voir apparaître des erreurs de lecture irrécupérables (UREs, Unrecoverable Read Errors). Si une URE survient lors d'une reconstruction d'un RAID à parité simple (c'est-à-dire RAID 2 à 5), alors le processus de reconstruction échoue et la grappe est entièrement perdue. Il est essentiel de bien comprendre cela, car aucun disque supplémentaire n'a défailli. Ainsi, si le disque de secours tiède n'avait pas été présent, la reconstruction n'aurait pas commencé et les données seraient toujours intactes et disponibles – simplement pas aussi rapidement que d'habitude, et au faible risque d'une défaillance d'un second disque près. Les taux d'URE sont très élevés avec les disques de grande capacité d'aujourd'hui et, avec les grandes grappes, les risques peuvent devenir si importants qu'ils passent de “possible” à “attendu” au cours d'une opération de reconstruction standard.

Ainsi, dans de nombreux cas, le disque de secours tiède lui-même pourrait en réalité être le déclencheur de la perte des données plutôt que le sauveur des données comme on l'espérait. Une grappe qui aurait survécu pourrait être détruite par le processus de reconstruction avant même que la personne qui la gère ne soit alertée de la défaillance du premier disque. Si une personne avait été impliquée, elle aurait pu, à tout le moins, prendre la précaution d'effectuer une sauvegarde fraîche de la grappe avant de lancer la reconstruction, sachant que la copie la plus récente des données serait disponible au cas où le processus de reconstruction échouerait. Cela permettrait également à la personne de planifier le moment où la reconstruction devrait débuter, en attendant éventuellement la fin des heures ouvrées ou le début du week-end, lorsque la grappe est moins susceptible de subir une charge importante.

Le RAID à double et triple parité (respectivement RAID 6 et RAIDZ3) partage également les risques d'URE, car il repose lui aussi sur la parité. Ces systèmes atténuent ce risque grâce aux niveaux de parité supplémentaires, et y parviennent avec succès pour l'essentiel. Le risque subsiste, en particulier dans les très grandes grappes RAID 6, mais pour les prochaines années, les risques demeurent généralement assez faibles pour la majorité des grappes de stockage, jusqu'à ce que des supports de stockage à plateaux de bien plus grande capacité soient disponibles sur le marché.

Le plus grand problème du RAID à parité et du risque d'URE est que le facteur qui pousse vers le RAID à parité (la disposition à accepter des risques supplémentaires pour l'intégrité des données afin de réduire les coûts) est le même facteur qui introduit un risque accru d'URE (l'achat de disques durs SATA non destinés à l'entreprise et à moindre coût). Les ateliers qui se tournent vers le RAID à parité le font généralement avec de grands disques SATA bon marché, réunissant ainsi deux facteurs très dangereux pour une combinaison explosive. L'utilisation d'un RAID 1 ou RAID 10 sans parité éliminera complètement le problème, et l'utilisation de disques SAS d'entreprise hautement fiables réduira drastiquement le facteur de risque d'un ordre de grandeur (ce n'est pas une figure de style, il s'agit effectivement d'un changement d'un ordre de grandeur).

De plus, lors des opérations de reconstruction, il est possible que les performances des systèmes à parité se dégradent de manière si drastique qu'elles équivalent à une panne de longue durée. Le processus de reconstruction, en particulier sur les grandes grappes, peut être si intensif que les utilisateurs finaux ne parviennent pas à faire la différence entre une grappe complètement en panne et une grappe en cours de reconstruction. En fait, à son extrême, une reconstruction peut prendre tellement de temps et être tellement perturbatrice que le coût pour l'entreprise peut être supérieur à celui qu'aurait engendré une défaillance complète de la grappe suivie d'une restauration à partir d'une sauvegarde. Ce problème de reconstruction n'affecte pas le RAID 1 ni le RAID 10, là encore parce qu'il s'agit de systèmes RAID en miroir et non à parité : leur processus de reconstruction est trivial et la dégradation des performances du système est minime et de courte durée. Dans son cas le plus extrême, une reconstruction à parité pourrait prendre des semaines ou des mois, durant lesquels les systèmes se comportent comme s'ils étaient hors ligne – et à tout moment au cours de ce processus, le risque que les erreurs URE évoquées ci-dessus surviennent existe, ce qui mettrait fin à la reconstruction et imposerait de toute façon une restauration à partir de la sauvegarde. (Les reconstructions typiques ne prennent pas des semaines, mais prennent de nombreuses heures, et qu'elles prennent des jours n'a rien d'inhabituel.)

Notre synthèse finale peut se résumer à ce qui suit (le terme conventionnel “disque de secours à chaud” étant de nouveau employé) : Le RAID 10 sans “disque de secours à chaud” est presque toujours un meilleur choix que le RAID 6 avec un “disque de secours à chaud.” Le RAID 6 sans “disque de secours à chaud” est toujours préférable au RAID 5 avec un “disque de secours à chaud.” Le RAID 1 avec un membre de miroir supplémentaire est toujours préférable au RAID 1 avec un “disque de secours à chaud.” Ainsi, quel que soit le niveau de RAID avec disque de secours à chaud que vous décidiez d'adopter, montez simplement d'un niveau de fiabilité RAID et abandonnez le “disque de secours à chaud” afin de maximiser à la fois les performances et la fiabilité pour un coût égal ou quasi égal.

Les disques de secours tièdes, tout comme le RAID à parité, ont eu leur heure de gloire. En réalité, c'est à l'époque où le RAID à parité avait encore du sens pour un usage généralisé – lorsque les erreurs URE étaient improbables et le coût des disques élevé – que les disques de secours tièdes avaient eux aussi du sens. Ils formaient une bonne paire : lorsque l'un avait du sens, l'autre en avait souvent aussi. Ce que l'on oublie souvent, c'est qu'à mesure que le RAID à parité, en particulier le RAID 5, a perdu de son efficacité, il a entraîné le disque de secours tiède dans son sillage de manières inattendues.

Mots-clésdisk drive hard disk raid storage

Publicité

SMB IT Journal — the IT resource for small business

À lire également.