GitHub

GitHub Enterprise Server: Transición de Elasticsearch Clustered a Cross Cluster Replication para mejorar la durabilidad y HA

architectural-flaw

causa raíz

Timeline del incidente

Pre-CCR · GitHub Engineering

GitHub Enterprise Server (GHES) utiliza un cluster Elasticsearch distribuido entre nodos primarios y réplicas para HA.

Pre-CCR · Elasticsearch

Elasticsearch mueve shards primarios a nodos réplica. Si la réplica se cae, el sistema entra en un estado bloqueado (deadlock).

Pre-CCR · GitHub Engineering

GHES implementa checks y procesos para corregir estados de Elasticsearch, e intenta construir un sistema de 'search mirroring' sin éxito.

Post-CCR · GitHub Engineering

GHES adopta la función Cross Cluster Replication (CCR) de Elasticsearch, utilizando múltiples clusters de un solo nodo.

Post-CCR · GitHub Engineering

Se desarrollan workflows personalizados para bootstrap, failover, eliminación de índices y upgrades con CCR.

Post-CCR · GitHub Engineering

GHES 3.19.1 es la primera versión en soportar la nueva arquitectura CCR.

Análisis técnico

El incidente descrito no es un fallo puntual, sino una limitación arquitectónica recurrente en las implementaciones de alta disponibilidad (HA) de GitHub Enterprise Server (GHES) que utilizaban Elasticsearch. La causa raíz era la incompatibilidad fundamental entre el patrón leader/follower de GHES y el comportamiento de clustering de Elasticsearch en versiones anteriores. GHES esperaba que los nodos réplica fueran de solo lectura, pero Elasticsearch podía mover shards primarios (que requieren escrituras) a estos nodos. Esto creaba un escenario de deadlock: si una réplica con un shard primario se caía, Elasticsearch no podía recuperarse hasta que la réplica se reincorporara, pero la réplica no podía arrancar hasta que Elasticsearch estuviera sano.

Las salvaguardas existentes, como los checks de salud y los intentos de 'search mirroring', fallaron porque abordaban los síntomas en lugar de la causa raíz arquitectónica. El problema no era la falta de monitoreo o corrección de estados, sino una discrepancia fundamental en los modelos de consistencia y replicación entre GHES y Elasticsearch. El diseño original de clustering de Elasticsearch, aunque ofrecía beneficios de rendimiento al manejar solicitudes de búsqueda localmente, introdujo una complejidad y fragilidad significativas en el contexto de HA de GHES.

La solución implicó una re-arquitectura significativa para alinear el comportamiento de Elasticsearch con el modelo de HA de GHES. Al adoptar Cross Cluster Replication (CCR) y tratar cada instancia de GHES como un cluster Elasticsearch de un solo nodo, se eliminó la necesidad de que Elasticsearch gestionara la consistencia de los shards primarios entre nodos primarios y réplicas de GHES. CCR permite una replicación controlada y nativa de Elasticsearch de datos ya persistidos, asegurando que los datos críticos no terminen en nodos de solo lectura de GHES en un estado inconsistente o bloqueado. Esta es una lección clave sobre la importancia de la alineación de los patrones de replicación y consistencia entre componentes de un sistema distribuido.

Remediaciones y action items

✓ Re-arquitectura de la integración de Elasticsearch en GitHub Enterprise Server para utilizar Cross Cluster Replication (CCR).
✓ Transición de un cluster Elasticsearch distribuido a múltiples clusters de Elasticsearch de un solo nodo, uno por instancia de GHES.
✓ Desarrollo de workflows personalizados para el bootstrap inicial, failover, eliminación de índices y upgrades para soportar CCR.
✓ Implementación de la función auto-follow de Elasticsearch para nuevos índices, complementada con un paso de bootstrap para índices existentes.

Lecciones para arquitectos

→ Alinear los patrones de replicación y consistencia de los componentes es crítico para la estabilidad de sistemas distribuidos.
→ Evitar el 'over-clustering' cuando los patrones de HA de la aplicación difieren de los del almacenamiento subyacente.
→ Priorizar las características de replicación nativas de la base de datos cuando sea posible, en lugar de soluciones ad-hoc.
→ Las soluciones que intentan parchear incompatibilidades fundamentales a menudo son frágiles y difíciles de mantener.
→ La complejidad de la replicación de datos es un desafío significativo; buscar soluciones probadas y soportadas por el proveedor.

¿Te ha gustado este análisis? Recibe los 5 mejores de la semana →

Suscribirme al digest

compartir: X / Twitter LinkedIn WhatsApp