Какая файловая система наиболее устойчива к сбоям?

Question

[CityCat4]

ОБНОВЛЕНО!
Гипотетическая ситуация:
В офисе вечерами работает программист Петя. Он сейчас сидит и непосредственно пишет код. В vscode.
Также в офис приходит электрик Вася, которому нужно сделать свою работу. Вася дергает не тот рубильник, комп Пети обесточивается...

Еще одна гипотетическая ситуация: (потому что все ожидаемо начали советовать ставить упсы и циклиться на пропадании питания)
Секретарша Маша при попытке вставить флэшку в разьем нажимает кнопку ресета в то время, как у нее открыто на редактировании куча документов.
ИЛИ
Программист Коля, которого недавно пересадили с винды, по виндовой привычке решать все ребутом, с чего-то решает, что линух завис и топит ресет в процессе работы.

Знакомо, да?

Вопрос - в какую файловую систему разметить диск и какие задать параметры монтирования (а также точные настройки через sysctl, комстроку ядра и пр.), чтобы не узреть cannot read superblock?
(Вопрос можно поставить шире - что еще можно придумать, чтобы при ресете не рушились файловые системы?)

Прошу не уходить в сторону "купить и поставить UPS". Интересует именно опыт использования ФС по части стабильности.

(Зачем: после замены обычных винтов на ssd я заметил, что куда-то делась знаменитая линуховая стабильность ФС, когда можно было рубить сервак в любом состоянии... Я понимаю, что дело не в ssd, а в моей криворукости, что наверняка есть нужные настройки)

Comments

[Drno]

купить UPS...

[Melkij]

Я понимаю, что дело не в ssd

В общем-то, напрасно. Десктопные модели в угоду себестоимости и маркетинга (как бы нарисовать производительность повыше в бенчмарках) довольно вольно обращаются с гарантиями durability которые должны бы обеспечивать. Например, когда файловой системе отчитались flush, а на самом деле контроллер SSD ещё не записал все данные во flash, а только в буфер (или вовсе лишь только в HMB в случае nvme) и который даже не прикрыт конденсатором, позволяющим корректно дописать всё что уже пообещали при внезапном отключении питания.

[CityCat4]

Drno, Вопрос о выборе ФС :) настройках монтирования и всего того, что можно покрутить через sysctl и ведро. Потому что ситуация не поменялась, за исключением того, что hdd сменился на ssd, а устойчивость к сбоям куда-то делась. Понятно, что я просто что-то не включил/не выключил/не установил/не настроил. Вопрос - что?

[CityCat4]

Melkij, Хм. То есть ситуация , как с raid-контроллером без батарейки? "Наверх" уже ушло, что данные записаны, "внизу" они еще только пишутся и, если топануть фазу - мы и выловим рассогласование кэша?
Есть способы это настроить как-нибудь (даже ценой производительности)?

[Melkij]

угу, ситуация полностью аналогично контроллеру с writeback кэшом без батарейки. С точки зрения именно ОС на это не повлиять, сама команда flush (недвусмысленно именованная FLUSH CACHE в ATA и аналоги в прочих стандартах) и должна была собой гарантировать, что данные реально дошли до постоянной памяти. А если по умыслу или ошибке такой гарантии нет - то ОС об этом даже не может узнать.
Можно поискать нет ли управляющих команд для конкретных SSD (по типу вендорской утилиты настроек рейд-контроллера для переключения cache mode), но я сомневаюсь в благополучном исходе.

[Adamos]

Маркетинг и жажда власти уже породили термин Power Loss Protection, которым производители SSD хвалятся на своих дорогих моделях. А пытаться какими-то настройками спасать дешманские, похоже, просто бесполезно.

[CityCat4]

Adamos, А в чем же этот protection состоит?

[Adamos]

CityCat4, тут лучше пресс-релизы почитать, чем я их перевру ;)

[CityCat4]

Adamos, ну вот, что нашлось:
"To protect all data, regardless of any power supply problems, users should choose the SSD product that supports PLP. When the SSD is powered on, PLP capacitors start to charge the current and, if external power is off for any reason, the charged current in the capacitors starts to discharge to offer additional power (current) to the SSD. This process holds the DRAM data and allocates time for the data flush from the DRAM to the NAND to occur, updating the latest data. This flushing task should be completed within the discharging time."

То есть фактически добавили "батарейку".

[mayton2019]

Скорее всего стоит небольшой аккумулятор, прямо в корпусе SSD которого хватает для нескольких атомарных операций диска.

[Adamos]

CityCat4, я там видел еще что-то про ограничение записи при проседании напряжения - в ожидании, что щас придется скидывать кэш, диск уже не дает в него писать. Может выйти неожиданным боком в реальных условиях, особенно без выравнивания линии UPS-ом. Или при хреновом БП. В общем, оно делается не под условия рабочей станции, а больше под всякую встройку.

[Melkij]

ага, именно что типа батарейка. Схематически, на сколько знаю, там действительно конденсатор.
про ограничение записи в зависимости от напряжения не слышал, но в общем возможно. Для нас ведь прошивка - чёрный ящик...

[Василий Банников]

Также в офис приходит электрик Вася, которому нужно сделать свою работу. Вася дергает не тот рубильник, комп Пети обесточивается...

Бесперебойник, либо пусть Петя на ноуте работает.

Секретарша Маша при попытке вставить флэшку в разьем нажимает кнопку ресета в то время, как у нее открыто на редактировании куча документов.

Пусть секретарша пользуется облачными сервисами типа гугл-документов или аналогичным в рамках локальной сети.
Запретить перезагрузку по кнопке.

Программист Коля, которого недавно пересадили с винды, по виндовой привычке решать все ребутом, с чего-то решает, что линух завис и топит ресет в процессе работы.

А что программист Коля не умеет гитом пользоваться?

[d'Ivan]

VS Code хранит состояние редактированных файлов. Даже несохранённые файлы.

[Adamos]

Иерокопус Таманский, на том же SSD, у которого при резком выключении пропадает всякая мелочь, записанная в кэш, но не слитая в ячейки памяти самого диска. В том числе временные файлы VCS. Речь же не про то, что кто-то что-то не сохраняет, а про то, что сохранение еще не означает реальную запись.

[CityCat4]

Василий Банников,

Пусть секретарша пользуется облачными сервисами типа гугл-документов

Это ты сейчас посмеялся так, да? Гуглом? Сейчас? А завтра гугл скажет фразу про русский корабль?

А что программист Коля не умеет гитом пользоваться?

Может и умеет, но если система зависает по-настоящему - от гита немного толку

[CityCat4]

Иерокопус Таманский, Только если у него временные файлы хранятся на другом диске, например. Потому что если они тоже здесь - они точно так же пропадут.

[Василий Банников]

CityCat4, а целиком и внимательно читать умеешь?
Тогда прочитай ещё раз

[Василий Банников]

CityCat4,

Может и умеет, но если система зависает по-настоящему - от гита немного толку

Просто пуш надо делать чуть чаще чем раз в неделю

[Zerg89]

CityCat4, Melkij, наткнулся тут на директивы отключения дискового кеша для sata ssd и nvme что по идее должно частично решить вопрос с битой файловой системой за счёт ожидания фс завершения записи

Понимаю что от ресета точно не спасет как и от отключения света а также замедлит io системы

Отключение write cache askubuntu

Даже самому стало интересно будет работать или не совсем

Если соберётесь протестировать пингоните по результатам

Answer 1

[rPman]

Ваша задача решается только аппаратными средствами. При ненадежном окружении машину нужно буквально выносить на расстояние, подальше от этого окружения (т.е. у клиента только монитор+клавиатура а редактировать документы на флешках запретить, я серьезно), это реально и не так дорого как кажется, но все же необходимо обеспечить место где железо не будет зависеть от электрика Васи и 'супер-чайника бабы Глаши'.

На самом деле тут несколько проблем, каждая из которых решается разными способами:
* сбои в железе, т.е. буквально смерть диска или флешки (нельзя на них работать, никак нельзя), в частых случаях это решают резервированием, спасибо для дисков существует RAID5, когда за счет добавление 1 диска к массиву (начиная с 3 дисков до 32 шт) обеспечивает работоспособность при потере любого 1 диска, а при добавлении 2-ух дисков, соответственно переживает потерю любых двух дисков.
* сбои в электропитании - качественный бесперебойник и настройка на автоматическое сохранение работы. Система резервного электропитания - отдельный большой разговор и дешевым это не будет, в зависимости от того, какие бывают сбои, может оказаться что единственный вариант - дорогой online ups + дизельный генератор.
Для рабочих windows и иногда и linux можно настроить hibernation по сигналу с UPS, это как минимум спасет не только файловую систему но и не сохраненную работу.
Так же есть механизмы у систем виртуализации, если гостевая операционная система не умеет hibernation, то это сможет сделать сервер виртуальной машины (кажется любой)
* сбои в софте и кривые руки пользователя - самый интересный сбой, когда по ошибке одним движением пользователь уничтожает важные данные, ошибка конфигурации отправляет базу в ноль или безвозвратно портит данные. На это тоже есть два решения, в обычном случае это регулярные бакапы, причем если есть база данных то можно сделать очень оперативный инкрементальный бакап прямо средствами БД (что то типа прерванной репликации например) и регулярные снапшоты (как еще одна форма бакапа, только не покидающая машину).
И вот тут выбор файловой системы может сильно помочь, например cow fs типа btrfs или zfs умеют делать снапшоты бесплатно, без деградации скорости работы (до этого был lvm но его снапшоты кратно! замедляли запись, пока снапшот не удалишь), у windows ntfs тоже есть shadow copy но там какие то особенности есть, не делающие это чистым снапшотом, т.е. пользовательские файлы так резервируются а система не всегда, ну через нее делают бакап перед установкой обновлений.
Можно настроить буквально поминутные снапшоты с удалением тех что старее часа/суток/... и фоновым переносом их на бакап сервер, т.е. это сочетание системы резервного регулярного и оперативного копирования

Answer 2

[Alex G.]

Нужно смотреть на файловые системы с журналированием. Например XFS или ext4
Что это такое: https://www.interface.ru/home.asp?artId=18352
Как включить журналирование например на ext4 гуглится легко.

Comments

[CityCat4]

Сейчас отформатировано в ext4. Но вот ситуация - чел сидит, что-то делает. По виндовозным привычкам, где все проблемы решает перезагрузка, он топит ресет. После перезагрузки мы видим черный экран с надписью cannot read superblock.

Потом livevdvd, fsck, куча сообщений про orphaned nodes...

Вопрос в общем-то в этом - какими настройками можно минимизировать потери такого рода?

[Alex G.]

CityCat4, Ну вот как раз что бы не было fsck и кучи ошибок, включают журналирование.

[CityCat4]

Alex G., Ну, в какой-то степени оно помогло - fsck диск восстановил сходу, поправив две ошибки. Но для этого пришлось грузить livedvd.

[Alex G.]

CityCat4, Тогда поддерживаю имеющийся ответ rPman. Просто программными настройками это не фиксануть.

Answer 3

[mayton2019]

Современное ПО очень сложное в части гарантий сохранения транзакций например. В БД для того чтобы
сохранился commit, мы должны гарантировать что за секунду до аварии мы успели сделать FSYNC
для всех буферных операци I/O.

И эта проблема никак не решается заменой одной ФС на другую. Вы пишите хоть в ZFS, хоть в RAW,
но здесь эта гарантия дает сбой. База не смогла сохранить последний коммит. И при recovery будет
откат транзакций назад. И дальше надо на уровне приложений разбираться где какие платежи не прошли
и кому вернуть деньги.

Поэтому сервак БД должен быть хотя-бы застабилизирован на 5-10 минут чтобы успеть корректно сделать
shutdown. Либо дежурный админ это сделает либо ваш софт - неважно. Тоесть отключение энергии должно
быть плановым и контролируемым.

По поводу cannot read superblock - не знаю. Я такого в своей практике никогда не встречал. Надо поисследовать
вопрос глубже. Предполагаю что это не сама причина а следствие чего-то другого. Например виртуальные машины не нашли свою файловую систему.

Comments

[CityCat4]

Это не сервер. Рабочая станция на линухе. "Программист Коля" из описания вопроса - это и есть ее юзер. Диск я починил через livedvd. Что можно сделать, чтобы минимизировать проблемы?

[mayton2019]

CityCat4, на десктопе - чаще нажимай Ctrl+S в редакторе.

Answer 4

[Bwana]

Самый надежный вариант не потерять набранное -- Ctrl-S перед каждой паузой в процессе набора/редактирования. Через какое-то время это станет бессознательным действием и случаи потерь сократятся до одного-двух в квартал.
Главное, не выключать комп без необходимости -- достаточно вырубать мониторы и все.
Ну и классические бекапы перед уход домой. Это если внезапно комп/диск сдохнет.
Проверено на себе и уже лет надцать не подводит. Храню только последний (вчерашний) бекап. В нескольких местах, в том числе и на флешке в кармане.

Answer 5

[VoidVolker]

Вопрос - в какую файловую систему разметить диск...

В любую. Если вам нужная защита от сбоя по питанию - то надо именно эту проблему и решать, а не её последствия. И самое простое решения - это источник бесперебойного питания. В качестве альтернативы можно работать с ноутбука или подключаясь к удаленному серверу в ЦОД. Ибо кроме ФС есть еще куча других факторов типа ОС, драйверов, оборудования и их нюансов работы. ФС - лишь составная часть, одна "из".

когда можно было рубить сервак в любом состоянии...

Сервера должны работать через ИБП, должно быть реализовано резервирование линий питания, блоков питания, есть даже рейд контроллеры со своими аккумуляторами. И еще куча других мер. Т.е., должно быть применено комплексное решение по минимизации ущерба в случае того или иного сбоя в том или ином месте. И "рубить сервак" - это уже крайняя мера, когда у вас не осталось других методов взаимодействия с сервером. А значит, что-то было сделано/организовано не так, как должно быть.
Не следует путать устойчивость к сбоям для сервера и для домашнего ПК - это несколько разные вещи с разными требованиями.

Comments

[CityCat4]

Мне нужна защита от сбоя, по какому бы поводу он ни произошел. Например, мисс секретарша случайно жмакнула ресет, втыкая флэшку. Да, сейчас у нее винда и даже если она помрэ - никто и не удивится - это же винда! Но линух-то известен своей надежностью! (типо)

[VoidVolker]

В таком случае вам надо использовать комплексный подход: ИБП, журналируемые ФС, бэкапы, электрические щиты под замком, регламенты проведения работ на линиях питания, разнесение кнопки питания и USB разъема и т.д. и т.п.

винда и даже если она помрэ - никто и не удивится - это же винда

NTFS тоже как бы достаточно надежная ФС и сбои по питанию редко вызывают какие-то серьезные проблемы.

Но линух-то известен своей надежностью! (типо)

Скорее не сам линукс, а грамотная настройка и организация рабочих процессов, т.к. установка, настройка и использование линукса требует определенного уровня знаний и умений - соответственно линуксы обычно используют именно те, кто хорошо понимает чт ои зачем он использует. А винда - она везде. Как и желающие её настроить, оптимизировать и прочее-прочее. Кроме того, линуксы обычно применяются в серверах, где один раз настроил и забыл - отсюда более редкие сбои. Правильно настроенная винда тоже может работать десятилетиями. А неправильно настроенный линукс может откинуться от какого-нибудь громкого звука. Прекрасный пример - десктопная убунта, которая ломается после обновления, что вызывает очередные волны негатива в сети.

[CityCat4]

линуксы обычно применяются в серверах

Ну вот я - первопроходец применения линуха на рабочих станциях. В масштабе конторы на полторы сотни рыл (в перспективе). А сейчас идет ловля блох.

десктопная убунта, которая ломается после обновления,

Могу расширить этот пример на генту и все прочие системы, где недавно менялся glib. После замены glib на 2.78.4 там рушится вообще все, что можно, и лезет такая дичь, что волосы дыбом!

[VoidVolker]

Ну вот я - первопроходец применения линуха на рабочих станциях.

В таком случае я бы рекомендовал обратить внимание на решения на основе терминальных станций - т.е. мощный сервер или несколько и все пользователи работают удаленно. Центральное управление - все железки и софт в одном месте, рабочие машинки - простые тонкие клиенты, которые сломать сложнее и легко меняются, нет дикого зоопарка разных ПК с разными осями и со своими проблемами. Впрочем, в моем случае до практической реализации не удалось добраться, но по результатам моих исследований практичности данного решения я пришел именно к таким выводам в свое время (лет десять назад). Вероятно, сегодня в данной области куда больше возможностей и фич.

Answer 6

[Dimonchik]

ну, рекламно Btrfs , где-то там еще Zfs ходит
а еще JFS есть
а практически окажется что обычная ext4вполне себе

просто ж - если б была самая-самая, ей бы все пользовались, но увы, жизнь устроена иначе (недавно вон какой-то закон эволюции открыли, я пока не вникал - хз можно ли его вообще понять, но жизнь и так об этом постоянного говорит)

я (мы, с админами/девопсами) решали задачу хранения отдачи множества мелких файлов - меня интересовало с т.з. экономики - меньше серверов проще говор - а админов с т.з. намыленной *опы, и там все эти *fs перебирались, оказалось -везде что-то не так - то ли партицирование, то ли рейд не строится, то ли что-то еще

в итоге остановились на уче4 и seaweedfs поверх - да, это не ФС в обычном виде, но - такая была задача

думаю, и сами знаете - изучить отзывы а дальше - только эксперимент, потому что отзывы-опыт тоже зависит от окружения на моменте - например, хард рейд и т.п.

Answer 7

[Saboteur]

все очень просто.
1. Бэкапы.
2. УПС.

И не искать себе выдуманное решение с файловыми системами.
* Файловые системы не заботятся о пользовательских данных.
* Целостность файловой системы это о том, что структура будет целая, то есть два файла не занимают один кластер, нет незавершенных операций, когда что-то недописано, или какой-то кластер считается занятым, а на самом деле нет и уже неконсистентность.
* Эти проблемы решаются простым способом - все что криво удалить, и все. Не восстановить.
* Второй момент - софт может просто записать кривые данные, и тут как бы от файловой системы не зависит. Вплоть до какого-нить криптера, который сделает совершенно корректные файловые операции и все пошифрует.
* Если же глючит хард, то там все еще хуже.

Поэтому вместо поиска велосипедов на низкоуровневых проблемах, просто делайте регулярные бэкапы, и если что-то подобное случится, то да, пользователь потеряет часть работы, от последнего бэкапа.
Бэкапы хранить на отдельной машине, доступ к ним ограничить отдельным паролем, на машину УПС, можно еще и рейд.

Comments

[d'Ivan]

Файловые системы не заботятся о пользовательских данных.

Разве это не является их прямыми обязанностями?

[d'Ivan]

софт может просто записать кривые данные, и тут как бы от файловой системы не зависит.

Если ПО не содержит явных ошибок, то сохранение состояния не должно быть проблемой согласованности данных. Но если ПО через средства ОС скомандовала сохранить файлы, но аппаратная часть не смогла вовремя сделать из-за отключения электроэнергии, то ПО тут ни при чём.
Есть множество IDE, которые позволяют сохранять все открытые файлы периодически, каждые X минут. Значит, последняя сохраненная копия должна быть доступна.

[Saboteur]

Иерокопус Таманский, Нет, о пользовательских данных заботится пользователь (бэкапы).
А так - любая прога может в пользовательские данные совершенно штатно написать абракадабру.
Файловая система заботится о целостности файловой системы (метаданные, сектора), о быстродействии, о правах доступа.
Понятно, что данные нужно хранить, но отказоустойчивость при сбоях операционной системы или железа - явно не стоит в приоритете у файловых систем. Для таких вещей существуют бесперебойники, рейды и бэкапы.

[d'Ivan]

Saboteur,
Бэкапы - это дополнительная мера, для подстраховки. Они не заменяют ФС.
ПО должно писать в файлы без ошибок. Если пишет абракадабру, то нужно исправлять ошибки, либо не использовать вообще.
ОС должна без ошибок работать с драйверами, прошивками железа, поверх абстракции в виде ФС. Если ФС не способна хранить данные без повреждений данных, то она никому такая не нужна.
Сказано записать устройству блоки байтов - она должна записать ровно то, что просили.
Накопитель данных отвечает за обновление блоков данных, байтов. Каждая цепочка должна работать без ошибок.

[Saboteur]

Ну давай так.
Если ОС должна работать без ошибок, драйвера должны работать без ошибок, ФС должна работать без ошибок, то наверное и железо и электричество должны работать без ошибок.
С таким подходом, лично ВАМ бэкапы видимо не нужны.
Не хотите, не используйте.

[d'Ivan]

Saboteur, ну почему же, бэкапы делаю, конечно же. Да, не так, как по науке, но всё же.
Но если батарейки закончились, то я не жду что устройство будет работать. Но оно должно ожить после замены батареек, однозначно. И ФС должна гарантировать, что данные будут записаны согласованно.

[Saboteur]

ФС не может гарантировать что данные записаны, если они не были записаны приложением до конца. Это не от ФС зависит.
ФС может гарантировать консистентность и быструю починку структуры, то есть например благодаря журналу, он просто откатит все незавершившиеся операции (естественно удалив обрывки пользовательских данных).
Если нужна надежность, то за этим следит само приложение. Например оффис обычно пишет во временный файл, и уже после того как файл сохранился, удаляет старый и переименовывает временный

Answer 8

[d'Ivan]

Используя Linux, SSD с ext4, VS Code и имея частые отключения электроэнергии в электрощите, могу с уверенностью утверждать, что файлы не бьются и открываются без проблем ровно в том месте, где не закончил редактирование кода. Также выработана привычка нажимать Ctrl-S чуть ли не при любом изменении, даже мало-мальском.
P.S. планирую купить UPS.

Comments

[d'Ivan]

Купил UPS и всем тоже советую.