本發明公開了服務器(102，104)包括兩個電源模塊(114，116，128，130)，電源模塊包括彼此有數據可通信關系的電源(138，142)和防護控制器(120，122)，防護控制器適于經由電力線通信(PLC)接收和/或發出防護指令，并且在接收到防護指令時，防護控制器適于向電源發出指令以關閉電源。

技術領域

本發明涉及服務器電源防護方法，以及適合(但不限于)用于執行這種方法的電源模塊和服務器。

背景技術

在其中許多節點(服務器)可能正在處理若干重要生產數據的高可用集群中，可能發生“裂腦”。一般而言，“裂腦”是指源自維持具有重疊范圍的兩個單獨數據集的數據或可用性不一致的問題，例如，由于服務器無法通信并且彼此同步其數據。可以通過建立“防護”策略來減輕由錯誤的集群節點(服務器)引起的這種問題。“防護”是將節點(服務器)隔離或保護共享資源(例如共享磁盤)與群集內的故障節點隔離的過程。

廣泛地說，有兩種防護方法：資源防護和節點防護，它們都在圖1中示出。資源防護方法不允許故障節點(服務器)訪問共享資源而不關閉節點。這可能包括：

-持久保留防護，它使用SCSI3持久保留來阻止對共享資源的訪問，

-光纖信道防護，其禁用光纖信道端口，和

-全局網絡塊設備(GNBD)防護，其禁用對GNBD服務器的訪問。

作為示例，圖1示出了在具有五個節點(A到E)的集群中，節點A中的電源防護代理可以運行防護程序，來控制光纖信道交換機，以禁用光纖信道交換機中的光纖信道端口，以便不允許故障節點(例如節點C)訪問共享存儲器。

節點防護方法也稱為“STONITH”，其代表“射擊另一個節點的頭部”，意味著懷疑節點被禁用或關閉。具有通過STONITH的節點防護的集群可以配置有許多支持防護設備，包括：

-不間斷電源(UPS)；

-PDU(配電單元)；

-進刀電源控制設備；

-無人值守設備(例如Lenovo XCC/IMM、HP iLO、Dell DRAC)。

例如，再次如圖1所示，具有五個節點(A到E)的集群包括功率控制器，該功率控制器可以被操作以關閉故障節點(例如節點C)。

已知這種現有的防護布置具有以下缺點：

(a)如果節點宣布彼此故障并相互重新啟動，則可能發生相互防護困境。無人值守設備和其他電源防護設備無法完全避免這種困境。

(b)外部防護設備(例如UPS或PDU)通常很昂貴。

(c)所有當前的STONITH設備都需要額外的網絡連接(以太網或串行總線)來發送防護指令。如果該網絡出現故障，則無法防止群集出現裂腦現象。

(d)防護設備和網絡的配置可能相對復雜。

(e)防護的替代方案(例如仲裁或SCSI保留)至少需要一個額外的節點或更多的外部依賴。

具體參考共同防護或“相互防護”，并且以具有兩個服務器(即主機A和主機B)的群集為例，并且參考圖2，這在主機A的操作軟件(OS)發送用于防護主機B的“關閉B”指令時發生。這個“關閉B”指令由主機B的基板管理控制器(BMC)接收，該控制器作用于指令并關閉電源。但是，在關閉主機B之前，主機B的操作軟件(OS)發送“關閉A”指令，用于防護主機A。主機A的基板管理控制器(BMC)收到此“關閉A”指令，并對其采取行動讓關閉其自身。因此，主機A和主機B都關閉，兩者都被防護，這導致網絡故障，需要人為干預。