nikdy jsem to neřešil v tak kritickém provozu jako je výše popsaný

Fakt by to chtělo vědět, jaký je to provoz. To, že někdo něco označí jako kritické ještě samo o sobě nic neznamená. Už jsem viděl označené za kritické i provoz webů typu root.cz. Ne, fakt nejsou. A když jednou za čas bude potřeba jej rebootovat, tak se to vydrží. Abclinuxu je sem tam dole klidně na den.

My jsme v nejkritičtější službě měli podmínku kompletní obnova do 4h. Od toho se odvíjí zálohování, rychlost pole a rychlost sítě. Když virtuálky mají dohromady TB, musí se to stihnou překopírovat ideálně do půl hodinky. To znamená, že potřebujete zálohovací a provozní pole schopné zvládnout rychlost 1GB/s. K tom SAS kabel nebo minimálně 10GbE ethernet. Doufám, že jsem vás tímto odstavcem unudil k smrti, protože tohle je v DC naprostý standard už pěkných pár let. Takže ve výsledku, vmware, veeam, provozní a zálohovací pole, pásková knihovna, zálohy pokud možno kontinuální. V případě smrti provozního HW: instalace vmware (zálohy konfigurace máte), veam, klik na recovery, powerup virtuálek. Je dobré si to občas vyzkoušet v době míru a pohody. Ale nic na tom vlastně není. Za celou dobu provozu kritické služby jsme to nepotřebovali. Jednou k tomu bylo blízko.

Případně se to dá okořenit tím, že v jiném DC v jiném městě máte repliku, neustále synchronizovanou. V případě výpadku primáru je to jen o změně DNS a přepnutí repliky do ostrého provozu.

Možná je to profesní deformace, ale co je na tom tak složitého? Po technologické stránce vůbec nic. To, jestli si někdo sám sobě naháže klacky pod nohy tím, že není záložní HW, nejsou pásky, 1Gbit pro zálohy stačí (a potom se diví že obnova trvá týden) apod. tak je to jednak jeho problém a taky si úplně nemyslím, že provozuje kritický systém. (Pár takových situací jsem zažil - kritický systém, který nikdy nesmí vypadnout a přitom byl problém koupit disky do pole. - Tak se rozmyslete, buď to je kritické nebo není.)

Pro kritické nasazení potřebuju minimálně hot stand-by s automatickým failoverem a možnost point-in-time recovery.

Ne nepotřebujete. Stavět HA systémy lze i jinak. Není potřeba mít jednu centrální pozlacenou DB. Lze mít hromadu malých levných node. Tohle je styl třeba MongoDB apod. Celý tento "NoSQL" svět. Nebo klidně i hromadu uzlů s PG, když si to bude appka nějak synchronizovat.

Koukal jsem teď na Barman, to je dost dobré, ale neznám ho a netroufnul bych si bez zkušeností radit jak ho správně použít v kritickém provozu.

Barman je sada helper skriptů pro PITR. Nepřišlo mi to až tak skvělé. Ale je pravda, že to ulehčuje některé věci. A dá se to monitorovat.

Dále třeba monitoring - vím kam občas kouknout, ale nemám moc jistotu že něco nepřehlížím a jaké jsou aktuální best-practice.

Místo na disku, dostatek paměti, docházející konexe do db. Z hlediska provozu nic víc. Z hlediska vývoje se dá monitorovat desítky parametrů per každou db. (Třeba Zabbixem.) V praxi se nejčastěji setkávám právě s nedostatkem místa na disku, což je divné, protože když db roste, tak je potřeba její data někam ukládat. Myslel jsem, že tohle je zřejmé. Ale některým lidem ne a někdy je problém koupit další disky do pole. Z hlediska údržby, správně provozovaná db nepotřebuje nic. autovacuum uklízí. Pokud se tabulky nafukují (bloat), je to indikátor špatného zacházení s db. V takovém případě opravit a jednou za čas pustit vacuum full. Nebo cluster.

a na stackoverflow

Zakažte si na rok přístup na tuto a podobné stránky. Nejsou vůbec potřeba.

Dává mi smysl, aby si firma co potřebuje funkční spolehlivou databázi tohle know-how někde koupila, a vpotřebném rozsahu to svoje lidi nechala naučit a zdokumentovat provozní procesy.

No nebo ti lidé profesně rostou s provozem té databáze a vůbec těch služeb. Mladší kolegové se učí od mladších, existuje dokumentace. Čím standardněji a víc v defaultu se všechno nechá, tím méně interní dokumentace je potřeba. Na všechno bude stačit oficiální dokumentace PG. To platí tak nějak o všem. Dělat minimum změn. Nastavit prostředí bezpečnost, ssl klíče (pro pg klienty). Nastavit rozumně paměti. Monitoring. Zálohy. Nic, co by se neřešilo pro každý jiný server.

Než na to shánět inhouse lidi co už to umí, nebo co se to musí teprve naučit z dokumentace.

A tohle si říkáte u každé pracovní činnosti? Na nastavení routeru potřebuje sítaře. Na vložení disku do serveru potřebujete technika. Je snad normální, že interní zaměstnanci tyto věci umí, ne? Proč by se měl někdo shánět? Ta firma snad něco dělá a dělají to ti zaměstnanci. Nebo si má vedení OEZ říct, že nebudou svoje lidi učit dělat jističe, když se dají koupit jinde? Tohle uvažování je mi divné.

tak chci mít i jen pro sebe pocit, že líp to udělat nešlo

Jasný, souhlasím. Já ten pocit mám a není těžké jej dosáhnout. Důležité je si všechno vyzkoušet, zdokumentovat a mít jistotu, že se to umí. Opravdu si vyzkoušet každý kritický scénář. Obnova db, obnova serveru, obnova celého racku. Nastavení sítě kompletně od nuly. V minulé práci každý technik dostal každý měsíc úkol něco z toho udělat. Udržovat tyto znalosti živé.

Připomíná mi to Pohlreicha, jak radil kuchařům, jak si nastavit procesy, aby se z toho neposrali. Když přijde 50 hostů, nemá to být stres, ale radost. Totéž v IT. Pokud to někde drhne, řešit to. Pokud má někdo stres z nějaké činnosti, zjistit proč. Třeba si jen není něčím jistý. Máme to všichni. Pokud něco nevím, je důležité si to vyzkoušet nanečisto. Hrát si s tím. Tak dlouho, dokud v tom nezískám jistotu. První porcování kuřete mi taky trvalo "hodinu". Dneska za 3 minuty. První servery v kariéře třeba 8h. Dneska pár minut. Nastavení postgres do naší produkce pomocí ansible - spustit jeden příkaz.