cr0x.net — Складні задачі. Чисті рішення.
Українська

ZFS: ECC проти non-ECC — математика ризику для реальних розгортань

December 31, 2025 • February 3, 2026 • Читання: 5 хв • Views: 10

Було корисно?

Якщо ви довго використовуєте ZFS, рано чи пізно постає таке неприємне питання: «Чи справді мені потрібна ECC RAM, чи це просто міф від людей, які люблять дорогі материнські плати?»
Чесна відповідь нудна й гостра: це залежить від вашого бюджету ризику, цінності даних і того, як ваш пул ZFS фактично використовується — а не від відчуттів, форумних догм або одного страшного скриншота.

ZFS прекрасно виявляє корупцію. Воно не є чарівництвом у запобіганні корупції, що відбувається до обчислення контрольної суми, або корупції, яка трапляється не в той час і не в тому місці.
Цей матеріал — це математика, режими відмов і операційний план — щоб ви могли прийняти рішення, яке зможете обґрунтувати під час післяінцидентного розбору.

Що змінює ECC (і що не змінює)

ECC (Error-Correcting Code) пам’ять не робить систему «швидшою» і не є талісманом. Це контроль: вона виявляє й коригує певні класи помилок у ОЗП (зазвичай одиночні біти) і виявляє (але може не коригувати) деякі багатобітні помилки.
Вона зменшує ймовірність того, що транзієнтний збій пам’яті перетвориться на постійний смітник, записаний на диск.

Non‑ECC не є «гарантованою корупцією». Це просто некерований ризик. Більшість систем працюють довгими періодами без видимих проблем.
Потім одного дня під час scrub, resilver, сильного ARC-чурну, оновлень метаданих або в умовах обмеженої пам’яті ви отримаєте помилку контрольної суми, яку не зможете пояснити — або, ще гірше, ви її не отримаєте, бо було обчислено контрольну суму від неправильних даних.

Практичне формулювання:

  • ECC зменшує невизначеність. Вам усе одно потрібні відмовостійкість, scrubs, резервні копії, моніторинг і перевірені процедури відновлення.
  • ECC цінніша там, де ZFS зазнає найбільшого навантаження. Робочі навантаження з великою кількістю метаданих, dedup, високим ARC-чурном, спеціальні vdev та великі пула, які скрабляться днями.
  • ECC не виправляє поганого планування. Якщо ваша єдина копія — в одному пулі, ваша реальна проблема — «немає резервних копій», а не «немає ECC».

Одну перефразовану ідею слід прикріпити до кожного рішення щодо сховища: Надія — це не стратегія. — приписують Вінсу Ломбарді в операційному середовищі, але ставте її як прислів’я.

Факти та історичний контекст (корисні дані)

  1. Soft‑помилки — давня справа. «Космічні промені б’ють біти» звучить як наукова фантастика, але це вимірювали в продакшн‑флотах десятиліттями.
  2. Щільність DRAM зробила помилки більш релевантними. Коли комірки стали меншими, запас від шуму й витоку заряду зменшився; частота помилок стала помітнішою у великому масштабі.
  3. ECC стала стандартом у серверах тому, що час простою коштує дорого. Не тому, що сервери морально кращі, а тому що збої та падіння мають фінансові наслідки.
  4. ZFS популяризував наскрізні контрольні суми для звичайних адміністраторів. Контрольні суми даних і метаданих не є унікальними для ZFS, але ZFS зробив це оперативно доступним.
  5. Scrub змінив культуру. Традиційні RAID часто виявляли деградацію лише під час відбудови; ZFS нормалізував практику «періодично читати все і перевіряти».
  6. Copy‑on‑write змінює зону ураження. ZFS не перезаписує на місці, що зменшує деякі шаблони корупції, але породжує інші (особливо навколо оновлень метаданих).
  7. Dedup — урок смиренності. ZFS dedup може працювати, але це функція, що жере пам’ять і перетворює дрібні помилки на великі збої.
  8. «Потребительські NAS» доросли. Хобі‑лаби й SMB почали запускати багатодискові пули ZFS з корпоративними очікуваннями, часто на споживчій пам’яті й платах.

Де помилки пам’яті шкодять ZFS: модель відмов

1) Проблема з часуванням контрольної суми

ZFS захищає блоки за допомогою контрольних сум, що зберігаються окремо. Добре. Але існує часове вікно: контрольна сума обчислюється від даних в пам’яті.
Якщо дані були пошкоджені до обчислення контрольної суми, ZFS чесно обчислить контрольну суму від пошкоджених байтів і запише обидва. Це не «мовчазна корупція» всередині ZFS; це «валідно перевірена неправильна істина».

ECC допомагає, бо знижує шанс того, що байти, які живлять контрольну суму, будуть неправильними.
Non‑ECC означає, що ви ставитеся на те, що транзієнтні помилки не потраплятимуть у це вікно часто настільки, щоб мати значення.

2) Метадані — там, де день іде шкереберть

Пошкодження даних болісне. Пошкодження метаданих — існентіальне. Метадані ZFS включають вказівники блоків, spacemap, метадані алокацій, MOS‑структури, dnode і ще багато чого.
Поганий біт у метаданих може означати:

  • неможливість імпорту пулу
  • датасет, який не монтується
  • об’єкт, що вказує на неправильний блок
  • resilver, який поводиться «дивно», бо слідує пошкодженим вказівникам

ZFS стійкий, але не невразливий. Ваша відмовостійкість (mirror/RAIDZ) допоможе, якщо корупція знаходиться на диску і виявляється.
Якщо неправильні метадані записалися, відмовостійкість може відтворити помилку, бо це логічно консистентний запис.

3) ARC, чурн при викиданні і «ОЗП як множник відмов»

ARC — це кеш ZFS в пам’яті. Це функція продуктивності, але також місце, де бітова помилка може бути посилена:
неправильні кешовані дані можуть бути віддані, перезаписані або використані для побудови похідного стану.

За тиску на пам’ять ARC агресивно викидає дані. Такий чурн збільшує кількість операцій пам’яті та обсяг торкнутих даних.
Більше торкнутих даних — більше шансів, що помилка матиме значення.

4) Спеціальні vdev і прискорення метаданих малими блоками

Спеціальні vdev (зазвичай SSD‑дзеркала для метаданих і малих блоків) — це ракета для продуктивності й пастка для надійності.
Якщо ви втрачаєте цей vdev і не маєте відмовостійкості, ви можете втратити пул. Якщо ви пошкодите те, що туди пишеться, і корупція валідно перевірена контрольними сумами, ви можете втратити цілісність найважливіших структур.

5) Scrub, resilver і фази «високого читання»

Scrub і resilver читають багато. Вони також навантажують пайплайн: CPU, пам’ять, HBA, кабелі, диски.
Це час, коли латентні проблеми проявляються.
Якщо ви працюєте без ECC, ці операції — ваш лотерейний тираж, бо вони проганяють через ОЗП величезні обсяги даних.

Жарт №1: Якщо ваш розклад scrub — «коли згадаю», вітаю — ви винайшли біт‑рот Шредінгера.

Математика ризику для реальних розгортань

Більшість аргументів про ECC застрягають у абсолютних твердженнях: «Потрібно неодмінно» проти «Мені ніколи не траплялося».
Рішення у продакшні живуть у ймовірностях і витратах. Тож змоделюємо так, щоб ви могли мислити раціонально.

Основна формула: rate × exposure × consequence

Вам не потрібна точна швидкість підмінювання бітів від космічних променів для ваших DIMM, щоб робити корисні підрахунки. Вам потрібні:

  • Швидкість помилок (R): як часто відбуваються помилки в пам’яті (кориговані чи ні). Це сильно варіюється залежно від обладнання, віку, температури та якості DIMM.
  • Експозиція (E): скільки даних і метаданих проходить через пам’ять у «небезпечний» спосіб (записи, оновлення метаданих, вікна контролю сум, пайплайни scrub/resilver).
  • Наслідки (C): що коштує, коли щось іде не так (від «один файл неправильний» до «пул не імпортується»).

Ваш ризик — не просто «R». Ваш ризик — це R × E × C.

Ризик нерівномірно розподілений між робочими навантаженнями

Архів медіа, що переважно читається після завантаження, має інший профіль експозиції, ніж:

  • сховище віртуальних машин з постійним чурном
  • база даних з жорсткими затримками і синхронними записами
  • ціль резервного копіювання з великими послідовними потоками і частим очищенням
  • середовище з активним dedup, де метадані стають найгарячішими даними

Визначте вашу «одиницю втрат»

Перестаньте сперечатися абстрактно. Визначте, що для вас означає втрата:

  • Одиниця A: один пошкоджений файл, що відновлюється з резервної копії (неприємно)
  • Одиниця B: одна VM з корупцією файлової системи (болісно)
  • Одиниця C: відмова імпорту пулу, багатоденне відновлення та розбір з керівництвом (що впливає на кар’єру)

ECC здебільшого зменшує ймовірність подій типу B/C. Йдеться не про вашу колекцію MP3; йдеться про площу ураження.

Резервні копії змінюють наслідки, а не ймовірність

Міцні резервні копії зменшують C. ECC зменшує R.
Якщо є обидва, ви отримуєте мультиплікативну вигоду: менше інцидентів і дешевші інциденти.

Чому «ZFS контрольні суми роблять ECC непотрібним» — неправильне, але поширене скорочення

Контрольні суми ZFS захищають, коли:

  • диск повернув неправильні дані
  • кабель/HBA пошкодив біти в дорозі від диска
  • на диску відбувся секторний деградаційний ріст

Контрольні суми ZFS не гарантують захист, коли:

  • погані дані були контрольовано зведені і записані
  • вказівники метаданих були пошкоджені до обчислення контрольної суми
  • ваш застосунок записав сміття, а ZFS його охайно зберіг

ECC — це upstream‑контроль, що зменшує ймовірність того, що «погані дані стануть істинними».

Отже яка реальна рекомендація?

Якщо ваш пул містить бізнес‑дані, незамінні дані або дані, корупція яких важко виявляється на рівні застосунку, ECC — правильний дефолт.
Non‑ECC може бути обґрунтованим для:

  • одноразових кешів
  • вторинних реплік, де первинна цілісність захищена
  • домашніх лабораторій, де простої допустимі та резервні копії реальні (перевірені)
  • холодного медіа‑сховища, де завантаження контролюється і перевіряється

Якщо ваш план — «я помічу корупцію», ви припускаєте, що корупція буде гучною. Часто вона такою не буває.

Коли non‑ECC прийнятний (а коли це недбало)

Прийнятно: ви можете терпіти неправильні дані і швидко відновити

Non‑ECC може бути ок, коли:

  • ваші дані репліковані в інше місце (і ви перевіряєте репліки)
  • ви можете видалити та відбудувати пул з джерела істини
  • хост ZFS не виконує роботу з великою кількістю метаданих (без dedup, без спеціальних vdev)
  • ви регулярно виконуєте scrub і моніторите тренди помилок

Недбало: пул — це джерело істини

Non‑ECC — погана ставка, коли:

  • у вас один пул з єдиною копією продукційних даних
  • ви використовуєте ZFS для зберігання VM з постійними записами та snapshot
  • ви ввімкнули dedup, бо хтось сказав, що «це економить місце»
  • ви працюєте біля меж пам’яті і ARC постійно під тиском
  • ви використовуєте спеціальні vdev без відмовостійкості або з споживчими SSD без захисту від втрати живлення

У таких сценаріях ECC — це дешево порівняно з першим інцидентом, коли доведеться пояснювати, чому дані «послідовні, але неправильні».

Три корпоративні історії з реального життя

Міні-історія 1: Інцидент через неправильне припущення

Середня компанія використовувала ZFS‑підтримуваний кластер VM для внутрішніх сервісів. Хости були переобладнані настільні машини: багато ядер, багато RAM, без ECC.
Інженер зі зберігання просив серверні плати, але закупівля почула «ZFS має контрольні суми» і переклала це як «ECC необов’язковий».

Все виглядало нормально, поки під час планового технічного вікна: оновлення ядра, перезавантаження, після чого автоматично запустився scrub.
Під час scrub один хост почав логувати помилки контрольних сум. Небагато. Досить, щоби викликати занепокоєння. Пул лишався онлайн, scrub закінчився, і команда записала це як «поганий диск».

Протягом наступних двох тижнів з’явилися спорадичні проблеми з застосунками: база SQLite почала повертати «malformed» помилки. Файлова система однієї VM потребувала ремонту після некоректного вимикання.
Команда ганялася за зайвими слідами: латентність зберігання, мережеві збої, підозрілий SSD.

Переломний момент настав, коли порівняли резервні копії: відновлення одного й того ж образу VM з двох різних snapshot дало різні контрольні суми для кількох блоків.
Це не «деградація диска», це «щось записувало неконсистентну істину у різний час».

Після болісного аналізу вони виявили закономірність: помилки контрольних сум з’являлися під час високої активності пам’яті. Логи хоста показували симптоми, схожі на MCE, на одній машині, але нічого визначного, бо платформа погано видавала телеметрію помилок пам’яті.
Заміна DIMM зменшила кількість помилок, але довіра була втрачена. Вони замінили платформи на ECC‑сумісні системи і додали щомісячні тести відновлення.

Неправильне припущення було не в тому, що «non‑ECC завжди псує дані». Неправильне припущення було в тому, що «контрольні суми роблять upstream коректність неважливою».
Контрольні суми виявляють обмани. Вони не заважають вам їх записувати.

Міні-історія 2: Оптимізація, що відкинулася назад

Інша команда використовувала ZFS для репозиторію резервних копій. Проблема з місцем була реальна, тому хтось запропонував dedup плюс стиснення. На папері ідея блискуча: резервні копії повторювані, dedup має працювати, і ZFS має це вбудовано.
Вони увімкнули dedup на великому датасеті і спостерігали за заощадженнями. Всі почувалися розумними.

Потім з’явилися скарги на продуктивність. Вікна інгесту зсунулися. Система почала свапити під навантаженням.
Команда відреагувала налаштуванням ARC і додаванням швидкого SSD для L2ARC, намагаючись «кешувати проблему». Вони також збільшили recordsize в гонитві за пропускною здатністю.

Те, чого вони не усвідомили: dedup вимагає величезної кількості метаданих у пам’яті. DDT (dedup table) ненажерливий. За напруження пам’яті все стає повільнішим, і система стає вразливішою до граничних випадків.
Вони працювали без ECC, бо «це лише бекапи», а платформа була спочатку оптимізована за вартістю.

Відмова не була миттєвою, тому вона була повчальною. Через кілька місяців scrub знайшов помилки контрольних сум у метаданих.
Відновлення почали провалюватися для підмножини наборів резервних копій—найгірший вид збою, бо бекапи були, але вони були ненадійні.

Відкат зайняв тижні: вимкнули dedup для нових даних, мігрували критичні бекапи в новий пул і провели повну верифікацію відновлення найважливіших наборів.
Оптимізація не була злою; вона була невідповідною обладнанню та операційній зрілості.

Міні-історія 3: Нудна, але правильна практика, що врятувала день

Група фінансових послуг експлуатувала ZFS на парі серверів зі ECC RAM, дзеркалами спеціальних vdev і графіком, про який ніхто не сперечався: щотижневий scrub, щомісячні розширені SMART‑тести, щоквартальні вправи з відновлення.
Вся конструкція була майже образливо непомітною. Ніякого dedup. Ніяких екзотичних налаштувань. Просто дзеркала й дисципліна.

Одного кварталу під час вправи з відновлення вони помітили, що відновлення йде повільніше, ніж очікували, і приймаючий хост залогував кілька виправлених помилок пам’яті.
Нічого не впало. Даних не загублено. Але телеметрія була на місці, і тренування змусило команду звернути на це увагу, поки не було пожежі.

Вони проактивно замінили DIMM, потім провели ще одне відновлення й scrub. Чисто.
Через два тижні близнюк заміненого DIMM (та ж партія) почав повідомляти виправлені помилки на іншому сервері. Його теж замінили.

Найцікавіше — що не сталося: ніякого інциденту для клієнтів, ніякої корупції пулу, ніякого «скільки це тривало?» збору.
ECC не «врятувала день» сама по собі. Нудна практика врятувала: спостерігання за виправленими помилками, трактування їх як сигналу деградації обладнання і перевірка відновлень, поки це було календарною подією, а не кризою.

Швидкий план діагностики: знайдіть вузьке місце

Коли ZFS починає поводитися дивно — помилки контрольних сум, повільні scrubs, випадкові затримки — ви можете витратити дні, сперечаючись про ECC, ніби це теологія.
Цей план — для моменту, коли потрібні швидкі відповіді.

По‑перше: підтвердьте, з яким видом відмови маєте справу

  • Відмова цілісності: помилки контрольних сум, пошкоджені файли, зростання помилок пулу.
  • Відмова доступності/продуктивності: зависання I/O, scrub займає вічність, висока затримка, таймаути.
  • Тиск ресурсів: свап, OOM‑завершення, ARC‑чурн, насичення CPU.

По‑друге: ізолюйте «шлях диска» від «шляху пам’ять/CPU»

  • Якщо zpool status показує помилки контрольних сум на конкретному пристрої, підозрюйте спочатку диск/кабель/порт HBA/бекплейн.
  • Якщо помилки з’являються одночасно на кількох пристроях, підозрюйте HBA, бекплейн, ОЗП або CPU.
  • Якщо пул чистий, але застосунки бачать корупцію, підозрюйте баги застосунку, ОЗП або мережевий шар вище сховища.

По‑третє: вирішіть, чи можна тримати систему онлайн

  • Виправлені помилки пам’яті — це попередження. Зазвичай можна залишатися онлайн, але заплануйте вікно обслуговування.
  • Невиправлені помилки або зростання помилок контрольної суми: зупиніть записи, зробіть snapshot того, що можете, і плануйте контрольоване перемикання/відновлення.
  • Resilver/scrub на нестабільному обладнанні: ризиковано. Якщо можливо, виправте платформу спочатку.

Практичні завдання: команди, виводи та рішення

Це реальні завдання, які можна виконати на Linux з OpenZFS. Кожне включає, на що звернути увагу і яке рішення прийняти.
(Якщо ви на FreeBSD, команди інші, але операційна логіка та сама.)

Завдання 1: Перевірте стан пулу і лічильники помилок

cr0x@server:~$ zpool status -v tank
  pool: tank
 state: ONLINE
status: One or more devices has experienced an unrecoverable error.
action: Determine if the device needs to be replaced, and clear the errors
  scan: scrub repaired 0B in 05:12:44 with 3 errors on Sun Dec  8 03:20:55 2025
config:

        NAME                        STATE     READ WRITE CKSUM
        tank                        ONLINE       0     0     0
          raidz1-0                  ONLINE       0     0     0
            ata-WDC_WD80...-part1   ONLINE       0     0     3
            ata-WDC_WD80...-part1   ONLINE       0     0     0
            ata-WDC_WD80...-part1   ONLINE       0     0     0
            ata-WDC_WD80...-part1   ONLINE       0     0     0

errors: Permanent errors have been detected in the following files:

        /tank/vmstore/vm-112-disk-0.qcow2

Що це означає: Збільшення CKSUM на одному диску часто вказує на проблему з диском, кабелем, портом HBA або бекплейном. «Permanent errors» означає, що ZFS не зміг реконструювати деякі блоки.

Рішення: Якщо відмовостійкість не може відновити, відновіть постраждалий файл із резервної копії/снапшоту. Потім дослідіть шлях пристрою (SMART, кабелі). Не «очищайте і забувайте».

Завдання 2: Показати детальні властивості пулу, що впливають на цілісність і відновлення

cr0x@server:~$ zpool get ashift,autotrim,autoexpand,autoreplace,listsnapshots tank
NAME  PROPERTY       VALUE   SOURCE
tank  ashift         12      local
tank  autotrim       off     default
tank  autoexpand     off     default
tank  autoreplace    off     default
tank  listsnapshots  off     default

Що це означає: ashift впливає на write amplification і продуктивність. Це не виправить проблеми ECC, але неправильний ashift може зробити scrubs/resilvers довгими.

Рішення: Якщо ashift неправильний для ваших дисків, плануйте міграцію (не швидке переключення). Якщо scrubs займають дні, ваш вікно експозиції зростає — ще одна причина для цінності ECC.

Завдання 3: Підтвердити розклад scrub і результат останнього scrub

cr0x@server:~$ zpool status tank | sed -n '1,20p'
  pool: tank
 state: ONLINE
  scan: scrub repaired 0B in 05:12:44 with 3 errors on Sun Dec  8 03:20:55 2025
config:

        NAME        STATE     READ WRITE CKSUM
        tank        ONLINE       0     0     0
          raidz1-0  ONLINE       0     0     0

Що це означає: У вас є недавній scrub і він знайшов помилки. Scrub — це ваша рання система попередження; ставтеся до нього відповідно.

Рішення: Якщо scrubs регулярно знаходять нові помилки контрольних сум, перестаньте думати, що це «випадково». Трендіть це й ескалюйте до апаратної діагностики.

Завдання 4: Перевірити журнали ZFS і повідомлення ядра навколо I/O

cr0x@server:~$ dmesg -T | egrep -i 'zfs|checksum|ata|sas|mce|edac' | tail -n 20
[Sun Dec  8 03:21:12 2025] ZFS: vdev I/O error, zpool=tank, vdev=/dev/sdb1, error=52
[Sun Dec  8 03:21:12 2025] ata3.00: status: { DRDY ERR }
[Sun Dec  8 03:21:12 2025] ata3.00: error: { UNC }
[Sun Dec  8 03:21:13 2025] mce: [Hardware Error]: CPU 0: Machine Check: 0 Bank 8: b200000000070005

Що це означає: Поєднання помилок I/O з повідомленнями MCE — червоний прапор. Не поспішайте звинувачувати диск, якщо CPU повідомляє machine checks.

Рішення: Якщо MCE/EDAC вказує на проблеми пам’яті, віддайте пріоритет стабільності ОЗП/платформи перед наступним scrub/resilver, який може записати нову «істину».

Завдання 5: Підтвердити, що ECC дійсно увімкнено і розпізнається

cr0x@server:~$ sudo dmidecode -t memory | egrep -i 'error correction|ecc|type:|manufacturer' | head -n 20
        Error Correction Type: Multi-bit ECC
        Type: DDR4
        Manufacturer: Micron Technology
        Error Correction Type: Multi-bit ECC
        Type: DDR4
        Manufacturer: Micron Technology

Що це означає: Платформа повідомляє про можливість ECC. Це не гарантує, що Linux отримує EDAC‑події, але це необхідна базова перевірка.

Рішення: Якщо звіт показує «None» або «Unknown», не обманюйте себе думкою, що у вас є ECC «тому що DIMM‑и ECC». Вам також потрібна плата/CPU, що його підтримують.

Завдання 6: Перевірити лічильники EDAC для виправлених/невиправлених помилок пам’яті

cr0x@server:~$ sudo edac-util -v
edac-util: EDAC drivers are loaded. 1 MC detected:
  mc0: 2 Uncorrected Errors with no DIMM info
  mc0: 41 Corrected Errors with no DIMM info

Що це означає: Виправлені помилки означають, що ECC працює. Невиправлені помилки означають, що система зазнала збоїв пам’яті, які ECC не змогла виправити.

Рішення: Будь‑які невиправлені помилки: заплануйте негайне обслуговування і заміну підозрілих DIMM/слотів/плати. Тренд виправлених помилок: трактуйте як сигнал передвідмови і плануйте заміну.

Завдання 7: Переглянути деталі помилок по DIMM (коли доступно)

cr0x@server:~$ sudo ras-mc-ctl --summary
Summary of memory errors:
Location: mc0/csrow0/channel0/dimm0
  Corrected: 37
  Uncorrected: 0
Location: mc0/csrow0/channel1/dimm0
  Corrected: 4
  Uncorrected: 0

Що це означає: Помилки локалізовані на DIMM/каналі, що саме по собі дає можливість для дій — заміни.

Рішення: Замініть DIMM з найбільшим числом виправлених помилок першим, потім перевірте знову. Якщо помилки продовжуються на тому самому каналі, підозрівайте слот або контролер пам’яті.

Завдання 8: Підтвердити, що dedup не увімкнено випадково

cr0x@server:~$ zfs get -r dedup tank
NAME                PROPERTY  VALUE  SOURCE
tank                dedup     off    default
tank/vmstore        dedup     off    default
tank/backups        dedup     off    default

Що це означає: Dedup вимкнено — добре. Якщо він увімкнений десь, навантаження на пам’ять і чутливість метаданих різко зростають.

Рішення: Якщо dedup увімкнено без жорсткого обґрунтування і плану розмірування, вимкніть його для нових записів (set dedup=off) і заплануйте міграцію старих даних при потребі.

Завдання 9: Перевірити розмір ARC і сигнали тиску пам’яті

cr0x@server:~$ arc_summary | egrep -i 'arc size|target size|memory|evict' | head -n 12
ARC size (current):                                   27.4 GiB
Target size (adaptive):                               30.1 GiB
Min size (hard limit):                                8.0 GiB
Max size (high water):                                32.0 GiB
Evict skips:                                          0
Demand data hits:                                     89.3%

Що це означає: ARC великий і стабільний. Якщо ви бачите постійні викидання, низькі хіт‑рейти або свапінг, ви в стані високого чурну, де помилки шкодять сильніше.

Рішення: Якщо ARC‑чурн або свап наявні, зменшіть навантаження, додайте пам’ять або обмежте ARC. Не запускайте resilver на хості, який сам по собі свапить до дивних станів.

Завдання 10: Перевірити свапінг і тиск на звільнення пам’яті

cr0x@server:~$ free -h
               total        used        free      shared  buff/cache   available
Mem:            64Gi        58Gi       1.2Gi       1.0Gi       4.8Gi       2.6Gi
Swap:           16Gi        12Gi       4.0Gi

Що це означає: Активне використання свапу на хості зберігання — знак проблем з продуктивністю і, опосередковано, підсилювач ризику цілісності (більше чурну, більше стресу під час критичних операцій).

Рішення: Знайдіть, що споживає пам’ять (VMs, dedup, навантаження з великою кількістю метаданих). Додайте пам’ять або зменшіть навантаження. Якщо не можете додати ECC, принаймні уникайте роботи у гарячому режимі зі свапом.

Завдання 11: Перевірити SMART‑здоров’я і UDMA CRC помилки (кабелі підказують)

cr0x@server:~$ sudo smartctl -a /dev/sdb | egrep -i 'reallocated|pending|offline_uncorrectable|udma_crc_error_count' 
197 Current_Pending_Sector  0x0012   100   100   000    Old_age   Always       -       0
198 Offline_Uncorrectable   0x0010   100   100   000    Old_age   Offline      -       0
199 UDMA_CRC_Error_Count    0x003e   200   199   000    Old_age   Always       -       12

Що це означає: UDMA CRC‑помилки зазвичай вказують на кабелі/бекплейн, а не на носій. Помилки контрольних сум ZFS, що корелюють з інкрементом CRC, часто означають «дані були пошкоджені в дорозі».

Рішення: Замініть кабелі, пере‑підключіть з’єднання, перевірте бекплейн/порт HBA. Потім запустіть scrub ще раз, щоб підтвердити стабільність.

Завдання 12: Визначити, чи помилки контрольних сум нові чи історичні

cr0x@server:~$ zpool status -v tank | tail -n 15
errors: Permanent errors have been detected in the following files:

        /tank/vmstore/vm-112-disk-0.qcow2

Що це означає: «Permanent errors» зберігаються, поки ви не відновите/перезапишете постраждалі блоки. Очищення лічильників не виправляє дані.

Рішення: Відновіть файл із відомого доброго snapshot/резервної копії або видаліть і згенеруйте заново. Тільки після усунення проблем zpool clear.

Завдання 13: Зіставити проблему на рівні блоку зі snapshot і спробувати самовідновлення

cr0x@server:~$ zfs list -t snapshot -o name,creation -S creation tank/vmstore | head
NAME                                CREATION
tank/vmstore@hourly-2025-12-08-0300  Sun Dec  8 03:00 2025
tank/vmstore@hourly-2025-12-08-0200  Sun Dec  8 02:00 2025
tank/vmstore@daily-2025-12-07        Sat Dec  7 23:55 2025

Що це означає: У вас є snapshot, з яких можна відкотитися або клонувати — це найшвидший шлях до відновлення цілісності.

Рішення: Якщо файл позначено як постійно пошкоджений, відновіть з найбільш свіжого доброго snapshot і перевірте на рівні застосунку.

Завдання 14: Примусити цілеспрямоване читання, щоб виявити латентні помилки

cr0x@server:~$ sudo dd if=/tank/vmstore/vm-112-disk-0.qcow2 of=/dev/null bs=16M status=progress
2147483648 bytes (2.1 GB, 2.0 GiB) copied, 7 s, 307 MB/s
4294967296 bytes (4.3 GB, 4.0 GiB) copied, 14 s, 305 MB/s
...output...

Що це означає: Повний послідовний чит може викликати перевірку контрольних сум і показати, чи помилки повторюються. Це не заміна scrub, але швидкий інструмент триажу для конкретного об’єкта.

Рішення: Якщо читання викликає нові помилки контрольних сум, вважайте шлях нестабільним; не чекайте наступного щотижневого scrub, щоб дізнатися про те, що ви вже знаєте.

Завдання 15: Перевірити пропускну здатність scrub/resilver і визначити, чи ви обмежені CPU чи I/O

cr0x@server:~$ iostat -x 2 3
avg-cpu:  %user   %nice %system %iowait  %steal   %idle
          12.31    0.00    6.22   21.10    0.00   60.37

Device            r/s     rkB/s   rrqm/s  %rrqm r_await rareq-sz     w/s     wkB/s   w_await aqu-sz  %util
sdb              84.0  10432.0     0.0    0.0   28.4   124.2        3.0     64.0    2.1    2.40   98.0
sdc              82.0  10240.0     0.0    0.0   29.1   124.9        2.0     48.0    1.9    2.35   97.5

Що це означає: Високе %iowait і майже 100% завантаження диска вказують, що scrub обмежений дисками. Якби CPU був завантажений, а диски були вільні, ви були б обмежені CPU/перевіркою контрольних сум.

Рішення: Дискове обмеження: перевірте розклад vdev, ashift, стан дисків і кабелі. CPU‑обмеження: розгляньте швидший CPU, увімкнення апаратного прискорення контрольних сум (якщо є), або зменшення recordsize/метаданихного чурну.

Завдання 16: Підтвердити відмовостійкість спеціального vdev (якщо використовується)

cr0x@server:~$ zpool status tank | sed -n '1,80p'
  pool: tank
 state: ONLINE
config:

        NAME                       STATE     READ WRITE CKSUM
        tank                       ONLINE       0     0     0
          raidz2-0                 ONLINE       0     0     0
            sda1                   ONLINE       0     0     0
            sdb1                   ONLINE       0     0     0
            sdc1                   ONLINE       0     0     0
            sdd1                   ONLINE       0     0     0
          special                  ONLINE       0     0     0
            mirror-1               ONLINE       0     0     0
              nvme0n1p1            ONLINE       0     0     0
              nvme1n1p1            ONLINE       0     0     0

Що це означає: Спеціальний vdev — дзеркало. Це мінімальна прийнятна лінія безпеки, якщо ви розміщуєте там метадані.

Рішення: Якщо special — одиночний пристрій, виправте це перш ніж оптимізувати що-небудь інше. Одиночний special vdev — єдина точка відмови пулу.

Жарт №2: Запускати ZFS з dedup на non‑ECC — це як жонглювати бензопилами, бо це «економить кроки».

Поширені помилки: симптом → корінь → виправлення

1) «Випадкові» помилки контрольних сум на кількох дисках

  • Симптом: CKSUM інкрементується на більше ніж одному диску, іноді на різних дисках у різні дні.
  • Корінь: Проблема спільного шляху (HBA, бекплейн, живлення, кабелювання) або нестабільність пам’яті/CPU, що призводить до запису/перевірки неправильних даних.
  • Виправлення: Перевірте SMART CRC, переставте кабелі/порти, оновіть прошивку HBA, перевірте журнали MCE/EDAC, запустіть memtest у вікні обслуговування і зупиніть запис, доки не стабілізуєтеся.

2) «ZFS каже відновлено, але застосунок все ще зламаний»

  • Симптом: Scrub повідомляє про відновлення, але база/формат файлу все ще скаржиться.
  • Корінь: ZFS відновив пошкоджені блоки із відмовостійкості, але стан на рівні застосунку міг уже інтегрувати погані записи (особливо якщо корупція була до обчислення контрольної суми).
  • Виправлення: Відновіть із застосунково‑консистентних резервних копій або snapshot. Додайте контрольні суми на рівні застосунку, де можливо (бази даних часто мають свої перевірки).

3) Scrub чистий, але ви все одно не довіряєте пулу

  • Симптом: Жодних помилок ZFS, але були незрозумілі падіння, kernel panic або звіти про корупцію файлів.
  • Корінь: Нестабільність пам’яті, що впливає на обчислення та поведінку застосунків більше, ніж на читання з диска, або корупція, яка відбувається до того, як дані потрапляють до ZFS.
  • Виправлення: Перевірте EDAC/MCE, запустіть тести пам’яті, перевірте PSU і температури, валідуйте за допомогою наскрізних контрольних сум застосунку і розгляньте ECC, якщо це сховище як джерело істини.

4) «Ми очистили помилки і тепер все ок»

  • Симптом: Хтось запустив zpool clear і оголосив перемогу.
  • Корінь: Плутання лічильників з корупцією. Очищення скидає звітування, але не реальність.
  • Виправлення: Ідентифікуйте і усуньте пошкоджені файли (відновлення/перезапис). Очищайте лише після усунення проблем з даними і стабілізації обладнання.

5) Пул не імпортується після відключення живлення

  • Симптом: Імпорт не вдається або зависає після різкого відключення живлення.
  • Корінь: Проблеми з апаратним/прошивковим забезпеченням, погана пам’ять або нестабільний шлях зберігання, що виявляються під час інтенсивного відтворення та операцій з метаданими при завантаженні.
  • Виправлення: Перевірте ОЗП (логи ECC або memtest), прошивку HBA, забезпечте коректне відключення живлення (UPS) і документуйте та тестуйте процедури відновлення.

6) «Ми додали пам’ять і тепер з’явились помилки»

  • Симптом: Помилки з’явилися після апгрейду ОЗП.
  • Корінь: Змішані типи DIMM/таймінги, маргінальний DIMM, неправильні налаштування BIOS або плата, яка не може стабільно працювати з конфігурацією.
  • Виправлення: Використовуйте валідаційні конфігурації пам’яті, оновіть BIOS, знизьте частоту до стабільних налаштувань і стежте за лічильниками EDAC. Замініть підозрілі DIMM якомога раніше.

Контрольні списки / покроковий план

Чек‑лист рішення: чи має ця система ZFS використовувати ECC?

  1. Чи є цей пул джерелом істини? Якщо так, за замовчуванням — ECC.
  2. Чи важко виявити корупцію? VM‑образи, бази даних, фото, наукові дані: так. За замовчуванням — ECC.
  3. Чи використовуєте dedup, special vdev або багато snapshot? Якщо так, ECC категорично рекомендовано.
  4. Чи можете ви швидко відновити та чи тестували ви це? Якщо ні, ECC не врятує вас, але non‑ECC завдасть більше проблем.
  5. Чи є у вас телеметрія помилок пам’яті? Якщо ні — ви літаєте в темряві; надавайте перевагу платформам з ECC і видимістю EDAC.

Операційний чек‑лист: якщо ви мусите працювати без ECC

  1. Тримайте все просто: дзеркала/RAIDZ, без dedup, уникайте одиночних special vdev.
  2. Запускайте регулярні scrubs і налаштуйте оповіщення про нові помилки контрольних сум негайно.
  3. Тримайте запас пам’яті: уникайте свапу; обмежте ARC, якщо потрібно.
  4. Використовуйте контрольні суми на рівні застосунку де можливо (перевірки баз даних, хеші для архівів).
  5. Майте перевірені резервні копії: періодичні тести відновлення, а не «маємо десь бекапи».
  6. Майте план апаратних запасних частин: робочі кабелі, запасний HBA, запасний диск і задокументована процедура заміни.

Покроково: як реагувати на перші помилки контрольних сум

  1. Заморозьте припущення: не оголошуйте «поганий диск» одразу.
  2. Збережіть вивід zpool status -v і системні логи навколо події.
  3. Перевірте SMART, особливо CRC і pending sectors.
  4. Перевірте MCE/EDAC лічильники. Якщо є виправлені помилки — трактуйте обладнання як деградоване.
  5. Визначте постраждалі файли; відновіть із snapshot/бекапу, якщо можливо.
  6. Виправте фізичний шар (кабель/порт/HBA) перед тим, як запускати scrub знову.
  7. Запустіть scrub і перевірте, що тренд помилок рівний.
  8. Якщо помилки повторюються на кількох пристроях, заплануйте обслуговування для ізоляції ОЗП/HBA/бекплейн.

Питання та відповіді

1) Чи вимагає ZFS ECC RAM?

ZFS не вимагає ECC для роботи. ECC — це контроль надійності. Якщо пул містить важливі дані, ECC — правильний дефолт.

2) Якщо ZFS має контрольні суми, чому корупція пам’яті ще важлива?

Контрольні суми виявляють корупцію після обчислення контрольної суми. Якщо пошкоджені дані були контрольовано і записані, ZFS пізніше валідуватиме їх як «коректні», бо вони відповідають своїй контрольній сумі.

3) Чи підходить non‑ECC для домашнього NAS?

Іноді. Якщо у вас є реальні резервні копії і ви можете терпіти періодичне відновлення, non‑ECC може бути прийнятним компромісом.
Якщо ви зберігаєте незамінні фото і ваша «резервна копія» — ще один диск в тій самій коробці, ви не інженеруєте, а грально ризикуєте.

4) Що гірше: відсутність ECC чи відсутність розкладу scrub?

Відсутність розкладу scrub зазвичай гірша в короткій перспективі, бо латентні проблеми диска ви відкриєте під час відбудови — коли найменш бажано мати сюрпризи.
Відсутність ECC підвищує шанс, що деякі сюрпризи стануть дивнішими і важчими для діагностики.

5) Чи робить дзеркало/RAIDZ ECC менш важливою?

Відмовостійкість допомагає, коли корупція відбувається на диску і виявляється. ECC допомагає запобігти поганим записам і захищає операції в пам’яті.
Вони адресують різні режими відмов; вони доповнюють одне одного, а не замінюють.

6) Чи можу я «перевірити» non‑ECC систему, запустивши memtest один раз?

Memtest корисний, але це тест у певний момент часу. Деякі відмови залежать від температури або навантаження і проявляються лише через місяці.
Якщо ви серйозно ставитеся до цілісності, надавайте перевагу ECC плюс моніторинг, щоб бачити виправлені помилки до того, як вони стануть інцидентом.

7) Які функції ZFS роблять ECC більш важливим?

Dedup, special vdev, інтенсивне snapshotting/cloning, робочі навантаження з великою кількістю метаданих і системи, що працюють біля меж пам’яті.
Вони збільшують обсяг критичного стану в пам’яті і вартість помилок.

8) Якщо я бачу виправлені ECC помилки, панікувати?

Ні. Виправлені помилки означають, що ECC виконала свою роботу. Але не ігноруйте їх. Зростаючий тренд — сигнал для обслуговування: замініть DIMM, перевірте охолодження і BIOS‑налаштування.

9) Чи достатньо ECC, щоб гарантувати цілісність?

Ні. Вам все одно потрібні відмовостійкість, scrubs, резервні копії та валідація. ECC зменшує один клас upstream‑ризиків; воно не робить систему невразливою і не робить резервні копії зайвими.

10) Яке найдешевше підвищення надійності, якщо я не можу отримати ECC?

Операційна дисципліна: scrubs, моніторинг SMART, тести відновлення і уникнення свапу. Також спростіть пул (дзеркала) і уникайте ризикованих функцій (dedup, одиночний special vdev).

Наступні кроки, які можна зробити цього тижня

  1. Визначте вашу одиницю втрат. Якщо втрата пулу — це подія для кар’єри, купуйте обладнання з підтримкою ECC або перемістіть навантаження.
  2. Увімкніть і моніторьте правильні сигнали. Слідкуйте за zpool status, результатами scrub, SMART CRC/pending sectors і лічильниками EDAC/MCE.
  3. Заплануйте scrubs і тестові відновлення. Scrub знаходить проблеми; тести відновлення доводять, що ви можете їх пережити.
  4. Аудитуйте функції ZFS. Якщо dedup увімкнено «бо економить місце», вимкніть для нових записів і спроектуйте правильно перед повторним включенням.
  5. Якщо залишаєтесь на non‑ECC, зменшіть експозицію. Тримайте запас пам’яті, уникайте свапу і зберігайте консервативну топологію пулу.

Зріла позиція не «ECC завжди» чи «ECC ніколи». Це: знайте режими відмов, оціни наслідки і обирайте обладнання, що відповідає серйозності ваших обіцянок.
ZFS скаже вам, коли виявить брехню. ECC допомагає не записувати її одразу.

← Попередня
3D-стекінг і майбутнє чиплетів: куди рухаються CPU
Наступна →
Docker: резервні копії, які ви ніколи не перевіряли — як правильно провести репетицію відновлення
Схожі статті
Видалення vdev у ZFS: що можна видалити (і які обмеження потрібно поважати)

Схожі статті

Видалення vdev у ZFS: що можна видалити (і які обмеження потрібно поважати) December 16, 2025 Пошкоджені мітки ZFS: правильне виправлення помилок імпорту February 2, 2026 ZFS: таймаути SAS проти SATA — чому SAS «відчувається стабільнішим» під навантаженням February 2, 2026 ZFS ZED: оповіщення, що повідомляють про відмову перш ніж це помітять користувачі January 31, 2026 Помилки запису в ZFS: шаблон відмови, який передбачає відключення диска January 29, 2026 ZFS дзеркала: конфігурація, яка робить випадкові операції вводу‑виводу схожими на NVMe January 24, 2026 ZFS проти mdadm: де mdraid виграє і де програє January 23, 2026 Аварійні сценарії ZFS: що виходить з ладу першим і що можна зберегти January 19, 2026 Заміна дисків у ZFS: безпечний робочий процес без драм у пулі January 18, 2026 Resilver та Scrub у ZFS: перестаньте їх плутати January 16, 2026

Залишити коментар