ctdb-recoverd: Gently abort recovery when election is underway
commit705e4174c988eea5c5b3a834710f9f920369c8ee
authorMartin Schwenke <martin@meltin.net>
Mon, 2 Jun 2014 09:09:38 +0000 (2 19:09 +1000)
committerAmitay Isaacs <amitay@samba.org>
Mon, 21 Jul 2014 04:57:07 +0000 (21 06:57 +0200)
tree5ef8bcce148288e0b021591ae08d8fc03768eff8
parentd90f3323ee001080645dcd25da8b8ce1367b1377
ctdb-recoverd: Gently abort recovery when election is underway

Sometimes the recovery daemon fails to get the recovery lock on one
node so that node is banned.  This seems to always happen during an
election.  The recovery is triggered because other nodes are found to
have recovery mode enabled.  They have recovery mode enabled because
an election has been forced.

The recovery daemon's main_loop() only does an initial check for an
election.  After that, a node can force an election and, in the
process, set itself to be the current winner.  In this situation,
verify_recmode() will always return MONITOR_RECOVERY_NEEDED so
do_recovery() is called.  If the previous recovery master hasn't
admitted defeat and released the recovery lock, then do_recovery()
will rightly fail.  However, it would be better if it failed a little
more gracefully, since this case is not that unusual.

Instead of trying to take the recovery lock, return early with an
error if there is an election in progress.  Note that the race is
still there but it is now much narrower.

There are probably more subtle ways of avoiding this issue, including
something like this in main_loop():

- if (pnn != rec->recmaster) {
+ if (pnn != rec->recmaster || rec->election_timeout) {
  return;
  }

However, this check is done earlier so it leaves the race window open
a little wider.

Signed-off-by: Martin Schwenke <martin@meltin.net>
Reviewed-by: Amitay Isaacs <amitay@gmail.com>
Autobuild-User(master): Amitay Isaacs <amitay@samba.org>
Autobuild-Date(master): Mon Jul 21 06:57:07 CEST 2014 on sn-devel-104
ctdb/server/ctdb_recoverd.c