災(zāi)備方案精編版.doc

1、1. 數(shù)據(jù)中心容災(zāi)備份解決方案隨著社會的發(fā)展和科技的進步，政府日常工作越來越依賴于數(shù)據(jù)處理來進行，政務(wù)系統(tǒng)的連續(xù)性依賴于數(shù)據(jù)中心系統(tǒng)的穩(wěn)定運行。然而，災(zāi)難就像灰塵一樣伏擊在運營環(huán)境周圍，政務(wù)系統(tǒng)的數(shù)據(jù)中心可能正在一個充滿風(fēng)險和威脅的環(huán)境下運行。如果不能對這些風(fēng)險采取有效治理， 一旦數(shù)據(jù)由于某種原因丟失，就很有可能對政府的日常工作造成嚴重的影響。如果核心數(shù)據(jù)丟失，將會使得某些核心功能陷入癱瘓，造成不可估量的損失。因此，保證政務(wù)的連續(xù)性和數(shù)據(jù)的高可靠性和可用性，已經(jīng)成為政府部門在數(shù)據(jù)中心建設(shè)中，必須要考慮的問題。1.1 災(zāi)備解決方案原則首先，在制定容災(zāi)系統(tǒng)方案的過程中要考慮的就是容災(zāi)系統(tǒng)建設(shè)對原有

2、業(yè)務(wù)系統(tǒng)帶來的影響。比如，采用數(shù)據(jù)復(fù)制技術(shù)對系統(tǒng) I/O 帶來的延遲， 應(yīng)用數(shù)據(jù)同步對日常業(yè)務(wù)處理系統(tǒng)帶來的壓力等。 因此，企業(yè)要通過周密的測試和分析來規(guī)避容災(zāi)系統(tǒng)建設(shè)時帶來的這些風(fēng)險， 以保證業(yè)務(wù)系統(tǒng)不會因容災(zāi)系統(tǒng)的建設(shè)而出現(xiàn)在處理性能上下降的問題。第二， 數(shù)據(jù)狀態(tài)要保持同步。為保證在災(zāi)難發(fā)生時，業(yè)務(wù)可以成功地切換到備份中心，就必須保證容災(zāi)系統(tǒng)數(shù)據(jù)同步機制的可靠性。因此，建立可靠的數(shù)據(jù)同步校驗機制是必須的; 同時，還要考慮建立定時的、自動的數(shù)據(jù)同步核查對比機制，以檢驗兩個中心數(shù)據(jù)的一致性，這是數(shù)據(jù)容災(zāi)工作中非常重要的一部分。第三， 容災(zāi)系統(tǒng)的日常維護工作要盡可能輕，并能承擔(dān)部分業(yè)務(wù)處理和測試

3、的工作。容災(zāi)系統(tǒng)的維護和管理是容災(zāi)切換成功的重要保證，在系統(tǒng)建設(shè)中， 就必須要考慮系統(tǒng)的維護管理流程。生產(chǎn)中心任何業(yè)務(wù)處理過程的改變都必須完整地復(fù)制到備份中心;所有新業(yè)務(wù)系統(tǒng)上線時， 必須通知備份中心， 并在備份中心配置好數(shù)據(jù)同步機制 ; 對原程序的改動也必須保證兩個中心同時上線。第四， 系統(tǒng)恢復(fù)時間要盡可能短。容災(zāi)系統(tǒng)主要是為了實現(xiàn)在主中心系統(tǒng)發(fā)生災(zāi)難時，可以在規(guī)定時間切換到備份中心，保證數(shù)據(jù)不會丟失，并且繼續(xù)向用戶提供服務(wù)。但往往在災(zāi)難發(fā)生時， 主要技術(shù)人員不能及時到達現(xiàn)場，為了順利實現(xiàn)系統(tǒng)間的切換，應(yīng)該讓系統(tǒng)切換操作盡可能地簡單 ; 并建立固定化的、 標(biāo)準(zhǔn)化的切換流程， 要求維護人員在切

4、換演習(xí)時嚴格按照流程的指導(dǎo)步驟進行操作。第五，可實現(xiàn)部分業(yè)務(wù)子系統(tǒng)的切換和回切。當(dāng)人事變動、業(yè)務(wù)變化、IT 設(shè)施變化以及其他可能引起恢復(fù)規(guī)劃文檔失效的變化發(fā)生時，應(yīng)及時更新各恢復(fù)規(guī)劃文檔，并在必要時啟動模擬測試或演習(xí)，確保業(yè)務(wù)連續(xù)性系統(tǒng)的工作能力。第六，技術(shù)方案選擇要遵循成熟穩(wěn)定、高可靠性、可擴展性、透明性的原則。目前，國際上比較成熟的容災(zāi)技術(shù)包括：SAN/NAS 技術(shù)、遠程鏡像技術(shù)、虛擬存儲、基于IP 的 SAN 互連技術(shù)以及快照技術(shù)等。其中基于IP 的 SAN 遠程數(shù)據(jù)容災(zāi)備份技術(shù)應(yīng)用比較廣泛，其是利用基于 IP 的 SAN 的互連協(xié)議，將主數(shù)據(jù)中心 SAN 中的信息通過現(xiàn)有的 TCP/I

5、P 網(wǎng)絡(luò)，遠程復(fù)制到備份中心的 SAN 中的。當(dāng)備份中心存儲的數(shù)據(jù)量過大時，可利用快照技術(shù)將其備份1到磁帶庫或光盤庫。這種基于IP 的 SAN 遠程容災(zāi)備份，可以跨越LAN、 MAN 和 WAN，成本低、可擴展性好?；贗P 的互連協(xié)議主要包括FCIP、 iFCP、 InfiniBand 、 iSCSI 等。第七， 構(gòu)建系統(tǒng)方案可以選擇多種技術(shù)組合方式。目前， 業(yè)內(nèi)應(yīng)用較多的容災(zāi)方案是基于智能存儲系統(tǒng)的遠程數(shù)據(jù)復(fù)制技術(shù)，它是由智能存儲系統(tǒng)自身實現(xiàn)的數(shù)據(jù)遠程復(fù)制和同步，即智能存儲系統(tǒng)將對該系統(tǒng)中的存儲器I/O 操作請求復(fù)制到遠端的存儲系統(tǒng)中并執(zhí)行。由于在這種方式下， 數(shù)據(jù)復(fù)制軟件運行在存儲系統(tǒng)內(nèi)

6、，因此較容易實現(xiàn)主中心和容災(zāi)備份中心的操作系統(tǒng)、數(shù)據(jù)庫、系統(tǒng)庫和目錄的實時拷貝及維護能力，且不會影響主中心主機系統(tǒng)的性能。如果在系統(tǒng)恢復(fù)場具備了實時數(shù)據(jù)，那么就可以做到在災(zāi)難發(fā)生時，及時開始應(yīng)用處理過程的恢復(fù)。但這種方案也有開放性差(不同廠家的存儲設(shè)備系統(tǒng)一般不能配合使用)、對于主、備中心之間的網(wǎng)絡(luò)條件 (穩(wěn)定性、帶寬、鏈路空間距離) 要求較苛刻等缺點。1.2 災(zāi)備解決方案設(shè)計需要考慮的因素1.2.1 RTO和 RPORTO（RecoveryTime Object ）：是指災(zāi)難發(fā)生后，從 IT 系統(tǒng)宕機導(dǎo)致業(yè)務(wù)停頓之刻開始，到 IT 系統(tǒng)恢復(fù)至可以支持各部門運作， 業(yè)務(wù)恢復(fù)運營之時， 此兩點之

7、間的時間段成為 RTO。RTO 是反映業(yè)務(wù)恢復(fù)及時性的指標(biāo)，表示業(yè)務(wù)從中斷到回復(fù)正常所需要的時間。RTO 值越小，代表容災(zāi)系統(tǒng)的數(shù)據(jù)恢復(fù)能力越強。各種容災(zāi)解決方案的RTO 有較大差別，基于光通道技術(shù)的同步數(shù)據(jù)復(fù)制，配合異地備用的業(yè)務(wù)系統(tǒng)和跨業(yè)務(wù)中心與備份中心的高可用管理，這種容災(zāi)解決方案具有最小的 RTO 。RPO（ Recovery Point Objective），是指從系統(tǒng)和應(yīng)用數(shù)據(jù)而言，要實現(xiàn)能夠恢復(fù)至可以支持各部門業(yè)務(wù)運作，系統(tǒng)及生產(chǎn)數(shù)據(jù)應(yīng)恢復(fù)到怎樣的更新程度。RPO 是反映恢復(fù)數(shù)據(jù)完整性的指標(biāo)，在同步數(shù)據(jù)復(fù)制方式下，RPO 等于數(shù)據(jù)傳輸延遲的時間；在異步數(shù)據(jù)復(fù)制下，RPO 基本為異

8、步傳輸數(shù)據(jù)排隊的時間。在實際應(yīng)用中，考慮導(dǎo)數(shù)據(jù)傳輸?shù)囊蛩?，業(yè)務(wù)數(shù)據(jù)庫與容災(zāi)備份數(shù)據(jù)庫的一致性（SCN）是不同的，RPO 表示業(yè)務(wù)數(shù)據(jù)庫與容災(zāi)備份數(shù)據(jù)庫SCN 的時間差。發(fā)生災(zāi)難后，啟動容災(zāi)系統(tǒng)完成數(shù)據(jù)恢復(fù)，RPO 就是新恢復(fù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)損失量。設(shè)計容災(zāi)系統(tǒng)不能只看RTO 和 RPO，對于不同的業(yè)務(wù)系統(tǒng)和用戶特殊的要求，其它一些指標(biāo)有可能成為選擇容災(zāi)解決方案的主要因素。例如，某些地區(qū)為了防范一些特定自然災(zāi)害的風(fēng)險， 要求容災(zāi)備份中心與業(yè)務(wù)中心保持足夠的距離，在這種情況下， 容災(zāi)備份中心與業(yè)務(wù)中心的距離要求就是容災(zāi)系統(tǒng)的重要指標(biāo)。1.2.2數(shù)據(jù)安全數(shù)據(jù)的完整性，一致性是保證業(yè)務(wù)連續(xù)的關(guān)鍵。在本地

9、，數(shù)據(jù)安全需要使用RAID 技術(shù)來保證。在災(zāi)備方案的設(shè)計中， 數(shù)據(jù)復(fù)制方案的設(shè)計是整個設(shè)計的基礎(chǔ)。 目前業(yè)界主流的數(shù)據(jù)復(fù)制技術(shù)有： 基于數(shù)據(jù)庫本身的復(fù)制技術(shù)， 基于操作系統(tǒng)的數(shù)據(jù)復(fù)制， 基于虛擬存儲的復(fù)制技術(shù)和基于存儲的復(fù)制技術(shù)。在方案所用技術(shù)的選擇時，應(yīng)當(dāng)根據(jù)客戶的預(yù)算，現(xiàn)場的條件，2 最新資料推薦 綜合來進行考量。后續(xù)在 1.6.1 數(shù)據(jù)同步章節(jié)，將會有這 4 類數(shù)據(jù)復(fù)制技術(shù)的綜合對比，可以作為選擇的參考。1.2.3網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)是容災(zāi)系統(tǒng)的組成部分，通信線路的質(zhì)量也是容災(zāi)系統(tǒng)的性能指標(biāo)之一，其中包括網(wǎng)絡(luò)的數(shù)據(jù)傳輸帶寬、網(wǎng)絡(luò)傳輸通道的冗余和網(wǎng)絡(luò)服務(wù)商的服務(wù)水平（網(wǎng)絡(luò)年中斷率）。如果容災(zāi)系

10、統(tǒng)使用的通信網(wǎng)絡(luò)是確定的， 為了比較不同容災(zāi)解決方案， 可以用單位存儲容量的數(shù)據(jù)庫在同一通信網(wǎng)絡(luò)上的數(shù)據(jù)完全恢復(fù)時間作為一項設(shè)計指標(biāo)。1.2.4業(yè)務(wù)連續(xù)性業(yè)務(wù)連續(xù)性是災(zāi)備方案的最終目標(biāo)， 是方案的價值所在。 為了保證業(yè)務(wù)的連續(xù)， 首先需要數(shù)據(jù)的連續(xù)， 之前我們討論了數(shù)據(jù)安全相關(guān)的內(nèi)容。 其次，在數(shù)據(jù)連續(xù)的基礎(chǔ)上， 出現(xiàn)災(zāi)難時，系統(tǒng)需要能夠滿足（ 1）網(wǎng)絡(luò)切換（ 2）應(yīng)用切換。以此，來保證系統(tǒng)能夠順利切換到災(zāi)備地，繼續(xù)安全運營，最大化保證客戶利益。1.3 國標(biāo)系統(tǒng)災(zāi)備等級劃分及應(yīng)對措施國家信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T 20988-2007 ）規(guī)定了六個級別的容災(zāi)，下表分別針對每個級別給出了相應(yīng)

11、的應(yīng)對措施。級別內(nèi)容措施Level6數(shù)據(jù)零丟失和遠程集群支持實現(xiàn)遠程數(shù)據(jù)實時備份，實現(xiàn)零丟失；應(yīng)用軟件可以實現(xiàn)實時無縫切換；遠程集群系統(tǒng)的實時監(jiān)控和自動切換能力；Level5實時數(shù)據(jù)傳輸及完整設(shè)備支持實現(xiàn)遠程數(shù)據(jù)復(fù)制技術(shù)；備用網(wǎng)絡(luò)也具備字哦那個或集中切換能力；Level4電子傳輸及完整設(shè)備支持配置所需要的全部數(shù)據(jù)和通訊線路及網(wǎng)絡(luò)設(shè)備，并處于就緒狀態(tài)；7*24 運行；更高的技術(shù)支持和運維管理；Level3電子傳輸和部分設(shè)備支持配置部分數(shù)據(jù)，通信線路和網(wǎng)絡(luò)設(shè)備；每天實現(xiàn)多次的數(shù)據(jù)電子傳輸；備用場地配置專制的運行管理人員；Level2備用場地支持預(yù)定時間調(diào)配數(shù)據(jù)，通信線路和網(wǎng)絡(luò)設(shè)備；備用場地管理制度

12、；設(shè)備及網(wǎng)絡(luò)緊急供貨協(xié)議；Level1基本支持每周至少做一次完全數(shù)據(jù)備份；制定介質(zhì)存取驗證和轉(zhuǎn)儲的管理制度；完整測試和演練的災(zāi)難恢復(fù)計劃；1.4 容災(zāi)技術(shù)分析31.4.1備份方式(1) 冷備份備份系統(tǒng)未安裝或未配置成與當(dāng)前使用的系統(tǒng)相同或相似的運行環(huán)境, 應(yīng)用系統(tǒng)數(shù)據(jù)沒有及時裝入備份系統(tǒng)。 一旦發(fā)生災(zāi)難， 需安裝配置所需的運行環(huán)境， 用數(shù)據(jù)備份介質(zhì) （磁帶或光盤） 恢復(fù)應(yīng)用數(shù)據(jù)， 手工逐筆或自動批量追補孤立數(shù)據(jù)， 將終端用戶通過通訊線路切換到備份系統(tǒng)， 恢復(fù)業(yè)務(wù)運行。 優(yōu)點：設(shè)備投資較少， 節(jié)省通信費用， 通信環(huán)境要求不高。缺點：恢復(fù)時間較長，一般要數(shù)天至1 周，數(shù)據(jù)完整性與一致性較差。(2)

13、 溫備份將備份系統(tǒng)已安裝配置成與當(dāng)前使用的系統(tǒng)相同或相似的系統(tǒng)和網(wǎng)絡(luò)運行環(huán)境，安裝了應(yīng)用系統(tǒng)業(yè)務(wù)定期備份數(shù)據(jù)。一旦發(fā)生災(zāi)難， 直接使用定期備份數(shù)據(jù)，手工逐筆或自動批量追補孤立數(shù)據(jù)或?qū)⒔K端用戶通過通訊線路切換到備份系統(tǒng)，恢復(fù)業(yè)務(wù)運行。 優(yōu)點：設(shè)備投資較少，通信環(huán)境要求不高。 缺點：恢復(fù)時間長， 一般要十幾個小時至數(shù)天，數(shù)據(jù)完整性與一致性較差。(3) 熱備份備份處于聯(lián)機狀態(tài)，當(dāng)前應(yīng)用系統(tǒng)通過高速通信線路將數(shù)據(jù)實時傳送到備份系統(tǒng)，保持備份系統(tǒng)與當(dāng)前應(yīng)用系統(tǒng)數(shù)據(jù)的同步；也可定時在備份系統(tǒng)上恢復(fù)應(yīng)用系統(tǒng)的數(shù)據(jù)。一旦發(fā)生災(zāi)難，不用追補或只需追補很少的孤立數(shù)據(jù)，備份系統(tǒng)可快速接替生產(chǎn)系統(tǒng)運行，恢復(fù)營業(yè)。優(yōu)點

14、： 恢復(fù)時間短， 一般幾十分鐘到數(shù)小時， 數(shù)據(jù)完整性與一致性最好，數(shù)據(jù)丟失可能性最小。缺點：設(shè)備投資大，通信費用高，通信環(huán)境要求高，平時運行管理較復(fù)雜。在計算機服務(wù)器備份和恢復(fù)中，冷備份服務(wù)器（cold server ）是在主服務(wù)器丟失的情況下才使用的備份服務(wù)器。冷備份服務(wù)器基本上只在軟件安裝和配置的情況下打開，然后關(guān)閉直到需要時再打開。溫備份服務(wù)器（ warm server ）一般都是周期性開機，根據(jù)主服務(wù)器內(nèi)容進行更新，然后關(guān)機。經(jīng)常用溫備份服務(wù)器來進行復(fù)制和鏡像操作。熱備份服務(wù)器（ hot server ）時刻處于開機狀態(tài)，同主機保持同步。當(dāng)主機失靈時，可以隨時啟用熱備份服務(wù)器來代替。對

15、于關(guān)鍵的業(yè)務(wù)， Primeton 建議采用同城熱備異地?zé)醾涞姆绞竭M行部署，對于一般性的業(yè)務(wù)，建議采用同城熱備異地溫備（應(yīng)用不啟動，數(shù)據(jù)保持異步復(fù)制）的方式進行部署。1.4.2數(shù)據(jù)復(fù)制技術(shù)4 最新資料推薦 目前數(shù)據(jù)復(fù)制技術(shù)主要有如下表所列4 種，基于紅色字體部分的要求，結(jié)合客戶的需要，Primeton 推薦采用基于存儲或者基于應(yīng)用程序的數(shù)據(jù)復(fù)制技術(shù)來進行數(shù)據(jù)同步。存儲系統(tǒng)數(shù)據(jù)復(fù)制操作系統(tǒng)層數(shù)據(jù)復(fù)基于存儲的應(yīng)用程序?qū)訑?shù)據(jù)復(fù)制虛擬存儲技術(shù)制數(shù)據(jù)復(fù)制基通過操作系統(tǒng)或者數(shù)據(jù)的復(fù)制 過程通過本地復(fù)制技術(shù)是伴隨著存 儲局域數(shù)據(jù)庫的異地復(fù)制技 術(shù)，通常采用日志復(fù)本數(shù)據(jù)卷管理器來 實的存儲系統(tǒng)和遠端的存儲網(wǎng)的出

16、現(xiàn)引入的，通過構(gòu)建虛制功能，依靠本地和 遠程主機間的日志歸原現(xiàn)對數(shù)據(jù)的遠程復(fù)系統(tǒng)之間的通信完成。擬存儲上實現(xiàn)數(shù)據(jù)復(fù)制。檔與傳遞來實現(xiàn)兩端的數(shù)據(jù)一致。理制。平與平臺無關(guān)，臺需要增加 專有的復(fù)制服 務(wù)器同構(gòu)存儲或帶有復(fù)制功能的 SAN 交換同構(gòu)主機、異構(gòu)存 儲與平臺無關(guān)要求機復(fù)制高高高較高性能資源 對生產(chǎn)系統(tǒng)存儲性能有影對網(wǎng)絡(luò)要求高對生產(chǎn)系統(tǒng)主機性占用部分生 產(chǎn)系統(tǒng)數(shù)據(jù)庫資源占 響能有影響用技術(shù)成熟度有待提高，非主流復(fù)制成 成熟成熟成熟技術(shù)。熟度投入一般高，需要同構(gòu)存 儲較高，需要專有設(shè)備較高，需要同構(gòu)主機部分軟件免費，如 DataGuard成本IBM PPRC原廠技 術(shù)：Oracle DataG

17、uardBrocade Tapestry DMMIBM AIX LVM復(fù)Oracle GoldenGateEMC SRDFUIT SVMHP-UINX MirrorDisk制DNT IDRHP CA（ContinuesEMC VSMSun Solaris SVM軟Access）DSG RealSync件專業(yè)的復(fù)制軟件：Quest SharePlexHDS TrueCopySymantec SF/VVR1.4.3重復(fù)數(shù)據(jù)刪除技術(shù)重復(fù)數(shù)據(jù)刪除技術(shù)是指將存儲系統(tǒng)中存在的大量內(nèi)容相同的數(shù)據(jù)刪除，只保留其中一份， 從而縮減存儲空間的技術(shù)。在云災(zāi)備中， 該技術(shù)既能大幅減少災(zāi)備中心存儲的數(shù)據(jù)量，降低災(zāi)5備中

18、心的建設(shè)和運維成本， 又能大幅減少數(shù)據(jù)備份和恢復(fù)過程中用戶和災(zāi)備提供商間的數(shù)據(jù)傳輸量，提高備份和恢復(fù)的性能，是一項十分重要的技術(shù)。隨著災(zāi)備中心的規(guī)模不斷增大， 存儲的數(shù)據(jù)量和訪問量不斷增加， 單一節(jié)點上的重復(fù)數(shù)據(jù)刪除方法已不能滿足性能和容量的需求。 除上述基本重復(fù)數(shù)據(jù)刪除技術(shù)外， 一些優(yōu)化和改進技術(shù)對云災(zāi)備是至關(guān)重要的，包括高性能、 可擴展的、 分布式的重復(fù)數(shù)據(jù)刪除技術(shù)，以及為提高災(zāi)備中心數(shù)據(jù)可靠性的高可靠重復(fù)數(shù)據(jù)刪除技術(shù)。1.4.4操作系統(tǒng)虛擬化技術(shù)除了數(shù)據(jù)級的災(zāi)備，還應(yīng)提供系統(tǒng)級的災(zāi)備。即在將數(shù)據(jù)復(fù)制到云端的同時，也將受保護的應(yīng)用程序的狀態(tài)復(fù)制到云端，當(dāng)災(zāi)難發(fā)生時可以立即切換到云端的應(yīng)用程

19、序運行，保證業(yè)務(wù)連續(xù)性。 系統(tǒng)級災(zāi)備是通過操作系統(tǒng)虛擬化和檢查點實現(xiàn)的。檢查點用來捕獲進程某一時刻的運行狀態(tài)， 從而實現(xiàn)進程遷移。 進程遷移既可以是用戶應(yīng)用程序進程到云災(zāi)備中心的遷移，也可以是云災(zāi)備中心內(nèi)部的虛擬機池間進程遷移，以實現(xiàn)根據(jù)前端用戶的需求自動地調(diào)節(jié)災(zāi)備服務(wù)提供商有限的硬件與軟件資源，動態(tài)地、彈性的反應(yīng)前端業(yè)務(wù)對災(zāi)備的需求。當(dāng)程序因故障中斷，如果不能保留其中間運行狀態(tài)，恢復(fù)后從頭運行將會帶來極大的消耗。檢查點技術(shù)能夠解決這個問題。 通過保留各個進程的運行狀態(tài)， 恢復(fù)時能夠復(fù)原到最近一次保留的數(shù)據(jù)映像。傳統(tǒng)的檢查員機制是基于庫的檢查點機制。例如以靜態(tài)庫的形式實現(xiàn)，或通過加載動態(tài)鏈接庫

20、來追蹤程序運行過程中的數(shù)據(jù)變化。也有一些檢查點機制實現(xiàn)于內(nèi)核級別甚至硬件級別。例如通過在文件系統(tǒng)層之上引入一個中間層來實現(xiàn)保留文件系統(tǒng)狀態(tài)的檢查點機制；或者借助 Fuse 內(nèi)核模塊實現(xiàn)的支持檢查點機制的文件系統(tǒng)，通過Fuse 偵測、攔截內(nèi)核級別的文件系統(tǒng)操作并將控制權(quán)傳遞給用戶，從而能夠在用戶空間對文件系統(tǒng)狀態(tài)進行保留。隨著操作系統(tǒng)虛擬化技術(shù)的發(fā)展，基于虛擬容器的檢查點技術(shù)也得到了很好的應(yīng)用。虛擬容器是通過系統(tǒng)虛擬化技術(shù)構(gòu)建出來的一個進程運行的較獨立的上下文環(huán)境。虛擬容器檢查點技術(shù)能夠有效保護容器內(nèi)運行的應(yīng)用程序和服務(wù)而不需要對應(yīng)用進行修改。1.5 總體架構(gòu)設(shè)計1.5.1Primeton兩“地

21、三中心 ”容災(zāi)解決方案架構(gòu)設(shè)計結(jié)合近年國內(nèi)出現(xiàn)的大范圍自然災(zāi)害， 以同城雙中心加異地災(zāi)備中心的 “兩地三中心 ”的災(zāi)備模式也隨之出現(xiàn)，這一方案兼具高可用性和災(zāi)難備份的能力。兩“地三中心 ”本地高可用和容災(zāi)保護策略（1 ）本地保護策略：6? 本地高可用? 本地 clone? 持續(xù)數(shù)據(jù)保護? B2D BVTL? 磁帶備份? Archive Log 備份（2 ）容災(zāi)保護策略? 應(yīng)用級或者數(shù)據(jù)級容災(zāi)? 同級容災(zāi)、降級容災(zāi)? 同步數(shù)據(jù)保護異步數(shù)據(jù)保護? 容災(zāi)數(shù)據(jù)復(fù)制技術(shù)? 主備中心運營方式雙主中心運營方式多中心運營方式? 短、中、遠期容災(zāi)策略兩“地三中心 ”功能定位同城雙中心

22、是指在同城或鄰近城市建立兩個可獨立承擔(dān)關(guān)鍵系統(tǒng)運行的數(shù)據(jù)中心，雙中心具備基本等同的業(yè)務(wù)處理能力并通過高速鏈路實時同步數(shù)據(jù)，日常情況下可同時分擔(dān)業(yè)務(wù)及管理系統(tǒng)的運行， 并可切換運行； 災(zāi)難情況下可在基本不丟失數(shù)據(jù)的情況下進行災(zāi)備應(yīng)急切換，保持業(yè)務(wù)連續(xù)運行。與異地災(zāi)備模式相比較，同城雙中心具有投資成本低、建設(shè)速度快、運維管理相對簡單、可靠性更高等優(yōu)點。異地災(zāi)備中心是指在異地的城市建立一個備份的災(zāi)備中心，用于雙中心的數(shù)據(jù)備份，當(dāng)雙中心出現(xiàn)自然災(zāi)害等原因而發(fā)生故障時，異地災(zāi)備中心可以用備份數(shù)據(jù)進行業(yè)務(wù)的恢復(fù)。兩“地三中心 ”容災(zāi)架構(gòu)設(shè)計邏輯架構(gòu)模型設(shè)計：7物理架構(gòu)設(shè)計：8方案特點：? 同

23、城范圍有效保證了數(shù)據(jù)的安全性和業(yè)務(wù)連續(xù)性；? 異地復(fù)制數(shù)據(jù)根據(jù)災(zāi)難情形，盡可能降低數(shù)據(jù)丟失機率；? 同城雙中心為同步復(fù)制，數(shù)據(jù)實時同步，RPO=0 ；? 異地?zé)o距離限制，保證數(shù)據(jù)一致性，保證了數(shù)據(jù)的有效保護；? 異地容災(zāi)帶寬要求低，先進的復(fù)制機制提高帶寬利用率。對于本地本級備份，應(yīng)建立在線、近線、離線等多級存儲備份系統(tǒng)，充分利用先進的備份手段和備份策略， 形成完整的本地備份管理解決方案；備份的數(shù)據(jù)包括操作系統(tǒng)、數(shù)據(jù)文件以及應(yīng)用服務(wù)環(huán)境等多個方面；日常訪問的重要數(shù)據(jù)采用磁盤或者虛擬帶庫方式備份，歸檔數(shù)據(jù)和非重要數(shù)據(jù)采用磁帶庫方式備份；重要數(shù)據(jù)應(yīng)至少保證每周做一個全量備份，平時做增量備份。9 最新

24、資料推薦 對于數(shù)據(jù)級異地災(zāi)備中心， 選址上， 應(yīng)進行風(fēng)險分析， 避免異地備份中心與主中心同時遭受同類風(fēng)險； 網(wǎng)絡(luò)備用系統(tǒng)上， 必須在核心網(wǎng)絡(luò)層面實現(xiàn)熱備， 保證災(zāi)備中心區(qū)域內(nèi)通信的可靠性；數(shù)據(jù)備份系統(tǒng)上，主中心與備份中心的備份鏈路應(yīng)有冗余，并確保 2 小時內(nèi)將主中心的增量數(shù)據(jù)復(fù)制或備份到災(zāi)備中心； 數(shù)據(jù)處理備用系統(tǒng)上， 配備災(zāi)難恢復(fù)所需的全部數(shù)據(jù)處理設(shè)備，并處于就緒狀態(tài)或運行狀態(tài)，與主中心共同承擔(dān)部分核心應(yīng)用的查詢服務(wù)功能。對于同城應(yīng)用級災(zāi)備中心，選址上，主中心與同城災(zāi)備中心距離應(yīng)小于100KM ；網(wǎng)絡(luò)備用系統(tǒng)上，在核心網(wǎng)絡(luò)層面實現(xiàn)熱備，主中心與應(yīng)用級災(zāi)備中心間通過裸光纖互聯(lián)或VPLS 互聯(lián)，

25、部署TRILL 構(gòu)建大二層網(wǎng)絡(luò)，滿足虛擬化需求；網(wǎng)絡(luò)負載均衡上，主中心網(wǎng)絡(luò)與災(zāi)備中心網(wǎng)絡(luò)的負載均衡，提高災(zāi)備網(wǎng)絡(luò)利用率與災(zāi)備網(wǎng)絡(luò)可用性，正常情況下數(shù)據(jù)流同時使用兩個中心的網(wǎng)絡(luò)，主中心網(wǎng)絡(luò)出現(xiàn)故障時，則全部數(shù)據(jù)流向災(zāi)備網(wǎng)絡(luò)；應(yīng)用集群切換上，關(guān)鍵業(yè)務(wù)系統(tǒng)集群實現(xiàn)手動切換，主中心與同城災(zāi)備中心之間建立高可用性監(jiān)控技術(shù)，實現(xiàn)災(zāi)備中心應(yīng)用服務(wù)器集群與主中心生產(chǎn)服務(wù)器集群之間的高可用性切換；云計算技術(shù)采用上，采用虛擬化技術(shù)對同城災(zāi)備中心進行規(guī)劃建設(shè)，同時，根據(jù)業(yè)務(wù)關(guān)鍵程度、對性能的要求，系統(tǒng)平臺選擇不同檔次和不同平臺的主機資源池、存儲資源池。1.5.2基于不同服務(wù)需求選擇不同可靠性“兩地三中心 ”架構(gòu)1.

26、5.2.1服務(wù)等級劃分的可靠性服務(wù)級別服務(wù)內(nèi)容關(guān)鍵指標(biāo)tier1tier2tier3tier4關(guān)鍵任務(wù)服務(wù) , 需要最 關(guān)鍵業(yè)務(wù)服務(wù)的運維和 高端技術(shù)和工具將會盡 沒有關(guān)鍵服務(wù)運行，運高級別的可靠性。高端 tier1 一樣，但是某些限 量（略低于 tier1 和 維和支撐只要能夠在一技術(shù)和工具將會被用來 制非可靠級別的服務(wù)可 tier2 ）被用來滿足最高 個可以接受的范圍內(nèi)即滿足最高級別的可靠以容忍短時間的不可恢級別的可靠性。允許有可。性。如果丟失一個組件，復(fù)的影響。高端技術(shù)和多個單點故障。僅僅在如服務(wù)器，一塊存儲，工具將會盡量（略低于計劃上有一些伸縮性?；蛘咭粋€通信鏈接，都tier1）被用來

27、滿足最高將會導(dǎo)致服務(wù)不可靠。級別的可靠性。系統(tǒng)設(shè)每個應(yīng)用和基礎(chǔ)服務(wù)都計和指導(dǎo)里面必須包含會制定性能指標(biāo)。這些沒有單點故障。指標(biāo)都將會被監(jiān)控，并會通過業(yè)務(wù)支持的流程以特定格式輸出。這個site不僅僅包含基礎(chǔ)架構(gòu)組件。99.99%的可靠性，數(shù)據(jù) 99.5%的可靠性，數(shù)據(jù)中 95%的可靠性，數(shù)據(jù)中性 沒有可靠性保證，最低中性能夠切換，廠家支 性能夠切換，廠家支持 能夠切換，廠家支持（小級別的支持持（小于 2 小時的響應(yīng) （小于 4 小時的響應(yīng)時于 24 小時的響應(yīng)時間）時間），硬件容錯性，間），硬件具備容錯性，沒有單點故障， N+1，數(shù)沒有單點故障， N+1據(jù)中心的切換選擇，硬件冗余10分鐘宕機 /

28、 月 4.32216.002160.00 Primeton通用的基于服務(wù)的“兩地三中心 ”架構(gòu) Primeton基于不同的服務(wù)質(zhì)量，達到不同級別的整體可靠性（tier ）（1）場景 111主環(huán)境如圖中A 所示，包含了數(shù)據(jù)庫，應(yīng)用，Web 三層服務(wù)結(jié)構(gòu)，本地高可用環(huán)境P 作為同城備份站點，復(fù)制100%A 中的 Web 服務(wù)， 100% 的 A 中的應(yīng)用在線服務(wù)，100% 的 A 中的 OLTP 事務(wù)，異地在數(shù)據(jù)庫 / 應(yīng)用 Web 層均復(fù)制 75%A 中的服務(wù)。那么這套方案整體的可靠性將會達到 99.999% 。（2）場景 212主環(huán)境如圖中 A 所示，本地高可用環(huán)境

29、 P 復(fù)制 100% 的 A 中的 Web 服務(wù)， 100% 的 A 中的應(yīng)用在線服務(wù)， 異地在數(shù)據(jù)庫 / 應(yīng)用 Web 層均復(fù)制 75% 的 A。那么這套方案整體的可靠性將會達到 99.99% 。（3）場景 313主環(huán)境如圖中A 所示，本地高可用環(huán)境沒有即沒有同城備份站點，異地在數(shù)據(jù)庫 / 應(yīng)用 Web層均有一個可以接受的備份（非和 A 環(huán)境 100% 相同） 。那么這套方案整體的可靠性將會達到 99.70% 。（4）場景 414主環(huán)境如圖中A 所示，本地高可用環(huán)境沒有即沒有同城備份站點，異地采用冷備的方式，僅僅在發(fā)生災(zāi)難的時候采取措施。那么這套方案整體的可靠性只有99.00% 。1.6 數(shù)

30、據(jù)級容災(zāi)設(shè)計數(shù)據(jù)的復(fù)制是應(yīng)用接管的基礎(chǔ)，保障數(shù)據(jù)復(fù)制的完整性和實時有效性才能使得應(yīng)用的接管有意義。數(shù)據(jù)復(fù)制主要分為 4 大類（ 1.4.2 已有說明） ，綜合性價比和客戶自身情況， Primeton 推薦可以使用如下兩類的數(shù)據(jù)復(fù)制技術(shù)：第一類，是基于磁盤陣列的復(fù)制軟件實現(xiàn)， 比如 EMC SDRF、HDS 的 TureCopy 、IBM 的 Flash 等；15第二類，是基于服務(wù)器或者應(yīng)用軟件（應(yīng)用層）實現(xiàn)，比如Oracle DataGuard組件、GoldenGate 數(shù)據(jù)庫復(fù)制軟件、DSG 的 RealSync 軟件等。A）磁盤陣列同步有以下主要特點：? 可以實現(xiàn)對所有數(shù)據(jù)的災(zāi)備，支持所有

31、的數(shù)據(jù)類型，是最全面的災(zāi)備保護方式；? 基于存儲設(shè)備進行災(zāi)備， 可以有效的解決對數(shù)據(jù)庫服務(wù)器和各種應(yīng)用服務(wù)器的計算資源的占用問題；? 部署簡單，無需更改原來的文件系統(tǒng)。維護也更加簡單，維護好存儲災(zāi)備系統(tǒng)就可以。B）基于服務(wù)器或應(yīng)用軟件的災(zāi)備，有以下特點：? 支持異構(gòu)平臺，開放的硬件選擇；? 極短時間切換的熱容災(zāi)；? 容災(zāi)側(cè)數(shù)據(jù)庫也處于打開狀態(tài)，可以做主地數(shù)據(jù)庫的負載均衡，提升系統(tǒng)的可用性；? 對網(wǎng)絡(luò)要求不高，低帶寬下能夠傳輸數(shù)據(jù)；161.7 應(yīng)用級容災(zāi)設(shè)計應(yīng)用級災(zāi)備包括兩個方面： 數(shù)據(jù)同步和應(yīng)用接管。 數(shù)據(jù)同步是應(yīng)用接管的前提。 在保證數(shù)據(jù)同步基礎(chǔ)上，要實現(xiàn)應(yīng)用接管，還要能實現(xiàn)災(zāi)難發(fā)生時的網(wǎng)絡(luò)

32、切換和應(yīng)用切換。1.7.1網(wǎng)絡(luò)切換設(shè)計應(yīng)用級災(zāi)備要求提供冗余的網(wǎng)絡(luò)線路和設(shè)備。 正常情況下， 客戶端通過生產(chǎn)中心的業(yè)務(wù)網(wǎng)絡(luò)訪問生產(chǎn)中心的應(yīng)用服務(wù)器； 在發(fā)生災(zāi)難時， 通過網(wǎng)絡(luò)切換， 客戶端能夠訪問到災(zāi)備中心的備用服務(wù)器。目前，網(wǎng)絡(luò)切換主要有以下三種：（1 ）基于 IP 地址的切換生產(chǎn)中心和災(zāi)備中心主備應(yīng)用服務(wù)器的IP 地址空間相同， 客戶端通過唯一的IP 地址訪問應(yīng)用服務(wù)器。在正常情況下，只有生產(chǎn)中心應(yīng)用服務(wù)器的IP 地址處于可用狀態(tài)，災(zāi)備中心的備用服務(wù)器 IP 地址處于禁用狀態(tài)。一旦發(fā)生災(zāi)難，管理員手工或通過腳本將災(zāi)備中心服務(wù)器的 IP 地址設(shè)置為可用，實現(xiàn)網(wǎng)絡(luò)訪問路徑切換。（2 ）基于 D

33、NS 服務(wù)器的切換在這種方式下，所有應(yīng)用需要根據(jù)主機名來訪問，而不是直接根據(jù)主機的IP 地址來訪問，從而通過域名實現(xiàn)網(wǎng)絡(luò)切換。（3 ）基于負載均衡設(shè)備的切換通過在服務(wù)器集群前端部署一臺負載均衡設(shè)備，根據(jù)已配置的均衡策略將用戶請求在服務(wù)器集群中分發(fā)， 為用戶提供服務(wù)，并對服務(wù)器可用性進行維護。負載均衡能夠按照一定的策略分發(fā)到指定的服務(wù)器群中的服務(wù)器或指定鏈路組的某條鏈路上，調(diào)度算法以用戶連接為粒度，并且可以采取靜態(tài)設(shè)置或動態(tài)調(diào)配的方式。負載均衡設(shè)備能夠針對各種應(yīng)用服務(wù)狀態(tài)進行探17測，收集相應(yīng)信息作為選擇服務(wù)器或鏈路的依據(jù)，包括 ICMP、TCP、HTTP 、FTP、DNS 等。通過對應(yīng)用協(xié)議的深度識別，能夠?qū)Σ煌瑯I(yè)務(wù)在主生產(chǎn)中心和災(zāi)備中心之間進行切換。這三種網(wǎng)絡(luò)切換方式比較如下：IPDNS10-30102 DNS在以上三種網(wǎng)絡(luò)切換方式中，基于IP 地址的切換方式較簡單，實現(xiàn)成本低，但是對于擁有較多服務(wù)器的災(zāi)備中心而言，手工更改大量IP 地址和網(wǎng)絡(luò)配置需要比較長時間，因此這種方式適合于只有少數(shù)應(yīng)用服務(wù)器的場合；基于DNS 的切換方案，從技術(shù)上講較成熟，應(yīng)用也較多，而且能夠?qū)崿F(xiàn)網(wǎng)絡(luò)切換的全自動，但是需要增加兩臺DNS 服務(wù)器的投資；而基于負載均衡的切換，需要增加負載均衡板卡，但是切換能夠精細到業(yè)務(wù)和服務(wù)