數(shù)據(jù)中心災(zāi)備方案設(shè)計

1、數(shù)據(jù)中心解決方案之災(zāi)備方案設(shè)計1.數(shù)據(jù)中心容災(zāi)備份解決方案 隨著社會的發(fā)展和科技的進步，政府日常工作越來越依賴于數(shù)據(jù)處理來進行，政務(wù)系統(tǒng)的連續(xù)性依賴于數(shù)據(jù)中心系統(tǒng)的穩(wěn)定運行。然而，災(zāi)難就像灰塵一樣伏擊在運營環(huán)境周圍，政務(wù)系統(tǒng)的數(shù)據(jù)中心可能正在一個充滿風(fēng)險和威脅的環(huán)境下運行。如果不能對這些風(fēng)險采取有效治理，一旦數(shù)據(jù)由于某種原因丟失，就很有可能對政府的日常工作造成嚴重的影響。如果核心數(shù)據(jù)丟失，將會使得某些核心功能陷入癱瘓，造成不可估量的損失。因此，保證政務(wù)的連續(xù)性和數(shù)據(jù)的高可靠性和可用性，已經(jīng)成為政府部門在數(shù)據(jù)中心建設(shè)中，必須要考慮的問題。 1.1災(zāi)備解決方案原則 首先，在制定容災(zāi)系統(tǒng)方案的過程中

2、要考慮的就是容災(zāi)系統(tǒng)建設(shè)對原有業(yè)務(wù)系統(tǒng)帶來的影響。比如，采用數(shù)據(jù)復(fù)制技術(shù)對系統(tǒng)I/O帶來的延遲，應(yīng)用數(shù)據(jù)同步對日常業(yè)務(wù)處理系統(tǒng)帶來的壓力等。因此，企業(yè)要通過周密的測試和分析來規(guī)避容災(zāi)系統(tǒng)建設(shè)時帶來的這些風(fēng)險，以保證業(yè)務(wù)系統(tǒng)不會因容災(zāi)系統(tǒng)的建設(shè)而出現(xiàn)在處理性能上下降的問題。 第二，數(shù)據(jù)狀態(tài)要保持同步。為保證在災(zāi)難發(fā)生時，業(yè)務(wù)可以成功地切換到備份中心，就必須保證容災(zāi)系統(tǒng)數(shù)據(jù)同步機制的可靠性。因此，建立可靠的數(shù)據(jù)同步校驗機制是必須的; 同時，還要考慮建立定時的、自動的數(shù)據(jù)同步核查對比機制，以檢驗兩個中心數(shù)據(jù)的一致性，這是數(shù)據(jù)容災(zāi)工作中非常重要的一部分。 第三，容災(zāi)系統(tǒng)的日常維護工作要盡可能輕，并能承

3、擔部分業(yè)務(wù)處理和測試的工作。容災(zāi)系統(tǒng)的維護和管理是容災(zāi)切換成功的重要保證，在系統(tǒng)建設(shè)中，就必須要考慮系統(tǒng)的維護管理流程。生產(chǎn)中心任何業(yè)務(wù)處理過程的改變都必須完整地復(fù)制到備份中心; 所有新業(yè)務(wù)系統(tǒng)上線時，必須通知備份中心，并在備份中心配置好數(shù)據(jù)同步機制; 對原程序的改動也必須保證兩個中心同時上線。 第四，系統(tǒng)恢復(fù)時間要盡可能短。容災(zāi)系統(tǒng)主要是為了實現(xiàn)在主中心系統(tǒng)發(fā)生災(zāi)難時，可以在規(guī)定時間切換到備份中心，保證數(shù)據(jù)不會丟失，并且繼續(xù)向用戶提供服務(wù)。但往往在災(zāi)難發(fā)生時，主要技術(shù)人員不能及時到達現(xiàn)場，為了順利實現(xiàn)系統(tǒng)間的切換，應(yīng)該讓系統(tǒng)切換操作盡可能地簡單; 并建立固定化的、標準化的切換流程，要求維護人

4、員在切換演習(xí)時嚴格按照流程的指導(dǎo)步驟進行操作。 第五，可實現(xiàn)部分業(yè)務(wù)子系統(tǒng)的切換和回切。當人事變動、業(yè)務(wù)變化、IT設(shè)施變化以及其他可能引起恢復(fù)規(guī)劃文檔失效的變化發(fā)生時，應(yīng)及時更新各恢復(fù)規(guī)劃文檔，并在必要時啟動模擬測試或演習(xí)，確保業(yè)務(wù)連續(xù)性系統(tǒng)的工作能力。 第六，技術(shù)方案選擇要遵循成熟穩(wěn)定、高可靠性、可擴展性、透明性的原則。目前，國際上比較成熟的容災(zāi)技術(shù)包括： SAN/NAS技術(shù)、遠程鏡像技術(shù)、虛擬存儲、基于IP的SAN互連技術(shù)以及快照技術(shù)等。其中基于IP的SAN遠程數(shù)據(jù)容災(zāi)備份技術(shù)應(yīng)用比較廣泛，其是利用基于IP的SAN的互連協(xié)議，將主數(shù)據(jù)中心SAN中的信息通過現(xiàn)有的TCP/IP網(wǎng)絡(luò)，遠程復(fù)制到

5、備份中心的SAN中的。當備份中心存儲的數(shù)據(jù)量過大時，可利用快照技術(shù)將其備份到磁帶庫或光盤庫。這種基于IP的SAN遠程容災(zāi)備份，可以跨越LAN、MAN和WAN，成本低、可擴展性好?；贗P的互連協(xié)議主要包括FCIP、iFCP、InfiniBand、iSCSI等。 第七，構(gòu)建系統(tǒng)方案可以選擇多種技術(shù)組合方式。目前，業(yè)內(nèi)應(yīng)用較多的容災(zāi)方案是基于智能存儲系統(tǒng)的遠程數(shù)據(jù)復(fù)制技術(shù)，它是由智能存儲系統(tǒng)自身實現(xiàn)的數(shù)據(jù)遠程復(fù)制和同步，即智能存儲系統(tǒng)將對該系統(tǒng)中的存儲器I/O操作請求復(fù)制到遠端的存儲系統(tǒng)中并執(zhí)行。由于在這種方式下，數(shù)據(jù)復(fù)制軟件運行在存儲系統(tǒng)內(nèi)，因此較容易實現(xiàn)主中心和容災(zāi)備份中心的操作系統(tǒng)、數(shù)據(jù)庫、

6、系統(tǒng)庫和目錄的實時拷貝及維護能力，且不會影響主中心主機系統(tǒng)的性能。如果在系統(tǒng)恢復(fù)場具備了實時數(shù)據(jù)，那么就可以做到在災(zāi)難發(fā)生時，及時開始應(yīng)用處理過程的恢復(fù)。但這種方案也有開放性差(不同廠家的存儲設(shè)備系統(tǒng)一般不能配合使用)、對于主、備中心之間的網(wǎng)絡(luò)條件(穩(wěn)定性、帶寬、鏈路空間距離)要求較苛刻等缺點。 1.2災(zāi)備解決方案設(shè)計需要考慮的因素 1.2.1 RTO和RPO RTO（RecoveryTime Object）：是指災(zāi)難發(fā)生后，從IT系統(tǒng)宕機導(dǎo)致業(yè)務(wù)停頓之刻開始，到IT系統(tǒng)恢復(fù)至可以支持各部門運作，業(yè)務(wù)恢復(fù)運營之時，此兩點之間的時間段成為RTO。RTO是反映業(yè)務(wù)恢復(fù)及時性的指標，表示業(yè)務(wù)從中斷到

7、回復(fù)正常所需要的時間。RTO值越小，代表容災(zāi)系統(tǒng)的數(shù)據(jù)恢復(fù)能力越強。各種容災(zāi)解決方案的RTO有較大差別，基于光通道技術(shù)的同步數(shù)據(jù)復(fù)制，配合異地備用的業(yè)務(wù)系統(tǒng)和跨業(yè)務(wù)中心與備份中心的高可用管理，這種容災(zāi)解決方案具有最小的RTO。 RPO（Recovery Point Objective），是指從系統(tǒng)和應(yīng)用數(shù)據(jù)而言，要實現(xiàn)能夠恢復(fù)至可以支持各部門業(yè)務(wù)運作，系統(tǒng)及生產(chǎn)數(shù)據(jù)應(yīng)恢復(fù)到怎樣的更新程度。RPO是反映恢復(fù)數(shù)據(jù)完整性的指標，在同步數(shù)據(jù)復(fù)制方式下，RPO等于數(shù)據(jù)傳輸延遲的時間；在異步數(shù)據(jù)復(fù)制下，RPO基本為異步傳輸數(shù)據(jù)排隊的時間。在實際應(yīng)用中，考慮導(dǎo)數(shù)據(jù)傳輸?shù)囊蛩?，業(yè)務(wù)數(shù)據(jù)庫與容災(zāi)備份數(shù)據(jù)庫的一致

8、性（SCN）是不同的，RPO表示業(yè)務(wù)數(shù)據(jù)庫與容災(zāi)備份數(shù)據(jù)庫SCN的時間差。發(fā)生災(zāi)難后，啟動容災(zāi)系統(tǒng)完成數(shù)據(jù)恢復(fù)，RPO就是新恢復(fù)業(yè)務(wù)系統(tǒng)的數(shù)據(jù)損失量。 設(shè)計容災(zāi)系統(tǒng)不能只看RTO和RPO，對于不同的業(yè)務(wù)系統(tǒng)和用戶特殊的要求，其它一些指標有可能成為選擇容災(zāi)解決方案的主要因素。例如，某些地區(qū)為了防范一些特定自然災(zāi)害的風(fēng)險，要求容災(zāi)備份中心與業(yè)務(wù)中心保持足夠的距離，在這種情況下，容災(zāi)備份中心與業(yè)務(wù)中心的距離要求就是容災(zāi)系統(tǒng)的重要指標。 1.2.2數(shù)據(jù)安全 數(shù)據(jù)的完整性，一致性是保證業(yè)務(wù)連續(xù)的關(guān)鍵。在本地，數(shù)據(jù)安全需要使用RAID技術(shù)來保證。在災(zāi)備方案的設(shè)計中，數(shù)據(jù)復(fù)制方案的設(shè)計是整個設(shè)計的基礎(chǔ)。目前

9、業(yè)界主流的數(shù)據(jù)復(fù)制技術(shù)有：基于數(shù)據(jù)庫本身的復(fù)制技術(shù)，基于操作系統(tǒng)的數(shù)據(jù)復(fù)制，基于虛擬存儲的復(fù)制技術(shù)和基于存儲的復(fù)制技術(shù)。在方案所用技術(shù)的選擇時，應(yīng)當根據(jù)客戶的預(yù)算，現(xiàn)場的條件，綜合來進行考量。后續(xù)在1.6.1數(shù)據(jù)同步章節(jié)，將會有這4類數(shù)據(jù)復(fù)制技術(shù)的綜合對比，可以作為選擇的參考。 1.2.3網(wǎng)絡(luò)安全 通信網(wǎng)絡(luò)是容災(zāi)系統(tǒng)的組成部分，通信線路的質(zhì)量也是容災(zāi)系統(tǒng)的性能指標之一，其中包括網(wǎng)絡(luò)的數(shù)據(jù)傳輸帶寬、網(wǎng)絡(luò)傳輸通道的冗余和網(wǎng)絡(luò)服務(wù)商的服務(wù)水平（網(wǎng)絡(luò)年中斷率）。如果容災(zāi)系統(tǒng)使用的通信網(wǎng)絡(luò)是確定的，為了比較不同容災(zāi)解決方案，可以用單位存儲容量的數(shù)據(jù)庫在同一通信網(wǎng)絡(luò)上的數(shù)據(jù)完全恢復(fù)時間作為一項設(shè)計指標。

10、1.2.4業(yè)務(wù)連續(xù)性 業(yè)務(wù)連續(xù)性是災(zāi)備方案的最終目標，是方案的價值所在。為了保證業(yè)務(wù)的連續(xù)，首先需要數(shù)據(jù)的連續(xù)，之前我們討論了數(shù)據(jù)安全相關(guān)的內(nèi)容。其次，在數(shù)據(jù)連續(xù)的基礎(chǔ)上，出現(xiàn)災(zāi)難時，系統(tǒng)需要能夠滿足（1）網(wǎng)絡(luò)切換（2）應(yīng)用切換。以此，來保證系統(tǒng)能夠順利切換到災(zāi)備地，繼續(xù)安全運營，最大化保證客戶利益。 1.3國標系統(tǒng)災(zāi)備等級劃分及應(yīng)對措施 國家信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范（GB/T 20988-2007）規(guī)定了六個級別的容災(zāi)，下表分別針對每個級別給出了相應(yīng)的應(yīng)對措施。 級別 內(nèi)容 措施 Level6 數(shù)據(jù)零丟失和遠程集群支持 實現(xiàn)遠程數(shù)據(jù)實時備份，實現(xiàn)零丟失； 應(yīng)用軟件可以實現(xiàn)實時無縫切換； 遠程集群

11、系統(tǒng)的實時監(jiān)控和自動切換能力； Level5 實時數(shù)據(jù)傳輸及完整設(shè)備支持 實現(xiàn)遠程數(shù)據(jù)復(fù)制技術(shù)； 備用網(wǎng)絡(luò)也具備字哦那個或集中切換能力； Level4 電子傳輸及完整設(shè)備支持 配置所需要的全部數(shù)據(jù)和通訊線路及網(wǎng)絡(luò)設(shè)備，并處于就緒狀態(tài)； 7*24運行；更高的技術(shù)支持和運維管理； Level3 電子傳輸和部分設(shè)備支持 配置部分數(shù)據(jù)，通信線路和網(wǎng)絡(luò)設(shè)備； 每天實現(xiàn)多次的數(shù)據(jù)電子傳輸； 備用場地配置專制的運行管理人員； Level2 備用場地支持 預(yù)定時間調(diào)配數(shù)據(jù)，通信線路和網(wǎng)絡(luò)設(shè)備； 備用場地管理制度； 設(shè)備及網(wǎng)絡(luò)緊急供貨協(xié)議； Level1 基本支持 每周至少做一次完全數(shù)據(jù)備份； 制定介質(zhì)存取驗證

12、和轉(zhuǎn)儲的管理制度； 完整測試和演練的災(zāi)難恢復(fù)計劃； 1.4容災(zāi)技術(shù)分析 1.4.1備份方式 (1)冷備份 備份系統(tǒng)未安裝或未配置成與當前使用的系統(tǒng)相同或相似的運行環(huán)境, 應(yīng)用系統(tǒng)數(shù)據(jù)沒有及時裝入備份系統(tǒng)。一旦發(fā)生災(zāi)難，需安裝配置所需的運行環(huán)境，用數(shù)據(jù)備份介質(zhì)（磁帶或光盤）恢復(fù)應(yīng)用數(shù)據(jù)，手工逐筆或自動批量追補孤立數(shù)據(jù)，將終端用戶通過通訊線路切換到備份系統(tǒng)，恢復(fù)業(yè)務(wù)運行。優(yōu)點：設(shè)備投資較少，節(jié)省通信費用，通信環(huán)境要求不高。缺點：恢復(fù)時間較長，一般要數(shù)天至1周，數(shù)據(jù)完整性與一致性較差。 (2)溫備份 將備份系統(tǒng)已安裝配置成與當前使用的系統(tǒng)相同或相似的系統(tǒng)和網(wǎng)絡(luò)運行環(huán)境，安裝了應(yīng)用系統(tǒng)業(yè)務(wù)定期備份數(shù)據(jù)

13、。一旦發(fā)生災(zāi)難，直接使用定期備份數(shù)據(jù)，手工逐筆或自動批量追補孤立數(shù)據(jù)或?qū)⒔K端用戶通過通訊線路切換到備份系統(tǒng)，恢復(fù)業(yè)務(wù)運行。優(yōu)點：設(shè)備投資較少，通信環(huán)境要求不高。缺點：恢復(fù)時間長，一般要十幾個小時至數(shù)天，數(shù)據(jù)完整性與一致性較差。 (3)熱備份 備份處于聯(lián)機狀態(tài)，當前應(yīng)用系統(tǒng)通過高速通信線路將數(shù)據(jù)實時傳送到備份系統(tǒng)，保持備份系統(tǒng)與當前應(yīng)用系統(tǒng)數(shù)據(jù)的同步；也可定時在備份系統(tǒng)上恢復(fù)應(yīng)用系統(tǒng)的數(shù)據(jù)。一旦發(fā)生災(zāi)難，不用追補或只需追補很少的孤立數(shù)據(jù)，備份系統(tǒng)可快速接替生產(chǎn)系統(tǒng)運行，恢復(fù)營業(yè)。優(yōu)點：恢復(fù)時間短，一般幾十分鐘到數(shù)小時，數(shù)據(jù)完整性與一致性最好，數(shù)據(jù)丟失可能性最小。缺點：設(shè)備投資大，通信費用高，通信

14、環(huán)境要求高，平時運行管理較復(fù)雜。 在計算機服務(wù)器備份和恢復(fù)中，冷備份服務(wù)器（cold server）是在主服務(wù)器丟失的情況下才使用的備份服務(wù)器。冷備份服務(wù)器基本上只在軟件安裝和配置的情況下打開，然后關(guān)閉直到需要時再打開。 溫備份服務(wù)器（warm server）一般都是周期性開機，根據(jù)主服務(wù)器內(nèi)容進行更新，然后關(guān)機。經(jīng)常用溫備份服務(wù)器來進行復(fù)制和鏡像操作。 熱備份服務(wù)器（hot server）時刻處于開機狀態(tài)，同主機保持同步。當主機失靈時，可以隨時啟用熱備份服務(wù)器來代替。 對于關(guān)鍵的業(yè)務(wù)，Primeton建議采用同城熱備異地?zé)醾涞姆绞竭M行部署，對于一般性的業(yè)務(wù)，建議采用同城熱備異地溫備（應(yīng)用不啟

15、動，數(shù)據(jù)保持異步復(fù)制）的方式進行部署。 1.4.2數(shù)據(jù)復(fù)制技術(shù) 目前數(shù)據(jù)復(fù)制技術(shù)主要有如下表所列4種，基于紅色字體部分的要求，結(jié)合客戶的需要，Primeton推薦采用基于存儲或者基于應(yīng)用程序的數(shù)據(jù)復(fù)制技術(shù)來進行數(shù)據(jù)同步。 存儲系統(tǒng)數(shù)據(jù)復(fù)制 操作系統(tǒng)層數(shù)據(jù)復(fù)制 應(yīng)用程序?qū)訑?shù)據(jù)復(fù)制 基于存儲的 數(shù)據(jù)復(fù)制 虛擬存儲技術(shù) 基本原理 數(shù)據(jù)的復(fù)制過程通過本地的存儲系統(tǒng)和遠端的存儲系統(tǒng)之間的通信完成。 復(fù)制技術(shù)是伴隨著存儲局域網(wǎng)的出現(xiàn)引入的，通過構(gòu)建虛擬存儲上實現(xiàn)數(shù)據(jù)復(fù)制。 通過操作系統(tǒng)或者數(shù)據(jù)卷管理器來實現(xiàn)對數(shù)據(jù)的遠程復(fù)制。 數(shù)據(jù)庫的異地復(fù)制技術(shù)，通常采用日志復(fù)制功能，依靠本地和遠程主機間的日志歸檔與傳遞

16、來實現(xiàn)兩端的數(shù)據(jù)一致。 平臺要求 同構(gòu)存儲 與平臺無關(guān)， 需要增加專有的復(fù)制服務(wù)器或帶有復(fù)制功能的SAN交換機 同構(gòu)主機、異構(gòu)存儲 與平臺無關(guān) 復(fù)制性能 高 高 高 較高 資源占用 對生產(chǎn)系統(tǒng)存儲性能有影響 對網(wǎng)絡(luò)要求高 對生產(chǎn)系統(tǒng)主機性能有影響 占用部分生產(chǎn)系統(tǒng)數(shù)據(jù)庫資源 技術(shù)成熟度 成熟 成熟度有待提高，非主流復(fù)制技術(shù)。 成熟 成熟 投入成本 高，需要同構(gòu)存儲 較高，需要專有設(shè)備 較高，需要同構(gòu)主機 一般 部分軟件免費，如DataGuard 復(fù)制軟件 IBM PPRC EMC SRDF HP CA（Continues Access） HDS TrueCopy Brocade Tapestr

17、y DMM UIT SVM EMC VSM 原廠技術(shù)： IBM AIX LVM HP-UINX MirrorDisk Sun Solaris SVM 專業(yè)的復(fù)制軟件： Symantec SF/VVR Oracle DataGuard Oracle GoldenGate DNT IDR DSG RealSync Quest SharePlex 1.4.3重復(fù)數(shù)據(jù)刪除技術(shù) 重復(fù)數(shù)據(jù)刪除技術(shù)是指將存儲系統(tǒng)中存在的大量內(nèi)容相同的數(shù)據(jù)刪除，只保留其中一份，從而縮減存儲空間的技術(shù)。在云災(zāi)備中，該技術(shù)既能大幅減少災(zāi)備中心存儲的數(shù)據(jù)量，降低災(zāi)備中心的建設(shè)和運維成本，又能大幅減少數(shù)據(jù)備份和恢復(fù)過程中用戶和災(zāi)備提

18、供商間的數(shù)據(jù)傳輸量，提高備份和恢復(fù)的性能，是一項十分重要的技術(shù)。 隨著災(zāi)備中心的規(guī)模不斷增大，存儲的數(shù)據(jù)量和訪問量不斷增加，單一節(jié)點上的重復(fù)數(shù)據(jù)刪除方法已不能滿足性能和容量的需求。除上述基本重復(fù)數(shù)據(jù)刪除技術(shù)外，一些優(yōu)化和改進技術(shù)對云災(zāi)備是至關(guān)重要的，包括高性能、可擴展的、分布式的重復(fù)數(shù)據(jù)刪除技術(shù)，以及為提高災(zāi)備中心數(shù)據(jù)可靠性的高可靠重復(fù)數(shù)據(jù)刪除技術(shù)。 1.4.4操作系統(tǒng)虛擬化技術(shù) 除了數(shù)據(jù)級的災(zāi)備，還應(yīng)提供系統(tǒng)級的災(zāi)備。即在將數(shù)據(jù)復(fù)制到云端的同時，也將受保護的應(yīng)用程序的狀態(tài)復(fù)制到云端，當災(zāi)難發(fā)生時可以立即切換到云端的應(yīng)用程序運行，保證業(yè)務(wù)連續(xù)性。系統(tǒng)級災(zāi)備是通過操作系統(tǒng)虛擬化和檢查點實現(xiàn)的。檢

19、查點用來捕獲進程某一時刻的運行狀態(tài)，從而實現(xiàn)進程遷移。進程遷移既可以是用戶應(yīng)用程序進程到云災(zāi)備中心的遷移，也可以是云災(zāi)備中心內(nèi)部的虛擬機池間進程遷移，以實現(xiàn)根據(jù)前端用戶的需求自動地調(diào)節(jié)災(zāi)備服務(wù)提供商有限的硬件與軟件資源，動態(tài)地、彈性的反應(yīng)前端業(yè)務(wù)對災(zāi)備的需求。 當程序因故障中斷，如果不能保留其中間運行狀態(tài)，恢復(fù)后從頭運行將會帶來極大的消耗。檢查點技術(shù)能夠解決這個問題。通過保留各個進程的運行狀態(tài)，恢復(fù)時能夠復(fù)原到最近一次保留的數(shù)據(jù)映像。 傳統(tǒng)的檢查員機制是基于庫的檢查點機制。例如以靜態(tài)庫的形式實現(xiàn)，或通過加載動態(tài)鏈接庫來追蹤程序運行過程中的數(shù)據(jù)變化。也有一些檢查點機制實現(xiàn)于內(nèi)核級別甚至硬件級別。

20、例如通過在文件系統(tǒng)層之上引入一個中間層來實現(xiàn)保留文件系統(tǒng)狀態(tài)的檢查點機制；或者借助Fuse內(nèi)核模塊實現(xiàn)的支持檢查點機制的文件系統(tǒng)，通過Fuse偵測、攔截內(nèi)核級別的文件系統(tǒng)操作并將控制權(quán)傳遞給用戶，從而能夠在用戶空間對文件系統(tǒng)狀態(tài)進行保留。 隨著操作系統(tǒng)虛擬化技術(shù)的發(fā)展，基于虛擬容器的檢查點技術(shù)也得到了很好的應(yīng)用。虛擬容器是通過系統(tǒng)虛擬化技術(shù)構(gòu)建出來的一個進程運行的較獨立的上下文環(huán)境。虛擬容器檢查點技術(shù)能夠有效保護容器內(nèi)運行的應(yīng)用程序和服務(wù)而不需要對應(yīng)用進行修改。 1.5總體架構(gòu)設(shè)計 1.5.1Primeton“兩地三中心”容災(zāi)解決方案架構(gòu)設(shè)計 結(jié)合近年國內(nèi)出現(xiàn)的大范圍自然災(zāi)害，以同城雙中心加異

21、地災(zāi)備中心的“兩地三中心”的災(zāi)備模式也隨之出現(xiàn)，這一方案兼具高可用性和災(zāi)難備份的能力。 1.5.1.1“兩地三中心”本地高可用和容災(zāi)保護策略 （1）本地保護策略： 本地高可用 本地clone 持續(xù)數(shù)據(jù)保護 B2DBVTL 磁帶備份 Archive Log備份 （2）容災(zāi)保護策略 應(yīng)用級或者數(shù)據(jù)級容災(zāi) 同級容災(zāi)、降級容災(zāi) 同步數(shù)據(jù)保護異步數(shù)據(jù)保護 容災(zāi)數(shù)據(jù)復(fù)制技術(shù) 主備中心運營方式雙主中心運營方式多中心運營方式 短、中、遠期容災(zāi)策略 1.5.1.2“兩地三中心”功能定位 生產(chǎn)中心 同城備份中心 異地災(zāi)備中心 生產(chǎn) 生產(chǎn)（雙活或熱備） 生產(chǎn) 備份 備份 備份 災(zāi)備 災(zāi)備 災(zāi)備 開發(fā) 監(jiān)控 測試 測

22、試 監(jiān)控 監(jiān)控 管理 管理 同城雙中心是指在同城或鄰近城市建立兩個可獨立承擔關(guān)鍵系統(tǒng)運行的數(shù)據(jù)中心，雙中心具備基本等同的業(yè)務(wù)處理能力并通過高速鏈路實時同步數(shù)據(jù)，日常情況下可同時分擔業(yè)務(wù)及管理系統(tǒng)的運行，并可切換運行；災(zāi)難情況下可在基本不丟失數(shù)據(jù)的情況下進行災(zāi)備應(yīng)急切換，保持業(yè)務(wù)連續(xù)運行。與異地災(zāi)備模式相比較，同城雙中心具有投資成本低、建設(shè)速度快、運維管理相對簡單、可靠性更高等優(yōu)點。 異地災(zāi)備中心是指在異地的城市建立一個備份的災(zāi)備中心，用于雙中心的數(shù)據(jù)備份，當雙中心出現(xiàn)自然災(zāi)害等原因而發(fā)生故障時，異地災(zāi)備中心可以用備份數(shù)據(jù)進行業(yè)務(wù)的恢復(fù)。 1.5.1.3“兩地三中心”容災(zāi)架構(gòu)設(shè)計 邏輯架構(gòu)模型設(shè)

23、計： 物理架構(gòu)設(shè)計： 方案特點： 同城范圍有效保證了數(shù)據(jù)的安全性和業(yè)務(wù)連續(xù)性； 異地復(fù)制數(shù)據(jù)根據(jù)災(zāi)難情形，盡可能降低數(shù)據(jù)丟失機率； 同城雙中心為同步復(fù)制，數(shù)據(jù)實時同步，RPO=0； 異地?zé)o距離限制，保證數(shù)據(jù)一致性，保證了數(shù)據(jù)的有效保護； 異地容災(zāi)帶寬要求低，先進的復(fù)制機制提高帶寬利用率。 對于本地本級備份，應(yīng)建立在線、近線、離線等多級存儲備份系統(tǒng)，充分利用先進的備份手段和備份策略，形成完整的本地備份管理解決方案；備份的數(shù)據(jù)包括操作系統(tǒng)、數(shù)據(jù)文件以及應(yīng)用服務(wù)環(huán)境等多個方面；日常訪問的重要數(shù)據(jù)采用磁盤或者虛擬帶庫方式備份，歸檔數(shù)據(jù)和非重要數(shù)據(jù)采用磁帶庫方式備份；重要數(shù)據(jù)應(yīng)至少保證每周做一個全量備份

24、，平時做增量備份。 對于數(shù)據(jù)級異地災(zāi)備中心，選址上，應(yīng)進行風(fēng)險分析，避免異地備份中心與主中心同時遭受同類風(fēng)險；網(wǎng)絡(luò)備用系統(tǒng)上，必須在核心網(wǎng)絡(luò)層面實現(xiàn)熱備，保證災(zāi)備中心區(qū)域內(nèi)通信的可靠性；數(shù)據(jù)備份系統(tǒng)上，主中心與備份中心的備份鏈路應(yīng)有冗余，并確保2小時內(nèi)將主中心的增量數(shù)據(jù)復(fù)制或備份到災(zāi)備中心；數(shù)據(jù)處理備用系統(tǒng)上，配備災(zāi)難恢復(fù)所需的全部數(shù)據(jù)處理設(shè)備，并處于就緒狀態(tài)或運行狀態(tài)，與主中心共同承擔部分核心應(yīng)用的查詢服務(wù)功能。 對于同城應(yīng)用級災(zāi)備中心，選址上，主中心與同城災(zāi)備中心距離應(yīng)小于100KM；網(wǎng)絡(luò)備用系統(tǒng)上，在核心網(wǎng)絡(luò)層面實現(xiàn)熱備，主中心與應(yīng)用級災(zāi)備中心間通過裸光纖互聯(lián)或VPLS互聯(lián)，部署TRIL

25、L構(gòu)建大二層網(wǎng)絡(luò)，滿足虛擬化需求；網(wǎng)絡(luò)負載均衡上，主中心網(wǎng)絡(luò)與災(zāi)備中心網(wǎng)絡(luò)的負載均衡，提高災(zāi)備網(wǎng)絡(luò)利用率與災(zāi)備網(wǎng)絡(luò)可用性，正常情況下數(shù)據(jù)流同時使用兩個中心的網(wǎng)絡(luò)，主中心網(wǎng)絡(luò)出現(xiàn)故障時，則全部數(shù)據(jù)流向災(zāi)備網(wǎng)絡(luò)；應(yīng)用集群切換上，關(guān)鍵業(yè)務(wù)系統(tǒng)集群實現(xiàn)手動切換，主中心與同城災(zāi)備中心之間建立高可用性監(jiān)控技術(shù)，實現(xiàn)災(zāi)備中心應(yīng)用服務(wù)器集群與主中心生產(chǎn)服務(wù)器集群之間的高可用性切換；云計算技術(shù)采用上，采用虛擬化技術(shù)對同城災(zāi)備中心進行規(guī)劃建設(shè)，同時，根據(jù)業(yè)務(wù)關(guān)鍵程度、對性能的要求，系統(tǒng)平臺選擇不同檔次和不同平臺的主機資源池、存儲資源池。 1.5.2基于不同服務(wù)需求選擇不同可靠性“兩地三中心”架構(gòu) 1.5.2.1服務(wù)等級劃分的可靠性 服務(wù)級別 tier1 tier2 tier3 tier4 服務(wù)內(nèi)容 關(guān)鍵任務(wù)服務(wù),需要最高級別的可靠性。高端技術(shù)和工具將會被用來滿足最高級別的可靠性。如果丟失一個組件，如服務(wù)器，一塊存儲，或者一個通信鏈接，都將會導(dǎo)致服務(wù)不可靠。每個應(yīng)用和基礎(chǔ)服務(wù)都會制定性能指標。這些指標都將會被監(jiān)控，并會通過業(yè)務(wù)支持的流程以特定格式輸出。這個site不僅僅包含基礎(chǔ)架構(gòu)組件。 關(guān)鍵業(yè)務(wù)服務(wù)的運維和tier1一樣，但是某些限制非可靠級別的服務(wù)可以容忍短時間的不可恢復(fù)的影響。高端技術(shù)和工具將會盡量