侯玨　張博文

摘要：如今我們正快步邁向“DT（Data Technology）時代”，大數(shù)據(jù)逐漸受到國家和企業(yè)的高度重視，數(shù)據(jù)安全的問題顯得尤為重要。由此，企業(yè)逐步推進數(shù)據(jù)資源中心的異地容災方案的設計與實施。該文介紹了基于CDP（Continuous Data Pro-tection，連續(xù)數(shù)據(jù)保護）技術的應用級容災方案和災難發(fā)生時CDP技術實施的具體情況。

關鍵詞：數(shù)據(jù)安全；快照技術；CDP；數(shù)據(jù)備份；容災

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）19-0015-02

1數(shù)據(jù)安全關乎企業(yè)的命脈

現(xiàn)在正值21世紀的第二個十年，各行各業(yè)中企業(yè)的數(shù)據(jù)以指數(shù)方式增長，我們正由“IT（Information Technology）時代”大步進入“DT（Data Technology）時代”。大數(shù)據(jù)中數(shù)據(jù)挖掘技術可以為企業(yè)創(chuàng)造價值，同時數(shù)據(jù)安全的問題則突顯其關乎企業(yè)生存和發(fā)展的命脈。

2015年5月28日上午11時許，攜程旅行官網(wǎng)網(wǎng)站突然陷入癱瘓，其部分服務器遭受不明攻擊，直接遭受千萬級經濟損失，隨后其數(shù)據(jù)庫中某些數(shù)據(jù)被物理刪除，連帶的損失不可估量，再一次給企業(yè)的數(shù)據(jù)安全敲響了警鐘。應用容災技術可以避免類似災難的重現(xiàn)，既能保證企業(yè)數(shù)據(jù)的安全，又能保證業(yè)務的連續(xù)性。

2容災方案的基本要求和目標

以筆者所在的企業(yè)為例，該企業(yè)在北京擁有自主建立和運維的企業(yè)級數(shù)據(jù)中心機房，擁有上百臺硬件設備。該數(shù)據(jù)中心機房同時接人了中國聯(lián)通和中國電信各20M獨享專線，經過F5鏈路負載均衡設備實現(xiàn)不同用戶依據(jù)其所處網(wǎng)絡的不同（聯(lián)通或者電信）來自由地選擇最佳的鏈路進行訪問。網(wǎng)絡系統(tǒng)則采用了全千兆以太網(wǎng)技術，配置了企業(yè)級交換機作為網(wǎng)絡核心交換機，實現(xiàn)了網(wǎng)絡動態(tài)管理和虛擬局域網(wǎng)的功能。而核心網(wǎng)絡采用的是思科65系列交換機，負責全網(wǎng)數(shù)據(jù)的高速無阻塞交換、路由管理、網(wǎng)絡管理、網(wǎng)絡服務和核心數(shù)據(jù)處理等。網(wǎng)絡安全方面配置思科防火墻，并按業(yè)務等級進行安全區(qū)域劃分。機房所用服務器及存儲全部選用國際領先的IBM、Oracle品牌，并根據(jù)功能需求部署UNIX和Windows Server系統(tǒng)架構。應用系統(tǒng)數(shù)據(jù)庫采用當今世界上最主流的Oracle產品，現(xiàn)有數(shù)據(jù)量已超過20T，預計5年內數(shù)據(jù)容量可達50T，日增量至少有20G。該企業(yè)共有20多個生產系統(tǒng)，不同的生產系統(tǒng)分別運行在各自獨立的服務器上，通過光纖交換機連接到獨立的存儲。

為進一步提高該企業(yè)數(shù)據(jù)中心的安全可靠運行，防止類似“美國911”等災難性事故對核心業(yè)務產生致命影響，筆者設計在距離北京數(shù)據(jù)中心超過2000公里的廣州建立異地容災中心。北京數(shù)據(jù)中心作為生產中心提供日常對外業(yè)務訪問，廣州數(shù)據(jù)中心作為北京的異地容災中心提供極端災難情況下的應用接管和數(shù)據(jù)恢復。廣州容災中心可以解決生產中心出現(xiàn)硬件物理故障、人為誤操作、病毒攻擊等造成的數(shù)據(jù)丟失、損壞等問題。也可以防止發(fā)生地震、臺風、火災、暴力襲擊等造成建筑物倒塌導致嚴重損壞機房設備。

本文所述異地容災方案的主要目標有：（1）完善核心關鍵業(yè)務系統(tǒng)數(shù)據(jù)存儲結構；（2）建設異地應用級災備中心；（3）部署異地容災備份系統(tǒng)網(wǎng)絡架構、服務器系統(tǒng)；（4）實現(xiàn)本地的應急恢復系統(tǒng)和異地應用級容災的雙重保護。

3異地容災技術概述

異地容災，顧名思義就是在不同的地域，構建一套或者多套相同的應用或者數(shù)據(jù)庫，起到災難后立刻接管的作用。衡量容災技術有兩個指標，分別是RTO和RPO。災難來臨時抗擊數(shù)據(jù)損失量的指標為RPO（Recovery Point Objective），以數(shù)據(jù)為出發(fā)點，業(yè)務系統(tǒng)所能容忍的數(shù)據(jù)丟失量。發(fā)生災難后，啟動容災系統(tǒng)完成數(shù)據(jù)恢復。RPO值越小越好，理論上RPO可以做到為零。

以恢復數(shù)據(jù)的時間為出發(fā)點的評價指標為RTO（RecoveryTime Objective），假如災難來臨，從容災發(fā)生到業(yè)務系統(tǒng)恢復服務功能所需要的最短時間，同樣是RTO值越小越好。

目前，國際上通用的容災系統(tǒng)的評審標準為SHARE 78，其M028報告中根據(jù)災難恢復方案依據(jù)對于數(shù)據(jù)保護的程度定義為0至6共7個不同的容災級別，最低級別是0級，最高級別是6級，數(shù)據(jù)可以實現(xiàn)零丟失。這些不同級別的系統(tǒng)建設，資金投入的差距是十分巨大的。

CDP（持續(xù)數(shù)據(jù)保護）是一種在不影響主要數(shù)據(jù)運行的前提下，可以實現(xiàn)持續(xù)捕捉或跟蹤目標數(shù)據(jù)所發(fā)生的任何改變，并且能夠恢復到此前任意時間點的方法。即在不影響主要數(shù)據(jù)運行的前提下，可以捕獲或者跟蹤數(shù)據(jù)的變化，并將其在生產中心數(shù)據(jù)之外獨立存放，確保數(shù)據(jù)能夠恢復至歷史任何時間點。它是精度極細的數(shù)據(jù)塊級別保護技術，不僅可以將各時間點數(shù)據(jù)在本地保存實現(xiàn)備份，也能夠通過智能化的精簡異地傳輸技術將數(shù)據(jù)傳到異地備份。

4異地容災方案設計

本方案的建設與實施本著實用性、可靠性、先進性、可擴展性和經濟性這幾個原則來主導。遠程數(shù)據(jù)備份與系統(tǒng)恢復意義重大，技術細節(jié)復雜，投入的人力物力巨大，任何方面都不能有所疏忽。筆者為該企業(yè)設計的CDP容災解決方案總體架構如圖1所示：

詳細結構說明如下：

1）北京生產中心部署以CDP容災管理器為核心的持續(xù)數(shù)據(jù)保護系統(tǒng)。連接到FC SAN網(wǎng)絡中，通過FC連接到生產存儲網(wǎng)絡進行數(shù)據(jù)保護，并通過以太網(wǎng)進行管理。

2）北京數(shù)據(jù)中心（生產中心）設置256份快照點，廣州數(shù)據(jù)中心容災管理器服務器同樣可配置至少256份快照（Time-Mark），實現(xiàn)災備中心多歷史點的保護，使歷史數(shù)據(jù)得到了雙重保護。

3）遠程復制采用TCP/IP協(xié)議，某一時刻的復制策略要根據(jù)生產系統(tǒng)每天具體的數(shù)據(jù)增量還有主次業(yè)務占用傳輸帶寬率來靈活變化。本方案中的容災管理器可以在低帶寬情況下完成所有要求的災備功能。

4）廣州容災中心構建一套支撐系統(tǒng)來實時備份北京生產中心的數(shù)據(jù)。廣州容災中心部署的主機系統(tǒng)與生產系統(tǒng)同構，數(shù)量和性能比生產中心稍低即可，災難發(fā)生時的接管系統(tǒng)部署為X86服務器，采用虛擬化連接形式確保災備中心能夠快速重建數(shù)據(jù)中心應用系統(tǒng)環(huán)境，并實現(xiàn)備份業(yè)務系統(tǒng)對工作系統(tǒng)有效替代。

容災中心與生產中心實時的快照卷能夠保證發(fā)生災難后，容災中心可以直接掛起使用并保證數(shù)據(jù)庫上一快照點的數(shù)據(jù)。對于在災備中心上一快照點與生產卷的時間差產生的增量數(shù)據(jù)，可以在非繁忙區(qū)通過傳統(tǒng)方式回滾等手段先恢復到生產卷到正常狀態(tài)，并通過業(yè)務及應用手段抓取中間變化部分，并插入到作為生產應用的快照卷中，即完成的數(shù)據(jù)合并。這樣的技術既解決了RPO、RTO在災備中心接管的全要求，最大限度地減少拉起時間和數(shù)據(jù)損失。

5災難發(fā)生時CDP裝置的應對措施

5.1數(shù)據(jù)庫表級別的丟失或損壞

由于誤操作或病毒入侵等原因，數(shù)據(jù)庫會出現(xiàn)表的記錄丟失或損壞情況。面對這種災難，需要在主機上掛載CDP提供的歷史快照，該快照包含完整的記錄條目。然后再使用數(shù)據(jù)庫命令將丟失或損壞的記錄導人到生產數(shù)據(jù)庫中即可。

5.2數(shù)據(jù)庫和應用系統(tǒng)的文件丟失或損壞

若是數(shù)據(jù)庫文件丟失或損壞這類邏輯錯誤，可以采用提取歷史快照的方法找回歷史數(shù)據(jù)。找到沒有丟失的時間點提取快照，并分配給主機，然后在主機上運行掃描命令新增磁盤，完成后啟動數(shù)據(jù)庫將需要的表或數(shù)據(jù)庫導出，再導入到原來的數(shù)據(jù)庫即可。如果情況十分緊急，CDP的快照是可讀可寫的，可以直接使用CDP快照磁盤接管業(yè)務。

1）數(shù)據(jù)庫和應用系統(tǒng)無法正常啟動

當數(shù)據(jù)庫或應用系統(tǒng)出現(xiàn)問題無法啟動時，可以先使用NSS中的快照進行接管。方法是將歷史快照提取出來，然后分配給主機，主機上運行掃描命令新增磁盤，然后啟動數(shù)據(jù)庫或應用即可。

2）生產存儲發(fā)生故障

當生產盤出現(xiàn)故障時，NSS鏡像盤會自動接管業(yè)務，數(shù)據(jù)庫系統(tǒng)根本感知不到中斷和設備災難，實現(xiàn)了RPO=0和RTO=0的理想。當硬盤恢復時數(shù)據(jù)會在陣列中自動同步。

3）災備中心數(shù)據(jù)驗證拉起

當發(fā)生自然災害等站點級別的災難導致北京生產中心癱瘓的情況下，啟動廣州災備中心的容災系統(tǒng)來恢復數(shù)據(jù)。廣州災備中心只需要啟用災備處理服務器，通過災備中心的容災管理器獲取最新的生產數(shù)據(jù)，并立即啟動數(shù)據(jù)庫和應用系統(tǒng)進行業(yè)務運行，整個恢復過程可在短時間內完成。當生產中心修復后，災備中心的容災管理器能以增量的方式將數(shù)據(jù)同步回生產中心，輕松實現(xiàn)系統(tǒng)回退。

當然，災備切換是一系列技術操作的過程組合，不是單一的技術動作。站點級災難發(fā)生時，災難宣告后原數(shù)據(jù)中心的業(yè)務流切換到災備中心。接收業(yè)務流前，災備的應用和數(shù)據(jù)庫服務器需要掛起容災管理器可用數(shù)據(jù)（經驗證機校驗過的可用數(shù)據(jù)）對外服務。而且，服務的啟動順序有嚴格的要求。數(shù)據(jù)庫必須先啟動，之后才能啟動應用程序；應用服務器接管完成后，才能進行網(wǎng)絡的切換。

總之，企業(yè)數(shù)據(jù)安全意義非凡、責任重大，應主動避免數(shù)據(jù)損毀會給企業(yè)帶來致命損失的風險隱患。容災技術盡管防范的僅僅是小概率事件，也需要未雨綢繆，防患于未然，讓企業(yè)與用戶得以放心地享受“DT時代”的科技成果，并借著數(shù)據(jù)時代的東風奮勇向前。