災(zāi)備架構(gòu)研究與技術(shù)實現(xiàn)

郭福民

摘要：該文介紹了災(zāi)備的基本原理，包括基礎(chǔ)架構(gòu)、發(fā)展模式、位置選取。災(zāi)備技術(shù)是確保信息系統(tǒng)安全和業(yè)務(wù)連續(xù)性的重要因素。在該文中我們介紹一些重要的災(zāi)備技術(shù)，如結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)復(fù)制、虛擬主機復(fù)制、存儲復(fù)制、時鐘同步以及網(wǎng)絡(luò)切換等，以期更好地進行方案設(shè)計和技術(shù)選擇。

關(guān)鍵詞：災(zāi)備；業(yè)務(wù)連續(xù)性；災(zāi)備中心

中圖分類號：TP311 文獻標(biāo)識碼：A 文章編號：1009-3044（2018）23-0100-03

在信息技術(shù)迅猛發(fā)展和廣泛普及的當(dāng)代，各公司建設(shè)了為數(shù)眾多的信息系統(tǒng)。大量業(yè)務(wù)數(shù)據(jù)在信息系統(tǒng)中被采集、傳輸、存儲、處理和應(yīng)用。雖然信息技術(shù)為公司發(fā)展起了極大的推動作用，但也帶來了很大隱患。任何一個信息系統(tǒng)無論因自然因素或人為因素發(fā)生故障，都會對企業(yè)經(jīng)營帶來不可估量的損失。

金融、通信、互聯(lián)網(wǎng)等信息技術(shù)依賴性極高的行業(yè)，如國內(nèi)的四大國有銀行和阿里、騰訊、百度等互聯(lián)網(wǎng)公司，都建立了自己的災(zāi)備中心。其根本目的就是為了當(dāng)災(zāi)難發(fā)生時，企業(yè)能夠在最短的時間內(nèi)恢復(fù)受損信息系統(tǒng)，并提供持續(xù)的運營服務(wù)。災(zāi)備中心可以確保信息系統(tǒng)的數(shù)據(jù)安全性及業(yè)務(wù)連續(xù)性，可為信息系統(tǒng)提供風(fēng)險預(yù)防機制和災(zāi)難恢復(fù)措施。當(dāng)災(zāi)難發(fā)生時，各信息系統(tǒng)仍然可以正常工作，向用戶提供不間斷的服務(wù)，因此災(zāi)備中心的建設(shè)是必須的。

1 研究內(nèi)容與意義

1.1 災(zāi)備簡述

國標(biāo)《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T 20988-2007）中，災(zāi)難定義為：由于人為或自然的原因，造成信息系統(tǒng)運行嚴(yán)重故障或癱瘓，使信息系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受、達到特定時間的突發(fā)事件[1]。典型的災(zāi)難事件包括自然災(zāi)難、技術(shù)風(fēng)險、人為因素等。

災(zāi)備通常指在距離相隔較遠的兩地，建立功能相同的信息系統(tǒng)，且系統(tǒng)之間可進行狀態(tài)監(jiān)控和功能切換。當(dāng)某個或多個系統(tǒng)因災(zāi)難而停止運行時，可將其全部功能切換到另一地點，使該系統(tǒng)能夠正常運行。災(zāi)備中心[1]在災(zāi)難發(fā)生且主數(shù)據(jù)中心無法工作后，能夠接替主數(shù)據(jù)中心進行數(shù)據(jù)處理和支持關(guān)鍵業(yè)務(wù)運行，災(zāi)備中心提供節(jié)點級別的系統(tǒng)恢復(fù)功能。

1.2 災(zāi)備層級劃分

災(zāi)備中心建設(shè)，依據(jù)相關(guān)理論及實踐經(jīng)驗可分為數(shù)據(jù)級容災(zāi)、應(yīng)用級容災(zāi)、業(yè)務(wù)級容災(zāi)三個層級[2]。

數(shù)據(jù)級容災(zāi)是災(zāi)備中心建設(shè)的基礎(chǔ)，其對災(zāi)難恢復(fù)能力等級要求不高。主要功能是實現(xiàn)最基本的數(shù)據(jù)保護。應(yīng)用級容災(zāi)以數(shù)據(jù)保護為基礎(chǔ)，目的是實現(xiàn)信息系統(tǒng)的整體恢復(fù)，包括數(shù)據(jù)和應(yīng)用系統(tǒng)提供的服務(wù)。業(yè)務(wù)級容災(zāi)是實現(xiàn)企業(yè)所有業(yè)務(wù)的恢復(fù)。即在發(fā)生意外或災(zāi)難事件，造成關(guān)鍵業(yè)務(wù)停頓時，通過業(yè)務(wù)級容災(zāi)的相關(guān)恢復(fù)策略和流程，使企業(yè)業(yè)務(wù)能夠在要求的時間內(nèi)迅速恢復(fù)，使企業(yè)客戶的業(yè)務(wù)要求不受影響。

1.3 災(zāi)備中心位置選擇

主數(shù)據(jù)中心與災(zāi)備中心的距離遠近是影響災(zāi)備中心建設(shè)的重要因素。一般而言，兩個中心距離越遠，彼此的共同依存因素就越少，可預(yù)防的災(zāi)難種類就越多。當(dāng)距離超過一定限度后，災(zāi)備中心建設(shè)所需要的IT技術(shù)、項目實施難度以及后期管理將有重大變化。依據(jù)兩中心的距離遠近，災(zāi)備中心主要有兩種建設(shè)模式：幾十公里或一百公里以內(nèi)，主要是同城范圍的容災(zāi)距離。也稱為“同城災(zāi)備”；幾百上千公里距離，主要是不同城市之間的遠程容災(zāi)。也稱為“遠程災(zāi)備”或“異地災(zāi)備”。

目前很多企業(yè)綜合“同城災(zāi)備”和“遠程/異地災(zāi)備”的特點，在災(zāi)備系統(tǒng)建設(shè)上采用“兩地三中心”的模式。兩地三中心指在本地建立同城災(zāi)備中心，在異地建立異地災(zāi)備中心。既可以應(yīng)對同城小范圍災(zāi)難，更能夠應(yīng)對區(qū)域性大災(zāi)難。

1.4 總體分析與評估

災(zāi)備技術(shù)層面有兩個主要指標(biāo)，即RPO和RTO[3]。RPO（Recovery Point Object）反映數(shù)據(jù)恢復(fù)完整性指標(biāo)，代表了當(dāng)災(zāi)難發(fā)生時允許丟失的數(shù)據(jù)量。數(shù)據(jù)量越大，一般損失也越大。PTO（Recovery Time Object） 反映業(yè)務(wù)恢復(fù)及時性指標(biāo)，代表了系統(tǒng)恢復(fù)的時間。系統(tǒng)恢復(fù)的時間越長，一般損失也越大。

從成本上看，如果系統(tǒng)需要保證更高的業(yè)務(wù)連續(xù)性，即在災(zāi)難發(fā)生時，丟失數(shù)據(jù)最少，且恢復(fù)時間最短，需要投入極高的成本。但如果投入成本少，當(dāng)災(zāi)難發(fā)生時，將丟失大量生產(chǎn)數(shù)據(jù)，或者需要很長時間進行業(yè)務(wù)恢復(fù)，企業(yè)將承受極大損失。

根據(jù)1.2節(jié)和1.3節(jié)的內(nèi)容，結(jié)合行業(yè)成功經(jīng)驗，企業(yè)災(zāi)備中心建設(shè)可分三個階段實施。

第一階段，即數(shù)據(jù)級容災(zāi)階段。建設(shè)內(nèi)容包括本地備份、異地備份和數(shù)據(jù)恢復(fù)驗證。以及采用離線數(shù)據(jù)傳輸或在線同步、異步的方式，實現(xiàn)數(shù)據(jù)中心與災(zāi)備中心的數(shù)據(jù)同步。

第二階段，即應(yīng)用級容災(zāi)階段。建設(shè)內(nèi)容包含硬件、操作系統(tǒng)、數(shù)據(jù)庫、中間件和通信網(wǎng)絡(luò)等多個方面。

第三階段，即業(yè)務(wù)級容災(zāi)階段。從IT和非IT層面保證業(yè)務(wù)運行連續(xù)性。

綜上所述災(zāi)備中心建設(shè)可采取“兩地三中心，以數(shù)據(jù)級為起點，逐步向應(yīng)用級、業(yè)務(wù)級發(fā)展”的建設(shè)模式。

2 災(zāi)備建設(shè)技術(shù)策略分析與實現(xiàn)

根據(jù)公司基礎(chǔ)設(shè)備涵蓋小型機、X86服務(wù)器、中高端存儲；數(shù)據(jù)庫系統(tǒng)以O(shè)racle Database為主；主機系統(tǒng)包括Unix、Linux、Windows等的實際情況。特別是已構(gòu)建“小型機（物理池）、X86服務(wù)器（虛擬池）”的穩(wěn)定應(yīng)用運行平臺。下面結(jié)合災(zāi)備建設(shè)三個層級及相應(yīng)發(fā)展階段，特別是數(shù)據(jù)級容災(zāi)的基礎(chǔ)地位，對各領(lǐng)域災(zāi)備技術(shù)進行詳細闡述。

2.1 數(shù)據(jù)復(fù)制設(shè)計

數(shù)據(jù)復(fù)制包括結(jié)構(gòu)化數(shù)據(jù)復(fù)制和非結(jié)構(gòu)化數(shù)據(jù)復(fù)制。

2.1.1 結(jié)構(gòu)化數(shù)據(jù)復(fù)制

存儲于數(shù)據(jù)庫中的結(jié)構(gòu)化數(shù)據(jù)，可采用“基于數(shù)據(jù)庫軟件”的數(shù)據(jù)復(fù)制技術(shù)。該技術(shù)不僅能夠?qū)崿F(xiàn)優(yōu)異的RTO/RPO指標(biāo)，且部署靈活，不受硬件資源限定。以O(shè)racle 數(shù)據(jù)庫為例，可采用DataGuard和GoldenGate兩種工具。

Data Guard是Oracle公司推出的一種高可用數(shù)據(jù)庫工具，主要目的是實現(xiàn)Oracle數(shù)據(jù)庫層面的數(shù)據(jù)保護與容災(zāi)，源端數(shù)據(jù)庫（主庫）和目標(biāo)端數(shù)據(jù)庫（備庫）間通過日志同步來保證數(shù)據(jù)一致。備庫作為主庫的備份可以實現(xiàn)快速切換與災(zāi)難恢復(fù)。Data Guard采用三種數(shù)據(jù)保護模式，分別是最大保護模式、最大性能模式和最大可用模式[4]。其配置方便、性能優(yōu)越，在災(zāi)備建設(shè)中經(jīng)常使用。

Oracle GoldenGate的實現(xiàn)原理是通過抽取源端數(shù)據(jù)庫中的在線日志和歸檔日志，然后通過TCP/IP協(xié)議傳輸?shù)侥繕?biāo)端。目標(biāo)端將這些日志文件解析還原到自身數(shù)據(jù)庫中，以此來實現(xiàn)目標(biāo)端和源端的數(shù)據(jù)同步。

GoldenGate的主要作用有：

1）滿足亞秒級別的數(shù)據(jù)同步要求。

2）為用戶提供可持續(xù)的數(shù)據(jù)高可用性。

3）支持跨操作系統(tǒng)和跨數(shù)據(jù)庫版本的數(shù)據(jù)同步。

4）最小化數(shù)據(jù)庫升級和數(shù)據(jù)遷移的停機時間[5]。

2.1.2 非結(jié)構(gòu)化數(shù)據(jù)復(fù)制

對大多數(shù)信息系統(tǒng)而言，除結(jié)構(gòu)化數(shù)據(jù)外還存在大量非結(jié)構(gòu)化數(shù)據(jù)。非結(jié)構(gòu)化數(shù)據(jù)的復(fù)制技術(shù)主要有兩種：

1）數(shù)據(jù)遷移

首先，將系統(tǒng)中的非結(jié)構(gòu)化數(shù)據(jù)從源端全部遷移到存儲設(shè)備。然后，利用基于存儲的數(shù)據(jù)復(fù)制技術(shù)完成非結(jié)構(gòu)化數(shù)據(jù)從源端到目標(biāo)端的同步。

2）基于實用程序的數(shù)據(jù)同步

實現(xiàn)數(shù)據(jù)同步的實用程序很多，rsync 是其中的代表。使用該程序可以通過網(wǎng)絡(luò)傳輸、復(fù)制、同步數(shù)據(jù)。既可用于完整的目錄比較和傳輸，也可用于增量式目錄比較和傳輸。rsync支持大多數(shù)操作系統(tǒng)，基本特點如下：

可鏡像保存整個目錄結(jié)構(gòu)和文件系統(tǒng)；

可保持原有文件、目錄的操作權(quán)限、時間、軟硬鏈接等；

無需特殊權(quán)限即可使用；

可便捷地使用rcp、ssh等方式來傳輸文件。

正因為rsync的諸多優(yōu)點，所以在數(shù)據(jù)復(fù)制領(lǐng)域應(yīng)用非常廣泛。

2.2 虛擬化環(huán)境復(fù)制設(shè)計

針對Vmware軟件構(gòu)建的X86虛擬化池，可采用Vmware公司災(zāi)難恢復(fù)解決方案來實現(xiàn)虛擬化環(huán)境的復(fù)制。該方案包括vCenter Site Recovery Manager和vSphere Replication兩部分。

Site Recovery Manager可以自動執(zhí)行并簡化故障發(fā)生時主數(shù)據(jù)中心切換至災(zāi)備中心的過程，從而簡化災(zāi)難恢復(fù)計劃的管理工作。其支持無中斷的恢復(fù)計劃測試，可確?；謴?fù)過程的安全可靠。

vSphere Replication是VMware的專有復(fù)制引擎，它僅會將發(fā)生變更的數(shù)據(jù)塊復(fù)制到恢復(fù)站點，可確保實現(xiàn)更低的帶寬利用率和更高的恢復(fù)點目標(biāo)。無需采用基于存儲陣列的本機復(fù)制，即可通過網(wǎng)絡(luò)在vSphere主機之間復(fù)制處于開啟狀態(tài)的虛擬機。

2.3 存儲級復(fù)制設(shè)計

基于存儲的災(zāi)備技術(shù)其核心是利用存儲自身盤陣之間的數(shù)據(jù)塊復(fù)制技術(shù)來完成對生產(chǎn)數(shù)據(jù)的遠程拷貝，從而實現(xiàn)生產(chǎn)數(shù)據(jù)的災(zāi)難保護。存儲級復(fù)制包含同步復(fù)制和異步復(fù)制兩種模式[3]。

同步復(fù)制模式：能夠做到主/備中心存儲同步地進行數(shù)據(jù)更新。應(yīng)用系統(tǒng)I/O寫入主存儲后，會利用自身機制同時將I/O寫入備用存儲。當(dāng)備用存儲確認(rèn)后，主存儲才返回應(yīng)用寫操作的完成信息。

異步復(fù)制模式：主中心應(yīng)用系統(tǒng)I/O寫入主存儲后，主存儲會將應(yīng)用寫操作完成信息返回給主機，主機繼續(xù)執(zhí)行讀寫I/O操作。同時主存儲通過自身機制將應(yīng)用系統(tǒng)的寫入信息發(fā)送給備用存儲。

同步復(fù)制模式，復(fù)制數(shù)據(jù)在任何時間、任何復(fù)制節(jié)點上均保持一致，適用于近距離或同城災(zāi)備。異步復(fù)制所有復(fù)制節(jié)點的數(shù)據(jù)在一定時間內(nèi)是不同步的，具體依賴于差異數(shù)據(jù)產(chǎn)生量、網(wǎng)絡(luò)傳輸速率和傳輸延時等。

2.4 時鐘同步設(shè)計

主數(shù)據(jù)中心和災(zāi)備中心各由一套IT基礎(chǔ)架構(gòu)組成，這必然面臨兩中心之間相關(guān)設(shè)備的時鐘同步問題。可在兩中心系統(tǒng)內(nèi)均部署一臺NTP時間同步服務(wù)器，兩臺服務(wù)器分別與GPS標(biāo)準(zhǔn)時鐘源或者企業(yè)內(nèi)部標(biāo)準(zhǔn)時鐘實現(xiàn)同步。兩臺NTP服務(wù)器之間也能夠互相校對、同步時鐘。同時，兩中心所有IT設(shè)備，均指向這兩臺NTP服務(wù)器，達到全系統(tǒng)時鐘同步的目的。

2.5 網(wǎng)絡(luò)切換設(shè)計

災(zāi)備體系中有多種網(wǎng)絡(luò)切換技術(shù)，歸納起來可分為以下兩類：

1）基于DNS域名系統(tǒng)的網(wǎng)絡(luò)切換模式：主數(shù)據(jù)中心和災(zāi)備中心的對外服務(wù)網(wǎng)絡(luò)采用不同的IP地址規(guī)劃。正常情況下，DNS將業(yè)務(wù)系統(tǒng)域名解析為主數(shù)據(jù)中心的IP地址。當(dāng)兩中心之間進行業(yè)務(wù)切換時，先臨時改變DNS服務(wù)器相關(guān)記錄，使同一個域名解析為災(zāi)備中心的IP地址。待客戶端的DNS Cache刷新之后，原來轉(zhuǎn)發(fā)到主數(shù)據(jù)中心的業(yè)務(wù)請求會重新流轉(zhuǎn)到災(zāi)備中心，從而實現(xiàn)網(wǎng)絡(luò)切換。

2）基于IP地址的網(wǎng)絡(luò)切換模式：主數(shù)據(jù)中心和災(zāi)備中心的對外服務(wù)網(wǎng)絡(luò)采用相同的IP地址。在正常情況下，異地災(zāi)備中心IP端口處于關(guān)閉狀態(tài)。當(dāng)兩中心業(yè)務(wù)需要切換時，先關(guān)閉主數(shù)據(jù)中心IP端口，隨后激活災(zāi)備中心IP地址。待網(wǎng)絡(luò)路由正常收斂之后，原來轉(zhuǎn)發(fā)到主數(shù)據(jù)中心的業(yè)務(wù)請求會重新流轉(zhuǎn)到災(zāi)備中心，從而實現(xiàn)網(wǎng)絡(luò)切換。

從對上層應(yīng)用端的便捷性層面考慮，建議采用基于DNS域名系統(tǒng)的網(wǎng)絡(luò)切換模式。

3 實踐應(yīng)用

3.1 實施背景

隨著公司產(chǎn)品研制、生產(chǎn)速度加快，對系統(tǒng)可靠性、業(yè)務(wù)連續(xù)性要求大幅度提高，現(xiàn)有生產(chǎn)環(huán)境已難以滿足業(yè)務(wù)發(fā)展需要。在綜合各方要求，結(jié)合行業(yè)成熟經(jīng)驗，決定對A生產(chǎn)系統(tǒng)進行全方位改造。圖1描述了A系統(tǒng)升級前后的各種差異。

本次系統(tǒng)升級既有操作系統(tǒng)、數(shù)據(jù)庫版本的不同，又有集群模式、數(shù)據(jù)存放方式的不同，停機時間有嚴(yán)格限制。和過去實施的升級項目對比，難度有大幅度提升。

3.2 項目實施

針對源端與目標(biāo)端的差異，在A系統(tǒng)數(shù)據(jù)庫遷移中，采用Goldengate工具，在4小時內(nèi)完成數(shù)據(jù)庫數(shù)據(jù)遷移。針對文件倉庫及文件目錄數(shù)據(jù)量巨大的特點，通過rsync實用程序，將源端當(dāng)前數(shù)據(jù)全部復(fù)制到目標(biāo)端，隨后執(zhí)行實時數(shù)據(jù)復(fù)制，將差異數(shù)據(jù)和增量數(shù)據(jù)同步到目標(biāo)端。系統(tǒng)升級完成后，針對新的RAC集群數(shù)據(jù)庫，使用DataGuard方式部署本地災(zāi)備數(shù)據(jù)庫。新系統(tǒng)平臺已穩(wěn)定運行半年，當(dāng)中未發(fā)生任何問題。通過實踐也驗證了rsync和GataGuard工具在建設(shè)災(zāi)備系統(tǒng)中的有效性。

4 結(jié)束語

目前災(zāi)備中心建設(shè)以及圍繞其產(chǎn)生的各種技術(shù)方法，已得到人們越來越多的關(guān)注。本文從災(zāi)備建設(shè)特點出發(fā)，從體系層面進行了有效規(guī)劃。對數(shù)據(jù)、虛擬化主機、存儲、時鐘、網(wǎng)絡(luò)等核心領(lǐng)域闡述了對應(yīng)的災(zāi)備技術(shù)。用戶應(yīng)依據(jù)自身條件，結(jié)合數(shù)據(jù)安全性、系統(tǒng)高可用性、業(yè)務(wù)連續(xù)性、RPO指標(biāo)、RTO指標(biāo)等多方面因素，制定實施適合自身發(fā)展的災(zāi)備中心建設(shè)方案。

參考文獻：

[1] GB/T 20988-2007.信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范[S]. 北京： 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局， 中國國家標(biāo)準(zhǔn)化管理委員會， 2007.

[2] 鄧曉曉. 基于金融行業(yè)的災(zāi)難備份與恢復(fù)研究[D]. 成都： 成都電子科技大學(xué)， 2009.

[3] Somasundaram G， Shrivastava A.信息存儲與管理-數(shù)字信息的存儲、管理和保護[M]. 羅英偉， 汪小林，譯. 北京： 人民郵電出版社， 2010： 233-235.

[4] 沈麗. X省電力公司基于Oracle DataGuard技術(shù)的容災(zāi)實例[J]. 數(shù)字化用戶， 2013（6）： 46.

[5] 戴冠平. GoldenGate企業(yè)級運維實戰(zhàn)[M]. 北京： 清華大學(xué)出版社， 2012： 4-6.

【通聯(lián)編輯：張薇】