摘 要：隨著銀行業(yè)務(wù)數(shù)字化轉(zhuǎn)型，影像平臺(tái)、AI學(xué)習(xí)、大數(shù)據(jù)分析、協(xié)同辦公、備份歸檔等應(yīng)用場(chǎng)景已經(jīng)使用對(duì)象存儲(chǔ)來(lái)處理海量非結(jié)構(gòu)化數(shù)據(jù)。對(duì)象存儲(chǔ)多采用分布式架構(gòu)，相比NAS文件存儲(chǔ)有著更好的擴(kuò)展性，更靈活的訪問方式，更豐富的管理接口。但海量文件也帶來(lái)了數(shù)據(jù)安全性和可用性方面的問題，文章研究了對(duì)象存儲(chǔ)多版本、回收站、分層歸檔、多站點(diǎn)、對(duì)象備份等多種數(shù)據(jù)保護(hù)技術(shù)，結(jié)合業(yè)務(wù)數(shù)據(jù)重要性的分類與識(shí)別，實(shí)現(xiàn)對(duì)象存儲(chǔ)數(shù)據(jù)的差異化保護(hù)，確保業(yè)務(wù)數(shù)據(jù)的安全性和業(yè)務(wù)連續(xù)性。

關(guān)鍵詞：對(duì)象存儲(chǔ);對(duì)象多版本;對(duì)象容災(zāi)和備份;對(duì)象分層

中圖法分類號(hào)：TP392

文獻(xiàn)標(biāo)識(shí)碼：A

Research on data protection of object storage in bank cloud environmentCHEN Hengdi

（Shanghai Pudong Decvelopment Bank， Shanghai 200000 ， China）

Abstract：With the digital transformation of banking business， application scenarios such as imagingplatform， AI learning， big data analysis， collaborative office， backup and archiving， etc. ， have usedobject storage to process massive unstructured data. Object storage mostly adopts a distributedarchitecture， which has better scalability， more flexible access methods， and richer managementinterfaces than NAS file storage. However， massive files also bring data security and availabilityissues. This paper studies various data protection technologies such as versioning， recycle bin， tiering ， multisite， object backup， etc.， combined with the classification and identification of theimportance of business data， realizes differentiated protection of object storage data， and ensures thesecurity and business continuity of business data.

Key words： object storage， object versioning， object disaster recovery and backup， object tiering

1 引言

由于對(duì)象存儲(chǔ)比NAS文件存儲(chǔ)支持更多的海量非結(jié)構(gòu)化數(shù)據(jù)，如文檔、圖片、視頻等，因此銀行在互聯(lián)網(wǎng)業(yè)務(wù)、影像平臺(tái)、辦公網(wǎng)盤、大數(shù)據(jù)分析等應(yīng)用系統(tǒng)中開始廣泛使用對(duì)象存儲(chǔ)。單套對(duì)象存儲(chǔ)采用分布式架構(gòu)，實(shí)現(xiàn)了數(shù)據(jù)以三副本或EC糾刪碼方式分布在不同的故障域（故障域以節(jié)點(diǎn)或機(jī)柜為單位），允許跨故障域的2個(gè)存儲(chǔ)節(jié)點(diǎn)或2塊硬盤同時(shí)出現(xiàn)故障而不影響業(yè)務(wù)訪問。雖然對(duì)象存儲(chǔ)本身提供了較高的數(shù)據(jù)可用性和安全性，但無(wú)法避免數(shù)據(jù)中心級(jí)別故障、單套對(duì)象存儲(chǔ)集群軟硬件缺陷，人為誤刪誤改、惡意加密覆蓋等情況下，或引起對(duì)象文件長(zhǎng)時(shí)間無(wú)法訪問或?qū)ο笪募?shù)據(jù)丟失的重大故障。本文通過研究對(duì)象存儲(chǔ)提供的多種數(shù)據(jù)保護(hù)功能，結(jié)合對(duì)銀行業(yè)務(wù)系統(tǒng)和存儲(chǔ)數(shù)據(jù)的重要性分類及生命周期管理，形成針對(duì)不同級(jí)別對(duì)象存儲(chǔ)數(shù)據(jù)的保護(hù)能力，以提升對(duì)象存儲(chǔ)的數(shù)據(jù)安全性和相關(guān)應(yīng)用系統(tǒng)的業(yè)務(wù)連續(xù)性[1]。

2 對(duì)象存儲(chǔ)數(shù)據(jù)保護(hù)技術(shù)

2.1 多版本

針對(duì)存儲(chǔ)桶（ bucket）開啟多版本功能，可以在存儲(chǔ)桶巾保留多個(gè)對(duì)象版本，防止意外覆蓋、意外刪除對(duì)象文件，并保留和檢索多個(gè)早期版本的對(duì)象文件（圖1）。啟用多版本后，往桶巾上傳同名文件時(shí)，不會(huì)覆蓋原對(duì)象文件（ ID= llllll），而是生成新版本ID （121212）;刪除對(duì)象文件時(shí)，所有版本會(huì)被保留并插入刪除標(biāo)記。

2.2WORM （法規(guī)遵從）

WORM（ Write Once Read Many）支持一次寫入，多次讀出，對(duì)象寫入后，在設(shè)置的保留期限內(nèi)不能對(duì)文件進(jìn)行修改、刪除或移動(dòng)，但是可以多次讀取。

2.3 對(duì)象回收站

開啟存儲(chǔ)桶回收站功能后，被刪除的對(duì)象文件（包括開啟多版本功能的版本文件）可以在對(duì)象回收站內(nèi)繼續(xù)保留，用于數(shù)據(jù)恢復(fù)，同時(shí)回收站本身支持?jǐn)?shù)據(jù)生命周期策略，可以自動(dòng)刪除到期的回收站內(nèi)文件，也可以將回收站內(nèi)的數(shù)據(jù)歸檔到冷存儲(chǔ)。

2.4 分層歸檔

在對(duì)象主存儲(chǔ)上，添加次級(jí)存儲(chǔ)（次級(jí)存儲(chǔ)可以是兼容S3協(xié)議且更廉價(jià)的對(duì)象存儲(chǔ)、磁帶庫(kù)、光盤庫(kù)、云存儲(chǔ)等）。通過設(shè)置數(shù)據(jù)生命周期策略（如基于對(duì)象創(chuàng)建時(shí)問和前綴進(jìn)行過濾），將主存儲(chǔ)上的歷史對(duì)象文件分層或歸檔到次級(jí)存儲(chǔ)。分層是復(fù)制元數(shù)據(jù)和數(shù)據(jù)到次級(jí)存儲(chǔ)后，主存儲(chǔ)端仍保留無(wú)數(shù)據(jù)，方便在原存儲(chǔ)桶中直接讀取歷史數(shù)據(jù)或回源歷史數(shù)據(jù)。歸檔是復(fù)制元數(shù)據(jù)和數(shù)據(jù)到次級(jí)存儲(chǔ)后，在主存儲(chǔ)端同步刪除元數(shù)據(jù)和對(duì)象數(shù)據(jù)，歷史數(shù)據(jù)只能在次級(jí)存儲(chǔ)進(jìn)行訪問。

2.5對(duì)象多站點(diǎn)

在跨數(shù)據(jù)中心的多套對(duì)象存儲(chǔ)上，創(chuàng)建多站點(diǎn)桶（以跨兩個(gè)數(shù)據(jù)中心的雙活桶較為常見），底層在每個(gè)站點(diǎn)都創(chuàng)建了一個(gè)同名的對(duì)象桶，每?jī)蓚€(gè)站點(diǎn)的桶之間進(jìn)行雙向異步復(fù)制，在確保數(shù)據(jù)最終一致性的情況下實(shí)現(xiàn)每個(gè)站點(diǎn)的桶都可讀寫，實(shí)現(xiàn)多活。多站點(diǎn)功能結(jié)合智能DNS實(shí)現(xiàn)各個(gè)站點(diǎn)對(duì)象存儲(chǔ)的就近讀寫和單站點(diǎn)存儲(chǔ)故障情況下的門動(dòng)切換，即由智能DNS提供多個(gè)站點(diǎn)桶的統(tǒng)一訪問域名，每個(gè)站點(diǎn)的域名請(qǐng)求優(yōu)先返回本站點(diǎn)對(duì)象存儲(chǔ)的IP地址，只有當(dāng)本站點(diǎn)對(duì)象存儲(chǔ)IP無(wú)法訪問的時(shí)候才會(huì)返回其他站點(diǎn)對(duì)象存儲(chǔ)的IP地址（圖2）。

2.6 對(duì)象備份

對(duì)象備份是指將一個(gè)源桶的眾多文件備份至日標(biāo)桶中，一般需要獨(dú)立部署執(zhí)行此備份的計(jì)算資源（虛擬機(jī)或容器），該計(jì)算資源需要有源桶和備份桶的訪問權(quán)限。為確保發(fā)起備份II寸的桶內(nèi)數(shù)據(jù)有一個(gè)較為完整的時(shí)間點(diǎn)切片，需要提前開啟源桶的多版本功能。

3 對(duì)象數(shù)據(jù)分類及數(shù)據(jù)保護(hù)

3.1 對(duì)象數(shù)據(jù)保護(hù)技術(shù)適用場(chǎng)景和局限

針對(duì)各種對(duì)象存儲(chǔ)數(shù)據(jù)保護(hù)技術(shù)，其適用場(chǎng)景和技術(shù)局限如表l所示。

3.2 對(duì)象數(shù)據(jù)重要性分類

根據(jù)訪問對(duì)象的應(yīng)用系統(tǒng)重要性、對(duì)象數(shù)據(jù)冷熱程度等多個(gè)維度進(jìn)行對(duì)象數(shù)據(jù)分類。按照應(yīng)用系統(tǒng)重要性可以分為：關(guān)鍵應(yīng)用系統(tǒng)（關(guān)鍵對(duì)客交易），重要應(yīng)用系統(tǒng)（重要對(duì)客交易、關(guān)鍵基礎(chǔ)平臺(tái)、關(guān)鍵監(jiān)管報(bào)送），普通應(yīng)用系統(tǒng)（普通對(duì)客交易和監(jiān)管報(bào)送、一般基礎(chǔ)平臺(tái)、重要辦公和內(nèi)部管理），次要應(yīng)用系統(tǒng)（普通辦公和內(nèi)部管理）。

按照對(duì)象數(shù)據(jù)熱度可以分為：熱數(shù)據(jù)（業(yè)務(wù)交易及批處理相關(guān)數(shù)據(jù)），溫?cái)?shù)據(jù)（短期交易查詢、近期數(shù)據(jù)報(bào)表和審計(jì)數(shù)據(jù)），冷數(shù)據(jù)（備份及歷史歸檔數(shù)據(jù)）。結(jié)合應(yīng)用系統(tǒng)的重要性分類以及對(duì)象數(shù)據(jù)的冷熱程度，可以明確對(duì)象文件的重要性分級(jí)，具體如表2所示。

3.3 對(duì)象數(shù)據(jù)分類保護(hù)

按照應(yīng)用系統(tǒng)業(yè)務(wù)連續(xù)性可以分為跨中心部署和單站點(diǎn)部署兩大類（表3）。結(jié)合對(duì)象數(shù)據(jù)重要性，可以形成對(duì)應(yīng)的對(duì)象數(shù)據(jù)分類保護(hù)策略。

針對(duì)重要性為一級(jí)的對(duì)象數(shù)據(jù)、關(guān)鍵應(yīng)用和重要應(yīng)用的二級(jí)數(shù)據(jù)，由于其存儲(chǔ)的是關(guān)鍵業(yè)務(wù)數(shù)據(jù)，因此需要跨站點(diǎn)做數(shù)據(jù)復(fù)制，不允許單站點(diǎn)部署，以避免單數(shù)據(jù)中心故障導(dǎo)致數(shù)據(jù)丟失（圖3）。普通應(yīng)用和次要應(yīng)用的二級(jí)數(shù)據(jù)可以做單站點(diǎn)部署，但需要考慮跨站點(diǎn)進(jìn)行對(duì)象備份，即將桶內(nèi)數(shù)據(jù)備份到另外站點(diǎn)的存儲(chǔ)桶中，避免單個(gè)數(shù)據(jù)中心故障后的數(shù)據(jù)完全丟失，RPO為天級(jí)。一級(jí)、二級(jí)數(shù)據(jù)還需要同步開啟多版本和回收站功能，以防止邏輯誤刪誤改和惡意篡改。

二級(jí)數(shù)據(jù)多為不再修改但偶爾查詢的溫?cái)?shù)據(jù)，需要配置分層或歸檔策略，將相關(guān)數(shù)據(jù)從主存儲(chǔ)遷移到性能較差但價(jià)格便宜的次級(jí)存儲(chǔ)保存，減少主存儲(chǔ)容量和負(fù)載。若采用分層，元數(shù)據(jù)在主存儲(chǔ)仍有保留，當(dāng)需要從次級(jí)存儲(chǔ)訪問數(shù)據(jù)時(shí)，可以從次級(jí)存儲(chǔ)訪問數(shù)據(jù)[2]。

三級(jí)、四級(jí)對(duì)象數(shù)據(jù)主要是備份歸檔的冷數(shù)據(jù)，可以開啟WORM來(lái)保護(hù)數(shù)據(jù)，只有在文件過期后力可修改和刪除。為確保備份歸檔數(shù)據(jù)的安全性，需要針對(duì)三級(jí)的備份歸檔數(shù)據(jù)進(jìn)行跨同城站點(diǎn)的對(duì)象備份，避免單集群或數(shù)據(jù)中心故障導(dǎo)致重要備份歸檔數(shù)據(jù)丟失。四級(jí)對(duì)象數(shù)據(jù)開啟WORM即可，不需要實(shí)現(xiàn)備份歸檔數(shù)據(jù)的跨站點(diǎn)備份。

4 對(duì)象數(shù)據(jù)保護(hù)應(yīng)用實(shí)踐和價(jià)值

（1）確保重要數(shù)據(jù)安全。組合多站點(diǎn)、多版本、回收站、對(duì)象備份等對(duì)象存儲(chǔ)技術(shù)，實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)數(shù)掘的跨站點(diǎn)冗余，可在誤刪、篡改等意外情況下進(jìn)行數(shù)據(jù)恢復(fù)。

（2）應(yīng)用數(shù)據(jù)生命周期管理。應(yīng)用系統(tǒng)在上傳數(shù)據(jù)到對(duì)象存儲(chǔ)時(shí)，建議在文件的前綴、后綴及自定義標(biāo)簽中增加對(duì)象數(shù)據(jù)用途和數(shù)據(jù)類型的標(biāo)記，以便后續(xù)通過生命周期規(guī)則實(shí)現(xiàn)對(duì)象數(shù)據(jù)的分層和歸檔，避免將所有數(shù)據(jù)都存放在單個(gè)存儲(chǔ)集群或存儲(chǔ)桶中。

（3）結(jié)合對(duì)象多站點(diǎn)開展業(yè)務(wù)連續(xù)性演練。對(duì)象存儲(chǔ)實(shí)施多站點(diǎn)只是實(shí)現(xiàn)了數(shù)據(jù)的跨站點(diǎn)復(fù)制，應(yīng)用層面能否在單集群故障情況下實(shí)現(xiàn)對(duì)象數(shù)據(jù)的繼續(xù)訪問，需要結(jié)合對(duì)象多站點(diǎn)開展應(yīng)用雙活或?yàn)?zāi)備演練，確保業(yè)務(wù)連續(xù)性。

5 結(jié)束語(yǔ)

對(duì)象存儲(chǔ)作為海量非結(jié)構(gòu)化文件的存儲(chǔ)首選，其數(shù)據(jù)的防護(hù)和備份不應(yīng)被忽視。通過組合使用對(duì)象多版本、對(duì)象回收站、對(duì)象多站點(diǎn)、WORM、對(duì)象備份等技術(shù)手段，以適配不同重要性和業(yè)務(wù)連續(xù)性的應(yīng)用系統(tǒng)，確保對(duì)應(yīng)生產(chǎn)和備份歸檔數(shù)據(jù)的完整性、安全性及可恢復(fù)性。對(duì)于使用對(duì)象存儲(chǔ)的應(yīng)用系統(tǒng)，也需要同步考慮對(duì)象存儲(chǔ)中應(yīng)用數(shù)據(jù)的生命周期管理，在應(yīng)用設(shè)計(jì)中對(duì)寫入數(shù)據(jù)進(jìn)行分類和標(biāo)記，并結(jié)合分層歸檔實(shí)現(xiàn)數(shù)據(jù)流動(dòng)。

參考文獻(xiàn)：

[1]羅慶超.對(duì)象存儲(chǔ)實(shí)戰(zhàn)指南[M].北京：電子工業(yè)出版社，2021.

[2]胡世杰.分布式對(duì)象存儲(chǔ)：原理、架構(gòu)及Go語(yǔ)言實(shí)現(xiàn)[M].北京：人民郵電出版社，2018.

作者簡(jiǎn)介：

陳亨迪（1983-），本科，中級(jí)工程師，研究方向：傳統(tǒng)架構(gòu)和云架構(gòu)的存儲(chǔ)備份。