容灾项目方案设计.docx

《容灾项目方案设计.docx》由会员分享，可在线阅读，更多相关《容灾项目方案设计.docx（20页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、容灾项目方案设计容灾技术规范作为风险防备系统，灾备系统建设本身在总体规划、方案选择和投产施行后的管理运行，以及真正面对灾难时的切换操作等方面也存在着潜在的风险。计算机信息系统实现数据大集、应用大集中后，系统的运行安全成为风险控制的焦点。目前，已经有多系统开场或准备进行灾备系统的建设，灾备系统建设的目的是减灾容灾，使计算机信息系统和数据能够最大限度地防备和化解各种意外和灾祸所带来的风险。然而，与大多数工程一样，灾备系统建设本身在总体规划、方案选择和投产施行后的管理运行，以及真正面对灾难时的切换操作等方面也存在着潜在的风险。能够讲，风险防备系统本身也存在风险点，需要小心应对。灾备系统建设中所涉及的

2、潜在风险大致可分为技术风险、管理风险和投资风险，其中尤以技术选择风险最大，技术方案选择优越，能够躲避一定的管理风险和投资风险。而这三者也存在内在的互相关联，不同灾备级别对应的建设投资规模、所采用的技术以及施行和管理的复杂度也不同，应考虑保护计算机系统的原有投资并提高灾备系统建设投资的利用率。1.1容灾的总体规划1.2真正的容灾是数据被不间断的一致性访问！在灾难备份的世界里，是有等级观念的，级别不同，灾备系统所采用的技术和到达的功能是不同的，在系统建设资金投入方面的差距也很宏大。所以，对用户来讲，明确灾备系统建设的总体规划特别必要。1.2.1技术指标RPO、RTO衡量容灾技术的两个技术指标RPO

3、、RTORPO(RecoveryPointObjective):以数据为出发点，主要指的是业务系统所能容忍的数据丢失量。及在发生灾难，容灾系统接替原生产系统运行时，容灾系统与原生产中心不一致的数据量。RPO是反映恢复数据完好性的指标，在同步数据复制方式下，RPO等于数据传输时延的时间；在异步数据复制方式下，RPO基本为异步传输数据排队的时间。在实际应用中，考虑到数据传输因素，业务数据库与容灾备份数据库的一致性SCN是不一样的，RPO表示业务数据与容灾备份数据的SCN的时间差。发生灾难后，启动容灾系统完成数据恢复，RPO就是新恢复业务系统的数据损失量。RTO(RecoveryTimeObject

4、ive):以应用为出发点，即应用的恢复时间目的，主要指的是所能容忍的应用停止服务的最长时间，也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。是反映业务恢复及时性的指标，表示业务从中断到恢复正常所需的时间。RTO值越小，代表容灾系统的数据恢复能力越强。各种容灾解决方案的RTO有较大差异，基于光通道技术的同步数据复制，配合异地备用的业务系统和跨业务中心与备份中心的高可用管理，这种容灾解决方案具有最小的RTO。容灾系统为获得最小的RTO，需要投入大量资金。不同容灾方案的RTO和RPO是不一样的。1.2.2国际标准SHARE?78要建设容灾系统，就必须提出相应的设计指标，以此作为衡量和选择

5、容灾解决方案的参数。目前，国际上通用的容灾系统的评审标准为SHARE78，主要包括下面内容。备份/恢复的范围灾难恢复计划的状态业务中心与容灾中心之间的距离业务中心与容灾中心之间怎样连接数据是如何在两个中心之间传送的允许有多少数据丢失保证更新的数据在容灾中心被更新容灾中心能够开场容灾进程的能力SHARE78是建立容灾系统的一种评审标准。建立容灾系统的最终目的，是为了在灾难发生后能够以最快速度恢复数据服务，主要体如今RTOObjective)和RPO上。SHARE?78,?M028报告中定义的灾备的七个级别和与其对应的数据丢失量与恢复时间情况详见下表：1.2.2.1Tier0Tier0-无异地数据

6、备份(Nooff-siteData)Tier0被定义为没有信息存储的需求，没有建立备份硬件平台的需求，也没有发展应急计划的需求，数据仅在本地进行备份恢复，没有数据送往异地。这种方式是最为低成本的灾难备份解决方案，但事实上这种灾难备份并没有真正灾难备份的能力，由于它的数据并没有被送往远离本地的地方，而数据的恢复也仅是利用本地的记录。1.2.2.2Tier1Tier1-PTAM车辆转送方式(PickupTruckAccessMethod)作为Tier1的灾难备份方案需要设计一个应急方案，能够备份所需要的信息并将它存储在异地，然后根据灾难备份的详细需求，有选择地建立备份平台，但事先并不提供数据处理的

7、硬件平台。PTAM是一种用于很多中心备份的标准方式，数据在完成写操作之后，将会被送到远离本地的地方，同时具备有数据恢复的程序。在灾难发生后，一整套系统和应用安装动作需要在一台未启动的计算机上重新完成。系统和数据将被恢复并重新与网络相连。这种灾难备份方案相对来讲成本较低(仅仅需要传输工具的消耗以及存储设备的消耗)。但同时有难于管理的问题，即很难知道什么样的数据在什么样的地方。一旦系统能够工作，标准的做法是首先恢复关键应用，其余的应用根据需要恢复。这样的情况下，恢复是可能的，但需要一定的时间，同时依靠于什么时候硬件平台能够被提供准备好。1.2.2.3Tier2Tier2-PTAM卡车转送方式+热备

8、份中心(PTAM+HotSite)Tier2相当于是Tier1再加上具有热备份能力中心的灾难备份。热备份中心拥有足够的硬件和网络设备去支持关键应用的安装需求。对于特别关键的应用，在灾难发生的同时，必须在异地有正运行着的硬件平台提供支持。这种灾难备份的方式依靠于用PTAM的方法去将日常数据放在异地存储，当灾难发生的时候，数据再被移动到一个热备份的中心。固然移动数据到一个热备份中心增加了成本，但却明显降低了灾难备份的时间。1.2.2.4Tier3Tier3-电子传送(ElectronicVaulting)Tier3是在Tier2的基础上用电子链路取代了车辆进行数据传送的灾难备份。接收方的硬件平台必

9、须与生产中心物理地相分离，在灾难发生后，存储的数据用于灾难备份。由于热备份中心要保持持续运行，因而增加了成本。但确实是消除了运送工具的需要，提高了灾难备份的速度。1.2.2.5Tier4Tier4-活动状态的备份中心(ActiveSecondarySite)Tier4这种灾难备份要求两个中心同时处于活动状态并管理相互的备份数据，允许备份行动在任何一个方向发生。接收方硬件平台必须保证与另一方平台物理地相分离，在这种情况下，工作负载能够在两个中心之间被分担，两个中心之间之间相互备份。在两个中心之间，相互的在线关键数据的拷贝不停地互相传送着。在灾难发生时，需要的关键数据通过网络可迅速恢复，通过网络的

10、切换，关键应用的恢复时间可以降低到了小时级。1.2.2.6Tier5Tier5-两中心两阶段确认(Two-SiteTwo-PhaseCommit)Tier5是在Tier4的基础上在镜像状态上管理着被选择的数据(根据单一commit范围，在本地和远程数据库中同时更新着数据)，也就是讲，在更新请求被以为是满意之前，Tier5需要生产中心与备份中心的数据都被更新。我们能够想象这样一种情景，数据在两个中心之间互相映像，由远程two-phasecommit来同步，由于关键应用使用了双重在线存储，所以在灾难发生时，仅仅传送中的数据被丢失，恢复的时间被降低到了小时级。1.2.2.7Tier6Tier6-零数

11、据丢失(ZeroDataLoss)Tier6能够实现零数据丢失率，同时保证数据立即自动地被传输到备份中心。Tier6被以为是灾难备份的最高的级别，在本地和远程的所有数据被更新的同时，利用了双重在线存储和完全的网络切换能力。Tier6是灾难备份中最昂贵的方式，也是速度最快的恢复方式，恢复的时间被降低到了分钟级。对于Tier6的灾难备份解决方案，能够应用两种远程拷贝技术来实现，即PPRC同步远程拷贝和XRC异步远程拷贝。因而，企业需要根据其计算机处理系统中数据的重要性，以及需要恢复的速度和程度，来进行灾备系统建设的整体考虑和不同灾难对业务冲击的分析，并最终确定灾备系统建设的总体规划。灾备系统建设的

12、总体规划应包括下面几个方面：1.2.3界定灾备系统的适用范围分析不同的应用系统，确定灾备系统是一个覆盖整个计算机系统的工程，根据业务的重要性，对不同的系统采用不同级别的容灾方案，如针对关键的业务应用子系统，施行高级别的容灾工程；对低级别的业务系统，施行低级别的容灾工程。总之要建立一个综合性的整体灾备建设工程。1.2.4界定灾备建设的目的生产系统在单位时间内的数据处理能力或IO流量确定的情况下，RPO实际上成为一个反映灾备恢复经过中的数据丢失量的指标。而RTO则是指从灾难发生到备份系统能够接管原有生产系统所需要花费的时间，这不仅要考虑数据的恢复时间，还应该考虑恢复后数据的完好性、一致性的修复和确

13、认、备份中心计算机处理系统的启动和备份中心的网络切换等全部时间。总体规划中应为灾备系统设定明确的RPO和RTO指标。但是设计容灾系统不能只看RTO和RPO，对于不同的业务系统和用户特殊的要求，其它一些指标有可能成为选择容灾解决方案的主要因素。例如，某些地区为了防备一些特定自然灾祸的风险，要求容灾备份中心与业务中心保持足够的距离，在这种情况下，容灾备份中心与业务中心的距离要求就是容灾系统的重要指标。通信网络是容灾系统的组成部分，通信线路的质量也是容灾系统的性能指标之一，其中包括网络的数据传输带宽、网络传输通道的冗余和网络服务商的服务水平网络年中断率。假如容灾系统使用的通信网络是确定的，为了比拟不

14、同容灾解决方案，能够用单位存储容量的数据库在同一通信网络上的数据完全恢复时间作为一项设计指标。大部分业务系统都是数据库应用构造，但业务系统容灾并不等于是数据库容灾，还包括访问数据库的应用程序和相关配置信息。实现数据库容灾是容灾的基础，在保障数据库数据一致的前提下，还要实现应用程序和配置信息的一致性；实现应用系统的高可用性、应用程序在容灾中心与生产中心接管和切回的经过，因而，还要考虑应用的形式是C/S、B/S，两层、三层、多层次的应用构造等等。1.2.5界定灾备系统的总体架构根据实际需求、现有技术、所在地域、计划防备的灾难种类和预算投入的资金量等实际情况，确定灾备系统预期到达的级别，并以此来确定

15、灾备系统与生产运行系统在地理位置上的距离同城还是异地或两者兼备堡垒节点，备份数据存储所在的介质磁盘还是磁带或两者兼备，备份数据在生产中心与备份中心传输的方式这就涉及到了详细的计算机存储与网络技术，以及备份中心计算机系统的处理能力和网络接管所需的详细架构能否与生产中心采用完全同等数量、容量和性能的计算机、存储设备和网络体系构造。第2章主流容灾技术讲明2.1数据备份数据备份是系统、数据容灾的基础，也是低端容灾的实现，是高端容灾实时数据保护的有力保障。目前备份技术主要有快照备份、离线备份、异地存储备份。备份系统通过备份策略，对计算机信息系统的操作系统、文件系统、应用程序、数据库系统等数据集，实现某一

16、时间点的完好拷贝，拷贝的数据处在非在线状态，不能被立即访问，必须通过相应操作,如恢复等方式使用备份数据。这也解决了高端容灾实时数据保护不能解决的问题：人为误操作、恶意性操作等，这类操作，计算机系统是不能区分的，一旦执行，将造成数据中心、灾备中心同时修改；对于数据库系统，在日志方式下，能够通过回滚方式修改，对于文件系统、操作系统等其他配置信息是不能回滚的，将造成毁灭性的结果。因而在建设高端容灾系统的前提，一定要做好本地系统的备份，这是容灾技术的起点。目前成熟的备份软件有SymantecNetBackup、EMCLegato，IBMTSM，HPProtectServer等等。2.2实时数据保护实时

17、数据保护，就是在多块磁盘上、多个阵列、多台服务器、多个数据中心实时的保存同一份数据的多份存储，目的是为了避免物理故障，数据不会由于一块磁盘、一个阵列、一台服务器、一个数据中心的故障，而不能访问。注意，实时数据保护需要以数据备份作为前提，它不能防备人为误操作和恶性操作。这里我们要强调容灾的目的是让数据在灾难发生时，还能被访问，通过实时数据保护，保证数据的完好性；因而实时数据保护是容灾手段，而不是目的。目前实时数据保护的技术主要有两种：数据镜像和数据复制。2.2.1数据镜像Mirroring数据镜像Mirroring是冗余的一种类型，一个磁盘上的数据在另一个磁盘上存在一个完全一样的副本即为镜像。分

18、软件镜像与硬件镜像，它们的的区别就在于实现镜像所需的CPU周期所处的位置。最终，都是根据程序的指令，为硬件磁盘，以及磁盘上存储的数据制作一个镜像副本。镜像能够保证两份数据完全一样。镜像软件有SymantecVolumeManager；各硬件厂商都有基于本人阵列的硬件镜像方式。2.2.2数据复制Replication数据复制Replication是将一个原数据的及其改动，通过后续机制拷贝到另外一处，能够是另一个磁盘、另一个阵列、另一个服务器、另一个数据中心。由于实现的机制不同，又分为同步复制和异步复制两种方式。同步复制，能够确保两份数据完全一致，但对系统的影响较大，一般不会采用；异步复制，通过后

19、续机制，确保将本地改动的数据复制的异地，对系统的影响较小，但数据同步有延迟，是目前实现远程数据同步的主要方法。根据实现机制，数据复制分为软件方式和硬件方式；硬件方式往往又被称为远程镜像。软件复制有SymantecVolumeReplicator；Datacore等；其中Symantec是基于卷的复制，Datacore是基于block的复制，类似于硬件的复制，纯硬件复制有HDSTrueCopy、EMCSRDF等。其中软件复制是能够跨硬件平台，能够实现多厂商集成，一般硬件复制则是一样品牌之间的磁盘子系统的操作。具有一定的限制性。2.2.2.1软件复制SymantecVolumeReplicator

20、(简称VVR)负责远程数据复制。VVR复制基于Volume进行。复制的数据能够是数据库中的数据文件方式或裸设备方式，数据库日志，复制的数据可以以是各种文件，如应用和数据库配置文件，应用程序，库文件，等等。复制的示意图见图四。VVR与VxVM完全集成在一起。用VxVM管理界面和命令统一配置管理；由于VVR仅仅将Volume上每次I/O的实际数据实时复制到远程节点，所以在网络线路上传输的数据量很少，对带宽的需求也很小，因而也与应用无关，只要是在定义的复制卷上的任何操作，都会被复制到异地。Datacore则是基于软件的块设备复制，处于卷的更底层，属于块设备的远程复制，与基于卷的复制不同的是，他具有应

21、用操作系统的独立性，数据的远程复制与操作系统无关，并且不需要远端主机应用系统的运行，支持异步和同步的方式，并且与硬件存储子系统不同的是，Datacore能够实现异构存储子系统的集中管理，打破了单一厂商选择的限制，对于磁盘子系统的选择愈加灵敏。其复制示意图如下：通过整合原有存储子系统以及新购的存储子系统，将数据的改动记录在Datacore的SDS设备当中，采用存储转发的传输机制，利用cache的技术和buffer的技术，记录数据的改变，然后通过传输机制将所有应用的数据传输到对端，该软件支持一对多的远程复制。类似于硬件复制，但是能够不受品牌限制。2.2.2.2硬件复制以EMC的SRDF为例，如下列

22、图：1系统定期检测磁盘物理数据块的改变状况。假如发现有数据块改动，将会被系统记录，并一次性将改动过的数据块考到复制缓存，这一动作被称为Switch。拷贝到缓存中的数据块，在下一个Switch来临之前，被复制到异地相应的阵列缓存中。在下一个Switch时，本地数据块被复制到本地存中，而异地缓存中上一次被改动过的数据块才被复制到容灾系统中。根据实应用范围，数据复制分为应用复制、数据库复制、卷复制、控制器复制。应用复制，是指通过应用系统直接向原生产中心和容灾中心同时发交易，生产中心和容灾中心都处理成功，该笔交易才算成功；只要有一边应用途理失败，该笔交易就算失败。由于交易的延迟性较大、强健性较差，应用复制一般不会考虑。2.2.2.3数据库复制数据库复制，如Oracle的DataGuard、QuestSharePlex、DSGRealSync等，通过分析数据库RedoLog和ArchiveLog实现日志的复制，将分析结果直接或转化SITEB