Symantec数据中心容灾备份建设规划.pdf

《Symantec数据中心容灾备份建设规划.pdf》由会员分享，可在线阅读，更多相关《Symantec数据中心容灾备份建设规划.pdf（50页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、数据中心容灾及备份系统建设规划赛门铁克软件（北京）有限公司2010 年 5 月Your Infrastructure.Your Information.Your Interactions.Only Symantec Protects Them All.目录第 1 章容灾系统技术规范.41.1容灾系统建设总体规划.41.1.1容灾关键技术定义及指标说明.41.1.1.1灾难.51.1.1.2灾难恢复.51.1.1.3灾难恢复计划（DRP）.51.1.1.4业务影响分析（BIA）.51.1.1.5恢复时间目标及恢复点目标(RPO/RTO).51.1.2国家容灾标准 GB/T 20988-2007.

2、61.1.2.1第 1 级 基本支持.61.1.2.2第 2 级 备用场地支持.71.1.2.3第 3 级 电子传输和部分设备支持.81.1.2.4第 4 级 电子传输及完整设备支持.91.1.2.5第 5 级 实时数据传输及完整设备支持.101.1.2.6第 6 级 数据零丢失和远程集群支持.111.1.3界定数据容灾系统的适用范围.121.1.4界定数据容灾系统建设的目标.121.1.5界定容灾系统的总体架构.13第 2 章主流容灾技术说明.142.1数据备份.142.2实时数据保护.142.2.1数据镜像（Mirroring）.142.2.2数据复制（Replication）.152.2

3、.3软件复制（卷复制）.172.3应用级容灾切换.172.4数据恢复测试.18第 3 章容灾系统规划设计.203.1容灾系统设计原则.203.1.1安全性.203.1.1.1不影响生产系统.203.1.1.2保证数据的一致性.213.1.2先进性.213.1.3创新性.213.1.4高可用性.213.1.4.1稳定安全.213.1.4.2负载高效.223.1.4.3冗余容错.223.1.5可扩展性.223.1.6可管理性.223.2容灾系统体系规划设计.233.3第一步，灾难恢复需求分析.243.4第二步，确定灾难恢复资源获取方式.243.5第三步，深化数据备份系统.243.5.1常规备份与恢

4、复.243.5.2操作系统数据备份 .293.5.3备份数据异地保存 .303.5.4备份数据异地恢复及验证.313.6第四步，存储整合.323.6.1集中存储及虚拟化管理设计.323.6.2集中存储及虚拟化管理所达到的特点及好处.333.6.2.1提高存储系统的可靠性.333.6.2.2提高存储系统的性能.333.6.2.3动态分级存储 .343.6.2.4通过快照功能，实现快速恢复.343.6.2.5简化存储管理的复杂性.353.7第五步，本地服务器整合.353.8第六步，实现远程实时数据保护.363.8.1远程镜像.363.8.2Symantec远程镜像数据容灾原理.373.8.3磁盘阵

5、列同步复制原理及局限性 .393.8.4操作系统镜像命令作用解释.413.8.5当生产中心数据系统故障.413.8.6灾备中心数据系统故障以及生产中心和灾备中心SAN 链路故障.423.8.7故障修复后的恢复（远程镜像快速恢复）.433.8.8远程复制.493.9第七步，实现远程集群容灾切换.513.10第八步，建立数据恢复消防演习机制.52第 1 章 容灾系统技术规范随着数据中心的建立和完善，计算机信息系统需要在数据层面、应用层面集中后，对数据的安全和关键应用的可用性作为风险控制的焦点。很多系统准备或正在进行数据备份系统的规划和建设实施，数据备份系统建设的目标是要保证数据安全、可用，使计算机

6、信息系统和数据能够最大限度地防范和解决各种意外和故障所带来的数据丢失。然而，与大多数工程一样，数据备份/恢复及容灾系统建设本身在总体规划、方案选择和投产实施后的管理运行，以及真正面对数据恢复时的实际操作等方面也存在着潜在的风险。可以说，数据备份容灾系统本身也可能存在风险点，需要小心应对。备份/恢复及容灾系统建设中所涉及的潜在风险大致可分为技术风险、管理风险和投资风险，其中尤以技术选择风险最大，技术方案选择优越，可以规避一定的管理风险和投资风险。而这三者也存在内在的相互关联，不同规模的数据备份/恢复及容灾方案对应的建设投资规模、所采用的技术以及实施和管理的复杂度也不同，应考虑保护计算机系统的原有

7、投资并提高数据备份/恢复及容灾系统建设投资的利用率。1.1 容灾系统建设总体规划数据备份的目的是为了恢复！在数据备份的世界里，是有等级观念的，规模不同，数据备份/恢复和容灾系统所采用的技术和达到的功能是不同的，在系统建设资金投入方面的差距也很巨大。所以，对于数据中心来说，明确数据备份/恢复及容灾系统建设的总体规划十分必要。1.1.1 容灾关键技术定义及指标说明1.1.1.1灾 难由于人为或自然的原因，造成信息系统运行严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件，通常导致信息系统需要切换到备用场地运行。1.1.1.2灾 难 恢 复将信息系统从灾难造成

8、的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。1.1.1.3灾 难 恢 复 计 划（DRP）为了减少灾难带来的损失和实现灾难恢复所做的事前计划和安排。1.1.1.4业 务 影 响 分 析（BIA）分析业务功能及其相关信息系统资源、评估特定灾难对各种业务功能的影响的过程。1.1.1.5恢 复 时 间 目 标 及 恢 复 点 目 标(RPO/RTO)衡量数据备份/恢复技术的技术指标叫RPO、RTO。RPO(Recovery Point Objective):以数据为出发点，主要指的是业务系统所能容忍的数据丢失量。在发生数据丢失时

9、，数据备份/恢复系统实现数据恢复时，恢复的数据与原始生产数据不一至的数据量。RPO 是反映数据恢复完整性的指标，在在线数据保护方式下，RPO 等于数据同步时间；在离线数据保护方式下，RPO 为相临两次数据备份的时间间隔。RTO(Recovery Time Objective):即数据恢复时间目标，主要指的是所能容忍的实现数据恢复的时间，也就是从系统故障发生，数据不能访问到业务数据恢复，数据能够备份访问所需要的最短时间。是反映数据恢复及时性的指标，RTO 值越小，代表数据恢复能力越强。不同规模的数据备份/恢复及容灾方案，RTO定义是不同的。1.1.2 国家容灾标准 GB/T 20988-2007

10、 国务院信息办信息系统灾难恢复规范将关键系统灾难恢复分为七个等级，并对每个等级的灾难恢复目标进行了具体的定义。比如第一级灾难恢复等级只是在异地保存备份数据，并不需要在灾备中心部署业务主机，当灾难发生需要恢复业务时，将从其他地方调配资源，进行业务恢复。标准中根据灾难恢复等级划分标准，将支持灾难恢复各个等级所需的资源（以下简称“灾难恢复资源”）分为以下7 个要素：1)数据备份系统 2)备用数据处理系统 3)备用网络系统 4)备用基础设施 5)技术支持能力 6)运行维护管理能力 7)灾难恢复预案并按照灾难恢复资源的成本与风险可能造成的损失之间取得平衡的原则（以下简称“成本风险平衡原则”）确定每项业务

11、功能的灾难恢复策略，不同的业务功能可采用不同的灾难恢复策略。按照灾难恢复等级共分为六个级别。1.1.2.1第 1 级基 本 支 持第 1 级被定义为没有备用数据处理系统需求，没有建立备份网络系统的需求，也没有技术支持的需求，但能够备份所需要的信息并将它存储在异地，然后根据数据恢复的具体需求，有选择地建立备份数据恢复平台，但事先并不提供处理备份数据恢复的硬件平台。这种方式是最为低成本的数据备份/恢复解决方案，随着技术的发展，目前的数据备份/恢复方案，已经不仅仅包括文件系统数据、数据库数据、邮件系统数据，同时也包括了操作系统数据、设备驱动程序，相关补丁和系统配置信息。第 1 级灾难恢复应具的有技术

12、和管理：要素要求数据备份系统a)完全数据备份至少每周一次；b)备份介质场外存放。备用数据处理系统备用网络系统备用基础设施a)有符合介质存放条件的场地。技术支持运行维护支持a)有介质存取、验证和转储管理制度；b)按介质特性对备份数据进行定期的有效性验证。灾难恢复预案a)有相应的经过完整测试和演练的灾难恢复预案这是一种用于许多数据中心数据备份的标准方式，数据在完成写操作之后，将会被送到远离本地的地方，同时具备有数据恢复的程序。在需要实现数据恢复时，一整套系统和应用安装动作需要在一台未启动的计算机上重新完成恢复。系统和数据将被恢复并重新与网络相连。这种备份方案相对来说成本较低(仅仅需要传输工具的消耗

13、以及存储设备的消耗)。一旦系统可以工作，标准的做法是首先恢复关键应用数据，其余的应用数据根据需要恢复，但需要一定的时间，同时依赖于什么时候硬件平台能够被提供准备好。1.1.2.2第 2 级备 用 场 地 支 持第 2 级相当于是第 1 级再加上具有热备份能力的数据备份中心。热备份中心拥有足够的硬件和网络设备去支持关键应用的安装需求。对于十分关键的数据，在数据不能在原数据中心中实现恢复时，必须在异地有正运行着的硬件平台提供恢复支持。这种数据备份中心的方式依赖于用备份投递的方法去将日常数据放在备份数据中心存储，虽然移动数据到一个热备份中心增加了成本，但却明显降低了数据恢复的时间。第 2 级灾难恢复

14、的技术和管理支持：要素要求数据备份系统a)完全数据备份至少每周一次；b)备份介质场外存放。备用数据处理系统a)灾难发生时能在预定时间内调配所需的数据处理设备到场。备用网络系统a)灾难发生时能在预定时间内调配所需的通信线路和网络设备到位备用基础设施a)有符合介质存放条件的场地；b)有满足信息系统和关键业务功能恢复运作要求的备用场地。技术支持运行维护支持a)有介质存取、验证和转储管理制度；b)按介质特性对备份数据进行定期的有效性验证；c)有备用场地管理制度；d)与相关厂商有符合灾难恢复时间要求的紧急供货协议；e)与相关运营商有符合灾难恢复时间要求的备用通信线路协议。灾难恢复预案有相应的经过完整测试

15、和演练的灾难恢复预案1.1.2.3第 3 级电 子 传 输 和 部 分 设备 支 持第 3 级灾难恢复应具有技术和管理支持：要素要求数据备份系统a)完全数据备份至少每天一次；b)备份介质场外存放；c)每天多次利用通信网络将关键数据定时批量传送至备用场地。备用数据处理系统a)配备灾难恢复所需的部分数据处理设备。备用网络系统a)配备部分通信线路和相应的网络设备。备用基础设施a)有符合介质存放条件的场地；b)有满足信息系统和关键业务功能恢复运作要求的场地。技术支持a)在备用场地有专职的计算机机房运行管理人员。运行维护支持a)按介质特性对备份数据进行定期的有效性验证；b)有介质存取、验证和转储管理制度

16、；c)有备用计算机机房管理制度；d)有备用数据处理设备硬件维护管理制度；e)有电子传输数据备份系统运行管理制度。灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案第 3 级是在第 2 级的基础上用电子链路取代了车辆进行数据传送的数据备份。接收方的硬件平台必须与生产中心物理地相分离，在故障发生后，存储的数据用于数据恢复。由于热备份中心要保持持续运行并配备了灾难恢复所需的数据处理的软硬件部分，因此增加了成本。但确实是消除了运送工具的需要，提高了数据恢复的速度。1.1.2.4第 4 级电 子 传 输 及 完 整 设备 支 持第 4 级灾难恢复应具有技术和管理支持：要素要求数据备份系统a)完全数据备

17、份至少每天一次；b)备份介质场外存放；c)每天多次利用通信网络将关键数据定时批量传送至备用场地。备用数据处理系统a)配备灾难恢复所需的全部数据处理设备，并处于就绪状态或运行状态。备用网络系统a)配备灾难恢复所需的通信线路；b)配备灾难恢复所需的网络设备，并处于就绪状态。备用基础设施a)有符合介质存放条件的备用场地；b)有符合备用数据处理系统和备用网络设备运行要求的场地；c)有满足关键业务功能恢复运作要求的场地；d)以上场地应保持 7 x 24 运作。技术支持在备用场地有：a)7 x 24 专职计算机机房管理人员；b)专职数据备份技术支持人员；c)专职硬件、网络技术支持人员。运行维护支持a)有介

18、质存取、验证和转储管理制度；b)按介质特性对备份数据进行定期的有效性验证；c)有备用计算机机房运行管理制度；d)有硬件和网络运行管理制度；e)有电子传输数据备份系统运行管理制度。灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案第 4 级 这种数据备份要求两个中心相关的主机同时处于活动状态并管理彼此的备份数据，实现数据的在线备份。备份中心硬件平台必须保证与生产中心方平台物理地相分离，在两个中心之间，在线关键数据的拷贝多次向备份中心传送着。在故障发生时，备份中心具备关键业务灾难恢复所需的全部数据处理设备，并处于就绪状态或运行状态，以及灾难恢复所需的网络设备并处于就绪状态，保证需要恢复的关键数据

19、通过可迅速恢复。1.1.2.5第 5 级实 时 数 据 传 输 及 完整 设 备 支 持第五级灾难恢复应具有技术和管理支持：要素要求数据备份系统a)完全数据备份至少每天一次；b)备份介质场外存放；c)采用远程数据复制技术，并利用通信网络将关键数据实时复制到备份场地。备用数据处理系统a)配备灾难恢复所需的部分数据处理设备。a)配备灾难恢复所需的全部数据处理设备，并处于就绪状态或运行状态。备用网络系统a)配备灾难恢复所需的通信线路；b)配备灾难恢复所需的网络设备，并处于就绪状态。c)具备通信网络自动或集中切换能力。备用基础设施a)有符合介质存放条件的备用场地；b)有符合备用数据处理系统和备用网络设

20、备运行要求的场地；c)有满足关键业务功能恢复运作要求的场地；d)以上场地应保持 7 x 24 运作。技术支持在备用场地有：a)7 x 24 专职计算机机房管理人员；b)7 x 24 专职数据备份技术支持人员；c)7 x 24 专职硬件、网络技术支持人员运行维护支持a)有介质存取、验证和转储管理制度；b)按介质特性对备份数据进行定期的有效性验证；c)有备用计算机机房运行管理制度；d)有硬件和网络运行管理制度；e)有实时数据备份系统运行管理制度。灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案第 5 级是考虑生产中心和备份中心相距离隔较远，(根据单一提交更新范围，在本地和远程数据库中同时更新着

21、数据)，也就是说，在更新请求被认为是满意之前，第 5 级需要生产中心与备份中心的数据都被更新。我们可以想象这样一种情景，数据在两个中心之间相互映像，由远程两个阶段提交过程来同步，因为关键应用使用了双重在线存储，所以在故障发生时，仅仅传送中的数据被丢失，恢复的时间被降低到了小时级。1.1.2.6第 6 级数 据 零 丢 失 和 远 程集 群 支 持第六级灾难恢复应具有技术和管理支持：要素要求数据备份系统a)完全数据备份至少每天一次；b)备份介质场外存放；c)远程实时备份，实现数据零丢失。备用数据处理系统a)备用数据处理系统具备与生产数据处理系统一致的处理能力并完全兼容；b)应用软件是“集群的”，

22、可实时无缝切换；c)具备远程集群系统的实时监控和自动切换能力。备用网络系统a)配备与生产系统相同等级的通信线路和网络设备；b)备用网络处于运行状态；c)最终用户可通过网络同时接入主、备中心。备用基础设施a)有符合介质存放条件的备用场地；b)有符合备用数据处理系统和备用网络设备运行要求的场地；c)有满足关键业务功能恢复运作要求的场地；d)以上场地应保持 7 x 24 运作。技术支持在备用场地有：a)7 x 24 专职计算机机房管理人员；b)7 x 24 专职数据备份技术支持人员；c)7 x 24 专职硬件、网络技术支持人员；d)7 x 24 专职操作系统、数据库和应用软件技术支持人员。运行维护支

23、持a)有介质存取、验证和转储管理制度；b)按介质特性对备份数据进行定期的有效性验证；c)有备用计算机机房运行管理制度；d)有硬件和网络运行管理制度；e)有电子传输数据备份系统运行管理制度。e)有实时数据备份系统运行管理制度。f)有操作系统、数据库和应用软件运行管理制度。灾难恢复预案有相应的经过完整测试和演练的灾难恢复预案第 6 级在第 5 级的基础上，除了可以实现零数据丢失率，同时保证数据立即自动地被传输到备份中心，第 6 级被认为是数据备份的最高的级别，在本地和远程的所有数据被更新的同时，利用了双重在线存储的能力，第 6 级容灾中最昂贵的方式，也是速度最快的恢复方式。此外第 6 级容灾方式通

24、过扩展常规的本地集群，所有关键应用软件除了在本地采用集群技术保护，而且在本地集群和容灾集群之间建立相互监控关系，这样由于在生产中心和容灾数据中心都存在集群，在生产集群和容灾集群之间，必须具有某种通讯能力，当生产中心某个集群或整个生产中心出现灾难时，能并能被集群监控软件实时监控，并估计预先设计好的切换策略，对不同类型的故障作出正确的响应，考虑到底层的数据已经建立在第5 级基础上实现了生产中心和备份中心的可靠同步，因此在系统、应用软件或本地硬件出现故障时，就能自动实时的切换到备用中心系统，实现最高级别的应用高可用。因此，需要根据各个计算机处理系统中数据的重要性，以及需要恢复数据的速度和程度，来进行

25、数据备份/恢复及容灾系统的总体规划。1.1.3 界定数据容灾系统的适用范围分析不同的应用系统，确定数据备份/恢复及容灾系统是一个覆盖整个计算机系统的工程，根据业务的重要性，对不同的系统采用不同级别的数据备份/恢复及容灾方案，如针对关键的业务应用子系统，实施高级别的数据备份/恢复及容灾工程；对低级别的业务系统，实施低级别的数据备份/恢复及容灾工程。总之要建立一个综合性的整体数据备份/恢复及容灾建设工程。1.1.4 界定数据容灾系统建设的目标生产系统在单位时间内的数据处理能力或IO 流量确定的情况下，RPO 实际上成为一个反映数据备份过程中的数据丢失量的指标。而RTO 则是指实现数据恢复指标，这不

26、仅要考虑数据的恢复时间，还应该考虑恢复后数据的完整性、一致性的修复和确认、备份中心计算机处理系统的启动和备份中心的数据可访问等全部时间。但是设计数据备份/恢复系统不能只看RTO 和 RPO，对于不同的业务系统和用户特殊的要求，其它一些指标有可能成为选择数据备份/恢复方案的主要因素。例如，要求数据备份中心与业务中心保持足够的距离，在这种情况下，数据备份中心与业务中心的距离要求就是数据备份/恢复系统的重要指标。通信网络是数据备份/恢复系统的组成部分，通信线路的质量也是数据备份/恢复系统的性能指标之一，其中包括网络的数据传输带宽、网络传输通道的冗余和网络服务商的服务水平（网络年中断率）。如果容灾系统

27、使用的通信网络是确定的，为了比较不同数据容灾解决方案，可以用单位存储容量的数据库在同一通信网络上的数据完全恢复时间作为一项设计指标。大部分业务数据都是数据库应用结构，但业务数据的备份/恢复及容灾,并不等于是数据库备份、恢复，还包括访问数据库的应用程序和相关配置信息。实现数据库备份是数据备份/恢复及容灾系统的基础，在保数据库数据一致的前提下，还要实现应用程序和配置信息的一致性；实现应用系统的高可用性、应用程序在数据备份中心与生产中心接管和切回的过程，保证当生产中心发生灾难时，容灾中心能依次有序的恢复业务应用，必须在集群内，集群之间定义好个业务子系统之间的倚赖关系和启动、停止次序。这样在当灾难发生

28、时，才能实现快速、正确的业务恢复。因此，还要考虑应用的模式是 C/S、B/S，两层、三层、多层次的应用结构等等。1.1.5 界定容灾系统的总体架构根据实际需求、现有技术、所在地域、计划防范的故障种类和预算投入的资金量等实际情况，确定数据备份/恢复及容灾系统预期达到的级别，并以此来确定数据备份/恢复容灾系统与生产运行系统在地理位置上的距离（同城还是异地或两者兼备堡垒节点的两地三中心组成），备份数据存储所在的介质（磁盘还是磁带或两者兼备），备份数据在生产中心与备份中心传输的方式（这就涉及到了具体的计算机存储与网络技术），以及备份中心计算机系统的处理能力和网络接管所需的具体架构（是否与生产中心采用完

29、全同等数量、容量和性能的计算机、存储设备和网络体系结构）。第 2 章主流容灾技术说明根据国家容灾标准评审定义，数据备份/恢复容灾规划必需涵盖了如下内容：2.1 数据备份数据备份是系统、数据保护的基础，也是抵御逻辑故障、恶性操作的唯一方案。目前备份技术主要有快照备份、离线备份、异地存储备份。备份系统通过备份策略，对计算机信息系统的操作系统、文件系统、应用程序、数据库系统等数据集，实现某一时间点的完整拷贝，拷贝的数据处在非在线状态，不能被立刻访问，必须通过相应操作,如恢复等方式使用备份数据。这也解决了实时数据保护不能解决的问题：人为误操作、恶意性操作等，这类操作，计算机系统是不能区分的，一旦执行，

30、将造成数据中心、备份中心数据同时修改；对于数据库系统，在日志完整时，可以通过回滚方式修改，对于文件系统、操作系统等其他配置信息是不能回滚的，将造成毁灭性的结果。目前成熟的备份软件如Symantec NetBackup。2.2 实时数据保护实时数据保护，就是在多块磁盘上、多个阵列、多台服务器、多个数据中心实时的保存同一份数据的多份存储，目的是为了避免物理故障，数据不会因为一块磁盘、一个阵列、一台服务器、一个数据中心的故障，而不能访问。此外因为距离限制，还衍生出了准实时数据保护技术；实时数据保护一般是通过扩展 SAN网络实现而准实时数据保护一般通过TCP/IP 网络实现。目前实时数据保护的技术主要

31、有两种：数据镜像和数据复制。2.2.1 数据镜像（Mirroring）数据镜像（Mirroring）是冗余的一种类型，一个磁盘上的数据在另一个磁盘上存在一个完全相同的副本即为镜像。镜像技术可以保证两份数据完全一样。成熟的镜像技术在主机卷层面，因为这种技术可以在主机层面屏蔽来自不同厂商阵列带来的技术差异性；同时这种技术可以实现同步的IO 写镜像在性能上更有优势;先进的卷镜像技术可以识别来自不同站点的镜像磁盘，可以设置读策略让读操作指针对生产中心阵列从而减少数据镜像对生产中心环境的IO 压力，对于由于光纤链路，磁盘阵列控制卡或阵列本身造成的延迟也可以作出判断和应对，一旦真的发生故障可以禁用到该站点

32、阵列的写操作，确保在应用在该站点的所有阵列上的数据保持一致性同时开始在正常的环境启用日志记录故障中的每个写操作；在故障修复以后可以通过快速同步机制进行增量的快速同步对于远程镜像这种方式不但效率高而且非常可靠。目前主流的卷镜像技术有Symantec Storage Foundation。2.2.2 数据复制（Replication）数据复制（Replication）是将一个原数据及其改动，通过后续机制拷贝到其他地方，可以是另一个磁盘、另一个阵列、另一个服务器、另一个数据中心。由于实现的机制不同，又分为同步复制和异步复制两种方式。同步复制，能够确保两份数据完全一致，此种方式对网络传输带宽及磁盘活动

33、状态有一定要求，例如网络带宽限制了数据的实时同步，将造成延时从而对系统的影响较大；异步复制，通过后续机制，确保将本地改动的数据复制的异地，对系统的影响较小，但数据同步有延迟，是目前实现远程异地数据同步的主要方法。很多硬件厂商都有基于自己阵列的硬件镜像方式。但是硬件厂商的镜像方式通常不能在阵列之间进行，因此容易形成以阵列为单位的单故障点。有些高端阵列可以提供阵列之间的复制技术，这种技术也被称为“背靠背复制技术”，然而这种技术通常需要复制的阵列采用同一型号，同一配置甚至同一固件版本,因此很容易造成锁定某种品牌造成扩展性的限制；所谓的阵列间“镜像”实际上并不是真正的镜像技术，因为在生产端主机端看到的

34、实际上还只是生产端得阵列，因此“镜像”是在阵列和阵列之间实现的，因此不但在IO 性能上之后，在阵列或链路出现故障时不能做到自动判断，这会直接造成应用停顿；而手工进行接管的时间通常需要15 分钟到半个小时，这对核心应用的可靠性是很难得到保障的；上层应用通常可能配置了多个磁盘阵列作为存储，这往往需要多个阵列提供一致性的复制手段保障应用的一致性复制，这对于不同品牌的阵列和网络条件是极难做到的；最后多种阵列复制技术对未来实现跨越站点的切换将造成不确定性和实施的复杂性。从复制层面来说，还有通过应用层面来完成数据复制的方式，这种方式多数只能应用在某个特定的数据库的日志复制层面，对于非结构化的数据没有解决方

35、案；日志复制方式需要在容灾中心部署主机，并在生产端完成对数据库的每个交易的分析后进行复制，对于每个生产数据交易的分析将会很大程度上影响生产数据库的性能，尤其对生产交易型服务器高峰期的性能将造成直接影响，而且这种复制技术往往没有经过数据库的官方认证，一旦数据库版本升级将有可能造成复制的延续性受阻；虽然数据库复制技术可以提供数据在线分析，数据挖掘等提供帮助，然而其自身架构的限制很大程度上决定了这种方式适合做双活中心的交易分析、挖掘等，而不是一个灾备解决方案。还有一种称为虚拟存储层的复制解决方案，这种方法是部署在存储阵列和主机之间。但是由于需要维护主机层到存储的写一致性，通常需要在主机端部署软件这将

36、直接影响主机层面的稳定性；我们都知道在交换层面因为承担了生产存储环境承上启下的角色，因此对性能和稳定性要求是非常苛刻的；对于部署在中间层次的虚拟技术属于“带内技术”，因为其自身往往是PC服务器架构，因此在性能上是很难得到保障的，其次这种架构为了提高稳定性通常需要部署双机集群架构和双控制卡提供冗余；而双机集群如果在判断和切换上出现问题，将直接影响整个存储环境进而影响应用的可靠性；多控制卡的部署需要多链路驱动支持，然而面临生产中心底层多种阵列和上层多种操作系统，即便是新推出了“带外技术”这种虚拟化技术都会力不从心；因此这种技术还很不成熟，目前国内鲜有成功案例出现。2.2.3 软件复制（卷复制）复制

37、方式基于数据卷Volume进行。复制的数据可以是数据库中的数据（文件方式或裸设备方式），数据库日志，复制的数据也可以是各种文件，如应用和数据库配置文件，应用程序，库文件，等等。复制的示意图见图四。Symantec Volume Replicator(简称 VVR)是一种远程卷数据复制。卷复制技术与磁盘卷管理技术可以完全集成在一起。因此可以通过用存储卷管理管理界面和命令统一配置管理；由于卷复制技术仅仅将卷上每次I/O 的实际数据实时复制到远程节点，所以在网络线路上传输的数据量很少，对带宽的需求也很小，因此也与应用无关，只要是在定义的复制卷上的仍和操作，都会被复制到异地。2.3 应用级容灾切换所谓

38、高可用性，用最简单的话说，就是系统在使用过程中有百分之多少的时间是可用的。一般情况下，群集系统需要达到9999.8 的可用性，也就是说，系统每年有四天零九个小时不可用是可以接受的。如果对系统进行了一些特别的优化管理，减少一些配置上不必要出现的错误，把可用性提升到 99.9 99.98也是不成问题的。在某个群集中，可以使系统的可用性达到 4 个 9 或 5 个 9；对于一些容错率特别高的系统，可能达到5 个 9，甚至 6 个9 以上。所以，全面的容灾保护方案，意味着除了要实现本地的切换保护外，更要实现数据的实时异地复制和业务系统（包括数据库和应用软件）的实时远程切换。从高可用设计的角度来说，一些

39、关键业务系统应该已经在本地实现了数据冗余共享，并且在本地采用了高可用的群集保护可以在应用、进程或硬件出现故障时实现本地应用切换保护，但是如果本地整个应用系统群集都发生了故障，这种本地高可用性设计的局限性就凸显出来了。因此按照国家容灾标准的最高级别要求，需要在前面提到的数据层面复制实现的基础上，建立起一个可以在主生产中心和远程备份中心切换的容灾大集群架构。其切换行为应该为：1当应用系统某个资源或系统发生故障时，在本数据中心内切换。2数据中心发生故障时，切换到备份数据中心。3当主数据中心发生灾难时，切换到容灾备份中心。集群之间如果发生互备关系（即一个集群环境有问题，其管理的应用切换到另一个集群中运

40、行），它们之间的监控可以经过跨广域网的心跳协议实现。应用切换的动作通常需要由人工控制，因为灾难恢复是需要经过严格的审查和判断后做出的，因此在广域网集群环境中通常不推荐采用类似本地集群的自动切换方式。当应用切换到容灾中心时，应该有 DNS 域名解析等相应映射修改机制，保证客户端可以透明的存取切换到备份中心的应用，甚至可以通过大的虚拟IP 或 DNS虚拟映射等方式实现透明切换。2.4 数据恢复测试大部分的数据备份/恢复系统方案，在项目实施后，很难有机会来实现恢复测试，因为对于大部分方案来说，这种预演活动，需要耗费大量的人力财力。但是定期数据恢复测试是必不可少的，它是测试目前的备份数据的有效性唯一手

41、段，因此建立一个数据恢复测试环境，也是数据备份/恢复及容灾系统规划中必不可少的内容。这一点在国家容灾标准中从第1 级到第 6 级都有明确的要求。第 3 章容灾系统规划设计3.1 容灾系统设计原则我们认为系统设计原则是必须要贯穿数据中心信息生命周期管理的全过程。并且以数据中心业务为核心，保障数据中心业务的全天候连续，高效，稳定的运行，实现数据中心信息系统的最大价值。项目设计原则：安全性先进性创新性高可用性可扩展性可管理性3.1.1 安全性数据备份/恢复及容灾系统的安全性，包含两个方面的内容：不影响生产系统保证数据的一致性3.1.1.1不 影 响 生 产 系 统为了减少 RPO，备份系统需要及时的

42、备份生产环境数据的变化，无论采用什么样的技术实现数据备份或容灾，或多或少需要占用系统资源，对生产环境有一定的影响。因此在规划设计时，我们应该考虑如何减少对生产环境的影响、或者说将这样的影响规划在能够接受的范围内。3.1.1.2保 证 数 据 的 一 致 性数据备份，是指对某一应用某一时间点的所有相关的数据实现这一时间点的拷贝，如 Oracle 数据库的备份，包括多个数据文件、控制文件、多个联机日志文件、多个归档日志文件，需要对这些所有文件同一时间点拷贝成功，备份才成功，对于任意一个文件拷贝不成功，备份数据作用就算失败。因此，在容灾系统的建立，必须以保证数据一致性为前提，这是保证备份数据恢复可用

43、的唯一标准。3.1.2 先进性数据容灾系统要保证系统设计的先进性，能快速的进行系统数据的备份和恢复。在备份系统整个架构进行设计是就采用国际上最新的技术和最成熟的备份体系。现在信息技术的发展可以说是日新月异，一般三年为一个周期就会淘汰一批技术和产品，因此，要保护客户的投资和备份方案得以延续就必须采用先进的技术，并且这种技术和产品必须被业界公认为成熟且有发展前途的，至少在5 年内具有强大的生命力。3.1.3 创新性数据备份/恢复及容灾系统设计有共通性，也会因为实际的应用环境而产生的差异性，方案配合实际的应用环境，进行随需应变的设计，根据实际的信息系统进行创新的方案设计。现在数据中心的数据备份/恢复

44、及容灾方法，早已不在是早期单服务器的数据备份和恢复方式了。3.1.4 高可用性数据中心数据负责所有信息业务，对典型的关键业务数据如ERP系统应用，是不能丢失的，对数据备份/恢复系统设计的高可靠性有着很高的要求。数据备份/恢复和容灾系统的高可靠性尤为重要。一个数据备份/恢复容灾系统要达到高可用性需要具备下列条件：3.1.4.1 稳 定 安 全一个保证企业业务有效运行的数据备份/恢复方案，必须是稳定系统结构和环境，保证信息系统的安全运行。存储安全，包括存储备份数据不受系统硬件、软件、外部环境一定变化下的影响；不受数据网络传输的影响；不受病毒、黑客的影响；有符合需求的安全的认证机制；有合理的数据备份

45、策略机制。3.1.4.2 负 载 高 效数据备份/恢复容灾系统可以承受高负载状态下的持续稳定运行，并且保证高效运行。数据备份/恢复容灾系统要保证大量的应用、服务器存储数据。如何在这样的大数据容量下满足多服务器并发备份，整个系统的性能也是一个非常关键的要求。同时考虑到数据容量的持续增长，服务器数量的不断增加，容灾系统的性能必须能够很好的适应未来的扩充和扩展的需要。3.1.4.3 冗 余 容 错数据备份/恢复容灾系统的冗余容错设计，可以避免系统单点故障，在系统出现重大故障时，仍然可以启用冗余设备保证数据备份的正常运行。3.1.5 可扩展性在数据中心的信息系统的升级和业务流程变更的情况下，可以进行在

46、线的数据备份/恢复及容灾系统功能扩展，有良好的系统兼容性，并且能为其他系统提供扩展接口。作为集中存储的基本要求，系统应能支持巨大的存储容量，可以集中存储不同平台的数据，从而实现信息的集中存储和集中管理。同时由于该系统计划分步进行建设，将分步进行扩展，逐步满足其他的数据备份/恢复容灾需求。随着服务器数量的增加、业务数据量的增加、业务的发展以及环境的变化，许多新的应用或新的服务会不断产生，因此对容灾系统的可扩展性有很高的要求。这主要表现在对系统容量的平滑扩充以及对新的主机系统的平滑连接，以尽量减少对已有正常业务的影响。这就要求数据备份/恢复及容灾技术应做到尽量与存储平台、厂商、存储设备无关。此外，

47、扩展性的要求还包括了对于容灾系统功能扩展的要求，例如应用的切换能可以通过技术自适应底层存储级别复制技术的需要，作到无缝平滑连接。3.1.6 可管理性对于数据备份/恢复及容灾系统的管理员，系统的可操作性，易用性是很重要的，系统提供良好的管理接口，能为管理员的维护工作提供良好的平台。由于信息系统的数据量非常巨大，如何有效的管理大量的用户数据，如何对整个存储系统进行有效的管理、监控和维护，如何对用户的资源进行合理的配置，都对该系统的管理提出了巨大的挑战。另外作为集中的数据备份/恢复容灾平台，如何在多台服务器之间对容量进行灵活的划分、调度以及用户权限设置也为系统的管理提出了巨大的挑战。同时该数据备份/

48、恢复容灾系统应该能够与数据中心现有的网络和应用有机结合，成为数据中心的信息基础架构。3.2 容灾系统体系规划设计如上图，对于数据中心，建议建立管理的本地数据备份，同城数据实时备份，异地远程数据备份，城域、广域高可用全局应用容灾切换的长远规划。结合国家标准容灾6 级标准，我们建议通过数据及业务系统分级梳理、分步实施，逐渐建立这一整套完善的数据备份/恢复及容灾体系：第一步，灾难恢复需求分析第二步，确定灾难恢复资源获取方式第三步，深化数据备份系统；第四步，存储整合；第五步，服务器整合；第六步，实现远程实时数据保护；第七步，实现远程集群容灾切换；第八步，建立数据恢复消防机制。3.3 第一步，灾难恢复需

49、求分析这一步需要和顾问公司一起针对生产中心的不同应用进行相关分析和梳理。3.4 第二步，确定灾难恢复资源获取方式这一步需要和顾问公司一起针对生产中心的不同应用进行相关分析和梳理。3.5 第三步，深化数据备份系统3.5.1 常规备份与恢复全面实现国标容灾规范中第一级本地数据备份/恢复方案。常规数据备份/恢复是数据保护最有效、最基本的手段。对于数据中心的所有计算机服务器我们应该考虑通过现有的专业备份软件，建立本地统一的数据备份系统，实现集中数据的备份，这些数据包括不同服务器上的文件系统数据，如word 文档、excel 表格、图表等，包括数据库数据文件、配置文件、日志文件，包括邮件信息等等，定义好

50、相关数据的备份策略和备份数据有效期，扩大本地数据备份的覆盖面，保护好核心数据的备份。关键业务的备份数据可以先存储在磁盘上，之后通过策略设置的生命周期管理策略转存到磁带库中，建议最终存储到磁带库的磁带中，这样便于数据的离线保护，避免逻辑故障和恶性破坏，更有利于未来到异地场外容灾保护及恢复的前期基础实现。在所有信息技术当中，数据保护流程和技术是最为成熟的，但是数据保护环境的规模、重要性和复杂性日益增长，以及这方面的要求不断提高，已经逐渐发展成为新的挑战。Backup Exec 平台通过对 Windows平台服务器进行集中式端到端管理，提供了新一代数据保护，从而可以应对这些挑战。数据保护挑战数据日益