6.灾难恢复模式分析
容灾按级别可分为数据容灾和应用容灾两部分:
(1)数据容灾:在异地建立一个数据拷贝,这个拷贝在本地生产系统的“数据系统”出现不可恢复的“物理故障”时,提供可用的数据。
(2)应用容灾:在异地提供一个完整的应用和数据系统拷贝(不一定要求同当量),这个拷贝在本地生产系统出现不可恢复的“物理故障”时,提供即时可用的生产系统。
容灾系统按投资成本与恢复所需时间的不同包括如下模式:? Tier 0 - 没有异地数据
? Tier 1- PTAM 卡车运送访问方式Pickup Truck Access Method
? Tier 2 - PTAM 卡车运送访问方式+ 热备份中心PTAM + Hot Site
? Tier 3 - 电子链接Electronic Vaulting
? Tier 4 – 批量/在线数据库镜像与日志Active Secondary Site
? Tier 5 – 两中心两阶段确认Two-Site Two-Phase Commit
? Tier 6 - 0 数据丢失远程磁盘镜像与自动切换Zero Data Loss
根据容灾恢复时间和数据恢复程度等不同容灾恢复要求,将这6种容灾备份模式划分为三个等级。
① 冷备份:灾备运行系统未安装或未配置成与生产系统相同或相似的运行环境,应用系统数据没有及时装入备份系统。一旦发生灾难,需安装配置所需的运行环境,用数据备份介质(磁带或光盘)恢复应用数据,手工逐笔或自动批量追补孤立数据,将用户通过通讯线路切换到备份系统,恢复业务运行。
优点:设备投资较少,节省通信费用,通信环境要求不高。
缺点:恢复时间较长,一般要数天至一周,数据完整性与一致性较差。
② 温备份:有灾备运行系统安装场地、后备运行主机和通讯设备,后备运行系统已安装配置成与生产系统相同或相似的系统和网络运行环境,安装了应用系统业务定期备份数据。一旦发生灾难,直接使用定期备份数据,手工逐笔或自动批量追补孤立数据或将用户通过通讯线路切换到备份系统,恢复业务运行。
优点:设备投资较少,通信环境要求不高。
缺点:恢复时间长,一般要十几小时至数天,数据完整性与一致性较差。
279
③ 热备份:灾备运行系统处于联机状态,生产系统通过高速通信线路将数据实时传送到灾备系统,保持灾备系统与生产系统数据的同步。也可定时在灾备系统上恢复生产系统的数据。一旦发生灾难,不用追补或只需追补很少的孤立数据,备份系统可快速接替生产系统运行,恢复业务。
优点:恢复时间短,一般几十分钟到数小时,数据完整性与一致性最好,数据丢失可能性最小。
缺点:设备投资大,通信费用高,通信环境要求高,平时运行管理较复杂。
可根据本期系统的运行特点、关键程度、恢复时间的需求、恢复点的需求等,提出相应的容灾策略。
图6-63 容灾系统模式图
7.省市容灾备份中心建设模式分析
对于省市数据中心数据备份和容灾系统的建设,应结合自身业务系统的稳定性、有效性和不间断需求,以及网络系统的实际情况进行考虑。由于省级数据中心(包含省直经办业务
系统)和部分大型城市数据中心业务数据处理量大,服务对象多,支持的业务系统比较关键,为防范区域性灾难对系统造成的重大影响,应该采用本地容错和异地容灾相结合的保护措施。先期可考虑利用本地劳动保障分支机构、业务合作单位(如银行)或商业数据中心等具备良好的物理环境设施的机房,建立一个小规模的同城异地容灾备份中心,以后随着劳动保障相关业务的扩充和对容灾备份级别要求提高,可考虑容灾备份中心规模的扩充和非同城异地方式。对于中小型城市数据中心,由于容灾备份中心建设投入较大,暂不推荐建设容灾备280
份中心。
(1)需考虑的因素
省市容灾备份系统建设模式的确定主要考虑以下三方面因素:
① 灾难承受程度:明确计算机系统需要承受的灾难类型,系统故障,通信故障,长时间断电甚至火灾等意外情况所采取的方案不尽相同;
② 业务影响程度:明确当计算机系统发生意外无法工作时,导致业务停顿所造成的损失程度,即对于IT环境发生故障的最大容忍时间,它是容灾备份系统建设的重要指标;
③ 数据保护程度:是否要求数据库可以恢复所提交的交易并且要求实时同步数据,也即数据的连续性和一致性,决定了灾难恢复方案规模和复杂程度的重要数据。
(说明:以下容灾备份系统的设计是以省级数据中心为例,其他数据中心可结合其自身条件进行调整)省级数据中心的数据备份和容灾系统考虑采用应用级的本地容错、应用级的异地容灾系统建设。同城数据中心与灾备中心的数据复制的距离一般在20公里左右,因此建议采用同步数据复制方式,这样可保证数据的零丢失。同时为了保证数据中心主业务
系统不产生明显的性能影响,在主备中心之间采用裸光纤方式将两地的SAN互连,通过主机逻辑卷远程镜像功能,实现数据的同步复制。
(2)系统组成
数据中心容灾备份系统包括如下的组成部分:① 网络容错、容灾
数据中心的容错、容灾应充分考虑系统整体网络结构和配置的容错和容灾能力,通过采取全面的容错、容灾部署和设置,来满足业务系统的稳定性、有效性及不间断的需求。具体地,通过在数据中心配置冗余路由器、冗余交换机、冗余防火墙,广域网采用主备线路,来避免在数据中心网络中发生单点失效和故障等问题发生,在容灾备份中心配置一条到上级/下级网络中心节点的广域线路,一套路由器,防火墙和交换机等,实现数据中心网络层的容灾备份。
② 应用和数据库服务器的容错、容灾
在服务器系统的容错、容灾设计中,在数据中心部分采用服务器系统的冗余、容错。根据需要在容灾备份中心设置相应的服务器,一旦切换到容灾备份中心后可提供对等的服务。
③ 业务数据的备份
数据备份是指为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据从应用主机的硬盘或阵列复制到其他的存储介质的技术。要想对数据进行可靠的备份,必须选择专门的备份软、硬件,并制定相应的备份及恢复方案。
8.数据中心容灾备份系统设计(1)系统总体结构
281
由下图6-64所示,省级数据中心与市级数据中心的广域连接,既有主通信线路又有ISDN备份通信线路,相应的在省级数据中心配备主、备路由器、冗余防火墙,冗余主干交换机。业务数据库服务器采用单主机配置,磁盘采用RAID容错或者采用在线的磁盘镜像和数据镜像,并配备数据备份系统。当某一通信线路、路由器、防火墙、交换机、服务器出现故障,相应的冗余的通信线路、路由器、防火墙、交换机、服务器接管工作。当数据磁盘出现故障时,可以采用RAID容错或者采用在线的磁盘镜像和数据镜像以及数据备份系统进行数据恢复。
在容灾备份中心,与市级数据中心和其他网络的广域连接,采用ISDN通信线路,相应地配备一套路由器、防火墙、网络交换机。备份中心的业务数据库服务器(交换区数据层和应用层服务器、生产区和交换区数据层和应用层服务器)采用单主机配置,运行数据中心相同的业务系统,磁盘采用RAID容错或者采用在线的磁盘镜像和数据镜像,也配备数据备份系统。当由于数据中心灾难造成系统瘫痪,容灾备份中心快速接管工作,保证业务不中断。
图6-64 容灾备份结构图
282
本容灾备份结构可满足未来几年业务增长的需要,整个结构具有非常好的扩展能力,可适应业务发展的需求。当业务增加、数据传输量增大、数据处理量增大、数据存储量增大,可以通过增加相应的硬件设备来实现负载均衡、分布服务、高性能运行和容错、容灾。
(2)数据复制技术及数据备份模式选择
数据中心和备份中心之间的数据复制过程除了对数据库内容的更改进行实时数据复制外,还要复制有关的系统文件,例如环境配置信息、数据库环境配置信息。
由于在容灾备份中心和数据中心之间采用裸光纤直接连接,因此对于容灾数据的备份将包括整个数据库内容的复制(包含数据库安装软件、数据库数据等)。这些数据都需要实时复制到灾备节点。只有通过这种方式,才能够有效的保障当发生灾难时,恢复的时间会很短。
对于数据库内容的复制从技术上来说,主要有两种方法:
? 仅复制Archive Log和Online Redo Log。该方法的优点是复制数据量小,对带宽要求小,而且比数据库本身的复制功能更能保持数据一致性,因为数据库本身的复制仅复制Archive Log。缺点是后备节点要进行Log中的交易重提交,当发生灾难后,后备节点可能需要较长时间才能提供正常服务;
? 对数据库的内容和Log都进行复制。该方法的优点是更好地保持数据的一致性,而且发生灾难时,后备系统恢复正常服务的时间较短。缺点是复制的数据量较大,对带宽的要求较高;
由于采用裸光纤直接相连,因此采用进行数据库内容和Log的复制。同时为了保障系统的性能不受影响,建议异地数据复制工作在同步模式下进行。
(3)容灾中心服务器系统建设
服务器系统建设是容灾备份系统建设中最关键的环节。在服务器的容错、容灾备份设计中,即要考虑到数据库数据的定期自动备份,又要考虑到数据库服务器的本地容错和异地容灾。即要考虑到数据库的复制,又要考虑到数据的恢复。保证数据不丢失、数据库不崩溃、数据业务不中断。
由于在灾难条件下,灾备系统的主机需接管生产系统的所有业务,所以灾备系统的主机应选择和生产系统操作系统相同的服务器。其档次应能够承担生产系统上的业务,不造成显著的性能下降。
容灾备份中心的服务器系统建设主要完成数据中心省直经办机构的本地经办业务和省级异地经办业务系统和二级CA、OCSP、目录服务等服务器的异地冗余,实现数据中心的故障快速发现、诊断、切换、恢复能力,同时具有近距离和远距离的数据复制能力。一旦故障发生后,省直本地经办和省级异地经办业务系统等服务器与异地灾备服务器之间有快速的反应,异地灾备服务器系统能够迅速地接管业务。并且使得异地备份系统的高可用能力与本地系统的高可用能力应形成一个整体,实现多级的故障切换和恢复机制,确保业务系统在各个层面的高稳定性和高运行性。
根据对故障恢复和容灾备份的需求以及容灾备份系统建设的费用,考虑数据中心与异地
283
核心二板人社系统信息化建设安全设计方案
