世贸大厦的倒塌

1、世贸大厦的倒塌，使人们清楚地看到容灾是何等重要。在至今还未清理完的废墟中，深埋着800多家公司和机构的重要数据。这其中最为世人所关注的，当属金融界巨头Morgan Stanley公司。这家执金融业之牛耳的公司，在世贸大厦租有25层，惨剧发生时，有2000多名员工正在楼内办公。随着大厦的轰然倒塌，无数人（包括笔者在内）认为Morgan Stanley将成为这一恐怖事件的殉葬品之一。然而，正当大家为此扼腕痛惜时，该公司竟然奇迹般地宣布，全球营业部第二天可以照常工作。因为先前建立的数据备份和远程容灾系统，保护了重要的数据。不得不承认，数据备份和远程容灾系统在这时挽救了Morgan Stanley，同

2、时也在一定程度上挽救了全球的金融行业。 - 在Morgan Stanley公司的IT系统中，所有重要数据都要经过双重保护磁带备份和实时复制到远程。磁带备份的目的，是保护数据免受人为误操作或蓄意破坏的损失。其实现方式相对简单，在系统中配置自动磁带库设备和自动备份管理软件，由管理员根据情况，制定好备份策略，系统就会根据策略定时、自动地备份数据。数据实时复制到远程，是远程容灾系统的一部分，其实现方式也不一而足。我们还是先从了解什么是远程容灾系统开始。 了解容灾 - 远程容灾系统是指在相隔较远的异地，建立2套或多套功能相同的IT系统，互相之间可以进行健康状态监视和功能切换。当一处系统因意外（如火灾和地

3、震等）停止工作时，整个应用系统可以切换到另一处，使得该系统功能可以继续正常工作（如图1所示）。 - 从技术上讲，典型的容灾系统一般包括2个主要的功能部分: 数据复制和应用切换。数据复制是指，在异地之间保证各个系统关键数据和状态参数的一致，其实现可以是软件的方式，也可以是硬件的方式; 应用切换是指，当某个具体应用在一个系统中失效之后，可以在另外一个系统中自动启动并接管该网络服务，这要求系统必须配置有相应的软件。 - Morgan Stanley公司的主要系统中心建在世贸大厦内，同时在新泽西的Teaneck市建有一个容灾中心。其内部配备有与主系统基本一致的硬件和软件系统，与主系统一样具有强大的信息

4、处理能力。最重要的是，该容灾系统时刻复制主系统中产生的数据，这不仅使得灾难发生后公司的关键数据不会丢失，而且，还能很快接管主系统的工作任务，向全球营业部提供原来由主系统所提供的服务能力。也正是这个容灾系统的出色表现，把Morgan Stanley公司在这次恐怖事件中的损失降到最低。全球的正常业务也基本没有停滞。 数据保护 - 前边已经提到，容灾系统主要包括数据保护和应用切换两大方面。目前，对容灾系统的研究和讨论，主要集中在最为重要的数据保护部分。下面我们就具体了解一下，容灾系统中关于数据保护的一些技术细节。 - 需要保护的数据包括业务数据、财务数据以及重要历史数据等，一般为数据库数据。除了要将

5、这些数据存放在高可用的存储设备上之外，数据库应用本身也要提供一定的数据保护机制。最重要的是，这些关键数据应该在异地之间保持一致，以使灾难发生后，系统可以尽快恢复。实际上，绝大多数存储设备厂商，都把“异地数据复制”这一功能视作衡量存储设备是否支持容灾的标志性特征。 - 实现数据的异地复制，有软件方式和硬件方式2种途径。软件方式，顾名思义，是通过主机端软件来实现。即在主系统和容灾系统的主机上，安装专用的数据复制软件。这种方式的特点是与硬件无关，而且成本较低。但是由于效率和可管理性方面的问题，在实用中，这种容灾方式的案例并不多见。实践中，大多数的容灾系统都采用硬件方式的数据复制，即数据直接在存储设备

6、之间传输，并不依赖主机的管理。这种方式要求在主系统和容灾系统配置上支持这种功能的专用存储设备，所以成本较高。 - 随着SAN的出现，存储系统结构中引入了交换部分。一些光纤通道交换机厂商也随之提出了新的“容灾结构”在交换部分中实现数据复制（如图2所示）。这种方式兼有软件方式和硬件方式的优点，不仅开放性好，可以在各种存储设备之间进行数据复制；同时与主机无关，可在不占用主机资源的情况下实现高效的数据复制。当然，这种结构在技术上还有一段路要走，暂时还不能应用到实际建设中。 - 在实际的容灾系统中，由于系统的环境不同，安全性要求不同以及采用的软硬件产品不同，数据复制过程的工作机制也不尽相同。概括地讲，数

7、据复制的工作机制主要包括同步和异步2种，此外，各厂商还在自己的产品中，提供附加的其他工作机制，以满足一些容灾系统环境的特定需求。 - 同步复制是安全级别最高的工作方式。具体的工作过程（如图3所示）是，当主系统主机向本地的存储设备发送一个I/O请求时，这个请求同时被传送到容灾系统的存储设备中，等到2个存储设备都处理完成后，才向主系统主机返回确认信号。这一机制确保在2个存储设备中的数据在数据块级别的高度一致。但是，当2个系统距离较远或者通讯效率不够时，向容灾系统发送I/O请求，会造成主系统明显的延迟，甚至会使主机无法正常工作。异步复制正是解决这一问题的另一种工作方式。它的工作机制是主系统内主机与存

8、储设备间的I/O处理与数据复制过程无关，也就是说，主机无须等待远端存储设备完成I/O处理。这样，主系统与容灾系统之间数据复制的通讯效率高，不会影响到主系统内部的处理能力。但是这样一来，2个存储设备中的数据就可能存在不一致，这也就是采用异步复制机制的代价。 -假如某证券公司在北京市的海淀区和东城区各设一个营业厅，并想在2个营业厅之间实现交易系统的容灾。首先需要在2个营业厅，配置能够实现数据复制的存储设备。然后要为2个营业厅之间的数据复制选择通讯系统。如果资金充裕，选择2MB甚至更高的专线通讯，以一般证券交易系统的工作压力而言，2个营业厅之间完全可以实现同步数据复制，也就可以实现实时容灾。如果通讯

9、系统的效率较低，为了不影响2个营业厅自己的正常交易速度，就只能采用异步的方式了。其代价就是，如果一个营业厅在上午11:10发生意外，在另外某营业厅只能将交易数据恢复到11:00或者更早，而这期间的交易数据则无法恢复。如果2个营业厅分别在北京和上海，由于距离太远，以目前的技术能力，只能实现异步的容灾。 费用问题 - 现在，再让我们以Morgan Stanley公司为例，说说像它这样的容灾解决方案的资金投入问题。首先是在容灾系统中，需要配置与主系统基本相同的软硬件。用以保证容灾系统接管工作任务后，可以具有与主系统相当的任务处理能力。其次，为了保证2个系统之间能够高效地协调工作，也需要一定的投入。比

10、如，为了保证2个系统之间数据复制工作的安全和高效，就需要高速的通讯系统做保证。Morgan Stanley公司每月仅为容灾系统支付的通讯费用就超过了10万美元。可以想见，整个容灾系统的建立和维护费用之巨，非一般中小型企业所能承受。 - 好在技术的发展使得“旧时王谢堂前燕，飞入寻常百姓家”。今天，许多软硬件厂商都可以提供相对低成本的容灾解决方案。在硬件方面，有EMC公司的CLARiiON FC4700、IBM公司的MSS 2106和HDS公司的Thunder 9200等产品，都是以部门级产品的价格提供了远程数据复制功能。在软件方面， Veritas和Legato等专业存储软件供应商都提供了基于纯

11、软件的容灾解决方案，大大降低了传统上采用专业设备的巨额成本。另外，传统备份产品也扩展出一些新的功能，在一定程度上，可以作为廉价的容灾解决办法。甚至，针对一些中小型企业需要容灾，又没有资金和技术能力的现状，出现了一些专门为中小企业提供容灾服务的专业公司。 - Iron Mountain公司就是其中之一。这家总部在波士顿的公司，在世贸大厦中共有33家客户。Iron Mountain公司在新泽西的Moonachie市建有一个防火的仓库，用于存放客户的重要数据资料，这是距世贸大厦最近的一处，距离纽约市21km。灾难发生前，这里就存放着那33家客户的重要数据。灾难发生的第2天，当这33家公司再次看到这些

12、数据时，他们知道，重建公司有希望了。 - 目前，国内还没有像Iron Mountain公司这样的从事专业容灾服务的公司，绝大多数国内存储技术公司，目前还只停留在为用户提供存储产品和存储技术方案的层面上。随着近年来一批专业从事存储系统集成服务的公司如雨后春笋般出现，其中也不乏在理念和技术上颇具先进性的公司。数月前，北京的一家存储专业公司就曾召开发布会，对用户宣称自己存储服务供应商（SSPStorage Service Provider）的业务方向。看来，不久的将来，国内用户也可以采用这种委托式的数据存储和容灾解决方案了。 新的冰山 - 通过对9月11日这次事件的研究，人们对容灾系统的建设有更进一

13、步的认识。在事件发生后，许多组织和公司都对如何建立一个真正高效率的容灾系统进行了深入地讨论，这其中，除了传统上认为的2项重点数据保护和应用重建之外，通讯系统的作用逐渐浮出水面，成为容灾系统中新的重点。先前，人们在探讨容灾系统方案时，更多的是在考察一个解决方案能否将数据安全无误地传输到远端的系统上，当灾难发生时，应用系统如何接管系统功能等问题。9月11日的事件让人们看到，当灾难真的发生时，通讯系统一片拥挤和混乱不堪，很多已经建立了备份或容灾系统的公司，由于无法了解系统的确切状况，根本无法迅速有效地做出反应，致使斥巨资建立的容灾系统，其作用大打折扣。 - 我们都知道，备份也好容灾也罢，都不是目的而

14、是手段，真正的目的是恢复。在考察一个系统的可恢复性时，能否正确恢复当然是第一关键的问题，但同时，恢复的效率和速度也是至关重要的原则之一。总之，是要把系统停机的时间缩到最短，把系统可用性提到最高。在容灾系统这个“木桶”上，通讯问题看来是最短的一块“木板”。 - “亡羊补牢，为时未晚”，一些技术组织和公司已经开始研究这一问题的解决办法。在“SearchS”主办的“Storage Decisions 2001”年会上，Comdisco公司的高级副主席Damian Walch先生就提出了一个“容灾系统专用通讯端口标准化”的设想。即像OSI标准一样，把容灾系统之间的通讯规范化，这其中包括系统状态描述和数

15、据同步2部分。这样一来，容灾系统的开放性和灵活性得到了提升，而对通讯资源的要求却显著地下降。目前，这一设想刚刚提出，相信很快各个厂商就会对此做出反应。毕竟，为用户解决实际问题是推动产品技术发展的原动力。 容灾策略 - 企业容灾是一个系统工程。像其他系统工程一样，订制一份好的容灾策略是成功实现企业容灾的第一步。首先，让我们鼓起勇气面对今天现有系统中的几大特点: 第一，不停出现的新应用和新工具，带来了数不清的管理对象和极度复杂的数据库关系；第二，关键性业务应用，要求在如此复杂的系统中实现724小时的高可用; 第三，各种软硬件平台之间诡异无常的关系，使系统资源难以发挥应有的效率; 第四，留给系统维护

16、的时间越来越少。 - 面对这样一个已经让我们足够头痛的系统，还要建立什么容灾？是的，我们必须以此为基础，在这样的环境中建立企业容灾系统。认清企业IT系统的现状，只是能帮助我们在建立容灾系统之前，更认真细致地检查现有的管理漏洞，否则，辛辛苦苦建立起来的“木桶”上又会有“短木板”了。 - 下面是EMA（Enterprise Management Associates）的高级分析家Michael Karp关于企业容灾策略的建议，笔者在这里介绍给大家。Michael把成功的建立企业容灾系统分为7个步骤。 定义方法外包给专业公司当然省时省力，但是谁能比自己更了解自己的业务模式和业务结构。如果企业业务十分

17、庞大而复杂，还是以自己为主，专业公司作为技术补充的方式为好。 确定服务级别系统如此纷繁复杂，究竟对哪些部分，保护到什么程度，这些都是必须首先考虑的问题。 建立计算工具作为巨额投入项目，容灾系统没有任何产出，当然就无法计算投入产出比。那又如何计算呢？通常情况，我们需要计算因回避了灾害而减少的损失与投入量之比。别忘了，把恢复过程所需费用计算在内。 明确资产和费用这是一个相对复杂些的问题，简而言之就是，以100万的投入换回50万的损失，当然不是企业需要的容灾系统。以50万的投入可以换回100万的损失，这样的容灾系统企业是需要的，但是，有没有更好的方法呢？ 确定方案提出或评价一个具体的容灾解决方案，是

18、一项颇具专业性的工作。需要由有丰富经验的专业人员或公司完成。 与产品供应商交易这一环节也许是令企业用户最兴奋（也可能是最头痛）的部分。用户可以在供应商那里了解许多新技术和新产品，当然也有吸引人的新构思。但是，切忌跟着厂商走，模糊了自己的初衷。 管理这是个永远的话题，相信所有的用户都知道，它是围住“木桶”的“铁圈”。没有好的管理，任何努力最终都会前功尽弃。 - 这7个步骤之间不是简单的线性关系，而是互相影响渗透，如果用流程图表示出来的话，是一条永远没有终点的曲线（如图4所示）。就像容灾技术的发展过程一样，不停地在发展和实践中往复，永远不会有终点。 - （作者地址：中国冶金建设集团沈阳勘察研究总院） - 就在上个月，Veritas亚太区产品市场经理专程来到北京，与国内用户及代理商共同探讨灾难恢复解决办法。Veritas认为，容灾系统的数据中心建设大致可分3步。 - 第一步：构建备份中心主机网络存储系统，安装应用系统。 - 第二步: 建立数据中心与备份中心的数据同步传输系统。远程数据同步复制的实现包括2