灾备技术分析教学文稿

1、灾备技术分析1.1.1 灾备技术分析1.1.1.1灾 备等级建议设计一个灾备系统，需要考虑数据安全保障、网络带宽、数据备份/恢复可用，关系到备份/恢复数据量大小、数据中心和灾备中心间的距离和数据传输方式、灾难发生时要求的恢复速度等。根据这些因素，通常将灾备分为四个等级。第 0 级，无灾备中心：这一级灾备，实际上没有灾难恢复能力，它只在本地进行数据备份，并且被备份的数据只在本地保存，没有送往异地。第 1 级，本地磁带备份，异地保存：在本地将关键数据进行备份，然后送到异地保存。灾难发生后，按照预定数据恢复程序恢复系统和数据。第 2 级，主备站点备份：在异地建立一个热备份点，通过网络以同步或异步方式

2、把主站点的数据备份到备份站点，备份站点一般只备份数据，不承担业务。当出现灾难时，备份站点将接替主站点的业务，从而维护业务的连续性。第 3 级，活动灾备中心：在相隔较远的地方分别建立两个数据中心，它们都处于工作状态，并进行相互数据备份。当某个数据中心发生灾难时，另一个数据中心接替其工作任务。这种级别的备份需要配置专用的硬件设备和复杂的管理软件，需要的投资相对而言是最大的，但恢复速度也是最快的。通过比较分析，本项目拟采用灾备第 2 级进行数据灾备系统的建设。1.1.1.2 灾 备类型分析灾备系统可以分为业务级灾备、数据级灾备、应用级灾备共三种类型。(1) .业务级灾备：主要在应用软件开发阶段，对数

3、据进行主用数据库和灾备数据库的提交，这种方式需消耗10%左右的主机资源，对网络的要求也很高，因为其数据几乎是实时传递的，此外这种方式对系统开发人员要求极高，要注意每个模块跟数据相关的代码，否则极容易出现数据不一致的情况。(2) .数据级灾备：有基于存储阵列的数据镜像和基于管理软件的数据镜像两种方式。前者跟主机以及现有的 IP 网络没有关系，它通过FC (或FC-IP-FC)来实现阵列一级的数据同步，整体投资大，但数据安全性最有保障，且应用系统较多时实施较方便；后者需消耗 10%30%的处理器资源，对网络环境依赖较大。传统的数据备份可以认为是初级的数据级灾备方式，只是实效性差。(3) .应用级灾

4、备：主要用于基于数据库的灾备，这种方式的系统变更的数据可以通过数据库本身的功能，通过IP 网络从数据中心复制到灾备中心，这种方式不用兼顾应用层面和存储层面，整体成本是比较低的。传统的应用级灾备是通过主机一级的卷复制来实现数据灾备，对网络、主机的资源消耗较大。根据业务需求并通过比较分析，本项目拟采用应用级的数据灾 备方案。1.1.1.3 灾 备技术要求金保工程数据灾备系统要求必须实现以下灾备技术：(1) . 网络系统灾备：应充分考虑金保工程整体网络系统结构和配置的容错与容灾能力，满足系统的稳定性、有效性及不间断的需求。数据灾备中心和省级数据中心之间将基于金保工程业务专网，拟增设一对10M MST

5、P 业务专网线路，专门用于实现数据灾备中心和省级数据中心之间的数据传输，通过配置相关设备，在窄带网络环境下，实现主、备数据中心之间网络系统层的灾备。(2) .主机系统灾备：省级数据中心已采用主机系统的冗余及容错，在主机与存储系统的灾备设计中，应考虑灾备系统与数据中心的兼容性及远程切换的便捷性和智能性，理论上要求灾备中心尽可能配置与数据中心同型号的主机设备，系统一旦切换到灾备中心工作后可提供对等的主机系统服务(应用接管)。(3) .业务数据灾备：通过对EMC、 VIS、 H3C、 IBM 、 RD、 HDS等厂家所实现的金保工程数据灾备技术的比较分析，拟采用持续数据保护技术、字节变化量传输技术，

6、实现应用级的远程数据备份与灾难恢复。实现省本级生产数据和福州市生产数据到三明数据灾备中心的远程复制，既要保证数据的更新能够实时备份至远端，又要保证备份数据的顺序和关联，当省级数据中心发生灾难时，数据灾备中心的数据立即可用，从而保证我省金保工程业务的连续性。1.1.2灾备方式分析现有灾备主要有盘阵对盘阵方式、灾备软件方式、灾备控制器 方式等三种。1.1.2.1 阵列对阵列方式阵列对阵列的灾备方式是利用磁盘阵列自带的数据复制功能(如Oracle的Data gurad HDS的TrueCopy等),不适合于金保工 程的数据灾备，原因在于省级数据中心与数据灾备中心之间距离远 达216KM,传输线路仅为

7、10M带宽。止匕外，该方式需要同型号设备，不适用于异构环境，不利于将 来的扩展。1.1.2.2 纯软件灾备方式最常用的软件Symantec Veritas有三款可用于数据的容灾与备 份：(1) .BE (Backup Exec) , Windows环境下的数据备份，只能做 备份不能做容灾，不支持 旧M AIX操作系统。.NBU (Net Backup) , UNIX环境下的数据备份，和 BE一样 是数据备份软件，NBU的功能比BE更加强大。(3).VVR (Veritas Volume Replicator),是 Veritas 的一种应用较 广的数据灾备软件，但要求传输环境为裸光纤。Veri

8、tas用于数据灾备的产品实际上是 VVR ,使用Veritas Foundation的逻辑卷复制模 块，具有快照功能；VVR在打快照时将通过对磁盘数据进行快照 (不对缓存数据进行快照)实现数据灾备。VVR最大特点是无法恢复逻辑错误，到目前为止仍无法应对误操作、误删除、病毒等“软灾难”造成的数据灾难恢复。由于金保 工程灾备的实际环境以及 RPO和RTO的目标需求，需采用 VVR软件 +主机HA （ VCS ）才能实现。此外，以上三种软件在备份时都会对生产系统产生一定的影响，而且通过备份软件备份的数据需经过还原后，才能被省级数据中心的应用系统读取。1.1.2.3灾备软件 + 阵列方式灾备软件+阵列

9、方式采用灾备控制器构建，灾备控制器由主控制器和存储阵列（称灾备阵列）两部分组成，主控制器用于安装灾备管理软件。这种灾备方式采用基于硬件底层数据变化量的持续复制和镜像快照技术，对链路带宽要求很低，且不受距离限制，融合了盘阵对盘阵的高效和纯灾备软件的灵活。灾备控制器的最大特点是无法进行数据归档，当需要对备份数据进行归档时，必须配置磁带库或虚拟磁带库等归档设备。通过上述分析比较，基于对金保工程省级数据中心、设区市数据中心存在的异构存储环境，以及金保工程业务专网的窄带网络环境和线路租用成本等的综合考虑，本项目拟采用“灾备软件+存储阵列”的灾备技术方案。1.1.3 系统结构设计金保工程数据灾备系统的网络

10、拓扑结构如下图所示：悯宜入侵检测服务器 系统核心咬接机防火端防火增彷止变掩机数无三F月小型机窿位犯名器IDiM HS01救呢庵服器谯工小型机）管琦朋罪f直月股如S【小型机I优航存鳍女投I ffcs DJOOODJbOCI 藤带库 ,EbEMTli生产阵刑DH3 U3F-VI灾省!控畚府阵。I 1i 文卷控制勒灾者降51社会保障省级数拒中心I. .4 r. -数据灾峦中心（三期市数据中心）数据灾备中心拟分别配置防火墙、入侵防御系统、核心交换机、数据库服务器、应用服务器、灾备控制器（含软件）、灾备阵 列及管理服务器等设备。1.1.4 基础实施设计（1） .网络系统目前，*省社会保障省级数据中心与三

11、明市数据中心之间以金 保工程业务专网（10M MSTP专线）连接，目前基本满足业务数据 传输的带宽要求。省级数据中心与数据灾备中心之间，拟基于金保工程业务专 网，通过增设一对10M的MSTP专线，实现省级数据中心与数据灾 备中心间的数据传输。为适应将来业务系统和数据对网络速度、带宽和性能的要求，拟分别配置高端核心交换机及安全设备，为数据灾备中心提供安全的网络支撑。（2） .主机系统目前，省级数据中心生产区数据库服务器、应用服务器均采用IBM小型机，运行操作系统 AIX ,数据库系统Oracle; Oracle数据 库架设于生产阵列上。为实现应用级的数据灾备系统，省级数据中心发生故障或灾难后，数

12、据灾备中心在进行数据恢复时，还将接管省级数据中心的核心业务应用系统。建议在金保工程二期项目中，数据灾备中心参照省级数据中心主机服务器的选型及其TPC-C 测算，配置1 台高端小型机作为数据库服务器， 1 台中端小型机作为应用服务器；同时配置1台PC服务器作为数据处理及灾备管理。（3） .存储系统按照 4.4.3.5节对数据的需求分析，二期项目拟建的数据灾备系统的磁盘阵列（灾备阵列）将存储省本级生产数据（企业养老保险、新农村保险、机关保险、医疗保险）和福州市生产数据，需要的数据物理存储容量为 24.54 TB。拟配置 1 台灾备阵列，要求灾备阵列的物理容量为 24.54TB（41>600G

13、B SAS硬盘），采用Raid 5,实际可用容量为35>600GB=21.0 TB。备份阵列采用SAN技术架构，旁路接入数据 灾备中心生产区光纤存储交换机。拟配置2台光纤存储交换机，每台8个光纤自感应8Gbps端 口，HBA 卡。（4） .其它软硬件部署其他软硬件包括：防火墙、入侵防御系统、灾备控制器和防病 毒软件等。1.1.5灾备解决方案1.1.5.1 RPO/RTO 要求RPO和RTO是衡量备份和业务连续性常用的两个概念。建立灾 备的最终目的，是在灾难发生后能以最快的速度恢复数据服务，所 以数据灾备中心的设计指标与灾备系统的数据恢复能力有关。最常 见的设计指标是RPO和RTO。数据恢

14、复点目标（RPO）是在发生灾难的情况下用户可接受的 数据丢失量的衡量标准。受到目前数据备份和恢复技术上的限制， 很多用户设定的RPO是24小时一一在预定的增量备份过程发生之 间。换言之，即使用户通过备份系统完全恢复数据，也损失了24小时的业务数据量。恢复时间目标（RTO）是指灾难发生后，业务恢复运行所用的 时间，一般的用户从数小时到数天都是比较实际的RTO。各种灾备解决方案的RTO有较大差别，基于光通道技术的同步数据复制或镜 像，配合异地备用的业务系统和跨业务数据中心与灾备中心的高可 用管理，这种灾备解决方案具有最小的 RTO。实际上，灾备系统为 获得最小的RTO,往往需要投入大量资金。RPO

15、反映了恢复数据完整性，在使用数据镜像或同步复制方式 时，RPO等于数据传输时延的时间；而在异步数据复制方式下， RPO 为异步传输数据排队的时间。在数据中心与灾备中心相差距离 不超过 10KM 的时候，通过光纤做数据镜像或同步数据复制方式的数据灾备系统的RPO可以做到几乎为0。1.1.5.2 系统软硬件部署数据灾备中心除部署网络系统、主机系统、存储系统等设备外，拟部署1 台灾备控制器。数据灾备中心与省级数据中心通过两端 IP 的访问，两个灾备控制器可实现数据变化量的周期性复制（差异复制模式）。数据中心的磁盘阵列及 Oracle数据库数据分别通过 实时系统镜像和Oracle Agent （数据库

16、快照代理）实现数据向灾备控 制器的实时写入，无须干预，没有任何备份窗口。在省级数据中心，同样部署 1 台灾备控制器，对生产区的系统及存储架构不做任何改造，通过SAN 网络接入现有光纤存储交换机。灾备控制器同时提供FC接口和IP接口，对生产卷进行数据镜 像，以保证生产卷数据的安全。1.1.5.3 灾备控制器选择灾备控制器由主控制器和存储阵列构成，主控制器是双冗余控制器 +冗余电源+灾备管理软件的安全架构，若出现故障不影响阵列中数据的正常读取。选择灾备控制器时，要求满足窄带传输数据、采用字节变化量 传输等性能：(1) .要求采用旁路部署方式，确保不影响现有的生产环境；省级数据中心系统主机故障时可通

17、过灾备控制器启动，待系统恢复后再 切换回生产阵列。(2) .支持异构环境，采用持续数据保护技术(CDP),基于磁盘扇区的数据变化量的持续复制，确保在10M 低带宽传输的成功率及两地数据实时一致性。(3) .数据复制和镜像不通过主机服务器的操作系统层，而是通过磁盘底层及SAN 网络环境，先将数据持续复制和镜像，再将本地和异地数据进行同步。(4) .灾备控制器内部设计符合萨班斯法案及企业内部控制基本规范，要求支持数据写入磁盘阵列(灾备阵列)后不可修改的功能。(5) .能够通过任意快照点来恢复逻辑错误，完整恢复到任意时间点；打快照时，须首先通知系统清空缓存，然后才进行快照，确保数据恢复的完整性。灾备

18、控制器实现本地备份和远程灾备，加上生产阵列，使金保工程生产区将同时拥有三份数据，避免了当两份数据同时丢失时造成无法恢复的结果。1.1.5.4灾备管理软件选择金保工程数据灾备系统选择灾备管理软件时，要求可实现下述 功能：(1) .由于数据灾备中心与省级数据中心之间的网络带宽低(10Mb)、传输距离长(216KM),要求灾备管理软件须采用磁盘 扇区的数据变化量的持续复制和持续数据保护技术，数据灾备中心 和省级数据中心的数据库为双活状态，数据灾备中心为省级数据中 心的生产阵列建立镜像复本，并实时保持数据同步。(2) .要求能够防止因误操作、误删除、病毒等“软灾难”导致的 逻辑错误；采用快照机制，进行快照时先将生产阵列的缓存数据临 时搬迁到快照区，然后才进行快照，以确保数据恢复回滚的完整性 和数据库的可用性、一致性。(3) .灾备的数据格式为立即可用，无需恢复过程，灾备中心数据 库处于实时打开状态(灾备中心和数据中心的数据处于双活状 态)，灾难时，可立即提供灾备阵列中的数据恢复生产；同时接管 核心业务系统，实现异地应用灾备。(4) .具备开放性，支持软硬件异构平台(各种服务器、阵列和操 作系统)。1.1.5.5灾难发生后的恢复当发生灾难或数据丢失时，首先从