备份及容灾策略描述

一、备份、容灾系统建设的目的及概述备份及容灾系统建设的目的是为了防止在异常事故下的数据丢失，一旦运行的数据发生问题，如何从备份介质中恢复出最近的数据，在最严重的事故发生时（如数据中心灾难）如何保护重要生产数据不丢失，是我们真正关心的问题。我们不希望灾难发生，也不希望任何故障出现。然而灾难的出现往往是突然的、预先不可知的。所以我们应有一套应付各种灾难情况下的灾难恢复解决方案，以备不时之需。我们归纳出以下有可能会出现的几种情况，并提出了相应的解决措施。/情况一：主机数据磁盘故障（非系统盘）/情况二：主机物理损坏/情况三：系统盘物理损坏/情况四：操作系统不能启动/情况五：磁盘上数据损坏（如由于人为失误、病毒或黑客攻击）/情况六：整个数据中心灾难解决措施：◊情况一：主机数据磁盘故障（非系统盘）若数据盘使用了RAID1、RAID5、RAID0+1等技术，则应该可直接热替换硬盘；若数据盘已不能访问，则需先修好物理盘，然后从备份介质恢复数据。◊情况二：主机物理损坏维修主机；◊情况三：系统盘物理损坏替换系统盘；重新安装装操作系统（需要重新进行配置，恢复时间长），安装备份客户端软件，通过集中备份系统恢复丢失数据；通过集中备份系统的操作系统恢复功能恢复全部操作系统；◊情况四：操作系统不能启动通过集中备份系统的操作系统恢复功能恢复全部操作系统；◊情况五：磁盘上数据损坏（如由于人为失误、病毒或黑客攻击）通过集中备份系统的备份介质上进行数据恢复数据；◊情况六：数据中心灾难所谓数据中心灾难，是指一些特殊情况发生时，数据中心的主机系统的存放在磁盘上的数据，以及备份带库中的备份介质上的数据均遭损坏。此时，若没有很好的容灾解决方法，就可能导致严重的后果。方法一备份数据的异地保护：通过该方法，可生成一个备份内容的多个备份拷贝，其中一份拷贝远程存放。在数据中心对所有生产数据集中备份后，本地保留一份备份介质的同时，可将备份数据通过人工或电子的方式传送到远程的保险库或备份服务器中保存起来。一旦灾难发生，即使本地磁带库中的备份介质完全损坏，还可用远程保存的备份数据在本地或远程进行数据恢复，这种方法免去了日复一日的向远端搬运备份介质，在数据存放速率和恢复速率以及节省人工方面都要先进很多。本方法优点是无需软、硬件投资，可以迅速部署，适合对灾备要求等级小于4的系统；本方法缺点是，异地保护的数据只有前一日营业终了后备份的数据，在真正灾难发生时，可能会有超过8小时以上的数据丢失，不适合重要的联机交易生产数据及灾备要求等级大于4的系统。方法二建立远程的数据灾备中心：重要生产数据通过存储设备内置的远程复制软件一PPRC提供的对等远程实时复制功能，实时的将生产数据复制到容灾中心存储中。一旦灾难发生，即使本地磁盘阵列完全损坏，待主机系统修复完成后，可以通过容灾中心的磁盘阵列回切，主机重新认盘来找回灾难发生前数据；同时，也可以在容灾中心架设主机系统，识别所有磁盘，在容灾中心启动业务系统以对外提供业务访问能力，待生产中心完全恢复后，将数据传送回生产中心，此时容灾完成，应用系统切回生产中心。该方法优点是保证重要数据可以实时或近似实时的复制到容灾中心磁盘阵列上，适合灾备等级要求为4以上的重要生产系统，缺点是需要一定的软硬件投资。综上所述，我们决定结合使用方法一和方法二，对现有各应用系统划分等级，核心的征管业务系统数据选用方法二，对征管数据进行实时远程复制，保证核心数据不丢失。同时，对除征管系统以外其他重要应用系统（如财务管理、个税管理）进行如方法一所述的备份数据异地保护。无论采用何种方法来进行数据容灾，一个运行良好的本地集中备份系统是关键，只有当所有数据在本地得到了很好的保护，才能够避免因数据库、服务器、人工误操作等各种错误导致的数据丢失，数据容灾系统是对本地集中备份系统的必要扩充。二、本地备份系统容量的计算♦磁带库容量的计算在本系统中采用当前性能价格比高的LTOUltrium3磁带，它的非压缩容量可以达到400G，压缩的比率是2:1，所以压缩后每盒磁带的容量可达到800G。数据的备份类型分为全备份、差量备份和累计增量备份，正常情况下，每个需要备份的数据源至少要有1个全备份和多个增量备份的拷贝。根据目前数据备份的一般规律，备份容量系数为2.5。按照这种计算方法，磁带库的容量计算如下：采用非压缩的方法计算：通过测算，当数据完全集中后，全备份总数据量约500G，每天增量数据最大约1G，以3个月为一个磁带使用周期，每月做一次全备份，每周末做一次累计增量备份，每天做一次增量备份，总备份数据量约为500GX3+3G*4*3+0.5G*6*4*3=1644G左右；根据数据备份的一般规律，通常备份系数为2.5，那么所需的磁带总容量应1644*2.5=4110G，需400G磁带至少11盘，再加上日常对数据库表的逻辑备份、操作系统备份、应用数据备份的需要，目前配置支持20盘磁带以上槽位的磁带库（8T），留有适当余地。♦备份窗口的计算当前的性能价格比较好的LTOUltrium3的磁带机，LTOUltrium3的磁带机非压缩的读写速度可以达到80MB/每秒，压缩后的读写速度可达到160MB/每秒。如果按照一次全备份，磁带驱动器备份时间计算如下：采用非压缩的方法计算（理论值）：LTOUltrium3的磁带机非压缩的读写速度80MB/每秒，实际上按70%——56MB/每秒的速度来计算，双驱动器每月一次500GB数据的全备份则为500X1024^56^2=4572秒=77分钟=1.3小时，每天的增量备份所需时间为1000MB：56：2=10秒。可以看出，经过理论值计算，系统内全备份的备份窗口应在2个小时以内，完全可以满足我中心重要系统每日增量备份、每周全备对备份时间要求。备份数据传输能力的计算与分析若考虑实现本地备份数据的异地保护，则必须通过生产中心与异地容灾中心的广域网链路传送数据。通过测算，当前全备份总数据量约500G，每天增量数据最大约1G。当前系统能够提供的数据中心到灾备中心的链路带宽为12Mbps，按照实际上70%——8.4Mbps的有效传输速度来计算，要完成每天1G增量数据的实时数据复制，则需要1GX1024X8^8.4=975秒=17分钟。但是如果假定对操作系统、应用数据进行一次全备，总数据量为500G，并要求对备份数据进行异地保护，则需要500GX1024X8^8.4=487620秒=8127分钟=136小时，这样的时间显然无法忍受。所以我们建议首先对重要的业务系统进行划分，已进行基于磁盘阵列远程数据复制的征管数据库数据无需再做备份数据异地保护，同时，其他重要系统（公文、人事、税收执法、网上申报、内外网网站、货运税控、个税管理），如果数据不频繁变动的业务数据库系统可以采用离线介质异地保存的方式完成备份数据异地保护，非数据库系统可以采用永久增量备份策略延长全备周期，这样计算下来，业务数据异地保护也可以在规定时间内完成。当然，必须每日通过备份软件自动生成灾难恢复流程，检验异地备份数据是否完整，必要时可以制定内部流程，定期将异地备份数据调回本地检验完整性。同时，面对数据日益增加的问题，可以考虑在3-5年后增加生产中心至容灾中心链路带宽，保证重要数据能够在本地集中备份并自动网络传输到异地进行数据保护。三、数据备份和恢复策略分析及设计备份方式全备份全备份每次都备份定义的所有数据，优点是恢复快，缺点是备份数据量大，数据多时可能做一次全备份需很长时间。增量备份增量备份每次只备份自上一次备份以来更新的所有数据，其优点是每次备份的数据量少，缺点是恢复时需要全备份及多份增量备份。Oracle等数据库系统的增量备份由数据库RMAN系统来控制，一般系统要求每周周内做增量备份，周末空闲期做全备，以避免全备周期过长导致的恢复时需要太多份增量备份。永久增量备份对于各类应用的文件系统，可以利用备份软件的永久增量备份技术，该技术在初始的备份后，将只考虑增量问题（不再进行完全拷贝）。每天将只移动上次备份操作后改变了的文件；并且，文件发送到备份服务器后被单独存放在数据库中。当需要拷贝到磁带时，备份服务器查询数据库，确定从前的拷贝在哪一个磁带上。一旦确定，将对该磁带进行再设置并把新拷贝附加在磁带末尾。这种对备份拷贝的收集都来自于同一台计算机或文件系统，于是形成了所谓的排列组。该方法并不需要在一个完全备份后才能开始恢复过程，也就是说并不需要周期性地建立完全备份拷贝，大大节省了全备需要的时间和占用的带宽。备份策略策略的优劣关系到备份系统的规模、效率和安全，影响备份策略的制定因素，涉及到以下内容：•在什么时间（备份时间，如下午6:00）•将什么数据（备份内容，如征管数据库）•以什么方式（备份方式，如全备份，增量备份，永久增量备份）•通过哪组磁带驱动器（备份通道）•备份到哪一个存储池（备份目的地）•是否同时备份出来多套介质提供异地保护•异地保护到那个存储池♦策略的制订原则在制定备份策略时我们可以根据具体情况结合三种备份方式，灵活应用。原则如下：1、总体数据量少的业务系统：我们可以每次都用全备份来备份数据，这样，恢复时，只需要指定一个数据源即可。2、总体数据量大且每日变动较大的数据库系统：如果每天作全备份，效率会很低，我们可以结合全备份和增量备份方式。比如每星期作一次全备份（如星期天），其它时间，每天作一个增量备份（如：星期一到星期六）。恢复时，只要依次恢复最多七个备份介质即可。（如：上周日、星期一、星期二...，直到出事前一天的数据。）3、各类应用的文件系统数据采用永久增量备份方式，每月做一次全备，月内都做增量备份。在永久增量备份方法下，完成一个完全的恢复操作只需告诉备份服务器期望的时间点，利用时间点信息，备份服务器查询数据库中文件集合，看它们是否在期望的时间点上。这些文件存在于同一个排列组上，通常也位于一个（或少数几个）磁带上。设置了正确的磁带后，数据库指定每个文件的长度和起始块位置。大多数现代的磁带驱动器都具有快速扫描功能，能迅速定位到期望的备份拷贝并执行恢复操作，这样只移动了期望的文件。可以把该过程看作完全系统操作中一个完整的恢复过程，该过程就象在期望的时间点做了完全备份一样。4、操作系统备份：当业务系统主机的操作系统配置需要做重要变更，可以通过操作系统备份模块，对系统做整机备份，包括操作系统、配置信息、文件数据都可以备份全备份服务器内，恢复时，通过网络启动到备份服务器上，获取操作系统配置信息，并通过备份服务器恢复操作系统及所有系统数据。该备份操作无需定时，可以通过选择备份的方式由人工手工触发。♦备份策略分析和制定基于LAN环境的数据：数据量不大，可以每周进行数据全备份，每天做增量备份，而且只需要制定三个备份策略，Linux文件及数据备份策略、所有非数据库系统的Windows文件备份策略和数据库服务器的Oracle数据库在线数据备份策略即可。可以先进行这些边缘系统的备份，而后再进行核心系统SAN环境下的数据备份，时间可以分别定在每天晚上的8点、10和12点开始，备份窗口暂定为3小时，应该可以满足备份作业的需要。基于SAN环境的业务系统数据：这是整个系统中最重要的核心数据区，因此数据的安全性要求非常高。数据库系统的数据由于在今后随着时间的积累可能会成为系统中数据量最大的部分，因此需要考虑延长全备份周期或只对部分关键数据备份等策略来节约备份资源，例如每周一次全备，每天一次增量备份。对于Oracle数据库的备份，是可以把归档日志当作普通的文件系统进行备份的，也就是说，在进行数据库备份保护时，一方面以正常的数据库在线备份的方式每晚进行数据库及相应归档日志的备份，另一方面，在白天可以对数据库归档日志以及您提到的部分重要数据表的逻辑输出文件（export）进行文件级数据备份保护（每天依据实际情况进行2-4次数据表逻辑备份），这样就可以尽可能地使数据得到更多的保护。各操作系统的完全备份：考虑到各系统的重要性和重新安装配置的难易程度不同，有选择性地对部分服务器系统进行备份保护，一点出现异常问题，可以在完成基本系统安装的情况下，通过备份数据的恢复来达到服务器最新状态的恢复。建议每月进行一次，提供专门的备份策略。本地数据中心与灾备中心的数据在进行初次数据同步时在本地完成，在本地将进行过数据同步的存储设备再迁往灾备中心进行基于IP网络的远程实时数据复制。数据恢复策略数据的恢复，可以区分为文件系统数据的恢复、Oracle数据库系统的恢复、操作系统备份数据的恢复。其中文件系统数据的恢复较简单，可以通过管理台或者客户端进行选择恢复，不再赘述。同时，基于LAN和SAN备份的系统均可以按照配置情况进行基于LAN和SAN网络的恢复。1、Oracle数据库恢复：对Oracle数据库恢复同样可以针对数据库的任意一个部件进行。对于业务

数据量较大的业务系统，建议对数据库的全备份每天或每两天做一次，而每隔一段时间备份数据量较小的TransactionLog0当发生数据损坏或丢失时，先恢复最近备份的数据库和TransactionLog，再用TransactionLog进行ForwardRecovery，从而将数据库恢复到最近一次备份TransactionLog时的状态。在这种备份策略下，最坏情况会丢失一段时间的数据。通过将备份TransactionLog的时间间隔减小，例如减小到每小时备份一次（这一备份时间间隔应根据Log数据量和网络带宽情况制定），能够最大限度地减少数据丢失；对于masterdatabase的数据，由于数据量不会太大，而且数据变化相对较小，所以建议每周做一次全备份。对于Oracle数据的恢复时，需要RMAN的配合。所以存放在RMAN数据库中的信息相当重要，所以建议将RMAN数据库建立在SAN的共享磁盘上，平时RMAN数据库起在另外的服务器上。定时通过备份服务器将RMAN数据备份到磁带库中。2、操作系统保护软件是数据保护系列中独特的成员。它特别设计成入门级的、非常易于安装和使用的备份和恢复工具，它适用于服务器上的操作系统级备份和恢复。在需要系统备份/恢复的PC服务器上安装BMR软件（BareMachineRecovery），在AIX小型机系统上安装Sysback组件。操作系统备份映像传输到备份服务器上。在需要系统恢复时，只需要用BMR的启动盘（或者通过NIM网络启动），就可以通过网络直接将备份在备份服务器中的OS恢复出来了。四、征管业务数据远程实时复制设计（灾难备份）由于征管数据库保存有我省税收系统最核心数据，该部分数据在日间变动频繁，所以，要完成该部分数据的灾难保护级别必须为4级以上，即灾难发生后数据损失必须为1小时以内，并且恢复时间不得大于12小时。因此我们计划采用基于存储设备的异步远程镜像软件来完成，保证数据一致性的异步远程镜像PPRCGlobalMirror我们计划采用基于IBMPPRC全局镜像模式，该模式采用异步方式工作，并且采用一些机制保证数据一致性，彻底解决了数据保护/距离/性能之间的矛盾。工作方式如下（其中绿色为生产站点磁盘＜PPRC源盘＞，橙色＜PPRC目标盘/FlashCopy源盘〉和蓝色＜FlashCopy目标盘〉为容灾站点磁盘）：步骤1：绿色和橙色磁盘之间进行PPRC-XD异步操作步骤2：绿色磁盘组根据预先设置的时间，生成“一致性组（ConsistencyGroup），并记录状态步骤3：采用PPRC-XD异步操作方式，将且只将“一致性组”记录下来的数据传递从绿色磁盘组传递到橙色磁盘组步骤4：3完成后，立刻将橙色磁盘组数据FlashCopy到蓝色磁盘组，进行一致性数据保留步骤5：4完成后，回到步骤1由于有“一致性组”的保护，虽然采用异步方式，一旦每一个“一致性组”数据包传递成功的那一时刻，橙色磁盘组的数据是一致的；由于步骤4,蓝色磁盘组将能够保留最近一次“一致性完全”的数据。一旦出现灾难，客户丢失的是两次生成“一致性组”间隔之间的数据。磁盘阵列能够每3〜5秒生成一次“一致性组”，意味着即使采用异步方式，也有可能只丢失3〜5秒的数据。IBM所提供的一致性异步方式是对我们的实际应用而言是非常有价值的。因为同步的数据复制效果虽然好，但往往对距离和带宽等有较高的要求和较多的限制，而异步数据复制虽然容易实施，但往往无法全面满足业务的需求。而一致性的一步方式则是一种兼有两者优点的好方法。值得一提的是，在对征管业务系统完成