系统两地三中心方案样本

金融行业“两地三中心”数据备份与恢复方案设计“两地三中心”设计背景行业背景中华人民共和国有句俗话，“人无远虑，必有近忧”。随着信息化不断进一步，银行越来越依赖信息系统，在信息化给社会和银行带来巨大好处同步，这也使得银行组织更易遭受袭击，从而导致业务系统中断、数据丢失等。近年来，越来越多银行发现，她们IT系统意外地、不必要地中断——即便是暂时性，也会使银行业务活动及时中断，无法继续开展，数据丢失或访问中断，不但影响了系统运营，还给银行导致重大损失。业务持续性需求银行服务日益全球化，经济增长和国民财富急剧增长，客户需求日益多样化和复杂化，对银行服务质量盼望值越来越高，使银行保持业务持续状态成为当务之急。所谓业务持续，就是无论发生任何状况，核心系统和网络都持续可用。老式意义上备份和恢复筹划无法继续满足需要。当今防止办法应当涉及风险评估、中断影响分析以及避免中断方略，必要将这些因素充分考虑进综合业务持续性筹划。在信息时代，业务持续性不再是一项“可有可无”工作，而是“势在必行”重点规划。“两地三中心”业务保障影响业务持续性发展因素诸多，既有外部因素，如电力、通讯等；也有内部因素，如场地、人员、决策、IT技术等。但从系统观念看，可以说当前影响银行业务持续发展最直接威胁来自于信息系统安全。健全业务持续性风险防止方略和办法，需要如下几点基于业务需求：实行数据集中保护。随着数据日益成为银行生命线，支持业务持续性数据存储方略成为银行必要考虑重点。它优势在于，总体存储方式可使银行减少购买和维护成本，最大限度地减少管理各种独立业务系统复杂性，提高银行数据整体安全性。同步，存储容量也可得以优化，减少运用率偏低现象。采用冗余、集群、负载均衡能力等技术，消除单点故障，提高系统高可用性，提高系统性能影响。建立信息系统安全业务持续性保障体系，针对劫难性事件防止目的，建议总、分行层面考虑建立异地容灾环境，建立异地备份机房，配备核心业务需要基本设施、网络设备、通讯线路和计算机设备；建立数据服务器区，实现全行经营数据集中保存。构建生产中心、同城灾备中心、异地灾备中心“两地三个中心”灾备体系。“两地三中心”劫难恢复系统布局布局原则a)劫难备份中心设立在中华人民共和国境内；b)劫难备份中心与生产中心之间距离合理，应避免劫难备份中心与生产中心同步遭受同类风险；c)劫难备份中心选址应服从国家战略安全规定，并综合考虑生产中心与劫难备份中心交通和电讯便利性与多样性，以及劫难备份中心本地业务与技术支持能力、电讯资源、地理地质环境、公共资源与服务配套能力等外部支持条件。布局模式依照成本风险平衡原则以及运营管理规定，采用“一主双备”布局模式，即一种生产中心，两个个备份中心，其中一种同城备份、一种异地备份。对于同城数据备份中心，应与生产中心直线距离至少达到30公里，可以接管所有核心业务运营；对于异地数据备份中心，应与生产中心直线距离至少达到100公里。“两地三中心”劫难恢复系统设计“两地三中心”框架设计结合近年国内浮现大范畴自然灾害，以同城双中心加异地灾备中心“两地三中心”灾备模式兼具高可用性和劫难备份能力。同城双中心是指在同城或邻近都市建立两个可独立承担核心系统运营数据中心，双中心具备基本等同业务解决能力并通过高速链路实时同步数据，寻常状况下可同步分担业务及管理系统运营，并可切换运营；劫难状况下可在基本不丢失数据状况下进行灾备应急切换，保持业务持续运营。与异地灾备模式相比较，同城双中心具备投资成本低、建设速度快、运维管理相对简朴、可靠性更高等长处。异地灾备中心是指在异地都市建立一种备份灾备中心，用于双中心数据备份，当双中心浮现自然灾害等因素而发生故障时，异地灾备中心可以用备份数据进行业务恢复。两地三中心”灾备模式框架图如下图所示：如图，同城双中心应用切换，采用集群软件来实现，生产中心主机和灾备中心主机上都需要进行集群。采用集群监测本地双机或集群状态，并通过组件在本地和远程集群之间进行状态监测。在网络层，同城双中心之间采用光纤连接，保证双中心之间较大带宽，以响应实时业务数据需求，同城异地之间采用专网或IP广域网即可实现，以节约成本。同城双中心光纤采用波分复用（WDM）技术进行建设，针对两地只有1条或2条光纤连接场景，采用WDM方式，可以虚拟出多条FC或GE联系，满足两地之间对业务和数据多重链路需求。WDM技术能充分运用光纤巨大带宽资源，大幅度提高系统传播容量，减少传播成本，因而在长途和骨干网超大容量传播中得到了广泛应用。将WDM技术引入城域网、接入网，整个网络就会变成无缝连接整体，为所有不同业务提供支持和连接，因而城域网中WDM具备很大优越性。在数据存储层，布置虚拟存磁盘阵列，通过存储同步远程复制功能将数据同步复制到灾备站点。保证生产中心和灾备中心数据完全一致。使用存储异步复制功能，将数据通过广域网复制到远端灾备站点，并且保证数据完整性和可用性。远端站点作用重要是用来防止地理和自然劫难，当同城双中心所有故障后，可以保证在异地有一份完整数据拷贝，用于后续业务恢复。劫难恢复能力级别需求国标规定劫难备份级别依照国标《信息系统劫难恢复规范》(GB/T20988-)定义：劫难是指由于人为或自然因素，导致信息系统严重故障或瘫痪，使信息系统支持业务功能停顿或服务水平不可接受、达到特定期间突发性事件。劫难备份是指为了劫难恢复而对数据、数据解决系统、网络系统、基本设施、专业技术支持能力和运营管理能力进行备份过程；而劫难恢复是指为了将信息系统从劫难导致故障或瘫痪状态恢复到可正常运营状态、并将其支持业务功能从劫难导致不正常状态恢复到可接受状态，而设计活动和流程。灾备系统建设包括七要素：数据备份系统、备用数据解决系统、备用网络系统、备用基本设施、专业技术支持能力、运营维护管理能力、劫难恢复预案。《信息系统劫难恢复规范》将劫难恢复能力划分为6级，劫难恢复能力级别越高，对信息系统保护效果越好，但同步成本也会迅速上升。灾备级别重要从RTO(恢复时间目的)和RPO(恢复点目的)来考虑，RPO(恢复点目的)是指发生劫难前最后一次备份时间点距离当前时间差(数据丢失时间)；RTO(时间恢复目的)是指发生劫难后恢复物理系统环境时间。大某些顾客关注是数据安全性，即RPO值(RPO越小，数据丢失越少)，但是顾客往往谈更多是RTO(RTO越小，恢复生产越快)。金融行业原则规定劫难恢复级别金融行业原则《银行业信息系统劫难恢复管理规范》(JR/T0044-)中指出金融单位应依照风险分析、业务功能分析和业务中断影响分析结论，将信息系统准时间敏感性提成三类需求级别：第一类：短时间中断将严重影响单位核心业务功能并导致重大经济损失系统；单位和顾客对系统短时间中断不能容忍系统。第二类：短时间中断将影响单位某些核心业务功能并导致较大经济损失系统；单位和顾客对系统短时间中断具备一定容忍度系统。第三类：短时间中断将影响单位非核心业务功能并导致一定经济损失系统；业务功能容许一段时间中断系统。依照信息系统时间敏感性，拟定信息系统劫难恢复目的最低规定：第一类：RTO<6小时，RPO<15分钟；第二类：RTO<24小时，RPO<120分钟；第三类：RTO<7天。结合信息系统劫难恢复目的最低规定和《信息系统劫难恢复规范》将劫难恢复能力划分为6级规定，第一类信息系统达到5级劫难恢复能力；第二类达到3级劫难恢复能力；第三类达到2级劫难恢复能力。“两地三中心”建设方略依照中华人民共和国金融行业IT战略规划和架构规定，咱们以为“两地三中心”建设应按照如下方略进行：“两地三中心”建设要满足业务需求。建设资金投入、功能、解决能力、管理方式等必要满足当前业务需求，同步还要兼顾将来发展规定。“两地三中心”需要建立高可用性架构。其中灾备中心启用后，就开始做为生产中心提供服务。因而灾备中心也应当与生产中心同样，对核心业务应用采用高可用性架构，以防止由于单点故障而引起宕机“两地三中心”应当可以提供演习环境。演习是保证业务永续运营筹划有效性重要手段，每年至少应当举办一次。演习环境是为了保证在演习是正常业务解决仍能继续而建立。“两地三中心”设备应当得到充分运用。系统建设不但要考率到紧急状况下使用状况，还要考虑寻常如何运用。例如，为了在平时提供灾备中心设备运用率，可以运用灾备中心设备进行应用开发和测试。“两地三中心”建设以用先进、成熟办法论做为指引，分阶段进行。先进、成熟办法论为灾备中心建设成功提供了保障。灾备中心与生产中心使用构造相似IT基本架构和管理流程。这样可以大大减少管理与运营维护复杂度。灾备中心解决能力可以与生产中心不同，但是要满足业务需要。建设内容涉及：面向数据中心提供网络通讯设备、通讯线路、存储网络设备全面容错和异地容灾；面向数据中心提供某些核心业务系统容错和异地容灾。“两地三中心”方案实现系统实现数据备份同城双中心数据采用同步复制，在同城灾备中心建立一种在线更新数据副本。当有数据下发到生产中心阵列时，阵列间同步复制都会同步将数据复制一份到同城灾备中心。同城灾备中心与异地灾备中心之间采用异步复制方式，定期将数据进行复制备份，异步复制支持增量复制方式，可以节约数据备份带宽占用，缩短数据备份时间。劫难检测通过对资源组状态监控来判断资源可用性，涉及数据库资源组、网络资源组等。资源组状态分online/offline/fault三种，正常状况下生产中心在工作时候资源组状态都是online，而灾备中心资源组是offline状态。每个资源组在online和offline时候均可以指定运营程序或脚本，程序或脚本执行完毕后资源组即完毕online或offline过程。当检测到生产中心有资源组浮现fault状态时，同城内生产中心同灾备中心将进行切换，以保证业务持续性。容灾切换基于应用容灾切换涉及一系列动作：停止劫难节点部件服务、切断数据复制链路、建立数据容灾基线、启动容灾节点部件服务、告知前端设备进行业务网络切换。详细动作可以结合实际状况，通过脚本来定制。恢复回切回切工作流程和切换流程原理是同样，只是由于切换时候是不拟定触发、也许导致业务受某些影响；而回切时候通过人工确认，选取最小影响状况下执行操作（例如业务流量非常小状况下，甚至暂停业务状况下），因而回切推荐采用是手动切换模式。应用级容灾采用是自动切换还是手动切换，顾客可以在布置时通过修改主机集群软件切换配备实现。同城范畴有效保证了数据安全性和业务持续性；异地复制数据依照劫难情形，尽量减少数据丢失机率；同城双中心为同步复制，数据实时同步，RPO=0；异地无距离限制，保证数据一致性，保证了数据有效保护；异地容灾带宽规定低，先进复制机制提高带宽运用率。业务应用备份恢复实现应用环境备份目是保证灾备中心可以迅速重建数据中心应用系统环境，并实现备份业务系统对生产系统有效代替。相应用环境备份设计要点涉及：通过配备同步技术，实现数据中心应用环境一致性。灾备中心应用环境在技术路线、设备布置方面应尽量保证与数据中心应用环境一致。这样有助于提高灾备应用环境与生产应用环境之间手工切换效率，也有助于寻常检查灾备应用环境可用性。普通可通过灾备应用环境定期向生产应用环境读取配备文献、参数等方式，实现两者配备同步。灾备中心核心型业务系统实现集群间自动切换，别的业务系统则采用手工切换模式。数据中心应用服务器普通通过HA等技术建立高可用性集群，保证本地应用服务高可靠性。同样，只要建立数据中心与灾备中心之间高可用性网络监控技术，灾备中心备份应用服务器集群可实现与数据中心生产服务器集群之间高可用性自动切换。为节约成本投入，建议对核心性业务系统采用此方式，以满足RTO一小时以内灾备恢复需求。对于别的业务系统，只要如前所述，保证应用环境一致性，通过手工方式进行切换即可。采用虚拟化技术对备份环境进行整合。灾备中心应用环境备份资源毕竟有限，充分运用备份应用资源对数据中心应用环保十分重要。虚拟