容灾系统的系统构建
实现了数据集中处理之后,企业的业务运行和经营管理将更依赖于信息系统的可靠运行。服务的连续性以及业务数据的完整性、正确性和有效性,将直接关系到企业的生产、经营与决策。一旦因自然灾害、设备故障或人为因素等引起了信息系统的停顿,导致了数据丢失或业务处理的中断,将会造成巨大的经济损失和声誉损害,甚至会让企业受到致命打击。
当然,企业的业务信息数据是有生命周期的,从产生那一刻起就进入到一个循环周期,从收集、复制、访问、迁移到删除,周而复始,而处在生命周期不同阶段的信息数据的价值又是不一样的。因此,业务信息需要不同级别的保护,其中一些信息和事务需要比以前更高的保护级别; 而另外一些信息和事务则仅需要用更有吸引力的价位提供标准保护就行了。企业在构建自己的容灾系统时,有必要根据信息价值的变化实施分级存储,以合理调配存储资源,降低整体拥有成本。 建立容灾系统的初衷就是以最合理的代价保护应用数据的完整性与安全性,在灾难发生后尽快恢复系统运行,减少业务停顿时间,尽可能不中断或不影响业务的正常进行,并让灾难对企业造成的损失降到最低。也就是说,无论两个系统相隔多远,当一个数据中心出现问题时,另一个数据中心就能迅速接替运行,同时既要保证业务数据的完整性,又要保证关键业务的连续性。
保持业务连续性就对灾难恢复系统提出了更高的要求—要保证业务的连续性,要保证业务数据的连续性,就要对系统提供连续完整的基本数据; 缩小或取消应用系统用于批处理和数据备份(如磁带备份)的时间,保证关键业务服务24小时不中断; 为业务发展及应用提供与生产系统完全一致的开发与测试环境。
在构建容灾系统方面出现了四个不同发展方向的技术趋势,这为保证企业数据的完整性及业务的连续性提供了新的不同的选择。
1. 实时热备份技术实时热备份技术虽然缺点非常明显,比如一次性投资昂贵、通信费用高等,但其优点也很明显,就是对数据的完整性以及对业务连续性的高保证。随着业务的发展及竞争的需要,企业对业务连续性的要求将越来越高,因此用实时热备份技术来实现灾难备份已经成为了主流的发展趋势。
2. 外包方式灾难恢复计划涉及业务风险分析、方案选择、实施、测试、培训、演习等内容,是一项既复杂又烦锁的工作。采用外包方式则可以将灾难恢复计划交给专业公司来完成,企业就可以专心从事核心业务的生产和经营了。
3. 开发灾难恢复计划辅助工具 灾难恢复计划是一项系统工程,开发灾难恢复计划辅助工具与系统是非常有必要的,这其中包括备份策略决策系统、灾难恢复指引系统及自动运行管理系统等。
备份策略决策系统是以风险及损失分析为基础的,同时考虑成本、恢复速度、防灾种类、数据的完整性等因素,通过科学的分析及决策方法来确定应采用的备份策略;灾难恢复指引系统是通过将相应的灾难恢复处理流程编成相应的在线指引性软件系统,在灾难发生后指导管理维护人员一步一步地依照设定好的步骤,准备相应的资源,执行相应的操作,从而准确地进行灾难恢复; 自动运行管理系统是指通过软硬件等措施,实现生产系统及备份系统的全部或部分自动操作,这样既可减少人员的投入,又可减少由于人为失误而带来的损失,从而提高整个系统的安全性与可靠性。
4. 远程容灾前面提到,根据业务种类的不同,各种数据的安全级别是不同的,为防范高级别的故障(如火灾、地震),可以通过远程监控体系和报警体系实现远程切换,切换包括IP、域名和应用等。一旦故障解除,应用系统的主备站点恢复传输,采用异地复制中断传输的恢复流程(软件方式复制),断点序号重传,增量异地同步实现增量块复制。 首先,在制定容灾系统方案的过程中要考虑的就是容灾系统建设对原有业务系统带来的影响。比如,采用数据复制技术对系统I/O带来的延迟,应用数据同步对日常业务处理系统带来的压力等。因此,企业要通过周密的测试和分析来规避容灾系统建设时带来的这些风险,以保证业务系统不会因容灾系统的建设而出现在处理性能上下降的问题。
第二,数据状态要保持同步。为保证在灾难发生时,业务可以成功地切换到备份中心,就必须保证容灾系统数据同步机制的可靠性。因此,建立可靠的数据同步校验机制是必须的; 同时,还要考虑建立定时的、自动的数据同步核查对比机制,以检验两个中心数据的一致性,这是数据容灾工作中非常重要的一部分。
第三,容灾系统的日常维护工作要尽可能轻,并能承担部分业务处理和测试的工作。容灾系统的维护和管理是容灾切换成功的重要保证,在系统建设中,就必须要考虑系统的维护管理流程。生产中心任何业务处理过程的改变都必须完整地复制到备份中心; 所有新业务系统上线时,必须通知备份中心,并在备份中心配置好数据同步机制; 对原程序的改动也必须保证两个中心同时上线。
第四,系统恢复时间要尽可能短。容灾系统主要是为了实现在主中心系统发生灾难时,可以在规定时间切换到备份中心,保证数据不会丢失,并且继续向用户提供服务。但往往在灾难发生时,主要技术人员不能及时到达现场,为了顺利实现系统间的切换,应该让系统切换操作尽可能地简单; 并建立固定化的、标准化的切换流程,要求维护人员在切换演习时严格按照流程的指导步骤进行操作。
第五,可实现部分业务子系统的切换和回切。当人事变动、业务变化、IT设施变化以及其他可能引起恢复规划文档失效的变化发生时,应及时更新各恢复规划文档,并在必要时启动模拟测试或演习,确保业务连续性系统的工作能力。
第六,技术方案选择要遵循成熟稳定、高可靠性、可扩展性、透明性的原则。国际上比较成熟的容灾技术包括: SAN/NAS技术、远程镜像技术、虚拟存储、基于IP的SAN互连技术以及快照技术等。其中基于IP的SAN远程数据容灾备份技术应用比较广泛,其是利用基于IP的SAN的互连协议,将主数据中心SAN中的信息通过现有的TCP/IP网络,远程复制到备份中心的SAN中的。当备份中心存储的数据量过大时,可利用快照技术将其备份到磁带库或光盘库。这种基于IP的SAN远程容灾备份,可以跨越LAN、MAN和WAN,成本低、可扩展性好。基于IP的互连协议主要包括FCIP、iFCP、InfiniBand、iSCSI等。
第七,构建系统方案可以选择多种技术组合方式。业内应用较多的容灾方案是基于智能存储系统的远程数据复制技术,它是由智能存储系统自身实现的数据远程复制和同步,即智能存储系统将对该系统中的存储器I/O操作请求复制到远端的存储系统中并执行。由于在这种方式下,数据复制软件运行在存储系统内,因此较容易实现主中心和容灾备份中心的操作系统、数据库、系统库和目录的实时拷贝及维护能力,且不会影响主中心主机系统的性能。如果在系统恢复场具备了实时数据,那么就可以做到在灾难发生时,及时开始应用处理过程的恢复。但这种方案也有开放性差(不同厂家的存储设备系统一般不能配合使用)、对于主、备中心之间的网络条件(稳定性、带宽、链路空间距离)要求较苛刻等缺点。 按照容灾能力的高低,数据容灾可分为多个层次,按国际标准SHARE 78定义的容灾系统有七个层次:从最简单的仅在本地进行磁带备份,到将备份的磁带存储在异地,再到建立应用系统实时切换的异地备份系统; 恢复时间也可以从几天到小时级再到分钟级、秒级或0数据丢失等。
无论是采用哪种容灾方案,数据备份还是最基础的,没有备份的数据,任何容灾方案都是没有现实意义的。当然,光有备份也是不够的,容灾也必不可少。在建立容灾系统的过程中,建设容灾系统模型、容灾演习制度以及容灾系统管理流程都非常重要。
而容灾系统主要是从业务连续能力、应用系统连续能力、网络连续能力三个方面来保证业务应用系统的正常运行的。
对于数据级容灾,可以采用定期拷贝的方式,如磁带备份、数据快照、廉价存储等。定期拷贝是在业务运行过程中某一时刻对生产数据的保护,这种保护一般在业务正常运行时生成,主要预防业务因生产数据的逻辑故障而造成的停顿。当产生的数据因人为误操作而损坏时,可以利用该定期拷贝将业务状态恢复到损坏发生前的某一时刻(即执行定期拷贝时)的业务状态。在业务恢复过程中,辅以其他手段(如手工录入等),补充自定期拷贝生成时至业务中断时这一段时间内业务运行产生的数据。
对于应用级容灾,可以采用连续复制的方式,如应用分发、数据库复制、文件系统复制、逻辑卷复制、智能存储等。连续复制是对业务状态数据进行持续不断的复制,主要是预防业务系统遭遇严重故障而造成生产系统长时间无法修复,利用该复制作为恢复生产的基础。在进行业务恢复时,利用复制结果可以恢复系统中断现场的生产数据,从而恢复业务。
容灾演习是对容灾项目建设是否成功的检验标准,也是对容灾维护管理流程和文档检测的重要手段。通过演习可以及时发现问题,并确保各相关部门的配合和人员的操作准确无误。容灾演习的主要工作内容包括:对业务影响的评估、核查恢复规划、制定回退计划、触发演习场景、执行恢复规划、总结报告、维护等。
此外,容灾系统管理流程的建立也至关重要,容灾项目的实现过程是人员、流程、技术相辅相成的过程,容灾管理流程的建立是容灾系统成功运作的保证。通过固化的流程,指导维护人员按照实现规定的步骤进行系统切换和演习工作,才能保证容灾技术的最终实现。