一�、概述
隨著企業(yè)信息化進(jìn)程的不斷深化,信息系統(tǒng)成為了支撐企業(yè)業(yè)務(wù)運(yùn)行的重要平臺���,企業(yè)的全部業(yè)務(wù)流程都依賴于信息系統(tǒng)提供的服務(wù)來運(yùn)作��。這種統(tǒng)一的業(yè)務(wù)運(yùn)作平 臺在簡化業(yè)務(wù)流程���,提高工作效率的同時,也帶來了安全性方面的全新要求�。那就是信息系統(tǒng)必須具備抵抗災(zāi)難的能力���,具備在災(zāi)后快速恢復(fù)的能力,只有這樣���,才 能滿足企業(yè)業(yè)務(wù)連續(xù)性的需求����。
在國內(nèi)����,盡管企業(yè)對信息系統(tǒng)的重要性和容災(zāi)需求早有認(rèn)識,但鑒于適用技術(shù)���、方案成本等多方面原因,容災(zāi)系統(tǒng)的建設(shè)一直屬于企業(yè)的自主行為����。在9.11事件 和印度洋海嘯之后,國家充分認(rèn)識到了重要信息系統(tǒng)容災(zāi)的必要性��,要求一些重要行業(yè)的信息系統(tǒng)必須實(shí)現(xiàn)容災(zāi)�����。為了加強(qiáng)對信息系統(tǒng)安全的管理,規(guī)范對信息系統(tǒng) 災(zāi)難性故障的響應(yīng)和處置�����,國務(wù)院信息化辦公室在2005年發(fā)布了《重要信息系統(tǒng)災(zāi)難恢復(fù)指南》�,用于指導(dǎo)信息系統(tǒng)的使用和管理單位的災(zāi)難恢復(fù)規(guī)劃工作,以 及對信息系統(tǒng)災(zāi)難恢復(fù)規(guī)劃項(xiàng)目的審批和監(jiān)督管理����。
《指南》給災(zāi)難下了一個清晰的定義,即“由于人為或自然的原因�����,造成信息系統(tǒng)運(yùn)行嚴(yán)重故障或癱瘓�����,使信息系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受��、達(dá)到 特定的時間的突發(fā)性事件”���。這個定義不僅給出了災(zāi)難的范圍�����,也給出了災(zāi)難的判斷標(biāo)準(zhǔn)����。災(zāi)難不只包括自然災(zāi)難(地震、海嘯等)���,也包括人為的災(zāi)難(如恐怖襲 擊���、誤操作、病毒等)��。另外�����,判斷信息系統(tǒng)是否因?yàn)?zāi)難而故障的標(biāo)準(zhǔn)除“支持的業(yè)務(wù)停頓”之外�,“服務(wù)水平不可接受”也是一個方面�����。事實(shí)上�,“服務(wù)水平不可 接受”是比較難以定量的分析判定的,這增加了實(shí)現(xiàn)自動化故障切換(如“零秒”切換)的難度。
參照國際相關(guān)標(biāo)準(zhǔn)��,并結(jié)合國內(nèi)實(shí)際情況����,《指南》還將災(zāi)難恢復(fù)應(yīng)具有的技術(shù)和管理支持分為6個等級,每個級別都包括數(shù)據(jù)備份系統(tǒng)�、備用數(shù)據(jù)處理系統(tǒng)、備用 網(wǎng)絡(luò)系統(tǒng)���、備用基礎(chǔ)設(shè)施��、技術(shù)支持����、運(yùn)行維護(hù)支持和災(zāi)難恢復(fù)預(yù)案這7個要素��。在7個要素中��,前三個屬于IT技術(shù)的范疇����,而后四個屬于管理和服務(wù)的范疇。其 中��,數(shù)據(jù)備份系統(tǒng)面向的對象是數(shù)據(jù),目的是實(shí)現(xiàn)數(shù)據(jù)的冗余備份����,以便一份數(shù)據(jù)被破壞以后,還有另外一份數(shù)據(jù)可用�����,常用的技術(shù)有數(shù)據(jù)備份(Backup)和 數(shù)據(jù)復(fù)制(Replication)等��。備用數(shù)據(jù)處理系統(tǒng)面向的對象是應(yīng)用服務(wù)器����,目的是在主用數(shù)據(jù)處理系統(tǒng)發(fā)生故障以后,可以利用數(shù)據(jù)備份系統(tǒng)產(chǎn)生的冗 余數(shù)據(jù)來恢復(fù)應(yīng)用���,常用的技術(shù)有服務(wù)器雙機(jī)熱備����、服務(wù)器集群等�。備用網(wǎng)絡(luò)系統(tǒng)面向的是網(wǎng)絡(luò)連接,目的是保證備用數(shù)據(jù)處理系統(tǒng)與其客戶端����、不同備用數(shù)據(jù)處理 系統(tǒng)之間的網(wǎng)絡(luò),以便整個實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的恢復(fù)����。
七個要素的不同滿足程度決定了容災(zāi)方案的等級,等級的劃分最終反映在技術(shù)指標(biāo)上��,不同等級的容災(zāi)方案對應(yīng)有不同的技術(shù)指標(biāo)值�。常用的容災(zāi)方案評價指標(biāo)主要 有RTO(Recovery Time Object,恢復(fù)時間目標(biāo))�����、RPO(Recovery Point Time����,恢復(fù)點(diǎn)目標(biāo))和容災(zāi)半徑。RTO是指“將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)�,并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀 態(tài)恢復(fù)到可接受狀態(tài)”所需時間,其中包括備份數(shù)據(jù)恢復(fù)到可用狀態(tài)所需時間����、數(shù)據(jù)處理系統(tǒng)切換時間、以及備用網(wǎng)絡(luò)切換時間等�,該指標(biāo)用以衡量容災(zāi)方案的業(yè)務(wù) 恢復(fù)能力。RPO是指業(yè)務(wù)系統(tǒng)所允許的災(zāi)難過程中的最大數(shù)據(jù)丟失量(以時間來度量)���,這是一個與數(shù)據(jù)備份系統(tǒng)所選用的技術(shù)有密切關(guān)系的指標(biāo)��,用以衡量災(zāi)難 恢復(fù)方案的數(shù)據(jù)冗余備份能力��。容災(zāi)半徑是指生產(chǎn)中心和災(zāi)備中心之間的直線距離���,用以衡量容災(zāi)方案所能防御的災(zāi)難影響范圍�。顯然�,具有零RTO、零RPO和 大容災(zāi)半徑的災(zāi)難恢復(fù)方案是用戶最期望的�����,但受系統(tǒng)性能要求��、適用技術(shù)及成本等方面的約束����,這種方案實(shí)際上是不大可行的。所以�,用戶在選擇容災(zāi)方案時應(yīng)該 綜合考慮災(zāi)難的發(fā)生概率、災(zāi)難對數(shù)據(jù)的破壞力��、數(shù)據(jù)所支撐業(yè)務(wù)的重要性�、適用的技術(shù)措施及自身所能承受的成本等多種因素��,理性地作出選擇。
除技術(shù)指標(biāo)以外�,容災(zāi)方案的ROI(Return of Investment,投入產(chǎn)出比)也是用戶需要重點(diǎn)關(guān)注的�����,它用以衡量用戶投入到容災(zāi)系統(tǒng)的資金與從中所獲得的收益的比率�。表明上看,容災(zāi)系統(tǒng)不像其它 業(yè)務(wù)系統(tǒng)那樣會給用戶帶來收益��,但事實(shí)上�����,容災(zāi)系統(tǒng)確實(shí)是有收益的���,而且收益是完全可以度量的����。容災(zāi)系統(tǒng)的收益主要來源于發(fā)生災(zāi)難時為用戶所挽回的損失����, 這種損失不只包括金錢方面的���,信譽(yù)、客戶忠誠度����、法律風(fēng)險等方面的損失也包含在內(nèi)。業(yè)界統(tǒng)計(jì)數(shù)據(jù)表明��,隨著業(yè)務(wù)停運(yùn)時間的延長�����,用戶的損失會急劇增加��。當(dāng) 然不同行業(yè)的損失程度有所不同���,其中以金融����、電信為最�����。如果容災(zāi)系統(tǒng)能夠把由于災(zāi)難而導(dǎo)致的業(yè)務(wù)停運(yùn)時間顯著縮短,也就間接為客戶創(chuàng)造了收益�����?;谌轂?zāi)方 案的技術(shù)指標(biāo)、業(yè)界的統(tǒng)計(jì)數(shù)據(jù)和用戶自身業(yè)務(wù)狀況�����,用戶是完全可以對容災(zāi)方案的收益作出一個適當(dāng)?shù)牧炕u估的�。在ROI指標(biāo)方面����,基于新型IP SAN系統(tǒng)的容災(zāi)方案顯得更有優(yōu)勢,因?yàn)檫@類方案不僅能大幅降低容災(zāi)系統(tǒng)的初始部署成本�����,而且管理成本也相對要低很多���。
二�����、數(shù)據(jù)備份
在構(gòu)建容災(zāi)系統(tǒng)所涉及的7個要素中�����,數(shù)據(jù)備份系統(tǒng)是基礎(chǔ)�,只有保證了數(shù)據(jù)的安全可用,業(yè)務(wù)的恢復(fù)才有可能���。數(shù)據(jù)備份系統(tǒng)采用的技術(shù)主要有數(shù)據(jù)備份(Backup)和數(shù)據(jù)復(fù)制(Replication)兩種��。
數(shù)據(jù)備份
數(shù)據(jù)備份(Backup)一般是指利用備份軟件(如Veritas的NetBackup�����、CA的BrightStor等)把數(shù)據(jù)從磁盤備份到磁帶進(jìn)行離線 保存(最新的備份技術(shù)也支持磁盤到磁盤的備份��,也就是把磁盤作為備份數(shù)據(jù)的存放介質(zhì)�����,以加快數(shù)據(jù)的備份和恢復(fù)速度)���。備份數(shù)據(jù)的格式是磁帶格式,不能被數(shù) 據(jù)處理系統(tǒng)直接訪問��。在源數(shù)據(jù)被破壞或丟失時,備份數(shù)據(jù)必須由備份軟件恢復(fù)成可用數(shù)據(jù)�,才可讓數(shù)據(jù)處理系統(tǒng)訪問。
數(shù)據(jù)備份在一定程度上是可以保證數(shù)據(jù)安全的�����,但應(yīng)用于容災(zāi)系統(tǒng)時卻面臨眾多問題:
1��、備份窗口
備份窗口是指應(yīng)用所允許的完成數(shù)據(jù)備份作業(yè)時間�����。由于數(shù)據(jù)備份作業(yè)會導(dǎo)致應(yīng)用主機(jī)的性能下降�,甚至服務(wù)水平不可接受����,備份作業(yè)必須在應(yīng)用停機(jī)或業(yè)務(wù)量較小 的時候進(jìn)行。但隨著備份數(shù)據(jù)量的不斷增加和業(yè)務(wù)7×24小時連續(xù)運(yùn)行需求的提出�����,備份窗口的問題越來越突出�����。問題的解決之道主要在于加快備份速度(如采用 高速帶庫、磁盤備份)和實(shí)現(xiàn)在線備份��。
2�����、恢復(fù)時間
在容災(zāi)系統(tǒng)中���,備份數(shù)據(jù)的恢復(fù)時間直接關(guān)系到容災(zāi)方案的RTO指標(biāo)��。當(dāng)備份數(shù)據(jù)量較大或者備份策略比較復(fù)雜時���,備份數(shù)據(jù)往往需要較長的恢復(fù)時間。
3����、備份間隔
鑒于備份作業(yè)對主機(jī)系統(tǒng)的影響,兩次備份作業(yè)之間的間隔不能太密集����。以常用的備份策略(1個全備+6個增量備份)為例,備份間隔為1天���。也就是說如果在兩次備份之間發(fā)生災(zāi)難���,RPO(數(shù)據(jù)的丟失量)接近于1天����,這對于一些重要的信息系統(tǒng)是完全不可接受的�。
4、數(shù)據(jù)的可恢復(fù)性
數(shù)據(jù)備份的目的就是為了數(shù)據(jù)恢復(fù)����。但往往由于介質(zhì)失效、認(rèn)為錯誤����、備份過程出錯等原因,造成備份數(shù)據(jù)的不可恢復(fù)��。
5�����、介質(zhì)的保管和運(yùn)送
在完成數(shù)據(jù)備份以后����,為了保證備份數(shù)據(jù)的安全性��,一般采用的方式是把備份介質(zhì)運(yùn)輸?shù)竭h(yuǎn)程的數(shù)據(jù)中心進(jìn)行保管。但是在運(yùn)輸過程中�����,可能會造成備份數(shù)據(jù)的丟失���。最近爆出的美國銀行丟失120萬名客戶資料的事件就是佐證����。
6��、備份的成本
從提高備份速度和恢復(fù)速度�,提高數(shù)據(jù)可恢復(fù)性方面來看,D2D是個不錯的選擇�����,但是現(xiàn)有備份軟件的D2D選件都非常昂貴�,方案實(shí)施成本比較高。
綜合以上分析可以知道�����,高等級的容災(zāi)方案不適合于采用數(shù)據(jù)備份(Backup)技術(shù)來保證數(shù)據(jù)安全����,數(shù)據(jù)備份只適合于一些低等級的容災(zāi)方案���,對RTO和 RPO要求相對比較低。但這并不意味這高等級容災(zāi)系統(tǒng)中不需要數(shù)據(jù)備份�,作為一種廉價、成熟的技術(shù)��,數(shù)據(jù)備份可以為容災(zāi)系統(tǒng)提供更多一層的保護(hù)�����。
數(shù)據(jù)復(fù)制
數(shù)據(jù)復(fù)制(Replication)是指利用復(fù)制軟件(如EMC的SRDF�、H3C同步異步鏡像等)把數(shù)據(jù)從一個磁盤復(fù)制到另一個磁盤,生成一個數(shù)據(jù)副本���。這個數(shù)據(jù)副本是數(shù)據(jù)處理系統(tǒng)直接可以訪問的��,不需要進(jìn)行任何的數(shù)據(jù)恢復(fù)操作��,這一點(diǎn)是復(fù)制與D2D備份的最大區(qū)別。
數(shù)據(jù)復(fù)制有多種分類方法�,依據(jù)復(fù)制啟動點(diǎn)的不同,數(shù)據(jù)復(fù)制可分為同步復(fù)制���、異步復(fù)制�����、基于數(shù)據(jù)增量的復(fù)制等幾種�����。對于同步復(fù)制��,數(shù)據(jù)復(fù)制是在向主機(jī)返回寫 請求確認(rèn)信號之前實(shí)時進(jìn)行的�����;對于異步復(fù)制�����,數(shù)據(jù)復(fù)制是在向主機(jī)返回寫請求確認(rèn)信號之后實(shí)時進(jìn)行的��;而基于數(shù)據(jù)增量的復(fù)制是一種非實(shí)時的復(fù)制方式����,它依據(jù) 一定的策略(如設(shè)定數(shù)據(jù)變化量門限值、日歷安排等)來啟動數(shù)據(jù)復(fù)制����。業(yè)界經(jīng)常把不間斷的���,實(shí)時的數(shù)據(jù)復(fù)制稱為鏡像,所以同步/異步復(fù)制又被稱為同步/異步 鏡像����。
依據(jù)復(fù)制執(zhí)行實(shí)體的不同,數(shù)據(jù)復(fù)制可分為基于主機(jī)的復(fù)制和基于存儲設(shè)備的復(fù)制��?�;谥鳈C(jī)的復(fù)制一般是由安裝在主機(jī)中的軟件插件來實(shí)施數(shù)據(jù)的復(fù)制�,這會對主 機(jī)系統(tǒng)的性能有所影響,典型的產(chǎn)品如Veritas的VVR����,HP的OpenView SM等?����;诖鎯υO(shè)備的復(fù)制可以是由存儲設(shè)備的控制器執(zhí)行(如EMC的SRDF�����、華為3Com的同/異步鏡像等)��,也可以是由虛擬化的存儲管理平臺來執(zhí)行 (如飛康IPStor的同/異步鏡像和基于增量的復(fù)制)����。基于存儲設(shè)備的復(fù)制獨(dú)立于主機(jī)平臺�,不會對主機(jī)系統(tǒng)的性能造成影響。
另外���,依據(jù)數(shù)據(jù)復(fù)制站點(diǎn)之間的距離的不同����,復(fù)制還可分為遠(yuǎn)程復(fù)制和本地復(fù)制�����。一般來說����,復(fù)制距離小于1~2Km時為本地復(fù)制,大于該值時為遠(yuǎn)程復(fù)制����。
三�����、總結(jié)
數(shù)據(jù)備份(Backup):受備份策略���、備份數(shù)據(jù)可恢復(fù)性等問題影響,不適合于在高等級的容災(zāi)方案(RPO小于24小時)作為構(gòu)建備份數(shù)據(jù)系統(tǒng)主要的技 術(shù)�����。但由于實(shí)施方便�,成本低廉,適合于低等級的容災(zāi)方案中���,也可作為高等級容災(zāi)方案的輔助技術(shù)��。在應(yīng)用停機(jī)的情況下進(jìn)行數(shù)據(jù)備份就不存在數(shù)據(jù)一致性問題��, 當(dāng)需要在線備份時�����,一般由備份軟件來保證數(shù)據(jù)一致性�。
同步鏡像:應(yīng)用于最高等級的容災(zāi)方案(RPO等于0)中,需要關(guān)閉主機(jī)Cache來保證數(shù)據(jù)一致性�。對于連接生產(chǎn)中心和災(zāi)備中心的鏈路帶寬和QoS要求很高,一般采用光纖直連��、波分設(shè)備來保證����,方案部署成本很高��。
異步鏡像:應(yīng)用于較高級別的容災(zāi)方案(RPO接近于0)中����,無法有效保證數(shù)據(jù)一致性(關(guān)閉主機(jī)中的Cache和快照都不適合)。但對于連接生產(chǎn)中心和災(zāi)備中心的鏈路帶寬和QoS要求一般�,理論上帶寬只要達(dá)到“日新增數(shù)據(jù)量/(24×3600×8)”即可。
增量復(fù)制:應(yīng)用于較高級別的容災(zāi)方案(RPO小于1小時)中����,可以結(jié)合快照技術(shù)有效保證數(shù)據(jù)一致性。對于連接生產(chǎn)中心和災(zāi)備中心的鏈路帶寬和QoS要求一般�����,理論上帶寬只要達(dá)到“數(shù)據(jù)增量/復(fù)制間隔”即可���。
