[vip专享]8.1 容灾技术

  • 格式:pdf
  • 大小:561.70 KB
  • 文档页数:12

8.1 容灾技术忽视数据备份,没有容灾能力将会给企业或组织带来巨大的损失,据统计资料显示,当受到数据灾难袭击的时候,30%受影响的公司被迫立即退出市场,另外有29%受影响的公司会在两年内倒闭。

所以当各种无法预知的事故或灾难导致重要的数据丢失时,能够及时采取灾难恢复措施,可以将企业或组织的损失降低到最低。

8.1.1 容灾技术概述据统计资料显示,2000年以前的10年间发生过灾难的公司中,有55%当时倒闭,剩下的45%中,因为数据丢失,有29%也在两年之内倒闭,生存下来的仅占16%。

在1993年发生的美国世贸中心大楼爆炸事件,爆炸前,约有350家企业在该楼中工作,一年后,再回到世贸大楼的公司变成了150家,有200家企业由于无法存取原有重要的信息而倒闭。

2003年,国内某电信运营商的计费存储系统发生两个小时的故障,造成400多万元的损失,这些还不包括导致的无形资产损失。

另外,大家熟悉的“9.11”事件带来的损失更是巨大,还有许多举不胜举且触目惊心的例子,每一次都是惨痛的教训。

由此可见,尽管小心谨慎,还是不可避免地会发生各种各样的灾难。

1.容灾的定义容灾是一个范畴很广泛的概念,是一个系统工程,包括支持用户业务的方方面面,可以将所有与业务连续性相关的内容都纳入到容灾中。

对于IT而言,容灾提供一个能防止用户业务系统遭受各种灾难破坏的计算机系统。

容灾主要表现为一种未雨绸缪的主动性,而不是在灾难发生后的亡羊补牢。

容灾是指在发生灾难性事故时,能够利用已备份的数据或其他手段,及时对原系统进行恢复,以保证数据的安全性以及业务的连续性。

从技术上看,衡量容灾系统有两个主要指标:RPO和RTO。

RPO(Recovery Point Object):即数据恢复点目标,主要是指当灾难发生时业务系统所能容忍的数据丢失量。

RTO(Recovery Time Object):即数据恢复时间目标,主要是指所能容忍的业务停止服务的最长时间,即从灾难发生到业务系统恢复服务功能所需要的最短时间周期。

RPO针对的是数据丢失,而RTO针对的是服务丢失,二者没有必然的关联性。

RTO和RPO的确定必须在进行风险分析和业务影响分析后,根据不同的业务需求确定。

对于不同企业的同一种业务,RTO和RPO的需求也会有所不同。

RPO与RTO越小,系统的可用性就越高,当然需要的投资也越大。

2.导致系统灾难原因从广义上讲,对于一个计算机系统而言,一切引起系统非正常停机的事件都称之为灾难。

威胁数据的安全,造成系统失效的主要原因有以下几个方面。

(1)硬件故障。

主要的硬件故障包括I/O和硬盘损坏、电源(包括电缆、插座)以及网络故障等,如果是安装系统的磁盘故障,则还必须重建系统。

(2)人为错误。

最容易忽略的故障原因,包括误操作、人为蓄意破坏,如对一些关键系统配置文件的不当操作,或者人为删除一个文件或格式化一个磁盘,会导致系统不能正常启动。

另外还有黑客的攻击,黑客侵入计算机系统,并且破坏计算机系统。

(3)软件故障。

最为复杂和多样化的故障原因,如系统参数设置不当或者由于应用程序没有优化,造成运行时系统资源不合理分配或数据库参数设置不当等,都有可能导致系统性能下降,甚至停机。

(4)病毒影响。

病毒使计算机系统感染,损坏计算机数据,需要及早预防病毒的攻击。

(5)自然灾难。

包括地震、台风、水灾、雷电、火灾等会无情地毁灭计算机系统,这种灾难破坏性很大,影响面比较广。

灾难发生后,恢复的一般步骤如下。

第1步:恢复硬件。

第2步:重新装入操作系统。

第3步:设置操作系统(驱动程序设置、系统、用户设置)。

第4步:重新装入应用程序,进行系统设置。

第5步:用最新的备份恢复系统数据。

3.容灾的级别容灾可以分为3个级别:数据级别、应用级别和业务级别。

(1)数据级容灾。

数据级容灾关注点在于数据,需要确保用户数据的完整性、可靠性、安全性和一致性,即灾难发生后可以确保用户原有的数据不会丢失或者遭到破坏。

数据级容灾较为基础,其中,较低级别的数据容灾方案仅需利用磁带库和管理软件就能实现数据异地备份,达到容灾的功效;而较高级的数据容灾方案则是依靠数据复制工具,例如卷复制软件,或者存储系统的硬件控制器,实现数据的远程复制。

数据级容灾是保障数据可用的最后底线,当数据丢失时能够保证应用系统可以重新得到所有数据。

从这种意义上讲,数据备份属于该级别容灾,用户把重要的数据存放在磁带上,如果考虑到高级别的安全性还可以把磁带运送到远距离的地方保存,当灾难发生后,从磁带中获取数据。

该级别灾难恢复时间较长,仍然存在风险,尽管用户原有数据没有丢失,但是对于提供实时服务的信息系统,应用会被中断,用户业务也被迫停止。

(2)应用级容灾。

应用级容灾在数据级容灾的基础上,把执行应用处理能力复制一份,即在备份站点同样构建一套应用系统,在保证用户数据的完整性、可靠性、安全性和一致性的前提下,提供不间断的应用服务,让客户的应用服务请求能够透明地继续运行,而感受不到灾难的发生,保证整个信息系统提供的服务完整、可靠、安全和一致。

一般来说,应用级容灾系统需要通过更多软件来实现,它可以使企业的多种应用在灾难发生时进行快速切换,确保业务的连续性。

应用级容灾比数据级容灾要求更高。

(3)业务级别。

数据级容灾和应用级容灾都是在IT范畴之内,然而对于正常业务而言,仅IT系统的保障还是不够的。

有些用户需要构建最高级别的业务级别容灾。

业务级容灾的大部分内容是非IT系统,比如电话、办公地点等。

当一场大的灾难发生时,用户原有的办公场所都会受到破坏,用户除了需要原有的数据、原有的应用系统,更需要工作人员在一个备份的工作场所能够正常地开展业务。

4.容灾系统由于容灾所承担的是用户最关键的核心业务,其发挥的作用异常重要,容灾本身的复杂性也是十分明显,这些决定了容灾是一项系统工程。

容灾首先涉及众多技术及众多厂商的各类解决方案。

性能、灵活性及价格都是必须考虑的因素,更重要的是,用户需要根据自己的实际需求量身打造。

许多用户的生产站点都是经过长期积累、多次改造后形成的,对于特殊的应用还采用特定的设备。

那么当用户考虑构建容灾站点时就必须把所有的情况都考虑进来,构建容灾方案的一条基本准则是“选择适合自己的”。

与此同时用户还要考虑长远一些,尽量采用先进而不是将要淘汰的技术,毕竟冗余站点与生产站点一样会长期使用。

一个完整的容灾系统应该包含3个部分:本地容灾、异地容灾和有效的管理机制。

(1)本地容灾。

主要手段是容错,容错的基本思想是在系统体系结构上精心设计,利用外加资源的冗余技术来达到屏蔽故障,自动恢复系统或安全停机的目的。

(2)异地容灾。

当遇到自然灾害(火山、地震)或者战争等意外事件时,仅采用本地容灾并不能满足要求,这就应该考虑采用异地容灾的保护措施。

异地容灾是指在相隔较远的异地,建立两套或多套功能相同的IT系统,当主系统因意外停止工作时,备用系统可以接替工作,保证系统的不间断运行。

异地容灾系统采用的主要方法是数据复制,目的是在本地与异地之间确保各系统关键数据和状态参数的一致。

对于容灾系统来说,所包含的关键技术有数据存储管理、数据复制、灾难检测、系统迁移和灾难恢复5个方面。

(1)数据存储管理。

数据存储管理是指对与计算机系统数据存储相关的一系列操作(如备份、归档、恢复等)进行的统一管理,是计算机系统管理的一个重要组成部分,也是建立一个容灾系统的重要组成部分。

数据备份,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全系统或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程,数据备份是容灾的基石。

数据归档是将硬盘数据复制到可移动媒体上。

与数据备份不同的是,数据归档在完成复制工作后将原始数据从硬盘上删除,释放硬盘空间。

数据备份是数据存储管理中的一个重要部分。

数据备份的评价标准包括备份速度、恢复速度以及数据恢复点。

为了提高备份的效率,出现了很多新的备份技术,在很大程度上提高了备份速度,主要的备份技术在后面介绍。

(2)数据复制。

容灾系统的核心技术是数据复制。

顾名思义,数据复制就是将一个地点的数据复制到另外一个不同的物理点上的过程。

数据复制一般分为同步数据复制和异步数据复制。

根据复制数据的层次进行细化,可以分为以下4种类型。

①硬件级的数据复制:主要是在磁盘级别对数据进行复制,包括磁盘镜像、卷复制等,这种类型的复制方法可以独立于应用,并且复制速度也较快,对生产系统的性能影响也较小,但是开销比较大。

②操作系统级的复制:主要是在操作系统层次,对各种文件的复制,这种类型的复制受到了具体操作系统的限制。

③数据库级的复制:是在数据库级别将对数据库的更新操作以及其他事务操作以消息的形式复制到异地数据库,这种复制方式的系统开销也很大,并且与具体数据库相关。

业务数据流级复制:就是业务数据流的复制,就是将业务数据流复制到异地备用系统,经过系统处理后,产生对异地系统的更新操作,从而达到同步。

这种方式,也可以独立于具体应用,但是可控性较差。

现在利用这种方式来实现容灾系统的例子还很少。

(3)灾难检测。

现在对灾难的发现方法一般是通过心跳技术和检查点技术,这种技术在高可靠性集群中应用很广泛。

心跳技术又称为拉技术,就是每隔一段时间都要向外广播自身的状态(通常为“存活”状态),在进行心跳检测时,心跳检测的时间和时间间隔是关键问题,如果心跳检测的太频繁,将会影响系统的正常运行,占用系统资源;如果间隔时间太长,则检测就比较迟钝,影响检测的及时性。

检查点技术又称为主动检测,就是每隔一段时间,就会对被检测对象进行一次检测,如果在给定的时间内,被检测对象没有相应,则认为检测对象失效。

与心跳技术相同,检测点技术也受到检测周期的影响,如果检测周期太短,虽然能够及时发现故障,但是给系统造成很大的开销;如果检测周期太长,则无法及时的发现故障。

对于异地容灾,备份生产中心和主生产中心可能相隔千里,这时候因为网络延迟较大或者其他原因,可能会影响心跳检测的效果,因此如何对现有的检测技术进行改进,以适应广域网的要求,将是实现高效的远程容灾系统的基础。

(4)系统迁移。

在发生灾难时,为了能够保证业务的连续性,必须实现能够实现系统透明的迁移,也就是能够利用备用系统透明的代替生产系统,一般是通过DNS或者IP地址的改变来实现系统迁移的。

(5)灾难恢复。

灾难恢复是为恢复计算机系统提供保证的。

业界广泛的经验和教训说明,灾难恢复的成功在于企业中经过良好训练和预演的人在自己的角色上实施预先计划的策略,即灾难恢复计划。

在系统备份与灾难恢复计划建立以后,还必须在事前反复测试,并随时调整,加以改进,完整的系统恢复方案才能得以建立。

其中灾难恢复策略在整个恢复方案中占有非常重要的作用。

可以按照以下几个步骤来制定数据恢复策略。