两地三中心容灾方案

两地三中心容灾方案内容摘要：

rver 多种版本、 MySQL 等） 数据 ， 也有 各种应用程序（网站类， OA 类，业务系统类等）各种文档（ Word、 Execle、 TXT 等）各种非结构化数据（关键视频，档案等），当然 也需要对虚拟机镜像提供保护（ VMWare 和 Cloudview 等 ）。 本项目立足于 XX 市电子政务系统的容灾备份及安全建设，充分的调研了全市电子政务信息系统的建设和应用情况，从网络接入、系统业务功能及数据量、系统涉密情况、容灾策略需求、性能指标等多方面综合分析。 力争满足针对不同的性质的系统提出了数据级、应用级容灾策略，同时分析了不同策略的 在线模式与离线模式 、 远程数据复制 、同步与异步容灾 、同城与异地等多种容灾方案，专业化的解决未来 XX 市电子政务信息系统的容灾备份需求。 策略 本项目集约化建设的基础上实现规模化，项目建成之后将承载 XX 市 95%以 上电子政务信息系统的容灾工作，解决我市政府各部门内部业务系统、跨区域纵向业务应用、部门重点应该的容灾备份需求。 容灾备份中心依托电子政务外网建设二期工程将完成全市行政区划内共有 15 个区 7 市县（包括先导区），下辖 172 个街道（乡、镇）（这里包括个别区市县所管辖的乡镇级别的经济开发区）、 1512 个社区（村）的全域覆盖。 在数据规模方面，容灾备份中心将解决包括国家重点民生工程在内的 1000 余个业务系统的容灾备份工作。 XX 市 政务信息化 容灾 备份及安全 系统建设计划分成两个阶段，即同城灾备中心建设和异地灾备中心建设，最终建设成为两地三中心模式。 其中 以 新建 的 XX 市云计算中心作为各委办局业务系统的主数据中心， XX 市网站管理中心作为同城 灾备 中心， 可以选用 城市 A 或是 城市 B 作为异地灾备中心。 云计算 中心作为 主生产中心，负责日常的各委办局所有业务系统的运行。 在灾难发生时，在同城容灾中心恢复各委办局 关键业务 的应用运行。 在 城市 A 异地灾备 中心完成各 委办局 关键 数据的 保护，在发生地区级（ XX）的灾难时，保证各个业务系统的核心数据不丢失。 一期 目标 ： 实现 xx 个 委办局关 键数据在同城容灾中心的 集中 备份，以及 xx 个 关键业务在同城容灾中心的应用级容灾。 二期 目标 ： 实现 xx 个 委办局关键数据在 远程 容灾中心的 集中 备份，以及 xx 个核心 业务在同城容灾中心的应用级容灾。 内容 一期建设内容：  完成云计算 中心 、同城 灾备中心 、异地 灾备中心 两地三中心容灾总体设计  完成关键技术方案验证、实施方案编制、实施路径设计。  完成容灾中心运行管理模式设计。  建设同城应用级容灾中心 二期建设内容： 8  优化调整新建 云计算中心  建设 城市 A 或 城市 B 异地数据级容灾中心 方案 根据各委办局 的 技术架构现状与策略制定，结合容灾技术的关键技术分析与最佳实践，制定如下总体容灾架构：  容灾 模式为两地三中心灾备模式  容灾 级别 为数据库 系统实现应用 级别 容灾，其他应用系统基于同城容灾中心实现应用级容灾， 关键 业务基于远程容灾中心实现 应用 级容灾  结构化 数据复制采用 支持 异构平台的基于数据库层 的 数据 复制 技术 ，虚拟机 镜像等这类关键 非结构化 数据复制 采用 基于 存储层 的数据复制 技术  虚拟机 之间的 系统 切换技术 以自动 切换方式为主，物理机之间以及物理机和虚拟机之间的系统切换以手工切换方式为主，并配合 切换 脚本 减少 系统切换时间  容灾网络， 建议 同城数据中心之间采用大二层的存储网络架构，数据网络和存储网络的物理连接采用 DWDM 裸光纤 高速网络连接， 本地 和异地数据中心之间采用 IP 网络 连接，网络带宽要保证 系统切换的顺畅和数据复制的带宽需求  前端（客户端 ） 网络切换 技术有手工切换、 DNS 重定向 和负载均衡器的健康路由注入几种，本方案建议根据实际情况选择以上切换技术的一种或几种  容灾 系统和生产系统之间的配对关系为降级配对，就是容灾中心和生产中心之间的软、硬件配置不遵循 1:1 比例 ， 容灾 中心硬件配置的性能低于生产中心 ，容灾 应用服务器以虚拟机平台为主， 从而 进一步提升灾备系统的投入产出比 建成后的两地三中心结构拓扑图如下： 9 的核心技术及选择 容灾系统是指在相隔较远的异地，建立两套或多套功能相同的 IT 系统，互相之间可以进行健康状态监视和功能切换，当一处系统因意外 (如火灾、地震等 )停止工作时，整个应用系统可以切换到另一处，使得该系统功能可以继续正常工作。 容灾技术是系统的高可用性技术的一个组成部分，容灾系统更加强调处理外界环境对系统的影响，特别是灾难性事件对整个 IT 节点的影响，提供节点级别的系统恢复功能。 衡量指标 衡量容灾系统的主要指标有 RPO（灾 难发生时允许丢失的数据量）、 RTO（系统恢复的时间）、 容灾半径（ 生产 系统和容灾系统之间的距离） 以及 ROI(容灾 系统的投入产出比 )。 RPO 是指业务系统所允许的灾难过程中的最大数据丢失量（以时间来度量），这是一个灾备系统所选用的数据 复制 技术有密切关系的指标，用以衡量灾备方案的数据冗余备份能力。 RTO 是指“将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态”所需时间，其中包括备 10 份数据恢复到可用状态所需时间、应用系统切换时间、以及备用网络切换时间 等，该指标用以衡量容灾方案的业务恢复能力。 容灾半径是指生产中心和灾备中心之间的直线距离，用以衡量容灾方案所能防御的灾难影响范围。 容灾方案的 ROI（ Return of Investment，投入产出比）也是用户需要重点关注的，它用以衡量用户投入到容灾系统的资金与从中所获得的收益的比率。 显然，具有零 RTO、零 RPO 和大容灾半径的灾难恢复方案是用户最期望的，但受系统性能要求、适用技术及成本等方面的约束，这种方案实际上是不大可行的。 所以，用户在选择容灾方案时应该综合考虑灾难的发生概率、灾难对数据的破坏力、数据所支撑业务的重要性、适用的技术措施及自身所能承受的成本等多种因素，理性地作出选择。 级别 按照容灾系统对应用系统的保护程度可以分为数据级容灾 、 应用级容灾 和 业务级容灾。 数据级容灾 仅 将生产中心的数据复制到容灾中心，在生产中心出现故障时，仅能实现 存储 系统的接管或是数据的恢复。 容灾 中心的数据可以是本地生产数据的完全复 制（ 一般 在同城实现） ， 也可以比生产数据略微落后，但必定是可用的 （一般 在异地实现） ，而差异的数据 通常 可以通过一些工具（ 如 操作记录、日志等） 可以 手工补回。 基于数据容灾 实现 业务恢复的速度 较慢 ，通常情况下 RTO 超过 24 小时， 但是这种 级别 的容灾系统运行维护成本较低。 应用级容灾是 在数据级容灾的基础上，进一步实现应用 可用性 ，确保业务的快速恢复。 这就 要求 容灾系统 的 应用不能改变原有业务处理逻辑，是对生产中心系统的基本复制。 因此 ，容灾中心需要建立起一套和本地生产相当的备份环境，包括主机、网络、应用、 IP 等 资源均有配套，当 生产 系统发生灾难时，异地系统可以 提供 完全可用的生产环境。 应用级 容灾的 RTO 通常 在 12 个 小时 以内 ，技术复杂度较高，运行维护的成本也比较高。 业务级 容灾 是生产中心 与容灾中心对业务请求同时进行 处理 的容灾方式，能够确保业务 持续可用。 这种 方式 业务 恢复 过程的自动化程度高， RTO 可以 做到 30 分钟 以内。 但是 这种容灾级别 的 项目 实施难度大， 需要从 应用层对系统进行改造，比较适合流程固定 的 简单业务系统。 这种 容灾系统 的运行维护成本最高。 11 容灾建设模式 当前 ，市场上常见的 容灾 模式可分为同城容灾、异地容灾、 双活 数据中心、 两地 三中心几种。 容灾 同城 容灾 是在同城或相近区域内 （≤ 200KM）建立两个数据中心 :一个为数据中心，负责日常生产运行。 另一个为灾难备份中心，负责在灾难发生后的应用系统运行。 同城灾难备份的数据中心与灾难备份中心的距离比较近，通信线路质量较好，比较容易实现数据的同步 复制 ，保证高度的数据完整性和数据零丢失。 同城灾难备份一般用于防范火灾、建筑物破坏、供电故障、计算机系统及人为破坏引起的灾难。 容灾 异地 容灾 主备中心之间的距离较远 （＞ 200KM)因此一般采用异步镜像，会有少量的数据丢失。 异地灾难备份不仅可以防范火灾、建筑物破坏等可能遇到的风险隐患，还能够防范战争、地震、水灾等风险。 由于同城灾难备份和异地灾难备份各有所长，为达到最理想的防灾效果，数据中心应考虑采用同城和异地各建立一个灾难备份中心的方式解决。 三中心 结合近年国内出现的大范围自然灾害，以同城双中心加异地灾备中心的“两地三中心”的灾备模式也随之出现，这一方案兼具高可用性和灾难备份的能力。 同城双中心是指在同城或邻近城市建立两个可独立承担关键系统运行的数据中心，双中心具备基本等同的业 务处理能力并通过高速链路实时同步数据，日常情况下可同时分担业务及管理系统的运行，并可切换运行；灾难情况下可在基本不丢失数据的情况下进行灾备应急切换，保持业务连续运行。 异地灾备中心是指在异地的城市建立一个备份的灾备中心，用于双中心的数据备份，当双中心出现自然灾害等原因而发生故障时，异地灾备中心可以用备份数据进行业务的恢复。 数据中心 所谓 “双活 ”或 “多 活 ”数据中心，区别于 传统 数据中心 和 灾备中心的模式，前者 多个或两个数据中心都处于运行当中， 运行相同的应用，具备同样的数据，能够提供跨中心 12 业务负载均衡运行能力 ，实现持续的应用可用性和灾难备份能力， 所以称为 “双活 ”和 “多活 ”；后者是 生产 数据中心投入运行， 灾备 数据中心处在不工作状态，只有当灾难发生时，生产数据中心瘫痪，灾备中心才启动。 “双活 ”数据中心最大的特点是 ： 一、充分利用资源，避免了一个数据中心常年处于闲置状态而造成浪费 ， 通过资源整合， “双活 ”数据中心的服务能力是 翻 倍的 ； 二 、 “双活 ”数据中心如果断了一个数据中心， 其 业务可以 迅速 切换到另外一个 正在 运行的数据中心， 切换 过程对用户来说是不可感知的。 在 “双活 ”的模式中，两地数据中心同时接纳交易，技术难度很大，需要 更改众多底层程序 ， 因而在现实中，国内还没有 真正 “双活 ”数据中心 的成功 应用 案例。 的数据复制技术 在构建容灾系统所涉及的诸多要素中，数据复制 技术 是基础，只有保证了数据的安全可用，应用 或是 业务的恢复才有可能。 正常情况下系统的各种应用在数据中心运行，数据存放在数据中心和灾难备份中心两地保存。 当灾难发生时，使用备份数据对工作系统进行恢复或将应用切换到备份中心。 数据 复制技术的选择决定灾备系统的 RPO 指标 ，灾难备份系统中数据备份技术的选择应符合数据恢复时间或系统切换时间满足业务连续性的要求。 数据复制（ Replication）是指利用复制软件把数据从一个磁盘复制到另一个磁盘，生成一个数据副本。 这个数据副本是数据处理系统直接可以访问的，不需要进行任何的数据恢复操作，这一点是复制与 D2D 备份的最大区别。 根据不同容灾方案所采用数据复制技术位于企业 IT 架构不同层面，数据复制可分为基于存储层的复制、基于主机层复制和 基于应用的复制。 具体 到一个 I/O 从 磁盘到应用的流程上，可能经由 磁盘阵列 、存储网络、卷管理软件、文件系统、 数据 库系统和应用系统 全部 流程或是其中的几个流程， 那么 数据复制就可以在这些 流程 的任一层次上实现，如下图所示： 13 基于存储层的复制可以是由存储设备的控制器执行，也可以是由网络 层的 虚拟化存储管理平台来执行，基于存储层的复制基于 主机和应用的无关性，兼容性要求最低， 实施 难度最小，但是由于是卷级别的数据拷贝，对网络带宽要求最高； 基于主机的复制可以 由安装在主机上的卷管理软件或是文件系统来实现，在实际的应用场景中，以基于卷管理软件的数据复制技术居多， 这种 方式通常要求主机平台相关，实施难度 升高 ，但是带宽要求降低； 基于数据 层的复制通过 数据库 的容灾功能模块来实现， 对 网络带宽要求最低，但是 只能 实现数据库数据 的 容灾；基于应用层的数据复制 需要 对应用程序进行定制开发，现实场景中很难见到。 下面就重点 介绍一下 几种 常见的数据复制技术。 . 基于存储层的容灾复制方案 设备的数据复制 基于存储设备的数据 复制 技术的核心是利用存储阵列自身的盘阵对盘阵的数据块复制技术实现对生产数据的远程拷贝，从而实现生产数据的灾难保护。 在主数据中心发生灾难时，可以直接利用灾备中心的数据建立运营支撑环境，为业务继续运营提供 IT支持。 同时，也可以利用灾备中心的数据恢复主数据中心的业务系统，从而能够让企业的业务运营快速回复到灾难发生前的正常运营状 态。 基于存储设备 的数据复制技术 示意图如下： 14。