湖南交警和烟草容灾备份方案Word下载.docx
《湖南交警和烟草容灾备份方案Word下载.docx》由会员分享,可在线阅读,更多相关《湖南交警和烟草容灾备份方案Word下载.docx(26页珍藏版)》请在冰豆网上搜索。
另一种是失效的数据仍可以部分使用,但从整体上看,数据之间的关系是错误的,这种失效称为逻辑损坏(LogicalDamage)。
逻辑损坏比物理损坏更为严重,因为逻辑损坏不易被发现,潜伏期长,当发现数据有错误时可能已经无法挽回。
现阶段,全省范围的数据备份是采用相互独立的人工备份方式。
这种方式存在着许多问题,比如:
不能进行集中备份、系统数据量大于单盘磁带容量,备份工作需要人工干预,耗费大量的人力和时间、不能进行及时备份以及不能实现在线备份等等。
另外,数据的逻辑错误靠人工很难做到及时发现,一旦发现就会产生无法挽回的损失。
为了解决这些问题,提高数据备份的能力、自动化程度、可靠性以及管理水平,需要采用专业的数据备份软件和硬件,构建一个较完整的数据备份系统。
数据备份能够为数据存储提供良好补充。
数据备份通过定期或定时的对湖南省市州所有的数据库中的数据进行备份,并能提供在需要的时候进行数据恢复,以确保业务工作的需要。
数据备份采用集中化备份系统,要求集成目前主流的备份功能,它能够减少备份的窗口、提高备份的效率、减少备份的时间、降低网络的影响、避免备份管理的干预。
能够充分满足XX系统IT管理人员不足的行业背景。
将市州的核心应用(xx系统)的数据库数据和文件数据统一的、集中的备份到省局中,可对所有核心应用系统数据进行统一的保护,通过现有的IP网络专线,实现统一、集中式的备份。
然后可以借助复制策略,将数据从省局的集中存储复制到某个地市州存储上,形成异地保护。
同时,针对省局当地的核心存储,一旦发生故障,就会导致所有基于此平台之上的业务系统停机,所以,消除核心存储单点故障的问题,也迫在眉睫!
第2章容灾系统技术规范
随着数据中心的建立和完善,计算机信息系统需要在数据层面、应用层面集中后,对数据的安全和关键应用的可用性作为风险控制的焦点。
很多系统准备或正在进行数据备份系统的规划和建设实施,数据备份系统建设的目标是要保证数据安全、可用,使计算机信息系统和数据能够最大限度地防范和解决各种意外和故障所带来的数据丢失。
然而,与大多数工程一样,数据备份/恢复及容灾系统建设本身在总体规划、方案选择和投产实施后的管理运行,以及真正面对数据恢复时的实际操作等方面也存在着潜在的风险。
可以说,数据备份容灾系统本身也可能存在风险点,需要小心应对。
备份/恢复及容灾系统建设中所涉及的潜在风险大致可分为技术风险、管理风险和投资风险,其中尤以技术选择风险最大,技术方案选择优越,可以规避一定的管理风险和投资风险。
而这三者也存在内在的相互关联,不同规模的数据备份/恢复及容灾方案对应的建设投资规模、所采用的技术以及实施和管理的复杂度也不同,应考虑保护计算机系统的原有投资并提高数据备份/恢复及容灾系统建设投资的利用率。
2.1容灾系统建设总体规划
数据备份的目的是为了恢复!
在数据备份的世界里,是有等级观念的,规模不同,数据备份/恢复和容灾系统所采用的技术和达到的功能是不同的,在系统建设资金投入方面的差距也很巨大。
所以,对于数据中心来说,明确数据备份/恢复及容灾系统建设的总体规划十分必要。
国务院信息办《信息系统灾难恢复规范》将关键系统灾难恢复分为七个等级,并对每个等级的灾难恢复目标进行了具体的定义。
比如第一级灾难恢复等级只是在异地保存备份数据,并不需要在灾备中心部署业务主机,当灾难发生需要恢复业务时,将从其他地方调配资源,进行业务恢复。
标准中根据灾难恢复等级划分标准,将支持灾难恢复各个等级所需的资源(以下简称“灾难恢复资源”)分为以下7个要素:
1)数据备份系统
2)备用数据处理系统
3)备用网络系统
4)备用基础设施
5)技术支持能力
6)运行维护管理能力
7)灾难恢复预案
并按照灾难恢复资源的成本与风险可能造成的损失之间取得平衡的原则(以下简称“成本风险平衡原则”)确定每项业务功能的灾难恢复策略,不同的业务功能可采用不同的灾难恢复策略。
按照灾难恢复等级共分为六个级别。
2.2数据备份
数据备份是系统、数据保护的基础,也是抵御逻辑故障、恶性操作的唯一方案。
目前备份技术主要有快照备份、离线备份、异地存储备份。
备份系统通过备份策略,对计算机信息系统的操作系统、文件系统、应用程序、数据库系统等数据集,实现某一时间点的完整拷贝,拷贝的数据处在非在线状态,不能被立刻访问,必须通过相应操作,如恢复等方式使用备份数据。
这也解决了实时数据保护不能解决的问题:
人为误操作、恶意性操作等,这类操作,计算机系统是不能区分的,一旦执行,将造成数据中心、备份中心数据同时修改;
对于数据库系统,在日志完整时,可以通过回滚方式修改,对于文件系统、操作系统等其他配置信息是不能回滚的,将造成毁灭性的结果。
目前成熟的备份软件如SymantecNetBackup。
2.3实时数据保护
实时数据保护,就是在多块磁盘上、多个阵列、多台服务器、多个数据中心实时的保存同一份数据的多份存储,目的是为了避免物理故障,数据不会因为一块磁盘、一个阵列、一台服务器、一个数据中心的故障,而不能访问。
此外因为距离限制,还衍生出了准实时数据保护技术;
实时数据保护一般是通过扩展SAN网络实现而准实时数据保护一般通过TCP/IP网络实现。
目前实时数据保护的技术主要有两种:
数据镜像和数据复制。
2.3.1数据镜像(Mirroring)
数据镜像(Mirroring)是冗余的一种类型,一个磁盘上的数据在另一个磁盘上存在一个完全相同的副本即为镜像。
镜像技术可以保证两份数据完全一样。
成熟的镜像技术在主机卷层面,因为这种技术可以在主机层面屏蔽来自不同厂商阵列带来的技术差异性;
同时这种技术可以实现同步的IO写镜像在性能上更有优势;
先进的卷镜像技术可以识别来自不同站点的镜像磁盘,可以设置读策略让读操作指针对生产中心阵列从而减少数据镜像对生产中心环境的IO压力,对于由于光纤链路,磁盘阵列控制卡或阵列本身造成的延迟也可以作出判断和应对,一旦真的发生故障可以禁用到该站点阵列的写操作,确保在应用在该站点的所有阵列上的数据保持一致性同时开始在正常的环境启用日志记录故障中的每个写操作;
在故障修复以后可以通过快速同步机制进行增量的快速同步对于远程镜像这种方式不但效率高而且非常可靠。
目前主流的卷镜像技术有SymantecStorageFoundation。
2.3.2数据复制(Replication)
数据复制(Replication)是将一个原数据及其改动,通过后续机制拷贝到其他地方,可以是另一个磁盘、另一个阵列、另一个服务器、另一个数据中心。
由于实现的机制不同,又分为同步复制和异步复制两种方式。
同步复制,能够确保两份数据完全一致,此种方式对网络传输带宽及磁盘活动状态有一定要求,例如网络带宽限制了数据的实时同步,将造成延时从而对系统的影响较大;
异步复制,通过后续机制,确保将本地改动的数据复制的异地,对系统的影响较小,但数据同步有延迟,是目前实现远程异地数据同步的主要方法。
很多硬件厂商都有基于自己阵列的硬件镜像方式。
但是硬件厂商的镜像方式通常不能在阵列之间进行,因此容易形成以阵列为单位的单故障点。
有些高端阵列可以提供阵列之间的复制技术,这种技术也被称为“背靠背复制技术”,然而这种技术通常需要复制的阵列采用同一型号,同一配置甚至同一固件版本,因此很容易造成锁定某种品牌造成扩展性的限制;
所谓的阵列间“镜像”实际上并不是真正的镜像技术,因为在生产端主机端看到的实际上还只是生产端得阵列,因此“镜像”是在阵列和阵列之间实现的,因此不但在IO性能上之后,在阵列或链路出现故障时不能做到自动判断,这会直接造成应用停顿;
而手工进行接管的时间通常需要15分钟到半个小时,这对核心应用的可靠性是很难得到保障的;
上层应用通常可能配置了多个磁盘阵列作为存储,这往往需要多个阵列提供一致性的复制手段保障应用的一致性复制,这对于不同品牌的阵列和网络条件是极难做到的;
最后多种阵列复制技术对未来实现跨越站点的切换将造成不确定性和实施的复杂性。
从复制层面来说,还有通过应用层面来完成数据复制的方式,这种方式多数只能应用在某个特定的数据库的日志复制层面,对于非结构化的数据没有解决方案;
日志复制方式需要在容灾中心部署主机,并在生产端完成对数据库的每个交易的分析后进行复制,对于每个生产数据交易的分析将会很大程度上影响生产数据库的性能,尤其对生产交易型服务器高峰期的性能将造成直接影响,而且这种复制技术往往没有经过数据库的官方认证,一旦数据库版本升级将有可能造成复制的延续性受阻;
虽然数据库复制技术可以提供数据在线分析,数据挖掘等提供帮助,然而其自身架构的限制很大程度上决定了这种方式适合做双活中心的交易分析、挖掘等,而不是一个灾备解决方案。
还有一种称为虚拟存储层的复制解决方案,这种方法是部署在存储阵列和主机之间。
但是由于需要维护主机层到存储的写一致性,通常需要在主机端部署软件这将直接影响主机层面的稳定性;
我们都知道在交换层面因为承担了生产存储环境承上启下的角色,因此对性能和稳定性要求是非常苛刻的;
对于部署在中间层次的虚拟技术属于“带内技术”,因为其自身往往是PC服务器架构,因此在性能上是很难得到保障的,其次这种架构为了提高稳定性通常需要部署双机集群架构和双控制卡提供冗余;
而双机集群如果在判断和切换上出现问题,将直接影响整个存储环境进而影响应用的可靠性;
多控制卡的部署需要多链路驱动支持,然而面临生产中心底层多种阵列和上层多种操作系统,即便是新推出了“带外技术”这种虚拟化技术都会力不从心;
因此这种技术还很不成熟,目前国内鲜有成功案例出现。
2.3.3软件复制(卷复制)
复制方式基于数据卷Volume进行。
复制的数据可以是数据库中的数据(文件方式或裸设备方式),数据库日志,复制的数据也可以是各种文件,如应用和数据库配置文件,应用程序,库文件,等等。
复制的示意图见图四。
SymantecVolumeReplicator(简称VVR)是一种远程卷数据复制。
卷复制技术与磁盘卷管理技术可以完全集成在一起。
因此可以通过用存储卷管理管理界面和命令统一配置管理;
由于卷复制技术仅仅将卷上每次I/O的实际数据实时复制到远程节点,所以在网络线路上传输的数据量很少,对带宽的需求也很小,因此也与应用无关,只要是在定义的复制卷上的仍和操作,都会被复制到异地。
2.4应用级容灾切换
所谓高可用性,用最简单的话说,就是系统在使用过程中有百分之多少的时间是可用的。
一般情况下,群集系统需要达到99~99.8%的可用性,也就是说,系统每年有四天零九个小时不可用是可以接受的。
如果对系统进行了一些特别的优化管理,减少一些配置上不必要出现的错误,把可用性提升到99.9%~99.98%也是不成问题的。
在某个群集中,可以使系统的可用性达到4个9或5个9;
对于一些容错率特别高的系统,可能达到5个9,甚至6个9以上。
所以,全面的容灾保护方案,意味着除了要实现本地的切换保护外,更要实现数据的实时异地复制和业务系统(包括数据库和应用软件)的实时远程切换。
从高可用设计的角度来说,一些关键业务系统应该已经在本地实现了数据冗余共享,并且在本地采用了高可用的群集保护可以在应用、进程或硬件出现故障时实现本地应用切换保护,但是如果本地整个应用系统群集都发生了故障,这种本地高可用性设计的局限性就凸显出来了。
因此按照国家容灾标准的最高级别要求,需要在前面提到的数据层面复制实现的基础上,建立起一个可以在主生产中心和远程备份中心切换的容灾大集群架构。
其切换行为应该为:
1.当应用系统某个资源或系统发生故障时,在本数据中心内切换。
2.数据中心发生故障时,切换到备份数据中心。
3.当主数据中心发生灾难时,切换到容灾备份中心。
集群之间如果发生互备关系(即一个集群环境有问题,其管理的应用切换到另一个集群中运行),它们之间的监控可以经过跨广域网的心跳协议实现。
应用切换的动作通常需要由人工控制,因为灾难恢复是需要经过严格的审查和判断后做出的,因此在广域网集群环境中通常不推荐采用类似本地集群的自动切换方式。
当应用切换到容灾中心时,应该有DNS域名解析等相应映射修改机制,保证客户端可以透明的存取切换到备份中心的应用,甚至可以通过大的虚拟IP或DNS虚拟映射等方式实现透明切换。
2.5数据恢复测试
大部分的数据备份/恢复系统方案,在项目实施后,很难有机会来实现恢复测试,因为对于大部分方案来说,这种预演活动,需要耗费大量的人力财力。
但是定期数据恢复测试是必不可少的,它是测试目前的备份数据的有效性唯一手段,因此建立一个数据恢复测试环境,也是数据备份/恢复及容灾系统规划中必不可少的内容。
这一点在国家容灾标准中从第1级到第6级都有明确的要求。
第3章湖南省XX容灾备份系统规划设计
3.1容灾系统设计原则
我们认为系统设计原则是必须要贯穿数据中心信息生命周期管理的全过程。
并且以数据中心业务为核心,保障数据中心业务的全天候连续,高效,稳定的运行,实现数据中心信息系统的最大价值。
项目设计原则:
安全性
先进性
创新性
高可用性
可扩展性
可管理性
如上图,对于数据中心,建议建立管理的本地数据备份,同城数据实时备份,异地远程数据备份,城域、广域高可用全局应用容灾切换的长远规划。
结合国家标准容灾6级标准,我们建议通过数据及业务系统分级梳理、分步实施,逐渐建立这一整套完善的数据备份/恢复及容灾体系:
第一步,灾难恢复需求分析
第二步,确定灾难恢复资源获取方式
第三步,深化数据备份系统;
第四步,存储整合;
第五步,服务器整合;
第六步,实现远程实时数据保护;
第七步,实现远程集群容灾切换;
第八步,建立数据恢复消防机制。
3.2第一步,灾难恢复需求分析
这一步需要和顾问公司一起针对生产中心的不同应用进行相关分析和梳理。
3.3第二步,确定灾难恢复资源获取方式
3.4第三步,深化数据备份系统
3.4.1常规备份与恢复
全面实现国标容灾规范中第一级本地数据备份/恢复方案。
常规数据备份/恢复是数据保护最有效、最基本的手段。
对于数据中心的所有计算机服务器我们应该考虑通过现有的专业备份软件,建立本地统一的数据备份系统,实现集中数据的备份,这些数据包括不同服务器上的文件系统数据,如word文档、excel表格、图表等,包括数据库数据文件、配置文件、日志文件,包括邮件信息等等,定义好相关数据的备份策略和备份数据有效期,扩大本地数据备份的覆盖面,保护好核心数据的备份。
关键业务的备份数据可以先存储在磁盘上,之后通过策略设置的生命周期管理策略转存到磁带库中,建议最终存储到磁带库的磁带中,这样便于数据的离线保护,避免逻辑故障和恶性破坏,更有利于未来到异地场外容灾保护及恢复的前期基础实现。
在所有信息技术当中,数据保护流程和技术是最为成熟的,但是数据保护环境的规模、重要性和复杂性日益增长,以及这方面的要求不断提高,已经逐渐发展成为新的挑战。
BackupExec平台通过对Windows平台服务器进行集中式端到端管理,提供了新一代数据保护,从而可以应对这些挑战。
赛门铁克的集成解决方案:
Netbackup平台
全新的Netbackup平台中体现了赛门铁克的新一代数据保护理念,该平台有助于应对管理挑战,提供了以下优势:
1.利用业界最为成熟可靠的LanFree备份技术,通过存储区域网的光纤交换式架构,进行对服务器数据的高速备份。
2.运用先进的磁带管理技术,保证光纤存储区域网中磁带数据的高度安全性以及完全自动化的介质调度管理。
3.利用数据库在线备份技术,提供灵活的数据库备份策略供用户选择。
4.提供完善的备份报告机制帮助用户进行复杂备份环境下的备份历史数据统计管理。
5.结合BESR/BMR系统快速恢复工具,打造从系统到数据到应用的全面保护解决方案
6.结合Puredisk重复数据删除技术减少备份过程中的冗余数据占据宝贵的磁盘空间
7.通过对最新虚拟技术的支持,帮助客户管理好Vmware环境下的数据备份
3.4.2操作系统数据备份
深化实现国标容灾规范中第一级本地数据备份/恢复方案。
备份数据除了是应用级的文件和数据库数据,对于关键服务器,我们还应该考虑备份服务器操作系统级的数据,包括操作系统、驱动程序、系统配置、应用程序、操作系统及相关应用系统、驱动程序的补丁程序,相关的TCP/IP、主机名、用户管理信息、域信息等。
在系统出现故障,修复硬件时,可以快速恢复操作系统级相关系统信息和配置,避免单系统故障对数据的破坏。
利用裸金属恢复技术手段能够实现对操作系统级数据恢复,在系统级故障时,不需有重新安装操作系统,通过恢复手段实现操作系统的安装和配置,包括操作系统、驱动程序、应用程序、系统及应用补丁、系统及应用配置,15-60分钟恢复。
3.4.3备份数据异地保存
升级实现国标容灾规范中第二级到第四级异地数据备份/恢复方案。
对核心数据实现备份数据的异地保存机制。
对于核心数据除了实现本地备份外,还要实现备份数据的异地保存,既备份数据在本地有副本,同时还要定期、定时拷贝一份,送到异地数据中心实现保存。
备份场地是灾难恢复所需的、支持灾难备份系统运行的建筑、设备和组织,包括介质的场外存放场所、备用的机房及工作辅助设施,以及容许灾难恢复人员连续停留的生活设施。
通过备份软件的裸金属恢复模块、磁带异地容灾出库模块,对所有关键业务系统的主机,做好完善的数据备份,特别是做好操作系统备份、文件系统备份、数据库系统文件备份、数据库数据文件备份、相关的核心应用程序备份;
建立好完善的备份/恢复机制和远程磁带保管机制。
这也是未来实现远程数据备份的基础,备份中心与生产中心的数据初始化同步,都是通过磁带备份恢复方式,实现一个同步起点,否则很难想象需要将本地和异地的存储设备运往同一地点进行背靠背复制,或通过网络进行全同步的复杂程度和成本上浪费。
3.4.4重复删除实现13地市州数据上传到省中心
考虑到各地链接到省中心的IP专线,是业务和数据传输共用,因此,数据抽取和上传一定需要考虑对于网络带宽的压力。
Netbackup内置的功能强大的重复数据删除功能Puredisk可以完美解决数据上传对于网络带宽的占用,每次只传播唯一性数据块,大大减少了数据在网络中的流量。
增强版本的NetBackupPureDisk重复数据删除方案,用以满足目前企业对数据中心备份架构的关键性需求。
为满足备份窗口需求,企业正在努力寻找基于磁盘的新型备份解决方案,并能够与其现有的备份基础架构进行集成。
通过将PureDisk重复数据删除纳入整体备份策略,用户可大幅降低基于磁盘的备份所消耗的存储和带宽。
备份过程中,磁盘使用的不断增加使得备份数据可在线进行并随时可用,同时也对当前数据保护环境的安全性、高可用性以及端对端报告提出了新的要求。
扩展新功能的NetBackupPureDisk通过集成VeritasBackupReporter,为企业客户和备份服务供应商提供改进的存储可用性以及扩展的安全性来满足这些新需求。
赛门铁克NetBackup产品管理部门高级总监MattKixmoeller表示:
“从远程办公室到核心数据中心均可显著受益于NetBackupPureDisk重复数据删除所提供的统一数据保护的方法。
NetBackupPureDisk集成了企业级安全、高可用性以及报告能力,使得我们能够为用户提供领先的重复数据删除技术——这在日趋苛刻的数据中心和服务供应商环境中显得更有价值。
”
NetBackupPureDisk集成VeritasBackupReporter提供企业级管理性
随着基于磁盘的基础架构在备份环境中应用的日益增加,许多用户发现,他们必须努力在数据中心提供包括磁盘、磁带和高级数据保护方法在内的操作及合规性报告。
NetBackupPureDisk此次的功能扩展可使企业用户仅凭借单一应用——VeritasBackupReporter,巩固PureDisk、NetBackup以及其他主要备份应用的备份活动报告。
凭借集中化的备份报告以及基于所有备份类型的历史数据进行增长规划的能力,用户可更好地管理、客制化其备份方法,其中包括磁带备份、快照以及来自PureDisk的重复数据删除。
开放灵活的高可用性基础架构增强数据可用性
随着基于磁盘备份环境的发展,基于磁盘备份方案的可扩展性和可用性变得极为重要。
赛门铁克NetBackupPureDisk将文件元数据和文件内容分别进行管理,从而满足了可扩展性和性能需求。
这一方法使用户更容易配置、部署、维护大量的重复数据删除(数百TB)。
作为NetBackup平台的一部分,PureDisk为用户扩展其备份存储、维持可用性、确保可靠的灾难恢复等方面提供了更大的灵活性。
NetBackupPureDisk目前支持新的磁盘及传统基于磁带的数据保护和可用性策略。
即将面市的NetBackupPureDisk可为带有多个服务器的PureDisk环境提供在线备援。
在大型备份环境下,如果控制PureDisk存储的服务器停机,几分钟内即可将故障转移到备援服务器上。
PureDisk服务器可在任何兼容硬件上配置使用,为IT企业仅靠少量投资实现备份环境可用性的增加提供了灵活性。
为企业和服务供应商提供扩展的安全特性
随着用户将重复数据删除部署于现有备份环境,并更多地进行在线数据传输,对于一致性访问控制及部署多个安全层的需求变得至关重要。
除了支持ActiveDirectory/LDAP认证外,赛门铁克创新的数据锁(datalock)功能可使终端用户进行数据加密,从而为企业和服务供应商提供了数据安全的新等级。
这一特性使终端用户的所有备份数据获得额外的密码保护,防止PureDisk系统管理员访问该数据。
该密码可控制数据访问,但不会干扰备份流程。
使用数据锁的备份工作将按计划进行,而备份管理员必须输入数据锁密码才可浏览或恢复数据。
针对湖南XX的实际业务情况,对于省中心本地的数据,我们建议采用SFHA实施同步镜像保护,消除核心存储单点故障,而对于地市州数据,则在本地备份完成后,通过NBU统一备份平台,借助PD的复制能够
升级会员 