微软企业数据灾备方案建议书.docx
《微软企业数据灾备方案建议书.docx》由会员分享,可在线阅读,更多相关《微软企业数据灾备方案建议书.docx(17页珍藏版)》请在冰豆网上搜索。
微软企业数据灾备方案建议书
XX客户
WindowsServer平台灾难保护解决方案
1前言3
2DPM2007介绍4
2.1DPM2007系统结构4
2.2DPM2007特点4
2.2.1扩展的保护5
2.2.2保护用户系统结构的弹性5
2.2.3高性能数据备份、低拥有成本6
2.2.4无缝化的磁盘-磁盘-磁带备份解决方案6
2.2.5易于使用和管理7
2.2.6灾难(系统无法引导)情况下的裸设备恢复功能9
2.2.7DPM2007系统恢复工具中的单一对象存储技术11
3用户系统环境描述12
4方案设计12
4.1域规划和防火墙配置12
4.2方案设计14
4.2.1DPM服务器自身保护16
4.2.2方案验证(PoC,ProveofConcept)16
1
前言
随着企业经营的快速发展,企业的日常经营对IT的依赖程度也越来越高,对于IT基础结构的连续运行能力提出了一个新的要求;并且随着业务发展的迅猛,如何随着IT系统规模的不断扩张,高效率的进行数据保护和灾难防护变得越来越棘手;特别是随着Windows服务器上的应用被大规模的部署,使得IT主管如果还延续采用中心化Unix服务器时代的备份理念就不得不面对高昂的成本、差的系统效率和复杂的管理方式的挑战。
针对用户对Windows环境下数据备份和恢复的要求,微软开发了针对微软应用环境的数据保护产品SystemCenterDataProtectionManager2007,使用DPM2007用户能够快速的进行数据备份和恢复。
DPM2007针对微软企业级计算环境设计,使用了先进的磁盘快照技术;因而,运用DPM2007对桌面系统进行备份时会有着一些显著的特点:
1.对桌面系统的资源占用小,不会显著影响桌面系统的运行效率
2.不须最终用户的干预,系统自动运行
3.数据备份和恢复快速
2DPM2007介绍
2.1DPM2007系统结构
DPM2007需要有“域”的运行环境,在一个典型的微软应用环境中,DPM2007的备份方案结构如下图:
1.在WindowsServer2003或者WindowsStorageServer2003上安装DPM2007服务器
2.在需要被保护的目标服务器或者桌面系统上配置代理程序
3.DPM服务器按照用户定义将数据自动存储在磁盘或者磁带上
2.2DPM2007进行桌面端数据备份
DataProtectionManager(DPM)2007标准版代理许可中包括有打开文件备份的能力,因此不同担心正在处理的文件是否能够备份的问题。
通过中央控制台,能够非常方便的添加需要进行备份的机器及管理哪个文件夹需要进行备份。
并且可以设定排除文件列表以节约存储空间。
2.2.1高性能数据备份、低拥有成本
DPM对应用系统进行备份时,使用高级的VSS技术,用户购买DPM2007无须再为高级的、结合VSS备份的高级技术再额外付费,而购买其他备份软件时要么是不支持VSS技术要么就是需要用户额外付费。
2.2.2无缝化的磁盘-磁盘-磁带备份解决方案
DPM也可以扩展保护到磁带,允许用户无缝化的将磁带和磁盘介质混合使用。
用户可以移动在线的快照数据到离线的磁带介质上以提供更深化的数据保护;此外,用户也可以定制基于磁带的备份任务来捕捉通常的全备份到磁带上来满足满足归档和法规遵从的需要,同时仍然保持了直接从磁盘细致的、高速恢复的能力。
DPM使得用户能够真正结合磁盘技术和磁带技术各自的优势:
可以基于磁盘进行短期的快速备份和恢复,也可以基于磁带长期的低成本的保存历史数据。
通过强大简洁的用户界面,用户可以方便的决定数据是保存在磁盘上还是磁带上(如下图:
)
DPM直接支持用户使用磁带驱动器或者磁带库进行磁带存储的集成,并且用户无须为磁带库中配置磁带驱动器而引起的软件支持费用担心,DPM2007支持磁带库并且没有额外的磁带库支持许可费用。
用户使用DPM进行数据恢复时,系统会直接告诉用户数据储存的位置,用户只是需要选择要恢复到的年、月、日和时间,系统就自动告知用户数据是储存在磁盘上还是磁带上(如下图:
)
2.2.3易于使用和管理
具有如此强大功能的DPM2007在使用上并不复杂,全程化导引方式的人机交互界面保证用户能够只是鼠标点击的操作就可以完成其他备份软件复杂的备份和恢复任务。
2.2.3.1DPM2007针对应用的备份策略创建过程
系统管理人员通过中央的DPM2007管理界面就可以完成一个完整的备份系统部署过程。
选择备份介质
代理程序会智能的识别出应用类型并将应用的逻辑结构展现给DPM服务器
选择已经安装代理程序的目标机器
创建保护组
选择长期磁带存储的时间策略
选择时间策略
2.2.3.2DPM2007针对应用的数据恢复过程
对于数据恢复,操作也是非常简便;在中央控制台就可以实现对数据的恢复操作:
从已经有数据备份的服务器列表中选择服务器和需要恢复的数据,并按照年、月、日、时间点的方式选择恢复点,系统会自动提示数据存储的介质类型
由用户选择数据恢复的位置
2.2.4灾难(系统无法引导)情况下的裸设备恢复功能
PM2007随着企业级代理(E-DPML)交付给用户一个非常强大的系统恢复工具,能够在被保护服务器无法正常引导启动(由于软件、硬件故障)的情况下快速恢复一个可引导的系统。
通常由于病毒或者硬件故障导致系统无法正确引导时,用户只得重新安装操作系统,安装补丁文件、安装应用系统、安装应用系统的补丁文件、安装备份软件代理程序后进行数据恢复操作;由于很多用户的系统环境复杂,没有完备的补丁分发和管理系统,因此面对裸设备恢复的情况用户要耗费几个甚至十几个小时。
如果用户部署了DPM2007企业级代理,那么系统在裸设备状态下的恢复时间会被大大缩短到几十分钟,甚至十几分钟。
该功能的主要特点有:
1.用户可以定制“恢复集”,“恢复集”会包括磁盘分区信息,系统状态信息及用户指定的卷上的所有文件。
2.使用单一对象存储技术,能够大大减少对多个被保护系统创建“恢复集”时对磁盘空间的占用。
基本上每个WindowsServer上都会有大量的和其他WindowsServer一样的文件,如果针对每个被保护系统都完整的、独立的创建“恢复集”势必会造成大量宝贵的磁盘空间被无效占用。
3.恢复过程简单,通过创建“BootClient”文件可以由系统管理员远程引导需要恢复的系统并通过网络进行裸设备快速恢复。
4.动态跟踪被保护系统,可定制对被保护系统进行数据同步的时间点从而创建一连串的“恢复集”。
2.2.5DPM2007系统恢复工具中的单一对象存储技术
市场上有很多系统快速恢复软件,例如Ghost或者某些备份软件厂商的一键恢复功能;无一例外的是这些功能要么不易使用只能够恢复系统初始化状态,不具有动态跟踪的特性;要么对存储空间占用高,增加了用户的额外投资。
微软的DPM2007使用了一种高级的有效技术手段-单一对象存储技术来保证平衡存储空间占用和动态跟踪之间的矛盾。
我们先假定用户有10台WindowsServer2003并且都安装了SQLServer2005,那么简单说每个服务器的C盘上都会有将近5GB的空间有操作系统和应用程序;如果保持每个服务器都有一个可恢复的系统备份就需要总共50GB的空间,但是用一个5GB的标准安装盘又不能够恢复每个服务器上的控制信息。
实际,这10个服务器的C盘上重复的数据有99%之多,因此使用微软的DPM2007SRT系统恢复工具就能够既保留每个服务器的可恢复的系统备份,并且通过针对这10个服务器上重复的文件只保留一个副本的技术大大降低对存储空间的占用。
因此使用DPM2007SRT可以对应用系统做每天最多2次的动态追踪,因此用户对于每个配置了DPM2007SRT的应用系统理论上在灾难发生时可以用30、40分钟恢复到半天前的系统状态。
3用户系统环境描述
目前,用户还没有在全局系统中部署域,但是为了保障数据安全及能够对数据的访问进行审核,因此DPM2007需要一个域的认证环境。
目前用户的服务器是分散在一个园区的不同的建筑物之间,在不同的以防火墙隔离的局域网环境中并且每个局域网环境中服务器的数量规模不尽相同;如下图:
4方案设计
4.1域规划和防火墙配置
活动目录是微软技术平台中身份认证和访问控制管理的基础,虽然目前用户还没有部署AD,但是可以先建立一个简单的域环境来保证DPM2007的运行;根据用户的网络环境,域的部署可以有两种方式:
1.在数据中心创建一个域,将所有服务器加入到该域。
2.在数据中心创建一个域,并在服务器数量比较大的LAN环境中单独创建一个域;并将这些域设定为双向信任关系。
如果用户的网络链路上都完全对等,采用第一种方法问题不大;但是如果在未来需要对不同的局域网环境设定不同的管理策略,采用各自“森林”的域规划方式比较好。
关于域的规划涉及的内容较多,如果只是考略DPM2007的使用可以在数据中心创建域并将其他所有需要DPM保护的服务器加入到该域就可以;如图:
为了安全可以设定为1个主域控制器+1个备份域控制器的环境,也可以是单独域控制器的运行方式,因为作为备份系统并不是一个“关键”业务系统。
由于为了通讯安全,用户在不同的局域网之间架设了防火墙隔离的环境因此就需要针对服务器和域控服务器之间的通讯相应的配置相关的防火墙,要通过防火墙建立域信任关系或安全通道,必须打开下列端口。
请注意,在防火墙的两端可能有同时充当客户端和服务器角色的主机。
因此,可能需要镜像端口规则。
要使基于WindowsServer2003的应用服务器能够正常的和基于WindowsServer2003的域服务器进行正常通信,以下端口必须打开:
客户端端口
服务器端口
服务
1024-65535/TCP
135/TCP
RPC*
1024-65535/TCP/UDP
389/TCP/UDP
LDAP
1024-65535/TCP
636/TCP
LDAPSSL
1024-65535/TCP
3268/TCP
LDAPGC
1024-65535/TCP
3269/TCP
LDAPGCSSL
53,1024-65535/TCP/UDP
53/TCP/UDP
DNS
1024-65535/TCP/UDP
88/TCP/UDP
Kerberos
1024-65535/TCP
445/TCP
SMB
并且为了成员服务器和域控制器之间能够正常通信并能够基于组策略管理,必须保证ICMP通讯的正常,与TCP协议层和UDP协议层不同,ICMP没有端口号。
这是因为ICMP直接由IP层主持。
虽然上面表格中列出了RPC的端口号,但是不同的防火墙设置都相对复杂,因此关于RPC协议和防火墙的设置还需要具体情况具体分析。
同时,DPM2007的代理程序和DPM2007服务器之间也需要在防火墙的配置上打开相应的端口,如下:
ProtocolsandPortsUsedbyDPM
Protocol
Port
DCOM
135/TCP,
Dynamic
TCP
5718/TCP
5719/TCP
DNS
53/UDP
Kerberos
88/UDP88/TCP
LDAP
389/TCP
389/UDP
NetBIOS
137/UDP
138/UDP
139/TCP
445/TCP
同样DPM2007SRT也需要对RFC21062和RFC21063端口在防火墙开放。
4.2方案设计
DPM服务器本身用于数据的存储和管理,并且使用SQL技术对日志进行管理也方便报告和审核;因此需要服务器硬件本身有一定的I/O处理能力和一定的磁盘空间。
DPM2007服务器在进行磁盘-磁盘的备份时需未格式化的磁盘;因此建议用户在考虑DPM服务器的配置时针对以下几点:
1.CPU能力;DPM不是交易处理型服务器,不需要强大的CPU能力。
2.网络接口;DPM和DPM代理程序之间的数据同步完全通过TCP/IP网络,因此对于DPM服务器的网络处理能力有一定要求;不过由于本身对CPU压力不大,不用考虑使用TOE网卡,但是采用多网卡的配置对于性能的提高是有帮助的。
3.磁盘I/O;DPM是备份服务器,因此不像交易型数据库服务器那样需要高性能的磁盘子系统,但是当备份系统规模较大,并且定义的时间点交错不开时,并发的数据同步也还会对磁盘I/O能力有一定要求;具体的要求要视系统环境情况而定,通常的中低端磁盘阵列系统就可以满足比较大规模的部署要求。
对于I/O接口标准,采用主流的SCSI,SATA,FibreChannel都可以。
从性能价格比考虑,SATA或者SAS都是比较好的选择。
总之,DPM服务器是典型的数据存储传输类型的应用,对I/O的能力要求是有,但是不会像关键业务系统要求的那么高。
同时,为了能实现应用服务器裸设备恢复功能,需要部署DPMSRT服务器,该服务器可以单独部署,也可以和DPM2007服务器同时部署在一台物理服务器上。
考虑到成本有效性,建议先考虑部署在一台服务器上的解决方案,如下图:
4.2.1DPM服务器自身保护
和其他备份解决方案一样,DPM服务器本身也会维护一个简单的数据库以管理相关日志,如果该数据库损坏会破坏整个备份系统的运行,但是不会丢失已经备份的数据,只是无法查找;但是,如果备份服务器只是一个单独的服务器,在其操作系统上没有其他的工作负载,服务器出现故障的可能性非常低,不过为了防止小概率时间造成的大损失,也可以采用DPM的灾难防护解决方案—用一台DPM服务器备份另外一台DPM服务器,这两台服务器之间的连接可以是LAN也可以是WAN,因此可以做到真正意义上的灾难恢复。
4.2.2方案验证(PoC,ProveofConcept)
由于用户系统结构复杂,并且设计的业务单位很多;特别是各个局域网之间的防火墙配置。
因此建议在考虑整个方案的可部署性、经济性之前,在局部环境进行方案验证测试。
方案验证的好处有:
1.彻底了解防火墙配置需要进行哪些改动
2.根据用户服务器数量列表,核算的数据空间将近2TB;但是是否2TB可以满足使用要求,或者是否真的需要2TB的空间还需要根据实际情况考虑。
毕竟硬件设备的价格,特别是磁盘的价格是“日新月异”的。
升级会员 