系統(tǒng)災(zāi)備技術(shù)基礎(chǔ)概述

1、系統(tǒng)災(zāi)備技術(shù)基礎(chǔ)概述目 錄 HYPERLINK l _TOC_250090 第一章 災(zāi)備基礎(chǔ)知識(shí)1災(zāi)備定義與演進(jìn)1 HYPERLINK l _TOC_250089 災(zāi)備的重要性1 HYPERLINK l _TOC_250088 信息災(zāi)備發(fā)生方式2 HYPERLINK l _TOC_250087 災(zāi)備基礎(chǔ)知識(shí)3 HYPERLINK l _TOC_250086 備份3 HYPERLINK l _TOC_250085 容災(zāi)6 HYPERLINK l _TOC_250084 備份與容災(zāi)的區(qū)別9 HYPERLINK l _TOC_250083 業(yè)務(wù)連續(xù)性9 HYPERLINK l _TOC_250082

2、 災(zāi)難恢復(fù)衡量指標(biāo)11 HYPERLINK l _TOC_250081 災(zāi)備的三個(gè)等級(jí)12 HYPERLINK l _TOC_250080 數(shù)據(jù)級(jí)災(zāi)備12 HYPERLINK l _TOC_250079 應(yīng)用級(jí)災(zāi)備12 HYPERLINK l _TOC_250078 業(yè)務(wù)級(jí)災(zāi)備13第一章 災(zāi)備基礎(chǔ)知識(shí)災(zāi)備的定義與演進(jìn)災(zāi)備是指組織的災(zāi)難備援。在信息化的 IT 系統(tǒng)中，災(zāi)備是指在災(zāi)難未發(fā)生前，利用 IT 技術(shù)對(duì)信息系統(tǒng)的數(shù)據(jù)和應(yīng)用程序進(jìn)行保護(hù)，包括本地及異地的數(shù)據(jù)備份、應(yīng)用和場(chǎng)所的接管等，確保系統(tǒng)遭受災(zāi)難時(shí)數(shù)據(jù)的安全，以及業(yè)務(wù)的快速恢復(fù)，為企業(yè)的正常運(yùn)行提供服務(wù)。災(zāi)備起源于 20 世紀(jì) 70 年代

3、的美國(guó)。 1979 年，IT 公司 SunGard 在美國(guó)費(fèi)城建立了全世界第一個(gè)災(zāi)備中心。當(dāng)時(shí)人們關(guān)注的重點(diǎn)是企業(yè) IT 系統(tǒng)的數(shù)據(jù)備份和系統(tǒng)備份等。隨后 IT 備份發(fā)展到了災(zāi)難恢復(fù)規(guī)劃 (DRP) ，并在 IT 備份中加入了災(zāi)難恢復(fù)預(yù)案、資源需求和災(zāi)備中心的管理，形成了生產(chǎn)運(yùn)行中心的保障概念。此后，人們進(jìn)行災(zāi)難恢復(fù)規(guī)劃時(shí)，將保護(hù) IT 系統(tǒng)的災(zāi)備范疇拓展到 IT 所支持的業(yè)務(wù)領(lǐng)域，并根據(jù)保護(hù)業(yè)務(wù)的要求衡量災(zāi)備的目標(biāo)哪些業(yè)務(wù)最重要？哪些業(yè)務(wù)需要最先恢復(fù)？美國(guó)“9 11 恐怖襲擊事件”后，全球用戶提升了對(duì)災(zāi)備的重視程度，異地災(zāi)備建設(shè)一時(shí)成為趨勢(shì)。在 IT 技術(shù)的不斷更新以及全面風(fēng)險(xiǎn)管控要求提高的

4、環(huán)境下，災(zāi)備的范疇從傳統(tǒng)的數(shù)據(jù)和系統(tǒng)備份、恢復(fù)，業(yè)務(wù)連續(xù)性規(guī)劃、災(zāi)難恢復(fù)規(guī)劃、災(zāi)備演練、災(zāi)備從業(yè)資質(zhì)認(rèn)證、人才培養(yǎng)、法律法規(guī)制定等領(lǐng)域，拓展到了通信保障、危機(jī)公關(guān)、緊急事件響應(yīng)、第三方合作機(jī)構(gòu)和供應(yīng)鏈危機(jī)管理等。圖 1-1 911 事件造成多家跨國(guó)公司數(shù)據(jù)損毀在云和大數(shù)據(jù)時(shí)代，數(shù)據(jù)已經(jīng)成為重要的生產(chǎn)要素。特別是在棱鏡門、永恒之藍(lán)、汶川大地震這類造成大規(guī)模數(shù)據(jù)丟失和泄漏的人為或自然災(zāi)害事件發(fā)生后，無(wú)論是用戶還是國(guó)家，均通過一系列的措施，強(qiáng)化對(duì)數(shù)據(jù)的安全保護(hù)。中國(guó)也相繼出臺(tái)了一系列的法律法規(guī)，對(duì)各組織機(jī)構(gòu)的數(shù)據(jù)安全保護(hù)條件進(jìn)行限定，如 2016 年頒布的中華人民共和國(guó)網(wǎng)絡(luò)安全法、2019 頒布的信

5、息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求、2019 年起草的數(shù)據(jù)安全管理辦法（征求意見稿）以及 2020 年在兩會(huì)提及擬起草的數(shù)據(jù)安全法等。尤其是在大力推動(dòng)以技術(shù)創(chuàng)新為驅(qū)動(dòng)、信息網(wǎng)絡(luò)為基礎(chǔ)、數(shù)據(jù)為核心的新基建的當(dāng)下，數(shù)據(jù)安全成為提高數(shù)字轉(zhuǎn)型、智能升級(jí)、融合創(chuàng)新等服務(wù)的關(guān)鍵因素。災(zāi)備的重要性信息系統(tǒng)災(zāi)備的重要性不言而喻，存儲(chǔ)專家 Jon Toigo 認(rèn)為，如果不做 DR/BC 的規(guī)劃，就可能有 5% 的概率引發(fā)企業(yè)的財(cái)務(wù)危機(jī)。對(duì)于災(zāi)備的重要程度，科研機(jī)構(gòu)已經(jīng)進(jìn)行了量化的分析：美國(guó)德克薩斯州大學(xué)較早的一次調(diào)查顯示只有 6% 的公司可以在數(shù)據(jù)丟失后生存下來(lái)，43% 的公司會(huì)徹底關(guān)門，51% 的公司會(huì)在兩年

6、之內(nèi)消失。另一份針對(duì)這一課題的研究報(bào)告也顯示災(zāi)難發(fā)生之后，如果無(wú)法在 14 天內(nèi)恢復(fù)信息作業(yè)，有 75% 的公司業(yè)務(wù)會(huì)完全停頓，20% 的企業(yè)在兩年之內(nèi)被迫宣告破產(chǎn)。美國(guó)明尼蘇達(dá)大學(xué)的研究也表明，在遭遇災(zāi)難時(shí)，在沒有災(zāi)難恢復(fù)計(jì)劃的企業(yè)中，將有超過60% 的企業(yè)在兩到三年后退出市場(chǎng)。而隨著企業(yè)對(duì)數(shù)據(jù)處理依賴程度的遞增，該比例還有逐漸上升的趨勢(shì)。IDC 在全球范圍內(nèi)針對(duì)多個(gè)行業(yè)的中小型企業(yè)（員工數(shù) 1000 名）的調(diào)研結(jié)果顯示近80% 的企業(yè)每小時(shí)的停機(jī)成本預(yù)計(jì)至少 2 萬(wàn)美元，超過 20% 的企業(yè)估算其每小時(shí)的停機(jī)成本至少為 10 萬(wàn)美元。2016 年災(zāi)備行業(yè)的一份可用性報(bào)告顯示，企業(yè)每年因應(yīng)用

7、停機(jī)造成的損失達(dá)到 1600 萬(wàn)美元， “可用性差距”（這一差距存在于用戶所需，例如全天訪問關(guān)鍵性應(yīng)用和數(shù)據(jù)，與 IT 部門的交付能力之類）進(jìn)一步擴(kuò)大。該報(bào)告指出，盡管去年發(fā)生了諸多備受矚目的宕機(jī)事件，但依然沒有引起足夠的重視。比如，全球 84% 的資深 IT 決策者承認(rèn)，他們正在經(jīng)歷“可用性差距”的困境，這個(gè)比例只比去年增加了 2%。根據(jù)權(quán)威數(shù)據(jù)機(jī)構(gòu)預(yù)測(cè)，2020 年全球云計(jì)算市場(chǎng)規(guī)模將超 4000 億美元。而我國(guó)云計(jì)算近年來(lái)以超過 30% 的年均增長(zhǎng)率，成為全球增速最快的市場(chǎng)之一。云服務(wù)已經(jīng)全面覆蓋人們生活的方方面面，企業(yè)和個(gè)人的數(shù)據(jù)存儲(chǔ)、各類業(yè)務(wù)的正常運(yùn)作、大文件的高效傳輸均離不開云服務(wù)

8、。云服務(wù)器一旦宕機(jī)，企業(yè)業(yè)務(wù)以及信息安全等必然會(huì)受到波及，甚至成為安全隱患。2019 年 3 月，谷歌云、阿里云、騰訊云就相繼發(fā)生大規(guī)模宕機(jī)時(shí)間，造成大量產(chǎn)品和服務(wù)受到影響，在騰訊云宕機(jī)的 4 個(gè)小時(shí)中，僅騰訊游戲就損失高達(dá)千萬(wàn)。且隨著企業(yè)信息架構(gòu)復(fù)雜程度的加深，影響系統(tǒng)正常運(yùn)作的因素也越來(lái)越多，無(wú)論設(shè)備故障、云平臺(tái)宕機(jī)，還是人為誤操作、斷電等，均對(duì)企業(yè)業(yè)務(wù)造成巨大的影響，如 2020 年 2 月發(fā)生的微盟惡意刪庫(kù)事件，就因?yàn)槿狈侠淼臋?quán)限管控和全面的數(shù)據(jù)備份和恢復(fù)計(jì)劃，造成大量用戶數(shù)據(jù)丟失，影響線上近 300 萬(wàn)商戶，兩天內(nèi)市值蒸發(fā)超 11 億元人民幣。信息災(zāi)備發(fā)生方式雖然每個(gè)行業(yè)面對(duì)的應(yīng)用

9、場(chǎng)景不一樣，但是萬(wàn)變不離其宗，根據(jù)已經(jīng)發(fā)生的災(zāi)備事件總結(jié)分析， 通常情況下災(zāi)難發(fā)生的原因會(huì)有以下幾種方式：表 1-1 信息災(zāi)備發(fā)生方式災(zāi)難原因具體方式代表事件IT 系統(tǒng)問題服務(wù)器、應(yīng)用程序、操作系統(tǒng)、數(shù)據(jù)庫(kù)、虛擬機(jī)等故障美團(tuán)服務(wù)器宕機(jī)網(wǎng)絡(luò)安全技術(shù)問題網(wǎng)絡(luò)、病毒攻擊、數(shù)據(jù)竊取 / 丟失、篡改、加密、泄露永恒之藍(lán) WannaCry 病毒信息安全管理問題rm-rf/* 刪除、升級(jí)失敗、無(wú)災(zāi)備演練、權(quán)限管理混亂微盟刪庫(kù)事件災(zāi)害類事件地震、洪災(zāi)、火災(zāi)、雷電、戰(zhàn)爭(zhēng)、城市建設(shè)汶川地震根據(jù)行業(yè)的研究表明，在以上各種導(dǎo)致系統(tǒng)故障的原因中，其比例為： 40 的系統(tǒng)故障是由操作人員操作失誤而引起。40 的系統(tǒng)故障是

10、由應(yīng)用軟件的問題所引起。20 的系統(tǒng)故障是由設(shè)備的物理原因所引起，如硬件失效、掉電、自然災(zāi)害等。綜上，系統(tǒng)故障導(dǎo)致業(yè)務(wù)下線的主要原因在于人為操作失誤和應(yīng)用軟件問題造成，自然災(zāi)難造成的下線概率較小。災(zāi)備基礎(chǔ)知識(shí)在信息化環(huán)境下，災(zāi)備行業(yè)有很多的專業(yè)災(zāi)備知識(shí)及技術(shù)，理解這些內(nèi)容對(duì)于業(yè)務(wù)和系統(tǒng)的災(zāi)備規(guī)劃建設(shè)會(huì)有很大的幫助。備份備份是指數(shù)據(jù)或系統(tǒng)的備份，它是容災(zāi)的基礎(chǔ)，是指為防止系統(tǒng)出現(xiàn)操作失誤或故障導(dǎo)致的數(shù)據(jù)丟失，而將全部或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤或陣列復(fù)制到其它存儲(chǔ)介質(zhì)的過程。圖 1-2 備份按照備份數(shù)據(jù)量分為：全量備份、增量備份、差量備份。全量備份：用存儲(chǔ)介質(zhì)對(duì)整個(gè)數(shù)據(jù)及系統(tǒng)進(jìn)行完全備份。這種

11、備份方式的好處是很直觀，容易被人理解，易恢復(fù)；缺點(diǎn)是在備份數(shù)據(jù)中有大量重復(fù)數(shù)據(jù)，由于需要備份的數(shù)據(jù)量相當(dāng)大，因此備份所需時(shí)間較長(zhǎng)。增量備份：每次備份的數(shù)據(jù)只是相當(dāng)于上一次備份后增加和修改后的數(shù)據(jù)。這種備份的優(yōu)點(diǎn)很明顯：重復(fù)數(shù)據(jù)少，即節(jié)省存儲(chǔ)空間，又縮短了備份時(shí)間。差量備份：是拷貝所有新產(chǎn)生或更新的數(shù)據(jù)，這些數(shù)據(jù)都是最近一次全量備份后產(chǎn)生或更新的。增量備份與差量備份的區(qū)別是，增量備份判斷數(shù)據(jù)更新標(biāo)準(zhǔn)是依據(jù)上一次備份檢查點(diǎn)，而差量備份一定是依據(jù)全量備份檢查點(diǎn)。如沒有全量備份，就沒有差量備份。差量備份的主要目的是限制完全恢復(fù)時(shí)使用的介質(zhì)數(shù)量。備份類型原理優(yōu)點(diǎn)缺點(diǎn)全量備份對(duì)備份集合中所有數(shù)據(jù)進(jìn)行備份完

12、全恢復(fù)系統(tǒng)需要的時(shí)間最短費(fèi)時(shí)，如果文件不頻繁進(jìn)行更改，備份內(nèi)容幾乎完全相同增量備份對(duì)上次備份后改變的數(shù)據(jù)進(jìn)行備份存儲(chǔ)的數(shù)據(jù)最少，備份速度最快完全恢復(fù)系統(tǒng)需要時(shí)間比全量備份或差量備份長(zhǎng)差量備份對(duì)自上次全量備份后改變的數(shù)據(jù)進(jìn)行備份恢復(fù)時(shí)僅需要最新全量備份和相應(yīng)的差量備份，備份速度比全量備份快完全恢復(fù)系統(tǒng)需要的時(shí)間比全量備份長(zhǎng)，如果大量數(shù)據(jù)發(fā)生變化，備份所需的時(shí)間長(zhǎng)于增量備份表 1-2 三種備份方式比較Image 備份是映像級(jí)備份的簡(jiǎn)稱，是指對(duì)整個(gè)文件卷進(jìn)行數(shù)據(jù)塊級(jí)別備份，備份傳輸?shù)氖菙?shù)據(jù)塊而不是文件。這種備份不僅做全備份時(shí)效率提高，而且在隨后的增量備份時(shí)會(huì)更快。它采用快照技術(shù)來(lái)創(chuàng)建一個(gè)近似于及時(shí)的

13、數(shù)據(jù)映像，然后對(duì)快照數(shù)據(jù)映像進(jìn)行備份，對(duì)應(yīng)用的影響很小。適合文件個(gè)數(shù)在百萬(wàn)量級(jí)以上的大型文件系統(tǒng)，以及更多要求恢復(fù)整個(gè)文件卷的應(yīng)用環(huán)境。LAN/SAN圖 1-3 Image 備份按照備份時(shí)間頻率分為：定時(shí)備份、實(shí)時(shí)備份。定時(shí)備份：是指有時(shí)間間隔的數(shù)據(jù)備份方式，比如一天一次，一周一次，或者一個(gè)月一次，定時(shí)備份不能保證數(shù)據(jù)的零丟失。實(shí)時(shí)備份：是指無(wú)時(shí)間間隔的數(shù)據(jù)備份方式，通過實(shí)時(shí)數(shù)據(jù)復(fù)制，保證主備兩端的數(shù)據(jù)讀寫一致，確保數(shù)據(jù)的零丟失。持續(xù)數(shù)據(jù)保護(hù) CDP(Continual Data Protection) 是一種連續(xù)數(shù)據(jù)保護(hù)技術(shù)，被稱為高級(jí)的實(shí)時(shí)備份，它兼具數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)的功能，通過 CDP

14、 實(shí)時(shí)備份技術(shù)，可以實(shí)現(xiàn)到秒級(jí)的細(xì)粒度抓捕效果。目前，主流的 CDP 有很多維度，包括基于存儲(chǔ)數(shù)據(jù)塊的、存儲(chǔ)快照的、操作系統(tǒng) I/O 層的，采取不同的技術(shù)維度，所獲得的數(shù)據(jù)還原細(xì)粒度也有所差別，根據(jù)恢復(fù)的細(xì)粒度的大小，業(yè)界將CDP 分為真 CDP (True CDP) 和準(zhǔn) CDP (Near CDP) 。真 CDP 技術(shù)是持續(xù)不間斷地監(jiān)控并備份數(shù)據(jù)變化，可以恢復(fù)到過去任意時(shí)間點(diǎn)，是真正的實(shí)時(shí)備份，不會(huì)造成數(shù)據(jù)的丟失。準(zhǔn) CDP 是指接近持續(xù)數(shù)據(jù)保護(hù)，數(shù)據(jù)備份存在延時(shí)，也就是意味著存在部分?jǐn)?shù)據(jù)丟失的風(fēng)險(xiǎn)。根據(jù)用戶對(duì) RPO 的要求以及災(zāi)備策略的不一樣，CDP 技術(shù)方案選擇有很大自主性，但是隨著

15、數(shù)據(jù)量的增長(zhǎng)和業(yè)務(wù)信息化的加快，未來(lái)的趨勢(shì)將是以真 CDP 為主。英方 i2CDP 屬于真 CDP 技術(shù)， 能夠提供細(xì)粒度數(shù)據(jù)持續(xù)保護(hù)，可恢復(fù)至任意歷史時(shí)間點(diǎn)。按照備份對(duì)象分為：字節(jié)級(jí)備份、塊級(jí)備份、文件級(jí)備份。字節(jié)級(jí)備份：以字節(jié)級(jí)變量為基本單位，通過捕獲生產(chǎn)系統(tǒng)數(shù)據(jù)的變化，并將變化數(shù)據(jù)實(shí)時(shí)傳輸?shù)絺涠?。塊級(jí)備份：以磁盤塊為基本單位，將數(shù)據(jù)從源端復(fù)制到備端，即每次備份數(shù)據(jù)以一個(gè)扇區(qū)或多個(gè)連續(xù)扇區(qū)為單位來(lái)進(jìn)行備份。文件級(jí)備份：以文件為基本單位，將數(shù)據(jù)以文件的形式讀出，通過文件系統(tǒng)接口調(diào)用備份到另一個(gè)介質(zhì)上。此外，根據(jù)數(shù)據(jù)備份時(shí)服務(wù)器是否停機(jī)又可分為冷備和熱備；按照數(shù)據(jù)存儲(chǔ)介質(zhì)之間的距離又可以分為本

16、地備份和異地備份。通過網(wǎng)絡(luò)進(jìn)行備份是熱備的主要方式，其主要的傳輸模式如圖：圖 1-4 持續(xù)數(shù)據(jù)保護(hù) CDP在國(guó)內(nèi)，基于高可用系統(tǒng)中的兩臺(tái)服務(wù)器的熱備（或高可用）使用較多，因此雙機(jī)熱備常被人提起。雙機(jī)熱備按工作中的切換方式分為：主備方式（ Active-Standby 方式）和雙主機(jī)方式（ Active-Active 方式）。主備方式是一臺(tái)服務(wù)器處于某種業(yè)務(wù)的激活狀態(tài)（即 Active 狀態(tài)），另一臺(tái)服務(wù)器處于該業(yè)務(wù)的備用狀態(tài)（即 Standby 狀態(tài)）。而雙主機(jī)方式即指兩種不同業(yè)務(wù)分別在兩臺(tái)服務(wù)器上互為主備狀態(tài)（即 Active-Standby 和 Standby-Active 狀態(tài)）。注：A

17、ctive-Standby 的狀態(tài)指的是某種應(yīng)用或業(yè)務(wù)的狀態(tài)，并非指的是服務(wù)器狀態(tài)。容災(zāi)從廣義上講，任何提高系統(tǒng)可用性的措施都可稱之為容災(zāi)。容災(zāi)，即災(zāi)難發(fā)生時(shí)，在保證生產(chǎn)系統(tǒng)數(shù)據(jù)盡量少丟失的情況下，保持生產(chǎn)系統(tǒng)業(yè)務(wù)的不間斷運(yùn)行。容災(zāi)可分為本地容災(zāi)、異地容災(zāi)、云容災(zāi)。本地容災(zāi)：本地容災(zāi)一般指主機(jī)集群，當(dāng)某臺(tái)主機(jī)出現(xiàn)故障，不能正常工作時(shí)，其他的主機(jī)可以替代該主機(jī)，繼續(xù)正常對(duì)外提供服務(wù)。通?？赏ㄟ^共享存儲(chǔ)或雙機(jī)雙柜的方式實(shí)現(xiàn)本地容災(zāi)，其中多以共享存儲(chǔ)為主。共享存儲(chǔ)由三部分組成：活動(dòng)主節(jié)點(diǎn)，不活動(dòng)備節(jié)點(diǎn)，共享存儲(chǔ)。其中兩臺(tái)計(jì)算資源節(jié)點(diǎn)提供主備角色服務(wù)，通過 SAN 網(wǎng)絡(luò)附加型存儲(chǔ)作為數(shù)據(jù)存儲(chǔ)的介質(zhì)。主

18、備節(jié)點(diǎn)共享一份存儲(chǔ)，一旦主節(jié)點(diǎn)宕機(jī)，備節(jié)點(diǎn)可基于共享存儲(chǔ)實(shí)現(xiàn)業(yè)務(wù)的接管。但共享存儲(chǔ)的同構(gòu)成本和遠(yuǎn)距離高可用接管成本過高，存在較大存儲(chǔ)故障風(fēng)險(xiǎn)，且只支持一對(duì)一架構(gòu)。雙機(jī)雙柜是一種不依賴共享存儲(chǔ)而實(shí)現(xiàn)的高可用保護(hù)架構(gòu)，采用主備的高可用保護(hù)模式。在雙機(jī)架構(gòu)中，生產(chǎn)主機(jī)和備機(jī)具有物理層的完全獨(dú)立性，應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)都是一式兩份，生產(chǎn)主機(jī)和備機(jī)可通過存儲(chǔ)網(wǎng)絡(luò)或局域網(wǎng)進(jìn)行連接。其中，本地的存儲(chǔ)網(wǎng)絡(luò)連接的主備高可用適用于近距離的容災(zāi)建設(shè)，受距離限制較大；異地遠(yuǎn)距離的主備高可用，則會(huì)存在極小的數(shù)據(jù)延時(shí)。異地容災(zāi)：異地容災(zāi)一般指在與生產(chǎn)機(jī)房有一定距離的異地建立與生產(chǎn)機(jī)房類似的信息平臺(tái)（備份中心），并采用特

19、定的技術(shù)將生產(chǎn)中心的數(shù)據(jù)傳輸?shù)皆搨浞葜行?，從而在生產(chǎn)中心發(fā)生較大的災(zāi)難如火災(zāi)或地質(zhì)災(zāi)害時(shí)，仍能對(duì)生產(chǎn)數(shù)據(jù)進(jìn)行保護(hù)的容災(zāi)系統(tǒng)。圖 1-5 容災(zāi)半徑傳統(tǒng)的磁盤 / 磁帶備份手段，可通過磁盤 / 磁帶對(duì)本地關(guān)鍵數(shù)據(jù)進(jìn)行備份，然后送至生產(chǎn)中心之外的地方進(jìn)行保存，災(zāi)難發(fā)生后，可通過磁盤 / 磁帶存儲(chǔ)數(shù)據(jù)實(shí)現(xiàn)系統(tǒng)和數(shù)據(jù)的恢復(fù)。盡管這種手段成本低、易操作，但當(dāng)存儲(chǔ)數(shù)據(jù)增加時(shí)，存儲(chǔ)介質(zhì)管理將成為難以解決的問題，所以現(xiàn)多采用網(wǎng)絡(luò)傳輸?shù)姆绞竭M(jìn)行異地容災(zāi)。英方 i2Availability 應(yīng)用高可用可以實(shí)現(xiàn)超遠(yuǎn)距離的異地容災(zāi)，適合云和大數(shù)據(jù)時(shí)代的異地容災(zāi)需求。云容災(zāi)：云容災(zāi)一般指云數(shù)據(jù)中心的物理機(jī)或虛擬機(jī)容災(zāi)。云

20、主機(jī)系統(tǒng)由大量服務(wù)器組成，并分布在不同的地點(diǎn)，同一時(shí)間為大量用戶服務(wù)，因此云計(jì)算系統(tǒng)采用分布式存儲(chǔ)的方式存儲(chǔ)數(shù)據(jù)，用冗余存儲(chǔ)的方式（集群計(jì)算、數(shù)據(jù)冗余和分布式存儲(chǔ)）保證數(shù)據(jù)的可靠性。這種方式保證分布式數(shù)據(jù)的高可用、高可靠和經(jīng)濟(jì)性，即為同一份數(shù)據(jù)存儲(chǔ)多個(gè)副本。綜上，一個(gè)容災(zāi)系統(tǒng)的實(shí)現(xiàn)可以采用不同的技術(shù)，而容災(zāi)方案的選擇，由其最終要達(dá)到的效果來(lái)決定。通?？蓮囊韵挛鍌€(gè)策略維度進(jìn)行容災(zāi)方案的選擇：（1）災(zāi)備中心架構(gòu)容災(zāi)半徑是衡量容災(zāi)方案所能承受的災(zāi)難影響范圍的指標(biāo)。不同災(zāi)難的影響范圍是不同的，而距離也會(huì)影響到容災(zāi)技術(shù)的選擇。災(zāi)備中心的架構(gòu)按照源備端之間的距離，可分為本地容災(zāi)、同城雙活、兩地三中心。其中

21、，異地容災(zāi)要求數(shù)據(jù)中心間距離須保證在三百公里以上，同時(shí)還必須做到“三不”，即不在同一地震帶，不在同一電網(wǎng)，不在同一江河流域。災(zāi)備中心的選址直接影響到容災(zāi)方案的效果和保護(hù)等級(jí)。當(dāng)生產(chǎn)中心和災(zāi)備中心的距離大于100km、小于 300km 時(shí)，此種方案只能為生產(chǎn)中心提供應(yīng)用級(jí)容災(zāi)保護(hù)，提升生產(chǎn)中心抵御物理破壞的能力，但是不能有效避免地震、洪水等級(jí)別災(zāi)難帶來(lái)的損失。300km從下圖可以明確，最為穩(wěn)固的、保護(hù)等級(jí)最高，也是成本最高的容災(zāi)方案，即“兩地三中心”： 本地的生產(chǎn)中心和容災(zāi)中心相距 100km 以上，進(jìn)行應(yīng)用級(jí) / 業(yè)務(wù)級(jí)容災(zāi)保護(hù)，且在 300km 以外的異地建立容災(zāi)中心，進(jìn)行數(shù)據(jù)級(jí) / 應(yīng)用級(jí)

22、容災(zāi)保護(hù)。（2）容災(zāi)中心運(yùn)用模式圖 1-6 災(zāi)備中心架構(gòu)運(yùn)營(yíng)模式可以分為主備和雙活兩種形式：主備模式即生產(chǎn)中心正常對(duì)外提供服務(wù)時(shí)，同步將數(shù)據(jù)單項(xiàng)復(fù)制到備端數(shù)據(jù)中心，且備端不對(duì)外提供服務(wù)。一旦生產(chǎn)中心故障，備端生產(chǎn)中心接管服務(wù)。這種模式資源投入較低且技術(shù)實(shí)施和后期維護(hù)相對(duì)簡(jiǎn)單，但是災(zāi)后業(yè)務(wù)恢復(fù)速度慢。傳統(tǒng)主備模式的弊端在于，備端長(zhǎng)時(shí)間處于待機(jī)狀態(tài)，存在資源浪費(fèi)情況。且多種潛在因素如心跳線中斷、網(wǎng)絡(luò)短時(shí)間中斷、應(yīng)用服務(wù)器響應(yīng)不及時(shí)等，容易導(dǎo)致在生產(chǎn)中心實(shí)際運(yùn)行正常情況下進(jìn)行誤切換，即存在“腦裂”現(xiàn)象。雙活模式下的兩個(gè)數(shù)據(jù)中心分別對(duì)外提供服務(wù)，且彼此之間保持雙向復(fù)制。一旦一端故障，另一端立即接管其業(yè)

23、務(wù)，保障業(yè)務(wù)的連續(xù)性。這種方式相較于主備模式，其業(yè)務(wù)恢復(fù)速度更快，但整體資源投入更高，實(shí)施及運(yùn)維難度更復(fù)雜，且存在業(yè)務(wù)沖突風(fēng)險(xiǎn)。（3）災(zāi)備中心布局模式布局模式可分為一對(duì)一和多對(duì)一，一對(duì)一模式需要的設(shè)備投入和實(shí)施、管理難度更高，但業(yè)務(wù)恢復(fù)速度快；多對(duì)一模型相對(duì)來(lái)說，資源投入更經(jīng)濟(jì)，實(shí)施管理更方便，但整體業(yè)務(wù)恢復(fù)會(huì)更慢。（4）容災(zāi)級(jí)別與能力容災(zāi)系統(tǒng)按保護(hù)級(jí)別可分為：數(shù)據(jù)級(jí)容災(zāi)、應(yīng)用級(jí)容災(zāi)和業(yè)務(wù)級(jí)容災(zāi)。從下圖可以看出，三種容災(zāi)級(jí)別的功能、所需的恢復(fù)時(shí)間和投入均不相同，其中：數(shù)據(jù)級(jí)容災(zāi)是針對(duì)數(shù)據(jù)進(jìn)行保護(hù)，數(shù)據(jù)級(jí)容災(zāi)能夠?qū)崿F(xiàn)災(zāi)難發(fā)生后數(shù)據(jù)不會(huì)受到損壞。這種級(jí)別的容災(zāi)方案實(shí)施簡(jiǎn)單、資源投入和后期運(yùn)維成本較

24、低，但是系統(tǒng)恢復(fù)速度較慢，業(yè)務(wù)恢復(fù)速度難度高。應(yīng)用級(jí)容災(zāi)主要針對(duì)關(guān)鍵應(yīng)用進(jìn)行的容災(zāi)方案，應(yīng)用級(jí)容災(zāi)是建立在數(shù)據(jù)級(jí)容災(zāi)的基礎(chǔ)上，對(duì)應(yīng)用系統(tǒng)進(jìn)行實(shí)時(shí)復(fù)制，也就是在備端再構(gòu)建一套應(yīng)用系統(tǒng)，可提供應(yīng)用接管能力。應(yīng)用級(jí)容災(zāi)實(shí)施難度高、資源投入和后期運(yùn)維成本也不小，但是系統(tǒng)恢復(fù)速度較快，業(yè)務(wù)恢復(fù)速度難度較低。業(yè)務(wù)級(jí)容災(zāi)是最高級(jí)別的容災(zāi)建設(shè)，如果說數(shù)據(jù)級(jí)容災(zāi)、應(yīng)用級(jí)容災(zāi)都是在 IT 系統(tǒng)的范疇之內(nèi)， 業(yè)務(wù)級(jí)容災(zāi)則是在以上兩個(gè)等級(jí)的容災(zāi)基礎(chǔ)上，還需考慮到 IT 系統(tǒng)之外的業(yè)務(wù)因素，包括備用辦公場(chǎng)所、辦公人員等，而且業(yè)務(wù)級(jí)容災(zāi)通常對(duì)支持業(yè)務(wù)的 IT 系統(tǒng)會(huì)有更高的要求（ RTO 在分鐘級(jí)）。相對(duì)以上兩種容災(zāi)級(jí)別

25、，業(yè)務(wù)級(jí)容災(zāi)保護(hù)的系統(tǒng)持續(xù)可用，業(yè)務(wù)恢復(fù)難度低，但是實(shí)施部署難度高， 需要的資源投入和后期運(yùn)維成本都非常高。恢復(fù)速度業(yè)務(wù)恢復(fù)難度實(shí)現(xiàn)難度運(yùn)營(yíng)維護(hù)成本投資數(shù)據(jù)級(jí)容災(zāi)較慢，RTO 24 小時(shí)高較低較低較低應(yīng)用級(jí)容災(zāi)較快，RTO 12 小時(shí)較低較高較高較高業(yè)務(wù)級(jí)容災(zāi)持續(xù)可用，RTO 0.5 小時(shí)低高高高圖 1-7 容災(zāi)級(jí)別與能力（5）容災(zāi)建設(shè)與研究策略企業(yè)的災(zāi)備建設(shè)在業(yè)務(wù)發(fā)展的不同時(shí)期需要不同的建設(shè)策略。在初創(chuàng)期，企業(yè)的信息系統(tǒng)還在萌芽階段，這個(gè)時(shí)期可針對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)級(jí)容災(zāi)；在成長(zhǎng)期，業(yè)務(wù)系統(tǒng)較初創(chuàng)期更健全、豐富，可根據(jù)企業(yè)實(shí)際需求選擇“數(shù)據(jù) + 應(yīng)用”級(jí)的容災(zāi)或者“數(shù)據(jù) + 應(yīng)用 + 系統(tǒng)

26、”級(jí)的容災(zāi)；在成熟期，企業(yè)的業(yè)務(wù)和規(guī)模不斷擴(kuò)張，這個(gè)時(shí)候就可以考慮選擇同城雙活或者兩地三中心的容災(zāi)解決方案，保障數(shù)據(jù)不丟、業(yè)務(wù)不停。在常見的三種典型應(yīng)用場(chǎng)景下，有以下三種常用方案：本地?cái)?shù)據(jù)級(jí)容災(zāi)：在生產(chǎn)中心不斷對(duì)外服務(wù)的過程中，將數(shù)據(jù)實(shí)時(shí) / 定時(shí)備份到本地存儲(chǔ)之外的備份存儲(chǔ)上，并進(jìn)行帶庫(kù)級(jí)存檔。業(yè)務(wù)分離 / 雙活中心：在生產(chǎn)中心之外建立一個(gè)容災(zāi)中心，實(shí)時(shí)備份生產(chǎn)數(shù)據(jù)，并可對(duì)外提供讀寫服務(wù)。一旦源端服務(wù)不可達(dá)，備端可實(shí)現(xiàn)業(yè)務(wù)的接管。兩地三中心：在雙活業(yè)務(wù)中心的基礎(chǔ)上，在異地建立一個(gè)災(zāi)備中心。備份與容災(zāi)的區(qū)別備份是為了應(yīng)對(duì)災(zāi)難來(lái)臨時(shí)造成的數(shù)據(jù)丟失問題，容災(zāi)是為了在遭遇災(zāi)害時(shí)能保證信息系統(tǒng)繼續(xù)正常

27、運(yùn)行，幫助企業(yè)實(shí)現(xiàn)業(yè)務(wù)連續(xù)性的目標(biāo)。備份系統(tǒng)與容災(zāi)系統(tǒng)在容災(zāi)備份一體化產(chǎn)品出現(xiàn)之前是相互獨(dú)立的兩個(gè)系統(tǒng)，容災(zāi)備份產(chǎn)品的最終目標(biāo)是幫助企業(yè)應(yīng)對(duì)人為誤操作、軟件錯(cuò)誤、病毒入侵等“軟”性災(zāi)害以及硬件故障、自然災(zāi)害等“硬”性災(zāi)害。業(yè)務(wù)連續(xù)性業(yè)務(wù)連續(xù)性（Business Continuity 簡(jiǎn)稱“BC”）是指在中斷事件發(fā)生后，組織在預(yù)先確定的可接受的水平上連續(xù)交付產(chǎn)品或提供服務(wù)的能力。它明確一個(gè)機(jī)構(gòu)的關(guān)鍵職能以及可能對(duì)這些職能構(gòu)成的威脅，并據(jù)此采取相應(yīng)的技術(shù)手段，制定計(jì)劃和流程，確保這些關(guān)鍵職能在任何環(huán)境下都能持續(xù)發(fā)揮作用。業(yè)務(wù)連續(xù)性針對(duì)的事件場(chǎng)景應(yīng)包括三類：一般故障、緊急事件和災(zāi)難事件。實(shí)現(xiàn)業(yè)務(wù)連續(xù)

28、性所需的 IT 措施包含三個(gè)方面：業(yè)務(wù)狀態(tài)數(shù)據(jù)的備份和復(fù)制、業(yè)務(wù)處理能力的冗余和切換、外部接口冗余和切換。業(yè)務(wù)連續(xù)性管理（Business Continuity Management，簡(jiǎn)稱“BCM”）是一套一體化的管理流程，通過該流程可識(shí)別組織面臨的潛在威脅以及這些威脅一旦發(fā)生可能對(duì)業(yè)務(wù)運(yùn)行帶來(lái)的影響， 并為組織提供了一個(gè)指導(dǎo)框架來(lái)建立有效應(yīng)對(duì)威脅的自我恢復(fù)能力，從而保護(hù)關(guān)鍵相關(guān)方的利益、聲譽(yù)、品牌和創(chuàng)造價(jià)值的活動(dòng)。業(yè)務(wù)連續(xù)性管理是一個(gè)長(zhǎng)期的、不斷完善的循環(huán)過程，需遵循國(guó)際標(biāo)準(zhǔn)的 PDCA 循環(huán)模型， 即策劃 (Plan)實(shí)施 (Do)檢查 (Check)改進(jìn) (Act)。業(yè)務(wù)連續(xù)性管理為企業(yè)

29、的災(zāi)備建設(shè)提供了基本原則和方法，業(yè)務(wù)連續(xù)性管理確定的業(yè)務(wù)恢復(fù)目標(biāo)就是設(shè)計(jì)災(zāi)備方案的依據(jù)。首先，按照業(yè)務(wù)連續(xù)性管理方法對(duì)潛在的災(zāi)難事件加以識(shí)別并進(jìn)行分析，從而確定可能造成企業(yè)運(yùn)行中斷的威脅，以及業(yè)務(wù)中斷給企業(yè)帶來(lái)的影響和損失。其次，再根據(jù)業(yè)務(wù)中斷的影響及其恢復(fù)時(shí)所需的資源來(lái)制定災(zāi)難恢復(fù)策略，從而使災(zāi)難事件給企業(yè)帶來(lái)的損失最小化。它涵蓋了風(fēng)險(xiǎn)管理、應(yīng)急管理、IT 災(zāi)難恢復(fù)、設(shè)備管理、資源管理、安全管理、人員管理等多項(xiàng)內(nèi)容。實(shí)現(xiàn)業(yè)務(wù)連續(xù)性的技術(shù)手段通常包括以下兩種：高可用性（High Availability，簡(jiǎn)稱“HA”）高可用性指通過技術(shù)手段，盡量縮短因日常維護(hù)操作（計(jì)劃）和突發(fā)的系統(tǒng)崩潰（非計(jì)

30、劃）所導(dǎo)致的停機(jī)時(shí)間，以提高系統(tǒng)和應(yīng)用的可用性。業(yè)界的通行做法是采用群集系統(tǒng) (Cluster) ，將各個(gè)主機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、存儲(chǔ)設(shè)備（部分高可用系統(tǒng)包含存儲(chǔ)設(shè)備的高可用）等通過各種手段有機(jī)地組成一個(gè)群體，共同對(duì)外提供服務(wù)。通過創(chuàng)建群集系統(tǒng)（采用實(shí)現(xiàn)高可用性的軟件）將冗余的高可用性的硬件組件和軟件組件組合起來(lái)，以達(dá)到消除單點(diǎn)故障、減少設(shè)備意外發(fā)生時(shí)的宕機(jī)時(shí)間。一般說，高可用技術(shù)通過對(duì)網(wǎng)卡、CPU、內(nèi)存、系統(tǒng)軟件設(shè)置不同的可用性監(jiān)測(cè)點(diǎn)，在這些節(jié)點(diǎn)發(fā)生故障時(shí)實(shí)現(xiàn)冗余切換，持續(xù)提供服務(wù)。災(zāi)難恢復(fù)（Disaster Recovery，簡(jiǎn)稱“DR”）狹義的恢復(fù) (Recovery) 定義是指重新創(chuàng)建生產(chǎn)

31、系統(tǒng)應(yīng)用或計(jì)算環(huán)境的過去操作狀態(tài)，包含完全恢復(fù)和小顆?；謴?fù)兩種模式。圖 1-8 恢復(fù)信息廣義的災(zāi)難恢復(fù) (DR) （國(guó)內(nèi)通常簡(jiǎn)稱為災(zāi)備或容災(zāi)）則屬于業(yè)務(wù)連續(xù)性的技術(shù)層面。在用戶服務(wù)中斷后，需要快速調(diào)動(dòng)各種資源，在異地重建信息技術(shù)服務(wù)平臺(tái)（包括基礎(chǔ)架構(gòu)、通信、系統(tǒng)、應(yīng)用及數(shù)據(jù)），災(zāi)難恢復(fù)也包括本地的恢復(fù)與重建。目前，流行的災(zāi)備系統(tǒng)往往包括本地的 HA 集群和異地的 DR 數(shù)據(jù)中心。從故障角度，HA 主要處理單組件的故障導(dǎo)致負(fù)載在集群內(nèi)的服務(wù)器之間的切換， DR 則是應(yīng)對(duì)大規(guī)模的故障導(dǎo)致負(fù)載在數(shù)據(jù)中心之間做切換。從網(wǎng)絡(luò)角度，LAN 尺度的任務(wù)是 HA 的范疇，WAN 尺度的任務(wù)是 DR 的范圍。從

32、云的角度， HA 是一個(gè)云環(huán)境內(nèi)保障業(yè)務(wù)連續(xù)性的機(jī)制，DR 是多個(gè)云環(huán)境間保障業(yè)務(wù)連續(xù)性的機(jī)制。從目標(biāo)角度，HA 主要是保證業(yè)務(wù)高可用，DR 是保證數(shù)據(jù)可靠的基礎(chǔ)上的業(yè)務(wù)可用。災(zāi)難恢復(fù)衡量指標(biāo)評(píng)估一個(gè)災(zāi)備系統(tǒng)可靠性的兩個(gè)重要指標(biāo)是 RTO 與 RPO。00:0006:00RTO12:00圖 1-9 RTO 與 RPO 災(zāi)難恢復(fù)衡量指標(biāo)RTO (Recovery Time Objective) 恢復(fù)時(shí)間目標(biāo)。RTO 是指災(zāi)難發(fā)生后，從系統(tǒng)宕機(jī)導(dǎo)致業(yè)務(wù)停頓之刻開始，到系統(tǒng)恢復(fù)至可以支持業(yè)務(wù)部門運(yùn)作，業(yè)務(wù)恢復(fù)運(yùn)營(yíng)之時(shí)，此兩點(diǎn)之間的時(shí)間。RTO 可簡(jiǎn)單地描述為企業(yè)能容忍的恢復(fù)時(shí)間。RPO (Recov

33、ery Point Objective) 恢復(fù)點(diǎn)目標(biāo)。RPO 是指災(zāi)難發(fā)生后，容災(zāi)系統(tǒng)能把數(shù)據(jù)恢復(fù)到災(zāi)難發(fā)生前時(shí)間點(diǎn)的數(shù)據(jù)，它是衡量企業(yè)在災(zāi)難發(fā)生后會(huì)丟失多少生產(chǎn)數(shù)據(jù)的指標(biāo)。RPO 可簡(jiǎn)單地描述為企業(yè)能容忍的最大數(shù)據(jù)丟失量。RTO 針對(duì)的是服務(wù)時(shí)間的丟失，RPO 針對(duì)的是數(shù)據(jù)的丟失，兩者是衡量容災(zāi)系統(tǒng)的兩個(gè)主要指標(biāo)，但它們沒有必然的關(guān)聯(lián)性。RTO 和 RPO 的確定必須在進(jìn)行風(fēng)險(xiǎn)分析和業(yè)務(wù)影響分析后根據(jù)不同的業(yè)務(wù)需求確定，對(duì)于不同企業(yè)的同一種業(yè)務(wù)，RTO 和 RPO 的需求也會(huì)有所不同。當(dāng)然，對(duì)于組織而言，最好的情況是 RPO=0 ，RTO=0 ，但顯然這種情況對(duì)很多中小企業(yè)而言是理想狀態(tài)。此

34、外，隨著對(duì)業(yè)務(wù)恢復(fù)指標(biāo)的進(jìn)一步細(xì)分，還可引入降級(jí)運(yùn)行目標(biāo) DOO 、網(wǎng)絡(luò)恢復(fù)目標(biāo) NRO、任意時(shí)間點(diǎn)回退 APIT 等指標(biāo)。DOO (Degraded Operations Objective) 降低運(yùn)行目標(biāo)。DOO 是指災(zāi)難事件發(fā)生期間數(shù)據(jù)中心不可用時(shí)，關(guān)鍵業(yè)務(wù)系統(tǒng)在災(zāi)備中心運(yùn)行的服務(wù)級(jí)別允許降低到一個(gè)可接受程度。這意味著災(zāi)難事件發(fā)生時(shí)，為了加快恢復(fù)速度，可以允許關(guān)鍵業(yè)務(wù)恢復(fù)到一個(gè)較低的服務(wù)級(jí)別，這個(gè)事先確定的允許降低的服務(wù)級(jí)別就是 DOO。NRO (Network Recovery Objective) 網(wǎng)絡(luò)恢復(fù)目標(biāo)。NRO 是指在災(zāi)難發(fā)生后切換到災(zāi)備中心所需的時(shí)間。在這一預(yù)定時(shí)間內(nèi)不僅要求將網(wǎng)絡(luò)連接從數(shù)據(jù)中心切換到災(zāi)備中心，還要使用戶的網(wǎng)絡(luò)訪問能夠成功地轉(zhuǎn)移到災(zāi)備中心。APIT (Any Point In Time) 任意時(shí)間點(diǎn)回退。APIT 是指在數(shù)據(jù)發(fā)生邏輯錯(cuò)誤時(shí)，我們需要對(duì)破壞的數(shù)據(jù)進(jìn)行恢復(fù)，這時(shí) CDP 持續(xù)數(shù)據(jù)保護(hù)技術(shù)的衡量標(biāo)準(zhǔn)可以用任意時(shí)間點(diǎn)回退進(jìn)行評(píng)判。災(zāi)備的三個(gè)等級(jí)根據(jù)恢復(fù)