SAP系统保护与数据快速恢复.doc

第1页 SAP系统保护与数据快速恢复 美国飞康软件公司美国飞康软件公司 中国区技术总监中国区技术总监 林海川林海川 20132013年年8 8月月 第2页 目目 录录 1SAP系统保护和数据快速恢复的总目标.3 2SAP应用在系统保护和数据快速恢复面临的问题.4 2.1SAP应用的系统损坏 4 2.2SAP应用的数据损坏 5 3飞康CDP针对IBM小机上的SAP应用的解决方案.6 3.1飞康CDP解决方案概述6 3.2解决方案详述6 3.2.1对生产系统有全面保护能力.9 3.2.2不改变原有生产结构.9 3.2.3快速恢复SAP生产应用和数据9 3.2.4SAP生产系统的高可用.10 3.2.5实时的安全的数据备份.12 3.2.6SAP系统的数据快速恢复的管理、验证、演练.13 4飞康CDP解决方案的特点 15 4.1唯一能实现全面系统保护和数据快速恢复的解决方案16 4.2唯一能提供基于SLA的恢复指标的解决方案17 4.3安全可靠的旁路接入，对原有生产系统影响最小18 4.4局部问题局部本地解决19 4.5完全中立的存储开放性20 4.6平战结合，充份利用资产20 4.7用户自主维护20 第3页 1SAP系统保护和数据快速恢复的总目标系统保护和数据快速恢复的总目标 现代生产型企业广泛采用SAP系统，因此SAP应用的系统和数据是企业的核心资 产，是企业的生命。SAP应用是访问和处理数据的途径，是生产的外在表现形式。所 以针对企业的SAP生产系统，不仅需要保证数据这个核心资产的安全性，而且需要保 证生产SAP应用系统的时刻在线。 如何有效地保护SAP系统和数据，如何在故障和灾难发生时快速地恢复SAP应用 和SAP数据，是企业进行SAP系统保护和数据快速恢复的总目标。 第4页 2SAP应用在系统保护和数据快速恢复面临的问题应用在系统保护和数据快速恢复面临的问题 SAP 应用的故障大多来源于2个主要方面：一个方面是SAP应用的系统损坏，另一个方面是 SAP 应用的数据损坏。 典型的生产型企业安装的SAP系统与IT 架构紧密相关的是Basic子系统。Basic系统是由许多子系统组成，它包含的硬件子系 统有前端IP网络、主机、FC网络、存储和数据备份系统等。其中主机上安装的有SAP 的系统和数据，包括主机的AIX操作系统、数据库系统、SAP应用系统、SAP配置文件 、数据库数据等。 2.1SAP应用的系统损坏应用的系统损坏 有经验的企业IT管理者都有这样的经验，SAP应用系统的设计、安装、调试是很 复杂，需要很长时间。其中牵涉到运行于主机上每个子系统的版本、参数等。一旦SA P系统损坏，需要请高级分析师，花费很长时间恢复。 例如：国内某著名生产型企业，曾经发生过测试系统在搬迁过程中损坏，不但丢 失了宝贵的测试数据，而且损坏了SAP系统文件和参数配置文件。该企业花了3个月的 时间，才完全恢复了SAP生产系统。以SAP专家最低“5000元人民币/每人工天”计算 ，单纯恢复SAP系统，就花费了不小的费用。 第5页 2.2SAP应用的数据损坏应用的数据损坏 SAP系统广泛应用于生产，如果SAP系统的数据有问题，那么会使生产线无法生 产。一个企业的管理者深深知道，现代生产型企业的“人、财、物、产、供、销”完 全依赖SAP/ERP 系统。一旦SAP数据不能访问，生产线就会立即陷入停产状态。 例如：某日资数码相机生产企业统计过，半天停工的直接经济损失是800万元人 民币。某乳制品企业因为生产系统的数据不可用，生产好的牛奶产品三天无法发货， 这是巨大的经济损失。 第6页 3飞康飞康CDP针对针对IBM小机上的小机上的SAP应用的解决方案应用的解决方案 3.1飞康飞康CDP解决方案概述解决方案概述 SAP 生产系统的保护分为2个主要方面：一个方面是对SAP应用的系统保护，另一个方面是 SAP 应用的数据保护。 SAP应用的系统保护来说，就是保护系统将各个系统安装时的每个中间阶段以快 照这种静态历史轨迹的方式保存下来，如AIX操作系统、数据库系统、SAP系统等。一 旦SAP系统发生故障，如果是单个文件损坏，可以简单地用完好的历史文件进行覆盖 ；如果是系统大面积损坏，可以用完好的历史快照进行全盘快速恢复。 SAP 应用的数据保护来说，由于SAP生产系统中HANA系统将数据库转载到内存进行并行 处理，并实时地对硬盘上的数据库文件进行写入操作，因此对SAP生产系统的数据保 护需要，不仅需要考虑有能力实时地记录SAP 生产系统写入硬盘的每个IO操作，还需要保证给数据的一致性。 3.2解决方案详述解决方案详述 要想完好地解决SAP应用在系统保护和数据的问题，飞康提出了CDP解决方案如 下图： 第7页 飞康CDP旁路接入对原有SAP生产系统影响最小 旁路接入无需在主机上安装驱动程序，也无需对主生产通道上既有的架构作任何 调整，完全是以附加的形式接入生产环境的，因此它在提供强大系统和保护、恢复能 力的同时，完全不带来任何风险和隐患，甚至部署实施都非常轻松安全。这当然是一 种极有诱惑力的部署方式，但同时也对使用该部署方式的数据保护产品提出了严苛要 求，不仅要在技术原理经得起推敲，还必须经受广大案例的考验。目前市场上只有飞 康CDP解决方案满足这些要求。 飞康CDP多时间点自动快照保护SAP 系统和数据 飞康CDP 的“自动连续快照技术”不但满足SAP 系统宕机时，能快速恢复系统的系统文件或配置文件损坏数据镜像（即硬错误），同 时也实现了对生产数据库的数据“软错误”的防范及纠错功能，将对系统的正常运转 提供有力保障。 飞康CDP服务器中，一个重要的功能就是TimeMark的多时间点快照技术，使得S AP生产业务系统能够实现较短时间间隔下的各时间段版本数据的保存。它能够提供多 达每个应用卷255个自动快照点的极高水准，即保证每个应用卷在每天都有保存密度 第8页 为10分钟的完全映象或10天之内每隔1小时就有1个完全映象。高密度的映象可保证将 系统的RPO（动态及静态）降到最低范围。一旦发生任何一类数据丢失的错误，维护 人员都可以找到最近的版本立即恢复。快照恢复与数据量无关，大数据量提取也只是 一分钟不到的事情。 这种快照的机制是利用快照缓存，对于时间点变化之后的数据块，将其原始时间 点数据进行保存，一旦需要系统会退到某一时间点，TimeMark可以立即通过Time View的方式将历史点数据的指针提取出来，从而实现历史数据的瞬间映射和恢复机制 。TimeMark的快照机制在容灾备份体系中，可以轻松、快速地实现数据库数据、文 件数据、系统数据等时间点的即刻恢复，保障数据提取和分析、查询等功能应用。 在“自动连续快照技术”的保护下，快速恢复当前及历史数据已经不再是难事。 这样高效的数据恢复技术是飞康CDP解决方案的独到之处。 飞康CDP录像技术实时保护和快速恢复SAP生产数据 飞康CDP连续I/O记录技术可以将SAP系统生产数据库数据恢复到任意历史轨迹（ 秒级和I/O级均可）。启用Journal功能后，飞康CDP会单独在磁盘上开辟一个区域， 用于记录生产卷每一个历史I/O。恢复时，通过“时间拉杆”可将数据恢复到任意历史 点，并且该历史点数据可单独进行查询，不影响生产数据库卷的状态。 飞康CDP对SAP生产数据库进行读写优化 飞康CDP具备高速写入技术SafeCache。 SafeCache功能可以全面提高飞康CDP管理的磁盘写性能。当磁盘性能无法满足主机 的I/O需求时，使用SafeCache配合高速磁盘设备可以明显改善整体性能。SafeCache 的原理是：将高速磁盘设备置于“前端”，生产数据可以先顺序的写入到高速磁盘设 第9页 备中，然后按照SafeCache设置的策略，将Cache中的数据再随机写入到后端存储中 。 飞康CDP也具备高速读出技术HotZone。HotZone功能可以全面提高飞康CDP管 理的磁盘读性能。使用HotZone时，飞康CDP将磁盘划分为容量相等的多个区域，然 后监控哪些区域经常会被读到，随之将该区域的数据块映射到高速磁盘中，这样就会 提高应用主机读取磁盘的速度。如果飞康CDP监控到某些区域不再被经常读到，那么 会将该区域移出高速磁盘。 3.2.1 对生产系统有全面保护能力对生产系统有全面保护能力 新引入的保护系统不仅能保护SAP生产系统，而且能保SAP生产数据。 新引入的保护系统有能力防范站点级、系统级和逻辑级灾难 3.2.2 不改变原有生产结构不改变原有生产结构 新引入的保护系统不能影响原有生产系统结构、性能，部署工作也不能造成生 产的长时间停机。 新引入的保护系统以带外方式旁路接入主机系统，而不是以带内方式直接接入 主机系统 3.2.3 快速恢复快速恢复SAP生产应用和数据生产应用和数据 第10页 传统SAP保护方案提供的指标都是针对某一项技术操作所需的时间，例如数据 恢复时间、双机切换时间。它不是针对SAP应用的恢复时间，因此该指标是 “不基于SLA的指标”。真正的业务连续性需要计算从生产业务停顿至生产业 务恢复所花时间，恢复指标与之相匹配，因此称为“基于SLA的业务连续性” ，这样的指标就是“基于SLA的恢复指标”。 基于SLA- 业务连续性方案不仅要覆盖所有的故障场景，还要覆盖故障发生时启动的所 有计划预案。举例来说，当SAP生产数据库运行异常时，该方案不仅要保证 生产数据库是否能继续运行下去，更要保证一旦生产数据库发生全面故障时 如何瞬时地恢复数据，快速恢复生产业务上线。 从防御的故障类型来看，SAP生产系统故障分为物理故障、逻辑故障、站点故 障3种。 1)物理故障包括SAP生产系统硬件如主机损坏、本地硬盘损坏、生产磁盘阵 列损坏。对于这类故障，理想的指标是RPO=0，RTO趋于0的指标。 2)逻辑故障包括SAP生产系统文件丢失、记录丢失、文件系统受破坏、数据 库瘫痪、磁盘误格式化、误分区、操作系统损坏、应用程序损坏。对于这 类故障，理想的指标是RPO=0，RTO 1至10分钟的指标。 3)站点故障包括SAP生产系统计划性切换、停电、自然灾害。对于这类故障 ，理想的指标是RPO趋于0，RTO30分钟的指标。 3.2.4 SAP生产系统的高可用生产系统的高可用 第11页 高可用的核心策略通过硬件冗余，去除硬件单点故障得以完成。 机房内硬件冗余主要通过 主机冗余，数据库集群冗余，存储冗余，网络冗余等实现。异地冗余主 要通过各种复制手段（日志复制，主机卷复制，网络存储复制 等）建立起异地的可用冗余系统。异地冗余系统的挑战在于克服网络延 时和带宽的局限性，保证异地系统与主机系统的同步与一致。 SAP应用分为两大部分，一部分为结构化的生产数据，是指底层数据库表 空间、日志文件、归档文件等，另一部分为非结构化数据，是指SAP系统 、控制文件、参数文件等。传统的数据保护方案更多关注于保护日志文 件等结构化数据，而忽视了保护SAP生产系统自身的非结构化数据文件。 所以一个完整的SAP生产系统和数据保护方案，既要保护和复制日志文件 等结构化的生产数据，还有保护和复制SAP系统自身的非结构化数据。 由于故障发生的不可预见特性，如何在复制网络异常或中断时异地系统 保证处于可运行的正确状态，或者保证处于特定时间前主系统的正确完 整状态，是异地数据保护建设的考虑重点（即规划异地复制时要多考虑 异常情况场景下复制和异地系统的可用性） 异地复制不要把灾难一起复制。传统的复制技术如Log Shipping, Volume Replicator, Mirrored Storage等基于镜像原理，也被称为属于“紧耦合”复制技术，会把逻辑 第12页 故障如误操作、病毒、坏数据块等故障和灾难完整地复制到对端，从而 无法为用户提供历史轨迹的修复，即无法防范逻辑故障。用户需要一个 可以快速修复逻辑故障的异地复制解决方案。 3.2.5 实时的安全的数据备份实时的安全的数据备份 完整并且保证可用的实时数据备份是一切数据保护和快速回复的基础。数据是 企业的生命，对于SAP系统来说，更是如此。SAP用户通常都比普通用户对于 数据安全有更高的要求。 这些要求通常体现在： 1. 备份时间点的密度要求。 备份时间点的密度要求要做够密集，从而可以为用户提供任意时刻点的历史 轨迹恢复修复，一般称为连续性数据保护。 2. 进行备份操作，数据记录的时间。 备份操作不但要记录数据库IO，同时还要记录时戳，从而能为用户提供精确 时刻点的历史轨迹修复，一般称为精确性数据保护。 3.实时备份操作时对于生产数据库的性能影响。 备份等数据保护操作要求对数据库性能的影响尽可能小，同时尽可能少地改 变或不改变用户现有的生产系统架构。 4. 实时数据备份拷贝的管理与验证。 第13页 优秀的数据保护和灾备方案，必须能够对数据备份的拷贝进行有效的管理和 快速验证。在灾难发生时，才能准确找到备份拷贝，并能确保数据恢复的有 效性。 5. 备份拷贝的多址保存，既本地，异地多份拷贝。 对数据多一份拷贝，就意味着灾难发生时，用户就有更多几率恢复数据和应 用。用户的需求有多种解决方案：本地保护，同城灾备、异地灾备、两地三 中心。 安全准确的数据备份拷贝是数据库管理员应对一切灾难的首要保险 数据是用户的核心资产，是企业存在的核心价值。安全准确的数据备份拷贝是 用户对其核心资产的必要保卫手段。 3.2.6 SAP系统的数据快速恢复的管理、验证、演练系统的数据快速恢复的管理、验证、演练 管理。 SAP系统和数据快速恢复的管理需要有明确的组织机构、有良好的人员培训、 有严格的管理流程、有平时的演练、有定期的验证、有各种针对性的预案。 只有平时达到有效的管理，才能在故障发生时进行正确、有效的应对。 验证。 在任何SAP生产数据恢复前，都需要对其进行有效的验证。无验证的恢复，有 极大的可能性，会造成丢失数据。客户的要求是对数据先验证、后恢复。 第14页 演练。 在任何SAP系统和数据快速恢复操作实施之前，都需要对预案进行有效的演练 。客户要求SAP保护系统自身对演练有回退机制，如同测试系统。不经过演练 的快速恢复，有极大的可能性会造成丢失数据。 第15页 4飞康飞康CDP解决方案的特点解决方案的特点 下面针对SAP生产系统的故障类型，总结了几种SAP保护方案在防御逻辑故障、物 理故障和站点故障的能力。 抵御故障分类抵御故障分类飞康主机分流飞康主机分流数据库应用复制数据库应用复制主机卷复制主机卷复制存储复制存储复制 逻辑故障逻辑故障可以防御可以防御无法防御无法防御无法防御无法防御无法防御无法防御 误操作立即修复无法防御无法防御无法防御 病毒感染立即修复无法防御无法防御无法防御 操作系统损坏立即修复无法防御无法防御无法防御 数据库崩溃立即修复无法防御无法防御无法防御 数据误删除立即修复无法防御无法防御无法防御 系统版本升级立即修复无法防御无法防御无法防御 软件BUG立即修复无法防御无法防御无法防御 应用失效立即修复无法防御无法防御无法防御 人为破坏立即修复无法防御无法防御无法防御 物理故障物理故障可以防御可以防御无法防御无法防御可以部分防御可以部分防御可以部分防御可以部分防御 存储故障立即修复无法防御与其他设备配合防御与其他设备配合防御 存储网络故障 与其他设备配 合防御 无法防御 与其他设备配合防御与其他设备配合防御 应用网络故障 与其他设备配 合防御 无法防御 与其他设备配合防御与其他设备配合防御 主机故障 与其他设备配 合防御 无法防御与其他设备配合防御与其他设备配合防御 站点故障站点故障可以防御可以防御无法防御无法防御可以部分防御可以部分防御可以部分防御可以部分防御 计划内停电可以应对 可以应对，但是RTO、 RPO较大 可以应对，但是RTO、 RPO较大 可以应对，但是RTO、 RPO较大 意外掉电本地100%可用 防御结果不确定,且RT O、RPO较大 防御结果不确定,且RT O、RPO较大 防御结果不确定,且RT O、RPO较大 火灾容灾100%可用 防御结果不确定,且RT O、RPO较大 防御结果不确定,且RT O、RPO较大 防御结果不确定,且RT O、RPO较大 机房损坏容灾100%可用 防御结果不确定,且RT O、RPO较大 防御结果不确定,且RT O、RPO较大 防御结果不确定,且RT O、RPO较大 第16页 总结总结全面防御全面防御部分防御部分防御部分防御部分防御部分防御部分防御 上表总结了传统的SAP数据保护解决方案的局限性，突出了基于主机分流方式可以 防范更多类型的故障和灾难，因此飞康选择基于主机分流方式助力SAP实现本地数据保 护和灾备解决方案。 主机分流方式，实际上就是SAP利用AIX卷管理器进行分流，或者第三方操作系统 利用自带卷管理器镜像功能进行分流。不同的第三方操作对其UNIX系统的卷管理器镜 像的称谓有所不同：IBM 公司的AIX操作系统上称为 LVM Mirror功能。 4.1唯一能实现全面系统保护和数据快速恢复的解决方案唯一能实现全面系统保护和数据快速恢复的解决方案 飞康CDP是目前业界唯一对SAP 生产系统和数据提供无死保护和快速恢复的解决方案。从保护的故障类型来看，飞康C DP解决方案能防御的故障分为物理故障、逻辑故障、站点故障3种。 物理故障包括主机损坏、本地硬盘损坏、生产磁盘阵列损坏。对于这类故障， 飞康CDP提供RPO=0，RTO趋于0的指标。 逻辑故障包括文件丢失、记录丢失、文件系统受破坏、数据库瘫痪、磁盘误格 式化、误分区、操作系统损坏、应用程序损坏。对于这类故障，飞康CDP提供 技术手段实现RPO=0，RTO 1至10分钟的指标。 站点故障包括计划性切换、停电、自然灾害。对于这类故障，飞康CDP大部分 情况下提供RPO趋于0，RTO30分钟的指标。 第17页 从保护对象角度来说，飞康CDP可以保护生产环境中所有的数据，包括SAN存储、 IPSAN存储、本地盘、操作系统盘、应用程序所在磁盘。值得注意的是，这里所说的“ 保护”同时包括物理故障和逻辑故障。 4.2唯一能提供基于唯一能提供基于SLA的恢复指标的解决方案的恢复指标的解决方案 目前所有传统方案提供的指标都是针对某一项技术操作所需的时间，例如数据恢 复时间、双机切换时间，而不是业务恢复时间，这种指标就是“不基于SLA的指标”。 飞康CDP解决方案在业务考核时是计算从业务停顿至业务恢复所花时间，恢复指标也 应与之匹配，所以被称为“基于SLA的恢复指标”。 飞康CDP解决方案拥有“先生产后修复”机制，应对上例时可以绕开生产存储的修 复过程，直接顶替生产存储临时承担生产任务，仅几分钟即可恢复生产重新上线，待 安排妥当有维修时间时再修复生产存储上的数据。不仅如此，飞康CDP在应对任何灾 难场景时，使用的都是同一套设备，在全面满足业务连续性保障要求的同时，反而极 大地节省了投资。 从以上过程可以看出，飞康CDP解决方案可以应对任意故障场景，从故障发生到修 复完成这整个过程，每一步都具备精确的时间指标。另外，由于故障处理具有“先验 证”过程，这意味着在正式处理故障之前也已为正式修复作过了一次演习，因此修复 时不存在“盲修”，流程是“验证”过的，时间是“测量”过的。如果发现故障属于 无法及时修复的类型，可以果断启动应急预案。因此在应对任何故障场景时，都无需 再担心决策失误和救灾死角。 第18页 4.3安全可靠的旁路接入安全可靠的旁路接入，对原有生产系统影响最小，对原有生产系统影响最小 旁路接入无需在主机上安装驱动程序，也无需对主生产通道上既有的架构作任何 调整，完全是以附加的形式接入生产环境的，因此它能提供强大数据保护功能和数据 快速恢复能力的同时，完全不带来任何风险和隐患，甚至部署实施都非常轻松安全。 这当然是一种极有诱惑力的部署方式，但同时也对使用该部署方式的数据保护产品提 出了严苛的要求，不仅要在技术原理经得起推敲，还必须经受广大案例的考验。目前 市场上只有飞康CDP解决方案满足这些要求。 飞康CDP的接入尽量不破坏原有生产系统，它的特点可归纳如下： 停机时间短，技术上支持在线实施。 不改变原有架构，所有配置均为新增。 不改变文件系统和卷管理软件。 如实施超时未完成，搁置即可，无需回撤。 无运维风险，设备故障不影响生产。 旁路接入带来的优势使IT管理者们立刻意识到传统解决方案中被忽视的风险。传 统方案需要在改造生产环境，这不仅制造了故障点，影响了日后运行稳定性，而且实 施本身就是一个很难控制的风险过程。 旁路接入方式对数据保护设备要求非常严苛，因为旁路接入对数据保护设备的性 能要求非常高，要求它的性能高于生产存储，然而从成本考虑，不可能采用很高端的 存储设备，消除这种互斥是一个技术上的挑战。飞康CDP方案使用读写分离和写加速 缓存非常好地解决了性能与成本之间的矛盾，使旁路接入成为一种实用化技术。 第19页 4.4局部问题局部本地解决局部问题局部本地解决 当故障发生时，用户的领导需要在最短的时间内做好以下决策：生产存储损坏是 否启用备份系统?以及生产数据丢失是否能通过启备份系统恢复生产？从高管和决策者 角度来说，启动备份系统去解决非站点故障是难以接受的。 启用备份系统并非是决问题的唯一途径，更何况还带来如此多问题和风险。飞康C DP之所以是一个好的解决