无锡市财政灾备技术报告.doc

目 录一研究内容21.1 主要研究的内容和特点21.1.1 信息系统应用现状21.1.2 存在的主要问题31.2技术原理及结构31.2.1 概述31.2.2 设计原则51.2.3 灾备技术规划51.2.4 容灾备份软件设计111.2.5系统网络拓扑结构241.3 关键技术及创新点251.3.1 问题的提出251.3.2 面临的主要技术难题261.3.3 实现的方法及原理271.3.4 技术创新点271.4 本研究达到的技术水平28二. 主要技术指标282.1研究的试验方法282.2技术路线302.3已达到的技术指标30三、主要技术、经济指标对比分析(国内外最先进的)31四、存在问题及今后的目标31基于虚拟中间件服务器技术的财政综合灾备系统研究与实现技术报告一 研究内容随着无锡市财政局信息化的进一步发展，信息系统的重要性越来越高，其中预算执行付系统、非税收入系统、契税征管系统、建设资金管理四个系统的重要性更高，系统数据需要进行实时容灾，保证业务系统7x24连续不间断运行。因此，无锡市财政局灾备系统（以下简称灾备系统）的建设目标是保证业务系统7x24连续不间断运行的应用灾备，这是灾备系统级别最高的目标。传统把“备份/恢复”的技术领域，称为离线数据保护，就难以满足要求。必须寻求新的技术途径来实现。1.1主要研究的内容和特点1.1.1 信息系统应用现状由于财政工作职能和要求的多样性以及财政业务的开拓发展，使得支撑各项业务开展的软件系统越来越多。现有各类大小业务系统20多个，有涉及财政收支的预算执行系统、非税收入征缴系统、契税征管系统、财税库系统，有支持全局办公的办公自动化系统、内外网站系统、邮件系统，以及关系财政业务的部门预算系统、预算级次核定系统、会计信息管理系统、土地出让金系统、建设资金管理系统、内控系统、账务系统等等软件系统，用“软件系统多”多来形容一点也不为过。长期以来，由于受“任务驱动、应急开发”模式的影响，各财政业务系统的建设缺乏全局考虑，缺乏统一的平台和标准，“信息孤岛”现象严重。每个应用系统的数据大都分散存储、分散备份，存在管理困难、扩展性差、效率低、安全性低等诸多问题。另外，财政各项业务的开展离不开与全系统和其它部门的信息化沟通，为保证财政业务信息化办公的高效畅通，现在财政纵向和横向的网络已经全部连通。我局纵向实现了与财政部、省财政厅以及无锡2市七区的全部网络连通（即广域网），横向实现了与各级预算支出单位、非税收入单位、人民银行、国地税和9家商业银行的网络连接（即城域网），内部实现了全局的网络连通（即局域网）。用“网络连接多”可形象比喻已建成的立体化多方位的网络系统。1.1.2存在的主要问题随着财政体制改革的不断推进和科学、精细化管理的不断深入，现有的财政业务信息化系统已难以满足业务信息化所覆盖的面越来越大、新的业务系统不断上线要求。同时，业务系统对it系统的依赖性越来越高，对财政而言，健全的业务数据既是财政的宝贵资源，又是维持其正常运转所必须的基本条件。如何安全、高效地管理好业务数据，确保信息资源的安全和完整，使机构免遭信息灾难，已经成为摆在我们面前迫切需要解决的问题了。为了确保财政业务的连续性和数据的安全性，预防灾难的发生以及如何解决一旦灾难发生即能快速恢复的手段、建立一套行之有效的数据存储及灾难恢复系统已成为当务之急。1.2技术原理及结构1.2.1 概述长期以来，为任务关键型的应用制定的灾难恢复计划，需要对这些应用进行复制，并且在容灾点拥有备用的服务器，一旦灾难发生，就可以立刻接手运行。在过去，第二级的应用仅限于从磁带中得以恢复，作为其保护模式，这种方法会导致多天的恢复时间。即使你已经复制了该应用的数据，通常也不太可能有一个完全一样的服务器来恢复该应用备份。要么需要对不同的的硬件进行裸机恢复，要么就购买一个新的操作系统和应用安装，在这个过程中还要有安装数据库所需的所有补丁备份。采用虚拟机，实际上是虚拟的机器它们都是运行同一套驱动程序，如果它们从一台主机转移到另一台主机，你几乎区分不出来。这个“硬件不同”的问题可得到有效的解决。在数据的恢复方面，与以往的依赖磁带进行转移不同的是，现在你定期对你的虚拟机安排快照，然后通过复制连接，将它们转移到容灾点。如果网管能够正确考虑通信的优先级，它就不会对实时的复制造成干扰。所以，采用服务器虚拟化很容易部署和集成，因而成为了容灾的有效工具。服务器虚拟化能解决容灾的三大问题：成 本： 虚拟化可以直接部署在生产和恢复中心，帮助公司减少物理服务器的数量。依赖性： 虚拟化消除了大部分硬件的依赖性。迅速恢复：虚拟化的服务器图象能够迅速得到部署，在某些情况下，图象还能在物理系统间迁移。如果要在容灾战略中采用服务器虚拟化，存储管理员必须考虑到他们的数据保护、恢复点粒度和存储目标。数据保护（备份）服务器虚拟化和容灾面临的一大挑战就是缺乏有效的、可使用的备份数据，也就没有太多可恢复的东西了。虚拟化自身并不能保证数据的可恢复性。备份虚拟服务器有一些可用的方法，其结果各不相同。如果在每台虚拟机中设置常规的备份代理，你就能把获得的结果与代理设在物理服务器环境中的结果作对比。恢复点粒度由于软件成本降低带来利益，常规备份代理会偏向于图象备份，此时备份战略必须不遭破坏，且能提供粒度（文档水平）的恢复能力。依靠第三方软件工具，能自动实现全备份和增量备份，而不必采用离线虚拟机。这种能力还能对文档进行恢复。恢复性能备份和恢复虚拟服务器是i/o的功能。虚拟化之所以具有吸引力，是因为它能够加强使用空闲的服务器资源。对许多处于工作期的系统而言，这么做非常正确，而当系统处于备份期或者更具体地说处于恢复期时，情况就不同了。在恢复灾难的时候，可能需要同时恢复同一个物理系统中的多台虚拟服务器，这时产生的i/o就会成为严重的“瓶颈”问题。只是硬件可用，并不能保证满足恢复时间目标。对宕机时间很短甚至没有宕机时间的应用程序，仅仅是虚拟化并不足够，还需要增加故障切换元件，满足恢复需求。同理，有些应用程序的恢复点目标很严格，但是数据损失的容忍能力很弱乃至没有，此时可能需要采用复制的方法，保证在备份期间保护数据。对于一项容灾战略而言，除非具有外部元件，否则世界上所有的虚拟化、图象备份和数据复制也不为多。一般情况是，虚拟服务器已经部署或即将部署在一个中心，将备份发送到中心之外或者在各个中心之间复制数据。1.2.2 设计原则1、容灾备份的解决方案，应采用 “应用级”、“数据级”的系统构架技术方案及异步的数据复制方案；2、异地灾备中心应靠虑数据初始化、应用系统及数据迁移方案迁移方法、保障措施等；3、主备机房发生灾难时，系统平台应有备份应用恢复的实施方案。 1.2.3 灾备技术规划系统容灾备份技术是指通过建立远程数据备份中心，将主中心数据实时或非实时地复制到备份中心。正常情况下，系统的各种应用运行在主中心的计算机系统上，数据同时存放在主中心和备份中心的存储系统中。当主中心由于断电、火灾甚至地震等灾难无法工作时，则立即采取一系列相关措施，将网络、数据线路切换至备份中心，并且利用备份中心计算机系统重新启动应用系统。这里最关键的问题就是切换过程时间最短，同时尽可能保持主中心和备份中心数据的连续性和完整性。而如何解决主中心和备份中心数据库的数据备份和恢复则是容灾备份方案的重点。1.2.3.1 灾难备份层次对于灾难备份的结果，就是要保证数据和业务的可用性（availability），根据通用性和成本来考虑，业务的可用性目前有三个级别（见下图“可用性金字塔” ）：其中，业务连续性是可用性的最高级别，也是最难实现的部分，业务连续性的实现要依赖高可用性和灾难恢复的实现，而单点故障的消除是保证业务连续性最基本的手段。 从灾备系统实施的层次来看，灾备体系应该包括数据和应用两个部分。数据灾备是基础，应用的灾备是建立在数据灾备基础之上的。对于数据的保护，又应该从两个级别来考量（见上图“数据保护的级别” ）。第一个级别是数据安全，这是保证数据可用的最基本的手段。数据安全包括我们通常谈到的一级存储和二级存储，一级存储就是我们通常所说的磁盘阵列存储等，二级存储是通常所说的用磁带介质、光介质等完成的备份。第二级别是指数据724的高可用性，为实现数据的高可用性，我们可以采用双机容错或者服务器集群的方式来实现。在数据保护的两个级别中，企业可以按照自己对关键业务连续性的要求来确定采用数据保护的方式，一般来说，对数据依赖不是很强，并且不一定要求数据724有效的中小型企业，可以通过本地备份就能实现对数据的保护，而对于金融、银行、电信等运行着大量关键业务，需要业务和数据实时有效的行业，就需要考虑更高级别的数据保护方式。 应用灾备是在数据灾备的基础上，在异地建立一套完整的与本地生产系统相当的备份应用系统。在发生灾难时，远程系统迅速接管业务运行，应用灾备则是灾备系统建设的最高级目标。 1.2.3.2 灾难备份系统架构一个完整的容灾系统应该具有丰富的层次构造，包括以下几个部分： 本地高可用系统通过本地的高可用系统实现一级安全体系，该体系确保局部故障和单点故障的系统应用安全。采用双机容错或者服务器集群的方式来实现。 远程数据镜像系统远程镜像系统是灾备系统的重要组成部分，它可为两地点间的重要信息传输提供丰富的存储空间，保证主站点和备份站点之间数据的同步。远程镜像系统的实现有三种方式。 1、数据库复制 采用数据库监督远程镜像的做法使得it环境中的镜像变得有意义，一般通过数据库管理器来完成，并且能对本地和远程的支持作出更为熟悉和灵活的决定。这种同步化过程在发生重大运行失误时开始运作。但是，在这种方式中，每一次数据更新时，需要传递大量信息，为确保这其中的相互联系和复制的一致性而引起的开销是十分可观的。 2、远程文件系统镜像 对于具有多种应用程序的主机来说，采用文件系统远程镜像的做法是恰当的。这尤其适用于低配置的服务器。文件级别的复制能圆满完成替代位置数据的更新。这些产品作为主机上的软件分层驱动程序而传送，并且一般要在本地或广域连接中遵守网络上的习惯协议，诸如tcp/ip等。但这些方法在实现时，可能需要更改操作系统或改变需要保护的多主机平台。 3、存储子系统的远程镜像 当用户拥有几台不同的主机并且其中还包括有核心主机时，或者当用户仅仅只想从应用程序处理机上移走远程镜像时，将如何处理呢？这可以通过存储子系统镜像的方式。单一的存储子系统可以用来从服务型主机的立场上提供远程双重拷贝。原主机和备份主机从冗长的i/o开销中解脱出来，并可以削减等待时间。大多数执行过程都能利用原位置和备份位置的闲置资源以加速程序的运转。由此产生的远程镜像吞吐量远远大于数据库和文件系统的设计要求。远程高可用系统远程的高可用管理系统，即远程应用切换，也就是应用灾备，它实现二级的远程广域范围管理（global cluster），这一层次基于本地的高可用系统之上，实现故障的分类和采取对应的故障接管机制。 在远程灾备系统中，要实现完整的应用灾备，既要包含本地系统的安全机制、远程的数据复制机制，还应具有广域网范围的远程故障切换能力和故障诊断能力。也就是说，一旦故障发生，系统要有强大的故障诊断和切换策略制订机制，确保快速的反应和迅速的业务接管。实际上，广域网范围的高可用能力与本地系统的高可用能力应形成一个整体，实现多级的故障切换和恢复机制，确保系统在各个范围的可靠和安全。数据磁带备份系统数据备份系统一般采用磁带库来完成，用户可以根据自己的存储系统架构来选择备份方式，如lanfree或者serverless等。数据备份系统是整个存储系统非常重要的后备支撑，一旦遭受到误操作、黑客攻击等灾难时，如果用户制定了有效的备份策略，备份系统可以很好地恢复灾难前的数据内容。此外，数据备份介质还可以通过别的方式存放在专门的备份中心或者公司异地的存放中心，以确保当地发生自然灾难时备份介质的有效。总之，容灾的根本是恢复，而灾难恢复计划（drp），是指在灾难前、灾难中和灾难后采取的一些手段和措施。灾难恢复计划应该是一个全面的、经过测试的、可以保证数据和应用恢复的计划。灾难恢复计划对于公司的生存是很重要的，一个经过测试的灾难恢复计划能使得公司从一个无法预计的灾难中在可能的时间内进行恢复，并且不影响公司的正常业务运作。1.2.3.3 容灾技术分析容灾建设是一项系统工程，包括智能资源建设，容灾战略构想、容灾组织建设、容灾操作流程；业务逻辑容灾，数据复制和应用恢复以及应急应用逻辑调整；容灾信息技术基础设施建设，技术实现和基础设施。其中最受关注的是技术实现，技术实现虽然是一个子层面的内容，而实际上贯穿了容灾建设的始终，各种方案差异也几乎全在于所选择的技术实现不同。技术对于容灾系统的影响主要在实时数据远程复制、网络连接、应用接管和回切、运行监控和日常管理四个方面。实时数据复制技术的选择实时复制技术要完成生产数据到容灾中心的复制工作。从存储、san、操作系统，到平台软件，业务，各个层次都有自己的复制技术。 基于存储的复制技术目前主流的存储设备厂商在其存储产品上均有基于存储设备的灾备解决方案，如emc的srdf，ibm的pprc。这种解决方案是一种数据存储的物理镜像，它将数据在物理层面上，在两套存储设备中通过san制作或生成两套数据镜像。这两套存储设备可以是本地的，也可以是远程的。当本地的生产系统发生故障时，备份系统主机可以连接上备份存储系统，开启业务。 基于san的复制技术san的复制技术是通过虚拟存储技术在san层次截获数据写操作，并进行远程复制，所有存放在虚拟存储管理的lun（磁盘卷）上的数据都能够自动被复制，而且与业务、应用甚至服务器无关，大大简化了容灾设计和实施。但是与存储数据复制类似，san层的数据复制带宽要求更高，而且对于累积增量的保护较差，可能因为数据溢出，因此需要更多的带宽去复制数据。 基于操作系统的复制技术有些操作系统如aix他本身就具有数据跨存储设备的镜像功能。与本机硬盘单镜像设置的不同，这种灾备方式可以由操作系统通过san发起在两个存储设备间保存两份相同的数据。当本地的生产系统发生故障时，备份系统主机可以连接上备份存储系统，开启业务。ibm的georm，veritas的storage replicator、volume replicator。 基于平台软件的复制技术平台软件层面的复制技术是被广泛采用的技术之一，对不同的平台软件，技术各有不同。我们的平台软件有oracle数据库、sybase数据库，其中关键支撑业务都是oracle数据库。以oracle为例，oracle复制技术，主要是data guard技术。 基于业务的复制技术基于业务的数据复制技术适合三层架构的应用，在容灾中心除了存储，主机系统外，还需要和生产中心一样的中间件服务器。数据过程如下： 1、前台客户端发起一个交易； 2、交易中间件提交交易到远程交易中间件； 3、远程交易系统处理完请求，并完成写数据库，返回结果 4、本地交易系统处理后，写数据库并返回前台客户端处理结果。 由此可见，基于业务的数据复制技术是以提供相同的输入，相同的处理，来保证相同的输出，从而达到数据复制的目的。因此，基于业务的数据复制技术，虽然交易一致性好，但是需要和业务程序开发结合，实现复杂。对于我们已经成型的业务并不适合。根据以上分析，我们选择了基于san和操作系统复制技术。以上几种方式的比较：基于存储技术基于数据库技术应用软件同步操作系统软件投资规模硬件(固定)+软件(低)+实施(中)硬件(灵活)+软件(低)+实施(中)硬件(灵活)+软件(高)+实施(高)硬件(灵活)+软件(中)+实施(中)投资保护是否否是主机依赖性否是是是实施工作量中小大中实施难度中低高中适应范围和约束条件专用存储连接链路；高端存储设备近距离，简单应用应用系统成熟；网络设施完备；长期的开发和维护力量高网络带宽；特定的文件系统格式技术成熟度成熟不很成熟不同的项目有不同结果中对系统性能的影响小大大中运行维护的要求低中高中灾难情况下的数据丢失量同步：没有丢失；异步：1分钟以内通常异步，几十兆数据丢失通常异步，数据丢失1分钟以内同步：没有丢失；异步：1分钟以内同异步方式选择同步和异步有以下区别：同步可以保证主备中心数据完全一致，而异步则会在灾难时有少量数据丢失。同步对主机i/o性能有一定影响，视传输距离、方式而定。异步对主机性能的影响很小。只推荐同步具有很大的风险同步数据复制，要求每个io都必须到远程绕一圈后才算结束，在多个方面存在性能瓶颈：1、在非容灾状态，或异步情况下，主机只要写一个磁盘阵列的cache就算i/o结束了，该过程大约2ms。而同步方式要求串联写两个磁盘阵列的cache，才算i/o结束。2、主、备中心之间，通常只有12根光纤。同步方式下，这就相当于在高速的主机和存储间，放了一个非常窄的通道。这立即成为整个系统的瓶颈，我们配置高速磁盘阵列、支持大量主机接口、非常高的iops值，等等，一切都不能充份发挥其能力。3、主、备中心之间有距离，这又造成了系统延时，对性能的影响是明显的。4、在高io负载的情况下，根据大量测试和实际情况，同步复制会出现性能“拐点”，即“性能雪崩”，此时性能会急剧下降80以上。由于以上的原因，同步必然对系统性能产生明显影响，具体影响的程度，与应用状况、通信带宽、距离、系统架构等多方面因素相关，很难给出一个精确的计算结果。容灾的实施是为了避免风险，而如果只有同步复制方式，则会带来更大的风险。一旦系统上线后，发现出现性能雪崩、或批处理时间大量延长、系统超高负荷，而此时升级到异步又非常困难，则整个容灾项目就会失败。根据目前用户核心系统的实际情况和系统重要性级别（1、非税收入 2、集中支付 3、契税征管 4、建设资金管理），采用同步异步复制方式。1.2.4 容灾备份软件设计 根据无锡市财政局容灾备份的需要，我公司建议选择symantec基于操作系统的容灾备份软件，作为无锡市财政局容灾备份平台。unix服务器镜像/集群软件系统设计无锡市财政局现有两台ibm s85小型机，两台小型台共享一台7133磁盘阵列，使用ibm hacmp软件。考虑新增一台ibm小型机、两台光纤存储设备，通过veritas foundation构建unix服务器镜像、集群软件。 产品介绍我们通常把备份/恢复的技术领域称为离线数据保护。离线的数据保护方式因为其停机时间和数据损失的缺陷，对于现在7x24运行的核心业务系统越来越显得不足。veritas storage foundation, 的主要功能有:减少停机时间：物理错误的冗余：数据容灾基于san环境的跨阵列远程镜像：逻辑错误的快速恢复：多种快照技术没有数量限制的快照技术，可以让用户在最短的时间里，恢复出错的文件系统。在线的（不停机）存储管理：扩展，调整卷结构，提高系统读写速度：文件系统自动调节，最优化利用缓存。达到最优读写性能。构建动态多路径管理，提高san传输效率。提高读写性能。多种卷结构，优化读写效率。最大化利用资源，自动化管理资源。在线管理异构的磁盘阵列。统一管理使用。基于策略的管理模式，变被动为主动的管理模式。优化数据库性能。symantec建议利用veritas storage foundation系列软件的镜像技术，来构建容灾方案。利用veritas storage foundation的镜像技术构建容灾系统是非常简单的，它只有一个条件，就是将生产中心和灾备中心之间的san存储区域网络通过光纤连接起来，建立城域san存储网络。然后，我们就可以通过storage foundation提供的非常成熟的跨阵列磁盘镜像技术来实现同城容灾了，容灾方案的结构如下图所示：从原理上讲，在城域san存储网络上的两套磁盘系统之间的镜像，和在一个机房内的san上的两个磁盘系统之间的镜像并没有任何区别。就如上图，如果我们把“同城容灾中心”几个字去掉，我们就无法分辨左边的系统和右边的系统到底是在同一个机房，还是远在几十公里以外。利用光纤将生产中心和灾备中心的san网络连接起来，构成城域san网络以后，利用 veritas storage foundation的先进的逻辑卷管理功能，我们就可以非常方便的实现生产中心磁盘系统和灾备中心磁盘系统之间的镜像了。如下图所示。我们可以看到，利用veritas storage foundation，我们可以创建任意一个逻辑卷（volume）供业务主机使用，实际上是由两个完全对等的，容量相同的磁盘片构成的，两个磁盘片上的数据完全一样，业务主机对该volume的任意修改，都将同时被写到位于生产中心和灾备中心的两个磁盘系统上。采用这种方式，生产中心的磁盘阵列与同城容灾中心的磁盘阵列对于两地的主机而言是完全同等的。利用城域san存储网络和veritas storage foundation镜像功能，我们可以非常轻松的实现数据系统的异地容灾。并且消除了复制技术（无论是同步还是异步）的切换的动作，从而保证零停机时间，零数据损失的实现。集群系统是目前应用高可用的主要手段。由多台主机，连接共享的存储磁盘阵列，实现应用在多台主机上的并行运作（需要应用支持，如oracle rac）或者active/standby 模式运作，当单个主机上的应用，或者主机本身发生错误时，由其他服务器接替工作，最终实现应用的高可用。针对用户的需求，以及用户具有的硬件架构，veritas cluster为了提供一个高可靠集成的系统，veritas群集软件在系统和网络的几个方面提供了一个完全集成的方案，包括管理、监控、检测、恢复重要的应用。veritas cluster server (vcs) 是一个商用的企业级软件解决方案，它可提供全面的可用性管理，把计划的和非计划的停机时间降到最低。该产品能满足发展的但严格的世界电子商务模式所要求的正常工作时间。电子商务需要增加不停机时间以保证为顾客进行各种服务；不管哪种企业，多大规模，veritas cluster server (vcs)都能为他们的“无间断商务”发挥重要作用。vcs使得企业的san得以完善，它提供客户端对存储数据的访问，既可以是通过光纤直接连到磁盘阵列，也可以通过光纤交换到“存储池”。本地集群定义 一个vcs集群由连接到共享存储设备的不同应用组合的多重系统构成。veritas cluster server 监控和控制应用和数据库，并且能够在软硬件发生多种故障时对应用和数据库进行故障切换或重启。常常定义一个集群为一套连接到冗余网络联接的系统。这种方案能够在应用、操作系统或硬件在某个站点发生故障时，恢复本地的unix或windows服务器，也可以尽可能的降低应用系统计划内和计划外的停机时间。 本地集群，也称为共享存储集群，是目前最流行的通过应用和数据库故障切换提供高可用性的方案。 环境 用于应用和数据可用性的冗余服务器、网络和存储架构使用多重服务器与共享存储系统的连接。 系统被连入一个专用的网络互联结构中，通常使用以太网传递系统状态和软硬件资源的信息vcs使用快速专用协议gab/llt进行状态通信。 集群中的每个系统都能够在需要时访问共享存储系统上的应用数据 区别于扩展集群，它不把数据复制或镜像到其他数据中心（往往在单一阵列中，利用镜像/raid来提供磁盘保护） san结构可以简化大型的集群（大于两个节点），这在当前的所有集群中具有代表性。例如，使用交换机和集线器 所有集群组件服务器、san结构、存储系统全部共存于某个站点上。 集群中的所有服务器在一个单独的位置（单数据中心）优点 使用共享存储系统上的数据实现应用恢复（零数据损失） 将应用和数据库的停机时间降至最低（自动故障切换） 优化服务器整合（n+1故障切换情形） 快速恢复时间目标，满足严格的服务水平协议和高可用性 缺点 在灾难中，数据中心或站点成为单一的故障点扩展集群（城域灾难恢复 / 区域集群）注意：一份单独的白皮书详细说明了区域集群（campus clustering）配置，可以通过veritas 网站查找定义 扩展/区域集群（stretch / campus clustering）是一种扩展到两个以上站点的集群，它使用光纤连接进行数据镜像和集群通讯。当企业在办公地点采用了san结构，且要在短距离进行灾难恢复时，通常采用这种典型结构。veritas在华尔街的许多客户已经搭建了区域集群，他们利用veritas volume manager 镜像将数据中心隔开几英里远，通过这种方式为本地站点故障（例如火灾、洪水或当地停电等）提供了灾难恢复能力。另外，区域集群为扩展数据中心面临的有限增长空间提供了持续的可用性。 环境 一个集群通过子网或san光纤通道，扩展到多个建筑、数据中心或站点 在建筑物、数据中心或站点最多可自由分配32个节点 本地存储系统在集群节点间相互镜像 使用dwdm的新数据交换机，能够支持长达100km的距离 站点间的距离取决于存储网络基础架构 优点 区域集群对每个站点都提供了本地高可用性，防护站点故障。 成本效率，单一方案无需复制（采用远程镜像同步地将数据拷贝到全部站点，零数据损失） 将应用和数据库的停机时间降至最低（自动或手动故障切换） 充分利用现有的san基础架构 外观和操作与配置本地集群环境很相似无需进行特殊的配置 防护单一故障地点发生的与气候相关的停电和电力网故障 允许数据中心扩展创建一个跨越站点的服务器、存储系统和应用的单一逻辑群 允许跨多重网络进行故障切换（提供dns升级）（可以通过咨询服务按需定制vcs 3.5中的代理选件，这些代理选件包含在vcs 4.0基础产品中）缺点 成本需要san架构光纤通道 距离受存储系统限制拥有足够性能的镜像存储能力广域灾难恢复cluster acluster b广域灾难恢复在灾难发生时为数据和应用提供了最多的保护。这种结构需要利用两个或多个子网，部署两个或更多的数据中心。站点停电时，所有服务和数据将被迁移到二级“热”站点上，对用户而言仍然是可用的。这种结构牵涉到决定二级站点的准确性。例如，二级站点的位置不应该与发生故障的主站点处在同一条故障通路上，不能接近机场或处于相同的电力网内，并且要保持足够远的距离以避免气候同时影响两个站点。包括veritas在内的几家公司为企业实施灾难恢复最优方案提供咨询服务。 根据政府规定或公司被强制遵守的服务水平协议，部署广域灾难恢复是一种比较有代表性的情况。同时，有一些在世界的其他地点有办公机构的公司也可以利用这种结构。根据定义，典型的配置广域灾难恢复要求是ip网络可用，以及客户对距离的需求超过100km。二级站点是“热”站点，在主站点发生故障时二级站点的服务器和存储系统是可用的。站点之间通过ip网络相互连接。环境 在主站点配置本地集群，在二级站点配置另一个本地集群至少两个集群 o 两个或多个子网 o 两个或多个集群 在每个站点的集群间复制数据，veritas每个集群最多支持32个节点，每个站点最多支持64个集群优点 本地集群的全部优点 异步模式下的数据复制是没有距离限制的 在本地建筑、数据中心或地理区域内防范灾难 使用ip网络，支持任何距离上集群集群的通讯 本地自动进行应用的故障切换，也可通过手动“单键点击”恢复到远程站点 对veritas或第三方复制方案提供支持缺点 解决方案更加复杂（必须在任何故障情形下通盘考虑复制方向和数据流通）vcs 的特点：最多支持32节点。从gui管理界面监视多达256个32节点集群服务器。一个集群中支持无限数量的服务组。支持多种服务组之间的依赖关系，可动态配置。vcs 使用专用通讯协议(gab)进行集群内节点间通讯。gab运行在另外一个专用通讯协议(llt)之上，采用第二层的dlpi协议的llt提供可靠的、负载均衡的、高速的心跳通讯，与使用tcp/ip堆栈方式进行心跳通讯相比，具有极大的优势。专用通讯协议使得vcs扩展也非常方便。vcs也支持磁盘心跳 i/o fencing 使用scsi 3 persistent group reservations (在vcs 4.0版本)，防止split-brain的发生。为不同用户提供不同的集群管理权限，例如数据库管理员只能通过vcs进行数据库的切换/启动/关闭等。支持多种多样的磁盘系统，所有支持的系统都通过veritas ilab（集成实验室）的认证。通过storage foundation cluster file system 与vcs结合提供该支持最多支持16个节点对同一文件系统同时进行读写访问。veritas是目前唯一提供 oracle 9i rac 运行在cluster filesystem上的公司。vcs支持多种操作系统，多种数据复制方法的切换。（veritas/vvr emc/ hds/ ）支持服务器内和服务器间的多网卡多ip地址切换。无单点故障：had 和 shadow 互为vcs冗余进程。换提供plug-and-play 支持，只需在图形管理界面填入应用有关参数即可。提供软件开发包(software developers kit ,sdk)。对于普通应用，可以方便地使用vcs自带的 application代理进行管理对于特殊应用，可以使用c+, perl, or shell编写vcs客户化代理。可以中止整个集群服务，但是保持所有应用继续提供服务。因此，在进行集群维护和升级等操作时，不会对应用造成任何影响。vcs自动同步所有节点上的配置文件。vcs 使用播种(seeding)机制。当整个集群中所有节点关闭后，管理员可以选择启动集群中任意数目的节点, vcs 没有限制集群中最小节点数目。这意味着vcs在只剩下极少数节点，甚至可以在只有一个节点情况下启动服务。支持在不同操作系统平台上的统一的命令行、图形管理界面和web界面。使用安装程序，在集群中任何一台服务器上就可以将整个集群中所有服务器安装，并且在安装过程中回答几个简单问题就可以统一进行集群配置。windows pc服务器数据复制软件、windows pc服务器集群软件对于无锡市财政局的重要windows服务器，我们通过vrts replication exec 3.1 windows pc服务器数据复制软件，实现windows pc服务器的复制，另外结合vrts storage foundation ha 5.0实现业务系统的自动切换。windows pc服务器系统备份/恢复软件 系统设计无锡市财政局众多业务系统，包括契税、内控、办公自动化、票据、部门预算、财税库等，均是运行windows操作系统，考虑到windows操作系统的不稳定性，以及无锡市财政局windws业务的重要性，一旦系统出现故障，需要在短时间内恢复，我公司建议配置symc backup exec system recovery，可以几分钟（而非几小时）内完成windows系统恢复。 产品介绍symantec livestate recovery 解决方案（以前称为 symantec v2i protector）。帮助企业在几分钟内全面恢复windows系统的裸机或单个文件或单个文件夹，并为 windows 系统和数据提供全面的保护。快速、频繁地捕获整个服务器或台式机的操作状态或实时状态的时间点快照，无需中断用户的工作或应用程序的使用。 这些时间点快照将所有的文件和卷（无论是否在使用、隐藏或加密）、应用程序和设置包括到一个易于管理的文件中。因此，能在短短数分钟内，重建整个系统或执行裸机还原（bare metal recovery），轻松将被摧毁的系统还原至指定时间。管理员不再需要使用传统的恢复方法，花费数个小时的时间来重新构建系统和恢复数据，即可将崩溃的系统回调至精确时间点。livestate recovery的工作流程：卷恢复点代理被安装到关键服务器，台式机和笔记本上对整个系统进行快照并存到一个轻便的文件中，创建一个唯一的时间点“恢复点”卷恢复点能保存在任何基于磁盘的存储设备中，如闪存/cd/dvd出现灾难时，恢复环境可以用来恢复到一个确切的时间点选择需要的恢复点，然后系统会恢复到它原始的工作状态 操作系统,应用程序,配置信息等livestate recovery 的特点：时间点裸机恢复 - symantec livestate recovery 独有的恢复功能中包括 symantec recovery disk，该功能自动检测硬件，并加载合适的驱动程序以启动计算机。因此无需人工构建恢复软盘。还可以使用 symantec recovery disk 来检查磁盘的完整性或执行病毒扫描。事件驱动备份 出现足以威胁系统稳定性的事件时，自动备份系统。这些事件包括：(1) 应用程序安装（使用 setup.exe、install.exe 或 msiexec）；(2) 用户登录/注销；和 (3) 数兆字节的存储发生更改。性能调节 通过调节调度作业或自由作业的性能，提高台式机和服务器的性能。此功能还能减少网络通信量。从动态磁盘转换为基本磁盘 对 veritas volume manager (vvm) 磁盘进行动态状态备份，并可恢复至动态状态，从而对使用 vvm 创建的多种复杂存储配置提供无中断且灵活的完整保护。交互式远程恢复 使用产品 cd 中包含的 symantec recovery disk，远程恢复服务器和台式机（通过内嵌的 symantec pcanywhere 托管技术）。*microsoft vss 集成 自动将 microsoft volume shadow copy service (vss) 兼容的数据库设置为备份所需的静默状态，而不使其实际脱机，从而使数据库更加自动化，更易于备份。合并备份集 通过定期将增量备份全部合并到一个增量备份文件中，减少存储备份所需的磁盘空间。热映像 使用快照技术，在工作时捕获备份（即实时备份），而不中断用户的工作或应用程序的使用。livestate recovery 支持的备份/恢复方式：增量备份 仅捕获上次备份后发生的更改，从而增加备份的频率，降低磁盘存储空间要求。这样一来，还可以节约时间和存储资源。自动备份 it 管理员可以通过调度功能和事件驱动备份，根据需要（按小时、天、周、月或特定的时间点）安排备份，将更多的注意力放在优先级更高的任务上。安装和网络共享 安装备份文件，作为可访问的只读驱动器。然后，这些驱动器便可供访问、查看、复制、与其他驱动器共享以及扫描病毒，从而提供时间点镜像功能。restore anyware 选件(消除硬件平台影响) 允许将同一个备份恢复到不同的主机上。转换成虚拟系统并转换回来 (p2v & v2p) 允许将备份恢复到vmware 的虚拟主机上，或者从vmware 的虚拟主机上恢复到实际的服务器上。lightsout restore 选件(远程站点无人值守恢复) 远程实现服务器的灾难恢复。无须任何人工干预。在整个备份过程中，besr将扫描并清除预操作系统环境中的有害病毒，扫描并更正妨碍正常操作系统引导或操作的常见磁盘错误，在发生硬盘驱动器损坏时或在恢复之前将数据从系统硬盘驱动器转移到备用存储位置。真正引导任何裸机，并且轻松地在数分钟（以前是数小时）内恢复整个系统。1.2.5系统网络拓扑结构无锡市财政局局域网由原先的新大楼的两台cisco 4507r以及老大楼的一台cisco 4006交换机组成的三机集群来为内部局域网提供涉及的近30个虚网的网关。三机的优先级顺序为：cisco 4507r-1优先级最高，cisco 4507r-2优先级其次，cisco 4006优先级最低。一旦cisco 4507r-1发生故障，则两幢楼的网关将会自动切换到cisco 4507r-2和cisco 4006上，从而两幢楼楼内部局域网仍然可以正常使用，仅是两幢楼之间的网络不能互相访问。因此从一定意义上讲，已经实现了内部局域网的容灾备份。建议考虑将cisco 4006与cisco 4507r-2也由光路连接起来形成一个环，即使cisco 4507r-1发生故障或着cisco 4507r-1连接cisco 4006的光纤断了，两幢楼仍然可以正常互相访问，这样可以切实做到内部局域网络的容灾。 广域网部分，首先从安全角度考虑，我们在核心交换机下联路由器前均连接了一台防火墙，新大楼使用了crossbeam防火墙，老大楼新增了一台天融信防火墙。防火墙上开放了相应的业务端口。然后防火墙又下联了核心路由器。老楼、新楼均设置了一台核心路由器，都是此次新增的cisco 7606。新楼的cisco 7606为主路由器，下联各家银行（即工商、江苏、中信、建设、浦发、农业、交通、中国、招商银行）的主线路以及产权监理处的主线路，老大楼的cisco 7606则为备路由器，下联各家银行（即江苏、中信、建设、农业、交通、中国、招商银行）的备线路以及产权监理处的备线路。其中浦发银行此次没有参与网络容灾，因此没有备线路。而工商银行备线路由于使用v.35接口，且备路由器上暂时没有配置v.35模块，因此暂时由老楼的cisco 3825路由器下联。另外主线路均由电信提供，备线路则均由广电提供。这样一来，一旦主线路上出现故障（例如电信停电、线路中断），则无锡市财政局对应的局端线路将自动切换到备线路上，而由于各家银行及产权监理处现有网络结构及设备的限制，在无锡市财政局局端线路切换的同时，部分下联单位需要手动进行切换操作（部分单位能够自动切换）才能保证业务系统正常运行。行政审批中心的网络则由对端的一台两层3com交换机同时直接接入主备两条线路，分别连接到新楼的cisco 4507r-1和老楼的cisco 4006核心交换机上，通过spanning-tree的优先级机制进行判断，默认通过cisco 4507r-1上的主线路接入无锡市财政局局域网，一旦主线路发生故障，则自动切换至使用备线路接入局域网，实现了行政审批中心接入财政局局域网网络的容灾。请见无锡市财政局广域网容灾拓扑图无锡市财政局广域网容灾拓扑图1.3 关键技术及创新点1.3.1 问题的提出由于无锡财政局信息系统新旧设备结合，系统复杂，同时运行的业务系统繁多，无锡市财政局和江苏蓝深远望系统集成公司在灾备系统建设中，对灾备技术进行了深入的分析和研究，统筹考虑了技术兼容性和复杂性，创新地运用虚拟中间件服务器技术，并成功地应用在财政局的灾备建设项目中，以最经济的方式完成了财政局灾备系统建设，实现了财政业务系统不间断运行的目的。财政局业务系统的安全是由数据库系统、中间件、网络系统等三个部份组成，任何一个部份的缺陷，都影响到财政业务系统工作的连续性。财政局业务系统中间件软件可以实现数据存储逻辑和前台业务逻辑的分离，还能承担交易数据传输、中间交易确认、客户端负载均衡、用户身份认证等多种中间业务逻辑的实现。中间件软件产品的发展，也带来了中间件软件自身部署的复杂性以及兼容性问题：（1）中间件产品的切换依赖于数据库服务器、第三方应用、网络等多方面的正常运行，如果数据库发生中断或者切换，中间件服务器也要进行切换。（2）中间件服务器实现的身份认证或交易确认功能，是通过硬件加密手段来保证交易的安全性，但实际系统中无法找到完全一样的两台硬件设备，可能导致无法正常切换。（3）财政业务系统非常复杂，如果每个业务单独部署中间件服务器，既带来中间件产品相互之间在操作系统层面存在兼容性问题，又对系统资源造成浪费。随着业务系统的发展，应用灾备环境复杂，而中间件技术在软件开发环节中的地位越来越重要，它不但可以实现数据存储逻辑和前台业务逻辑的分离，还承担交易数据传输、中间交易确认、客户端负载均衡、用户身份认证等多种多样的中间业务逻辑的实现。三层甚至多层架构软件已经成为大型业务系统开发的必然选择。业务系统的安全是由数据库系统、中间件、网络系统等三个部门安全共同组成，缺少了对任何一个部分的关注，都不能保证业务系统的业务连续性要求。中间件技术由于其承担业务逻辑实现的多样性，传统双机甚至多级集群技术的已经不能满足中间件服务器的灾备需求。1.3.2 面临的主要技术难题中间件的产品发展，也带来了中间件自身部署的复杂性以及兼容性等问题，虽然多数中间件产品没有数据存储的要求，但是它的部署是相当复杂的，一旦出现故障，很难迅速恢复正常业务。中间件产品的系统其切换除了受自身运行状况影响之外，还要依赖于数据库服务器、第三方应用、网络等多方面的正常运行，也就是说如果数据库发生中断或者切换，中间件服务器也要进行应用切换，例如预算执行系统采用的是weblogic的中间件，数据库链接是java的连接池，而连接池的建立是在中间件服务器启动时建立的，一旦数据库重启，这些连接池就失效了，必须重新启动weblogic服务器才能保证正常应用。中间件服务器实现的身份认证或交易确认功能，都是通过硬件加密手段来保证交易的安全性的，这就带来了一个问题：无法找到完全一样两台硬件设备。业务系统越来越多，而且都是采用中间技术实现的，由于各种中间件产品相互之间在操作系统层面存在兼容性等问题，都希望部署在相互独立的机器上，但是