（计算机软件与理论专业论文）基于lvm的连续数据保护系统的设计与实现.pdf

中文摘要 中文摘要 随着计算机系统的广泛应用和i n t e r n e t 技术的飞速发展，现代企业的运营对 于信息技术的依赖程度日益增强，特别是，各类数据已经成为企业正常运作的 重要基础。数据容灾在这种大背景下得到了迅速发展。但是近些年来，随着各 种业务的数据规模越来越大，在海量数据的容灾方面，传统备份技术如全量拷 贝、增量拷贝技术甚至于快照技术在某些应用中都有些力不从心，主要表现在： 一是某些业务需要随时将数据回滚到过去的任何时间点；其次要求数据灾难发 生后的数据恢复尽可能的少的丢失数据；另外也要求恢复时间越短越好。 本文主要研究的连续数据保护( c o n t i n u o u sd a t ap r o t e c t i o n , c d p ) 技术是一 种数据的连续时间点的保护，其作用是在故障瞬间完成任何时间点的数据恢复。 与传统的数据保护方案相比，c d p 可以提供更灵活的目标恢复点( r e c o v e r yp o i n t o b j e c t i v e s r p o ) 和更快的目标恢复时间( r e c o v e r yt i m eo b j e c t i v e s r t o ) 。同时 通过捕获和保护数据中所有的变化，使得数据检索变得更加快速和精细。c d p 的出现从根本上解决了传统备份中恢复能力的和非精细时间策略的先天弱点。 本文详细介绍了数据容灾理论的发展、分类应用，以及容灾系统的设计指标。 然后对数据容灾的关键技术一一数据保护技术的分类与发展进行了详细论述， 并指出了传统的数据保护技术已经不能完全满足当前的需求。随后对c d p 技术 相对于传统备份技术所具有的优势，以及c d p 系统的典型架构进行了详细论述。 最后在这些理论的基础上实现了一种基于逻辑卷管理器的连续数据保护系 统一- - s n a p c d p ，它可以利用较短的时间将数据恢复到用户设定的任何历史时 间点。在文章的最后部分对s n a p c d p 系统的i o 性能进行了分析和测试。 关键字：连续数据保护备份技术r t or p o a b s t r a c t a b s t r a c t w i t ht h ef a s td e v e l o p m e n to ft h ei n t e m e ta n dt h ev a s tu s eo ft h ec o m p u t e rs y s t e m ， m o d e r nc o m p a n i e s o p e r a t i o n sa r em o r ea n dm o r ed e p e n d e n to nt h ei n f o r m a t i o n t e c h n o l o g y t h ed i s a s t e rt o l e r a n c et e c h n o l o g yw a si m p r o v e du n d e rt h i sb a c k g r o u n d b u ti nt h er e c e n ty e a r s ，a st h eq u a n t i t yo ft h ed a t aw a s l a g e ra n dl a r g e r , t h et r a d i t i o n a l b a c k u pt e c h n o l o g y , s u c ha sf u l lc o p ya n di n c r e m e n tc o p y , a n de v e ns n a p s h o t t e c h n o l o g yc a nn o ts o l v et h ep r o b l e ma sw ee x p e c t i tm a i n l ys h o w si t sw e a kp o i n t s t ou si nt h r e ea s p e c t s ：f i r s to fa l l ，s o m eb u s i n e s s e sn e e dt ob er e s t o r e dt oa n y h i s t o r i c a l t i m ep o i n t ；s e c o n d l y , w h e nd a t ad i s a s t e rh a p p e n s ，s o m eb u s i n e s sd on o ta l l o wm u c h d a t al o s sa f t e rr e s t o r i n gt ot h eh i s t o r i c a lp o i n t a n dt h er e s u m i n gt i m es h o u l db ea s s h o r ta sp o s s i b l e c o n t i n u o u sd a t ap r o t e c t i o ni sak i n do ft h ed a t ap r o t e c t i o n sw i t hc o n t i n u o u s r e c o v e r yt i m ep o i n t s i tc a r lr e s u m ed a t at ot h eh i s t o r i c a ls t a t e sa sq u i c k l ya sp o s s i b l e c o m p a r e dt ot h et r a d i t i o n a ld a t ap r o t e c t i o nm e t h o d s ，c d pc a ns u p p l ym o r ef l e x i b l e r e c o v e r yp o i n to b j e c t i v e s ( r p o ) a n dm o r ea c t u a lr e c o v e r yt i m eo b j e c t i v e s ( r t o ) w i t hc d pt e c h n o l o g y , y o uc a nc a t c ht h ec h a n g ee v e n t so ft h ed a t a , n o to n l yt h et i m e p o i n t st h a ty o uc h o s ep r e v i o u s l y y o uc a nv i s i tt h e s ed a t aa n yt i m ey o uw a n tw i t h o u t m u c hd a t al o s sa sh a l t i n gt h es y s t e m t h i st e c h n o l o g yc o m e su p ，s o l v i n gt h ew e a k p o i n tl o w r e c o v e r ya b i l i t ya n dc o a r s e rp r o t e c t i o ng r a n u l a r i t i e s f i r s t l y , t h i sp a p e rg i v e sa ni n t r o d u c t i o no ft h ed i s a s t e rt o l e r a n c et h e o r ya n di t s d e s i g ni n d i c a t o r s t h e ni tp o i n t so u tt h et r a d i t i o n a lp r o t e c t i o nt e c h n o l o g i e sc a nn o t m e e ta 1 1t h ea p p l i c a t i o n s n e e d sn o w a f t e rt h a t i tc a r r i e so u tt h ed e t a i ls t a t e m e n t0 1 1 t h et y p i c a la r c h i t e c t u r ea n dt h ed e f e r e n c eb e t w e e nc d p t e c h n o l o g ya n dt h et r a d i t i o n a l t e c h n o l o g y f i n a l l y , o nt h eb a s i so ft h et h e o r y , i tr e a l i z e st h ec d ps y s t e mb a s e do n l o g i c a lv o l u m em a n a g e r i tc a nr e s u m et h ed a t at ot h ea n yh i s t o r i c a lp o i n t si nav e r y s h o r tt i m e t h ei op e r f o r m a n c ea n a l y s i sa n dt e s to fs n a p c d pw a s g i v e n a tl a s t k e yw o r d s ： c o n t i n u o u sd a t ap r o t e c t i o n , b a c k u pt e c h n o l o g y , r t o ，r p o 图目录 图目录 图1 - 1 一种本地块设备级容灾典型方式。4 图1 2 异地容灾示意图5 图1 3 容灾系统三级体系结构示意图8 图2 - 1数据保护技术发展示意图1 2 图2 2 全量备份示意图1 3 图2 - 3 增量备份示意图1 4 图2 _ 4 分裂镜像方式创建快照1 6 图2 5 按需拷贝方式创建快照1 7 图2 - 6 虚拟指针方式示意图1 8 图2 7 本地镜像( r m d 1 ) 示意图1 9 图2 - 8r a i d l 中的读写操作。1 9 图2 - 9r a i d 5 中的小写操作2 0 图3 1传统备份技术与c d p 技术的对比2 4 图3 - 2t h el o g g i n ga r c h i t e c t u r e 。3 0 图3 - 3t h es p l i t s t r e a ma r c h i t e c t u r e 31 v l 图目录 图3 - 4t h es p l i t d o w n s t r e a ma r c h i t e c t u r e 。3 2 图3 - 5t h ec h e c k p o i n t i n ga r c h i t e c t u r e 3 3 图4 - 1 逻辑卷管理器原理图3 5 图4 - 2l v m 在l i n u x 内核中的层次。3 6 图4 3l v m 逻辑卷读写请求处理流程3 7 图4 4s n a p c d p 工作原理3 8 图4 - 5s n a p c d p 模块关系图4 0 图4 - 6c d p 卷数据布局。4 1 图4 7时间点区域详细数据布局4 3 图4 8 元数据区域详细数据布局4 3 图4 - 9 更新c d p 卷的步骤图4 4 图4 1 0 写请求处理流程图4 6 图4 1 1 源卷c h u n k 数据向c d p 逻辑卷写前拷贝流程4 8 图4 1 2时间点单元空间复用流程j 5 0 图4 1 3 数据恢复示意图_ 5 1 图4 1 4 不同情况下数据回滚方向5 2 图5 - 1两窗口服务串联模型状态流图5 5 v i i 图目录 图5 2 图5 3 l o p s 负载情况图5 9 e x t 2 文件系统层面随机写i o 吞吐率。6 0 图5 _ 4e x t 2 文件系统层面随机读i o 吞吐率。6 1 图5 5 不同粒度窗口下的最近恢复时间二6 2 图5 - 6 数据恢复速率6 3 v i i i 南开大学学位论文版权使用授权书 本人完全了解南开大学关于收集、保存、使用学位论文的规定， 同意如下各项内容：按照学校要求提交学位论文的印刷本和电子版 本扣学校有权保存学位论文的印刷本和电子版，并采用影印、缩印、 扫描、数字化或其它手段保存论文；学校有权提供目录检索以及提供 本学位论文全文或者部分的阅览服务；学校有权按有关规定向国家有 关部门或者机构送交论文的复印件和电子版；在不以赢利为目的的前 提下，学校可以适当复制论文的部分或全部内容用于学术活动。 学位论文作者签名：五锋 矽缪年奶日 经指导教师同意，本学位论文属于保密，在年解密后适用 本授权书。 指导教师签名：学位论文作者签名： 解密时间：年月日 各密级的最长保密年限及书写格式规定如下： 南开大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，进行 研究工作所取得的成果。除文中已经注明引用的内容外，本学位论文 的研究成果不包含任何他人创作的、已公开发表或者没有公开发表的 作品的内容。对本论文所涉及的研究工作做出贡献的其他个人和集 体，均已在文中以明确方式标明。本学位论文原创性声明的法律责任 由本人承担。 学位论文作者签名：王锋 伊芳年g - 月e t 第一章数据容灾理论概述 第一章数据容灾理论概述 从一个计算机系统的角度讲，一切引起系统非正常停机的事件都可以称为灾 难。大致可以分成以下三个类型：一、自然灾害，包括地震、火灾、洪水、雷 电等，这种灾难破坏性大，影响面广；二、设备故障，包括主机的c p u 、硬盘等 损坏，电源中断以及网络故障等，这类灾难影响范围比较小，破坏性小；三、 人为操作破坏，包括误操作、人为蓄意破坏等等。 容灾是一个范畴比较广泛的概念h 3 ，广义上，我们可以把所有与业务连续性 相关的内容都纳入容灾。容灾是一个系统工程，它包括支持用户业务的方方面 面。而容灾对于i t 系统而言，就是提供一个能防止用户业务系统遭受各种灾难 影响破坏的计算机系统。它表现为一种未雨绸缪的主动性，而不是在灾难发生 后的“亡羊补牢 。 从狭义的角度，我们平常所谈论的容灾( d i s a s t e rt o l e r a n c e ) 是指，在上 述的灾难发生时，在保证生产系统的数据尽量少丢失的情况下，保持生产系统 的业务不问断地运行。通常的做法是在生产站点以外，另外建立的冗余站点， 当灾难发生，生产站点受到破坏时，冗余站点可以接管用户正常的业务，达到 业务不问断的目的。为了达到更高的可用性，许多用户甚至建立多个冗余站点， 进行大规模的冗余备份。 容错( f a u l tt o l e r a n c e ) 不同于容灾。容错指在计算机系统的软件、硬件 发生故障时，保证计算机系统中仍能工作的能力。容错和容灾最大的区别是， 容错可以通过硬件冗余、错误检查和热交换再加上特殊的软件来实现，而容灾 必须通过系统冗余、灾难检测和系统迁移等技术来实现。当设备故障不能通过 容错机制解决而导致系统宕机时，这种故障的解决就属于容灾的范畴。 另外一个容易和容灾混淆的概念是灾难恢复( d i s a s t e rr e c o v e r y ) ，灾难恢 复指的是在灾难发生后，将系统恢复到正常运作的能力。灾难恢复和容灾的区 第一章数据容灾理论概述 别是，容灾强调的是在灾难发生时，保证系统业务持续不间断地运行的能力， 而灾难恢复强调的是灾难之后系统的恢复能力。一般地，一个完整的容灾系统 都包含着灾难恢复的功能。 第一节数据容灾的应用背景 随着计算机系统的广泛应用和i n t e r n e t 技术的飞速发展，现代企业的运营 对于信息技术的依赖程度日益增强，特别是，各类数据已经成为企业正常运作 的重要基础嘲。而现实社会中，系统硬件损坏、网络故障、机房断电甚至火灾、 地震等自然或人为的灾难都可能会导致关键数据的丢失和损坏，进而会对企业 造成致命的打击。而且随着技术的发展，附网存储( n a s ) 和存储区域网络( s a n ) 在企业中的应用日益广泛，企业的数据存储更加集中，灾难对数据的损害则更 加严重。 一 2 0 0 1 年，美国9 1 1 事件前约有3 5 0 家企业在世贸大楼中工作。恐怖袭击一 年之后，存活下来的公司只剩下了1 5 0 家，有2 0 0 家企业由于无法存取原有关 键的数据而倒闭。以摩根斯坦利为代表的有着完善容灾措施的一批金融企业在 ”9 1 l ”事件后用很短的时间恢复正常运作，将损失降低到最小，而大部分律师 事务所由于缺乏容灾措施则损失惨重。2 0 0 3 年，国内某电信运营商的计费存储 系统发生两个小时的故障，造成4 0 0 多万元的损失。这些还不包括导致的无形 资产损失。 据i d c 的统计数字表明口3 ，美国在2 0 0 0 年以前的1 0 年间发生过灾难的公司 中，有5 5 当时倒闭，剩下的4 5 中，因为数据丢失，有2 9 也在两年之内倒 闭，生存下来的仅占1 6 。g a r t n e r g r o u p 的数据也表明，在经历大型灾难而导 致系统停运的公司中有2 5 再也没有恢复运营，剩下的公司中也有1 3 在两年 内破产。根据有关机构统计，对关键业务运行要求最高的银行业，每次计算机 系统宕机导致的损失平均为1 0 0 0 万美元，同时还会导致对公司声誉无法估量的 无形资产损失，而采取灾难恢复方案总共花费平均只需1 0 0 万美元。 2 第一章数据容灾理论概述 因此，数据容灾是一种可以利用较小成本的投资换取企业可靠的运作保证的 关键技术。为保障组织的业务连续运作和灾难生存能力，企业或政府必需建立 具有高可用性和灾难恢复能力的i t 系统。 第二节数据容灾的发展 从计算机系统的诞生之日开始，容灾就伴随着信息处理系统的发展而产生。 而随着信息处理系统的应用领域越来越广泛，应用越来越普及，处理的数据规 模呈指数级增长；随着人们对信息处理系统的依赖程度越来越强；人们对容灾 系统的高性能与可靠性的要求越来越高，尤其是要求灾难发生后，业务恢复速 度越来越快。 早期的i t 系统处于辅助地位，仅替代部分业务流程，原始的业务处理过程 基本保留，信息处理量相对较少，人们对i t 系统的依赖程度较低。这时候人们 只是在强调i t 系统和业务的可恢复性，7 2 小时的恢复时间是可以接受的。而手 动停机的数据备份作为主要的手段即可满足实际需求1 。 到了9 0 年代，i t 软硬件、网络应用技术都得到了空前的发展，人们开始大 规模地将i t 技术应用到业务处理流程中去，i t 系统成为支持各项业务的关键平 台，很多企业利用i t 系统将各项业务整合为高度互动的业务体系。i t 系统已成 为业务流程中最重要的基础设施之一，i t 系统的容灾能力的高低就直接关系到 企业的生存问题，i t 系统的高可用性和可靠性随3 ，成为人们必须考虑的关键性 问题。这时7 2 小时的恢复时间对于一些业务来说是不能满足需要的，它们要求 更短的恢复时间和恢复点目标，一般的恢复时间要求在4 小时到2 4 小时之间。 而进入2 1 世纪，i t 系统己由i n t r a n e t 扩展到e x t r a n e t ，由分立的应用系 统向应用集成方向发展，特别是一些电子商务应用，全球性跨国企业业务，实 时处理业务，他们提出了3 6 5 天7 x 2 4 小时不问断服务的需求。4 小时到2 4 小 时的停机将对它们造成不可弥补的损失。这时i t 系统需要7 x 2 4 小时的连续可 用性，灾难发生后，需要迅速地恢复到正常服务的状态，并且数据的丢失容忍 3 第一章数据容灾理论概述 限度也更加严格。 第三节数据容灾的分类与应用 1 3 1 根据实施地域分类 根据实施地域的不同，容灾可以分为本地容灾与异地容灾。本地容灾系统为 了预防由于用户的错误操作或者硬件失效等原因而导致的数据丢失而对数据进 行本地的冗余存储，无异地后援。这一级别的容灾，仅能应付本地的硬件损坏 或人为因素造成的灾难。本地容灾的主要手段是容错和备份。r a i d 技术作为一 种典型的本地容灾技术就是通过对数据进行容错校验，并将数据条文本地保存 来实现的。图卜1 是在级块设备级别上实现一种的典型的本地容灾技术：r a i d 容错结合本地实时数据镜像技术。 图i - i一种本地块设备级容灾典型方式 异地容灾，相对于本地容灾，就是在相隔较远的异地建立起一套或多套功能 相同的备份系统。当主系统发生灾难不能继续提供服务时，备份系统可以迅速 4 第章数据窖灾理论概述 接管服务，对外提供种高可用的服务系统 目1 0 异地容灾示意蚓 j 系统； 日前，大多数企业和部门都采取系统定期检测与维护、取机热备、磁盘镜像 或容错、备份数据异地存放、关键数据冗余等灾难预防措施。”j 。这些措施一般 能够进行数据各份，并且在系统出现故障时能够进行系统恢复，但是这种措施 只能饿复计算机单点故障，而对x l 域性毁灭性的故障束手无策。因此异地容灾 技术对提高系统的高可用性和高可靠性应用更加广泛。 i3 2 根据对灾难的抵抗程度分类 根据容灾系统对灾难的抵抗程度，可分为3 个级别：数据级别、应用级别和 业务级别o 。“1 。 数据级别容灾的关注点在于数据，即灾难发生后u 丁以确保用户原有的数据不 会丢失或者遭到破坏。数据级容灾较为基础，其中，较低级别的数据容灾方案 仪需利用磁带库和管理软件就能实现数据异地备份，达到容灾的功效：而较高 级的数据容灾方案则是依靠数据复制工具，例如眷复制软件，或者存储系统的 硬件控制器，实现数据的远程复制。数据级别容灾是保障数据可用的最后底线， 当数据丢失叫能够保证应用系统可以重新得到所有数据。从这种意义上讲，数 第一章数据容灾理论概述 据备份属于该级别容灾，用户把重要的数据存放在磁带上，如果考虑到高级别 的安全性还可以把磁带运送到远距离的地方保存，当灾难发生后，从磁带中获 取数据。该级别灾难恢复时间较长，仍然存在风险，尽管用户原有数据没有丢 失，但是应用会被中断，用户业务也被迫停止。 应用级容灾是在数据级容灾的基础上，再把执行应用处理能力复制一份，也 就是说，在异地建立一套完整的、与本地数据系统相当的备份应用系统( 可以同 本地应用系统互为备份，也可与本地应用系统共同工作) 。应用级容灾系统能 提供不间断的应用服务，让用户应用的服务请求能够透明地继续运行，而感受 不到灾难的发生，保证信息系统提供的服务完整、可靠、安全。一般来说，应 用级容灾系统需要通过更多软件来实现，它可以使企业的多种应用在灾难发生 时进行快速切换，确保业务的连续性n 朝。 。 数据级容灾和应用级容灾都是在i t 范畴之内，然而对于正常业务而言，仅 i t 系统的保障还是不够的。有些用户需要构建最高级别的业务级别容灾。业务 级容灾的大部分内容是非i t 系统，比如电话、办公地点等。当一场大的灾难发 生时，用户原有的办公场所都会受到破坏，用户除了需要原有的数据、原有的 应用系统，更需要工作人员在一个备份的工作场所能够正常地开展业务。即在 灾难出现后，远程应用系统迅速接管或承担本地应用系统的业务运行。 数据容灾是应用容灾的基础，没有数据的一致性，就没有应用的连续性，应 用容灾也是无法保证的n 引。应用容灾则是在数据容灾之上，建立一套与生产系 统相当的备份应用系统。而数据容灾和应用容灾共同为业务容灾的实现提供了 保障。 1 3 3 根据恢复时间、恢复能力等级分类 设计一个容灾备份系统，需要考虑多方面的因素，如备份恢复数据量大小、 应用数据中心和备援数据中心之间的距离和数据传输方式、灾难发生时所要求 的恢复速度、备援中心的管理及投入资金等。根据这些因素和不同的应用场合， 6 第一章数据容灾理论概述 通常可将容灾备份分为四个等级n 4 1 副。 第o 级：没有备援中心 这一级容灾备份，实际上没有灾难恢复能力，它只在本地进行数据备份，并 且被备份的数据只在本地保存，没有送往异地。 第1 级：本地磁带备份，异地保存 在本地将关键数据备份，然后送到异地保存。灾难发生后，按预定数据恢复 程序恢复系统和数据。这种方案成本低、易于配置。但是在灾难发生时，数据 的丢失量大，并且系统需要很长的恢复时间，大量数据难以及时恢复的问题， 无法保持业务的连续性。为了解决此问题，灾难发生时，先恢复关键数据，后 恢复非关键数据。 第2 级：热备份站点备份 在异地建立一个热备份点，通过网络进行数据备份。也就是通过网络以同步 或异步方式，把主站点的数据备份到备份站点，备份站点一般只备份数据，不 承担业务。当出现灾难时，备份站点接替主站点的业务，从而维护业务运行的 连续性。 第3 级：活动备援中心 在相隔较远的地方分别建立两个数据中心，它们都处于工作状态，并进行相 互数据备份。当某个数据中心发生灾难时，另一个数据中心接替其工作任务。 这种级别的备份根据实际要求和投入资金的多少，又可分为两种： 两个数据中心之间只限于关键数据的相互备份： 两个数据中心之间互为镜像，即零数据丢失等。零数据丢失是目前要求 最高的一种容灾备份方式，它要求不管什么灾难发生，系统都能保证数 据的安全。所以，它需要配置复杂的管理软件和专用的硬件设备，需要 投资相对而言是最大的，但恢复速度也是最快的。 7 第一章数据容灾理论概述 第四节三级体系结构的容灾系统 一般来说，为了保护数据安全和提高数据的持续可用性，在容灾系统的设计 过程中企业要从m i d 保护、冗余结构、数据备份、故障预警等多方面考虑。一 套完整的容灾系统应该包括本地数据备份系统、远程数据复制系统、本地高可 用系统和远程高可用系统。对于那些关键业务不能中断的用户和行业如电信、 海关、金融行业来说更应如此。 图1 3 容灾系统三级体系结构示意图 目前比较完善的容灾系统设计一般为三级体系结构的容灾系统，整套系统包 括存储、备份和灾难恢复部分n6 州。 l 、第一级：数据存储子系统 为了避免系统单点失败( s p o f ，s i n g l ep o i n t - o f f a il u r e ) 而影响整个系统 的情况出现，采用了冗余的手段，大到主机，存储设备，小到光纤适配器，均 具备冗余容错功能。数据存储子系统就是运用冗余的思想，使用容错技术来构 建本地高可用系统，在本地硬件故障出现时保证数据不丢失和系统的正常运行。 第一苹数据容灾理论概述 其主要技术包括： ( 1 ) 硬件部件冗余。冗余的硬件主要包括电源适配器、风扇、存储子系统 控制器、磁盘、内存和各种固件。 ( 2 ) 数据冗余。根据不同的容灾需要选择不同的r a i d 或其他冗余编码技术， 利用数据的冗余提高数据存储子系统的可靠性。 ( 3 ) 路径冗余。通过增加冗余路径来解决由于数据传输路径失效而导致整 个系统不可用的问题。 2 、第二级，数据备份子系统 数据备份子系统主要包括本地备份子系统和远程备份子系统两部分。 本地备份子系统是将系统的数据和状态，按照一定的周期转存到本地冗余的 物理存储设备上，实现数据的本地备份。同时，本地数据副本也可以和原数据 一起对外提供服务，提高了系统的并发访问度和系统的简单地负载均衡。 远程备份子系统就是为了尽可能地避免因数据丢失或损坏而造成的数据灾 难，而在本地建立生产中心，在远端建立一个或多个容灾中心，将数据从生产 中心复制到各个容灾中心，形成一个或多个生产中心的远程镜像，使得对数据 的访问操作即使在生产中心崩溃的情况下仍然可以正常完成。 3 、第三级，灾难恢复子系统 数据容灾的关键就是使系统数据中心在发生灾难时能够在尽可能少的数据 损失的前提下，迅速恢复数据和状态，不间断地对外提供服务。因此灾难恢复 子系统也是整个容灾系统中最为重要的组成部分之一。根据数据备份子系统的 工作方式可以分别采取通过切换到本地数据副本还是远程数据副本的方式来恢 复，或者利用数据副本对原数据进行修补的方式来恢复。数据备份子系统的工 作方式决定了灾难恢复的方式、恢复过程中的数据丢失量以及数据恢复的时间 长短。这也是衡量一个容灾系统性能好坏的一个标准。 这套三级体系容灾方案具有高度的可用性。三级体系的科学设计保证了数据 容灾系统的高度可用性和可靠性。 9 第一章数据容灾理论概述 第五节衡量容灾系统的主要设计指标 要建设容灾工程必须提出容灾系统设计指标，作为衡量和选择容灾解决方案 的参数n 6 17 。目前，国际上通用的容灾系统的评审标准为i b m 公司的s h a r e 7 8 ： 备份恢复的范围 灾难恢复计划的状态 业务中心与容灾中心之间的距离 业务中心与容灾中心之间如何相互连接 数据是怎样在两个中心之间传送的 允许有多少数据被丢失 怎样保证更新的数据在容灾中心被更新 容灾中心可以开始容灾进程的能力 s h a r e 7 8 只是建立容灾系统的一种评审标准，在设计容灾系统时，还需要提 供更加具体的设计指标。建立容灾系统的最终目的，是为了在灾难发生后能够 以最快的速度恢复数据服务，所以，容灾中心的设计指标主要与容灾系统的数 据恢复能力有关。而目前越来越多的企业应用提出了3 6 5 天7 x 2 4 小时不问断服 务的需求。而满足这种需求的前提就是能够使容灾系统的能力能够达到在数据 灾难爆发后能够迅速甚至立即能够将数据状态恢复到灾难爆发前的某个时刻继 续提供服务，同时尽可能的减少数据的丢失。因而在容灾系统的设计过程中， 最常见的设计指标有：r t o 和r p o 。 r p o ( r e c o v e r yp o i n to b j e c t i v e ) ：即数据恢复点目标，它是反映恢复数据完 整性的指标，主要指的是新业务系统恢复后所能容忍的数据丢失量。在同步数 据复制方式下，r p o 与数据传输时延的时间有关；而在异步数据复制方式下，r p o 则与异步传输数据排队的时间有关。 r t o ( r e c o v e r yt i m eo b j e c t i v e ) ：即恢复时间目标，主要指的是所能容忍的 业务停止服务的最长时间，也就是从灾难发生到业务系统恢复服务功能所需要 的最短时间周期。 1 0 第一章数据容灾理论概述 r p o 针对的是数据丢失，而r t o 针对的是服务丢失，二者没有必然的关联性。 同时，各种容灾解决方案的r t o 有较大差别，根据s h a r e 7 8 标准，容灾技术可 以分为若干级别层次，数据和应用的恢复时间从数天到几个小时甚至几秒。r p o 与r t o 越小，系统的可用性就越高，当然用户需要的投资也越大。r t o 和r p o 的 确定必须在进行风险分析和业务影响分析后根据不同的业务需求确定。对于不 同企业的同一种业务，r t o 和r p o 的需求也会有所不同。例如：基于光通道技术 的同步数据复制，配合异地备用的业务系统和跨业务中心与备份中心的高可用 管理，这种容灾解决方案具有最小的r t o 。容灾系统为获得最小的r t o ，同样需 要投入大量资金。 当然，设计容灾系统不能只看r t o 和r p o ，对于不同的业务系统和用户特殊 的要求，其他一些指标有可能成为选择容灾解决方案的主要因素。譬如，某些 地区为了防范一些特定自然灾害的风险，要求容灾备份中心与业务中心保持足 够的距离，在这种情况下，容灾备份中心与业务中心的距离要求，成为容灾系 统的重要指标口5 1 副。 另外，由于数据量的指数级增长，利用简单的备份技术实现的容灾系统，要 求本地备份中心和远程备份系统提供更多的存储空间来实现数据的冗余，这样 也无形中提高了容灾系统的造价。同时，由于额外的备份操作对原数据读写性 能有一定的负面影响，备份数据量越大，i l o 次数越多，就会降低业务在线处理 性能。在保证r p o 和r t o 等技术指标的前提下，降低数据拷贝量，不仅能够提 高业务处理性能，节省备份中心冗余空间，甚至还能反过来降低数据恢复时间。 下文在对目前主流的备份技术进行介绍的同时，在已有备份技术的基础上， 结合连续数据保护( c d p ，c o n t i n u o u sd a t ap r o t e c t i o n ) 的应用，提出了一种 新的c d p 解决方案，可以在较低r p o 和r t o 的指标和较低的冗余备份数据量的 前提下，将数据迅速恢复到灾难爆发前的某些时间点。 第二罩数据保护技术及发展 第二章数据保护技术及发展 数据保护是针对信息丢失和滥用提供的保护，从信息安全角度来看，就是确 保数蚶的保密性、完整性和n 丁用性。数据保护技术是容灾领域中至关重耍的技 术，除了以r a i d 技术为代表的传统的数据冗余校验的方式实现对数据的保护之 外，另一种重要的技术就是咀备份的思想为基础的数据备份技术”。本论文所 研究的内容就是以数掘备份技术为中心实现数据容灾的日标。幽此有必要对数 据备份领域中的关键技术进行一下详细介绍。 数据备份技术根据数据保护的级别由低到高主要分为：传统各份、本地复制、 远程复制、实时连续复制等方案。其中传统备份( b a c k u p ) 主要包括磁带备份、 磁盘备份：本地复制主要包括快照( s n a p s h o t ) 和本地镜像( 如p i i d o 技术) ； 远程复制( m i r r o r ) 包括异步镜像、同步镜像；而保护级别最高的实时连续复 制技术就日前而言，主要指的就是连续数掘保护技术( c o n t d u o u sd a t a p r o t e c t l o d ) 。 幽2 - 1 数据保护技术发展示意酗 1 2 第二章数据保护技术醍发展 当然不同的数据保护方案的实施的相对成本也有很大差别，由罔2 1u r 见， 提高数据保护级别意味着方案的实施成本也迅速增加，需要更多的资金投入 才能实现。 同时随着保护级别的提升，备份方案的侧重点也在发生着变化。如果说从 前备份数据的日的是保证关键数据不丢失的话，那么现在数掘备份的目标是在 发生数招灾难后能行以最快的速度恢复数据，从而尽可能侠的恢复业务降低损 失。可见，如今的数据备份更强调数据的恢复，而非备份数据的介质和途径。 第一节传统备份技术 2 1 1 全量备份和增量备份 ( 1 ) 全量备份： 传统的备份技术就足每次备份操作都把存储系统中的所有文件和数据都备 份起柬，这就是全量备份。为提高安全性，备份软件还可以对备份介质上的数 据进行复制，以防止备份介质损害而导致数据丢失。在一个备份周期中全量 备份需要拷贝所有的文件而不去关心这些文件是否被修改过成本较高且数据 管理较为复杂。全量备份通常每周进行次，这意味着那些在最近周内新被 改变或创建的文件在出现问题后无法顺利恢复，安全性较低。另外，备份过程 需要停机进行，备份时间和数据景的大小成币比，因此用户在系缆进行各份或 恢复的较长时间内不能对数据进行防问，造成业务延误。在对l t 技术发展的初 期，备份与恢复窗口要求不高的情况下伞量备份完全可以满足需求。 一a c br o t h , ：篙嚣： 三“翟r 自 固 圈2 - 2 全员备份示意图 第一章数据保护技术及发展 2 ) 增量备份： 为了在连续两次伞量备份的糊隙中也能够剥数据进行保护，就要用到增量备 份。在增量备份方式中，只有存最近一次全量备份完成之后新被改变或创建的 文件才会被拷r d t 至u 备份设备中去。这样就可以在不需要频繁的全奄备份的前提 f 更高教地刑新创建或更改的文件进行保护。增量备份通常每天进行一次，而 且是在系统相对空闲的时候进行。每做次增量各份要创建新的恢复点，并要 已录下新创建或更新的文件。在以网络为载体而进行的远程数据备份中，山于 只有更新过的立件部分数据网络中传输，增量各份还能够减少网络中的数据流 量。 u n c h a 口d f ks y m e mn c h m g e dd a t a t a p el i b r a r y 图2 - 3 增量备份示意幽 = ：l ： 全量备份的缺点比较明显，一是读写整个文件系统非常耗时，二是存放整个 源立件系统的拷贝需要耗费大量的存储空间。增量备份只对时一次备份操作以 来被更新或创建的文件进行备份，减少丁备份量。在进行恢复数据时则需按照 时间顺序用一连串的增量备份逐个恢复，直到获得目的数据状态为止。在实际 业务中，可以将对两种备份方式相互结合通常的备份方案是每周作一次全量 备份，每天进行一次增量备份，通过结合上述两种备份方式对数掘进行高效的 保护。 2l2 基于文件级和设备级的备份方式 文件由逻辑块组成，返些逻辑块通常都有固定的大小，每个逻辑块对应于一 个物理块，但是一个文件中相邻的逻辑块有可能会映射到不相邻的物理块中 例如，u n i x 使用了i n o d e 结构保存映射关系，i n o d e 结构中含有指向并个物理 块的指针( 包括阃接指针和三级指针) ，这些连续存放在j n o d e 中的指针通常指 14 第二章数据保护技术及发展 向了不连续的物理块。 备份操作既可以在文件系统级别上也可以在设备级别上进行。基于文件级的 备份系统能够很好地利用文件系统中的控制信息来获知文件的结构并对所需的 文件和目录进行拷贝。这种备份方式利用了诸如i n o d e 中的指针找到对应的物 理块对其进行备份，因此，备份软件可以将某个特定文件的所有物理块查找出 来并连续写入备份设备中，使得对单个文件的备份与恢复操作变得非常迅速。 但是，以文件为单位进行备份有时也会降低备份速度，因为当一个文件的物理 块在磁盘中不是连续存放时就会导致磁盘的寻道操作大量增加，从而增加了磁 盘操作的总开销，降低了磁盘的数据吞吐率。另一个缺点是在基于文件级的增 量备份中，即使是对一个文件只做了很小的改动，也会涉及整个文件的拷贝。 相比之下，基于设备级的备份则忽略文件结构信息，而直接对物理块进行连 续拷贝，从而降低了磁盘的寻道操作量，提高了备份效率。但这种方式却降低 了对某个特定文件的备份与恢复速度，因为文件的物理块可能不会连续存放在 备份设备中，读写效率较低。另外，这种方式的可移植性稍差。 2 1 3 传统备份技术的不足 企业之所以要对数据进行备份，是因为必要的时候需要对数据进行恢复，这 是一个相当耗时的过程n8 2 别。企业中传统的数据保护方案是在数据中心定期地把 数据备份到磁带上，然后把磁带运送到一定距离以外的安全地点加以保存，当 数据中心的数据损坏时再取回磁带进行恢复。另一方面，由于数据量的急剧增 长，对当前数据进行简单的全量或增量备份，会导致数据的备份量急剧增长， 备份窗口过大。同时备份数据越多、传输距离越远则所需时间越长，进而导致 将数据恢复到所需状态的恢复时间过长，而在恢复期间，有数据读写请求的所 有应用业务都处于阻塞状态，导致业务处理延时，从而直接或间接造成巨大经 济损失，这对于大多数企业来说都是无法忍受的。 1 5 第二章数据保护技术及发展 第二节快照技术 快照( p o i n t - i n t i m ec o p y ) 就是对一个处于连续变化状态中的数据集而言， 要获得这个数据集在某个时刻的一个瞬间拷贝，这个拷贝能够准确反映出数据 集在该时刻的数据内容。一个快照的数据对应则一个时间点，即用户在恢复数据 的时候只能恢复到快照创建的那个时刻。快照技术的难点在于数据集处在不断 变化的情况下，如何在瞬间完成对数据集的所有拷贝团1 。 在快照系统的设计和实现过程中，基本可以考虑通过以下三种方式来实现： 2 2 1 分裂镜像( b r e a kam i r r o r ) 在所要求产生快照的时间点( p o i n t - i n t i m e ) 到来之前，预先创建一个对 源数据的完整的物理镜像拷贝。在创建快照之前，需要时刻维持源数据和镜像 之间的同步。任何对源数据的更新操作都会在后台提交到镜像中去。当需要创 建快照的时刻到来则立即切断镜像和原数据设备的同步，从而通过镜像拷贝获 得一份数据快照。由于这种快照是对源数据的一份完全的物理拷贝，创建速度 可能较慢，因为更新操作所需时间与需要同步的数据量大致成正比。如图2 - 4 所示。 u p d a t e sf f m p r i m a r ya p p l i c 砸i o n 1 1 国囝融 b m a kh e 隧i r m r 囝囝囝 m a s e rm i r r o r 3 一m i r r o r m a 蛐计m i r r o r s e p a r 甜e d m i r m r 图2 _ 4 分裂镜像方式创建快照 1 6 第二章数据保护技术及发展 2 2 2 按需拷贝( c o p yo nd e m a n d ) 如图2 5 所示，按需拷贝就是在所要求产生快照的时间点到来之后，才开始 创建一份对源数据的完整的物理拷贝，此时，拷贝过程开始在后台运行。在这 个后台拷贝过程中，一旦有新的写命令要求写源卷，就会触发源卷中的数据块 先被拷贝到镜像卷中，然后新数