（计算机软件与理论专业论文）基于internet的容灾系统及其管理工具的研究与实现.pdf

基于i n t e r n e t 的容灾系统 及其管理工具的研究与实现 计算机软件弓理论专业 研究生赵奎指导教师李涛 y 6 547 l 3 随着信息技术的发展，信息数据在人类的社会活动中扮演着极为重要的角 色。然而，没有任何保护措施的数据却极易受到各种自然灾害或人为因素的破 坏，其后果不堪设想。保护数据，最熏要的手段是备份。虽然传统的备份技术 在一些情况下可以有效地保护数据，但在发生诸如地震、战争、恐怖袭击等大 规模的灾难时往往无能为力。其主要原因就是因为传统的备份技术通常不能将 数据的原件和副本进行有效地分开保存，也就是说，这些技术没有异地容灾的 能力。目前的容灾系统大多采用诸如s a n ，n a s 这样的技术，s a n 的备份距 离最大，通常枉1 0 千米以内，最大不超过1 0 0 千米，且建设成本高，价格昂贵， 非一般中小企业能使用，而n a s 技术仅适合于本地存储，不适于远距离异地各 份。 本文从如何实现廉价、高效、安全和距离无限的容灾系统的角度出发，在 对数据存储、嘲络传输、数据安全等领域的最新成果进行了系统、全面的学习 和总结的基础e ，对容灾系统的结构、基于i n t e m e t 的数据传输、容灾系统的 配置和管理等方面进行了深入细致地研究，实现了一种基于i n t e m e t 的廉价的 容灾系统及时雨灾难救援中心r c ) 。 具体来说，本文的主要成果有： 实现了一种基于i n t e r n e t 的跨平台、跨地域、高效、廉价的容灾系统。 远程数据备份中心服务器的配置可以远低于本地数据中心服务器的配 置，甚至远程数据备份中心的一台服务器可以对应本地数据中心中的多 台服务器，系统拥有成本低；在系统维护上，可选择将远程备份中心全 部托管给条件成熟的i s p ，系统的使用成本低。 舞! 蘩作寄、翳颦黼藏 。匆盒文公布 耩j 。i n t e r a c t 的容灾系统及j l 管理t 具的研究，实现 实现了数据的保密传输。绝密级虚拟专线技术确保备份数据在i n t e r n e l 上传输的安全性。 实现了灾难自动切换与恢复。当本地数据中心发生灾难时，远程服务器 目动切换对外提供服务，使外界觉察不到服务的中断；当本地服务器故 障排除后，系统自动与远程服务器数据进行同步，然后重新切换为由本 地服务器提供服务，从而确保了系统的可靠性和强壮性。 实现了数字水印h 志。数字水印日志确保系统同志的连续性，不r u 更改 性，为系统的计算机取证提供了强有力的支持。 实现了方便的配置工具。图形化的配置界面，能够方便地配置网络接 j ， 系统参数，需要镜像的文件和目录等。 实现了茸观的监控界面。以图形方式直观地展现出同步状况，从而对本 地数据中心和远程数据中心数据的致性作出判断。通过监控界面，管 理员还可以随时监视本地服务器、本地网关、远程服务器、远程网关的 运行状态，即时发现系统任何一个环节的异常情况。 实现了简单友好的管理界面。管理员只需简单的操作就可实现镜像服务 的启动或停止。同样，管理员也只需要简单的操作就可以改变镜像的内 容。 提出了一种基于i n t e r n e t 的大型文件镜像模型。该模型既可运行于同步 模式，义可以运行于异步模式，能够适应多种网络状况，具有良好的、 可控的、能调的容错能力，在网络状况良好时还能获得很高的实时性。 2 0 0 3 年4 月，四川省科技厅组织专家对该系统进行了鉴定，鉴定委员会 一致认为该成果是“国内第一款基于i n t e r n e t 的跨地域、跨平台的灾难系 统，属国内首创。该项目整体技术处于国内领先水平”。 关键字：i n t e r n e t 数据备份灾难恢复容灾技术认证数字水印 t h er e s e a r c ha n d i m p l e m e n t a t i o n o fd i s a s t e r r e c o v e r y s y s t e ma n dm a n a g e m e n t t o o lb a s e do ni n t e r n e t m a i o rc o m p u t e rs o f t w a r e t h e o r y s t u d e n tz h a ok u ia d v i s o rl it a 0 w i t ht h ed e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y ，d a t ai sv e r yi m p o r t a n tt o e n t e r p r i s e s h o w e v e r , w i t h o u t a s p e c i a ld i s a s t e rr e c o v e r yp l a n ，t h ed a t ai sv e r yl i k e l y t ob el o s to rd a m a g e db yt h en a t u r ed i s a s t e r so rh u m m lm i s t a k e sa n dt h el o s s e sa r e h u g e d a t ab a c k u pi sc u r r e n t l y t h em o s ti m p o r t a n tt e c h n o l o g yt op r o t e c td a t af r o m l o s i n g a l t h o u g ht r a d i t i o n a ld a t ab a c k u pt e c h n o l o g i e sa r ee f f e c t i v e t op r o t e c td a t ai n c o n l m o nc o n d i t i o n s ，i ti sn o te n o u g hw h e nl a r g e s c a l ed i s a s t e ro c c u r ss u c ha se a r t h e a r t h q u a k e s ，w a r s ，t e r r o r sa n ds oo n t h er e a s o ni st h a tt h e s et e c h n o l o g i e sc a nn o t s a v ed a t aa n di t s c o p i e s o nd i f f e r e n ts i t e s s e p e r a t l y , i n o t h e r w o r d s ，t h e s e t e c h n o l o g i e sa r en o ti n c a p a b l eo fr e c o v e r i n gd i s a s t e r i nd i f f e r e n tp l a c e s d i s a s t e r r e c o v e r ys y s t e m sa r em o s t l yb a s e do ns a n o rn a sc u r r e n t l y s a nc o v e r st h e m a x i m u m d i s t a n c e ，r a n g i n gf r o m1 0 k i n t o1 0 0 k m ，b u ti t st o oe x p e n s i v ef o ra v e r a g e u s e r sw h i l en a si so n l ys u i t a b l ef o rl o c a ls t o r a g e t h i s p a p e rs t u d i e s h o wt oc o n s t r u c ta r t i n e x p e n s i v e ，e f f e c t i v e ，s a f e a n d d i s t a n c e f r e ed i s a s t e rr e c o v e r ys y s t e m b a s e do nt h es y s t e m a t i cs u m m a r i z a t i o no f t h er e l e v a n tw o r ko nd a t as t o r a g e ，n e t w o r kt r a n s f e ra n dd a t as e c u r i t y , t h i sp a p e r c a r r i e sar e s e a l c ho nt h es t r u c t u r e ，c o n f i g u r a t i o n ，m a n a g e m e n to fd i s a s t e rr e c o v e r y s y s t e ma n dt h et r a n s f e ro fd a t at h r o u g h i n t e r n e t a sar e s u l t o ft h e s e s t u d i e s ，a d i s a s t e rr e c o v e r ys y s t e mn a m e dd i s a s t e rr e s c u ec e n t e r ( d r c ) b a s e d0 1 2i n t e r n e ti s r e a l i z e d t h ea c h i e v e m e n t so f t h i sp a p e ra r ea sf o i l o w s ： r e a l i z e sac r o s s p l a t f o r m ，d i s t a n c e f r e e ，h i g h - p e r f o r m a n c e ，a n di n e x p e n s i v e 堆卜i n t c r n e t 的容灾系统及其管理r 具的习f 究1 j 实现 d i s a s t e rr e c o v e r ys y s t e mb a s e do ni n t e r n e t t h er e q u i r e m e n to fr e m o t eb a c k u p s e r v e ri sb yf a rl o w e rt h a nl o c a ls e r v e r , a n do n er e m o t eb a c k u ps e r v e rc a n s e r v ef o rs e v e r a ll o c a ls e r v e r s r e m o t eb a c k u pc e n t e rc a nb ed e l e g a t e dt o q u a l i f i e di s p t os a v ec o s t s t r a n s f e r sd a t ao v e rv p n ，w h i c he n s u r e st h es e c r e c yi nd a t at r a n s m i s s i o no v e r i n t e m e t t h e s y s t e mc a na u t o m a t i c a l l ys w i t c hw h e n e r r o r sh a p p e na n dr e s t o r ew h e nt h e e r r o r sa r ee l i m i n a t e d w h e nt h e r e ss o m e t h i n gw r o n gw i t ht h el o c a ls e r v e r , t h e r e m o t es e r v e rp r o v i d e ss e r v i c e sa u t o m a t i c a l l y w h e nt h el o c a ls e r v e rr e c o v e r s ， t h ed a t ai nr e m o t es e r v e ri s s y n c h r o n i z e dt ot h el o c a ls e r v e r t h e nt h el o c a l s e r v e r p r o v i d e ss e r v i c e sa g a i n r e a l i z e s d i g i t a lw a t e r m a r kl o g a l lo p e r a t i o n so f a d m i n i s t r a t o ra r er e c o r d e di n s y s t e ml o g ，a n dd i g i t a lw a t e r m a r kt e c h n o l o g yi su s e dt oe n s u r ea c c o u n t a b i l i t y a n di n t e g r i t y ，w h i c hm a k e st h el o ga 1 1a u t h o r a t i v ew a yf o rc o m p u t e rf o r e n s i c r e a l i z e sac o n v e n i e n tc o n f i g u r a t i o nt o o l ，w i t hw h i c ht h ea d m i n i s t r a t o rc a n e a s i l yc o n f i g u r en e t w o r ki n t e r f a c e s ，s y s t e mp a r a m e t e r s ，d i r e c t o r i e s a n df i l e st o b em i r r o r e da n ds oo n r e a l i z e sa ni n t u i t i o n i s tm o n i t o ri n t e r f a c eb yw h i c ht h ea d m i n i s t r a t o rc a nj u d g e t ow h i c he x t e n tt h ed a t ai nl o c a la n dr e m o t ed a t ac e n t e ra r ec o n s i s t e n t a n dt h e a d m i n i s t r a t o rc a nm o n i t o rt h es t a t u so f s e r v e r s ，g a t e w a y si nl o c a la n dr e m o t e d a t ac e n t e r sa n df i n da n ya b n o r m a le a s ei nt i m e r e a l i z e sa s i m p l ea n df r i e n d l ym a n a g e m e n t i n t e r f a c e t h em i r r o r i n gs e r v i c e s c a nb es t a r t e do rs t o p p e db yaf e ws i m p l eo p e r a t i o n s a n dt h ec o n t e n tt ob e m i r r o r e dc a nb ee a s i l yc h a n g e db yaf e w s i m p l eo p e r a t i o n s a l s o p r e s e n t sam o d e lt om i r r o r l a r g e f i l e so ni n t e r n e t ，i tc a nn l r lb o t hi n s y n c h r o n o u sm o d ea n da s y n c h r o n o u sm o d ea n da d a p t t ot h ev a r i o u sn e t w o r k c o n d i t i o n s m o r e o v e r , i t h a s e x c e l l e n t ，c o n t r o l l a b l e ，c o n f i g u r a b l e f a u l t t o l e r a n c e m o r e o v e r , i ti s ar e a lt i m em o d e lw h e nt h en e t w o r ki si ng o o d c o n d i t i o n i n a p r i l2 0 0 3 ，t h es y s t e m w a sa u t h e n t i c a t e db yt h ee x p e r t so r g a n i z e db y 1 v p 1 川人学硕l 一学位论文 s i c h u a n s c i e n c e & t e c h n o l o g yd e p a r t m e n t f h ee x p e r t sa p p r a i s e d t h a tt h e a r c h i v e m e n ti st h ef i r s to f f s i t ea n dc r o s s p l a t f o r md i s a s t e rr e c o v e r ys y s t e mb a s e d o ni n t e m e td o m e s t i c a l l ya n dl e a dt h ef i e l do f t e c h n o l o g yi nc h i n a k e y w o r d s ：i n t e m e t d a t a b a c k u p d i s a s t e rr e c o v e r yf a u l t - t o l e r a n c e a u t h e n t i c a t i o n d i g i t a lw a t e r m a r k y q 川大学硕 “学位论文 1 绪论 1 1 背景 在过去3 0 年中，随着信息技术领域的快速发展，人们对计算机技术、网络 技术的需求一自在增长。利用网络及网络| 二的服务，人们可以相互交换信件、 购买商品、安排行程或交友聊天，信息数据在人类的社会活动中扮演着极为重 要的角色。人们在得益于信息技术带来的巨人商机的同时，小得不卣对信息数 据安全问题的严峻考验：没有任何保护措施的数据极易受到各种自然灾害或人 为凶素的破坏，其后果不堪没想。据i d c 的统计数字表明：网上银行每分钟运 转中断成本为7 0 0 0 美元，企业资源管理系统为1 3 0 0 0 美元，而呼叫中心更是高 达2 7 0 0 0 美元! 美国在2 0 0 0 年以前的1 0 年问1 3 ，发，+ 过灾难的公司中，有5 5 j 。j 时倒闭，剩卜的4 5 中，冈为数据丢失，有2 9 也在两年之内倒闭，生存下 来的仅占1 6 。在自然灾难面前，目的企业的信息系统的确非常脆弱。当越来 越多的人已经习惯r 工作、生活在互联网环境中，任何关键信息系统运转的中 断或者数据的丢失都将导致不可估量的损失。 最近最有影响的例子当数“9 1 1 事件”。“9 1 1 事件”发生后，世贸大厦内 有4 0 多的公司倒闭( 这些公司都是全球有名的大公司) ，其原因就是因为这 业公司由十没有跨地域的容灾措施，造成客户资料丢失，生意无法继续。而要 组建跨地域的容灾系统，价格异常昂贵，非一般单位能够享受，世贸大厦那些 意外倒闭的公司就足很好的例子。 因此保护数据意义重大。虽然传统的备份技术在一些情况下可以有效地保 护数据，f j 在发雀诸如地震、战争、恐怖袭击等大援模的灾难时往往无憨为力。 其主要原出就是因为传统的各份技术通常不能将数据的各个副本进行有效地分 开保存，也就是说，这些技术没有异地容灾的能力。具有异地容灾能力的容灾 系统是保证现代企业正常运转的不可或缺的信息技术手段。 1 2 课题来源 本课题是李涛教授主持的四川大学计算机网络与安全研究所( n i s e c ) 众 多课题之一，n i s e c 长期致力于计算机网络与安全、电子商务、电子政务、智 能信息系统等领域的理论与技术的研究，研制成功c a 认证中心、新型智能防 璀于i n t e m e t 的容灾系统及j c 管理工具的州宄i 实现 火墙、i d s 、安全v p n 、安全电子邮件系统、安全w e b 服务器、灾难恢复系统、 多功能网络安全服务器、国库直接支付系统、政府采购系统等八大系列1 0 多个 产晶，应用范围遍及全省各地市州县乡镇。 这蝗产品的研发成功标志着我们在网络安全理论以及应用的研究上都取得 r 重要的进展，如专家所评“不仅具有大的理论意义，同时具有广阔的应用前 景”。 1 3 国内外研究应用现状 为提高系统的强壮性，周内大多采用双机镜像系统或双机热备份系统，如 陶建安发明的计算机双机容错装置，这些系统均町完成数据的实时备份，当 个服务器发生故障时，电可进行实时切换。这种系统价格昂贵，并只能在本地 局域网内实现( 往往是在一栋大楼内) ，不能跨地域，因此，其抵御风险的能力 较差，“9 u 事件”就是典型的例子。 幽际卜已经出现了一砦专业的容灾技术及产品，比较有代表性的有 v e r i s t a s 公司的v e r i t a sg l o b a lc l u s t e rm a n a g e r ( g c m ) 、v e r i t a sv o h t m e r e p l i c a t o r ( v v r ) 和v e r i t a s c l u s t e rs e r v e r ( v c s ) 等；i b m 公司的h a g e o 、 g e o r m 、t s m 、x r c 、e s sp p r c 等；e m c 公司的s h d f 以及h p 公司的 m c s e r v i c e g u a r d 等。这些产品功能较为强大，可跨地域容灾，但是普遍需要 架设光纤专线，且对远程备份中心系统配置要求很高，几乎就是要在异地建立 一套与本地系统完全模一样的信息处理中心，需要专业人员专人值守，整个 系统的建设赞用和维护费用异常昂贵。例如：i b mh a g e o 报价1 1 8 万元人民 币，v e r i t a sg c m 报价2 3 1 0 0 0 美元，且这些方案跨地域有限，一般1 0 多公 翠，若需更长距离，则费用成倍上升。这里仅是系统的建设费用，若考虑系统 运行成本，则费用更是惊人。 围外容灾系统异常昂贵的价格使我国一些一般单位望尘莫及，国内企事、i p 单位、政府机关、军队等单位的网络几乎都没有完善的容灾手段。据有关统计 资料表明，我国网络系统中拥有异地容灾技术的系统不到干分之。，一旦发生 灾难，后果不堪设想。 近年来的i n t e r n e 发展斗分迅速，带宽、速度、稳定性都与上个世纪末巧i 可 同日而语，实旌基于i n t e m e t 的异地容灾系统已成为可能。 p uj i i 大学坝i j 学位论文 在这种背景下，为推动国家的信息化进程，捍1 j 固家信息数堀交全，我们 认识到，开发高安全陛、低成本、高效率、易管理的商品化的基丁廉价的i n t e m e t 的容灾系统及其相关产品的重要性和必要性，山李涛教授主持，自筹资会，丌 展了基于i n t e m e t 的容灾系统的研制工作，并取得了丰颁的成果，迎来了7 个 具有重要意义的产品的诞生基予f n t e m e t 的容灾系统及时雨灾难救援 巾心f d r c l 。 该项目成果是困内第款基丁i n t e r n e t 的跨地域、跨平台的容灾系统，属 嗣内首创。整体技术处于国际先进、国内领先水平，部分技术居国际领先水平。 陔项日成果打破了曰外厂i ： i 的产品在这一领域的垄断地位，使我国党政军机关、 企事业单位以及学校等在选择构建自己的容灾系统时有了更多的选择，可以大 火降低其信息化j 程成本，降低产品使用的难度，增强系统的安全性、可靠性、 强壮性等，具有广阔的应用前景，对保障我幽网络基础设施的安伞往，具有深 远、重大的政治意义、社会效益和经济价值。 1 4 本文工作 本文作为d r c 整个系统的部分，实现了一种基于i n t e r n e t 的跨平台、跨 地域、高效、廉价的容灾系统，并提出了提m 了一种基_ 丁i n t e m e t 的大型文件 镜像模型。作为课题的核心，本文完成了以下工作： i ) 实现了数字水印n 志。数字水印日志确保系统r 志的连续性，不可更改 性，为系统的训算机取证提供了强有力的支持。 2 ) 实现了方便的配胃上具。图形化的配置界面，能够方便地配置网络接口， 系统参数，镜像的文件和目录等。 3 ) 实现了直观的盼控界面。以图形方式直观地展现出同步状况，从而对本 地数据中心和远程数据中心数据的一致性作出判断。通过监控界面，管 理员还可以随时监视本地服务器、本地网关、远程服务器、远程网关的 运行状念，即时发现系统任何个环节的异常情况。 4 ) 实现了简单友好的管理界面。管理员只需简单操作就可实现启动或停i r 镜像服务。同样，管理员也只需简单的操作就可以改变服务的镜像内容。 5 ) 提出了一利一基_ 丁i n ；e r n e t 的大型文件镜像模型。凌模型既可运行于同 步模式，又可以运行于异步模式，能够适应多种网络状况，具有良好的、 毕于 r t t e m e t 的容灾系统盟其管理t 具的锄f 究j 实现 可控的、能调的容错能力，在网络状况良好时还能获得很高的实时性。 1 5 论文结构 本文主要论述d r c 容灾系统及其管理工具的设计与具体实现，并介绍，其 相关理论及技术。论文结构如下： 第一章，讲述课题背景、来源，围内外研究现状及本文工作。 第：章，介绍容灾系统的概念及相关技术。 第二章，介绍整个d r c 容灾系统的总体设计。 第四章，介绍d r c 容灾系统管理工具的设计与实现。 第五章，介绍基于i n t e r n e t 的大型文件镜像模型。 第六章，对全文的总结。 1 6 小结 随着信息技术的发鹱，信息数据在人类的社会活动中扮演着极为重要的角 色。然而，没有任何保护措施的数据却极易受到各种自然灾害或人为因素的破 坏，其后果不堪设想。传统的诸如备份这样数据保护技术虽然在某些情况下可 以有效地保护数据，但在发生诸如地震、战争、恐怖袭击等大规模的灾难时往 往无能为力。具有异地容灾能力的容灾系统才能在这种情况下有效地保护数据， 是现代企业正常运转的不可或缺的信息技术手段。 4 川夫学钡卜学位论文 2 容灾系统及相关技术 2 1 什么是容灾系统 容灾系统就是通过建立和维护与原系统完全相同或相似的一个或多个冗余 系统，利用地理上分散性或数据系统的冗余性来保证数据抵御灾难的能力。 容灾系统的核心就是增加数据的冗余度。在系统发生灾难时，让同一数据 的各个副本被同时毁坏的概率降到可以接受的程度。 降低同一数据的斧个副本被同时毁坏的概率有以下两种途径： 1 ) 增加副本的数量 副本的数量越多，同时摧毁这些副本的难度就越大，概率就越低。举例来 说，假设每个副本都保存在不同的硬盘卜，有某个事件使一个硬盘损坏而导致 一个副本被破坏的概率为0 0 0 1 ，那么两个副本被同时破坏的概率就降为o 0 0 0 0 1 ， 而四个副本被同时破坏的概率就降为0 0 0 0 0 0 0 0 0 1 。因此增加副本的数量对于提 高抵御由硬件或介质失效而导致的数据灾难的能力有显著的效果。 2 ) 增加副本的相互距离 如果数据的各个副本在同一房间或者同一建筑内，那么对于诸如火灾、地 震等这样的灾害，提高副本的数量就不一定能提高数据的容灾能力。这时叫以 通过增加副本之间的距离来提高数据的容灾能力。 u 以将副本存放于不同的建筑物内，从而形成近距离的异地容灾系统来预 防火灾，也可以将副本存放于不同的城市甚至不同的国家之间来抵御象地震或 战争这样的灾难。 那容灾系统的关键是什么? 就是如何正确、高效、及时地产生满足数据完 整性的副本，以及把这些副本分布到不同的地点( 对于异地容灾) 。 2 2 容灾系统的保护对象 容灾系统保护的对象是数据，确切地况是保护数据的完整性。 数据完整性这一术语用来泛指与损坏和丢失相对的数据状态，即数据处于 种未受损的状态，它通常表明数据在可靠性和准确性上是可信赖的。 根据该定义，数据完整性的目的就是保汪汁算机系统上的数据和信息处j 一 一种完整的和未受损的状态。这意味着数据不会由于有意或无意的事件而被改 壮于i n t e r n e t 的容灾系统及其管理具的研究与实现 变或丢失。数掘完整。胜的丧失意味着发生了导致数据丢失或改变的事件。卜面 是导致数据完整性丧失的最常见的原因： 1 ) 人类 整个系统最薄弱的环节就是使用它的人。人容易犯错误，误操作会导致数 据的丢失或损坏，比如删除不用的文件时彳i 小心删除了系统文件或其它有用文 件。压力利恐慌以及疲劳都会增加人们的失误儿率。 另外有意识的破坏或蓄意报复也会导致数据的损坏。有时雇员会企图损害 公司或公司中的其他人的利益，当这些雇员，f = 未真j f 离开公司时这种行为最具 有威胁性。 2 ) 硬件故障 任何高性能的机器都不町能长久地运行卜去，这也包括计算机部件。对于 半导体器件构成的系统，理论和实践都表明元器件的失效率z ( o 随时间变化的 规律如图2 1 所示。 o 髂 蕞 水 时间t 图2 1 半导体器件的失效率 图中的曲线町分为三段。第一阶段是幼弱期， _ 于在刚制造出来的器件中， 有些带有缺陷，有些则很脆弱，因此，这个期间的失效率较高。随着缺陷器件 被筛出，脆弱器件在应力试验f 被淘汰，失效率逐渐降低。第二阶段是正常生 命期，在此期间，失效率近似等于一个常数。第三个阶段是耗损期，随着元件 的衰老，失效率丌始上升。器件的失效率与人类的死亡率十分类似，新生婴儿 死亡率随时间递减，然后进入平衡期，到老年，死f ：率又开始e 升。可见，在 元器件存在的三个阶段中，都可能发生失效，元器件的失效就可能造成系统的 故障发生，从而导致系统的不可靠。 6 p uj | i 大学碗i 学位论文 磁盘故障是计算机运行过程中最常见的故障之+ 。硬盘是- 1 种相当重要的 没备，几乎足信息系统的物质基础。但是不要盲同地相信平均无故障时| 、日，因 为制造商由于市场的压力而倾向于对产品的质量夸大其词。针对这种情况，可 以采用拥有内置兀余度的廉价冗余磁盘阵列r a i d ( r e d u n d a n ta f f a y o t i n e x p e n s i v ed js k s ) 来克服磁盘故障。 1 【) 控制器故障虽然很少发生，但的确存在。当磁盘损坏时，可以将磁盘 送到专门修复损坏磁盘数据的公司去，面由于控制器故障匝发牛的写错误却会 破坏磁盘卜的数掘，导致损坏的数据无法修复。因此，很多人选择双联磁盘来 避免这种情况的发生。 介质、设备和其他备份故障有时也会导致数据的丢失。数据存储在可移动 的介质卜作为备份，当需要恢复数据时，从备份介质中将数据拷贝回去。如果 服务器出错或被毁，则存储介质或设备的任何错误都会导致数据的丢失。 3 ) 环境因素 环境因素对系统的可靠性有着重要的影响。受到不同的环境因素，如温度、 温度、冲击、振动、电磁声、核幅射、盐雾、霉菌等的作用，系统会不同程度 地产生故障，从而降低系统的可靠性。 在高温条件下，元器件的参数会发生变化；绝缘材料变软：坚固装置松动、 接触不良；涂层起泡；氯化和其它化学反应加剧；器件老化严重。低温时，塑 料和橡胶失去柔性丽变脆、电缆断裂、结构强度降低；插头、插座、丌关等接 触不良、涂层表面龟裂：元器件参数性能降低。在潮湿、盐雾、霉菌环境中会 使绝缘电阻降低；氧化腐蚀加剧：短路现象严重。在冲击和振动情况下，会使 机械结构强度降低；结构松动或散架；甚至产生共振破坏。在电磁干扰核幅射 中，会产生严重噪声，甚至改变材料的化学、物理及电性能。总之，各种环境 因素都会使系统产生故障，从而降低其可靠性。 4 ) 设计错误 设计错误，无论软件的或是硬件的，均是由不正确概念转换为运行结构而 造成的。山于与人的创造过程密切相关，设计错误难以预测。不完善的描述、 对描述作的不正确的逻辑设计、模型实验与制造中组装错误都可能使预定的功 能产生偏差。随着软件产品复杂性的不断增加，软件危机的出现，没有科学的 管理手段、严谨的设计方法和有效的验证工具的条件下，只凭各个程序员的聪 摧于i n t e r l | e t 的容灾系统段其管理l 具的州咒畸实现 明才智和娴熟的程序设计技巧，要保证系统的正确性是不可能的。 5 ) 网络故障 在网络上，数据在机器之间传输。使两台计算机难以通讯或根本无法通讯 的任何东西都会导致数据的损坏或丢失。 网卡和驸动程序的故障在大多数情况下并不损害数据，它们仪仅使用户无 法访问数据。但当服务器上的网卡出现故障时，服务器一般会停t 运行，这时 就很难知道哪些打丁l ：的文件被损坏。 i 碉络连接也会出现故障。在对网络产品进行评价时很少在备份和恢复这样 的大工作负荷下进行可信度和精确度的测试，于是当网络数据流量过大时，路 山器和网桥中的缓冲区被占满，从而导致数据包的丢失。相反，路由器和网桥 也许有火容量的缓冲区，但由于调度这样大的信息流量造成的延时极有可能会 导致会话超时。 网络通常是整个系统最薄弱的环节，网络故障往往会导致服务的中断，这 对现代仓业运作的连续性有相当大的影响。 6 ) 自然灾害 并非所有的自然灾害都能为人们所预见，自然灾害往往在毫无防备的情况 卜突然袭来，就像纽约世贸大厦的倒塌一样，所有系统连同数据顷刻问全毁， 数据的完整性受到了严峻的挑战。 灾难恢复计划成为对付灾难的种有效手段，一个好的灾难恢复计划能够 在儿天甚至几个小时之内恢复所有数据及系统服务。 2 3 容灾系统的级别 i b m 公司的s t l a r e7 8 标准( 1 9 9 2 年) 将容灾分为从o 到6 的七个等级，这 七个等级描述了不同的容灾需求，分别适用于不同的规模和应用场合。其中第 0 级仅在本地作了数据备份，如果整个本地数据中心发生灾难，将无法恢复数 据，在这种情况下起不到容灾的作用。第6 级是灾难恢复的最高级别，不仅能 够保证数据的完令一致性，而且具备应用的自动切换能力，保证应用不问断， 数据零丢失。 1 ) 0 级，无异地数据( n oo f f s i t od a t a ) 0 级被定义为不需要建立备援硬件平台或发展应急计划。0 级容灾系统事实 8 口q 川人学硕j 学似论义 f 一并不具有容灾能力，冈为它的数据仅在本地进行备份和恢复，并末送往异地 保存。 2 ) 1 级，卡车运送访问方式( p i c k u pt r u c ka c c e s sm e t h e d ) l 级要求设计一个灾难恢复方案，根据该方案在平时备份所需要的信息， 并将它运送到异地保存。灾难发生时将根掘需要，有选择地搭建各援的硬件平 台并在其上恢复数据。 车运送方式是一种广泛使用的容灾系统。备份数据被送到异地保存，可 抵御大姚模的灾难事件。灾难发生后，需要按规定的数据恢复程序购置和安装 备援硬件平台，恢复系统和数据，并提供服务。这种容灾系统成本较低，且易 于配置。但当数据容量增大时，将存在备份数据难以管理的问题，用户难以及 时知道所需要的数据存储在什么地方。 3 ) 2 级， 车运送方式+ 热备份站点( p t a m + s o t s it e ) 2 级在1 级的基础上增加一个热备份站点。所谓热备份站点，是指拥有足 够的硬件、备份数据和网络连接设备，当主数据中心被破坏时，可切换到用于 支持关键应用的备援站点。对于十分关键的应用，必须由热备份站点在异地提 供支持，这样当灾难发，时才能及时恢复。虽然移动数据到热备份站点增加了 成本，但却缩减了灾难恢复的时间，一般在天左右。 4 ) 3 级，电子链接( e 1 e c t r i n i cv a u l t i n g ) 3 级在2 级的基础上用电子链接取代了卡车运送方式。热备份站点和主数 据中心在地理上必须远离，备份数据通过网络传输。由于热备份站点要持续运 行，凶此系统成本高于2 级，但进一步提高了灾难恢复的速度。 5 ) 4 级，活动状态的备援站点( a c t i v es e c o n d a r ys i t e ) 4 级要求地理上分开的两个站点同时处于工作状态，并相互管理彼此的备 份数据。另项重大的改进就是两个站点之间由丁以相互分担工作负担，备援操 作叮以在任何个方向发生。关键的在线数据不停地在两个站点之间复制和传 送，灾难发生时，另。站点可通过网络迅速切换用于支持关键应用。但是该系 统最近一次数据复制以后的数据变化将会丢失，其它非关键应用也需要手工恢 复。 6 ) 5 级，双站点，两步提交( t w os i t et w o p h a s ec o m m i t e ) 5 级和4 级的结构类似，在满足4 级所有功能的基础上，进一步提供了两 捧于i n t m m e t 的容灾系统及其管理工具的研究ij 实现 个站点的数据相互镜像( 数据库的一次提交过程会同时更新本地和远程数据库 中的数据) 。数据库的两步提交方法保证了任何一项事务在被接收以后，两个站 点间的数据都必须i 刊时被更新。在备援站点中需要配备一些专用的硬件设备， 以保证在曲个站点之间自动分担工作负担和两步提交的正确。 因为采用了两步提交来同步数据，所以当灾难发牛时，仅仅只有传送中尚 末完成提交的数据会丢失。 7 ) 6 级，零数据丢失( z e r od a t al o s s ) 6 级是灾难恢复的最高级别，可以实现零数据丢失。所有数据都将在本地 和远程之间同步更新，当发生灾难事件时，备援站点能通过网络侦测到故障并 立即自动切换。6 级是容灾系统中最昂贵的方式，但也是速度最快的恢复方式。 4 缴、j 级和6 级容灾系统具有类似的系统框架结构，区别在于数据备份管 理软件的差异和备援站点内硬件配置的不同，进而导致了系统成本和性能的差 异。4 级容灾系统只需要配置远程系统备份软件即可工作；5 级容灾系统依赖于 数据库系统的两步提交来保持数据同步；6 级容灾系统需要配置复杂的数据管 理软件和专用的硬件设备，以保存灾难发生时的零数据丢失和备援站点的即时 切换。 2 4 容灾系统的组成 个完整的容灾系统应该有以下几个部分组成： 1 ) 本地数据中心 ， 本地数据中心对外提供服务。本地数据中心往往采用高可用系统来确保本 地发牛局部故障或单点故障时，仍然保证系统的数据安完整性和服务的连续性。 2 ) 远程数据中心 远程数据中心作为本地数据中心的备份而存在。远程数据中心可以具备数 据管理、故障诊断、服务接管等功能。 3 ) 数据备份系统 数据备份系统用于抵御用户误操作，病毒入侵，黑客攻击等威胁。本地数 据中心和远程数据中心都可以配备数据备份系统。 4 ) 数据远程复制系统 数据远程复制系统保证本地数据中心和远程数据中心的数据一致性。数据 的远程复制技术是容灾系统的核心技术，是保证远程数据同步和实现灾难恢复 的基础。 数据复制技术存在两种主流模式： a 、硬件数据复制技术 硬件数据复制技术是指通过专线实现磁盘存储设备之间的数据交换，由存 储系统的专用硬件控制实现。复制时主机丌销较小，但磁盘开销大，传输距离 有限。 b 、软件数据复制技术 软件数据复制技术是指通过备份软件进行系统逻辑卷的复制。它可以通过 广域恻络犟丁i p 实现，管理十分灵活，司以实现远程的高可用体系( 远程监控 和切换) 。软件复制方式传输距离长，存储设备开放，对本地业务产生的效率影 u 向较小，但对主机的开销较大。 数据复制的方式辛要有两种： a 、同步方式 同步数据复制方式指通过容灾软件( 或硬件系统) 将本地生成的数据以完 全同步的方式复制到异地，每一本地i 0 事务均需要等待远程复制操作完成后 方予释放。这种方式的远程数据和本地数据完全同步，但本地数据处理过程受 刚络环境影响较大，本地i o 访问效率下降，远程网络故障后的恢复机制复杂。 b 、异步方式 异步方式通过容灾软件( 或硬件系统) 将本地产生的数据以后台同步的方 式拷贝到异地，它不影响本地的数据操作，受网络环境影响较小，在软件复制 方式中被广泛采用。 5 ) 容灾系统管理工具 容灾系统管理工具对整个容灾系统进行配置、监控、管理、调度，是最终 用户与容灾系统之间的接口。容灾系统通过管理工具对用户屏蔽复杂的内部实 现细节，提高系统的自动化程度，增加整个容灾系统的可靠性和稳定性。 6 ) 容灾计划 容灾计划作为容灾系统的非软件组成部分具有重要的作用。它提供一种指 导，通过给。恢复小组中的每个成员一个指定的、遵照执行的责任和处理过程清 单，使整个灾难恢复过程能够有条不紊地进行。容灾计划不仅规定了灾难前如 毕于i n t e r a c t 的容灾系统及其管理 具的研究与实现 何进行数据的备份和存储，还制定了如何在废墟f _ = 一步一步地重建系统，恢复 数据和服务。 制定窑灾计划的第一步是风险分析。在这。步需要注意三个问题：什么将 面临风险、什么会出问题? 以及发生的可能性有多大? 这需要综合考虑网络中 的那些易被摧毁，导致与外界的联系、计算机或数据丢失的组成部分。根据网 络系统巾所有组成部分的结构，叮以帮助建立一份在灾难之后需要更换的物品 清单。软件也需要更换，而且所使用的所有有关软件产品都必须进行鉴别。包 括那些用r 进行网络操作的文件系统工具。 制定容灾计划的第二步是风