（计算机软件与理论专业论文）容灾系统中的服务抗毁和无人值守方法.pdfVIP

容灾系统中的服务抗毁和无人值守方法 计算机软件与理论专业 研究生刘莎指导教师李涛 计算机和网络的迅速发展，不断推进社会信息化进程，数据的重要性愈发 引起相关人士重视。而信息系统面l 临地震、洪水、战争等诸多灾难性的风险和 威胁，如何建立容灾系统，保证数据的安全稳定成为迫切需要解决的问题。现 有的多数容灾方案中，或需要专线或光纤通信等特殊设备，导致总体拥有成本 大幅度增高，或对原系统正常运行影响较大，致使系统性能也不甚理想。 而衡量一个容灾系统关键在于，此系统是否能够保证原有的应用生产系统 的稳定性和健壮性，即是否能提供一个有效的机制，在生产应用系统发生故障 或灾难时，容灾系统能够迅速采取相应措施，提供连续性的服务，使外界觉察 不到服务的中断，具有较好的恢复时间指标( r t o ，r e c o v e rt i m eo b j e c t ) ，保证 系统的稳定性；在对生产应用系统进行异地容灾时，是否能支持无需专人值守 下进行日常管理、维护、监控等工作，保证系统的健壮性，并且降低系统运行 成本。 针对上述问题，本文提出了一种容灾系统中服务抗毁和无人值守的方法， 为系统的稳定性和健壮性提供了有力的保障。 具体来说，本文的主要工作有： 1 分析比较了国内外容灾系统的现状。 2 实现了一种异地容灾系统，介绍了其基本原理，设计思想，核心技术和 系统框架，并分析了此容灾系统所解决的主要问题。 3 在容灾系统中提出了服务抗毁的方法，实现一种容灾系统中的服务抗毁 子系统，并给出其设计方法和软件架构。该子系统能够针对容灾系统可 能面临的各种威胁和故障，采取相应的措施实现服务抗毁，提供2 4x7 的不间断的服务，以保证服务的连续性。 4 实现种基于的网络的无人值守_ 子系统，该子系统能够实时、精确地监 控整个客灾系统，支持无需专人值守下，进行日常管理、维护、监控等 工作，并且针对系统中主机面临的风险，作出响应，以保证系统的健壮 性。 5 对本文提出的方法进行了性能测试，并对实验测试结果进行了分析。 综上所述，本文提出的异地容灾系统中的服务抗毁和无人值守方法，以及 设计和实现的子系统，保证了异地系统的健壮性和稳定性，并且降低了系统运 行成本，具有重要意义和实用价值。 关键词：异地容灾，服务抗毁，无人值守，恢复，镜像，备份 t h es e r v i c ed e s t r o yt o l e r a n ta n dt h e n o n e - - p e r s o n - - k e e p - w a t c hm e t h o d s i nt h ed i s a s t e r t o l e r a n ts y s t e m m a j o rc o m p u t e rs o f t w a r e & t h e o r y s t l l d e n tl i us h aa d v i s o rl it a o n ef a s td e v e l o p m e n to ft h ec o m p u t e ra n dn e t w o r kc o n t i n u o u s l yp u s h e st h e d e v e l p m e n to f t h ei n f o r m a t i o ns y s t e m , a n dt h er e l a t e dp e r s o n sa r ep a y i n gm o r ea n d m o r ea t t e n t i o nt ot h ei m p o r t o n c eo ft b ed a t 乳b u tt h ei n f o r m a t i o ns y s t e mf a c e sm a n y d a n g e r sa n dt h e a t s ，s u c ha se a r t h q u a k e ，f l o o da n dw a r s s oh o wt og u a r a n t e et h e s e r e u i r ya n ds t a b i l i t yo ft h ed a t ai st h ep r o b l e mt h a tn e e d st ob es o l v e di m m e d i a t e l y a m o n gt h ec u r r e n tr e s o l u t i o n so ft h ed i s a s t e r t o l e r a n ts y s t e m , s o m en e e de x t r a c o m m u n i c a t i o nd e v i c e s s u c ha sf i b e r , w h i c hc 卸瞰；e se n o r m o u s l yr i s eo f t h et o t a lc o s t ； s o m ei n f l u e n c et h eo r i g i n a lp r o d u c es y s t e md r a m a t i c a l l yw h i c hr e s u l t si nt h el o w p e r f o r m a n c eo f t h es y s t e m t h ek e yp o i n tt oe v a l u a t ead i s a s t e rt o l e r a n ts y s t e mi sw h e t h e rt h i ss y s t e mc a l l g u a r a n t e et h es t a b i l i t ya n dr o b u s to ft h ep r o d u c t i o ns y s t e m , t h a ti st os a y , w h e t h e r t h e r ei sa ne f f e c t i v em e c h a n i s mt og u a r a n t e et h ef o l l o w i n gt h i n g s ： ，h e nt h e r ea r es o m ed i s a s t e r so rw h e ns o m e t h i n g sa r ew r o n g ，t h ed i s a s t e r t o l e r a n ts y s t e mc a l la d o p tc o r r e s p o n d i n gs o l u t i o n st op r o v i d et h ec o n t i n u o u ss e r v i c e a n dt h ei n t e r r u p t i o no f t h ed i s a t e rc a n n o tb ed e t e c t e db yt h eo u t s i d ew o r m ； w h e nt h ed i s a s t e rt o l e r a n ts y s t e mi sr u n n i n g ，i tc a ns u p p o r tt h ed a i l yr o u t i n e w o r ks u c hm a n a g e m e n t , m a i n t a n e ea n dm o n i t o r i n gw i t h o u tp e r s o n sk e e p i n gw a t c h , t og u r d n t e e nt h er o b u s to f t h es y s t e ma n dl o w e rt h ec o s to f t h es y s t e m t or e s o l v et h o s ea b o v ep r o b l e m s ，t h i sp a p e rp r o v i d eas e r v i c et o l e r a n tm e t h o d a n dan o n e - p e r s o n - k e e p w a t c hm e t h o di nt h ed i s a s t e rt o l e r a n ts y s t e m , s ot h a ti t g u a n t e e st h es t a b i l i t ya n dt h er o b u s to f t h es y s t e m m s p e c i f i c a l l y , t h em a i nw o r ko f t h ed i s s e r t a t i o ni n c l u d e s ： 1 a n a l y z i n gt h er e s e a r c ho fd i s a s t e rt o l e r a n ts y s t e mi n s i d ea n do u t s i d et h e w o r l d ； 2 e x p l a i n i n gt h eb a s i cf u n d a n m e n t a l ，i d e a , k e yt e c h n o l o g ya n dt h es y s t e m s t r u c t u r eo f t h ed i s a s t e rt o l e r a n ts y s t e m , a n da n a l y z i n gt h ep r o b l e m st h a tt h i s d i s a s t e rt o l e r a n ts y s t e mh a ss o l v e d 3 i n t x o d u c i n gt h es e r v i c et o l e r a n tc o n c e p ti n t ot h ed i s a s t e r t o l e r a n ts y s t e m ，a n d i m p l e m e n t i n gas e r v i c et o l e r a n ts u b s y s t e m t h e ni tg i v e st h ed e s i g n a t i o n a n dt h es o i t w a r es t r u c t u r eo ft h es e r v i c et o l e r a n ts u b s y s t e m a n dt h i s s u b s t y s t e mc a i la d o p tc o r r e s p o n d i n gs o l u t i o n st ot h ed a n g e r sa n d t h e a t st h a t m i g h tb eh a p p e n e d ，a n dc a nr e a l i z es e r v i c et o l e r a n tw h i c hs u p p l i e s2 4x 7 n o n e i n t e r r u p ts e r v i c et og u r a n t e e nt h ec o n t i n u o u so f t h es e r v i c e 4 r e a l i z i n gan o n e - p e r s o n - k e e p - w a t c hs u b s y s t e mb a s e do ni n t e m e t t h i s s u b s y s t e mc a l la c c u r a t e l ym o n i t o rt h ew h o l ed i s a s t e rt o l e r a n ts y s t e mo nr e a l t i m e ，s u p p g r tt h ed a i l y r o u t i n ew o r ks u c hm a t l ；a g e m e n t , m a i n t a n c ea n d m o r n t o t i n gw i t h o u tp e r s o n sk e e p i n gw a t c h , a n dc a nr e s p o n dt ot h ed a n g e r s t h a tm i g h th a p p e n , t og u r a n t e e nt h er o b u s to f t h es y s t e m 5 m a k i n ga ne x p e r i m e n to n t h i sm e t h o da n da n a l y 西n gt h ee x p e r i m e n tr e s u l t t os u m m e r a i z e ，t h i sp a p e rh a sd e s i g n e da n di m p l e m e n t e das e r v i c et o l e r a n t s u b s y s t e ma n dn o n e - p e r s o n - k e e p - w a t c hs u b s y s t e mi nt h ed i s a s t e rt o l e r a n ts y s t e m t h e yh a v eg u a r a n t e e dt h es t a b i l i t ya n dt h er o b u s to f t h es y s t e ma n dh a v ei m p o r t a n t m e a n i n g sa n dp r a c t i c a lv a l u e s k e y w o r d s ：d i s a s t e rt o l e r a n t , s e r v i c et o l e r a n t , n o n e - p e r s o n - k e e p - w a t c h , m i r r o r i n g ， r e c o v e r , b a c k u p i v 四川大学硕士学位论文 1 绪论 1 1背景 计算机网络的迅速发展，不断推进社会的信息化进程，而信息系统面临着 诸如地震、洪水、战争等诸多灾难性的风险和威胁，给人们带来了巨大的损失。 据i d c ( i n t e r n a t i o n a ld a t ac e n t e r ) 国际数据中心的统计数字表明，美国在2 0 0 0 年以前的1 0 年间，发生过灾难的公司中，有5 5 当时倒闭，剩下的4 5 中，因 为数据丢失，有2 9 也在两年之内倒闭，生存下来的仅占1 6 。近年来最有影 响的例子当数“9 1 l 事件”“9 1 1 事件”发生后，世贸大厦内有4 0 多的公司 倒闭( 这些公司都是全球有名的大公司) ，其原因就是因为这些公司由于没有跨 地域的容灾措施，造成客户资料丢失，业务无法继缨“。 近年来，保证数据的安全和稳定越来越引起相关人士的重视。2 0 0 4 年5 月， 计世资讯( c c wr e s e a r c h ) 对政府、金融、证券、电信、电力、制造等行业用户的 信息安全应用和需求状况调查中显示，行业用户对信息安全系统的建设投入呈 现稳定增长的态势。在所调查的用户中，明确表示信息安全的投入逐年增加的 达到3 1 3 ；相反，表示逐年减少的没有一个。对于2 0 0 3 年信息安全投资规模 的统计，2 0 企业在1 0 0 万以下，4 0 投资规模在1 0 0 万元5 0 0 万元，2 0 的 投资规模在5 0 0 万元一1 0 0 0 万元之间，2 0 的规模在1 0 0 0 万元以上从总体投 入金额来看，2 0 0 3 年国内银行在r r 产品与服务方面的总投资达到2 0 0 亿元，其 中信息安全方面的投入接近2 5 。证券行业2 0 0 3 年r r 总投入有2 4 亿元。1 2 0 因此建立跨地域的容灾系统，以保证数据的安全完整和业务连续稳定，成 为当今信息社会迫切需要解决的问题。 1 2 课题来源 本课题是信息产业部电子发展基金“跨地域，跨平台灾难恢复系统( 2 0 0 5 1 6 3 5 ) ”及科技部创新基金“灾难恢复系统( 0 5 c 2 6 2 1 5 1 0 1 3 3 7 ) ”的子课题，是四 婴型查兰曼主兰垡丝苎 川大学计算机网络与安全研究所( n l s e e ) 的众多课题之一，n l s e e 长期致力于计算 机网络与安全、电子商务、电子政务、智能信息系统、人工免疫等领域的理论 与技术的研究。研制成功及时雨灾难救援中心，c a 认证中心，新型智能防火墙、 i d s 、安全v p n 、安全电子邮件系统、安全w e b 服务器、多功能网络安全服务 器、国库直接支付系统、政府采购系统等八大系列1 0 多个产品，应用范围遍及 全省各地市州县乡镇。 这些产品的研发成功标志着我们在网络安全理论以及应用的研究上都取得 了重要的进展，如专家所评“不仅具有大的理论意义，同时具有广阔的应用前 景”。 1 3国内外研究现状 目前容灾系统的研究和相关产品还主要集中在国外，如m m 、v e r i t a s 、c a 等国际知名的大公司都有自己研制的容灾系统产品。在现有的许多容灾方案中， 或需要专线或光纤通信等特殊设备，使容灾系统的总体拥有成本增加；或对原 生产应用系统的正常运行影响较大，导致系统性能不高；或具有平台局限性等 问题。而目前较为理想完备的容灾系统，如v i s a 和m a s t e r 结算系统，融合了 s a n 、n a s 、远程镜像、r a i d 、集群等技术，结合了多种容灾方案，但实际是 一个多生产中心，投资巨大，并且维护费用不菲，对于我国的中小企事业单位 来说，根本难以承受；i b m 的p p r c ，采用e s c o n 光纤通道，价格也非常昂贵： h a g e o 针对i b ma i x 平台，对硬件配置较苛刻；操作系统级镜像软件h p u x m i l t o r d i s k ，u ) ( v e r t i a sv o l u m er e p l i c a t o r 可实现业务数据的远程复制，对主 机性能影响较大，带宽投资成本较高。因此，费用低廉、安全可靠，跨平台的 高性能的异地容灾系统具有广阔的发展空间和市场。 1 4 论文的主要工作 针对上述情况，本研究所实现了一种高度集成的异地容灾系统d i s a s t e r r e c o v e r yc e n t e r ( d r c ) ，而本文作为此研究项目的一个组成部分，设计并实现 2 四川大学硕士学位论文 了容灾系统中的服务抗毁子系统和无人值守子系统。 d r c 容灾系统具有如下特点： 1 不需额外硬件设备，系统的总体拥有成本较低。 2 支持多种操作系统和数据库，保证了系统的跨平台特性，应用市场极大 3 本地高速镜像，对原生产应用系统影响较小，系统性能较高。 4 实现服务抗毁，保证服务连续性和系统稳定性。 5 对容灾系统实时，精确监控，实现数据中心无人值守 6 系统恢复迅速。 7 安全。 8 提供可视化客户界面，可方便直观地进行远程管理系统。 本文提出了异地容灾系统中服务抗毁方法和无人值守的方法，主要工作如 下： 1 )分析比较了国内外容灾系统的现状。 2 )实现了一种异地容灾系统，介绍了其基本原理，设计思想，核心技术 和系统框架，并分析了此容灾系统所解决的主要问题。 3 )在容灾系统中提出了服务抗毁的方法，实现一种容灾系统中的服务抗 毁子系统，并给出其设计方法和软件架构。该子系统能够针对容灾系 统可能面临的各种威胁和故障，采取相应的措施实现服务抗毁，提供 2 4x7 的不间断的服务，以保证服务的连续性 4 )实现一种基于的网络的无人值守子系统，该子系统能够实时、精确地 监控整个容灾系统，支持无需专人值守下，进行日常管理、维护、监 控等工作，并且针对系统中主机面临的风险，作出响应，以保证系统 的健壮性。 5 )对本文提出的方法进行了性能测试，并对实验测试结果进行了分析。 1 5 论文结构 本文设计和实现了容灾系统中的服务抗毁和无人值守子系统，并介绍了相 关的原理及技术。论文的结构如下： 第一章，( 即本章) 讲述课题背景、来源，国内外研究现状及本文工作。 3 罂型查竺堡主兰篁堡苎 第二章，介绍了容灾系统的设计目标，研究内容，相关术语，核心技术， 设计思路，包括系统结构，总体框架，逻辑结构等，概述了容灾系统的各个组 成子系统，并说明了容灾系统需要解决的以及本文解决的一些关键问题。 第三章，对本文所提出的无人值守子系统，进行了详细地说明，包括核心 思想，设计思路，子系统框架，和模块结构，以及无人值守子系统在容灾系统 中应用。 第四章，阐述了基于网络的服务抗毁子系统的基本原理、重点介绍了设计 思想，核心技术，模块结构，以及服务抗毁子系统的功能实现框架，和在容灾 系统中应用。 第五章，对无人值守子系统和服务抗毁子系统的相关系统性能进行了测试， 并对实验结果进行了分析。 第六章，对全文进行了总结。 1 6小结 信息技术日益成为现代企业的运作的决定因素，数据的丢失和损坏将对企 业造成难以估量的损失。建立容灾系统，保证数据完整和业务连续，稳定在信息 社会极为重要目前国内外现有容灾系统常具总体拥有成本较高，性能较低， 平台局限等问题。针对上述问题，本文提出了一种异地容灾系统，设计和实现 其中了的其中的服务抗毁和无人值守子系统，保证了服务的不问断性和稳定性， 在实际应用中具有重要意义和实用价值。 4 四川大学硕士学位论文 2 容灾系统总体设计 2 1 设计目标 针对前面章节所作出的分析，容灾系统的设计目标需要是，一种功能完善、 跨地域、跨平台、高效、安全可靠、普通用户( 党政机关、中小企业、学校等) 买得起、用得起的灾难恢复软件产品，除了具备低价格、高性能等特点外，还 具备普通用户所需要的易安装、易配置、易使用、易管理等优点，从而为我国 各种类型的企事业单位、党政军机关、科研教育机构的数据提供有效的安全保 障，为我国的信息安全保驾护航。 2 2 研究内容 “d r c ( d i s a s t e rr e s c u ec e n t e r ) 异地容灾系统”是四川大学计算机与网络 安全研究所采国内外网络安全技术之精华，潜心多年精心研制的，具有完全自 主知识产权的，功能完善的、高性能的灾难应急系统。d r c 系统是国内首款基 于i n t e r a c t 的异地容灾方案。它集高速镜像、无人值守、服务抗毁、快速恢复， 和数据安全传输于一身，对外提供服务连续、稳定，系统安全可靠。 d h c 容灾系统的研究内容主要包括以下几个方面： 跨地域、跨平台异地容灾系统的体系架构； 基于专线、非专线( i n t e r n e t ) 的异地数据镜像技术； 本地数据中心数据实时监控； 廉价的灾难恢复技术： 本地数据中心带宽与数据备份线路带宽的匹配问题； 快速恢复技术； 数据传输的可靠性与安全性： 容灾系统的服务抗毁； 远程数据中心无人值守技术。 四川大学硕士学位论文 2 3系统结构 d i s a s t e rr e c o v e r yc e n t e r ( d r c ) 是一个高度集成的异地容灾系统，具有如 下特点： 1 )不需额外硬件设备，降低系统总体拥有成本。 2 )支持多种操作系统和数据库，保证了系统的跨平台特性，应用市场极 大。 3 )本地高速同步镜像，并且采用海量缓存技术，对原应用系统影响较小， 保证了系统高性能。 4 )实现服务抗毁，保证服务连续性和系统稳定性。 5 )实现远程数据中心无人值守。 6 )系统恢复迅速。 7 ) 安全。 8 )提供可视化客户界面，可方便直观地进行远程管理系统； d r c 异地容灾系统从物理上的体系结构可分为两大部分： 本地生产数据中心和远程备份数据中心，如下图所示： 本地生产 服务器1 本地生产 服务器2 本地生产 服务器m 远程备份 服务器l 远程备份 服务器2 远程备份 服务器n 本地生产数据中心远程备份数据中心 图1 容灾系统体系结构 f i g t t r e l f r a m e w o r ko f t h es y s t e m 本地生产数据中心包含主控制中心和本地生产服务器群，其中主控制中心 6 婴型查兰堡主兰竺丝苎 也作为本地数据中心的网关，称作本地网关。本地生产服务器群可包含多台生 产服务器，与主控中心即本地网关组成本地局域网，由本地网关对外提供一个 统一网络接口；远程备份数据中心包含后备控制中心和远程备份服务器群，后 备控制中心也作为远程数据中心的网关，称作远程网关。远程备份服务器群也 可包含多台备份服务器，与后备控制中心即远程网关组成远程局域网，由远程 网关对外提供一个统一网络接口 d r c 异地容灾系统可将本地生产服务器群的数据和服务，通过控制中心， 远程镜像到备份服务器群；实时地对系统进行监控和运行控制，实现远程备份 中心的无人值守；在灾难出现后，通过服务抗毁功能，保证对外提供服务的不 问断性，并且同时对本地生产系统进行迅速恢复，保证服务和数据的完整性， 稳定性，实现系统的应用级容灾。 客户端可以通过i n t e m e t 网络，访问由本地生产服务器群提供的服务，而当 本地生产数据中发生灾难后i 容灾系统通过服务抗毁功能，自动切换服务，改 变服务提供者，由远程备份系统迅速接管本地生产系统的业务，保证对外提供 服务的不间断性，整个过程对外部透明，即此时客户端仍然能够访问到连续的 服务。 容灾系统提供了智能用户接口，和图形化的可视化界面，可以方便直观地 来配置、管理容灾系统。 此外d r c 容灾系统还可配置安全的日志服务器，即在本地数据中心和远程 数据中心均设置有日志服务器，记录容灾系统的系统日志和操作日志，对系统 的运行状态进行跟踪。系统对日志进行分类处理后，将其日志记录写入相应的 日志文件中，客户端通过对其安全日志进行分析审计，产生相应的审计结果， 其结果通过安全数字水印处理后，存放到安全日志服务器中的相印数据库中， 同时在客户端，用户能查看原始日志信息和安全审计结果，并能通过数字水印 的验证来检验其日志的合法性与原始性。 2 4 相关术语 主控制中心本地网关 从网络构架来讲，主控制中心是本地生产数据中心的网关，是整个容灾系 7 坚型查兰堡主兰垡笙苎 统的中央枢纽和核心，起着配置，监控管理的作用，控制着整个容灾系统的运 行。 后备控制中心远程网关 从网络构架来讲，后备控制中心是远程备份数据中心的网关，在主控制中 心发生故障后，由后备控制中心接替监控管理任务，保证容灾系统正常运行和 对外提供服务的不间断性，在主控中心恢复正常后，再由后备控制中心移交控 制权给主控中心。 控制中心对网关对 一个主控制中心和一个后备控制中心组成一个控制中心对，因为主控制中 心和后备控制中心，分别作为本地和远程数据中心的网关，所以一个控制中心 对也可以称作是一个网关对。比如图一中的主控制中心本地网关和后备控制中 心远程网关组成一个控制中心对网关对。一个控制中心对网关对可以配置连接 若干台本地生产服务器和远程备份服务器，即可以配置管理多台本地生产服务 器和远程备份服务器上的多个灾难备份任务。 服务器对 一个控制中心对下的一台本地生产服务器，和一台远程备份服务器组成一 个服务器对。同一台本地生产服务器可以和多台远程备份服务器组成多个服务 器对。同样，同一台远程备份服务器也可以和多台本地生产服务器组成多个服 务器对。 本地生产数据中心 包括本地生产服务器群和本地网关主控制中心。 远程备份数据中心 包括远程备份服务器群和远程网为后备控制中心 任务 8 些业盔兰堡主兰垡堡奎 任务，指进行数据的镜像和恢复的基本操作单元，d r c 容灾系统以分区为 单位来进行数据的镜像和恢复，因此一个任务实际指一个分区组，即在一个控 制中心对下，配置的服务器对中，由一个本地生产服务器上的需要镜像的分区、 两个本地网关上的分区( 其中一个作为数据分区、一个作为缓存队列分区) 、一 个远程网关上的分区和一个远程备份服务器上存储本地生产服务器备份的分 区，组成一个分区组，即作为一个镜像和恢复的基本单元，即成为一个任务。 一个服务器对可以配置多个任务分区组，一个分区组描述了一个灾备任务的组 成结构，其物理结构如下图所示： 奉地服务薯车地两关迸程同美远程服务毒 。 o 国 、 园国 国 数据分区监控分区缓存分区 散据分区 数据分区 图2 任务分区组结构图 f i g u r e 2 s t r u c t u r eo f t h et a s k p a r t i t i o n sg r o u p 需要说明的是，以上的控制中心对、服务器对、任务，分区组都是一个逻辑 上的概念。同一台服务器在不同的灾备任务中可以担任不同的角色，或者在同 一个灾备任务中担任多个角色。比如，一个灾备任务的后备控制中心和远程备 份服务器可以是同一台服务器，即同一台服务器在一个灾备任务中，既作为后 备控制中心，又作为远程备份服务器。 灾难 导致d r c 容灾系统的一个镜像灾备任务( 分区组) 处于一种不能完全安全 运行的状态的事件比如电力故障、系统故障、磁盘故障、网络故障、应用程 序故障等 故障点 故障发生的位置。比如本地生产服务器故障、本地网关故障、远程网关故 9 四川大学硕士学位论文 障、远程备份服务器故障、本地网关与远程网关之间的网络故障等。 有效数据 具有完整性和一致性的数据，有效数据反映了d r c 系统的一个灾备任务， 在某一时刻本地生产服务器的数据状态。比如，在本地生产服务器磁盘遭到损 坏，而其他系统完好时，本地网关，远程网关和远程备份服务器上的数据就是 有效数据。 最近有效数据 在d r c 系统的一个灾备任务发生故障时，与本地生产服务器数据最接近的 有效数据，叫作最近有效数据。 设备映像一 配置一台主机作为目标端，另一台主机作为发起端。将目标端主机上的一 个指定设备，映像到发起端主机上，使得访问发起端上的映像设备，如同访问 目标端上的指定设备。此设计采用将命令和数据封装发送，再进行抽取，执行 的技术，即首先在发起端将命令和数据封装到t c p i p 包中，再通过网络转发， 目标端收到t c p i p 包后，将命令和数据抽取还原后再执行，然后将需返回的命 令和数据封装到t c p i p 包中，再传送回发起端，发起端收到后再抽取执行。整 个过程对用户透明，因此在发起端的映像设备上执行任何操作，就如同在目标 端的指定设备上执行相同操作一样。 设备镜像 通常容灾有两种主要的方法：一是使用磁带和管理软件将本地数据备份到 异地，二是使用专门的镜像工具( 例如d r c ) 将数据从本地镜像到远程。磁带 备份的方式没有考虑到现代企业对信息系统的依赖性，企业不仅仅需要信息系 统保持在线，需要精确到分钟的数据备份。当灾难发生时，磁带备份会使企业 丢失多达一个间隔周期内的数据，而且周期间隔越大损失越严重。但如果使用 镜像，我们可以在远程服务器上维护着相对本地生产服务器落后几分钟、几秒 钟、甚至是完全一致的数据备份。 因此使用镜像技术，来达到这个目的。镜像技术可用来在远程的一个独立 1 0 婴! ! 查兰堡主竺竺丝苎 的计算机上维护本地生产服务器数据的副本。与磁带备份不同的是，镜像是自 动的，不需要人为的参与。通常情况下，当主服务器上的数据被更新时，备份 机上的数据也会自动更新。 设备镜像是指，使主机上两个设备互为镜像，以数据冗余为代价来提高系 统稳定性。即向一个设备中写入数据时，会在两个设备上存储相同的数据。若 一设备出现故障，系统会自动切换到另一设备继续运行，将新的数据写入正常 工作的设备，坏设备被替换后，数据会自动拷贝到新设备。 2 5 核心技术 2 5 1 数据监控技术 对本地数据中心数据的变化进行精确的监控，全面记录本地数据中心数据 变化的详细过程，确保在数据镜像时滴水不漏。 2 5 2 高速海量缓存技术 此设计采用远程写缓存方法，以灾备网关作为中间介，利用内部网络高速 稳定性能，先将数据从本地生产服务器高速镜像到同样位于本地的灾备网关， 进入数据缓存队列，再通过i n t e r n e t 异步备份到远程备份服务器，从而使系统在 进行远程数据备份时，本地生产服务器性能不受i n t e r n e t 网络状况的影响，保证 系统性能稳定。 很好地解决了本地数据中心数据带宽与备份网络带宽之间的突出矛盾，确 保了本地数据中心信息处理的效率，降低了备份系统对网络带宽、稳定性的要 求，使整个备份系统能够建筑在慢速、稳定性较差等网络之上，例如i n t e r a c t ， 从而极大地降低了系统的成本 四川大学硕士学位论文 2 5 3 异地重放技术 独特的异地重放技术，确保本地数据中心的数据变化在异地备份中心同时 进行，本地数据中心数据的任何细微改变都将被实时送达远程备份中心，确保 了远程备份中心与本地数据中心数据的完整性和一致性。 2 5 4 差错控制技术 需要灾备系统保护的数据都是关键核心数据，哪怕一个字节的差错都可能 导致不可估量的损失。专为此开发的差错控制技术一方面用于保证数据在网络 上传输的准确性，另一方面保证数据在任何一个地点的正确性和一致性。 2 5 5 快速恢复技术 独特的差异恢复技术，大大减少了网络传输的数据量，提高效率，节约带 宽，提供在线系统恢复技术，极大地缩短了灾难恢复的时间。 2 5 6 服务抗毁技术 系统运行后台进程，实时监控系统状态，当数据遭到破坏时，针对故障状 态采取不同恢复策略，控制数据流方向，自动进行系统重建。 正常情况下，由本地生产服务器提供服务。当本地生产服务器发生灾难时， 远端服务器自动切换对外提供服务，使外界觉察不到服务的中断；当本地生产 服务器故障排除后，系统自动与远端服务器数据同步，重新切换为由本地生产 服务器提供服务，确保系统的可靠性和强壮性。 四川大学硕士学位论文 2 5 7 无人值守技术 支持远程配置、管理、日常维护等工作。从而使远程备份中心无需专人值 守，支持远程备份中心托管运行方式( 例如可将整个远程备份中心的所有服务 器托管给自己的总公司或分公司，甚至托管给条件成熟的i s p ) ，从而降低系统 运行成本。 2 5 8 数字水印日志技术 将数字水印技术移植到系统日志中， 续性和不可抵赖性等，能作为法庭证据， 强有力的技术支持。 一 2 5 9 跨平台技术 确保日志记录的权威性、完整性、连 为日后利用日志进行分析取证提供了 通过一组与平台无关的协议，支持主流的操作系统如w m d o w s 、l i n u x 、u n i x 等，和主流的数据库如o r a c l e 、m ss q ls e r v e r 、m y s q l 、s y b a s e 、i n f o r m i x 等， 以保证系统具有广泛的应用范围，具有良好的跨平台性。 此外，容灾系统还集成了防火墙和入侵检测工具，为系统安全提供了有力 保障。 2 6 设计思想 d r c 容灾系统，采用了上述的多种核心技术。针对一个灾备任务，主控 制中心将本地生产服务器上需要备份的设备，映像到主控制中心，再将主控制 中心上的相应设备，映像到后备控制中心和远程备份服务器。当本地生产服务 器的映像设备中有新内容写入时，控制中心上的对应设备，也会同时写入新的 内容，并且采用高速海量缓存技术，将此内容高速写入控制中心的缓冲数据队 列，然后当i n t e m e = t 网络处于正常稳定的状态时，采用异地重放技术，取出数据， 1 3 塑型查兰堡圭堂垡堡苎 写入远程灾备网关上，从远程备份服务器映像来的设备，实现远程数据备份， 并且采用差错控制技术，来保证系统数据的一致性；与此同时，对系统运行状 态进行实时监控，并实现远程数据中心的无人值守功能；当系统发生故障时， 采用服务抗毁技术，迅速切换服务，保证服务的不间断性，并且采用快速恢复 技术，迅速恢复系统数据，保证系统的稳定性。 d r c 容灾系统支持多种操作系统和数据库，实现了跨平台的应用容灾；并 且集成了防火墙和入侵检测技术，以确保容灾系统的安全稳定性能。 此外d r c 容灾系统还采用了数字水印日志技术，实现了日志安全审计功能， 用来监视、跟踪系统的运行状态和用户操作状况，检测和阻止非法用户对计算 机系统的入侵，并显示合法用户的误操作，以有效阻止这些访问或者在事后进 行分析和追查 2 7系统框架 d r c 容灾系统采用消息驱动方式，将分布的多台本地生产服务器，远程备 份服务器组成为一个高度集成的系统。d r c 容灾系统可分为多个子系统，主要 有配置子系统，镜像子系统，恢复子系统，一致性检测子系统，无人值守子系 统，服务抗毁子系统，用户管理子系统和臼志子系统。d r c 系统总体框架如下 图所示，因为后备控制中心与主控制中心结构相似，远程备份服务器与本地生 产服务器的逻辑结构相似，因此图中相似部分仅以文字标示： 1 4 四川大学硕士学位论文 一 本地生产数据 中心 图3 d r c 系统框架 f i g u r e 3 d r cs y s t e mf r a m e w o r k 各子系统的主要功能如下： 2 7 1 配置子系统 远程备份数据 中心 配置子系统实现配置控制中心对和配置灾备任务的作用。 可以通过指定主控制中心和后备控制中心的口地址，端口和控制中心对的 名称等参数，来配置一个新的控制中心对。 配置子系统也可以创建新的灾备任务，为镜像和恢复等操作，提供操作对 象，实现对指定设备的容灾。其中灾备任务指一个操作单元，包含具有特定逻 辑关系的，分布于多台主机的一组设备，其术语含义请参见“相关术语”一节。 可以为一台本地生产服务器创建多个灾备任务，来实现对多个设备的容灾。即 配置子系统用于创建灾备任务时，如果需要镜像本地生产服务器上多个设备， 则需创建多个灾备任务。例如创建一个灾备任务j 时，应使本地生产服务器， 主控制中心，后备控制中心，远程备份服务器的相关设备具有如下图所示的逻 四川大学硕士学位论文 辑关系： 主控制中心 锵厂商 i “t 。m e t 后备控制串远程备份服 l s m p , r g d p = - l g m p , r g d p = r s m p ；s 3 表示以第二个元素作为中间介，将对第一个元素的操作，传递到第三个元素执 1 6 四川大学硕士学位论文 行，记作l g d p = l g c p = l g m p 配置子系统，即将相关设备配置成具有上述逻辑关系的分区组，作为一个 个任务，为镜像和恢复提供操作单元。 2 7 。2 镜像子系统 针对每个灾备任务，采用高速海量缓存，异地重发技术，实现数据的镜像 功能，并且通过差错控制技术，来保证灾备任务中各个设备的数据一致性，以 实现备份系统对生产系统的应用镜像。 当创建了灾备任务，使各台主机上的设备具有如上节所示关系后，此任务 即可执行灾备任务，主控制中心启动写操作监控进程，监听对l g d p 的写操作， 镜像过程分为3 个阶段：一， 1 ) 从l s d p 到l g d p 当用户对本地生产服务器的设备l s d p 写操作时，同时对与l s d p 互为镜像 的设备l s m p 也进行写操作，即l s m i ? = l s d p ；并且采用映像技术，将对l s m p 的写操作封装到t c p i p 包中，通过网络转发到主控制中心，再将操作抽取还原 后对设备l g d p 执行，并将结果封装到t c p i p 包中，然后再传送回生产服务器， 整个过程对用户透明，因此在映像设备l s m p 上执行任何操作，就如在目标端 设备l g d p 上执行相同操作，因为内部网络高速稳定，两者保持写操作同步， 所以l s m p 和l g d p 数据一致，记作l g d p = l s m p 2 ) 从l g d p 到l g m p 因为不能保证本地生产系统与远程备份系统间的外部网络性能，所以在主 控制中心对设备l g d p 进行写操作时，通过写操作监听进程，截获此操作，将 其写入设备l g c p 的缓存队列，当外部网络正常时，再从设备l g c p 的缓存队 列中提取写操作，对设备l g m p 重放此写操作，记作l g m p = l g