Vplex 容灾方案

64广西高速公路管理局容灾方案设计书2011年11月13日文档信息项目名称：广西高速公路管理局容灾方案设计书文档版本号：1.0文档作者：董晓路生成日期：2011年11月13日文档审核者：审核日期：文档维护记录版本号维护日期作者/维护人描述1.02011年11月13日董晓路创建初稿版权说明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属广西高速公路管理局和美国EMC公司所有，受到有关产权及版权法保护。任何个人、机构未经广西高速公路管理局和美国EMC公司的书面授权许可，不得复制、引用或传播本文件的任何片断，无论通过电子形式或非电子形式。第77 页目录目录11综述42容灾的意义52.1容灾的来源52.2灾难事件和反思52.3容灾的解释63容灾的规范63.1容灾技术指标63.2国际标准SHARE78的容灾七层模型73.3行业规范要求84广西高速公路管理局收费系统现状105方案设计原则105.1总体设计原则115.2灾备中心布局总体策略135.2.1布局模式135.2.2灾备系统分步建设规划建议136容灾方案的选型146.1容灾级别的选择146.2容灾技术的比较与分析146.2.1不同容灾技术方案概述146.2.2基于存储的数据复制技术建设容灾系统156.2.3采用基于主机的数据复制技术建设容灾系统186.2.4基于应用的数据复制建设容灾系统206.2.5小结226.3EMC基的容灾方案VPLEX无中断的双活解决方案236.3.1VPlex产品及功能概述236.3.2将VPlex应用于VMware虚拟化平台246.3.3应用VPlex实现不停机数据迁移.256.3.4聚合数据中心并提供全天候 IT 服务266.3.5总结287容灾架构与建设步骤297.1第一阶段（2011年）：收费系统本地存储容灾保护297.1.1逻辑架构图297.1.2设备部署架构图317.1.3可应对的灾难类型以及最佳做法317.2第二阶段（2012年）：数据级异地容灾保护397.2.1逻辑架构图397.2.2设备部署架构图407.2.3可应对的灾难类型以及最佳做法417.3第三阶段（2013年）：实现应用级双活架构428相关产品介绍438.1VNX系列438.1.1产品描述438.1.2产品特点448.1.3产品综述458.1.4软件458.1.5硬件498.1.6服务498.1.7培训518.1.8规格518.2VPLEX668.2.1重要特性668.2.2用于私有云的新存储平台668.2.3新的体系结构可满足未来需求678.2.4单一解决方案用于一个或多个数据中心688.3DataDomain708.3.1磁带级别的经济性708.3.2备份和恢复的高性能718.3.3数据完整性（可恢复性和数据自愈技术）728.3.4简单和无缝的集成748.3.5更易管理748.3.6DataDomain到磁带的拷贝748.3.7DataDomain Replicator异地灾难恢复软件75 1 综述随着广西高速公路网的不断发展壮大，收费系统在广西高速公路收费管理工作中扮演越来越重要的角色。收费系统关键数据的安全和收费系统的运行稳定性成为广西高速公路管理部门需要认真考虑的问题，对广西高速公路收费中心来说，收费数据至关重要，是系统运行的血脉。2007年以来，广西高速公路实施“非现金卡”项目后，收费业务管理对收费系统依赖程度越来越高。但目前对于收费系统和数据的保护还是处于初级阶段，没有完善的保护体系，缺乏针对收费系统及数据的快速恢复手段，当系统或数据出现问题时不能及时恢复，不能满足关键业务、关键系统持续运行的需要。随着IT信息技术不断发展，出现多种成熟技术可以解决当前存在的数据保护和系统快速恢复的要求，系统建设成本也不断降低。为了广西高速公路收费中心的网络安全、数据安全、系统安全，有必要对数据存储恢复和容灾系统进行进一步加强，保证收费中心重要系统、关键业务的持续运行、确保收费数据的安全。本方案通过对行业现状和政策法规等调查，对容灾的必要性做出分析；通过新的技术发展和案例分析，对容灾的方式作出技术分析；结合广西高速公路管理局IT建设现状，给出容灾规划和建议方案方案。2 容灾的意义2.1 容灾的来源早在上世纪50年代，国外一些公司就开始对自己的重要数据进行备份保护。这些数据有的是纸介质形式，有的是电子数据，人们将其副本放置在另一个相对安全的地点（即现在我们说的灾备中心的雏形）存放，以达到数据安全的目的。70年代的时候这种类似的数据容灾保护形式越来越普遍，到了80年代，美国市场上已经有了上百个专业公司。备份数据异地灾备中心存储模式的灾难恢复解决方案被那些视数据为生命，数据量巨大且数据集中的金融公司广泛采用。1983年美国联邦货币监管中心要求金融机构起草了有关数据灾难备份及恢复的指导性文件，主要强调数据库的备份和恢复，通过运送备份磁带到专门的存储地实现安全。此文件一直使用到1989年，联邦货币监管中心有了更详尽更成熟的一套数据安全相关资料。进入九十年代，计算机的迅速发展和普及冲击了灾难恢复行业。过去集中式的计算机使用模式变成了如今分布式的网络架构使用，这种改变也给容灾行业带来了新的市场和机遇，更过的硬、软件产品有了用武之地。九十年代的中后期，出现了业务连续性的概念，并开始逐渐取代单纯的灾难恢复。与灾难恢复相比，业务连续性不只局限于传统的IT系统，而是涵盖了包括人为操作失误、网络故障、流程中断等。应该说业务连续性概念是站在了一个新的高度，它贯穿了整个企业或单位，涉及设备、人和流程三个关键元素。2.2 灾难事件和反思911恐怖袭击以及东南亚海啸，以及发生在我国的南方雪灾和汶川地震，这些灾难性事件仍然历历在目，人们意识到突发性的安全威胁其实离我们并不遥远。已经完成容灾系统建设的企业不禁庆幸自己的先知先觉与危难意识，而更多的受灾企业则在系统、信息、业务方面损失惨重，这些已经给国内的企业敲响了警钟，使大家认识到保证业务连续性的必要。目前在中国容灾建设首先从金融行业包括银行、保险、证券等开始，目前基本上均已经建设；随着金融行业对于风险控制的进一步加强和深化，容灾建设在覆盖范围和深度不断延伸。另外，随着国务院信息化办公室的信息安全技术信息系统灾难恢复规范等标准的颁布，电信、政府、交通、能源等行业容灾建设也在加速发展。虽然不容乐观的国际经济大环境影响到了一些产业的发展前景，但有效的业务连续性及灾难恢复系统往往关系到企业核心业务能否连续运行，甚至关系到企业的正常经营。就好像军队对于国家是“养兵千日，用兵一时”，但其存在的必要性在于保证国家的安全，正所谓是：“兵者，国之大事也，死生之地，存亡之道，不可不察也”。2.3 容灾的解释容灾是一个范畴比较广泛的概念。从广义上说，可以把与业务连续性相关的内容都纳入容灾。因此，容灾是一个系统工程，包括支持用户业务的方方面面。容灾对于IT而言，就是提供一个能防止业务系统遭受各种灾难而破坏的计算机系统。容灾还表现为一种未雨绸缪的主动性，而不是灾难发生后的亡羊补牢。 从狭义上说，我们平常讨论的容灾是指，除了生产站点以外，另外建立容灾站点，当灾难发生、生产站点被破坏时，冗余站点可以接管业务，达到业务不间断的目的。 3 容灾的规范3.1 容灾技术指标衡量容灾系统有以下几个主要指标。 1) 以恢复点为目标（RPO：Recovery Point Object） RPO代表当灾难发生时，允许丢失的数据量。在同步数据复制方式下，RPO等于传输延迟时间内的数据丢失。在异步数据复制方式下，RPO为异步传输数据排队时间内的数据丢失。 2) 以恢复时间为目标（RTO：Recovery Time Object） RTO代表当灾难发生时，系统恢复运行的时间。 3) 以网络恢复为目标（NRO：Network Recovery Object） RPO与RTO越小，系统的可用性就越高，当然需要的投资也越大。3.2 国际标准SHARE78的容灾七层模型根据1992年Anaheim制定的国际标准SHARE 78的定义，容灾备份中心自动异地远程恢复任务被定义有七种层次：Tier 0 ：被定义为没有信息存储的需求，没有建立备援硬件平台的需求，也没有发展应急计划的需求，数据仅在本地进行备份恢复，没有数据送往异地。这种方式是成本最低的灾难恢复解决方案，但事实上这种灾难恢复并没有真正灾难恢复的能力。 一种典型Tier 0方式就是采用本地磁带库自动备份方案，通过制定相关的备份策略，可以实现系统Tier0级备份。 Tier 1：PTAM是一种为许多站点采用的备份的标准方式。数据在完成写操作之后，将会送到远离本地的地方，同时具备有数据恢复的程序。在灾难发生后，在一台未启动的计算机上重新完成。系统和数据将被恢复并重新与网络相连。这种灾难恢复方案相对来说成本较低，但同时有难以管理的问题，即很难知道什么样的数据在什么样的地方。这种情况下，恢复时间长短依赖于何时硬件平台能够被提供和准备好。PTAM的一种典型方式就是将数据备份到本地磁带介质上，然后通过运输方式（如卡车）将备份介质送往异地保存，而异地没有主机系统。当灾难发生时，再使用新的主机，利用数据备份介质（磁带）将数据恢复起来。 Tier 2：相当于Tier1再加上具有热备份能力的站点的灾难恢复。热备份站点拥有足够的硬件和网络设备去支持关键应用的安装需求。对于十分关键的应用，在灾难发生的同时，必须在异地有正运行着的硬件提供支持。这种方式与Tier1的 PTAM方式的区别是在异地有一个热备份站点，该站点有主机系统，平时利用数据备份介质（磁带）将数据恢复到主机系统起来。一旦发生灾难，利用该主机系统将数据恢复。 这种情况下，由于备份介质是采用运输方式送往异地，可能会有一天、甚至一周的数据丢失。由于备份站点己经有主机系统，数据恢复典型地需要一天的时间。 Tier 3：是在 Tier 2的基础上用电子链路取代了卡车进行数据传送的灾难恢复。接收方的硬件必须与主站点物理分离，在灾难发生后，存储的数据用于灾难恢复。由于热备份站点要保持持续运行，因此增加了成本。但由于采用了电子链接方式，取消了传输工具，这样提高了灾难恢复的速度。 该方式的特点是用电子数据传输取代了使用传统交通工具（卡车）来传输备份数据。由于采用了电子数据传输，数据丢失的时间可能是一天甚至更短，而数据恢复则可能是一天的时间。 这种灾难恢复要求两个站点同时处于活动状态并管理彼此的备援数据，允许备援行动在任何一个方向发生。接收方硬件必须保证与另一方平台物理分离。这种情况下，工作负载可以在两个站点之间被分担，站点1成为站点2的备份。在两个站点之间，彼此的在线关键数据的拷贝不停地相互传送着。在灾难发生时，需要的关键数据通过网络可迅速恢复，通过网络的切换， 关键应用的恢复时间也可降低到了小时级或分钟级。 Tier 4：第二站点（备份站点）不仅仅是一个分离的备份系统， 还处于活动状态（运行）。而备份数据则可以双向传输，数据的丢失与恢复时间达到小时甚至分钟级。 Tier 5：在Tier 4的基础上使用了镜像技术，也就是说，在更新请求被认为满意之前，Tier 5需要应用站点与备援站点的数据都被更新。数据在两个站点之间相互映像，由远程两步提交来同步，因为关键应用使用了双重在线存储，所以在灾难发生时，仅仅传送中的数据被丢失，恢复的时间被降低到了分钟级。 Tier 5方式的数据不仅在本地进行确认，而且需要在异地（备份）进行确认。因为，数据是镜像地写到两个站点，所以灾难发生时只会丢失正在传输的一部分数据，因而可以在分钟级进行数据恢复。 Tier 6：是灾难恢复中最昂贵的方式，也是速度最快的恢复方式，它被认为是灾难恢复的最高级别，可以实现零数据丢失率。Tier 6方式在本地和远程的所有数据被更新的同时，利用了双重在线存储和完全的网络切换能力。Tier 6方式不仅保证数据的完全一致性，而且存储和网络等环境具备了应用的自动切换能力。一旦发生灾难，备份站点不仅有全部的数据，而且应用可以自动接管，实现无数据丢失的备份。3.3 行业规范要求目前由于IT对企业的业务支撑的重要性不断提升,电子纪录作为业务纪录方式被广泛使用;除了国外的容灾级别的标准定义外,国内行业的监管机构也逐步提出了每个行业自身对容灾的规范和指导意见.2005.5.8 国务院信息化办公室发布了规范和指导重要信息系统的使用和管理单位对信息系统灾难恢复的规划和准备工作。从灾难恢复规划的管理、灾难恢复的需求分析、灾难恢复等级的确定、灾难恢复等级的实现、灾难恢复预案的制订、落实和管理等方面，对灾难恢复的规划和准备活动的规范化要求进行全面描述。还以规范性附录的形式对灾难恢复的等级划分进行了描述，并以资料性附录的形式对灾难恢复预案的框架进行了说明。金融行业规范2006年4月，中国人民银行颁布了关于进一步加强银行业金融机构信息安全保障工作的指导意见（银发2006123号文），要求全国性大型银行，原则上应同时采用同城和异地灾难备份和恢复策略；区域性银行可采用同城或异地灾难备份和恢复策略。 2006年8月，银监会发布的银行业金融机构信息系统风险管理指引（银监发200663号），明确地提出金融机构应制定信息系统应急预案，并定期演练、评审和修订，省域以下数据中心至少实现数据备份异地保存，省域数据中心至少实现异地数据实时备份，全国性数据中心实现异地灾备。2008年2月，中国人民银行正式发布和实施银行业信息系统灾难恢复管理规范（JR/T0044-2008）。其中要求：短时间中断对国家、外部机构和社会产生重大影响或影响单位关键业务功能并造成重大经济损失的系统：RTO（恢复时间目标）6小时，RPO（恢复点目标）15分钟；短时间中断会影响单位部分关键业务功能并造成较大经济损失的系统：RTO24小时，RPO120分钟；短时间中断会影响单位非关键业务功能并造成较大一定经济损失的系统：RTO7天。 2009年6月，为进一步加强商业银行信息科技风险管理，银监会发布了新的商业银行信息科技风险管理指引，原指引同时废止。新指引将信息科技治理作为首要内容提出，充实并细化了对商业银行在治理层面的具体要求；重点阐述了信息科技风险管理和内外部审计要求；对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出了高标准、高要求，使可操作性更强。 央企的IT容灾建设现状央企是国民经济的主力军，是国家竞争力的主力军。从一定意义上讲，国家与国家之间的竞争是企业之间的竞争，特别是中央企业之间的竞争。央企的信息化，不论是对于央企的内部成员，还是对于央企的合作伙伴，甚至对于央企的竞争对手，也具有重要的示范带头作用。从这个意义上讲，央企信息化是以信息化带动工业化，走新型工业化道路的龙头，是国家信息化发展战略的重要组成部分。因此，央企有效推进信息化建设，不仅是企业提升竞争力，在全球化竞争中不断发展壮大的根本需要，也肩负着加快国家信息化进程，推进经济结构调整和经济增长方式转变，提升国家竞争力的光荣使命。目前，125家中央企业涉及航空、能源、电网、铁路、电信等，就是行业的领先者，出于业务发展的需要，同时肩负对社会的责任；据了解大部分企业已经或者正在建设容灾系统。如国家电网信息化建设规划中，2010年是“十一五”向“十二五”过渡之年，是国家电网资源计划系统（SG-ERP）建设元年，也是公司信息化“深化应用年”。今年的工作思路是，“完善提升、深化应用、安全运行、再上水平”。“完善提升”就是在建成SG186工程基础上，继续进行功能优化和提升，实现信息化在公司及所属各单位全覆盖、业务全覆盖和人员全覆盖；“深化应用”就是要全面提升系统应用水平，提高软硬件资源利用率，开展实用化评价；“安全运行”就是要全面引入电网安全生产管理理念，强化运行管理，巩固安全成果，完善并应用信息运维综合监管等系统，全力提升信息系统运行水平，确保全年尤其是世博会期间公司网络与信息安全；“再上水平”就是要加快建设坚强信息系统，编制公司“十二五”信息化发展规划，完成SG-ERP关键技术研究及典型设计，实现“三集五大”信息化建设里程碑目标，三地集中式容灾中心年内投入运行。小结：目前，由于业务对信息化要求，已经业务大集中，导致对信息安全的提升，不仅要求信息系统可靠，同时要能抵御大的灾难，当意外灾难出现时，能最大限度的确保数据不丢失，能用最短的时间恢复业务。这不仅是对业务发展提供强有力的支持，也是保证市场稳定和维护公司声誉的坚实基础。4 广西高速公路管理局收费系统现状2007年以来，广西高速公路实施“非现金卡”项目后，收费业务管理对收费系统依赖程度越来越高。但目前对于收费系统和数据的保护还是处于初级阶段，没有完善的保护体系，缺乏针对收费系统及数据的快速恢复手段，当系统或数据出现问题时不能及时恢复，不能满足关键业务、关键系统持续运行的需要。目前服务器是双机集群，但是存储处于单点故障，如果存储发生灾难，整个业务系统将无法继续。因此为了广西高速公路收费中心的网络安全、数据安全、系统安全，有必要对数据存储恢复和容灾系统进行进一步加强，保证收费中心重要系统、关键业务的持续运行、确保收费数据的安全。5 方案设计原则5.1 总体设计原则容灾系统的具体建设原则如下：1) “统筹规划、分步实施”的建设原则l 容灾系统的实施难度较高，项目实施的成功与否直接影响广西高速公路管理局的整体业务连续运行能力。对容灾系统进行统一规划有利于整个容灾建设的顺利进行。广西高速公路管理局需要统筹考虑，合理布局，通过科学的引导和调控，形成发展有序的灾难恢复体系格局。l 在实施时可以采取分步骤、分阶段的原则，可以先对最关键的应用实施同城异址容灾的建设，最后再扩展到三点互备的容灾架构。l 为保证在一定的投资规模和实施周期内完成容灾系统的建设，容灾的业务恢复目标和范围必须是明确的、可实现的，这样既可节省建设投资，又可缩短建设周期，并且使得系统建设目标更为明确。2) “实用性、成熟性、先进性、开放性、灵活性、可靠性、实施和操作简便、可管理性、成本优化”相结合的技术原则l 实用性：容灾系统的建设目的是为了抵御灾难，容灾技术最重要的是实用性，满足业务系统的实际容灾需求。l 成熟性：广西高速公路管理局容灾系统的建设，要尽量采用业界成熟、可靠容灾技术，尤其是在国内金融行业拥有较多成功案例的技术，以确保广西高速公路管理局容灾建设的可靠性。同时，选用的容灾技术应与主流的其它组件已相互认证，例如数据库、服务器、网络等。l 先进性：容灾系统的软硬件平台应采用先进的设备和技术，确保系统的技术先进性，保证投资的有效性和延续性，满足和适应广西高速公路管理局业务系统快速变化和发展的要求。同时，容灾架构的设计应该是优化和简化的，支持对广西高速公路管理局各类数据的保护，利于管理维护并节约成本。l 开放性：系统应采用开放的技术标准和协议，保证系统兼容性。l 灵活性（可扩展性）：系统应具备按需扩展的能力，支持多种组件模块、多种物理接口；可以根据广西高速公路管理局的容灾统筹规划，方便地进行容灾系统架构的优化和拓展。提供技术升级、设备更新的灵活性；支持业务功能的重组与更新的灵活性。l 可靠性：容灾系统应确保数据的一致性，确保灾备中心的数据可用。l 实施和操作简便：广西高速公路管理局的开放系统本身就相对复杂，容灾建设中应确保容灾系统在实施中对生产系统的改动和影响较小、实施过程简单清晰、避免过高的实施难度和实施风险。l 可管理性：容灾系统的管理是持续的，因此，采用的容灾技术应具有很好的可管理性。应尽可能降低容灾系统的日常维护管理成本和所需的人力资源。l 成本优化：容灾系统的成本核算应兼顾系统建设和系统运维，既要在容灾规划和设计阶段考虑初期建设的成本，也要考虑后期运行和维护的成本。3) 容灾建设要坚持“分级管理、合理保护”的原则l 广西高速公路管理局开放平台的业务系统很多，既有非常关键的核心业务，也有一些非关键的支持业务等。如果对所有的业务都采取相同的容灾策略和技术，势必没有重点，带来资源的浪费或达不到预期的效果。广西高速公路管理局需要根据各系统的重要性，面临的风险大小，业务中断所带来的损失、应用系统之间的关联关系等因素综合平衡安全成本和风险，确定灾难恢复建设的等级，选择合适的容灾方案。4) 坚持“平战结合”的原则l 容灾系统是为“小概率、高风险”事件准备的，平时多处于闲置状态，因此，在不影响容灾备份和恢复的功能的前提下，一方面，加强灾难恢复“平时”的应急演练，确保“战时”应急恢复的系统效能；另一方面，充分利用容灾设施的各类资源，将日常运营管理和应急容灾备份需求结合起来，综合考虑，发挥更大的效益。5.2 灾备中心布局总体策略5.2.1 布局模式灾备中心布局模式建立在合规的基础上，同时还要考虑数据复制技术的科学性和先进性，并结合广西高速公路管理局信息系统的实际情况考虑其可行性和可靠性，确保灾备系统建设成功。根据监管要求、现有技术条件和广西高速公路管理局实际情况，广西高速公路管理局目前先采用本地容灾的布局模式。该模式在目前广西高速公路管理局现状下，可在最大化利用现有设备的情况下实现数据保护和业务连续性。大幅提升了生产中心IT系统高可用性，具备单台设备故障不影响业务连续性的能力。未来可在此基础上实现同城异地容灾的布局模式，进一步提升应对区域性灾难的能力5.2.2 灾备系统分步建设规划建议灾备系统的建设并不是一蹴而就的，需要逐步优化和完善。结合广西高速公路管理局数据中心的整体规划，采用分步实施、逐步实现的方式，最终达到集团所有共性系统的保护及管理。建议分四阶段来分步完成整体业务连续性建设的目标：项目阶段预计完成时间实现目标第一阶段2011年1. 实现收费系统本地容灾建设，实现存储故障无中断的存储双活的架构模式 第二阶段2012年1. 实现收费系统数据级异地容灾保护2. 实现集中备份系统以及备份系统的异地容灾保护3. 建立异地容灾系统的应急预案及灾难预案。第三阶段2013年1. 实现收费系统应用级异地容灾保护，建立无中断无切换的双活数据中心模式通过以上三个阶段层次化的建设规划，可实现广西高速公路管理局的灾备体系建设。既能在短期内快速建立应对设备灾难的能力，又在配合生产中心的整体规划基础上，进行同城灾备中心业务连续性的建设，合理保护灾备建设的投资。6 容灾方案的选型6.1 容灾级别的选择我们可以看到容灾的建设最核心的步骤是数据容灾，让灾备中心有最接近生产中心的数据，决定了业务中断和恢复的时间。参照其他案例，我们能看到目前已应实现容灾甚至业务容灾的案例，都是从数据容灾开始。考虑实际和技术储备，我们考虑应该从第5级别作为本次建设的起点，为下一个阶段第6级别提供基础和平台。6.2 容灾技术的比较与分析6.2.1 不同容灾技术方案概述不同业务需求和应用特点将可能需要有不同的容灾技术要求，可以采用多种容灾技术来建容灾系统，对广西高速公路管理局的容灾技术平台建设而言，容灾方案的技术核心是数据的保护，实现远程数据复制，并能够在灾难发生时在远端利用复制数据提供企业业务运营支撑服务，因此数据复制技术是构建容灾技术平台的核心。不同数据复制技术的分类如下：数据复制分类根据不同容灾方案所采用数据远程复制技术位于企业IT架构不同层面又可以分为以下三类容灾方案：基于存储层面的容灾方案利用存储系统的远程数据复制功能建设容灾系统，它包括：同类存储平台之间的数据复制；基于主机层面的容灾方案利用主机厂家提供的相关功能软件或第三方的主机软件实现远程的数据复制，建设容灾系统。基于应用层的容灾方案如利用应用软件如Oracle数据库的本身的远程数据复制技术建设容灾系统本节将针对以上“基于存储层面数据复制的容灾方案” 、“基于主机层面的容灾方案” 和“基于应用层容灾方案（以Oracle Data Guard为例）”等三类不同方式容灾方案进行分析。对不同的应用，将需要根据应用的容灾技术方案的实际需要以及技术条件进行评估，从而选择最合适的容灾技术方案。6.2.2 基于存储的数据复制技术建设容灾系统采用基于存储的容灾方案的技术核心是利用存储阵列自身的盘阵对盘阵的数据块复制技术实现对生产数据的远程拷贝，从而实现生产数据的灾难保护。在主数据中心发生灾难时，可以利用灾备中心的数据在灾备中心建立运营支撑环境，为业务继续运营提供IT支持。同时，也可以利用灾备中心的数据恢复主数据中心的业务系统，从而能够让企业的业务运营快速回复到灾难发生前的正常运营状态。基于存储的容灾方案示意图如下：基于存储数据复制技术的容灾方案示意图采用基于存储的数据复制技术建设容灾系统是目前金融电信企业、政府采用较多的容灾方案，有非常多的应用案例，是容灾建设优选的技术方案，因为该方案已经被众多大规模用户的实际应用验证，是比较成熟的技术方案。基于存储的复制可以是如上示意图的“一对一”复制方式，也可以是“一对多或多对一”的复制方式，即一个存储的数据复制到多个远程存储或多个存储的数据复制到同一远程存储；而且复制可以是双向的。基于存储的容灾方案有两种方式：同步方式和异步方式，说明如下：同步方式，可以做到主/备中心磁盘阵列同步地进行数据更新，应用系统的I/O写入主磁盘阵列后(写入Cache中)，主磁盘阵列将利用自身的机制（如EMC的SRDF/S）同时将写I/O写入后备磁盘阵列，后备磁盘阵列确认后，主中心磁盘阵列才返回应用的写操作完成信息。异步方式，是在应用系统的I/O写入主磁盘阵列后(写入Cache中)，主磁盘阵列立即返回给主机应用系统“写完成”信息，主机应用可以继续进行读、写I/O操作。同时，主中心磁盘阵列将利用自身的机制（如EMC的SRDF/A）将写I/O写入后备磁盘阵列，实现数据保护。采用同步方式，使得后备磁盘阵列中的数据总是与生产系统数据同步，因此当生产数据中心发生灾难事件时，不会造成数据丢失。为避免对生产系统性能的影响，同步方式通常在近距离范围内（FC连接通常是200KM范围内，实际用户部署多在35KM左右）。而采用异步方式应用程序不必等待远程更新的完成，因此远程数据备份的性能的影响通常较小，并且备份磁盘的距离和生产磁盘间的距离理论上没有限制（可以通过IP连接来实现数据的异步复制）。采用基于存储数据复制技术建设容灾方案的必要前提是：l 通常必须采用同一厂家的存储平台，通常也必须是同一系列的存储产品，给用户的存储平台选择带来一定的限制。l 采用同步方式可能对生产系统性能产生影响，而且对通信链路要求较高，有距离限制，通常在近距离范围内实现（同城容灾或园区容灾方案）l 采用异步方式与其他种类的异步容灾方案一样，存在数据丢失的风险,通常在远距离通信链路带宽有限的情况下实施。尽管有以上限制，基于存储的容灾技术方案仍然是当前最优先选择的容灾技术平台，尤其是基于EMC公司的存储系统建设容灾方案有非常广泛的应用，这主要是由于基于存储的容灾技术方案有如下优点：l 采用基于存储的数据复制独立于主机平台和应用，对各种应用都适用，而且完全不消耗主机的处理资源。l 采用同步方式可以完全不丢失数据，在同城容灾或园区内容灾方案中，只要通信链路带宽许可，完全可以采用同步方案，而不会对主数据中心的生产系统性能产生显著影响。采用EMC基于存储的同步复制方式的容灾案例有很多，有非常多的成功经验，如中国光大银行（北京南礼士路到陶然亭）、中国民生银行（北京知春路到上地然后到深圳）、辽宁移动、黑龙江移动都采用了EMC同步复制技术，并能满足大规模I/O吞吐情况下的同步数据复制要求。l 采用异步方式虽然存在一定的数据丢失的风险，但没有距离限制，可以实现远距离保护。l 灾备中心的数据可以得到有效利用。l 对于基于应用、基于主机、基于存储的三种容灾方案而言，灾备中心的数据通常不可用，仅为生产系统中的数据提供灾难保护和灾难恢复。但对采用基于存储技术的容灾方案中，有很灵活的技术手段可以充分利用灾备中心的数据，从而提高企业的业务运营效率，带来更多的投资回报。如下图所示：基于存储的容灾方案有效利用灾备数据如上图所示，生产中心的“源数据R1”通过存储本身的数据复制机制被复制到了灾备中心，即“目标数据R2”。 “目标数据R2”在正常生产情况下是不可访问的，灾备中心的后备主机只能在灾难发生时，主中心服务停止后，才可以访问“目标数据”，接管主中心的服务（基于主机和应用的容灾方案的灾备中心数据与此类似）。但采用基于存储的容灾方案时，我们可以为“目标数据”建立一个BCV卷或快照、克隆，从而可以给到另外的服务器使用。利用这种机制，用户可以在容灾中心做很多工作：l 用户开发测试人员可以利用R2-BCV或R2快照得到真实的数据进行新应用开发、测试工作，从而保证新应用的质量，加快新产品上市时间。这种方式在采用基于主机方案和基于应用方案都很难实现，或在获得一份真实数据进行开发测试时需要很长的时间，消耗大量的资源。l 用户的其它应用也可以利用R2-BCV或R2快照满足其它业务的需要。如数据仓库应用通常需要从生产系统抽取数据，一旦进行大规模数据抽取，生产系统几乎处于停顿状态，这时可以利用R2-BCV卷进行数据抽取，从而避免数据抽取给生产系统带来的巨大性能冲击。企业的决策分析系统的数据来源也都可以基于R2-BCV来实现。由于以上优点，基于存储灾难保护方案是目前采用最多的灾难保护方案。6.2.3 采用基于主机的数据复制技术建设容灾系统采用基于主机的容灾方案的示意图如下：基于主机的容灾方案示意图采用基于主机系统的容灾方式的核心是利用主、备中心主机系统通过IP网络建立数据传输通道，通过主机数据管理软件实现数据的远程复制，当主数据中心的数据遭到破坏时，可以随时从备份中心恢复应用或从备份中心恢复数据，从而给企业提供了应用系统容灾的能力。实现远程数据复制的数据管理软件有很多产品，主机厂商和一些第三方软件公司(如Veritas)提供基于主机的数据复制方案，如Sun公司的Availability Suite软件和Veritas Volume Replicator(VVR)等软件可实现基于主机的远程数据复制，从而构建基于主机的容灾系统。采用基于主机的数据复制技术建设容灾方案有以下优点：l 基于主机的方案最主要的优点是只对服务器平台和主机软件有要求,完全不依赖于底层存储平台，生产数据中心和后备数据中心可以采用不同的存储平台；l 既有针对数据库的容灾保护方案，也有针对文件系统的容灾保护方案。l 有很多不同的基于主机的方案，可以满足用户的不同数据保护要求，提供多种不同数据保护模式；l 基于IP网络,没有距离限制同时，采用主机的数据复制技术建设容灾方案有以下局限：l 基于主机的方案通常需要同种主机平台；l 基于主机的数据复制方案由于生产主机既要处理生产请求，又要处理远程数据复制，必须消耗生产主机的计算资源，因而对生产主机性能产生较大的影响，甚至是产生严重影响；l 灾备中心的数据一般不可用，如果用户需要在远程数据中心使用生产数据给开发测试、DW/BI应用使用将非常困难；l 利用主机数据复制软件的方案比较复杂，尤其是和数据库应用结合的时候需要很复杂的机制或多种软件的结合，从而对生产系统的稳定性、可靠性、性能带来显著影响；l 如果有多个系统、多种应用需要灾难保护，采用基于主机的方案将无法有统一的技术方案来实现。l 管理复杂，需要大量的人工干预过程，容易发生错误。目前，企业采用基于主机的数据复制技术建设容灾方案相对比较少，通常适合单一应用或系统在I/O规模不大的情况下局部使用。在应用I/O负载比较大，需要灾难保护的应用及应用类型比较多的时候，基于主机方案将不适用。6.2.4 基于应用的数据复制建设容灾系统基于应用之间的数据复制技术也有很多种，以下按常用的Oracle 9i数据库应用自带的Oracle Data Guard技术来进行分析。 Oracle Data Guard技术是Oracle数据库系统特有的灾难备份和恢复技术，利用了Oracle数据库系统的日志备份和恢复机制。Data Guard的基本原理是在与主系统完全一致的硬件和操作系统平台上建立后备数据库系统，同时对主数据库的数据库日志(Log)和控制文件等关键文件进行备份。在主系统正常工作的同时将主系统产生归档日志文件(Archived Log)不断的传送到后备数据库系统，并且利用这些日志文件在后备数据库系统上连续进行恢复(Recover)操作，以保持后备系统与运行系统的一致。当主系统发生故障时，使用备份的数据库日志文件在后备数据库上恢复主数据库内的数据。采用Oracle Data Guard的容灾方案Oracle9i Data Guard提供了三种模式： 最大保护模式 最大可用模式 最大性能模式Oracle Data Guard最大保护模式提供了对于主数据库最高级别的数据可用度，是一种保证零数据丢失的容灾解决方案。当运行最大保护模式时，Redo纪录以同步的方式从主数据库发送到后备数据库，而且，在主数据库方的事务，一定要等到至少有一个后备数据库确认接收到事务数据，该事务才被提交。在这种模式下，一般配置至少两个后备数据库，以提供双重容错保护。如果后备数据库不可用，则主数据库方会自动挂起处理进程。最大可用性模式提供了对于主数据库次高级别的数据可用度，保证零数据丢失，并对单个组件的失败提供保护。与最大保护模式一样，redo数据被同步地从主数据库发送到后备数据库。在主数据库方的事务，一定要等到后备数据库确认接收事务数据，该事务才被提交。然而，如果后备数据库因为诸如网络连接之类的问题而不可用时，主数据库方的处理会继续执行。这样，会出现后备数据库暂时与主数据库不一致的情况，但是一旦后备数据库恢复可用，数据库会自动同步，不会有数据丢失。最大性能模式是缺省的保护模式。与最大可用性模式相比，它对于主数据库提供稍弱一点的保护，但是性能更高。在这种模式下，当主数据库对事务进行处理时，日志数据被以异步的方式传送到后备数据库。在主数据库方，提交操作在完成写的动作前、无需等待后备数据库的接收确认。在任何时候，如果后备方不可用，主数据库方的处理继续执行，这样对性能不会有什么影响。采用Oracle 9i Data Guard技术进行灾难备份需要满足以下前提条件：l 后备系统与主系统的硬件平台、操作系统、操作系统版本等保持一致；l 后备系统与主系统上Oracle用户的权限一致；l 后备系统与主系统的Oracle数据库版本一致；l 后备系统与主系统的Oracle数据库配置文件一致。采用Oracle Data Guard建设容灾方案有以下优点：l 完全通过Oracle数据库机制来实现，完全不依赖于其它软件和底层存储平台；l 可以满足用户的不同性能、数据保护要求，提供多种不同数据保护模式；l 可以实现一对多的数据复制，提供多重保护；l 后备数据库可以在很短的时间内提升到生产状态（因为数据库已经在运行）l 基于IP网络,没有距离限制同时，采用Oracle Data Guard建设容灾方案有以下限制：l Oracle Data Guard的三种模式都将对生产数据库系统的性能产生影响,因而需要更多的处理资源；l 后备数据库不可用，如果用户需要在远程数据中心使用生产数据给开发测试、DW/BI应用使用将非常困难。l 只能对Oracle数据库数据提供保护，不能对其它应用数据如文件应用等提供灾难保护。l 管理复杂，需要大量的人工干预过程，容易发生错误。l 只能保护Oracle数据库，无法保护其他应用数据。业界其它基于应用的的容灾方案的优点和局限性与Oracle Data Guard模式基本相同。6.2.5 小结综合比较数据库级容灾、主机复制以及存储设备级容灾，几种方式的差异如下表所示：容灾方式比较比较项数据库级容灾主机复制级容灾存储设备容灾理想距离1000km100km（同步）1000km（异步）100km（同步）1000km（异步）链路要求已有FC/普通IP网络专用链路专用链路对软件的要求专用软件专用软件无数据保护范围数据库不同应用不同部署对数据库以外的数据无保护基于主机的所有数据（含数据库与其它数据）不同主机不同部署基于存储的所有数据集中保护，与主机/数据库无关对应用系统性能的影响很大很大无是否需要专用存储系统否否是实施简单性复杂复杂复杂维护简单性复杂复杂复杂成本组成与生存主机同档次的主机成本存储成本所有需要保护的数据库及复制软件成本实施成本主机复制软件成本存储成本实施成本存储成本存储复制软件成本实施成本综合，上面的分析说明,数据库和主机复制技术首先需要灾备中心服务器的增加，因为所有的复制操作均需要服务器的参与；其次，需要在服务器上安装软件，需要考虑将来软件和业务系统的兼容性和可维护性；第三，由于服务器在复制中的参与，势必占用生产系统服务器的处理资源，需要考虑对业务系统处理的影响是否可接受。对于数据库服务，还要考虑目前我们有几种类型的数据库，每种数据库的实施复制后对数据库结构的影响。6.3 EMC基的容灾方案VPLEX无中断的双活解决方案6.3.1 VPlex产品及功能概述EMC存储虚拟化VPlex解决方案用于在数据中心内、跨数据中心和在数据中心之间进行信息虚拟化、访问、共享和迁移。它是世界上第一个同时提供本地联合和分布式联合的平台。 本地联合提供站点内信息基础架构的透明协作。分布式联合跨远距离扩展两个位置之间的访问能力。VPLEX 是一个用于联合 EMC 和非 EMC 存储 的解决方案。 EMC VPLEX 引入了一种新的体系结构，它吸收了 EMC 在 20 多年设计、实施和完善企业级智能缓存和分布式数据保护解决方案实践中取得的丰富经验。 以可扩展、高可用的处理器引擎为基础，EMC VPLEX 设计为可从小型配置无缝扩展到大型配置。VPLEX 驻留在服务器和异构存储资产之间，使用独特的群集体系结构，该体系结构允许多个数据中心的服务器具有对共享块存储设备的读/写访问权限。新体系结构的独特特征包括： l 横向扩展群集硬件，允许您从小配置开始并以可预知的服务级别逐步扩展 l 高级数据缓存，它利用大规模 SDRAM 缓存提高性能并减少 I/O 延迟和阵列争用 l 分布式缓存吻合性，可跨整个群集自动执行 I/O 的共享、平衡和故障切换 l 一个统一视图显示跨 VPLEX 群集的一个或多个 LUN（这些群集可以是在同一数据中心内相距几英尺，也可以是跨同步距离），从而实现新的高可用性和工作负载移置模式。 VPLEX 系列包括两个产品：VPLEX Local 和 VPLEX Metro。 l VPLEX Local 支持本地联合,可跨异构阵列提供简化的管理和无中断数据移动。 l VPLEX Metro 提供分布式联合能力，扩展了同步距离内两个位置间的访问能力。VPLEX Metro 利用 AccessAnywhere 支持跨远距离共享、访问和移置单个数据拷贝。提供同步距离内两个 VPLEX 群集之间的数据访问和移动。 运行 EMC GeoSynchrony 操作系统的 EMC VPLEX 系列产品为金融业信息架构架构整合和云计算时代提供了非常广泛的新特性和功能。下面将对三种应用场景进行具体分析:l 跨数据中心移动虚拟化的应用程序 l 实现跨阵列的不中断应用的数据迁移l 聚合数据中心并提供全天候 IT 服务 6.3.2 将VPlex应用于VMware虚拟化平台EMC VPLEX 可提供本地联合和分布式联合，这一能力允许单个站点内或跨两个不同地理位置的物理数据元素的透明协作，并允许 IT 管理员打破物理壁垒，扩展他们基于 VMware 的云解决方案。图示如下:EMC存储虚拟化VPlex解决方案打破了数据中心的物理壁垒，允许用户从不同地理位置同时访问单个数据副本，从而实现在数据中心之间透明地迁移应用负载。这一能力允许在多个站点之间透明地共享负载，并提供了有计划在站点之间迁移工作负载的灵活性。另外，如果在其中一个数据中心发生了导致应用程序中断的计划外事件，则中断的应用程序可以在幸存下来的站点上重启，而这只需要最小的工作量，并最大限度地缩短了恢复时间目标 (RTO)。6.3.3 应用VPlex实现不停机数据迁移.让任何一位存储专业人员列出他们面临的最大难题，数据迁移总会处在或靠近这一难题列表的顶部。通常，在实施用新的存储系统（如 Symmetrix VMAX）替换旧式存储的技术更新计划期间，需要进行数据迁移。 随着性能和可用性需求的变化，还