AAA系统两地三中心方案

1、【MeiWei 81 重点借鉴文档】金融行业“两地三中心”数据备份与恢复方案设计1. “两地三中心”设计背景1.1. 行业背景中国有句俗话， “人无远虑，必有近忧 ”。伴随信息化的不断深入，银行越来 越依赖信息系统， 在信息化给社会和银行带来巨大好处的同时， 这也使得银行的 组织更易遭受攻击，从而造成业务系统的中断、数据丢失等。近年来，越来越多的银行发现，他们的 IT 系统意外地、不必要地中断 即便是临时性的， 也会使银行业务活动立即中断， 无法继续开展， 数据的丢失或 访问中断，不仅影响了系统运行，还给银行造成重大损失。1.2. 业务持续性需求银行的服务日益全球化， 经济的增长和国民财富的急

2、剧增长， 客户的需求日 益多样化和复杂化， 对银行的服务质量的期望值越来越高， 使银行保持业务连续 状态成为当务之急。 所谓业务连续， 就是无论发生任何情况， 关键系统和网络都 持续可用。传统意义上的备份和恢复计划无法继续满足需要。 当今的预防措施应该包括 风险评估、 中断影响分析以及避免中断策略， 必须将这些因素充分考虑进综合业 务持续性计划。在信息时代，业务持续性不再是一项 “可有可无 ”的工作，而是“势 在必行 ”的重点规划。1.3. “两地三中心”业务保障 影响业务持续性发展的因素很多，既有外部因素，如电力、通讯等；也有内 部因素，如场地、人员、决策、 IT 技术等。但从系统的观念看，

3、可以说目前影 响银行业务持续发展的最直接的威胁来自于信息系统的安全。健全业务持续性风险的预防策略和措施，需要以下几点基于业务的需求：a) 实施数据集中保护。随着数据日益成为银行的生命线，支持业务持续性 的数据存储策略成为银行必须考虑的重点。 它的优势在于， 总体存储的方式可使 银行降低购置和维护的成本，最大限度地减少管理多个独立业务系统的复杂性， 提高银行数据的整体安全性。 同时， 存储容量也可得以优化， 减少利用率偏低的MeiWei_81 重点借鉴文档】MeiWei 81 重点借鉴文档】现象b）采用冗余、集群、负载均衡能力等技术，消除单点故障，提高系统的高 可用性，提高系统性能影响。建立信息

4、系统安全业务持续性保障体系， 针对灾难性事件的预防目标， 建议 总、分行层面考虑建立异地容灾环境， 建立异地备份机房， 配备核心业务需要的 基础设施、网络设备、通讯线路和计算机设备；建立数据服务器区，实现全行经 营数据的集中保存。构建生产中心、同城灾备中心、异地灾备中心的“两地三个 中心”灾备体系。2. “两地三中心”灾难恢复系统布局2.1. 布局原则a）灾难备份中心设置在中华人民共和国境内；b）灾难备份中心与生产中心之间距离合理， 应避免灾难备份中心与生产中心 同时遭受同类风险；c）灾难备份中心的选址应服从国家战略安全要求， 并综合考虑生产中心与灾 难备份中心交通和电讯的便利性与多样性， 以

5、及灾难备份中心当地的业务与技术 支持能力、电讯资源、地理地质环境、公共资源与服务配套能力等外部支持条件。2.2. 布局模式根据成本风险平衡原则以及运行管理要求，采用“一主双备”布局模式，即 一个生产中心，两个个备份中心，其中一个同城备份、一个异地备份。对于同城数据备份中心，应与生产中心直线距离至少达到 30 公里，可以接 管所有核心业务的运行； 对于异地数据备份中心， 应与生产中心直线距离至少达 到 100 公里。3. “两地三中心”灾难恢复系统设计3.1. “两地三中心 ”框架设计结合近年国内出现的大范围自然灾害， 以同城双中心加异地灾备中心的 “两 地三中心”的灾备模式兼具高可用性和灾难备

6、份的能力。MeiWei_81 重点借鉴文档】【MeiWei 81 重点借鉴文档】 同城双中心是指在同城或邻近城市建立两个可独立承担关键系统运行的数 据中心，双中心具备基本等同的业务处理能力并通过高速链路实时同步数据， 日 常情况下可同时分担业务及管理系统的运行， 并可切换运行； 灾难情况下可在基 本不丢失数据的情况下进行灾备应急切换， 保持业务连续运行。 与异地灾备模式 相比较，同城双中心具有投资成本低、建设速度快、运维管理相对简单、可靠性 更高等优点。异地灾备中心是指在异地的城市建立一个备份的灾备中心， 用于双中心的数 据备份，当双中心出现自然灾害等原因而发生故障时， 异地灾备中心可以用备份

7、 数据进行业务的恢复。两地三中心”的灾备模式框架图如下图所示：如图，同城双中心的应用切换， 采用集群软件来实现， 生产中心主机和灾备 中心主机上都需要进行集群。 采用集群监测本地双机或集群状态， 并通过组件在 本地和远程的集群之间进行状态监测。在网络层， 同城双中心之间采用光纤连接， 保证双中心之间较大的带宽， 以 响应实时的业务数据需求，同城异地之间采用专网或 IP 广域网即可实现，以节 约成本。同城双中心的光纤采用波分复用（ WDM ）技术进行建设，针对两地只 有 1 条或 2 条光纤连接的场景，采用 WDM 方式，能够虚拟出多条 FC 或 GE 联 络，满足两地之间对业务和数据多重链路的

8、需求。 WDM 技术能充分利用光纤的 巨大带宽资源， 大幅度提高系统传输容量， 降低传输成本， 因此在长途和骨干网MeiWei_81 重点借鉴文档】【MeiWei_81 重点借鉴文档】 的超大容量传输中得到了广泛的应用。 将 WDM 技术引入城域网、 接入网， 整个 网络就会变成无缝连接的整体， 为所有不同的业务提供支持和连接， 因此城域网 中 WDM 具有很大优越性。在数据存储层， 部署虚拟存磁盘阵列， 通过存储的同步远程复制功能将数据 同步复制到灾备站点。 确保生产中心和灾备中心的数据完全一致。 使用存储的异 步复制功能， 将数据通过广域网复制到远端的灾备站点， 并且保证数据的完整性 和可

9、用性。 远端站点的作用主要是用来防止地理和自然灾难， 当同城的双中心全 部故障后，可以确保在异地有一份完整的数据拷贝，用于后续业务的恢复。3.2. 灾难恢复能力等级需求3.2.1. 国家标准要求灾难备份级别根据国家标准信息系统灾难恢复规范 （GB/T20988-20RR） 的定义：灾难 是指由于人为或自然的原因， 造成信息系统严重故障或瘫痪， 使信息系统支持的 业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。灾难备份是指为了灾难恢复而对数据、 数据处理系统、网络系统、基础设施、 专业技术支持能力和运行管理能力进行备份的过程； 而灾难恢复是指为了将信息 系统从灾难造成的故障或瘫痪状态

10、恢复到可正常运行状态、 并将其支持的业务功 能从灾难造成的不正常状态恢复到可接受状态， 而设计的活动和流程。 灾备系统 的建设包含七要素：数据备份系统、备用数据处理系统、备用网络系统、备用基 础设施、专业技术支持能力、运行维护管理能力、灾难恢复预案。信息系统灾难恢复规范 将灾难恢复能力划分为 6 级，灾难恢复能力等级 越高，对信息系统的保护效果越好， 但同时成本也会迅速上升。 灾备等级主要从 RTO（恢复时间目标 ）和 RPO（恢复点目标 ）来考虑，RPO（恢复点目标 ）是指发生灾难 前最后一次备份的时间点距离当前时间差 （数据丢失时间 ）；RTO（时间恢复目标 ） 是指发生灾难后恢复物理系统

11、环境的时间。大部分的用户关注的是数据安全性， 即 RPO 值（RPO 越小，数据丢失越少 ），但是用户往往谈的更多的是 RTO（RTO 越 小，恢复生产越快 ）。3.2.2. 金融行业标准要求灾难恢复级别金融行业标准银行业信息系统灾难恢复管理规范 （JR/T0044-20RR）中指MeiWei_81 重点借鉴文档】【MeiWei 81 重点借鉴文档】 出金融单位应根据风险分析、 业务功能分析和业务中断影响分析的结论， 将信息 系统按时间敏感性分成三类需求等级：第一类：短时间中断将严重影响单位关键业务功能并造成重大经济损失的系 统；单位和用户对系统短时间中断不能容忍的系统。第二类：短时间中断将影

12、响单位部分关键业务功能并造成较大经济损失的系 统；单位和用户对系统短时间中断具有一定容忍度的系统。第三类：短时间中断将影响单位非关键业务功能并造成一定经济损失的系统； 业务功能容许一段时间中断的系统。根据信息系统的时间敏感性，确定信息系统灾难恢复目标的最低要求：第一类： RTO6小时， RPO15分钟；第二类： RTO24小时， RPO120分钟；第三类： RTO7天。结合信息系统灾难恢复目标的最低要求和 信息系统灾难恢复规范 将灾难 恢复能力划分为 6级要求，第一类信息系统达到 5级灾难恢复能力； 第二类达到 3 级灾难恢复能力；第三类达到 2 级灾难恢复能力。3.3. “两地三中心”建设策

13、略依照中国金融行业 IT 战略规划和架构的要求，我们认为“两地三中心”的 建设应按照如下策略进行：“两地三中心”建设要满足业务的需求。建设资金投入、功能、处理能力、 管理方式等必须满足目前的业务需求，同时还要兼顾未来发展的要求。“两地三中心” 需要建立高可用性的架构。 其中灾备中心启用后， 就开始做 为生产中心提供服务。 因此灾备中心也应该与生产中心一样， 对关键业务应用采 用高可用性架构，以防止由于单点故障而引起宕机“两地三中心” 应该可以提供演习环境。 演习是保证业务永续运行计划有效 性的重要手段， 每年至少应该举行一次。 演习环境是为了保证在演习是正常的业 务处理仍能继续而建立的。Mei

14、Wei_81 重点借鉴文档】【MeiWei 81 重点借鉴文档】“两地三中心” 设备应该得到充分利用。 系统建设不仅要考率到紧急情况下 的使用情况， 还要考虑日常如何利用。 例如，为了在平时提供灾备中心设备的利 用率，可以利用灾备中心的设备进行应用的开发和测试。“两地三中心”建设以用先进、成熟的方法论做为指导， 分阶段进行。先进、 成熟的方法论为灾备中心建设的成功提供了保障。灾备中心与生产中心使用结构相同的 IT 基础架构和管理流程。这样可以大 大降低管理与运行维护的复杂度。 灾备中心的处理能力可以与生产中心不同， 但 是要满足业务需要。建设的内容包括： 面向数据中心提供网络通讯设备、 通讯线

15、路、 存储网络设 备的全面容错和异地容灾； 面向数据中心提供部分关键业务系统的容错和异地容 灾。4. “两地三中心 ”方案实现4.1. 系统实现4.1.1. 数据备份同城双中心的数据采用同步复制， 在同城灾备中心建立一个在线更新的数据 副本。当有数据下发到生产中心阵列时， 阵列间的同步复制都会同时将数据复制 一份到同城灾备中心。同城灾备中心与异地灾备中心之间采用异步复制方式， 定期将数据进行复制 备份，异步复制支持增量复制方式， 可以节省数据备份的带宽占用， 缩短数据的 备份时间。4.1.2. 灾难检测通过对资源组状态的监控来判断资源的可用性， 包括数据库资源组、 网络资 源组等。资源组的状态

16、分 online/offline/fault 三种，正常情况下生产中心在工作的 时候资源组的状态都是 online，而灾备中心的资源组是 offline 状态。 每个资源组 在 online 和 offline 的时候均可以指定运行程序或脚本，程序或脚本执行完成后 资源组即完成 online 或 offline 的过程。当检测到生产中心有资源组出现 fault 状 态时，同城内生产中心同灾备中心将进行切换，以保证业务的连续性。MeiWei_81 重点借鉴文档】【MeiWei_81 重点借鉴文档】4.1.3. 容灾切换基于应用容灾切换包括一系列的动作： 停止灾难节点的部件服务、 切断数据 复制链

17、路、 建立数据容灾基线、 启动容灾节点的部件服务、 通知前端设备进行业 务网络切换。具体动作可以结合实际情况，通过脚本来定制。4.1.4. 恢复回切回切工作流程和切换流程原理是一样的， 只是因为切换的时候是不确定触发 的、可能导致业务受部分影响； 而回切的时候通过人工确认， 选择最小影响的情 况下执行操作（比如业务流量非常小的情况下，甚至暂停业务情况下） ，因此回 切推荐采用的是手动切换模式。应用级容灾采用的是自动切换还是手动切换， 用户可以在部署时通过修改主 机集群软件的切换配置实现。同城范围有效保证了数据的安全性和业务连续性； 异地复制数据根据灾难情形，尽可能降低数据丢失机率； 同城双中心

18、为同步复制，数据实时同步， RPO=0； 异地无距离限制，保证数据一致性，保证了数据的有效保护； 异地容灾带宽要求低，先进的复制机制提高带宽利用率。4.2. 业务应用备份恢复实现应用环境备份的目的是确保灾备中心能够快速重建数据中心应用系统环境， 并实现备份业务系统对生产系统有效替代。对应用环境备份的设计要点包括：通过配置同步技术， 实现数据中心应用环境的一致性。 灾备中心的应用环境 在技术路线、 设备部署方面应尽量保证与数据中心应用环境一致。 这样有利于提 高灾备应用环境与生产应用环境之间手工切换的效率， 也有利于日常检验灾备应 用环境的可用性。一般可通过灾备应用环境定期向生产应用环境读取配置文件、 参数等方式，实现两者配置的同步。灾备中心关键型业务系统实现集群间自动切换， 其余业务系统则采用手工切 换模式。数据中心应用服务器一般通过 HA 等技术建立高可用性集群， 保证本地 应用服务的高可靠性。 同样，只要建立数据中心与灾备中心之间的高可用性网络MeiWei_8