灾备方案电子教案

1、灾备方案1 .数据中心容灾备份解决方案随着社会的发展和科技的进步，政府日常工作越来越依赖于数据处理来进行，政务系统的连续性依赖于数据中心系统的稳定运行。然而，灾难就像灰尘一样伏击在运营环境周围，政务系统的数据中心可能正在一个充满风险和威胁的环境下运行。如果不能对这些风险采取有效治理，一旦数据由于某种原因丢失，就很有可能对政府的日常工作造成严重的影响。如果核心数据丢失，将会使得某些核心功能陷入瘫痪，造成不可估量的损失。因此，保证政务的连续性和数据的高可靠性和可用性，已经成为政府部门在数据中心建设中，必须要考虑的问题。1.1 灾备解决方案原则首先，在制定容灾系统方案的过程中要考虑的就是容灾系统建设

2、对原有业务系统带来的影响。比如，采用数据复制技术对系统I/O 带来的延迟，应用数据同步对日常业务处理系统带来的压力等。因此，企业要通过周密的测试和分析来规避容灾系统建设时带来的这些风险，以保证业务系统不会因容灾系统的建设而出现在处理性能上下降的问题。第二，数据状态要保持同步。为保证在灾难发生时，业务可以成功地切换到备份中心，就必须保证容灾系统数据同步机制的可靠性。因此，建立可靠的数据同步校验机制是必须的 ; 同时，还要考虑建立定时的、自动的数据同步核查对比机制，以检验两个中心数据的一致性，这是数据容灾工作中非常重要的一部分。第三，容灾系统的日常维护工作要尽可能轻，并能承担部分业务处理和测试的工

3、作。容灾系统的维护和管理是容灾切换成功的重要保证，在系统建设中，就必须要考虑系统的维护管理流程。生产中心任何业务处理过程的改变都必须完整地复制到备份中心; 所有新业务系统上线时，必须通知备份中心，并在备份中心配置好数据同步机制 ; 对原程序的改动也必须保证两个中心同时上线。第四，系统恢复时间要尽可能短。容灾系统主要是为了实现在主中心系统发生灾难时，可以在规定时间切换到备份中心，保证数据不会丢失，并且继续向用户提供服务。但往往在灾难发生时，主要技术人员不能及时到达现场，为了顺利实现系统间的切换，应该让系统切换操作尽可能地简单; 并建立固定化的、标准化的切换流程，要求维护人员在切换演习时严格按照流

4、程的指导步骤进行操作。第五，可实现部分业务子系统的切换和回切。当人事变动、业务变化、 IT 设施变化以及其他可能引起恢复规划文档失效的变化发生时，应及时更新各恢复规划文档，并在必要时启动模拟测试或演习，确保业务连续性系统的工作能力。第六，技术方案选择要遵循成熟稳定、高可靠性、可扩展性、透明性的原则。目前，国际上比较成熟的容灾技术包括：SAN/NAS技术、远程镜像技术、虚拟存储、基于IP的SAN互连技术以及快照技术等。其中基于IP的SAN远程数据 容灾备份技术应用比较广泛，其是利用基于 IP 的 SAN 的互连协议，将主数据中心 SAN 中的信息通过现有的 TCP/IP 网络，远程复制到备份中心

5、的 SAN 中的。当备份中心存储的数据量过大时，可利用快照技术将其备份到磁带库或光盘库。这种基于IP的SAN远程容灾备份，可以跨越 LAN、MAN和WAN,成本 低、可扩展性好。基于 IP 的互连协议主要包括FCIP、 iFCP、 InfiniBand 、 iSCSI第七，构建系统方案可以选择多种技术组合方式。目前，业内应用较多的容灾方案是基于智能存储系统的远程数据复制技术，它是由智能存储系统自身实现的数据远程复制和同步，即智能存储系统将对该系统中的存储器I/O 操作请求复制到远端的存储系统中并执行。由于在这种方式下，数据复制软件运行在存储系统内，因此较容易实现主中心和容灾备份中心的操作系统、

6、数据库、系统库和目录的实时拷贝及维护能力，且不会影响主中心主机系统的性能。如果在系统恢复场具备了实时数据，那么就可以做到在灾难发生时，及时开始应用处理过程的恢复。但这种方案也有开放性差(不同厂家的存储设备系统一般不能配合使用 )、对于主、备中心之间的网络条件(稳定性、带宽、链路空间距离)要求较苛刻等缺点。1.2 灾备解决方案设计需要考虑的因素1.2.1 RTO 和 RPORTO( RecoveryTime Object )：是指灾难发生后，从IT 系统宕机导致业务停顿之刻开始，到 IT 系统恢复至可以支持各部门运作，业务恢复运营之时，此两点之间的时间段成为RTO。 RTO 是反映业务恢复及时性

7、的指标，表示业务从中断到回复正常所需要的时间。RTO值越小，代表容灾系统的数据恢复能力越 强。各种容灾解决方案的RTO有较大差别，基于光通道技术的同步数据复制， 配合异地备用的业务系统和跨业务中心与备份中心的高可用管理，这种容灾解决方案具有最小的RTO。RPO( Recovery Point Objective )，是指从系统和应用数据而言，要实现能够恢复至可以支持各部门业务运作，系统及生产数据应恢复到怎样的更新程度。RPO是反映恢复数据完整性的指标，在同步数据复制方式下，RPO等于数据传输延迟的时间；在异步数据复制下，RPO基本为异步传输数据排队的时间。在 实际应用中，考虑导数据传输的因素，

8、业务数据库与容灾备份数据库的一致性(SCN)是不同的，RPO表示业务数据库与容灾备份数据库 SCN的时间差。发 生灾难后，启动容灾系统完成数据恢复，RPO就是新恢复业务系统的数据损失量。设计容灾系统不能只看 RTO和RPO,对于不同的业务系统和用户特殊的要求， 其它一些指标有可能成为选择容灾解决方案的主要因素。例如，某些地区为了 防范一些特定自然灾害的风险，要求容灾备份中心与业务中心保持足够的距 离，在这种情况下，容灾备份中心与业务中心的距离要求就是容灾系统的重要 指标。1.2.2 数据安全数据的完整性，一致性是保证业务连续的关键。在本地，数据安全需要使用 RAID技术来保证。在灾备方案的设计

9、中，数据复制方案的设计是整个设计的基 础。目前业界主流的数据复制技术有：基于数据库本身的复制技术，基于操作 系统的数据复制，基于虚拟存储的复制技术和基于存储的复制技术。在方案所 用技术的选择时，应当根据客户的预算，现场的条件，综合来进行考量。后续 在1.6.1数据同步章节，将会有这4类数据复制技术的综合对比，可以作为选 择的参考。1.2.3 网络安全通信网络是容灾系统的组成部分，通信线路的质量也是容灾系统的性能指标之 一，其中包括网络的数据传输带宽、网络传输通道的冗余和网络服务商的服务 水平（网络年中断率）。如果容灾系统使用的通信网络是确定的，为了比较不 同容灾解决方案，可以用单位存储容量的数

10、据库在同一通信网络上的数据完全 恢复时间作为一项设计指标。1.2.4 业务连续性业务连续性是灾备方案的最终目标，是方案的价值所在。为了保证业务的连 续，首先需要数据的连续，之前我们讨论了数据安全相关的内容。其次，在数 据连续的基础上，出现灾难时，系统需要能够满足（1）网络切换（2）应用切 换。以此，来保证系统能够顺利切换到灾备地，继续安全运营，最大化保证客 户利益。1.3 国标系统灾备等级划分及应对措施 国家信息系统灾难恢复规范（GB/T 20988-2007 ）规定了六个级别的容 灾，下表分别针对每个级别给出了相应的应对措施。级别内容措施Level6数据零丢失和远程集群支持实现远程数据实时备

11、份，实现零丢失； 应用软件可以实现实时无缝切换； 远程集群系统的实时监控和自动切换能力；Level5实时数据传输及完整设备支持实现远程数据复制技术；备用网络也具备字哦那个或集中切换能力；Level4电子传输及完整设备支持配置所需要的全部数据和通讯线路及网络设备，并处于就绪状态；7*24运行；更高的技术支持和运维管理；Level3电子传输和部分设备支持配置部分数据，通信线路和网络设备； 每天实现多次的数据电子传输； 备用场地配置专制的运行管理人员；Level2备用场地支持预定时间调配数据，通信线路和网络设备； 备用场地管理制度；设备及网络紧急供货协议；Level1基本支持每周至少做一次完全数据备

12、份； 制定介质存取/验证和转储的管理制度； 完整测试和演练的灾难恢复计划；1.4 容灾技术分析1.4.1 备份方式(1)冷备份备份系统未安装或未配置成与当前使用的系统相同或相似的运行环境，应用系统数据没有及时装入备份系统。一旦发生灾难，需安装配置所需的运行环境， 用数据备份介质(磁带或光盘)恢复应用数据，手工逐笔或自动批量追补孤立 数据，将终端用户通过通讯线路切换到备份系统，恢复业务运行。优点：设备 投资较少，节省通信费用，通信环境要求不高。缺点：恢复时间较长，一般要 数天至1周，数据完整性与一致性较差。(2)温备份将备份系统已安装配置成与当前使用的系统相同或相似的系统和网络运行环 境，安装了

13、应用系统业务定期备份数据。一旦发生灾难，直接使用定期备份数 据，手工逐笔或自动批量追补孤立数据或将终端用户通过通讯线路切换到备份 系统，恢复业务运行。优点：设备投资较少，通信环境要求不高。缺点：恢复 时间长，一般要十几个小时至数天，数据完整性与一致性较差。(3)热备份备份处于联机状态，当前应用系统通过高速通信线路将数据实时传送到备份系 统，保持备份系统与当前应用系统数据的同步；也可定时在备份系统上恢复应 用系统的数据。一旦发生灾难，不用追补或只需追补很少的孤立数据，备份系 统可快速接替生产系统运行，恢复营业。优点：恢复时间短，一般几十分钟到 数小时，数据完整性与一致性最好，数据丢失可能性最小。

14、缺点：设备投资 大，通信费用高，通信环境要求高，平时运行管理较复杂。在计算机服务器备份和恢复中，冷备份服务器(cold server)是在主服务器丢 失的情况下才使用的备份服务器。冷备份服务器基本上只在软件安装和配置的 情况下打开，然后关闭直到需要时再打开。温备份服务器(warm server ) 一般都是周期性开机，根据主服务器内容进行更 新，然后关机。经常用温备份服务器来进行复制和镜像操作。热备份服务器(hot server)时刻处于开机状态，同主机保持同步。当主机失灵 时，可以随时启用热备份服务器来代替。对于关键的业务，Primeton建议采用同城热备+异地热备的方式进行部署，对 于一般

15、性的业务，建议采用同城热备+异地温备(应用不启动，数据保持异步 复制)的方式进行部署。1.4.2 数据复制技术 目前数据复制技术主要有如下表所列 4种，基于红色字体部分的要求，结合客 户的需要，Primeton推荐采用基于存储或者基于应用程序的数据复制技术来进 行数据同步。存储系ZMH本 原 理数据的复制过程通过本地 的存储系统和远端的存储 系统之间的通信完成。复制技术是伴随着存储局域 网的出现引入的，通过构建 虚拟存储上实现数据复制。数据卷管理器来实 现对数据的远程复 制。数据库的异地复制技术，通常采用日志 复制功能，依靠本地和 远程主机间的日 志归档与传递来实现两端的数据一致。* 台 要

16、求同构存储与平台尢天，需要增加专有的复制服务器 或带有复制功能的SAN交换 机同构主机、异构存 储与平台无关复制性能高高高较高资 源 占 用对生产系统存储性能有影 响对网络要求高对生产系统主机性 能有影响占用部分生产系统数据库资源技术成熟度成熟成熟度有待提高，非主流复 制技术。成熟成熟投 入 成 本高，需要同构存储较高，需要专有设备较高，需要同构主 机一般部分软件免费，如DataGuard复 制 软 件IBM PPRCEMC SRDFHP CA (ContinuesAccess)HDS TrueCopyBrocade Tapestry DMMUIT SVMEMC VSM原厂技术：IBM AIX

17、 LVM HP-UINX MirrorDisk Sun Solaris SVM 专业的复制软件： Symantec SF/VVROracle DataGuardOracle GoldenGateDNT IDRDSG RealSyncQuest SharePlex重复数据删除技术是指将存储系统中存在的大量内容相同的数据删除，只保留其中一份，从而缩减存储空间的技术。在云灾备中，该技术既能大幅减少灾备中心存储的数据量，降低灾备中心的建设和运维成本，又能大幅减少数据备份和恢复过程中用户和灾备提供商间的数据传输量，提高备份和恢复的性能，是一项十分重要的技术。随着灾备中心的规模不断增大，存储的数据量和访问

18、量不断增加，单一节点上的重复数据删除方法已不能满足性能和容量的需求。除上述基本重复数据删除技术外，一些优化和改进技术对云灾备是至关重要的，包括高性能、可扩展的、分布式的重复数据删除技术，以及为提高灾备中心数据可靠性的高可靠重复数据删除技术。1.4.4 操作系统虚拟化技术除了数据级的灾备，还应提供系统级的灾备。即在将数据复制到云端的同时，也将受保护的应用程序的状态复制到云端，当灾难发生时可以立即切换到云端的应用程序运行，保证业务连续性。系统级灾备是通过操作系统虚拟化和检查点实现的。检查点用来捕获进程某一时刻的运行状态，从而实现进程迁移。进程迁移既可以是用户应用程序进程到云灾备中心的迁移，也可以是

19、云灾备中心内部的虚拟机池间进程迁移，以实现根据前端用户的需求自动地调节灾备服务提供商有限的硬件与软件资源，动态地、弹性的反应前端业务对灾备的需求。当程序因故障中断，如果不能保留其中间运行状态，恢复后从头运行将会带来极大的消耗。检查点技术能够解决这个问题。通过保留各个进程的运行状态，恢复时能够复原到最近一次保留的数据映像。传统的检查员机制是基于库的检查点机制。例如以静态库的形式实现，或通过加载动态链接库来追踪程序运行过程中的数据变化。也有一些检查点机制实现于内核级别甚至硬件级别。例如通过在文件系统层之上引入一个中间层来实现保留文件系统状态的检查点机制；或者借助 Fuse 内核模块实现的支持检查点

20、机制的文件系统，通过Fuse 侦测、拦截内核级别的文件系统操作并将控制权传递给用户，从而能够在用户空间对文件系统状态进行保留。随着操作系统虚拟化技术的发展，基于虚拟容器的检查点技术也得到了很好的应用。虚拟容器是通过系统虚拟化技术构建出来的一个进程运行的较独立的上下文环境。虚拟容器检查点技术能够有效保护容器内运行的应用程序和服务而不需要对应用进行修改。1.5 总体架构设计1.5.1Primeton “两地三中心”容灾解决方案架构设计两地三结合近年国内出现的大范围自然灾害，以同城双中心加异地灾备中心的 中心”备灾备模式也随之出现，这一方案兼具高可用性和灾难备份的能力两地三中心”本地高

21、可用和容灾保护策略(1)本地保护策略:?本地高可用?本地clone?持续数据保护? B2D/BVTL?磁带备份? Archive Log 备份(2)容灾保护策略?应用级或者数据级容灾?同级容灾、降级容灾?同步数据保护/异步数据保护?容灾数据复制技术?主备中心运营方式/双主中心运营方式/多中心运营方式?短、中、远期容灾策略 两地三中心”功能定位生产中心同城备份中心异地灾备中心生产生产(双活或热备)生产备份备份备份灾备灾备灾备开发监控测试测试监控监控管理管理同城双中心是指在同城或邻近城市建立两个可独立承担关键系统运行的数据中 心，双中心具备基本等同的业务处理能力并通过高速链路实时同步

22、数据，日常 情况下可同时分担业务及管理系统的运行，并可切换运行；灾难情况下可在基 本不丢失数据的情况下进行灾备应急切换，保持业务连续运行。与异地灾备模 式相比较，同城双中心具有投资成本低、建设速度快、运维管理相对简单、可 靠性更高等优点。异地灾备中心是指在异地的城市建立一个备份的灾备中心，用于双中心的数据 备份，当双中心出现自然灾害等原因而发生故障时，异地灾备中心可以用备份 数据进行业务的恢复。 两地三中心”容灾架构设计逻辑架构模型设计:数据备份,备用数据处理备用网络那M喘（川培汽*及5界）累现，口工期依忤与中税忤*忤系崎新啤.就需”同看0轮事物理架构设计:E0B电备用-r*,.

23、人广丁- tL-P- I*-万案特点:异步数据复制?同城范围有效保证了数据的安全性和业务连续性；?异地复制数据根据灾难情形，尽可能降低数据丢失机率；?同城双中心为同步复制，数据实时同步， RPO=0;?异地无距离限制，保证数据一致性，保证了数据的有效保护；?异地容灾带宽要求低，先进的复制机制提高带宽利用率。对于本地本级备份，应建立在线、近线、离线等多级存储备份系统，充分利用 先进的备份手段和备份策略，形成完整的本地备份管理解决方案；备份的数据 包括操作系统、数据文件以及应用服务环境等多个方面；日常访问的重要数据 采用磁盘或者虚拟带库方式备份，归档数据和非重要数据采用磁带库方式备 份；重要数据应

24、至少保证每周做一个全量备份，平时做增量备份。对于数据级异地灾备中心，选址上，应进行风险分析，避免异地备份中心与主 中心同时遭受同类风险；网络备用系统上，必须在核心网络层面实现热备，保 证灾备中心区域内通信的可靠性；数据备份系统上，主中心与备份中心的备份 链路应有冗余，并确保2小时内将主中心的增量数据复制或备份到灾备中心； 数据处理备用系统上，配备灾难恢复所需的全部数据处理设备，并处于就绪状 态或运行状态，与主中心共同承担部分核心应用的查询服务功能。对于同城应用级灾备中心，选址上，主中心与同城灾备中心距离应小于 100KM;网络备用系统上，在核心网络层面实现热备，主中心与应用级灾备中 心间通过裸

25、光纤互联或 VPLS互联，部署TRILL构建大二层网络，满足虚拟化 需求；网络负载均衡上，主中心网络与灾备中心网络的负载均衡，提高灾备网 络利用率与灾备网络可用性，正常情况下数据流同时使用两个中心的网络，主 中心网络出现故障时，则全部数据流向灾备网络；应用集群切换上，关键业务 系统集群实现手动切换，主中心与同城灾备中心之间建立高可用性监控技术， 实现灾备中心应用服务器集群与主中心生产服务器集群之间的高可用性切换； 云计算技术采用上，采用虚拟化技术对同城灾备中心进行规划建设，同时，根 据业务关键程度、对性能的要求，系统平台选择不同档次和不同平台的主机资 源池、存储资源池。1.5.2基于不同服务需

26、求选择不同可靠性两地三中心”架构服务等级划分的可靠性服务级别ierltier2tier3tier4服务内容关键任务服务，需要最 高级别的可靠性。高端 皮术和工具将会被用来 茜足最高级别的可靠 生。如果丢失一个组 件，如服务器，一块存 诸，或者一个通信链 偻，都将会导致服务不 可靠。每个应用和基础 报务都会制定性能指 示。这些指标都将会被 监控，并会通过业务支 悖的流程以特定格式输 4这个site不仅仅 包含基础架构组件。关键业务服务的运维和 tier1 一样，但是某些 限制非可靠级别的服务 M以容忍短时间的不可 恢复的影响。高端技术 ，工具将会尽量（略低 于tier1 ）被用来满

27、足 ，高级别的可靠性。系 ，设计和指导里面必须 ,含一一没有单点故 漳。高端技术和工具将会尽 量（略低于tier1和 tier2 ）被用来满足最 高级别的可靠性。允许 有多个单点故障。仅仅 在计划上有一些伸缩 性。没有关键服务运行，运 维和支撑只要能够在一 个可以接受的范围内即 可。关键指标99.99%的可靠性，数据 中性能够切换，厂家支 悖（小于2小时的响应 时间），硬件容错性， 殳有单点故障，N+1, 数据中心的切换选择， 更件冗余99.5%的可靠性，数据 1性能够切换，厂家支 持（小于4小时的响应 时间），硬件具备容错 生，没有单点故障，N+195%勺可靠性，数据中 性能够切换，厂家支持

28、（小于24小时的响应 时间）没有可靠性保证，最低 级别的支持分钟宕机/月4.32216.002160.00 Primeton通用的基于服务的 两地三中心”架构生产环境+同城备份 Primeton基于不同的服务质量，达到不同级别的整体可靠性（tier ）X异地：和奉地环境相同或希和 牛产讦境相同a希没有 -、 活跃的（船生产环境Mfr 咐I - P服务HA基础架构 计划内更新，可巽性 级别 995*H品晌FS i/百式。包备 打“学提m*xw*门-十M-瓦色暧料北坪十1黄相隔惺运 的异地N点整他 也第0d界sWttRY塞W通 也T剋4MtHiTn 需nr市其 了切刘点

29、寻升f三色W4辫*HE匚* WWWM上空叫声:4 fjMdH吃，1!尸 BET卞式（1）场景1Pb r 44异地灾备L可靠性达到99.989/2.HA+ DR;3.所有纽件均冗余配置：4可果用AE veMctive模式来保证业务连续件tier 2 or 1OITP. 03格A/POOM和A一样OLTP； lOOWtA OLTAP： IVA比於舁t wa本地生产环境WUA疝格75%和本地一样75%和本地一样75%和本地一样99.999% 。主环境如图中A所示，包含了数据库，应用， Web三层服务结构，本地高可用 环境P作为同城备份站点，复制100%A中的Web服务，100%的A中的应用 在线服务

30、，100%的A中的OLTP事务，异地在数据库/应用/Web层均复制 75%A中的服务。那么这套方案整体的可靠性将会达到(2)场景2QTlierlA/P1。型和A一样事件达到州与狷*LHA-t dh：3.所有捌抖期反余配置：.可乘用总削e/P打si*e模式来保证业华建续性OQ1 tier 4 or 3 m- n异地我备175照和本地一样ici tOOHV Afltftfff N/*75%和本地-样OLTP. OU5Pr ItOLTPt 1必，国，TQUA/i W/A短处再：N/A75%和木地一样本地生产环境和HA环境主环境如图中A所示，本地高可用环境P复制100%的A中的Web服务， 100%的

31、A中的应用在线服务，异地在数据库/应用/Web层均复制75%的A 那么这套方案整体的可靠性将会达到 99.99% 。(3)场景3ticr2r口J接受服务水平2VW 4 KI “ni#/过1193.70%：LDR：3,所仃组件均冗余施跖,可来 f MEu/Pgiv*嗔式求保”业年迫牧竹 I异地灾备QLTP白LAP杜始电本地生产环境和HA环境N/A可接受服务水平可接受服务水平主环境如图中A所示，本地高可用环境没有即没有同城备份站点，异地在数据库/应用/Web层均有一个可以接受的备份(非和 A环境100%相同)。那么这 套方案整体的可靠性将会达到 99.70%(4)场景4tier2 ooPN/Ao异

32、地燔D gVCR|r 今不就计七内布 小仃亚褶点计口附忖QHftSN/AN/A中呜M不岬. PJ PTW 1N/AN/A本地生产环境和HA环埼主环境如图中A所示，本地高可用环境没有即没有同城备份站点，异地采用冷 备的方式，仅仅在发生灾难的时候采取措施。那么这套方案整体的可靠性只有99.00% 。1.6数据级容灾设计数据的复制是应用接管的基础，保障数据复制的完整性和实时有效性才能使得 应用的接管有意义。数据复制主要分为 4大类（1.4.2已有说明），综合性价比 和客户自身情况，Primeton推荐可以使用如下两类的数据复制技术：第一类，是基于磁盘阵列的复制软件实现，比如EMC SDRR HDS的

33、TureCopy、旧M 的 Flash 等；第二类，是基于服务器或者应用软件（应用层）实现，比如 Oracle DataGuard 组件、GoldenGate数据库复制软件、DSG的RealSync软件等。A磁盘阵列同步有以下主要特点：?可以实现对所有数据的灾备，支持所有的数据类型，是最全面的灾备保护方式；?基于存储设备进行灾备，可以有效的解决对数据库服务器和各种应用服务器的计算资源的占用问题；?部署简单，无需更改原来的文件系统。维护也更加简单，维护好存储灾备系 统就可以。B）基于服务器或应用软件的灾备，有以下特点：?支持异构平台，开放的硬件选择；?极短时间切换的热容灾；?容灾侧数据库也处于打

34、开状态，可以做主地数据库的负载均衡，提升系统的可用性；?对网络要求不高，低带宽下能够传输数据；1.7应用级容灾设计应用级灾备包括两个方面：数据同步和应用接管。数据同步是应用接管的前 提。在保证数据同步基础上，要实现应用接管，还要能实现灾难发生时的网络 切换和应用切换。1.7.1 网络切换设计应用级灾备要求提供冗余的网络线路和设备。正常情况下，客户端通过生产中 心的业务网络访问生产中心的应用服务器；在发生灾难时，通过网络切换，客 户端能够访问到灾备中心的备用服务器。目前，网络切换主要有以下三种：(1)基于IP地址的切换生产中心和灾备中心主备应用服务器的IP地址空间相同，客户端通过唯一的IP 地址

35、访问应用服务器。在正常情况下，只有生产中心应用服务器的IP地址处于可用状态，灾备中心的备用服务器IP地址处于禁用状态。一旦发生灾难，管理 员手工或通过脚本将灾备中心服务器的IP地址设置为可用，实现网络访问路径 切换。(2)基于DNS服务器的切换在这种方式下，所有应用需要根据主机名来访问，而不是直接根据主机的IP地址来访问，从而通过域名实现网络切换。(3)基于负载均衡设备的切换通过在服务器集群前端部署一台负载均衡设备，根据已配置的均衡策略将用户 请求在服务器集群中分发，为用户提供服务，并对服务器可用性进行维护。负载均衡能够按照一定的策略分发到指定的服务器群中的服务器或指定链路组的 某条链路上，调

36、度算法以用户连接为粒度，并且可以采取静态设置或动态调配 的方式。负载均衡设备能够针对各种应用服务状态进行探测，收集相应信息作 为选择服务器或链路的依据，包括ICMP、TCP、HTTP、FTP、DNS等。通过对 应用协议的深度识别，能够对不同业务在主生产中心和灾备中心之间进行切 换。小舞麴堂力胆务愿售这三种网络切换方式比较如下：网络切换方式基于IP地址基于DNS1务器基于负载均衡切换方式手动或半自动自动自动切换时间10-30分钟左右，与服 务器数量相关10分钟左右分钟级技术成熟度戊熟成熟一般实施案例皎多多较多设备投资无增加2台DNS1务器在数据中心前端交换机 上增加负载均衡板卡单个应用和整个子网

37、 的切换适合整个子网切换适合单个应用和整个子 网切换适合单个应用和整个子 网切换在以上三种网络切换方式中，基于IP地址的切换方式较简单，实现成本低，但 是对于拥有较多服务器的灾备中心而言，手工更改大量IP地址和网络配置需要比较长时间，因此这种方式适合于只有少数应用服务器的场合；基于 DNS的切 换方案，从技术上讲较成熟，应用也较多，而且能够实现网络切换的全自动， 但是需要增加两台DNS服务器的投资；而基于负载均衡的切换，需要增加负载 均衡板卡，但是切换能够精细到业务和服务内容，因此，在大型数据中心情况 下，Primeton建议采用负载均衡的方式进行网络之间的切换。1.7.2 应用切换设计应用切换是指生产中心由于发生灾难而瘫痪时，可由灾备中心的备用服务器提 供业务接管，确保业务运行的高连续性。实现应用切