集团云数据中心灾备体系规划设计

1、PAGE 集团云数据中心灾备体系规划设计目录 TOC o 1-3 h z u HYPERLINK l _Toc47297762 1前言 PAGEREF _Toc47297762 h 2 HYPERLINK l _Toc47297763 1.1背景 PAGEREF _Toc47297763 h 2 HYPERLINK l _Toc47297764 1.2文档目的 PAGEREF _Toc47297764 h 2 HYPERLINK l _Toc47297765 1.3适用范围 PAGEREF _Toc47297765 h 2 HYPERLINK l _Toc47297766 1.4参考文档 PA

2、GEREF _Toc47297766 h 2 HYPERLINK l _Toc47297767 2容灾 PAGEREF _Toc47297767 h 3 HYPERLINK l _Toc47297768 2.1灾备的概念 PAGEREF _Toc47297768 h 3 HYPERLINK l _Toc47297769 2.2相关标准及考量依据 PAGEREF _Toc47297769 h 4 HYPERLINK l _Toc47297770 2.3灾备体系建设 PAGEREF _Toc47297770 h 7 HYPERLINK l _Toc47297771 2.4集团灾备规划 PAGERE

3、F _Toc47297771 h 9前言背景集团信息中心中心引入日趋成熟的云计算技术，建设面向全院及国网相关单位提供云计算服务的电力科研云，支撑全院各个单位的资源供给、数据共享、技术创新等需求。实现云计算中心资源的统一管理及云计算服务统一提供；完成云计算中心的模块化设计，逐渐完善云运营、云管理、云运维及云安全等模块的标准化、流程化、可视化的建设；是本次咨询规划的主要考虑。文档目的本文档为集团云计算咨询项目的咨询设计方案，将作为集团信息中心云计算建设的指导性文件和依据。适用范围本文档资料主要面向负责集团信息中心云计算建设的负责人、项目经理、设计人员、维护人员、工程师等，以便通过参考本文档资料指导

4、集团云计算数据中心的具体建设。参考文档集团云计算咨询项目访谈纪要信息安全技术信息系统安全等级保护基本要求（GB/T 22239-2008）信息系统灾难恢复规范（GB/T20988-2007）OpenStack Administrator Guide（ HYPERLINK / /）OpenStack High Availability Guide（ HYPERLINK / /）OpenStack Operations Guide（ HYPERLINK / /）OpenStack Architecture Design Guide（ HYPERLINK / /）容灾灾备的概念灾备是由计划和执行过程

5、组成的策略，其目的是为了保证企业包括生产、销售、市场、财务、管理以及其他各种重要的功能完全在内的运营状况百分之百可用。可以这样说，业务连续性是覆盖整个企业的技术以及操作方式的集合，其目的是保证企业信息流在任何时候以及任何需要的状况下都能保持业务连续运行。据IDC在2000年的统计数字表明，美国在2000年以前的10年间因为各种威胁原因造成业务中断灾难事故的公司中，有55%当时倒闭。剩下的45%中，因为数据丢失，有29%也在两年之内倒闭，生存下来的仅占16%。 而随着企业对数据处理依赖程度的递增，此比例还有上升的趋势。当人们看到以摩根斯坦利公司为代表的有着完善容灾措施保证业务连续性的一批金融企业

6、在“9.11”事件后用很短的时间恢复正常运作，将损失降到最小，而在事件发生前350家在世贸大厦工作的企业中，有200多家企业由于重要系统的破坏，关键数据的丢失，缺乏业务连续性保证的措施而永远的关闭、消失。业务连续性保障的重要性为人们所瞩目。灾难不仅指自然的原因，如火灾、地震、恐怖袭击等小概率、大影响的灾难，也包括人为的原因，如人员错误，流程缺陷等事件的威胁。对于信息系统的连续性运行来说，灾难的范围很宽泛，任何必须恢复的数据访问中断都是灾难。而容灾是一个系统工程，从广义上来说，所有与业务连续性相关的内容都属于容灾的范畴。从狭义的角度，我们平常所谈论的容灾是指除了生产站点以外，用户另外建立的冗余站

7、点，当灾难发生，生产站点受到破坏时，冗余站点可以接管用户正常的业务，达到业务尽量不间断的目的，减少客户的损失。但是，业务连续性并不是指业务永远不中断，它更强调业务在灾难发生时快速的恢复能力。不仅要使业务功能在灾难后能得到全面恢复，还要确保关键业务功能在中断或灾难事件中，能够迅速地恢复持续运行。相关标准及考量依据随着灾难恢复业务的持续发展，国际和国内均制定了一些有关灾难恢复的标准。其中，国际上得到最广泛承认和使用的标准是SHARE78，而我国国信办出台的信息安全技术信息系统灾难恢复规范。两个标准在划分等级的个数上有所不同，如在国际标准SHARE78里，容灾系统被分为7个等级；而国信办的信息安全技

8、术信息系统灾难恢复规范里，容灾系统被分为6个等级，但是两个标准的内容基本一致。信息系统灾难恢复标准SHARE78（国际标准）描述GB/T 20988-2007信息系统灾难恢复规范Tier 0，没有异地数据即没有任何异地备份或应急计划。数据在本地进行备份恢复，没有数据送往异地。第一级，基本支持Tier 1，PTAM卡车运送访问方式必须设计一个应急方案，能够备份所需的信息并存储在异地。PTAM指将本地备份的数据用交通工具送到异地。Tier 2，PTAM卡车运送访问方式+热备份中心Tier 1加上热备份中心，热备份中心有足够的硬件和网络设备支撑关键应用。第二级，备用场地支持Tier 3，电子链接Ti

9、er 2基础上通过电子链路取代了卡车进行数据传送的方式，热备中心保持运行状态。第三级，电子传输及部分设备支持Tier 4，活动状态备份中心两个中心同时处于活动状态，并同时相互备份。工作负载可在两个中心分担。第四级，电子传输及完整设备支持Tier 5，两个活动数据中心，确保数据一致性保证数据完整性和一致性，两数据中心的数据被同时更新（同步），灾难时仅需要补回传送中的丢失数据即可。第五级，实时数据传输及完整设备支持Tier 6，数据零丢失，自动系统故障切换零数据丢失，是灾难恢复的最高级别，数据在两中心被更新，利用双重在线存储和安全的网络切换能力，提供快站点动态负载分担和自动故障切换。第六级，数据零

10、丢失和远程集群支持业务连续性主要关注的是IDC出现故障后能否以很短的时间恢复正常运行，是否能对核心业务的影响减轻到最小。因此，业务连续性考量的几个关键指标是RTO、RPO和ROI。RTO (Recovery Time Objective)是恢复时间目标，是发生灾难后，恢复业务系统环境的时间。表示完成应用（及其相关业务流程）并保证技术组件恢复到能够正常执行事务处理或业务职能的最长时间，即能够接受的业务停机时间。理论上恢复的时间越短，损失就越小。但是，RTO 并不意味着“100%恢复”，它通常指的是降级处理模式（例如减少容量，降低性能）。RPO（Recovery Point Objective）是

11、恢复点目标，是发生灾难前后一次数据备份的时间，也就是指某个时刻，应用数据必须恢复到这个时刻才能继续执行事务处理。它规定了需要将信息恢复到哪个数据流点，或者说，企业能够忍受丢失多少数据。理论上丢失的数据越少，损失就越小。ROI（Return On Investment ）是指用户的投资回报。业务连续性有不同的解决方案，可以满足不同的RTO和RPO标准，相应的成本也不同。业务连续性性能指标图国标中对于容灾的各个等级中RTO/RPO没有硬性定义，但是依据业内经验RTO/RPO和等级的对应关系示例如下：RTO/RPO和等级对应关系表灾备等级RTORPO第1级2天以上1天至7天第2级24小时以上1天至7

12、天第3级12小时以上数小时至1天第4级数小时至2天数小时至1天第5级数十分钟至数小时0至30分钟第6级数分钟至数小时0中国信息安全测评中心对灾难恢复等级做了更细化的解读，从数据备份系统、 备用数据处理系统、备用网络系统、备用基础设施、 技术支持、运行维护支持以及灾难恢复预案各个方面做了明确的要求，具体要求见下表灾备等级一级要求符合列表灾备等级二级要求符合列表灾备等级三级要求符合列表灾备体系建设灾备体系的规划建设主要包括两部分，一部分是业务连续性体系的建立，一部分是体系验证阶段。业务连续性体系的建立业务连续性体系的建立主要分为三个步骤：分析、设计和实施。灾难恢复需求分析：主要包括灾难分析、业务影

13、响分析和业务现状及灾备能力分析。分析IT基础架构和业务的现状，包括络架构、数据存储架构、数据处理系统架构、数据备份系统架构等，了解对信息系统构成潜在破坏的可能性因素，对现有的安全措施进行评估，评估现有措施的限制，确认需求与实际的差异分析，识别面临的潜在风险点。策略和架构设计，包括：设计体系化的灾备方案。包括灾备中心布局和定位，建设的范围、指标和等级，技术实现方案的选择，信息系统灾难恢复组织的建设，以及灾备中心的运营管理；制定灾难恢复的策略和建设规划。确定系统恢复的优先级和恢复目标，灾难恢复系统的建设路线、工作内容、负责的部门以及时间计划。灾难技术方案的实施则包括三部分内容：技术实施工作计划和方

14、案制定。制定灾备技术架构建设的工作计划，明确实施的要点及里程碑；制定灾备技术实施方案，以指导后续的设备安装、调试、以及综合测试工作。技术实施与测试阶段。各厂商按照实施计划和方案要求，进场进行设备安装、调试以及综合测试工作。技术操作手册等文档的制定。在技术实施过程中，各厂商技术人员按照要求准备各自专项的技术操作和维护手册等文档。体系验证阶段体系验证阶段主要包括：灾难恢复预案咨询：包括应急及灾难恢复组织架构，灾难事件发生时的应急响应策略和流程设计，以及灾难恢复和重续运行的恢复流程设计。灾备中心运维管理体系规划：包括灾备中心组织架构及岗位职责设计，灾备中心运维管理流程规划及相关制度模版。灾难恢复演练

15、：包括演练方案设计、演练前的技术测试、演练环境准备、演练培训、演练实施的组织、演练应急的组织与协调，以及演练总结报告。集团灾备规划建设分布式多数据中心是提高业务连续性的重要手段，业内建设多中心的模式一般有如下四种：模式一：建设同城灾备中心。这种模式下生产中心和灾难备份中心距离比较近，比较容易实现数据的同步镜像，可以保证数据完整性和数据零丢失。同城灾备中心可以防范火灾、建筑物破坏等可能遭遇的风险隐患，但对于战争、地震、水灾等隐患力不从心。模式二：异地备份中心。这种模式下生产中心和备份中心跨城域，距离比较远。可以通过异步镜像/复制备份数据，但是无法保证数据零丢失。如果远距离同步镜像，则交易效率太低

16、、通信成本太高。模式三：两地三中心。两地三中心的建设模式结合了“同城异地”的优点，在异地备份中心具有完整的灾难接管能力的情况下，建立同城备份站点，可使同城灾备中心具有应用接管能力，也可以让同城灾备中心只是一个同步数据镜像站点。模式四：两级多中心。总部与区域两级架构，总部级数据中心互为主备，同时做为区域级中心的异地容灾中心，区域级数据中心作为生产中心，共享总部级异地灾备，保证灾难接管的能力，同时降低成本。跨城域远距离容灾，异步复制/镜像数据级无法保证数据零丢失，同步镜像成本高。建议应先建立灾备中心，再逐步推进到双活，“两地三中心”提高了业务连续性保障，是当前大部分企业最主要的建设模式，集团当前已

17、具备建设多中心的物理基础条件。集团各中心的功能划分如下：北京昌平做为作为清河的同城灾备中心，武汉、南京2个资源池数据备份到清河中心；南京作为北京异地灾备中心； 昌平灾备中心和清河生产中心在资源的投入上基本上是0.X：1，灾备中的资源要小于生产中心。只有当生产中心不可用时，灾备中心临时接管生产业务，当生产中心恢复后，生产业务从灾备中心回切到生产中心；未来发展至双活数据中心时，部分需要双活的业务可以在清河和昌平跨中心双活部署；南京和武汉需要在本地备份数据，当本地无法恢复业务时，才考虑在北京清河接管业务；随着业务规模的扩大，集团在行业内的影响力会越来越大，业务宕机所带来的经济损失和社会舆论压力将会大大影响企业在行业内的领导力。当业务能力达到这样一个水平时，需要考虑针对重要的业务建设应用级灾备，保障业务的连续运行能力。应用级灾备主要通过在多个中心同时部署同一业务，当一个数据中心