多站点间的VM灾备迁移管理技术方案

1、 多站点间的 VM 灾备迁移管理技术方案 本文对GDR 技术进行了解读。作为 IBM Power 的新灾备解决方案，GDR主要弥补了原有的 PowerHA XD, PowerHA HyperSwap 等灾备方案对于非关键业务的不足。1 灾备现状随着社会经济的发展,信息安全渐渐成为众人关注的焦点。数据的安全和业务运行的可靠性越来越重要。但是，根据 2012 年 PwC 的全球信息安全调查报告指出：绝大多数机构的 IT系统既没有容灾计划也没有离站的数据备份。而只有 7%的机构有信心可以执行预订的容灾计划。一般 IT 基础设施规划中，灾备主要考虑就是数据怎么同步和业务逻辑所在的分区怎么切换。 下面分

2、别看一下现有的灾备方案中是如何解决这些问题的。 首先是站点之间数据的同步方式，主要有如下几种：其次，按照跨数据中心分区切换方式划分可以分为如下的几种：通过上面的两张表和企业灾备现状来看， 绝大多数的业务系统采用基于分区重启的灾备解决方案能够给客户提供性价比更高的选择。 而 GDR 主要弥补的就是非关键业务场景的灾备解决方案。2 GDR 技术简介GDR 技术是 Geographically Dispersed Resiliency for Power System 的简称，直译为 Power 系统的地域分散弹性技术。GDR 技术提供了一种在灾备站点实现虚拟分区自动重启的能力， 并且负责管理相关的

3、硬件复制过程 （类似于 VMware 公司的 SRM 技术） 。 GDR 灾难恢复解决方案易于部署和管理。 GDR可以管理跨站点的多个虚拟机的恢复。 GDR 通过与 HMC 和 VIOS 紧密集成来重新启动 VM。 GDR提供了广泛的自动化，这样管理员就可以为 DR 快速部署/配置，并跨站点进行故障转移。2.1 GDR 技术的基础架构如下图所示， GDR 技术的基础架构涉及到几个重要的组成部分， 分别是： 主机， 虚拟机，VIOS,HMC,存储和 K-sys 分区。主机是指分布在异地站点上的 Power 服务器物理硬件， 作为虚拟机的宿主硬件。 虚拟机是指在 Power 服务器上跑的虚拟分区（

4、该分区的所有 I/O 资源必须使用虚拟 I/O 资源） ，业务负载运行在这些虚拟机上。VIOS 指的是每一台 Power 服务器部署的虚拟 I/O 服务器（Virtual I/O Server,简称 VIOS）,所有的业务分区的 I/O 资源都由 VIOS 提供，包括：虚拟网络，虚拟光纤通道， 虚拟SCSI总线等。 HMC是Power服务器特有的硬件管理控制台（HardwareManageConsole，简称 HMC） ，每个站点至少配置 1 台用于管理站点内 Power 服务器。存储负责提供虚拟分区的操作系统盘和数据盘的远程镜像能力。K-sys 分区是安装在备站点的一个 AIX 分区上的一组

5、文件集（K-sys 本身包含 8 组文件集） 。K-sys 用来管理整个灾备环境。2.2 GDR 的前提条件以下的表列出了实施 GDR 容灾方案的前提条件：2.3 GDR 的优势GDR 作为 IBM Power 的新灾备解决方案主要是弥补了原有的 PowerHA XD, PowerHA HyperSwap 等灾备方案对于非关键业务的不足。原有的技术切换时间更短，但是需要依赖比较昂贵的 HA 软件费用。这些特性不适用于非关键业务，在原有的 IBM 灾备解决方案中不涉及非关键业务的容灾自动化。非关键业务的特点决定了这些业务的灾备方案可以接受一定时间的业务停止服务， 但是对于方案的复杂性和价格比较敏

6、感。 有个别客户通过自己写脚本来实现虚拟机在灾备站点的重启，但是这需要客户自己维护大量复杂的脚本。而 GDR 技术刚好满足的客户对于非关键业务的灾备需求。 GDR 在计划内容灾演练、 计划外容灾切换过程中自动化完成系统级的工作，减少运维人员的工作量，让运维人员把精力放在应用的启动、测试中。GDR可维护性好，平时对生产环境的性能没有影响；GDR也支持在不影响生产环境的情况下，在灾备环境进行演练工作。当部署完之后，不需要更新微码，除非要实现新版本中的功能，新版本又需要有更新微码的支持。从下图不难看出拥有几百个虚拟分区的系统分区在灾备站点重启的时间也只有几十分钟。3 GDR 高级技术特性3.1 非中

7、断容灾演练在容灾解决方案中， 容灾演练一直是企业容灾方案中的老大难问题。 如果不进行容灾演练，那么无法保证问题发生时系统能够顺利切换。如果进行容灾演练，那么可定需要中断生产系统，而且还要冒演练失败影响生产系统的风险。这一问题在GDR的方案中得到了完美的解决， GDR本身提供了非中断容灾演练的新特性。这一新特性使得客户可以在不中断， 不影响生产系统服务的情况下进行容灾演练。 这个特性的基本原理是在灾备站点的存储上对主站点的镜像 S2 再生成一个快照 S2C，然后基于 S2C启动需要演练的虚拟分区来检查容灾切换是否可以正常的实施。这样在演练的同一时间， 生产系统上的分区依然保持正常地运行。 这样可

8、以确保生产系统的服务不会受到任何影响。3.2 灵活的灾备容量管理在多数灾备方案中异地灾备中心的硬件配置要低于主中心的生产系统硬件配置。 甚至在有些场景中是灾备中心的一台机器对应主中心的多台服务器。 这必然要求容灾解决方案能够提供灵活管理计算资源的方法。GDR 的解决方案中确实提供了相关的特性。在虚拟分区在灾备站点重新启动的时候， 分配的 CPU 和内存资源是可以按照配置文件中预先设置的百分比调整资源的。系统管理员可以通过 k-sys 的命令来更改这种设定，k-sys 会将更改更新到配置文件中。这种调整可以缩小也可以扩大，甚至设定成分区 Profile 中定义的最小值。而且，资源的配置可以通过虚

9、拟机，主机，主机组和站点等几个级别进行灵活设定。3.3 基于权重的重启排序在真实的场景中，多个业务分区之间可能有依赖关系，例如：应用分区可能需要依赖于数据库分区先启动。为了解决这一实际需求，GDR 的解决方案中提供了虚拟分区按照设定权重依次启动的功能。 管理员可以通过 K-sys 命令设定虚拟分区的启动权重并保存在配置文件中。当切换发生时，系统将按照配置文件中设定的虚拟分区启动权重顺序启动各个分区。默认情况下所有分区的启动权重都是 Medium 级别。3.4 基于主机组的灾备策略为了适应大型企业的灾备管理需求， GDR 在设计时默认支持以主机组作为灾备策略的执行粒度。所以，当需要迁移的设备很多

10、时，管理员可以将同一业务负载的主机组成一个主机组，并直接对主机组执行切换操作。这样可以大大降低系统的维护复杂度。每一个主机组会分配单独的磁盘组。 每一个主机都需要添加到一个主机组， 没有指定主机组的主机会被加入到 Default_HG 组。3.5 VLan/vSwitch 的站点间匹配GDR 支持主站点的 VLan/vSwitch 和备站点的 VLan/vSwitch 使用不同的命名， 并提供命令将二者之间进行匹配映射。 这样可以保证在多对一的灾备解决方案中确保备站点启动的虚拟分区可以匹配到正确的虚拟网络资源。3.6 日常自动验证灾备方案切换失效多数是由于方案中涉及的部件配置被更改或连接失效。

11、GDR 提供了定时自动检验的框架。 管理员既可以让系统每天自检， 发现问题后通过邮件或者警告提醒管理员。也可以将自定义的脚本插入到自动检测框架内来完成更复杂的任务。3.7 支持企业资源池（Power Enterprise Pool ）除了前面 GDR 自带的特性外，GDR 还能支持企业资源池的技术。支持 CPU 和内存的活动激活许可在主站点和备站点之间移动。 这样可以减少备站点设备的激活采购数量。 更多关于 Power Enterprise Pool 的相关信息，请参考：/support/knowledgecenter/zh/POWER8/p8ha2/systempool_cod.htm4 应

12、用场景GDR 灾备方案主要面向的是非关键应用系统的灾备， 底层数据基于存储复制， 上层应用分区基于远程重启技术。下面是几种常见的应用场景。4.1 1-1 主备模式主备站点服务器1 对 1对应采用GDR方案常见于客户新建机房后采购新的 Power8 服务器替换原有的 Power7 服务器。原有的 Power7 服务器作为灾备站点的宿主硬件和新的主站点的 Power8 服务器一一配对组成灾备关系。4.2 n-1 灾备云模式主备站点服务器 n 对 1 的灾备云模式是 DRaaS （Disaster Recovery as a Service） 的一种具体实现。如下图所示，Host11,Host12

13、同时把灾备环境映射到备战点的 Host21 上，同时使用2 套 K-sys 分别独立管理 2 套灾备环境。在实际环境中，Host11,Host12 还可以属于完全不同的 2 个站点甚至 2 家不同公司， 这样灾备中心的服务器可以给多家机构的多台服务器复用为灾备宿主机。这样可以在满足服务标准的同时提高灾备中心服务器的利用率。关于这一方案的更多搭建细节可以参考：/developerworks/aix/library/au-aix-draas-offering/index.html4.3 两站点双活互备模式两站点双活互备模式主要应用于对等站点互备的场景。 比如同城双中心应用互备。 在这一场景中， 两个站点的服务器上各自承担了一部分业务负载分区。 同时各自的分区又和远端服务器形成灾备配对关系。 每个服