信息系统容灾演练实施方案

信息系统容灾演练实施方案容灾根本概念容灾是一个范畴比较广泛的概念，广义上，我们可以把全部与业务连续性相关的内容都纳入容灾。容灾是一个系统工程，它包括支持用户业务的方方面面。而容灾对于IT而言，就是供给一个能防止用户业务系统患病各种灾难影响及破坏的计算机系统。容灾还表现为一种未雨绸缪的主动性，而不是在灾难发生后的“亡羊补牢”。从狭义的角度，我们寻常所谈论的容灾是指：除了生产站点以外，用户另外建立的冗余站点，当灾难发生，生产站点受到破坏时，冗余站点可以接收用户正常的业务，到达业务不连续的目的。为了到达更高的可用性，很多用户甚至建立多个冗余站点。容灾系统是指在相隔较远的异地，建立两套或多套功能一样的IT系统，相互之间可以进展安康状态监视和功能切换，当一处系统因意外(如火灾、地震等)停顿工作时，整个应用系统可以切换到另一处，使得该系统功能可以连续正常工作。容灾技术是系统的高可用性技术的一个组成局部，容灾系统更加强调处理外界环境对系统的影响，特别是灾难性大事对整个IT节点的影响，供给节点级别的系统恢复功能。要实现容灾，首先要了解哪些大事可以定义为灾难？典型的灾难大事是自然灾难，如火灾、洪水、地震、飓风、龙卷风、台风等；还有其它如原供给应业务运营所需的效劳中断，消灭设备故障、软件错误、网络中断和电力故障等等；此外，人为的因素往往也会酿成大祸，如操作员错误、破坏、植入有害代码和病毒攻击等。现阶段，由于信息技术正处在高速进展的阶段，很多生产流程和制度仍不完善，加之缺乏阅历，这方面的损失屡见不鲜。1：被定义为没有信息存储的需求，没有建立备援硬件平台的需求，也没有进展应急打算的需求，数据仅在本地进展备份恢复，没有数据送往异地。这种方式是本钱最低的灾难恢复解决方案，但事实上这种恢复并没有真正到达灾难恢复的力量。一种典型等级1方式就是承受本地磁带库自动备份方案，通过制定相关的备份策略，可以实现系统等12：是一种为很多站点承受的备份标准方式。数据在完成写操作之后，将会送到远离本地的地方，同时具备有数据恢复的程序。在灾难发生后，在一台未启动的计算机上重完成。系统和数据将被恢复并重与网络相连。这种灾难恢复方案相对来说本钱较低，但同时有难以治理的问题，即很难知道什么样的数据在什么样的地方。这种状况下，恢复时间长短依靠于何时硬件平台能够被供给和预备好。典型方式就是将数据备份到本地磁带介质上，然后通过运输方式〔如“卡车”〕将备份介质送往异地保存，而异地没有主机系统。当灾难发生时，再使用的主机，利用数据备份介质〔磁带〕将数据恢复起来。3：相当于等级2再加上具有热备份力量站点的灾难恢复。热备份站点拥有足够的硬件和网络设备去支持关键应用的安装需求。对于格外关键的应用，在灾难发生的同时，必需在异地有正运行着的硬件供给支持。这种方式与等级2方式的区分是在异地有一个热备份站点，该站点有主机系统，寻常利用数据备份介质〔磁带〕将数据恢复到主机系统起来。一旦发生灾难，利用该主机系统将数据恢复。这种状况下，由于备份介质是承受运输方式送往异地，可能会有一天、甚至一周的数据丧失。由于备份站点己经有主机系统，数据恢复典型地需要肯定的时间。4：是在等级3的根底上用电子链路取代了卡车进展数据传送的灾难恢复。接收方的硬件必需与主站点物理分别，在灾难发生后，存储的数据用于灾难恢复。由于热备份站点要保持持续运行，因此增加了成本。但由于承受了电子链接方式，取消了传输工具，这样提高了灾难恢复的速度。该方式的特点是用电子数据传输取代了使用传统交通工具〔“卡车”〕来传输备份数据。由于承受了电子数据传输，数据丧失的时间可能是一天甚至更短，而数据恢复则可能是一天的时间。5：其次站点〔备份站点〕不仅仅是一个分别的备份系统，还处于活动状态〔运行〕。而备份数据则可以双向传输，数据的丧失与恢复时间到达小时甚至分钟级。这种灾难恢复要求两个站点同时处于活动状态并治理彼此的备援数据，允许备援行动在任何一个方向发生。接收方硬件必需保证与另一方平台物理分别。这种状况下，工作负载可以在两个站点之间被分担，站点1成为站点2的备份。在两个站点之间，在线关键数据的拷贝不停地相互传送着。在灾难发生时，需要的关键数据通过网络可快速恢复，通过网络的切换，关键应用的恢复时间也可降低到了小时级或分钟级。6：在等级5的根底上使用了镜像技术，也就是说，在更恳求被认为满足之前，等级6需要应用站点与备援站点的数据都被更。数据在两个站点之间相互映像，由远程两步提交来同步，由于关键应用使用了双重在线存储，所以在灾难发生时，仅仅传送中的数据被丧失，恢复的时间被降低到了分钟级。等级6方式的数据不仅在本地进展确认，而且需要在异地〔备份〕进展确认。由于，数据是镜像地写到两个站点，所以灾难发生时只会丧失正在传输的一局部数据，因而可以在分钟级进展数据恢复。7：是灾难恢复中最昂贵的方式，也是速度最快的恢复方式，它被认为是灾难恢复的最高级别，可以实现零数据丧失率。等级7方式在本地和远程的全部数据被更的同时，利用了双重在线存储和完全的网络切换力量。等级方式不仅保证数据的完全全都性，而且存储和网络等环境具备了应用的自动切换能力。一旦发生灾难，备份站点不仅有全部的数据，而且应用可以自动接收，实现很多据丧失的备份。本文着重争论的等级5、6、7层的容灾解决方案。容灾需要考虑的内容在通常状况下，IT系统相关的灾难备份方案设计都必需考虑以下五大因素，灾难类型：需要考虑哪些灾难？怎样的灾难？会使业务中断多久？RTO〔RecoveryTimeObjective〕：灾难发生后需要多久来启动及运行系统？能否承受数天或数分钟的等待？RPO〔RecoveryPointObjective〕：需要恢复每条记录和交易吗？可以使用昨天或上星期的数据吗？需要恢复一切吗？有相关的文件吗？什么是合法隐含的要求？有少数的一组人输入交易吗？他们可以重输入灾难期间丧失的交易吗？这些交易格外重要而不容许丧失吗？可用的技术：必需结合考虑所选技术在本地区的适用性、实现条件以及在实施时是否受某些现有条件的制约？异构环境问题：其实质是投资保护问题。假设由于选购了异构的硬件平台，而导致对老设备无法利用，或者今后无法使用其它硬件平台，势必造成投资的巨大铺张。容灾中心综合利用问题：容灾中心的建设，势必花费大量的资金和人力，假设容灾中心的功能只是静态地等待概率大事发生时产生效用，其实也是一种巨大的铺张，因此，容灾中心的综合利用是有效提高容灾中心投资回报的手段。最常见的方式有：利用容灾中心的数据实现离线数据挖掘，甚至于建立两个同时可用的生产中心，互为容灾等。容灾中心、容灾效劳的扩展问题：这是提高容灾中心投资回报率的另一个思考角度。如何建立一个有弹性的IT架构的容灾中心，可以在业务不断扩展的同时，为更多的应用供给更多、更全面的容灾效劳，也是我们在容灾中心建立时需要考虑的重要问题。切换本钱：这是格外简洁被无视的一个局部，无论是容灾演练、小范围系统故障、还是大范围灾难造成的系统切换，都会肯定程度上产生多种本钱。而当这种切换较为频繁时〔通常是由小范围的系统故障造成〕，其造成的本钱更不容无视。投资本钱：实现灾难备份需要多少投资？不实现灾难备份会损失多少钱？同时，无论任何时候，备份都是格外重要的，并要定期测试备份的牢靠性，一种技术只能削减或防止某些类型的灾难影响。容灾方案分类及特点在介绍一些容灾方案之前，我们可以了解到容灾方案的分类大体分为很多种，如：依据距离分类：同城容灾、远程容灾；依据数据最大数据损失量〔RPO〕分类：离线数据容灾、在线数据容灾；依据系统最大系统恢复时间〔RTO〕分类：数据级容灾、应用级容灾；依据容灾物理层次分类：磁盘系统层、操作系统层、应用系统层。本文按第四种分类方式介绍容灾解决方案。磁盘系统层以同步复制技术为根底，通过磁盘阵列实现数据同步复制，从而保证生产中心阵列与容灾中心阵列的在线数据完全同步。其整体方案中也包含了同步快速恢复、快照等关心技术。从而实现整个容灾体系的要求。固然，全部的前提就是，生产中心的磁盘阵列和容灾中心的磁盘阵列必需是同构的。当发生灾难或者消灭不行恢复的错误时，可以提升远程的阵列以接收正常的I/O操作，实现了磁盘子系统层的数据保护。【典型案例】某单位在大楼建立企业数据存储系统，以满足应用进展对数据存储及系统性能的需要。在大楼和老大楼〔同城异地〕两地之间建立容灾系统，相距小于15公里。大楼为生产中心，老大楼为容灾中心。【系统拓扑图】容灾系统拓扑构造如以下图。对重要的应用系统通过基于存储的容灾技术进展保护。【工程描述】容灾系统承受基于磁盘阵列的容灾技术，生产中心与容灾中心通过SAN网络进展连接，依据目前运行负载状况，在生产中心与容灾中心之间承受4对光纤直接连接两中心的SAN交换机，可满足目前和今EMCSRDF容灾中心存储系统设备：1DMX1000和2台SANED-64M。生产中心存储系统设备：2台SAN网络交换机ED-140M、1台数据存储设备DMX1000。该工程的实施，实现以下目标实现关键应用的应用容灾；容灾系统的数据损失指标RPO小于5分钟；应用容灾系统恢复运行指标RTO2容灾系统的建设和运行，并不对生产系统的运行性能产生不良影响。容灾系统容灾传输线路的中断或故障不影响生产系统的正常运行，容灾传输线路恢复正常后，容灾系统能自动同步生产中心和容灾中心的数据，实现自动再同步。操作系统层以镜像技术为根底，实现生产中心阵列与容灾中心阵列的在线数据完全同步。从而实现数据的容灾功能。固然作为容灾方案来说，仅有镜像技术是远远不够的。因此在远程镜像技术中，通常包含更丰富的技术手段，来实现数据容灾的完整要求。例如，用于灾难修复后的系统恢复基于日志的镜像快速修复技术；用于支持多根光纤通道协同工作的动态多路径技术；用于规律错误快速恢复或者容灾中心数据使用的卷快照、文件系统快照技术；用于调整读写性能的读优先选择技术；用于镜像启动、暂停、连续等镜像过程的镜像监控技术等。由于镜像的根本原理打算，生产中心的存储与容灾中心的存储在写数据时不存在主从关系，因此，无论哪一个阵列因故停顿，都不会导致数据的读写发生停顿，可以做到数据容灾意义上的“零”停机。其意义不是单纯的通过“零”停机保障了业务的连续性，并且避开了由于存储非正常停机带来巨大的数据全都性风险〔也就是数据库遭到破坏，数据不行用〕，而数据全都性风险是导致长时间业务停顿的主要因素。【典型案例】某单位的应用系统等当前都是以本地Cluster或者单效劳器方式运行，一旦遇到火灾等大灾难时，信息系统有可能完全瘫痪，甚至于无法恢复〔备份系统的磁带库也在同一幢大楼〕。【拓扑构造】【工程描述】6IBMP〔应用效劳器〕、4SAN2EMCDMX800存储组成，具体的物理连接见上图。工程总体思路是通过Veritas存储治理软件VeritasStorageFoundationHAVeritasStorageFoundationHA主要由VeritasVVM〔卷治理工具〕、VCS〔双机容错工具〕、VFS(Veritas文件系统)以及特定的应用代理〔agent〕等多个组件组成。其中通过VVM卷治理工具实现数据容灾，通过VCS以及特定的代理实现应用级别容灾。通过这种方案，在灾难发生的时候，无需人工干预就可实现应用系统切换，人工参与的只是灾后机房重建和数据同步。Symantec建议利用VERITASStorageFoundationVERITASStorageFoundation的镜像技术构建容灾系统是格外简洁的，它只有一个条件，就是将生产中心和容灾中心之间的SAN存储区域网络通过光纤连接起来，建立城域SAN存储网络。然后，我们就可以通过StorageFoundation供给的格外成熟的跨阵列磁盘镜像技术来实现同城容灾了，容灾方案的构造如以下图所示：从镜像原理上讲，在城域SAN存储网络上的两套磁盘系统之间的镜像，和在一个机房内的SAN上的两个磁盘系统之间的镜像并没有任何区分。SANSANVERITASStorageFoundation的先进规律卷治理功能，我们就可以格外便利的实现生产中心磁盘系统和容灾中心磁盘系统之间的镜像了。如以下图所示。我们可以看到，利用VERITASStorageFoundation可以创立任意一个规律卷〔Volume〕供业务主机使用，实际上是由两个完全对等的，容量一样的磁盘片构成的，两个磁盘片上的数据完全一样，业务主Volume承受这种方式，生产中心的磁盘阵列与同城容灾中心的磁盘阵列对于两地的主机而言是完全同等的。利用城域SAN存储网络和VERITASStorageFoundation镜像功能，我们可以格外轻松的实现数据系统的异地容灾。并且消退了复制技术〔无论是同步还是异步〕的切换动作，从而保证零停机时间，零数据损失的实现。应用程序层利用应用软件自身的容灾功能实现容灾，如DB2DataPropagator、OracleReplicationProduct等等。通过应用程序自身的复制功能，同步数据，到达容灾的目的。【典型案例】某单位承受SunONE邮件系统，由于其名目效劳不支持VCS群集切换的工作方式，目前的版本又无法在两个节点间同步名目信息，当前仅有一个节点的名目信息是最有效的。邮件帐户、通讯簿等重要信息都储存在名目中，这些信息存在单点故障，当邮件效劳切换到备用节点时会消灭通讯簿和局部用户帐户丧失等问题。假设主节点名目信息损坏，将对邮件系统的运行造成很大影响，需要重建立局部邮件帐户和全部通讯薄信息。因此针对这些缺点，实现名目效劳的容灾势在必行。【拓扑构造】【工程描述】sun小型机供给邮件消息存储效劳；二台ldapHPPC效劳器安装名目效劳软件供给邮件帐号存储及认证效劳，而且配置双向复制功能来实现用户数据的同步。本案例中，两台LDAP效劳器虽然从物理位置临时处于同一机房，但从技术上来看，通过负载均衡设备和LDAP自身的双向同步复制功能，已经实现了LDAP的容灾，在SAN连通的状况下，只需要将一台效劳器移至容灾机房即可实现异地容灾。比照三种容灾方式比照方下：硬件环境

磁盘同构

应用层般要求应用版本同构网络资源

可以基于TCP/IPTCP/IP链路实SANSAN链路一般承受IPSAN路实现数据同步容灾方式为用SAN链路实现数据同容灾数据与生产

80KM以内

80KM数据关系RTO〔RecoveryTime〔RecoveryPointObjective〕

物理隔离，规律一体 物理隔离，规律一体 物理、规律隔离同步方式对生产中心的性RPORTORPO、RTO不为零，应用会中断，需要中断、很多据损失。 非同步方式，RPO、RTO都手工切换存储。不为零，需要停机时间。构造简洁牢靠；适用场景

；

RPO、RTO要求高；磁盘阵列异构；的切换时间

数据重复利用；与硬件架构根本无关；应急预案及演练询问方案很多用户开头时误认为容灾是技术工程，其实容灾工程不是单纯的技术工程，而是业务工程，早期的BCP(业务连续性规划)是最重要的，BCP要占整个工程80%的工作量。灾难备份工程强调的是业务不中断而不是IT不中断，现在用户已经越来越生疏到，容灾的目的不仅是防止数据丧失，而是保证业务的连续性，因此从工程名称上，很多用户已经不再称为容灾，而是改称为业务连续性工程。BCP涉及到各个业务部门，大量的工作是与业务部门人员进展沟通，而只有容灾技术方案是与IT部门完成的。BCP规划完成后在确定容灾方案时也要依据RTO和RIO的要求，分成不同的层面来考虑，例如有些需要数据同步技术，有一些需要应用级容灾，还有些只需要本地备份就可以。在运行过程中，容灾的演练也是格外重要的环节。XXXXXX容灾应急预案XXXX系统名称涉及部门涉及人员及联系方式及职责

系统容灾应急预案人员名称 人员所在单位 人员联系方式预案大事描述系统崩溃：描述系统崩溃状态，如后台效劳崩溃，工程组紧急处理后无法恢复系统运行；数据丧失：描述系统数据丧失状态，如数据库效劳消灭故障，用户数据丧失，公司现有技术手段无法恢复；效劳停顿：描述系统效劳停顿状态，如系统由于不明缘由导致大规模用户无法使用，效劳停顿。预案处理要求描述预案处理的要求如：停顿系统后台效劳，防止不知情用户连续投递数据。抓取并保存系统出错信息及日志文件，简洁推断特别部位，通知相关厂商人员，保存现场，分析查找缘由。停顿效劳和后台数据库效劳，将剩余用户数据进展备份，抓取并保存系统出错信息及日志文件，通知相关厂商人员，保存现场。分析查找缘由。联系网络治理人员、通知厂商人员，从网络和系统两个方面分析查找效劳停顿缘由。演练要求提出系统演练要求，如：对在线系统不造成影响在主要系统治理