灾备技术分析

1灾备技术分析

1.1.1.1灾备等级建议

设计一个灾备系统，需要考虑数据安全保障、网络带宽、数据备

份/恢复可用，关系到备份/恢复数据量大小、数据中心和灾备中心间

的距离和数据传输方式、灾难发生时要求的恢复速度等。根据这些因

素，通常将灾备分为四个等级。

第（）级，无灾备中心：这一级灾备，实际上没有灾难恢复能力,

它只在本地进行数据备份，并且被备份的数据只在本地保存，没有送

往异地。

第1级，本地磁带备份，异地保存：在本地将关键数据进行备份,

然后送到异地保存。灾难发生后，按照预定数据恢复程序恢复系统和

、］c/『|.r-7

数据。

1.1.1.2第2级，主备站点备份：在异地建立一个热备份点，通过网络

以同步或异步方式把主站点的数据备份到备份站点，备份站

点一般只备份数据，不承担业务。当出现灾难时，备份站点将

接替主站点的业务，从而维护业务的连续性。

1.1.1.3第3级，活动灾备中心：在相隔较远的地方分别建立两个数据

中心，它们都处于工作状态，并进行相互数据备份。当某个数

据中心发生灾难时，另一个数据中心接替其工作任务。这种

级别的备份需要配置专用的硬件设备和复杂的管理软件，需

要的投资相对而言是最大的，但恢复速度也是最快的。

L1.1.4通过比较分析，本项目拟采用灾备第2级进行数据灾备系统的

建设。

1.1.1.5灾备类型分析

灾备系统可以分为业务级灾备、数据级灾备、应用级灾备共三种

类型。

(1).业务级灾备：主要在应用软件开发阶段，对数据进行主用数

据库和灾备数据库的提交，这种方式需消耗10%左右的主机资源，对

网络的要求也很高，因为其数据几乎是实时传递的，此外这种方式对

系统开发人员要求极高，要注意每个模块跟数据相关的代码，否则极

容易出现数据不一致的情况。

(2).数据级灾备：有基于存储阵列的数据镜像和基于管理软件的

数据镜像两种方式。前者跟主机以及现有的IP网络没有关系，它通过

FC(或FC-IP-FC)来实现阵列一级的数据同步，整体投资大，但数据

安全性最有保障，且应用系统较多时实施较方便；后者需消耗

10%〜30%的处理器资源，对网络环境依赖较大。传统的数据备份可以

认为是初级的数据级灾备方式，只是实效性差。

1.1.1.6(3).应用级灾备：主要用于基于数据库的灾备，这种方式的系统

变更的数据可以通过数据库本身的功能，通过IP网络从数据

中心复制到灾备中心，这种方式不用兼顾应用层面和存储层

面，整体成本是比较低的。传统的应用级灾备是通过主机一

级的卷复制来实现数据灾备，对网络、主机的资源消耗较大。

1.1.1.7根据业务需求并通过比较分析，本项目拟采用应用级的数据灾

备方案。

1.1.1.8灾备技术要求

金保工程数据灾备系统要求必须实现以下灾备技术：

(1).网络系统灾备：应充分考虑金保工程整体网络系统结构和配

置的容错与容灾能力，满足系统的稳定性、有效性及不间断的需求。

数据灾备中心和省级数据中心之间将基于金保工程业务专网，拟增

设一对10MMSTP业务专网线路，专门用于实现数据灾备中心和省

级数据中心之间的数据传输，通过配置相关设备，在窄带网络环境下,

实现主、备数据中心之间网络系统层的灾备。

1.1.2(2).主机系统灾备：省级数据中心已采用主机系统的冗余及容错,

在主机与存储系统的灾备设计中，应考虑灾备系统与数据中心

的兼容性及远程切换的便捷性和智能性，理论上要求灾备中心

尽可能配置与数据中心同型号的主机设备，系统一旦切换到灾

备中心工作后可提供对等的主机系统服务(应用接管)。

1.1.3(3).业务数据灾备：通过对EMC、VIS、H3C、IBM、RD、HDS

等厂家所实现的金保工程数据灾备技术的比较分析，拟采用持

续数据保护技术、字节变化量传输技术，实现应用级的远程数

据备份与灾难恢复。实现省本级生产数据和福州市生产数据到

三明数据灾备中心的远程复制，既要保证数据的更新能够实时

备份至远端，又要保证备份数据的顺序和关联，当省级数据中

心发生灾难时，数据灾备中心的数据立即可用，从而保证我省

金保工程业务的连续性。

L1.4灾备方式分析

现有灾备主要有盘阵对盘阵方式、灾备软件方式、灾备控制器方

式等三种。

1.141阵列对阵列方式

阵列对阵列的灾备方式是利用磁盘阵列自带的数据复制功能(如

Oracle的Datagurad、HDS的TrueCopy等)，不适合于金保工程的数

据灾备，原因在于省级数据中心与数据灾备中心之间距离远达

216KM,传输线路仅为10M带宽。

1.142此外，该方式需要同型号设备，不适用于异构环境，不利于将

来的扩展。

1.1.4.3纯软件灾备方式

最常用的软件SymantecVeritas有三款可用于数据的容灾与备份：

(l).BE(BackupExec),Windows环境下的数据备份,只能做备

份不能做容灾，不支持IBMAIX操作系统。

(2).NBU(NetBackup),UNIX环境下的数据备份，和BE一样是

数据备份软件,NBU的功能比BE更加强大。

(3).VVR(VeritasVolumeReplicator),是Veritas的一种应用较广

的数据灾备软件，但要求传输环境为裸光纤。Veritas用于数据灾备的

产品实际上是VVR,使用VeritasFoundation的逻辑卷复制模块，具有

快照功能；WR在打快照时将通过对磁盘数据进行快照(不对缓存

数据进行快照)实现数据灾备。

1.1.4.4WR最大特点是无法恢复逻辑错误,到目前为止仍无法应对误操作、误

册赊、病毒等“软灾难”造成的数据灾难恢复。由于金保工程灾备的实

IW境以及RPO和RTO的目标需求需采用WR软件在机HA(VCS)

加续现。

1.1.4.5此外，以上三种软件在备份时都会对生产系统产生一定的影

响，而且通过备份软件备份的数据需经过还原后，才能被省

级数据中心的应用系统读取。

1.1.4.6灾备软件+阵列方式

灾备软件+阵列方式采用灾备控制器构建，灾备控制器由主控制

器和存储阵列（称灾备阵列）两部分组成，主控制器用于安装灾备管

理软件。这种灾备方式采用基于硬件底层数据变化量的持续复制和镜

像快照技术，对链路带宽要求很低，且不受距离限制，融合了盘阵对

盘阵的高效和纯灾备软件的灵活。

1.1.5灾备控制器的最大特点是无法进行数据归档，当需要对备份数

据进行归档时，必须配置磁带库或虚拟磁带库等归档设备。

1.1.6通过上述分析比较，基于对金保工程省级数据中心、设区市数

据中心存在的异构存储环境，以及金保工程业务专网的窄带网

络环境和线路租用成本等的综合考虑，本项目拟采用“灾备软

件+存储阵列”的灾备技术方案。

1.1.7系统结构设计

金保工程数据灾备系统的网络拓扑结构如下图所示:

核心交换机防火墙

网管入侵检泅防学入侵防御系统核心交换机

服务器系统网管终端

◎申I金保工程业务专网

1乂AIWiI晦路以人

数据库

服务器省理服务器

备份服务器3小型机）J应用

服务器

小型机IBMHS21

（小型机）

SAN

।光托神谐交摘------------------------

金保工程业务专网।、、、光纤为储交换机/

iHDSD5000D5000

!数据远程复制j

灾备！灾备

控制新控制器

磁带库生产阵列

HPEML71eDHSUSP-

本地镜僮

!社会保障省级数据中心数据灾备中心（三明市数据中心）i

数据灾备中心拟分别配置防火墙、入侵防御系统、核心交换机、

数据库服务器、应用服务器、灾备控制器(含软件)、灾备阵列及管

理服务器等设备。

1.1.8基础实施设计

(1).网络系统

目前省社会保障省级数据中心与三明市数据中心之间以金保

工程业务专网(10MMSTP专线)连接，目前基本满足业务数据传输

的带宽要求。

省级数据中心与数据灾备中心之间，拟基于金保工程业务专网,

通过增设一对10M的MSTP专线，实现省级数据中心与数据灾备中

心间的数据传输。

为适应将来业务系统和数据对网络速度、带宽和性能的要求，拟

分别配置高端核心交换机及安全设备，为数据灾备中心提供安全的

网络支撑。

(2).主机系统

目前，省级数据中心生产区数据库服务器、应用服务器均采用

IBM小型机，运行操作系统AIX,数据库系统Oracle；Oracle数据库

架设于生产阵列上。

为实现应用级的数据灾备系统，省级数据中心发生故障或灾难

后，数据灾备中心在进行数据恢复时，还将接管省级数据中心的核心

业务应用系统。建议在金保工程二期项目中，数据灾备中心参照省级

数据中心主机服务器的选型及其TPC-C测算，配置1台高端小型机作

为数据库服务器，1台中端小型机作为应用服务器；同时配置1台PC

服务器作为数据处理及灾备管理。

（3）.存储系统

按照4.4.3.5节对数据的需求分析，二期项目拟建的数据灾备系

统的磁盘阵列（灾备阵列）将存储省本级生产数据（企业养老保险、

新农村保险、机关保险、医疗保险）和福州市生产数据，需要的数据

物理存储容量为24.54TBo

拟配置1台灾备阵列，要求灾备阵列的物理容量为24.54TB（41

X600GBSAS硬盘），采用Raid5,实际可用容量为35X600GB=21.0

TBo备份阵列采用SAN技术架构，旁路接入数据灾备中心生产区光

纤存储交换机。

拟配置2台光纤存储交换机，每台8个光纤自感应8Gbps端口,

HBA卡。

（4）.其它软硬件部署

LL9其他软硬件包括：防火墙、入侵防御系统、灾备控制器和防病

毒软件等。

1.1.10灾备解决方案

1.1.10.1RPO/RTO要求

RPO和RTO是衡量备份和业务连续性常用的两个概念。建立灾

备的最终目的，是在灾难发生后能以最快的速度恢复数据服务，所以

数据灾备中心的设计指标与灾备系统的数据恢复能力有关。最常见的

设计指标是RPO和RTOo

数据恢复点目标（RPO）是在发生灾难的情况下用户可接受的数

据丢失量的衡量标准。受到目前数据备份却恢复技术上的限制，很多

用户设定的RPO是24小时一一在预定的增量备份过程发生之间。换

言之，即使用户通过备份系统完全恢复数据，也损失了24小时的业

务数据量。

1.1.10.2恢复时间目标（RTO）是指灾难发生后，业务恢复运行所用

的时间，一般的用户从数小时到数天都是比较实际的RTOo

各种灾备解决方案的RTO有较大差别，基于光通道技术的同

步数据复制或镜像，配合异地备用的业务系统和跨业务数据

中心与灾备中心的高可用管理，这种灾备解决方案具有最小

的RTOo实际上，灾备系统为获得最小的RTO,往往需要投

入大量资金。

1.1.10.3RPO反映了恢复数据完整性，在使用数据镜像或同步复制方

式时,RPO等于数据传输时延的时间；而在异步数据复制方式

下,RPO为异步传输数据排队的时间。在数据中心与灾备中心

相差距离不超过10KM的时候，通过光纤做数据镜像或同步

数据复制方式的数据灾备系统的RPO可以做到几乎为0o

1.1.10.4系统软硬件部署

数据灾备中心除部署网络系统、主机系统、存储系统等设备外,

拟部署1台灾备控制器。数据灾备中心与省级数据中心通过两端IP

的访问，两个灾备控制器可实现数据变化量的周期性复制（差异复制

模式）。数据中心的磁盘阵列及Oracle数据库数据分别通过实时系

统镜像和OracleAgent(数据库快照代理)实现数据向灾备控制器的

实时写入，无须干预，没有任何备份窗口。

1.1.10.5在省级数据中心，同样部署1台灾备控制器，对生产区的系

统及存储架构不做任何改造，通过SAN网络接入现有光纤存

储交换机。灾备控制器同时提供FC接口和IP接口，对生产

卷进行数据镜像，以保证生产卷数据的安全。

1.1.10.6灾备控制器选择

灾备控制器由主控制器和存储阵列构成，主控制器是双冗余控

制器+冗余电源+灾备管理软件的安全架构，若出现故障不影响阵列

中数据的正常读取。

选择灾备控制器时，要求满足窄带传输数据、采用字节变化量传

输等性能：

(1).要求采用旁路部署方式，确保不影响现有的生产环境；省级

数据中心系统主机故障时可通过灾备控制器启动，待系统恢复后再

切换回生产阵列。

(2).支持异构环境，采用持续数据保护技术(CDP),基于磁盘扇

区的数据变化量的持续复制，确保在10M低带宽传输的成功率及两

地数据实时一致性。

(3).数据复制和镜像不通过主机服务器的操作系统层，而是通过

磁盘底层及SAN网络环境，先将数据持续复制和镜像，再将本地和

异地数据进行同步。

(4).灾备控制器内部设计符合萨班斯法案及《企业内部控制基本

规范》，要求支持数据写入磁盘阵列(灾备阵列)后不可修改的功能。

1.1.10.7(5).能够通过任意快照点来恢复逻辑错误，完整恢复到任意时

间点；打快照时;须首先通知系统清空缓存，然后才进行快照,

确保数据恢复的完整性。

1.1.10.8灾备控制器实现本地备份和远程灾备，加上生产阵列，使金

保工程生产区将同时拥有三份数据，避免了当两份数据同时

丢失时造成无法恢复的结果。

1.1.10.9灾备管理软件选择

金保工程数据灾备系统选择灾备管理软件时，要求可实现下述

功能：

(1).由于数据灾备中心与省级数据中心之间的网络带宽低

(10Mb)、传输距离长(216KM),要求灾备管理软件须采用磁盘扇

区的数据变化量的持续复制和持续数据保护技术，数据灾备中心和

省级数据中心的数据库为双活状态，数据灾备中心为省级数据中心

的生产阵列建立镜像复本，并实时保持数据同步。

(2).要求能够防止因误操作、误删除、病毒等“软灾难”导致的

逻辑错误；采用快照机制，进行快照时先将生产阵列的缓存数据临时

搬迁到快照区，然后才进