数据安全方案

数据平安方案

I、双机热备

2、磁带（库）、虚拟带库备份

3、数据双活

4、异地备份

5、两地三中心

一、双机热备方案

双机热备针对的是效劳器的临时故障所做的一种备份技术，通过双机热

备，来防止长时间的效劳中断，保证系统长期、可靠的效劳。

1.集群技术

在了解双机热备之前，我们先了解什么是集群技术。

集群(Cluster)技术是指一组相互独立的计算机，利用高速通信网络组成一

个计算机系统，每个群集节点(即集群中的每台计算机)都是运行其自己进程

的一个独立效劳器。这些进程可以彼此通信，对网络客户机来说就像是形成了

一个单一系统，协同起来向用户提供给用程序、系统资源和数据，并以单一

系统的模式加以管理。一个客户端(Client)与集群相互作用时，集群像

是一个独立的效劳器。计算机集群技术的出发点是为了提供更高的可用性、可

管理性、可伸缩性的计算机系统。一个集群包含多台拥有共享数据存储空间的

效劳器，各效劳器通过内部局域网相互通信。当一个节点发生故障时，它所运

行的应用程序将由其他节点自动接管。其中，只有两个节点的高可用集群又称

为双机热备，即使用两台效劳器互相备份。当一台效劳器出现故障时，可由另

一台效劳器承当效劳任务，从而在不需要人工干预的情况下，自动保证系统能

持续对外提供效劳。可见，双机热备是集群技术中最简单的一种。

2.双机热备适用对象

一般邮件效劳器(不间断提供给用类的都适用)是要常年累月工作的，且

为了工作上需要，其邮件备份工作就绝对少不了。有些企业为了防止效劳器故

障产生数据丧失等现象，都会采用RAID技术和数据备份技术。但是数据备

份只能解决系统出现问题后的恢复；而RAID技术，又只能解决硬盘的问

题。我们知道，无论是硬件还是软件问题，都会造成邮件效劳的中断，而

RAID及数据备份技术恰恰就不能解决防止效劳中断的问题。要恢复效劳器，

再轻微的问题或者强悍的技术支持，效劳器都要中断一段时间，对于一些需要

随时实时在线的用户而言，丧失邮件就等于丧失金钱，损失可大可小，这类用

户是很难忍受效劳中断的。因此，就需要通过双机热备，来防止长时间的

效劳中断，保证系统长期、可靠的效劳。

3.实现方案

双机热备有两种实现模式，一种是基于共享的存储设备的方式，另一种是

没有共享的存储设备的方式，一般称为纯软件方式。

1）基于共享的存储没备的方式

基于存储共享的双机热备是双机热备的最标准方案。对于这种方式，

采用两台效劳器（邮件系统同时运行在两台效劳器上），使用共享的存

储设备磁盘阵列（邮件系统的数据都存放在该磁盘阵列中）。两台效劳

器可以采用互备、主从、并行等不同的方式。在工作过程中，两台效劳

器将以一个虚拟的IP地址对外提供效劳，依工作方式的不同，将效劳请

求发送给其中一台效劳器承当。同时，效劳器通过心跳线（目前往

往采用建立私有网络的方式）侦测另一台效劳器的工

a.防止了磁盘阵列的单点故障；对于双机热备，本身即是防范由于

单个设备的故障导致效劳中断，但磁盘阵列恰恰又形成了一个

新的单点。（比方，效劳器的可靠系数是99.9%,磁盘阵列的可靠

系数是99.95%,那么纯软双机的可靠系数是1-99.9%x99.9%=99.99%,而

基于磁盘阵列的双机热备系统的可靠系数那么会是略低于99.95%。

b.节约投资：不需购置昂贵的磁盘阵列。

c.不受距离的限制：两台效劳器不需受SCSI电缆的长度限制（光纤

通道的磁盘阵列也不受距离限制，但投资会大得多）。这样，可以更灵

活地部署效劳器，包括通过物理位置的距离来提高平安性。

缺点：

a.可靠性相对较差，两效劳器间的数据实时复制是一个比拟脆弱的

环节。

b.一旦某台效劳器出现中断，恢复后还要进行比拟复杂的数据同步

恢复。并且，这个时段系统处于无保护状态。

c.没有事务机制，由于其复制是在文件和磁盘层进行的，复制是否成功

不会影响数据库事务操作，因此有出现数据不完整变化的情况，这个存在着

相当的风险。

4.配置

硬件：两台相同配置的效劳器，具体的要求大家可以根据各自的实际需

要来选择。

磁盘阵列，适用于采用共享的方式搭建双机热备系统。

集群软件：

搭建双机热备当然少不了集群软件。在这里推荐集群软件RoseHA,这个

软件包括心跳监测局部和资源接管局部，心跳监测可以通

过网络链路和串口进行，而且支持冗余链路，它们之间相互发送报文

来告诉对方自己当前的状态，如果在指定的时间内未收到对方发送的报文，

那么就认为对方失效，这时需启动资源接管模块来接管运行在对方主机上的资

源或者效劳。另外在采用共享方式搭建的双机热备系统时，可以采用微软

SERVER系统企业版及以上版本自带功能实现。

二、磁带〔库）、虚拟带库备份

用户信息化最重要的是客户数据，任何系统都不会有100%平安性，所以

用户需要做数据备份，以便信息系统出故障时，可以把数据复原出来，给用户

把损失降到最低。客户备份系统应由备份效劳器、存储介质及专业备份软件构成,

备份对象为公司内部数据库（Oracle、SQLServer）＞办公自动化数据、内部WE3

文件及其彳也重要文件。

1、备份系统系列设计原则

A、平安性原则：

在设计上完全保证系统的平安性和高可用性。在实施的过程中，能在线安

装和部署，防止对现有的生产系统的影响。同时，存储管理软件平安性能

应在数据的传输，全寿命周期管理和应用存储系统管理员和操作员各个层

次得到表达，满足用户的平安机制。

B、备份的开放性原则：

采取Legato备份软件采用开放磁带格式（OTF）,因此备份磁带格式与平台

无关，能保证磁带内容在异构效劳器上可识别，在更换备份效劳器时，保

证仍能读出数据。

C、备份的高可用性原则：

为了配合未来应用系统（Oracle数据库）的高可用集群，Legato软件领

先、成熟的集群备份支持，可保证当效劳器集群发生切换时，备份任务可

不中断进行。

D、可扩展性原则：

Legato软件的备份功能，可无缝面向未来扩展。IT前的备份方案为备份

到磁带，Legato备份软件可支持先进的备份到磁盘技术，并且在恢复时，可以

同时从磁盘或者磁带进行系统恢复。存储管理软件需采用先进技术，以利

于整个系统的平滑升级。同时，必须考虑到今后存储环境的变化和灾难恢

复系统建立的需要。

E、可管理性与系统高效原则：

为保证数据存储的可管理性，减少管理的夏杂性。采用先进的备份技术和先

进的备份系统软件，采用统一的管理机制，保证大数据量的一致性备份和高速

切换。提供高效的存储设备的管理能力和数据自动备份功能。

F、系统完整性原则：

作为数据存储系统的组成局部，本系统的各项设计从整体考虑，协调各子

系统构成完整的数据存储管理系统。

G、系统成熟性原则：

存储管理软件必须稳定可靠，不能存在单点故障。

H、投资有效原则：

系统方案应具有高性能价格比，具有较高实用性。

2、存储藏份系统连接示意图

WhdowsWindowsWhdowsWindowsbnux

SQ出犯库Grace®SttSQL®18库

Cluster

光纤

SCSI

IP

存储藏份连接示意图

3、存储藏份工作原理说明

如下图，该方案设计的根本思想是采用LAN备份的结构，满足大容

量、高可靠、高可扩展的存储要求。磁盘阵列为原有设备，备份系统采用

先进的LegatoNetworker备份管理软件，对局域网的应用效劳器通过

LAN实现LAN备份。通过Networker的管理，存储在磁盘阵列中的数据和

每台应用效劳器硬盘中的数据可以定时、分组的备份到虚拟磁带库中，为

数据保存一个副本，确保数据的平安、可靠。

A、EMCLegato/Networker备份管理软件

本地备份系统的核心是NetWorkerServerNetworkEditionfor

Windows主备份模块，它安装在性能高、工作稳定的备份效劳器上，它对整个

备份系统进行监控和管理。对系统中的所有效劳器，我们都安装一个备份的客户端。

LAN网络的效劳器我们采用LAN的备份方式备份到虚拟磁带库中。对

Oracle数据库的在线备份可通过相应的

NetWorkerModuleforOracle,WindowsClient数据库在线备份模

块在线完成。对SQL数据库的在线备份可通过相应的

NetWorkerModuleforSQL,WindowsClient数据库在线备份模

块在线完成。如果未来有新的数据库效劳器增加，只需要添加相应的模块即

可。对Cluster的双机，LegatoNetworker看到的是一个虚拟主机，所以

在备份的时候，无论两台Cluster主机是否均正常工作，都不影响备份进程。

我们需要安装数据库在线备份模块，对Oracle数据库应用实现在线备份;

对重要的数据库效劳器我们安装OpenFileManager模块，他能够在文

件翻开之前为数据保存一个时间点状态，这样就不会因为文件被翻开而影

响备份。LegatoNetworker备份软件写入卷中的数据格式为OpenTape格

式，与备份效劳器的操作系统类型无关，当我们更换备份效劳器的操作系

统时，同样可以从原操作系统备份的数据卷中恢复数据。因此备份磁带格

式与平台无关，能保证磁带内容在异构效劳器上可识别，在更换备份效劳

器时，保证仍能读出数据；上述方案为我们提供的数据备份根本方案，设

计的目的是采用业界最先进的备份技术完成对系统数据在线、快速、

有效的磁带备份保护。同时本方案还是系统扩充的根底，可以

无缝的向EMCLegato/Networker在木米提供的备份技术和备份产品进行

升级。

B、SureSave虚拟磁带库

采用SureSave虚拟磁带库作为备份设备，充分利用备份软件的简单管

理性，虚拟磁带库大容量快速备份等先进的特性。为满足备份性能和备份

设备可靠性要求，我们推荐使用SureSave虚拟磁带库作为备份设备，用

以将磁盘阵列上的数据快速备份到虚拟磁带库中。SureSave虚拟磁带库

特点：

♦可模拟多个包含机械手、磁带槽和磁带驱动器的标准磁带库设备；

♦可模拟多个独立的磁带机（LTO等）；

♦模拟磁带库个数、磁带槽个数和磁带机个数可任意设定；

♦虚拟磁带容量可任意设定；

♦支持虚拟磁带的条码标识；

♦支持虚拟磁带归档功能；

♦冗余电源、风扇和具有RAID保护的存储系统；

♦支持SCSI和£主机和存储接口；

♦支持备份数据的自动化分级式归档；

♦中文界面

备份系统可实现全备份、增量备份；分组备份、介质分组使用、介质自

动轮回使用等多种备份策略；支持设备故障自动报警。

4、采用备份到虚拟磁带库与备份到传统磁带库的比拟

虚拟磁带库作为传统磁带库的一个有益的补充方案，在某些应用环

境有比磁带库更好的特性，但在超大容量存储和设备本身的价格上，磁带

库依然具有不可替代的优势。国际权威部门预测，随着技术和产品的不

断完善，虚拟磁带库将逐渐占据数据备份存储的应用领域，而磁带库将

逐渐转向数据归档存储市场。

三、数据双活

一、总体架构图

目前大多数单位存储都是使用单一存储，其实，作为数据存储的媒介，很

重要，但是却形成了单点故障，为了进一步保障应用的高可用性，提高生产的

平安级别，用户应对存储系统进行虚拟化整合，并搭建双活存储系统，保证关

键业务所使用的存储系统即使有一台存储系统出现故障，也不会出现业务停

顿，到达更高的生产平安保障。

改造后的示意图如下：

K

--豉务网-

如上图所示，在生产中心的SAN网络中配置一套存储虚拟化设备-

EMCVPlex,将目前的存储系统接入VPlex,所有应用系统只需要访问VPlex

上的卷即可，接入VPlex上的存储可以做到镜像关系［即双活）或级联关系。

建议对重要应用的数据存储在镜像的两台存储系统上。通过全新的备份软件

Networker和备份存储Datadomain对生产数据进行本地及远程备份和恢复。

整个方案的组成局部为:

A.光纤交换网络：由两台速度为8Gbps的光纤交换机组成光纤交换网络，

为所有系统提供基于光纤协议的访问；两台光纤交换机之间互为冗余，

为系统的网络提供最大的可靠性保护。用户可自行建设冗余SAN网络。

B.主存储系统：配置两台及以上存储系统，通过虚拟化存储进行本地数据

保护，对外提供统一的访问接口；重要应用系统的数据都保存在后端多

台存储系统上；

C.存储虚拟化：以EMCVPlexLocal作为存储虚拟化；应用系统只需要访

问虚拟化存储，而不需要直接管理后端的具体的存储系统；通过存储虚

拟化，可以到达两台存储之间双活，对数据进行跨存储的本地及远程保

护，统一管理接口和访问接口；

D.利旧存储：EMCVPlexLocal挂接存储,对存储的品牌、配置、性能没

有太多限制（注：挂接到vPlex后端的其他存储品牌需要在vPlex的兼

容列表内。）从而充分利用己有投资，减少投资浪费。

二、工程建设规划

通过EMCVPlex对存储进行虚拟化，逻辑示意图如下列图所示:

1.本地存储双活

应用系统通过虚拟化存储VPlex访问后端的存储系统,VPlex在提供虚拟化

的存储访问的同时，还可以对数据进行本地保护。

如下列图所示，VPlex通过镜像虚拟卷提供给应用系统访问，而在后端，

VPlex镜像虚拟卷将数据写入两台独立的存储系统中，来到达数据本地保护的

目的。

VPlex提供的本地数据高可用性保护，可以保证在存储系统、VPlex系统自

身出现故障时，应用还可以正常使用，且不会导致数据丧失。

＞当存储系统A/B其中一台出现故障时，由于通过VPlex的镜像功能，存

储系统A/B之间是RAID1关系，应用系统可以正常运行，不需要停机:

＞当VPlex系统自身山现故障时，由于在Vplex中的设置，VPlex不会修改

存储系统LUN的配置信息，即，用户可以将存储系统A或B的LUN直

接挂到应用系统，保证应用系统的继续运行，不会产生数据丧失。

2.存储系统利旧

VPlex在提供虚拟化的存储访问的同时，还可以方便地对存储容量进行扩

展。当一台存储系统出现空间缺乏的情况时，可以通过VPlex的虚拟卷，将多

台存储系统的空间组成一个卷给应用使用。通过这种级联方式，应用系统直接

访问VPlex的虚拟卷，而VPlex后端接入的存储系统只是作为VPlex虚拟卷的

存储资源池使用，到达资源的更合理分配和优化。

3.数据迁移

在整个工程过程中，EMC将负责整个系统的搭建及相应的数据迁移，保证应

用系统的正常过度。其中，数据迁移效劳包括以下内容：

＞将重要应用的数据迁移到性能最优的存储系统上，通过VPlex的镜像功

能，与其他存储做成双活存储；

＞将VPlex不兼容的存储系统上的数据，通过第三方数据迁移工具迁移到

VPlex存储资源池中；

整个双活系统做好，解决了最关键的数据存储的单点故障问题。

四、异地备份

一、方案背景

集团公司或政府分支矶构数据结构复杂、分散，具备集中备份、容灾等

需求。

受地震、水灾、火灾、盗窃等事故都可能造成企事业单位的数据丧失。

将数据备份到本地，其平安性是远远不够的。据统计“911”事件很多公

司因彻底丧失数据导致而倒闭。台风“桑美”导致浙江，福建和上海数千台计

算机过水，很多硬盘丧失数据。

企事业单位的信息化程度越高，数据类型越繁杂，数据量也越庞大。尤

其是有多个分公司的集团公司、多分支的政府机构。日常业务数据、办公文档

都保存在个人电脑上，分支机构还有不同业务的效劳器，这些数据的重要性不

言而喻。

而将这些数据集中备吩到企事业单位的数据中心不管沉着灾考虑上还是

从数据集中管理上都是FT前企事业单位信息化规划的重点工程之一。

在有限预算下，数据备份到异地的容灾解决方案将是当前企事业单位的

首要规划之一。

二、方案分析

桌面备份软件纯粹为数据的保护管理而设计，可跨区域异地备份和管理

桌面、效劳器等终端数据；可通过异地恢复数据解决受地震、水灾、火灾、盗

窃等事故造成数据丧失的问题。

1.架构分析

如下列图，由集团公司或机构总部的数据中心搭建一台或多台备份效劳

器，分公司或分支机构通过专线或VPN链路连接到备份效劳器，将重要数据集

中备份到数据中心。

【备份服务同、,

分支机构

通过备份软件的定时备份可以将备份时间设定为凌晨以后，可降低因数据

传输对其他业务数据交换的影响。备份时建议通过备份软件将重要数据自动压

缩后备份到备份效劳器，提高数据传输效率。

2.部署产品

将用于备份的独立效劳器接入机房主干交换机上，配置内网静态IP并安装

备份软件备份效劳端，安装成功后将自动生成静默安装的备份客户端，无需配

置。

效劳端可以通过Web平台管理和配置，方便进程管理。

为提高数据备份性能，建议效劳器配置不要太低。

在分支机构需要备份数据的桌面终端访问Web管理平台客户端安装向导天

面，下载备份客户端并安装。即可通过效劳端配置的数据备份制定方案任务备

份复制桌面终端数据。

终端桌面过多的分支矶构建议为该分支机构建立独立的备份效劳器，本

地备份后再通过备份效劳器采用夜间网络空闲时二次备份到集团公司的备份

效劳器。

需要通过VPN链路方式异地备份需要为备份效劳器设置VPN拨号并为其配

置固定的VPN内部IP地址，用于通过VPN方式的异地备份。

三、方案效果

终端用户：

无需手工提交数据到集团公司或上层机构，完全自动静默处理，提高业务

效率。

管理员：

不再奔波网络拥堵和挽救数据等繁琐工作，更多时间用于维护信息中心业

务数据。

用户单位：

轻松做到数据可备，数据可查，数据可统一管理规划。

如下列图，分公司将重要数据备份到集团公司数据中心，当分公司遇到突

发火灾事故机房所有数据丧失。机房重建后通过集团公司数据中心恢复数据到

分公司，分公司即刻可以开展原有业务，可将损失降低到最小化。

五、两地三中心

结合近年国内出现的大范围自然灾害，以同城双中心加异地灾备中心的

“两地三中心”的灾备模式也随之出现，这一方案兼具高可用性和灾难备份的

能力。

同城双中心是指在同城或邻近城市建立两个可独立承当关键系统运行的

数据中心，双中心具备根本等同的业务处理能力并通过高速链路实时同步数

据，口常情况下可同时分担业务及管理系统的运行，并可切换运行；灾难情况

下可在根本不丧失数据的情况下进行灾备应急迫换，保持业务连续运行。与异

地灾备模式相比拟，同城双中心具有投资本钱低、建设速度快、运维管理相对

简单、可靠性更高等优点。

异地灾备中心是指在异地的城市建立一个备份的灾备中心，用于双中心

的数据备份，当双中心出现自然灾害等原因而发生故障时，异地灾备中心可以

用备份数据进行业务的恢复。

针对两地三中心灾备建设的需求，我公司利用灾备软件的优势结合存储虚

拟化的优势，设计了典型的建设方案，方案原理和纽网如下图。

号产中，cQ

如图，同城双中心的应用切换，采用灾备软件中的集群软件来实现，生产

中心主机和灾备中心主机上都需要安装相应监测软件。监测本地双机或集群状

态，并通过监测软件在本地和远程的集群之间进行状态监测。

在网络层，同城双中心之间采用光纤连接，保证双中心之间较大的带宽，

以响应实时的业务数据需求，同城异地之间采用专网或IP广域网即可实现，

以节约本钱。同城双中心的光纤采用波分复用(WDV)技术进行建设，针对两

地只有1条或2条光纤连接的场景，采用WDM方式，能够虚拟出多条FC或GE

联络，满足两地之间对业务和数据多重链路的需求。WDM技术能充分利用光纤

的巨大带宽资源，大幅度提高系统传输容量，降低传输本钱，因此在长途和骨

干网的超大容量传输中得到了广泛的应用。将WDM技术引入城域网、接入网，

整个网络就会变成无缝连接的整体，为所有不同的业务提供支持和连接，闪此

城域网中WDM具有很大优越性。

在数据存储层，部署存储虚拟化网关，充分利用用户现有存储，通过行

储的同步远程复制功能将数据同步复制到灾备站点。确保生产中心和灾备中心

的数据完全一致。使用存储的异步复制功能，将数据通过