1、1. 数据中心容灾备份解决方案随着社会的发展和科技的进步, 政府日常工作越来越依赖于数据处理来进行, 政务系统的连续性依赖于数据中心系统的稳定运行。 然而, 灾难就像灰尘一样伏击在运营环境周围, 政务系统的数据中心可能正在一个充满风险和威胁的环境下运行。 如果不能对这些风险采取有效治理, 一旦数据由于某种原因丢失, 就很有可能对政府的日常工作造成严重的影响。 如果核心数据丢失,将会使得某些核心功能陷入瘫痪,造成不可估量的损失。 因此,保证政务的连续性和数据的高可靠性和可用性, 已经成为政府部门在数据中心建设中, 必须要考虑的问题。1.1 灾备解决方案原则首先, 在制定容灾系统方案的过程中要考虑
2、的就是容灾系统建设对原有业务系统带来的影响。比如, 采用数据复制技术对系统 I/O 带来的延迟, 应用数据同步对日常业务处理系统带来的压力等。 因此, 企业要通过周密的测试和分析来规避容灾系统建设时带来的这些风险, 以保证业务系统不会因容灾系统的建设而出现在处理性能上下降的问题。第二, 数据状态要保持同步。为保证在灾难发生时,业务可以成功地切换到备份中心, 就必须保证容灾系统数据同步机制的可靠性。 因此, 建立可靠的数据同步校验机制是必须的 ; 同时,还要考虑建立定时的、自动的数据同步核查对比机制,以检验两个中心数据的一致性,这是数据容灾工作中非常重要的一部分。第三, 容灾系统的日常维护工作要
3、尽可能轻, 并能承担部分业务处理和测试的工作。 容灾系统的维护和管理是容灾切换成功的重要保证, 在系统建设中, 就必须要考虑系统的维护管理流程。 生产中心任何业务处理过程的改变都必须完整地复制到备份中心 ; 所有新业务系统上线时, 必须通知备份中心, 并在备份中心配置好数据同步机制 ; 对原程序的改动也必须保证两个中心同时上线。第四, 系统恢复时间要尽可能短。 容灾系统主要是为了实现在主中心系统发生灾难时, 可以在规定时间切换到备份中心, 保证数据不会丢失, 并且继续向用户提供服务。 但往往在灾难发生时, 主要技术人员不能及时到达现场, 为了顺利实现系统间的切换, 应该让系统切换操作尽可能地简
4、单 ; 并建立固定化的、 标准化的切换流程, 要求维护人员在切换演习时严格按照流程的指导步骤进行操作。第五,可实现部分业务子系统的切换和回切。当人事变动、业务变化、 IT 设施变化以及其他可能引起恢复规划文档失效的变化发生时, 应及时更新各恢复规划文档, 并在必要时启动模拟测试或演习,确保业务连续性系统的工作能力。第六,技术方案选择要遵循成熟稳定、高可靠性、可扩展性、透明性的原则。目前,国际上比较成熟的容灾技术包括: SAN/NAS 技术、远程镜像技术、虚拟存储、基于 IP 的 SAN 互连技术以及快照技术等。其中基于 IP 的 SAN 远程数据容灾备份技术应用比较广泛,其是利用基于 IP 的
5、 SAN 的互连协议,将主数据中心 SAN 中的信息通过现有的 TCP/IP 网络,远程复制到备份中心的 SAN 中的。当备份中心存储的数据量过大时,可利用快照技术将其备份到磁带库或光盘库。这种基于 IP 的 SAN 远程容灾备份,可以跨越 LAN、 MAN 和 WAN,成本低、可扩展性好。基于 IP 的互连协议主要包括 FCIP、 iFCP、 InfiniBand 、 iSCSI 等。第七, 构建系统方案可以选择多种技术组合方式。 目前, 业内应用较多的容灾方案是基于智能存储系统的远程数据复制技术, 它是由智能存储系统自身实现的数据远程复制和同步, 即智能存储系统将对该系统中的存储器 I/O
6、 操作请求复制到远端的存储系统中并执行。 由于在这种方式下, 数据复制软件运行在存储系统内, 因此较容易实现主中心和容灾备份中心的操作系统、 数据库、 系统库和目录的实时拷贝及维护能力, 且不会影响主中心主机系统的性能。如果在系统恢复场具备了实时数据, 那么就可以做到在灾难发生时, 及时开始应用处理过程的恢复。但这种方案也有开放性差 (不同厂家的存储设备系统一般不能配合使用 )、对于主、备中心之间的网络条件 (稳定性、带宽、链路空间距离 )要求较苛刻等缺点。1.2 灾备解决方案设计需要考虑的因素1.2.1 RTO 和 RPORTO( RecoveryTime Object ):是指灾难发生后,
7、从 IT 系统宕机导致业务停顿之刻开始,到 IT 系统恢复至可以支持各部门运作, 业务恢复运营之时, 此两点之间的时间段成为 RTO。RTO 是反映业务恢复及时性的指标,表示业务从中断到回复正常所需要的时间。 RTO 值越小,代表容灾系统的数据恢复能力越强。各种容灾解决方案的 RTO 有较大差别,基于光通道技术的同步数据复制,配合异地备用的业务系统和跨业务中心与备份中心的高可用管理,这种容灾解决方案具有最小的 RTO 。RPO( Recovery Point Objective ),是指从系统和应用数据而言,要实现能够恢复至可以支持各部门业务运作,系统及生产数据应恢复到怎样的更新程度。 RPO
8、 是反映恢复数据完整性的指标,在同步数据复制方式下, RPO 等于数据传输延迟的时间;在异步数据复制下,RPO 基本为异步传输数据排队的时间。在实际应用中,考虑导数据传输的因素,业务数据库与容灾备份数据库的一致性( SCN)是不同的, RPO 表示业务数据库与容灾备份数据库SCN 的时间差。发生灾难后,启动容灾系统完成数据恢复, RPO 就是新恢复业务系统的数据损失量。设计容灾系统不能只看 RTO 和 RPO,对于不同的业务系统和用户特殊的要求,其它一些指标有可能成为选择容灾解决方案的主要因素。 例如, 某些地区为了防范一些特定自然灾害的风险, 要求容灾备份中心与业务中心保持足够的距离, 在这
9、种情况下, 容灾备份中心与业务中心的距离要求就是容灾系统的重要指标。1.2.2 数据安全数据的完整性,一致性是保证业务连续的关键。在本地,数据安全需要使用 RAID 技术来保证。 在灾备方案的设计中, 数据复制方案的设计是整个设计的基础。 目前业界主流的数据复制技术有: 基于数据库本身的复制技术, 基于操作系统的数据复制, 基于虚拟存储的复制技术和基于存储的复制技术。在方案所用技术的选择时,应当根据客户的预算,现场的条件,综合来进行考量。后续在 1.6.1 数据同步章节,将会有这 4 类数据复制技术的综合对比,可以作为选择的参考。1.2.3 网络安全通信网络是容灾系统的组成部分, 通信线路的质
10、量也是容灾系统的性能指标之一, 其中包括网络的数据传输带宽、网络传输通道的冗余和网络服务商的服务水平(网络年中断率) 。如果容灾系统使用的通信网络是确定的, 为了比较不同容灾解决方案, 可以用单位存储容量的数据库在同一通信网络上的数据完全恢复时间作为一项设计指标。1.2.4 业务连续性业务连续性是灾备方案的最终目标, 是方案的价值所在。 为了保证业务的连续, 首先需要数据的连续, 之前我们讨论了数据安全相关的内容。 其次, 在数据连续的基础上, 出现灾难时,系统需要能够满足( 1)网络切换( 2)应用切换。以此,来保证系统能够顺利切换到灾备地,继续安全运营,最大化保证客户利益。1.3 国标系统
11、灾备等级划分及应对措施国家信息系统灾难恢复规范( GB/T 20988-2007 )规定了六个级别的容灾,下表分别针对每个级别给出了相应的应对措施。级别 内容 措施Level6 数据零丢失和远程集群支持 实现远程数据实时备份,实现零丢失;应用软件可以实现实时无缝切换;远程集群系统的实时监控和自动切换能力;Level5 实时数据传输及完整设备支持 实现远程数据复制技术;备用网络也具备字哦那个或集中切换能力;Level4 电子传输及完整设备支持 配置所需要的全部数据和通讯线路及网络设备,并处于就绪状态;7*24 运行;更高的技术支持和运维管理;Level3 电子传输和部分设备支持 配置部分数据,通
12、信线路和网络设备;每天实现多次的数据电子传输;备用场地配置专制的运行管理人员;Level2 备用场地支持 预定时间调配数据,通信线路和网络设备;备用场地管理制度;设备及网络紧急供货协议;Level1 基本支持 每周至少做一次完全数据备份;制定介质存取验证和转储的管理制度;完整测试和演练的灾难恢复计划;1.4 容灾技术分析1.4.1 备份方式(1) 冷备份备份系统未安装或未配置成与当前使用的系统相同或相似的运行环境 , 应用系统数据没有及时装入备份系统。 一旦发生灾难, 需安装配置所需的运行环境, 用数据备份介质 (磁带或光盘) 恢复应用数据, 手工逐笔或自动批量追补孤立数据, 将终端用户通过通
13、讯线路切换到备份系统, 恢复业务运行。 优点: 设备投资较少, 节省通信费用, 通信环境要求不高。 缺点:恢复时间较长,一般要数天至 1 周,数据完整性与一致性较差。(2) 温备份将备份系统已安装配置成与当前使用的系统相同或相似的系统和网络运行环境, 安装了应用系统业务定期备份数据。 一旦发生灾难, 直接使用定期备份数据, 手工逐笔或自动批量追补孤立数据或将终端用户通过通讯线路切换到备份系统, 恢复业务运行。 优点: 设备投资较少,通信环境要求不高。 缺点:恢复时间长, 一般要十几个小时至数天,数据完整性与一致性较差。(3) 热备份备份处于联机状态, 当前应用系统通过高速通信线路将数据实时传送
14、到备份系统, 保持备份系统与当前应用系统数据的同步; 也可定时在备份系统上恢复应用系统的数据。 一旦发生灾难,不用追补或只需追补很少的孤立数据,备份系统可快速接替生产系统运行,恢复营业。优点: 恢复时间短, 一般几十分钟到数小时, 数据完整性与一致性最好,数据丢失可能性最小。缺点:设备投资大,通信费用高,通信环境要求高,平时运行管理较复杂。在计算机服务器备份和恢复中,冷备份服务器( cold server )是在主服务器丢失的情况下才使用的备份服务器。 冷备份服务器基本上只在软件安装和配置的情况下打开, 然后关闭直到需要时再打开。温备份服务器( warm server )一般都是周期性开机,根
15、据主服务器内容进行更新,然后关机。经常用温备份服务器来进行复制和镜像操作。热备份服务器( hot server )时刻处于开机状态,同主机保持同步。当主机失灵时,可以随时启用热备份服务器来代替。对于关键的业务, Primeton 建议采用同城热备异地热备的方式进行部署,对于一般性的业务,建议采用同城热备异地温备(应用不启动,数据保持异步复制)的方式进行部署。1.4.2 数据复制技术目前数据复制技术主要有如下表所列 4 种,基于红色字体部分的要求,结合客户的需要,Primeton 推荐采用基于存储或者基于应用程序的数据复制技术来进行数据同步。存储系统数据复制操作系统层数据复制应用程序层数据复制基
16、于存储的数据复制虚拟存储技术基本原理数据的复制 过 程通 过 本地的存 储 系 统 和 远 端的存 储系 统 之 间 的通信完成。复制技 术 是伴随着存 储 局域网的出 现 引入的, 通 过 构建虚拟 存 储 上 实现 数据复制。通 过 操作系 统 或者数据卷管理器来 实现对 数据的 远 程复制。数据 库 的异地复制技 术 , 通常采用日志复制功能, 依靠本地和 远 程主机 间 的日志 归档与 传递 来 实现 两端的数据一致。平台要求同构存 储与平台无关,需要增加 专 有的复制服 务 器或 带 有复制功能的 SAN 交 换机同构主机、异构存 储 与 平台无关复制性能高 高 高 较 高资源占用对
17、 生 产 系 统 存 储 性能有影响对 网 络 要求高对 生 产 系 统 主机性能有影响占用部分生 产 系 统 数据 库资 源技术成熟度成熟成熟度有待提高, 非主流复制技 术 。成熟 成熟投入成本高,需要同构存 储 较 高,需要 专 有 设备 较 高,需要同构主机一般部分 软 件免 费 ,如 DataGuard复制软件IBM PPRCEMC SRDFHP CA( Continues Access)HDS TrueCopyBrocade Tapestry DMMUIT SVMEMC VSM原厂技 术 :IBM AIX LVMHP-UINX MirrorDiskSun Solaris SVM专业
18、的复制 软 件:Symantec SF/VVROracle DataGuardOracle GoldenGateDNT IDRDSG RealSyncQuest SharePlex1.4.3 重复数据删除技术重复数据删除技术是指将存储系统中存在的大量内容相同的数据删除, 只保留其中一份, 从而缩减存储空间的技术。 在云灾备中, 该技术既能大幅减少灾备中心存储的数据量, 降低灾备中心的建设和运维成本, 又能大幅减少数据备份和恢复过程中用户和灾备提供商间的数据传输量,提高备份和恢复的性能,是一项十分重要的技术。随着灾备中心的规模不断增大, 存储的数据量和访问量不断增加, 单一节点上的重复数据删除方
19、法已不能满足性能和容量的需求。 除上述基本重复数据删除技术外, 一些优化和改进技术对云灾备是至关重要的,包括高性能、 可扩展的、 分布式的重复数据删除技术,以及为提高灾备中心数据可靠性的高可靠重复数据删除技术。1.4.4 操作系统虚拟化技术除了数据级的灾备, 还应提供系统级的灾备。 即在将数据复制到云端的同时, 也将受保护的应用程序的状态复制到云端, 当灾难发生时可以立即切换到云端的应用程序运行, 保证业务连续性。 系统级灾备是通过操作系统虚拟化和检查点实现的。 检查点用来捕获进程某一时刻的运行状态, 从而实现进程迁移。 进程迁移既可以是用户应用程序进程到云灾备中心的迁移,也可以是云灾备中心内
20、部的虚拟机池间进程迁移, 以实现根据前端用户的需求自动地调节灾备服务提供商有限的硬件与软件资源,动态地、弹性的反应前端业务对灾备的需求。当程序因故障中断,如果不能保留其中间运行状态,恢复后从头运行将会带来极大的消耗。检查点技术能够解决这个问题。 通过保留各个进程的运行状态, 恢复时能够复原到最近一次保留的数据映像。传统的检查员机制是基于库的检查点机制。 例如以静态库的形式实现, 或通过加载动态链接库来追踪程序运行过程中的数据变化。也有一些检查点机制实现于内核级别甚至硬件级别。例如通过在文件系统层之上引入一个中间层来实现保留文件系统状态的检查点机制; 或者借助 Fuse 内核模块实现的支持检查点
21、机制的文件系统,通过 Fuse 侦测、拦截内核级别的文件系统操作并将控制权传递给用户,从而能够在用户空间对文件系统状态进行保留。随着操作系统虚拟化技术的发展, 基于虚拟容器的检查点技术也得到了很好的应用。 虚拟容器是通过系统虚拟化技术构建出来的一个进程运行的较独立的上下文环境。 虚拟容器检查点技术能够有效保护容器内运行的应用程序和服务而不需要对应用进行修改。1.5 总体架构设计1.5.1Primeton “两地三中心 ” 容灾解决方案架构设计结合近年国内出现的大范围自然灾害, 以同城双中心加异地灾备中心的 “ 两地三中心 ” 的灾备模式也随之出现,这一方案兼具高可用性和灾难备份的能力。1.5.
22、1.1 “两地三中心 ” 本地高可用和容灾保护策略( 1)本地保护策略:? 本地高可用? 本地 clone ? 持续数据保护? B2D BVTL ? 磁带备份? Archive Log 备份( 2)容灾保护策略? 应用级或者数据级容灾? 同级容灾、降级容灾? 同步数据保护异步数据保护? 容灾数据复制技术? 主备中心运营方式双主中心运营方式多中心运营方式? 短、中、远期容灾策略1.5.1.2 “两地三中心 ” 功能定位生产中心 同城备份中心 异地灾备中心生产 生产(双活或热备) 生产备份 备份 备份灾备 灾备 灾备开发 监控 测试测试 监控监控 管理管理同城双中心是指在同城或邻近城市建立两个可独
23、立承担关键系统运行的数据中心, 双中心具备基本等同的业务处理能力并通过高速链路实时同步数据, 日常情况下可同时分担业务及管理系统的运行, 并可切换运行; 灾难情况下可在基本不丢失数据的情况下进行灾备应急切换,保持业务连续运行。 与异地灾备模式相比较, 同城双中心具有投资成本低、 建设速度快、运维管理相对简单、可靠性更高等优点。异地灾备中心是指在异地的城市建立一个备份的灾备中心, 用于双中心的数据备份, 当双中心出现自然灾害等原因而发生故障时,异地灾备中心可以用备份数据进行业务的恢复。1.5.1.3 “两地三中心 ” 容灾架构设计逻辑架构模型设计:物理架构设计:方案特点:? 同城范围有效保证了数
24、据的安全性和业务连续性;? 异地复制数据根据灾难情形,尽可能降低数据丢失机率;? 同城双中心为同步复制,数据实时同步, RPO=0 ;? 异地无距离限制,保证数据一致性,保证了数据的有效保护;? 异地容灾带宽要求低,先进的复制机制提高带宽利用率。对于本地本级备份, 应建立在线、近线、 离线等多级存储备份系统,充分利用先进的备份手段和备份策略, 形成完整的本地备份管理解决方案; 备份的数据包括操作系统、 数据文件以及应用服务环境等多个方面; 日常访问的重要数据采用磁盘或者虚拟带库方式备份, 归档数据和非重要数据采用磁带库方式备份; 重要数据应至少保证每周做一个全量备份, 平时做增量备份。对于数据
25、级异地灾备中心, 选址上, 应进行风险分析, 避免异地备份中心与主中心同时遭受同类风险; 网络备用系统上, 必须在核心网络层面实现热备, 保证灾备中心区域内通信的可靠性; 数据备份系统上, 主中心与备份中心的备份链路应有冗余, 并确保 2 小时内将主中心的增量数据复制或备份到灾备中心; 数据处理备用系统上, 配备灾难恢复所需的全部数据处理设备,并处于就绪状态或运行状态,与主中心共同承担部分核心应用的查询服务功能。对于同城应用级灾备中心,选址上,主中心与同城灾备中心距离应小于 100KM ;网络备用系统上,在核心网络层面实现热备,主中心与应用级灾备中心间通过裸光纤互联或 VPLS 互联,部署 T
26、RILL 构建大二层网络,满足虚拟化需求;网络负载均衡上,主中心网络与灾备中心网络的负载均衡, 提高灾备网络利用率与灾备网络可用性, 正常情况下数据流同时使用两个中心的网络,主中心网络出现故障时,则全部数据流向灾备网络; 应用集群切换上,关键业务系统集群实现手动切换, 主中心与同城灾备中心之间建立高可用性监控技术, 实现灾备中心应用服务器集群与主中心生产服务器集群之间的高可用性切换;云计算技术采用上,采用虚拟化技术对同城灾备中心进行规划建设,同时,根据业务关键程度、对性能的要求,系统平台选择不同档次和不同平台的主机资源池、存储资源池。1.5.2 基于不同服务需求选择不同可靠性 “ 两地三中心
27、” 架构1.5.2.1 服务等级划分的可靠性服务级别 tier1 tier2 tier3 tier4 服务内容 关键任务服务 , 需要最高级别的可靠性。高端技术和工具将会被用来满足最高级别的可靠性。 如果丢失一个组件,如服务器,一块存储,或者一个通信链接,都将会导致服务不可靠。每个应用和基础服务都会制定性能指标。这些指标都将会被监控,并会通过业务支持的流程以特定格式输出。这个site 不仅仅包含基础架构组件。关键业务服务的运维和tier1 一样, 但是某些限制非可靠级别的服务可以容忍短时间的不可恢复的影响。高端技术和工具将会尽量(略低于tier1 ) 被用来满足最高级别的可靠性。系统设计和指导
28、里面必须包含没有单点故障。高端技术和工具将会尽量(略低于 tier1 和tier2 ) 被用来满足最高级别的可靠性。允许有多个单点故障。仅仅在计划上有一些伸缩性。没有关键服务运行,运维和支撑只要能够在一个可以接受的范围内即可。关键指标 99.99%的可靠性,数据中性能够切换,厂家支持(小于 2 小时的响应时间),硬件容错性,没有单点故障, N+1,数据中心的切换选择,硬件冗余99.5%的可靠性, 数据中性能够切换,厂家支持(小于 4 小时的响应时间),硬件具备容错性,没有单点故障, N+195%的可靠性, 数据中性能够切换, 厂家支持 (小于 24 小时的响应时间)没有可靠性保证,最低级别的支
29、持分钟宕机 / 月 4.32 216.00 2160.00 1.5.2.2 Primeton 通用的基于服务的 “ 两地三中心 ” 架构1.5.2.3 Primeton 基于不同的服务质量,达到不同级别的整体可靠性( tier )( 1)场景 1 主环境如图中 A 所示,包含了数据库,应用, Web 三层服务结构,本地高可用环境 P 作为同城备份站点,复制 100%A 中的 Web 服务, 100% 的 A 中的应用在线服务, 100% 的 A 中的 OLTP 事务,异地在数据库 /应用 Web 层均复制 75%A 中的服务。那么这套方案整体的可靠性将会达到 99.999% 。( 2)场景 2
30、 主环境如图中 A 所示,本地高可用环境 P 复制 100% 的 A 中的 Web 服务, 100% 的 A 中的应用在线服务, 异地在数据库 / 应用 Web 层均复制 75% 的 A。 那么这套方案整体的可靠性将会达到 99.99% 。( 3)场景 3 主环境如图中 A 所示, 本地高可用环境没有即没有同城备份站点, 异地在数据库 / 应用 Web层均有一个可以接受的备份 (非和 A 环境 100% 相同) 。 那么这套方案整体的可靠性将会达到 99.70% 。( 4)场景 4 主环境如图中 A 所示,本地高可用环境没有即没有同城备份站点,异地采用冷备的方式,仅仅在发生灾难的时候采取措施
31、。那么这套方案整体的可靠性只有 99.00% 。1.6 数据级容灾设计数据的复制是应用接管的基础, 保障数据复制的完整性和实时有效性才能使得应用的接管有意义。 数据复制主要分为 4 大类 ( 1.4.2 已有说明) , 综合性价比和客户自身情况, Primeton推荐可以使用如下两类的数据复制技术:第一类, 是基于磁盘阵列的复制软件实现, 比如 EMC SDRF、 HDS 的 TureCopy 、 IBM 的 Flash等;第二类,是基于服务器或者应用软件(应用层)实现,比如 Oracle DataGuard 组件、GoldenGate 数据库复制软件、 DSG 的 RealSync 软件等。
32、A)磁盘阵列同步有以下主要特点:? 可以实现对所有数据的灾备,支持所有的数据类型,是最全面的灾备保护方式;? 基于存储设备进行灾备, 可以有效的解决对数据库服务器和各种应用服务器的计算资源的占用问题;? 部署简单,无需更改原来的文件系统。维护也更加简单,维护好存储灾备系统就可以。B)基于服务器或应用软件的灾备, 有以下特点:? 支持异构平台,开放的硬件选择;? 极短时间切换的热容灾;? 容灾侧数据库也处于打开状态,可以做主地数据库的负载均衡,提升系统的可用性;? 对网络要求不高,低带宽下能够传输数据;1.7 应用级容灾设计应用级灾备包括两个方面: 数据同步和应用接管。 数据同步是应用接管的前提
33、。 在保证数据同步基础上,要实现应用接管,还要能实现灾难发生时的网络切换和应用切换。1.7.1 网络切换设计应用级灾备要求提供冗余的网络线路和设备。 正常情况下, 客户端通过生产中心的业务网络访问生产中心的应用服务器; 在发生灾难时, 通过网络切换, 客户端能够访问到灾备中心的备用服务器。目前,网络切换主要有以下三种:( 1)基于 IP 地址的切换生产中心和灾备中心主备应用服务器的 IP 地址空间相同, 客户端通过唯一的 IP 地址访问应用服务器。在正常情况下,只有生产中心应用服务器的 IP 地址处于可用状态,灾备中心的备用服务器 IP 地址处于禁用状态。一旦发生灾难,管理员手工或通过脚本将灾
34、备中心服务器的 IP 地址设置为可用,实现网络访问路径切换。( 2)基于 DNS 服务器的切换在这种方式下,所有应用需要根据主机名来访问,而不是直接根据主机的 IP 地址来访问,从而通过域名实现网络切换。( 3)基于负载均衡设备的切换通过在服务器集群前端部署一台负载均衡设备, 根据已配置的均衡策略将用户请求在服务器集群中分发, 为用户提供服务, 并对服务器可用性进行维护。 负载均衡能够按照一定的策略分发到指定的服务器群中的服务器或指定链路组的某条链路上, 调度算法以用户连接为粒度,并且可以采取静态设置或动态调配的方式。 负载均衡设备能够针对各种应用服务状态进行探测, 收集相应信息作为选择服务器
35、或链路的依据, 包括 ICMP、 TCP、 HTTP、 FTP、 DNS 等。通过对应用协议的深度识别,能够对不同业务在主生产中心和灾备中心之间进行切换。这三种网络切换方式比较如下:网络切换方式 基于 IP 地址 基于 DNS服务器 基于负载均衡切换方式 手动或半自动 自动 自动切换时间 10-30 分钟左右,与服务器数量相关10 分钟左右 分钟级技术成熟度 成熟 成熟 一般实施案例 较多 多 较多设备投资 无 增加 2 台 DNS服务器 在数据中心前端交换机上增加负载均衡板卡单个应用和整个子网的切换适合整个子网切换 适合单个应用和整个子网切换适合单个应用和整个子网切换在以上三种网络切换方式中
36、,基于 IP 地址的切换方式较简单,实现成本低,但是对于拥有较多服务器的灾备中心而言,手工更改大量 IP 地址和网络配置需要比较长时间,因此这种方式适合于只有少数应用服务器的场合;基于 DNS 的切换方案,从技术上讲较成熟,应用也较多,而且能够实现网络切换的全自动,但是需要增加两台 DNS 服务器的投资;而基于负载均衡的切换,需要增加负载均衡板卡,但是切换能够精细到业务和服务内容, 因此,在大型数据中心情况下, Primeton 建议采用负载均衡的方式进行网络之间的切换。1.7.2 应用切换设计应用切换是指生产中心由于发生灾难而瘫痪时,可由灾备中心的备用服务器提供业务接管,确保业务运行的高连续
37、性。实现应用切换的前提条件是:? 数据已经从生产中心同步到灾备中心;? 灾备中心配置与生产中心对应的应用软件服务器、 数据库服务器和中间件服务器等, 且运行正常;? 灾备中心网络运行正常或能够实现正常切换。应用切换技术主要有以下几种:( 1)双活数据库技术部分数据库复制容灾软件, 能够实现生产中心和灾备中心数据库双活, 即灾备中心的备份数据库也处于 Open 状态,客户端可对灾备数据库进行只读访问(例如 GoldenGate 、 DSG 等数据库复制软件)。生产中心和灾备中心数据库保持双活,可提高灾备中心的资源利用率,分担生产中心的业务负担,在发生灾难时,自然也可以实现应用和业务的接管。这种方
38、式的缺点之一是只适合于特定的数据库应用, 不适合文件系统等应用, 有一定的局限性。( 2)远程集群技术远程集群是指通过在生产中心和灾备中心的应用服务器上安装远程集群软件 (例如 Veritas Storage Foundation 中的 GCO 组件 ),实现跨广域的多服务器状态的监控,当发生灾难时,实现应用服务器的自动切换。 主要是由厂家提供的一些容灾软件实现自动切换, 拉起异地的应用和数据库。例如,赛门铁克的 VCS, IBM 的 PowerHA 等。( 3)手动切换方式手动切换方式实现较简单,总体成本低,适用范围广,而且较可靠。采用这种方式时,灾备中心部署与生产中心相对应的应用服务器和数
39、据库服务器,安装相应软件。在正常情况下,灾备中心服务器可选择不运行或者处于就绪状态但对外不可访问; 发生灾难时, 可在人为决策后,将灾备中心服务器启动或恢复对外访问,实现业务的快速切换。这三种方式比较如下:应用切换方式 双活数据库技术 远程集群 手动切换适用范围 仅限特定数据库 无限制 无限制应用完全自动切换 否 否 否灾备中心日常可访问 是 否 否运行风险 低 高,可能误切换 低实施成本 高 较高 低维护工作量 较高 较高 低1.8 网络层设计在每一个节点, 为了提高可靠性,避免单点故障, 建议在网络层采用双网双平面的设计,即在交换机路由器层均采用冗余设计。在同城高可用环境下,在预算允许的情
40、况下,建议数据复制采用光纤( FC)传输,能够大大提升同步数据复制的效率和可靠性。在异地灾备情况下,由于数据传输线路较长,采用 FC 传输代价太高,并且灾难发生也是偶然事件。综合考虑性价比,建议采用 IP 传输。1.9 Primeton 容灾方案推荐软 / 硬件配置选型清单序号 配置名称 配置详情1 服务器 建议采用主流小型机或者高性能 X86 服务器,例如 IBMOracle 小型机,曙光华为 IBM HP Dell 的 X86服务器2 存储 中高端 NAS存储, 注意选择双控, 可支持 FC/IP 数据复制,可以选用相关的数据复制软件3 网络设备 交换机 / 路由器,注意冗余配置4 主机操作系统 CentOs/Suse/Aix5 数据库 Oracle/Mysql6 容灾软件 可以选用 Linux 自带的 cluster ,或者选用厂家提供的如VCS, RealSync 等软件7 虚拟化软件 建议采用开源的 Openstack/Xen
