1、摘要摘要今天,大公司业务比以往任何时候都更加依赖于计算机系统,计算机系统在为各大公司业务迅猛发展提供技术基础架构的同时,由于业务应用支撑系统的需要,用户信息和业务处理的高度集中,以及不可预见的故障和灾难,导致业务应用支撑系统存在很多灾难性破坏的隐患,有可能成为整体系统中的单故障点。因此,业务的拓展与灾难的防范是所有计算机用户都必须同步重视的问题。那么,什么是计算机业务系统的灾难呢?通常的定义是指采用计算机系统处理的重要电子数据丢失至不可恢复或由此导致公司业务中断以至于延长到不可接受的时间.本课题研究主要目的是从工程化的角度,对灾难备份技术进行研究,并在此基础上结合大型制造业的ERP系统的具体业
2、务环境,对灾难备份技术在ERP系统中的应用进行探讨。在广泛调研和分析系统业务需求的基础上,利用0以CLE81提供的高可用性解决方案,来建立大型制造业的ERP系统的灾难备份系统,并为用户提供能对其进行观察监侧的工具。 最后,关于进一步工作的方向进行了简要的讨论。关键词:ERP,SAP,or毗le数据库,高可用性,灾难备份ABSTRACT玩pres以.ge,此.te甲iseeOtitybasbe.口旧reandmo邝1血OnCO.IPu姗日邓比皿,丁七.伪田p川ersys扭公”d。沁四eas伪etech苗。吐加丘韶川d”伟ofthem冈e口。terp拙esdai1ybuSinessaCtivity
3、,m。刽团浑hileb以泊useof阮ERPsystem、众叼u云e口时如d苗沙甸e乎鱿仍.of切dus。招,加自。朋tion叨db此inessp门Cesses,姐dotherUnpredlctablereasO”即ddisaste岛,theERpsystemitselfinCe巾山extentw皿比山。众己。那卯加t加山e印t让。曲terPriseCOmPOtersyst。叮5.玩U五spo加b鹅加。抬亡邓田招,加助ddisaster此5姑ted吕bould忱.mphas议ed妙aUthePresent即terpriseentlties.匆,址花isthequestioD,wbat坛伪eex
4、aCtme幽ofD坛asterinth.ER卫盯“e山那叩的A朗。.丈aide丘苗盆ionis奴汕卯d叨tbO5加创始山扭w址chl以=atedintheERPsystemcannotberecoveredunderCe巾dnsit助tlonasofearthquake,份乌山od曰吃,or比isdis留比rleadenterprise,sb”sin璐ac6讨ty诩加t加伪。tiOued协幼una吐Ptablelevcl.T五15由ssertatlons妞rtwi山researching阮theoryofDisasterR以为very,baseon创stbeory阳dso山。k山dof口e山O
5、do】ogy,c的以以。witbcurre力tente中rise,5large一sCa】eER卫systemOnthearticlewemostta1kaboutSArsystem),investigate也et配知面口ldet目sof油PlemoIlatlooof众5韶玄“R助,。ry.Wewou】du那atool碑例记目by0RAcLEtoreal往et瓦5砌配tivethendeve沁pseriaienduser、川。川仍石五9助dmana邵怕。练玩the血ality,阮p扣blemsrequ访ng加rtberstudies哪discussed.Keywords:ERI,SAP,山tab
6、ase,n学位论文版权使用授权书本人完全了解同济大学关于收集、保存、使用学位论文的规定,同意如下各项内容:按照学校要求提交学位论文的印刷本和电子版本;学校有权保存学位论文的印刷本和电子版,并采用影印、缩印、扫描、数字化或其它手段保存论文;学校有权提供目录检索以及提供本学位论文全文或者部分的阅览服务:学校有权按有关规定向国家有关部门或者机构送交论文的复印件和电子版;在不以赢利为目的的前提下,学校可以适当复制论文的部分或全部内容用于学术活动。学位论文作者签名:/月护自经指导教师同意,本学位论文属于保密,在年解密后适用本授权书。指导教师签名:学位论文作者签名:年月日年月日同济大学学位论文原创性声明本
7、人郑重声明:所呈交的学位论文,是本人在导师指导下,进行研究工作所取得的成果。除文中已经注明引用的内容外,本学位论文的研究成果不包含任何他人创作的、已公开发表或者没有公开发表的作品的内容。对本论文所涉及的研究工作做出贡献的其他个人和集体,均已在文中以明确方式标明。本学位论文原创性声明的法律责任由本人承担。签名:年月加日第1章引言第1章引言1.1概述容灾备份是通过在异地建立和维护一个备份存储系统,利用地理上的分离来保证系统和数据对灾难性事件的抵御能力.常言道,“知己知彼,百战不殆,。要实现容灾备份和恢复,首先要了解我们的“敌人”一灾难。那么,那些事件可以定义为灾难呢?典型的灾难事件是自然灾难,如火
8、灾、洪水、地震、咫风、龙卷风、台风等,还有其它如原先提供给业务运营所需的服务中断,如设备故障、软件错误、电信网络中断和电力故障等等。此外,人为的因素往往也会酿成大祸,如操作员错误、破坏、植入有害代码和恐怖袭击。现阶段,由于我国很多行业正处在高速发展的阶段,很多生产流程和制度仍不完警,加之缺乏经验,这方面的损失屡见不鲜。事实上,我国2加3年遭遇的“非典”,某种意义上也是灾难。对此,我们认为需要做到两点:一是建立切实可行的应急机制,这主要包含一套基于充分且清楚地将风险予以分类定义的业务持续计划,二是在危机突然降临时,此计划能被有效执行。 对于IT系统,除了上述的灾难之外,与系统相关的计划外宕机也可
9、视作灾难。 自“9二11,之后,全球各企业均认识到灾难防范保护的重要性。某些大型金融机构之所以能够在两天内恢复营业,其主要原因是它们不仅象一般公司那样在内部进行数据备份,而且在数英里外的数据备份中心也保留着数据备份。这些备份都是通过数据备份软件和数据复制软件进行的。采取了这种措施后,一且工作现场发生意外,企业就可以立即使用另一套数据。华尔街的金融机构重新对灾难恢复的步骤做了评估,并认识到灾难恢复只是技术手段之一,它们开始强调BusinessC佣七1ouity一业务连续性而不仅仅是D主saster淤灾难,恢复。因为过去的子灾难”恢复计划并没有强调全局性及对整个市场的影响,而如何维持业务的连续运作
10、将成为企业运营风险评估中至关重要的一环。事实证明,只有对数据存储备份制定完备、持续且可执行的容灾计划,特别是业务连续计划,才能为人们提供万无一失的数据安全保护1。第1章引言严格的说,容灾计划包括一系列应急计划,如业务持续计划(现P一BusinessContinuityPlan),业务恢复计划(ERP一BusinessRecove耳Plan),运行连续性计划(C(X)P-COntinuityof饰erationsPlan),事件响应计划(IRPeslncidentResponsePlan),场所紧急计划(OEP-0ccupant肠ergencyPlan),危机通信计划(CCPrisisCo口ID
11、unicationPlan),灾难恢复计划(DRP-DisasterRecoveryPlan)等等。BCP关注在中断期间和之后维持机构的业务功能,例如工资的支付处理或客户的信息处理。BCP可以专门为某个特定的业务处理编写也可以涉及到所有关键的业务处理。IT系统在BCP中被认为是对于业务处理的支持。有时,BCP可能没有涉及到对过程的长期恢复并使其回到正常运行状态,而只是包含过渡的业务连续性需求。灾难恢复计划、业务继续计划和场所紧急计划一般附加在BCP之后。按一般惯例,备用站点维持机构(通常是总部)要支持长达30天的运行,直到整个系统恢复到正常状态,C00P正是为了达到这个要求而制定的。BCP涉及
12、到在重大中断期间和之后维持业务处理所需的业务功能和IT系统。BRP记录了机构在备用站点进行业务处理的持续规程。与BCP不同,BRP不涉及在紧急事件期间对关键处理的连续性维持。DRP是指设计用于重大和通常是毁灭性灾难之后的目标系统、应用程序或计算机设施的恢复,它是以IT为主的计划。两个计划都提供了IT系统的恢复和继续规程。由于咆括了对无需重新部署到备用站点的小型中断进行系统恢复的规程,所以这类计划比D即的范围更广泛。计算机事件响应计划建立了使安全人员可以确定、防止和恢复针对机构IT系统进行的计算机攻击的规程。OEP则提供了在人员的健康和安全以及环境或财产等受到威胁的紧急情况下,设施工作人员所遵循
13、的指导方针.计划的制定者之间必须进行协调以确保各自的策略和规程能够互为补充,必须将所有有关计划、系统和处理的变化情况反馈给系统和相应处理计划的制定者。1.2容灾与备份从定义上看,备份是指用户为应用系统产生的重要数据(或者原有的重要数据信息)制作一份或者多份拷贝,以增强数据的安全性。因此,备份与容灾所关注的对象有所不同,备份关系数据的安全,容灾关心业务应用的安全,我们第1幸引言可以把备份称作是“数据保护”,而容灾称作“业务应用保护”。备份最多表现为通过备份软件使用磁带机或者磁带库将数据进行拷贝,也有用户使用磁盘、光盘作为存储介质;容灾则表现为通过高可用方案将两个站点连接起来. 备份与容灾是存储领
14、域两个极其重要的部分,二者有着紧密的联系。首先,在备份与容灾中都有数据保护工作,备份大多采用磁带方式,性能低,成本低:容灾采用磁盘方式进行数据保护,数据随时在线,性能高,成本高。其次,备份是存储领域的一个基础,在一个完整的容灾方案中必然包括备份的部分;同时备份还是容灾方案的有效补充,因为容灾方案中的数据始终在线,因此存储有完全被破坏的可能,而备份提供了额外的一条防线,即使在线数据丢失也可以从备份数据中恢复。1.3容灾系统的一些基本概念容灾级别分为数据级别、应用级别以及业务级别。 数据级别容灾的关注点在于数据,即灾难发生后可以确保用户原有的数据不会丢失或者遭到破坏。数据级容灾较为基础,其中较低级
15、别的数据容灾方案仅需利用磁带库和管理软件就能实现数据异地备份,达到容灾的功效;而较高级的数据容灾方案则是依靠数据复制工具,例如卷复制软件,或者存储系统的硬件控制器,实现数据的远程复制。数据级别容灾是保障数据可用的最后底线,当数据丢失时能够保证应用系统可以重新得到所有数据。从这种意义上讲,数据备份属于该级别容灾,用户把重要的数据存放在磁带上,如果考虑到高级别的安全性还可以把磁带运送到远距离的地方保存,当灾难发生后,从磁带中获取数据。该级别灾难恢复时间较长,仍然存在风险,尽管用户原有数据没有丢失,但是应用会被中断,用户业务也被迫停止。 应用级容灾是在数据级容灾的基础上,再把执行应用处理能力复制一份
16、,也就是说,在备份站点同样构建一套应用系统。应用级容灾系统能提供不间断的应用服务,让用户应用的服务请求能够透明地继续运行,而感受不到灾难的发生,保证信息系统提供的服务完整、可靠、安全。一般来说,应用级容灾系统需要通过更多软件来实现,它可以使企业的多种应用在灾难发生时进行快速切换,确保业务的连续性。第1章引言业务级容灾,数据级容灾和应用级容灾都是在仃范畴之内,然而对于正常业务而言,仅rr系统的保障还是不够的。有些用户需要构建最高级别的业务级别容灾。业务级容灾的大部分内容是非rr系统,比如电话、办公地点等。当一场大的灾难发生时,用户原有的办公场所都会受到破坏,用户除了需要原有的数据、原有的应用系统
17、,更需要工作人员在一个备份的工作场所能够正常地开展业务。同步复制与异步复制同步复制是指向业务系统存储数据和向备份系统存储数据同时进行,只有在两地数据存储操作完成后,才能够进行下一个数据存储操作,因此,同步复制的10操作时间以最长的10用时为衡量尺度。异步复制是指对业务系统的数据存储操作独立进行,对备份系统的数据存储操按照排队方式进行,业务系统的10操作不受异地备份系统的10操作影响。为了保证数据传输排队的次序,异步复制需要一些特殊技术的支持.源数据与目标数据业务系统的数据是源数据,备份中心的数据是目标数据。在双工模式下,A业务系统可以存储B业务系统的目标数据,反之亦然。在多向复制模式下,源数据
18、可以有多个目标数据作为备份。在集中模式下,容灾备份中心可以存储多个业务系统复制来的目标数据z。冷容灾中心与热容灾中心冷容灾中心的目标数据只能在数据恢复时使用。热容灾中心的目标数据在一定条件下可以离线使用.对于数据库来说,热容灾中心的数据库时刻处于打开状态。 RTO恢复时间(R以力veryTlmeobject)。意指从灾难过去,启动容灾计划,至整个系统功能恢复,最终用户得以访问系统重新开始业务流程所总共需要的时间。也可以表述为,在做灾难切换时可以容忍的数据丢失量.这是一个容灾计划级别的决定性指标,直接决定了容灾系统的规模,将要使用的技术及预算的规模。Rpo恢复时间点(Recove口Pointob
19、ject),做灾难切换时候,将应用程序恢复到一个灾难发生之前的特定时间点。Failover容错切换,在发生灾难或系统失败时,将程序或应用切换于正常的硬件系统中。sfandby数据库对需要做容灾的数据库另做一份副本,可以在同一台服务器,也可在另外的专用服务器。两个数据库内容完全一致,并使standby数据库保持与主数据库实时更新,因而在任何时候,主数据库和物dby数据库的内容都是精确一致的。第1章引言1。4灾难备份系统的现状分析1。4.1国外现状分析灾难备份和恢复于20世纪70年代中期在美国起步,以1979年在宾州费城建立的5皿G田吐ReCo,呵Ser,.a沼为标志,其后,美国的灾备行业经历了十
20、年的迅猛发展和十年的合并重组,到1999年剩下31个灾备服务商,并以每年15%的速度增长,灾备行业面向的主要客户是金融业.国外的灾备行业提供的服务主要包括:备份数据中心服务、灾难恢复和业务连续性规划咨询、OEM保险服务、快速运达服务。国际上的灾难恢复/业务连续性组织主要有DRll和B口等。 国外政府对数据备份有详细规定;我国香港特别行政区也针对不同行业的特点,对容灾、数据备份有严格的规定;但在国内,目前刘这部分的要求还较少。 国外几乎每一个大型企业都已经建立并且每年追加若干投入来保证自己的灾备系统能够满足不间断的业务需求。不仅仅是银行业,保险业以及数据中心这些关健业务的企业,也包括制造业,信息
21、业,服务业等等。这些灾备系统普遍使用高端的技术以及高性能的硬件及网络环境,非常值得国内的企业借鉴和学习。1.4.2国内现状分析目前国内灾备市场还未真正发力,其主要原因在于企业的认识不足。灾备事关企业的生死和业务能否永续经营,而井不仅仅是企业信息主管(CIO)一个人或件技术一个部门的任务。 但是可以看到,各行业用户对信息安全系统的建设越来越重视,其投入也里现稳定增长的态势。虽然国内灾难备份市场起步较晚,但己经开始借鉴国外的经验,从标准着手,开始制定重要信息系统灾难恢复。20(巧年5月,由国务院信息化工作办公室主持,涉及银行、电力、铁路、民航、证券、保险、海关、税务八大重点行业的重要信息系统灾难恢
22、复指南正式发布,使数据备份与容灾的建设迈上了一个新台阶,有关部门预测,到2(X拓年底,十大行业的灾第1章引言难备份建设将陆续启动,在未来五年中,中国的灾难恢复业务综合年增长率将达到46%。银行业,如中国银行,四大商业银行,保险业,电信业这些信息化建设相对领先的关系国计民生的行业,也都在容灾领域探索了很久,也取得了很大的进展,采用了国际国内的先进技术构建了自己的容灾系统,且不亚于世界先进水平。然而,普遍的企业事业单位还并没有相关的容灾意识,一方面因为其自身的rr系统建设尚在初级阶段,还没有真正面对容灾的需求,另一方面,也由于国内的技术环境不够成熟,没有完善而多样的可以对客户度身订做的容灾系统。正
23、是这多方面的原因,造成了国内中小型市场的相对真空,而国际厂商都在争夺高端客户的局面。1.5本文研究的内容由于容灾所承担的是用户最关键的核心业务,其重要作用勿庸置疑,容灾本身的复杂性也是十分明显的,这就决定了容灾成为一项系统工程。容灾首先涉及到众多技术以及众多厂商的各类解决方案。性能、灵活性以及价格都是必须考虑的因素,更重要的是,用户需要根据自己的实际需求量身打造。许多用户的生产站点都是经过长期积累、多次改造后形成的,对于特殊的应用还采用特定的设备。那么当用户考虑构建容灾站点时就必须把所有的情况都考虑进来,“选择适合自己的”是构建容灾方案的一条基本准则。与此同时用户还要考虑长远一些,尽量采用先进
24、而不是将要淘汰的技术,毕竟冗余站点与生产站点一样会长期使用。 本文由于是申请工程硕士学位论文,因此对灾难备份中的涉及企业的战略管理,人员的组织结构和可持续性业务计划不做太多的阐述,也就是说对于业务容灾部分不做研究。重点在于实现一个大型全球性ERP系统(SAPR/346D)的灾难备份,也就是实现TDRP(DisasterRevove耳Porcedure)中的部分内容。对灾难切换时候的业务流程和应急计划也有相关阐述,但重点在于如何选择技术手段从而在其上开发代码实现一个完整的成熟的可以在实际生产环境中投入应用的容灾系统。第1章引言在技术选型上,充分利用了企业自身的资源,采用了SAPR/3系统作为目标
25、容灾应用,在30公里之外的另一分站点,建立了容灾备份机房,采购了相应的硬件做为容灾硬件,两个站点间通过光纤网络连接。并且都配给了专门IT人员进行日常维护工作。同时,又由于该项目并不是一个纯粹的科研项目,因而必定受到企业中的资源及组织结构的限制,因此在技术选型上不能一味要求技术的先进性,而要统筹考虑性价比及可实现性和可操作性.1.6本篇论文组织结构本文第一章对国内国外的容灾技术和容灾的应用现状做了一个简单的介绍,并解释了一些在容灾中经常使用到的术语名词以方便读者阅读下文。第二章阐述了灾难的风险分析和如何制定容灾恢复计划。这主要是分析了为什么要做容灾系统,容灾系统会给企业带来多大的收益。然后对于如
26、何在企业管理的角度建立一套容灾恢复计划,从而在真实的灾难发生时候,严格按照这一计划进行应用系统的切换重建工作,最终将灾难造成的损失降至最低并保证企业的营运得以继续。 第三章将本文的重点转移至技术人员角度,创建一个容灾系统的模型进行测试和研究,为真正的容灾做好前期理论工作,确保后续工作得以顺利进行。 第四章对我们的目标系统5八卫R了3做了一个深入的研究,得出其系统架构特点,系统技术结构,为实现容灾系统打好第一步坚实基础。 在第四章的基础上,第五章进行产品选型。根据SAPR/3系统的各方面特性,在容灾市场上的主流容灾技术中进行横向比较,最终得出最适合本项目情况的产品。第六章即为本文的重点,开发实现
27、一个容灾系统。 第七章对本文做了一个总结,并对将来的研究方向做了一个初步的展望。第2章灾难风险分析及制定容灾恢复计划第2章灾难风险分析及容灾恢复计划2.1灾难风险分析可能发生的灾难因各城市/地域的地理、气候、社会治安、城市管理,如供水、供电、通讯条件等差异而有所不同。仔细地分析各种突发性灾害发生的可能性以及由此所造成的后果,对于制定和构建完整的和有很强针对性的灾难备份体系是有很大帮助的。下表是一张分析表样本,可使我们对于可能发生的突发性灾难评估有较为清晰的概念。表2.1灾难评估可能的灾难可能性:12345工作场所火灾数据中心火灾电源故障气候灾难(台风,洪水等)工业破坏城市事件(罢工,动乱等)硬
28、件故障软件故降设备问题如管道漏水等)供水故障通讯系统故障计算机故意破坏如病毒等)姗炸危胁工作场所的环境紧急事件(化学污染等)第2幸灾难风险分析及制定容灾恢复计划2.1.,业务系统的风睑分析建立容灾工程的最终目的是保证在灾难造成对业务数据破坏后,业务数据的可恢复性,所以,首先要分析本地区影响业务数据安全性的灾难有哪些种类。灾难可以分为自然灾难,社会灾难和人为灾难【刀. 自然灾难包括火灾、水灾、地震等突发自然灾害造成的业务系统的灾难,而不同地区的自然灾害的发生有一定的统计概率,而且自然灾害的影响范围是有一定区域的,对自然灾害的风险分析相对比较容易。在实施容灾工程时,特别要注意容灾备份中心的选择,建
29、立在自然灾害较少的地方,在美国,一些州通过立法,规定容灾备份中心可选择的地区。社会灾难包括区域性电力系统故障,恐怖分子制造的爆炸、战争引起定点破坏等灾难,国内外社会不安定因素的存在,必须引起足够的优患意识。美国“9?11”事件就是一个很好的例子,一些没有采取任何容灾措施的企业由于核心业务数据的破坏而最终破产,而一些采用了容灾措施的企业得以生存,有的建立了备用业务系统的企业的业务能够很快恢复。 人为灾难包括rr系统管理人员的误操作、来自网络的恶意攻击、计算机病毒发作造成的数据灾难。近几年,人为灾难更为突出,特别是计算机病毒造成的数据损失触目惊心。最近,迅速泛滥的“冲击波”(从勺nnBlaster
30、)病毒,致使全球上百万台计算机中毒,部分网络服务器瘫痪,迄今己给全球商业界造成了几十亿美元的直接损失,尽管有关公司发布了软件补丁,但余波未静,“冲击波”变种仍然伺机而动。研究结果表明,下一代电脑病毒传播的速度将更快。一种名为R韶h的病毒将在极短时间内感染所有的网络,而另一种名为Waxbo】的病毒将在15分钟之内传遍全球。采用后发制人策略的防计算机病毒系统难以保证数据的安全,有必要建立数据的备份机制。2.1.2容灾系统对业务系统的影晌分析数据复制操作的发起来自业务系统,不论来自系统的计算层、网络层,还是存储层,肯定会影响到业务系统的性能,对于那些要求高性能的业务系统或者已经是高负荷运行的业务系统
31、,必须分析建立容灾系统对业务系统性能的影响.不同容灾技术对业务系统的影响不同,比如,一个采用同步数据复制技术的容第2章灾难风险分析及制定容灾恢复计划灾解决方案,如果容灾备份中心与业务中心距离超过100公里以上,需要考虑数据传输的时延对业务系统10性能造成的影响,距离越远,业务系统ro性能下降的速度越快。 容灾系统备份系统运行平稳后,需要对备份数据(数据库)的可用性进行检查,一些容灾解决方案采用的是主洛工作方式,正常情况下,备份中心的数据是不能够打开使用的,只有在业务系统工作中断,或者切断容灾进程的情况下,才能够对备份数据(数据库)的可用性进行检查,这样做,势必对业务系统正常运行产生影响。容灾系
32、统包括传输数据的网络,由于网络传输拥堵或者中断等原因,数据复制同样会造成业务系统性能的下降甚至业务运行的中断,当等待传输的数据溢出数据复制发起端的缓冲区时,有可能造成数据的丢失,或者数据传输次序的混乱破坏备份数据库的一致性,使得数据库不可恢复。2.2容灾恢复计划2.2.1容灾恢复计划概述俗话说:“预则立,不预则废。”容灾计划是容灾工程中最主要的组成部分。除了前面介绍的业务系统风险分析、制定容灾系统性能指标和选择容灾解决方案是容灾计划的组成部分,还要全面考虑在灾难发生后,所有可能出现的情况以及相应的对策。为此,设想一个已经建立了数据容灾的业务系统,在发生灾难后可能出现的情况和相应的对策: 1.异
33、地的容灾备份中心判断和确认业务中心是否发生灾难2.由谁负责启动和指挥容灾系统开始土作 3.按照计划快速恢复被破坏的业务系统IT基础架构4.恢复容灾备份中心与业务中心之间通信 5.容灾备份中心开始按照计划逐个恢复业务系统的数据6.被灾难破坏的业务系统重新开始运行 如果在容灾备份中心同时建立了备用业务系统,以上次序需求稍有调整:1.异地的容灾备份中心判断和确认业务中心是否发生灾难第2章灾难风险分析及制定容灾恢复计划2.由谁负责启动和指挥容灾系统开始工作 3,异地备用的业务系统接替被灾难破坏的业务系统开始运行4.快速恢复被破坏的业务系统IT基础架构 5。恢复容灾备份中心与业务中心之间的通信6.容灾备
34、份中心开始按照计划逐个恢复业务系统的数据 7,被灾难破坏的业务系统重新开始运行,备用业务系统停止工作现代通信技术和远程网络监测,可以帮助异地的容灾备份中心管理员和决策者迅速了解业务系统的工作状况,在最短时间内启动容灾计划。对于建立了备用业务系统的容灾系统,可以通过跨地区的高可用管理软件实现业务的自动切换,需要小心的是,软件对灾难的判断能力是有限的,将业务从一个地方切换到另一个地方如此重大的决定,还需要系统管理人员和决策者作最终控制,系统管理人员和决策者发现问题、检查故障、判断灾难和决定启动容灾计划都需要时间,只有按照严格的操作程序执行计划,才能够提高容灾系统的反应速度.对容灾系统管理人员和决策
35、者的使用培训和模拟演练,也是容灾计划的组成部分之一 容灾备份中心管理队伍应该组织严密、分工详细和保持联系,要在最短时间内,重建一套业务IT系统,需要设备供应商,软件开发商和系统集成商之间的紧密配合,必须把有关服务商加入到容灾计划中来,承担一定责任和任务。除了设立专门的技术服务人员外,还要有专门的财务人员与保险公司核定损失,专门的公共关系人员平息业务系统最终用户的抱怨。通信线路顺畅是数据恢复的保证,备有冗余的通信线路无疑能够保障计划内数据恢复的时间。在通信线路完全破坏的极端情况下,还要准备利用数据备份介质来恢复数据。 把执行容灾计划的过程制作成流程图,可以帮助我们更加详细地了解容灾计划的制定和执
36、行步骤。 结论:制定容灾计划是一个涉及广泛的复杂的十分技术化的工作,对一般非IT行业的企事业IT系统管理人员是极其困难的,企业建立一支配置完整的容灾服务队伍,无疑提高了IT系统的管理成本。此外,容灾系统一旦建立,由于使用的概率很小,设备的利用率较低。所以,从容灾工程发展的趋势看,采用外包服务对大多数企事业是一个明智的选择。面向众多客户业务系统的容灾服务中心具有较高资源利用率,数据多重备份提供相对安全的数据保护,多种可自第2章灾难风险分析及制定容灾恢复计划由选择的容灾服务方式适合不同的企事业的不同业务发展阶段的需求,专业化的容灾管理减少了容灾管理的费用,快速的数据恢复能力最大限度地减少灾难带来的
37、损失,为客户定制的容灾计划可以根据需要随时修改。2.2.2容灾恢复计划2.2.2.1计划的主要目标将正常操作的中断降到最低。限制中断和损害的范围。将中断的经济影响降到最低。预先建立备用操作方法。培训人员处理紧急过程。提供顺利快速的恢复服务。2.2.2.2人员在灾难恢复计划中涉及到的各个部门及各环节的责任人,请参照项目书中的人员组织结构图。2.2.2.3软件和硬件资源列表在主站点和备份站点之间同时保存一份涉及灾难恢复的所有软件和硬件资源列表,生产商,供应商和服务商应该同时列出。同时有备件的库存数量及责任人信息,请参见项目实施书中资源列表.如下表所示:表2.2软件资源列表!应用程序概要文件应用程序
38、名称关键吗?是/否是固定资产吗?是/否制造商注释一一!第2章灾难风险分析及制定容灾恢复计划.,一一一_一一一一程序概耍文件厂一一一程序名称关键吗?是/否资产吗?是/否一陶透商一阵琢2.2.24灾难恢复过程 对于任何灾难恢复计划,均应包含以下三个要素。紧急响应过程 为了保护生命和降低损失,为火灾、自然灾害或其它任何活动提供适当的紧急响应文件。 备份操作过程确保在中断之后可以执行基本的数据处理操作任务。 恢复操作过程为灾难之后数据处理系统的快速恢复提供便利。 灾难操作核对表1.计划启动 氏通知高级管理人员b.联系和建立灾难恢复小组 c.确定灾难程度d。根据灾难的程度实施正确的应用程序恢复计划 e,
39、监控进度云联系备份站点并建立调度表 9.联系所有其他必要的人员一用户和数据处理人员h。联系供应商一硬件和软件 1.通知用户服务中断2.继续执行核对表 压列示每个小组及其任务b.列示所有人员及其电话号码 c.建立用户参与计划第2章灾难风险分析及制定容灾恢复计划d.建立邮件的交付和接收 e.建立紧急供应办公室f.根据需要租用或购买设备 9.确定将要运行的应用程序及其运行顺序h.标识需要的工作站号码 落.检查每个应用程序的任何脱机设备需求j.检查每个应用程序所需要的表单 k.在离开之前检查要带到备份站点的所有数据,并将库存概要文件留在起始位置 1.联系主供应商以帮助处理紧急事件中出现的问题压规划备份
40、站点所需的附加项的运输 n.提供到备份站点的指导(地图)。.如果需要,检查附加磁带 p.带上系统和操作文档以及过程手册的副本。q.确保所有的有关人员都知道他们的任务 r.通知保险公司灾难发生后使用的恢复启动过程 将服务需求和恢复计划选择通知“_灭难恢复服务”中心。注: 保证交付时间倒计时在_得到恢复计划选择通知时开始。灾难通知号码或 这些电话号码在星期一到星期五的上午_至下午_均提供服务。 灾难通知号码:_该电话号码用于营业时间之后、周末和假日期间的灾难通知。请仅在通知实际灾难时使用此号码。向_提供设备交付地点地址(如果适用)、协调服务的联系人和备用联系人,以及可以24小时与联系人保持联系的电
41、话号码。联系电力和电话服务供应商并安排任何必要的服务连接。如果应更改任何相关的计划,请立即通知_.第2章灾难风险分析及制定容灾恢复计划2.2.2。5恢复整个系统 此部分为本文所研究的主要技术部分,在下面章节中将重点讨论如何恢复系统。2.2.2.6皿建主站点数据中心的房屋计划确定当前硬件需要和可能的备用品数据中心面积(平方英尺)、电源需求和安全性要求. 平方英尺电源需求 安全性要求:锁定的区域,一个门上最好有组合锁。地板到天花板的净高度 高温、水、烟、火和运动探测器升高的地板2.2.27测试灾难恢复在成功的应急规划中,定期测试和评估计划很重要。数据处理操作在本质上是不稳定的,导致对设备、程序和文
42、档进行频繁更改。这些操作使得将计划看作一个不断变化的文档很重要。在执行测试和决定应测试什么区域的时候使用下列核对表。第2章灾难风险分析及制定容灾恢复计划表13执行恢复侧试项不适用注释选择侧试的目的。正在评估计划的哪些方面?描述侧试的目的。将如何评侧是否成功达到目的?会见管理人员并说明测试和目的。获得他们的同意和支持。让管理人员通告测试和预计的完成时间。画试周期结束的时候收集测试结果。一厂下一一一一厂一下厂一估结果。恢复成功吗?为什么成功或为什么不功?一1111确定测试结果的含意。简单事例的成功恢复暗示在可容忍中断时间段中所有关键作业都能成功恢复吗?一一一一L厂提出更改建议.要求在给定日期之前得
43、到响威-尸厂-一啼菇丽果通知给其他区域的人员。包括用户和审计员。需要更改灾难恢复计划手册。表2.4要测试的区域项测试的目的。正在评估计划的哪些方面? 陌蔺压涌一!一一一一!一厂一一不适用注释测试的目的。将如何评测是否成功达到目的?一一廊施顺掀铡试袖丽,获得仰眯溅司一叮-一一睡香云页通告测试和预开瘾成时咸在测试周期结束的时候收集测试结果。-一_一厂一厂二评估结果。恢复成功吗?为什么成功或为什么不成功?确定测试结果的含意。简单事例的成功恢复暗示在可容忍中断时间段中所有关键作业都能成功恢复吗?提出更改建议。要求在给定日期之前得到响应。将结果通知给其他区域的人员。包括用户和审计员。廊藕董蔽派恢复计划手
44、册厂厂厂一_上1且1第3章灾难备份设计原则及模型第3章灾难备份设计原则及模型3.1设计原则3.1.1总体原则灾难备份/恢复方案可以满足该用户对子计算机系统、数据的最高保护要求,保证即使发生断电,火灾等严重灾难时,用户业务也可以7x24小时的连续运行,同时确保业务数据在主中心和备份中心得到及时的更新,保证用户数据最大的完整性。承诺用户在最小的投资范围内,按照项目实施流程,在最短的时间周期内达到整个项目的设计目标,并且通过完善周全的实施后支持维护体系,确保用户核心业务计算机系统的全天候、安全、稳定的运行。由于生产中心的核心业务系统相对集中,因此在生产中心实现关键业务数据的规范化的本地数据备份是灾备
45、系统建设的前提基础:同时通过进行重要业务数据的远程同步实现用户重要业务数据的远程异地存储,为实现业务系统的远程正常运作奠定坚实的基础;容灾系统的关键就是远程生产数据的自动复制,由于业务系统为基于数据库的联机事务处理(OLTP)的业务系统,所以业务数据远程复制的关键就是确保数据库数据的完整性、连续性,实时性和可恢复性。3,1.2技术设计原则1.先进性 存储系统采用的技术必须是先进而成熟的。现在计算机技术的发展日新月异,要保护客户的投资就必须采用先进的技术,并且这种技术和产品必须被业界公认为成熟且有发展前途的。2.实用性第3章灾难备份设计原则及模型建设网络系统的目的是要解决企业数据信息的共享和交换
46、,提供现代化的管理,因此,设计方案的出发点就是要满足用户的信息要求。3.经济性 设计方案不但要考虑采用技术的先进、可靠,而且还必须考虑用户的经济负担。因此,设计方案必须具备很高的性能价格比。 4.高可管理性与高可靠性由于整个业务系统的数据采取集中式的存储策略,所以存储系统必须具备很高的可管理性。另外,计算机网络系统的外部环境是多变的,设计方案必须是强健的,能够很方便地进行调整,以满足外部环境的变化。 5.高可扩充性与升级能力设计方案必须能够适应企业网络系统发展的需要,具备高可扩充性与升级能力。存储系统必须是可以扩充的,必须具备较高的扩展能力,而且随着计算机技术的发展可以对存储局域网络进行升级。
47、 6.开放性与标准化设计方案中所采用的技术和选用的产品都必须是业界公认的主流,而且必须满足开放性的要求。3.2设计模型3.2.IRALDRS理论研究面向数据流的设计方法的典型是结构化设计,而n顺序”、”分支”和”重复”三种基本的控制结构奠定了结构化程序设计的理论基础。而容灾理论又是基于结构化设计的思想。因为结构化设计思想,在大多数的计算机信息系统中具有相当的代表性,利用结构化设计思想可以很清楚地反映容灾系统的基础理论。基于数据流的计算机信息处理系统可以简单考虑成: a.5二fl一口.6:(f为其中一个子系统,箭头表示处理顺序)b.子系统A=f(D冲UTxl,D护UTxZ,仆护UTx3,二,OU
48、了甲UTwl, OUTrUTwZ,OU叹甲UTw3)第3章灾难备份设计原则及模型c.子系统B峨序冲UTyl,D护UTy2,刃MPUTy3,OUn兀叮21, OU印UTzZ,0甘印UT幻一d.如果D印UT外二xl,刃二x2,岭二x3,一那么0叮即UTwl二21, wZ二ZZ,w3=23.,。.因此两子系统等价A二B。 云所以,如果两个系统51=n.,口电,口一和5卜91.p,口,其中各个子系统加二gn, 9.胎1夕月.二),那么系统51就等价于52。也就是说,如果构造应用级容灾系统,就必须构造两个系统,并且两个系统的输入一致,运行过程中的控制参数也必须一致,以及影响两个系统输出信息不一致的一切控
49、制输入参数也一致,这样两个系统的输出才一致。 容灾系统中的两个系统按照完成信息服务的角色分为容灾主系统和容灾备系统,主系统在未发生灾难的情况下,提供信息服务,备系统实时跟从主系统的处理,备份主系统相关信息,保证在灾难发生时,将信息服务功能自动切换到备系统,担当起主系统贵任,抵御灾难,而且对于服务用户完全透明,没有任何损失和影响。3.2,ZRALDRS软件结构模型凡虹刀RS是对现有应用系统改造,系统结构,新的容灾系统分为两层,探讨,我们可以得到如图3.1所示的加入容灾功能之后的应用系统,按照软件应用系统层和容灾平台层,根据其理论的RALDRS软件结构模型:第3章灾难备份设计原则及模型3.2.3的容灾平台远程应用级容灾系统实施的关键是容灾平台(DisasterReCOv。,Platfon刀)的构建。容灾平台完成同步数据的生成、管理、传输及应用系统的同步功能,保障主备系统间的应用程序
