责任编辑刘传雷 高速公路结算中心异地灾备系统建设方案 河北省交通规划设计院付增辉 概述 近年来,频发的地震、海啸等极端灾难事件使得信息的灾备 系统建设引人关注。 据统计,企业在遭受灾难之后,如果无法在l4天内恢复数 据,75%的公司业务将完全停顿,43%的公司再也无法重新开 业,20%的企业将在两年内被迫宣告破产。高速公路结算中心的 数据如果无法恢复,其后果不可想象。 业界权威部门对灾难进行分类和分析,计算机系统硬件故 障占据灾难比重的44%,软件、人为、病毒故障占据灾难比重的 49%,自然灾难仅占据灾难比重的7%。在这其中,硬件和软件故 障所占比例达93%,通过双机热备、磁盘阵列等保护手段就可以 解决。但剩余7%的小概率事件,其对计算机系统的破坏是毁灭 性的,上述手段却为力。在高速公路机电系统中,处于核心 位置的省级收费结算中心,在灾难来临之时,处于同一地的数据 服务器、磁盘阵列、磁带机、磁带等均可能同时出现意外,如何 应对堆积在银行账面上的现金和散落在各地的无序数据? 灾备,可以简单的理解为对灾难的备份,更严格的讲,信息 系统的灾备是指信息系统的灾难备份号恢复。异地灾备,将数据 保存在数据中心之外的灾备中心,就是要解决因小概率事件所造 成的数据中心信息系统的“全军覆没”对企业、部门所造成的灾 难性影响。在灾难结束,业务恢复后,可将异地存储的数据恢复 至数据中心,尽陕开展业务,从而将灾难的所造成的影响降至最 低限度。 灾备等级的划分 2007年l1月1目,《信息系统灾难恢复规范》(GB/T20988— 2007)(以下简称“规范”)正式实施。《规范》将灾难恢复能 力划分为6级,如图l所示。 摄 【}_|蛳踞瓤 72 h rs 勰h rs {2 h掩 MIt ̄'utes 图1灾难恢复等级及与费用的关系 在行业内,灾备从保障程度由低到高可分为数据级、应用级 和业务级三个级别。数据级灾备的关注点在于数据,即在灾难发 生后可以确保用户原有的数据不会丢失或者破坏,数据级灾备可 对应《规范》中的等级一至等级三;应用级灾备是在数据级灾备 的基础上,把应用处理能力再复制一份,也就是在异地灾备中心 再构建一套支撑系统,包括数据备份系统、备用数据处理系统、 备用网络系统等,对应《规范》中的等级四至等级六。而业务 级灾备系统还需考虑信息系统之外的业务因素,包括备用办公场 所、办公人员等。 灾难恢复能力等级越高,对于信息系统的保护效果越好,同 时其建设成本也会成梯级增长。应用级灾备的投入通常为数据级 灾备投入的2—3倍,甚至更高。而且每一次从生产中心切换到灾 备中心都需要耗费大量的人力、物理和时间,而回切的过程也同 样复杂而耗费巨大。 异地灾备建设中,如何确定业务系统合理灾备恢复等级是首 先需要确定的问题。对于交通行业省级收费结算中心灾备等级的 确定,《规范》中未明确,但指出可根据灾难恢复目标,按照灾 难恢复资源的成本与风险可能造成的损失之间取得平衡的原则确 技术<TECHNOLOGY 定每项关键业务功能的灾难恢复策略,不同的业务功能可采用不 同的灾难恢复等级。 建设异地灾备系统是一个循序渐进的过程,针对省级高速 公路结算中心数据的重要程度和投资规模,初期建设推荐将异 地灾备等级确定为三级。三级灾备可保证数据的相对完整性和 较少的投资夫见模,在保护效果和投资规模之间能够达到较为合 理的平衡。 信息系统灾难恢复能力等级与恢复时间目标(RTO)和恢复 点目标(RPO)具有一定的对应关系,目前国家尚未对交通行业 灾备阪复系统的给出具体指标要求,结合行业特点和系统建设的 实际情况,三级灾备恢复等级的RTO(恢复时间目标)推荐为i2 小时,RPO(恢复点目标)推荐位为数小时至l天。 数据级异地灾备技术方案 异地灾备系统的建设目标是在距离××省高速公路结算中心 一定距离( ̄H2OOkm)的区域建设l套数据存储系统,通过传输网 络(高速公路通信专网或公网)将本地数据中心的收费数据、结 算数据、系统数据传输至异地的灾备中心进行存储。在灾难发生 时,通过网络系统将异地存储的数据库数据、系统数据快速回传 至本地系统,确保本地系统运行的可靠性和完整性。 一、可实现的系统功能 O全面灾难防护:无论是本地硬件灾难、还是逻辑灾难,均 在防护范围之内。建筑物和机房灾难一般定义为站点级灾难,这 类灾难是异地灾备必须防护的;数据库宕机、不当补丁和应用造 成的系统崩溃、黑客恶意行为的攻击、数据被误删除等逻辑灾难 被定义为类站点级灾难。类站点级灾难的危害远远大于站点级灾 难,概率也大很多,修复时间、系统重建时间也耍长很多、困难 的多。对于类站点级灾难采用本地灾备技术实现,对于站点级灾 难通过异地灾备系统实现。 0远程窄带支持:异地容灾方案支持远程窄带传输技术,通 过窄带传统通道即可实现远程数据备份和恢复。 0不改变现有系统结构:结算中心现有的计算机网络结构保 持不变;无需新的补丁,防止由新系统上线带来新的安全隐患。 异地灾备系统确保在不改变现有系统结构的前提下,实现异地数 据的备份和恢复,不会因异地灾备系统的运行而影响现有系统运 行的稳定性和可靠性。 o异构存储系统:异地灾备系统需支持不同厂家、不同结构 的存储系统,不会成为系统后期扩容和技术升级的瓶颈。 o绝大部分灾难本地解决:灾备切换是对应用、管理、规划 有很高要求的行为,鉴于应用的复杂度和管理上的可能缺陷,灾 70 景 蒋霪 。 。。 备向本地结算中心的回切可能导致第二次灾难,系统应是基于本 地/异地分层次恢复。 O瞬间使用/恢复方式:系统可在任何灾难下实现瞬间使用 /恢复。可做到以I/O或分钟级别,所有历史点可随时打开用于演 练、查询、数据挖掘等动作。 o数据一致性保证:系统具备提供数据库一致j生确认技术。 0使用、维护简单:异地灾备系统对维护人员有非常高的要 求,不恰当灾备技术的选择,对使用人员的培训、监督、管理、 演练、维护等工作均会造成非常大的工作压力,甚至导致人为失 误而造成不必要的损失,灾备系统应采用图形化界面,简单易 学、易用。 o具备灾备演练功能:系统需具有灵活【 数据提取和验证机 制,可随时进行灾备演练。系统可根据业主的要求,满足计划性 演练和突发性演练的需求。 二、系统方案 持续数据保护CDP(Continuous Data Protection)的关键是 持续。就给定的数据集而言,CDP提供恢复点的连续,能够存取 任何时间点上的数据,而不仅仅针对那些由快照流程预先确定的 特殊时刻。CDP允许应用恢复到特定的时间点之前,而不是恢复 到预先确定的时间点上。恢复点在时间发生后选定并动态重建。 它提供了粒度无限的恢复点(RPO),有些情况下可以提供接近 即时的恢复时间(RTO)。 在本地结算中心和异地灾备中心均配置一套CDP数据保护 器,本地CDP数据保护器与本地光纤交换机相连,异地灾备中心 CDP数据保护器直接与数据磁盘阵列相连(或内置磁盘阵列); 两台CDP数据保护器通过通信系统提供的IO/100M以太网传输通道 实现两台CDP数据保护器的互联。 通信系统分别在本地和异地通信系统干线ADM分插复用设 备上配置100M以太网传输端口,作为异地灾备数据的专用传输 通道。 系统数据及数据库数据通过CDP数据保护器主机数据复制模 块,将数据以异步镜像的方式经由光纤通道或iSCS I通道复制到 存储区域网络下的CDP数据保护器上,当数据复制到本地CDP数 据保护器时,本地CDP数据保护器将对所有数据提供多达64—256 份的快照数据版本控制。为确保数据库的完整性,数据保护器 需提供各种数据库的代理,包括Infomix、db2、Oracle等。在做 数据快照时,会将数据库瞬间切换到刷新状态以确保数据的完 整性。 CDP数据保护器能够在应用服务器系统发生故障或宕机时, 利用SAN Boot的方式将镜像到④P中的数据作为主磁盘重新启动 应用系统,快速上线恢复服务器系统的业务生产。当服务器的新 责任编辑.刘传雷 释鼍l氧 ●彗翼中由 { J l ~一 , 、 、 { ・ { 蠢信燕蜿 毵 l型 , 、~ 图2某项目数据级异地灾备网络拓扑图 磁盘修复之后,可以快速的将数据从后台恢复到新的磁盘中,此 后可以快速恢复到原有系统的工作状态。通过此架构,使得发生 此类事件时系统宕机会在短时间内就可继续提供服务,简单快速 的恢复生产。 理团队,不仅涉及IT部门,而且关联众多业务部门,为减少演练 对于生产的影响,可以将恢复计划细化到很小的单位或者模块, 逐个应用进行接管验证。当模块都成功通过测试后,测试的范围 可以扩充到更多的模块。 0突发演练:在灾备系统全面完成并且制定了全面的恢复 通过CDP数据保护器的Remote Replication功能可以将镜像 过来的数据通过现有的IP线路复制到异地的灾备中心中。 计划后,可以在进行了一定备份的情况下安排突发性的测试。当 所有的数据备份过程中不管本地还是异地,都采用基于块级 然,业务连续性管理小组需要确保业务不会因为突发性测试造成 不可接受的损失和业务中断。 的方式进行数据复制,并且是增量的数据备份。在本地数据保护 中可以选择实时备份或定时备份。远程异地备份则可以采取定时 增量备份。 本地CDP数据保护器位于SAN内,CDP数据保护器之间使用 以太网协议进行双向数据同步(包括CDP记录和快照记录)。利 演练对于提高团队的恢复经验和协作能力以及确保灾难恢复 计划的可行性是至关重要的。所有的演练结果都要进行评估、记 录,并且生成到灾备流程中。 用窄带传输技术,使得大量数据能够可以在IP网络上顺利地进行 异地灾备。 结束语 舁地灾备系统的建立是一项系统工程,灾备系统除完成必要 的软件和硬件建设外,培养一支训练有素、应急处理能力强的技 术队伍,制定完善的灾备应急预案、定期的灾备演练,方能在关 键时刻发挥应有作用。 对灾备关系的管理使用管理客户端穿过以太网进行,这就使 得管理在异地可以进行。 三、灾备演练 灾备演练是验证灾难发生时,业务系统能否有效联动切换的 极为重要的手段。没有灾备的演练计划和手段,往往无法预知灾 交通行业省级结算中心数据级异地灾备系统的建设,在投 难发生时生产中,011:I灾备中心的数据一致眭,也无法预知灾备中 心是否具有了业务接管的一切必要条件。 资不是很大f青况下,能够实现对结算中心的最为宝贵的“结算数 据、系统数据和收费数据”进行异地存储和保护,提高结算中心 应对“天灾”的抵抗能力,是十分必要的。骚 O计划性测试/演练:灾难恢复计划要求建立业务连续性管
