IDP异地容灾方案模板 .doc

《IDP异地容灾方案模板 .doc》由会员分享，可在线阅读，更多相关《IDP异地容灾方案模板 .doc（52页珍藏版）》请在三一办公上搜索。

1、A公司异地容灾系统建设项目设计方案编 制 单 位：北京众志和达信息技术有限公司编 制 日 期：2010年04月目 录目 录I第一章 概述4第二章 企业灾备系统建设面临的问题52.1 企业容灾系统建设现状52.2 几类导致数据失效的原因以及现有容灾方式的不足62.3 设计灾难复制系统面临的问题7第三章 容灾方案设计分析93.1 容灾系统策略类型说明93.2 几种数据容灾技术方案比较103.2.1 远程容灾技术介绍103.2.1.1 远程数据库复制技术103.2.1.2 基于逻辑磁盘卷的远程容灾技术123.2.1.3 基于智能存储的远程容灾技术133.2.1.4 基于智能虚拟磁带库（VTL）间的远

2、程容灾复制技术133.2.1.5 基于智能系统的持续数据保护和远程容灾复制技术153.2.2 各种技术的优势与劣势比较分析163.2.2.1 远程数据库复制技术优劣势分析163.2.2.2 基于逻辑磁盘卷的远程容灾技术优劣势分析173.2.2.3 基于智能存储的远程容灾技术优劣势分析173.2.2.4 基于智能虚拟磁带库（VTL）间的远程复制技术优劣势分析183.2.2.5 基于智能系统的持续数据保护和远程容灾复制技术优劣势分析19第四章 A公司容灾系统建设规划204.1 容灾设计综述204.2 用户需求分析204.3 数据容灾设计目标和初步方法214.4 应用容灾设计目标和初步方法224.5

3、 容灾流程设计224.6 本项目中需要注意的几个要点234.7 系统设计原则254.8 推荐解决方案原理示意图264.9 推荐解决方案原理说明274.9.1 “一键式”裸机恢复原理说明284.9.1.1 对核心业务服务器的系统保护284.9.1.2 对个人电脑的系统保护294.9.1.3 系统的远程恢复294.9.2 真正的CDP实现“任意时间点”恢复RPO接近于0304.9.3 异地CDP复制和应用级DR，RTO和RPO都接近业界极限314.9.3.1 远程CDP复制保护314.9.3.2 远程故障切换334.9.4 远程接管服务器虚拟化方案说明334.9.5 虚拟磁带库工作原理说明334.

4、9.6 带宽管理及容灾智能评估系统原理说明34第五章 灾备系统管理355.1 建立灾备的专门机构或工作小组355.2 定期检查灾备数据复制情况355.3 定期检查生产中心备份情况365.4 数据恢复管理365.5 数据恢复的周期性演练制度37第六章 项目售后服务体系396.1 总体目标396.2 运行维护计划396.2.1 运行维护队伍396.2.2 运行维护内容406.2.2.1 存储系统维护406.2.2.1.1 例行检查服务406.2.2.1.2 系统运行维护服务406.2.2.2 备份系统维护416.2.2.2.1 监测服务416.2.2.2.2 数据库备份和恢复416.2.2.2.3

5、 性能调整416.2.2.2.4 故障排除416.2.2.3 其他服务内容416.2.3 运行维护制度建设416.3 服务保障计划426.3.1 项目实施阶段426.3.1.1 服务方式426.3.1.2 责任和承诺426.3.2 免费维护阶段436.3.2.1 服务方式436.3.2.2 责任及承诺446.3.2.3 服务内容446.3.3 收费服务阶段456.3.3.1 可选择的服务方式456.3.3.2 可选择的服务内容456.4 故障响应计划466.4.1 技术支持服务流程466.4.1.1 设备维修与更换处理流程476.4.1.2 系统故障报告与预防处理流程486.4.1.3 突发事

6、件处理流程496.4.1.4 突发事件处理流程496.4.1.5 定期进行预防性系统维护506.4.1.6 软件版本升级与增强506.4.2 客户服务响应方式516.4.2.1 电话、传真和网络516.4.2.2 现场响应服务516.4.2.3 定期巡检516.4.2.4 技术业务咨询与培训516.4.2.5 网站服务516.4.2.6 客户服务中心526.4.3 维护响应计划526.4.3.1 故障级别526.4.3.2 响应时间52第一章 概述随着企业信息化建设的不断完善，人们对信息的依赖性也就越来越强，目前企业数据都向着集中存储、集中管理方向发展，而大集中带来优化管理的同时也意味着数据的

7、风险在集中，又让我们无法回避另一个话题灾难备份。追述2001年震惊世界的“9.11”事件，随着纽约世贸大厦的轰然倒塌，使1000多家公司蒙受毁灭性打击，造成的直接经济损失超过1000亿美元。在1000多家公司中，凡是做了异地备份的，当天就在其他地方恢复办公，没有做备份的，有的当时就消失了，有的逐渐倒闭和消亡。统计表明，至少有一半以上的没做备份的公司经过这场灾难后完全跨掉了。与此同时，世界金融界也创造了两个奇迹，这就是位于世贸大厦第25层的摩根斯坦利（Morgan Stanley）银行，尽管其一层楼面都被花为灰烬，但它却在第二天神话般地宣布全线营业，追其原因是因为该银行在离纽约数英里的新泽西州的

8、蒂内克建立了一个完善的“灾难备份中心”，凭借着该中心的完整无缺的数据挽救了摩根斯坦利银行的生命。作为灾难备份系统的另一成功案例是德意志银行，尽管9.11恐怖袭击摧毁了德意志银行设在纽约世贸大厦的办公中心，这家德国银行业巨擎顿时失去了与世界金融市场的业务联系，不过几乎与此同时，它远在爱尔兰的备份系统立即启用，德意志银行就在当天继续完成了超过3000亿美元的巨额交易。上述两个案例都雄辩地说明了“灾难备份系统”所发挥的巨大威力。人类无法避免天灾人祸，而当信息系统日益成为国家的重要基础设施时，任何天灾人祸对信息系统的破坏都有可能影响到国家安全、人民利益、社会稳定，关系到每一个老百姓的切实生活。第二章

9、企业灾备系统建设面临的问题2.1 企业容灾系统建设现状由于容灾体系建设是一个复杂的系统工程，涉及到网络、主机、存储、数据库、数据备份、应用系统、运维管理、灾难恢复和业务连续性等诸多业务和技术的方方面面。特别是与A公司核心业务应用系统的架构设计、数据库系统的结构设计、应用结构设计以及业务系统容灾系统维护管理人员的技术素质有极大的相关性。目前，各企业及政府部门在容灾系统建设方面均刚刚起步，缺乏建设和维护经验，特别是在容灾系统运行管理和灾难恢复方面的经验更加欠缺，业务系统更是如此。另外，业务系统的容灾体系建设又有其特殊性。第一，由于业务核心业务处理均集中在公司总部的数据中心。所以，数据中心将面对公司

10、总部和各地分公司数据中心的多个系统进行灾备，形成“一备多（多点、多系统）”的格局，容灾的复杂度高，难度大。第二，硬件平台的非统一性。由于目前各省主机、存储设备的异构性，特别是今后主机、存储平台进行招标采购的不确定性，难以保证主机、存储平台的同构。这大大增加了容灾技术方案制定、实施以及运维管理的难度和复杂度。第三，A公司核心业务应用系统的业务整合程度、系统整体架构、数据库设计、子系统数量等均不可知。因而，容灾系统设计的不确定因素诸多。第四，由于容灾系统建设尚处开始阶段，系统内严重缺乏有较深造诣的数据库管理、数据备份技术、远程数据备份管理软件和主机、存储方面的技术力量，这将使得容灾系统的建设、系统

11、实施、运维管理和灾难恢复等诸方面工作难度加大。2.2 几类导致数据失效的原因以及现有容灾方式的不足（1） 计算机系统的故障分类以及故障发生的概率分析 A类：计算机软硬件故障 发生概率：对于企业，发生可能性最大，也最频繁，是经常发生的一类故障； 预防方法：本地双机热备，实现系统冗余，增强业务系统的高可用性。 B类：人为操作故障 发生概率：对管理较严、人员素质较高，偶尔发生；对管理较松、人员培训不足，会经常发生； 预防方法：提高系统自动化运行管理水平，做好本地数据冷备份，减少人的操作与干预，或制定严格的管理规范，避免误操作。 C类：资源不足引起的计划性停机 发生概率：对于企业，随着业务的快速增长，

12、平均每年均会发生如软、硬件升级、系统资源扩充等事件，业务增长越快的企业，发生亦越频繁； 预防方法：本地双机，系统冗余。 D类：客户端的灾难 发生概率：对于企业，发生概率较大； 预防方法：灾难恢复中心。E类：病毒的入侵 发生概率：对于中、大型企事业单位，没有统一的杀毒软件和病毒服务器，发生概率较大； 预防方法：安装网络版防病毒软件，定时升级，加强管理（2）现有备份方式的不足 几年前我们主要采用主机内置或外置的磁带机对数据进行冷备份或者没有备份系统，这种方式在数据量不大，操作系统种类单一，服务器数量有限的情况下，不失为一种既经济又简明的备份手段。但随着计算机规模的扩大，数据量几何级的增长以及分布式

13、网络环境的兴起，企业将越来越多的业务分布在不同的机器、不同的操作平台上，这种单机的人工冷备份甚至是无备份的方式越来越不适应当今分布式网络环境，存在以下种种弊端： 1.数据管理工作难以形成制度化，数据丢失现象难以避免； 2.数据分散在不同的机器、不同的应用上，管理分散，安全性得不到保障； 3.难以实现数据库数据的高效在线备份； 4.运行着的系统使得维护人员寸步难离，业务人员工作效率下降； 5.存储媒体管理困难，如今，用来存储数据的介质越来越多，各种不同系统下存储产生的软盘、磁带、光盘将给管理带来很大的困难； 6.历史数据保留比较困难； 7.来自非计算机系统因素的隐患,如火灾、地震等灾难后的系统重

14、建和业务数据运作。 2.3 设计灾难复制系统面临的问题用户在选取远程数据保护系统时，主要需要面对的问题有：l 是否支持异构存储系统，保护投资，大大降低其成本l 是否受距离的限制l 是否受带宽限制，节约带宽的方案显然非常受欢迎l 是否需要对原有系统进行比较大的改动l 恢复时间如何l 管理是否方便l 是否与当前存储网络的体系方便集成由于对网络安全的考虑是随着数据的重要性和数据量而不断发展的，因此用户可能保留有多种品牌、多种档次的磁盘存储介质，因此能够在容灾系统中能够使用它们，对企业在构造容灾系统时节约成本非常有帮助；而且，由于容灾数据中心的使用率非常低，因此如果能够在容灾数据中心采用较低档次的存储

15、备份系统，也能够大大降低其成本。容灾方案如果能够克服距离的限制，就能够比较好地帮助很多企业选择分支机构作为容灾数据中心，减少建设新的容灾中心的成本；主数据中心和容灾数据中心之间的数据传输带宽，往往占整个方案中一个非常大的比例，因此，节约带宽的方案显然非常受欢迎；当原始数据中心的数据出现一些问题时，从容灾数据中心恢复数据的速度，是考量容灾方案中一个非常重要的部分；管理容灾方案的可操作性和简便性，是容灾方案成功的一个关键，因为真正出现灾害情形时，复杂和难于执行的方案，会大大增加系统恢复的所需时间；新的容灾方案是否能够与现存的网络体系非常吻合，非常容易地进行集成而不影响现有系统的工作，是用户需要仔细

16、考量的一个重要环节，很多重要的系统具有连续运行的高可靠性，系统维护时间非常少。第三章 容灾方案设计分析3.1 容灾系统策略类型说明根据容灾系统的原始数据中心和容灾数据中心复制的数据之间时间长短的差异，我们可以将容灾系统分成以下几种：同步系统准同步系统异步系统时间点系统同步系统：将每一个写盘指令同时发送到主从存储系统，并在得到两个存储系统的应答后，才进行下一次的写盘操作；所以同步系统的优点就是主从存储系统的数据在灾难发生的时刻，是完全一样的。为了保证整个存储系统的高效率，因此一般来说，要求主节点和从节点采用相同档次的高速磁盘系统，并且是高速连接，从而距离会有严格的限制；准同步系统：将每一个写盘指

17、令同时发送到主从存储系统，只需要主节点的应答后，就进行下一次的写盘操作，但是间隔一定次数写操作后，需要从存储系统的应答；准同步系统由于加大了从存储系统的应答间隔，所以从技术上可以使容灾数据中心与主数据中心的距离能够进一步扩大，减少大型灾难发生时整个系统数据完全失效的可能性，同时增大了建立容灾数据中心可以选择的范围；异步系统：将每一个写盘指令同时发送到主从存储系统，只需要主存储系统的应答后，就进行下一次的写盘操作，从存储系统不需要应答；异步系统与同步系统相比较，由于不需要从存储系统的应答，因此技术上可以使容灾数据中心与主数据中心的距离能够大大增加；其带来的问题是，灾难发生时可能造成的数据丢失的时

18、间间隔也更大，丢失的事务数也更多；总之，不管是同步系统还是异步系统，由于是将写磁盘的数据完全发送到从存储系统，所以需要传送的数据量仍然非常大，对传输的带宽要求很高。时间点系统：是定期将主存储或备份系统的映像复制到各地市分公司存储（备份）系统，根据实际的情况，时间点之间的间隔可以从数秒钟到数小时不等。由于时间点的间隔选择可以调整，因此，传输的数据量也可以随着间隔的变化而变化，以适应不同的带宽条件。同样，时间点系统支持的传输距离也因此能够大大增加。比较起来它是四种系统中，灾难发生时可能丢失的事务数是最大的。一般会丢失12个小时的数据。所以，这四个不同的容灾系统，以同步系统数据最精确和全面，以时间点

19、系统的数据差异为最大。但是，同步系统支持的主从存储系统间的距离最小，带宽要求最高；时间点系统支持的主从存储系统间的距离最大，带宽要求最灵活。通常，用户需要根据自己的情况，选择某一种系统。不能在一个系统中，同时拥有多种系统的技术特点。3.2 几种数据容灾技术方案比较为防范由于自然、人为等因素所引发的灾难而导致信息系统严重故障或系统瘫痪的风险， A公司将建设核心生产业务应用系统的容灾体系，以保证灾难发生时，核心生产业务应用系统能够不间断运行。容灾体系建设的成功与否首先取决于容灾系统建设关键技术路线的选择。因此，一条正确的容灾系统建设关键技术路线是容灾体系建设的基础。关键技术路线的确定涉及多方面的因

20、素，既要考虑备份技术本身的科学性、成熟性和先进性，同时又要结合业务系统的实际情况考虑它的可行性、可靠性和实用性，二者不可偏废。只有这样才能确保容灾体系建设的成功。3.2.1 远程容灾技术介绍3.2.1.1 远程数据库复制技术远程数据库复制技术是由数据库重做日志（RedoLogs）来实现数据库的远程复制和同步。即：将生产数据库产生的归档日志实时传输到灾备端，利用日志向备份数据库追加数据，保持备份数据与生产数据同步。在复制过程中，使用自动冲突检测和解决的手段保证数据一致性不受破坏。基于数据库的复制方式可分为实时复制、定时复制和存储转发复制。主流产品有DataGuard、GoldenGate、Sha

21、rePlex等，其中DataGuard是传输日志到灾备端，然后在灾备端通过数据库前滚进行恢复，网络上传输的是归档日志，而以GoldenGate、SharePlex为代表的备份软件是在生产端解析日志，通过网络把解析出的SQL语句传输到灾备端执行，相比之下备份软件更加节省带宽，操作更为灵活。1.实时复制：当生产中心的数据库内容被修改时，容灾中心的数据库内容实时地被修改，此种复制方式对网络可靠性要求高。2.定时复制：当生产中心的数据库内容被修改时，容灾中心的数据库内容会按照时间间隔，周期性地按照生产中心的更新情况进行刷新，时间间隔可长(几天或几个月)可短(几分钟或几秒钟)。3.存储转发复制：当生产中

22、心的数据库内容被修改时，生产中心的数据库服务器会先将修改操作Log存储于本地，待时机成熟再转发给容灾中心。远程数据库复制的实质是实现主、备用系统的数据库的数据同步（实时或者准实时同步）。即是将主用系统数据库操作Log实时或周期性地复制到备用系统数据库中执行，实现二者数据的一致性。远程数据库复制对主机的性能有一定影响，可能增加对磁盘存储容量的需求（包括对Log的存储）。为远程数据库复制逻辑结构（举例）示意。图1：远程数据库复制示意图远程数据库复制需要主机同构，存储可异构，数据库、操作系统其中ORACLE DATA GUARD要求数据库和操作系统同构，而以Golden Gate、SharePlex

23、为代表的备份软件支持操作系统异构，中间件版本必须同构。3.2.1.2 基于逻辑磁盘卷的远程容灾技术将物理存储设备划分为一个或者多个逻辑磁盘卷（Volume），便于数据的存储规划和管理。逻辑磁盘卷可以理解为在物理存储设备和操作系统之间增加一个逻辑存储管理层。基于逻辑磁盘卷的远程容灾是指根据需要将一个或者多个卷进行远程同步（或者异步）复制。该方案的实现通常通过软件来实现，基本配置包括卷管理软件和远程复制控制管理软件。远程复制控制管理软件将主用节点系统的卷上每次I/O的操作数据实时（或者准实时、或者延时）复制到远程节点的相应卷上，从而实现远程两个卷之间的数据同步（或准同步）。主、备节点之间通常需要配

24、置相应带宽的IP通道。根据数据的更新频度、广域通信条件和质量等因素，可将容灾设置成同步、准同步或者定期同步等方式（或者自动适应）。基于逻辑磁盘卷的远程容灾会增加各节点主机的一些处理性能要求，增加主机负载。3.2.1.3 基于智能存储的远程容灾技术基于智能存储的容灾是基于盘控的复制技术，通过存储在其本身的容灾软件（磁盘镜像软件）实现数据的远程复制和同步，即智能存储系统将对本地系统中的存储器I/O操作Log复制到灾备端的存储系统中并执行，来保证数据的一致性。磁盘阵列将磁盘镜像功能的处理负荷从主机转移到智能磁盘控制器智能存储系统上。由于在这种方式下，容灾软件运行在系统内，因此较容易实现生产端和备份端

25、操作系统、数据库、系统库和目录的实时拷贝维护能力，一般不会影响生产端主机系统的性能。图 2 基于智能存储容灾示意图基于智能存储的远程容灾技术要求存储、主机、数据库、操作系统、中间件版本都同构。3.2.1.4 基于智能虚拟磁带库（VTL）间的远程容灾复制技术VTL提供基于以太网(WAN)的复制功能(VTL Replication)，无需借助备份软件或第三方工具即可实现。VTL推出的基于以太网的复制功能，提供数据容灾能力，并可进行即时的数据访问和数据恢复。同时，消除物理磁带库与手工操作相关的风险。无论是两台还是多台VTL设备之间的数据迁移，通过复制功能，VTL都能提供完整的数据保护解决方案。 分公

26、司A：VTL1000公司总部：VTL3000分公司B：VTL1000分公司C：VTL1000LAN/WAN容灾中心：VTL3000图3 基于智能虚拟磁带库间的远程容灾复制技术VTL 复制功能： 支持通过IP网络在多台 VTL之前实现备份数据的复制； 支持手工发起和策略制定，容灾自动化完成； 支持复制方式：单对单、单对多、多对单； 支持增量复制，断点续传； 可设置复制占用的网络带宽，优化利用网络资源； 基于浏览器的完善系统状态和报告显示机制； 提供快速的本地和远程恢复，支持本地操作恢复和远程灾难恢复； 支持网络加密和压缩。VTL复制具有如下特点： VTL自主功能实现，无需借助第三方备份软件，无需

27、改变原有策略； 自动化容灾代替人工操作，确保数据安全传送与存储，防止了病毒与黑客攻击，避免数据丢失、被盗等风险，从而节省管理时间和人力资源成本； 重复数据删除后再复制，节省带宽，同时带宽控制技术优化网络资源； 支持直接从远程VTL的灾难恢复功能，双重保障，避免单点造成的数据丢失； VTL 无论是单台对单台、单台对多台还是多台对多台，通过复制功能都能实现数据容灾复制。3.2.1.5 基于智能系统的持续数据保护和远程容灾复制技术持续数据保护（CDP）的初衷是以比每日备份更高的频度来保护数据免于丢失、损坏或者未经授权的修改。这种将文件、数据集或者整个数据库进行时间回溯并重置到某一事件（例如手动删除或

28、者意外的损坏）发生前的状态的能力，满足了增量保护和恢复数据的需求。由于具有这种解决数据问题的能力，通过CDP的建设，最大程度的改善RPO（recovery point objective恢复点目标- RPO）和RTO（recovery time objective恢复时间目标 - RTO）服务水平，通过连续的I/O日志记录保存应用和系统的每一次完整写操作，这样如果系统由于各种原因造成宕机或者数据丢地，都可以从恢复的时间轴上任意选择你所需要恢复的时间点。目前的本地CDP技术和远程容灾技术都通过一个智能的磁盘存储子系统完成，用户只需要选择需要的容量和运算单元，然后在需要进行CDP保护的主机端安装相

29、应的Agent即可，大大的简化了用户在选择、布置、实施以及维护等方面的操作过程。和现有备份软件的集成。提供嵌入现有的数据保护架构内的监控和管理功能的CDP软件更易于集成和管理，并能保护其它存储层级上的数据。CDP及远程容灾如何工作CDP系统可能基于块级、文件级或者应用级，并提供精细的可恢复对象粒度以及无限的恢复点。简单来说，连续数据保护包括如下的基本功能：-数据原始状态的基准参考点一个所有未来的改变所基于的原始备份。-连续或者准连续的跟踪文件、块或者卷状态的改变，来检测发生的改变，并将改变记录在备份系统中。-颗粒式地从数据的多个时间点状态进行恢复。CDP的工作原理是在一段时间内或者记录、文件或

30、者块信息被创建或修改时增量备份数据状态的变化。在某些情况下，只有一次原始的完全备份，随后的所有备份都是基于原始备份的增量备份。这一“永远增量”方式和传统的数据备份技术不同，但是正在得到更广泛的接受。远程容灾的布置是建立在本地CDP保护基础之上，通过在远端放置的相同的设备完成本地和远程之间的数据传输。这样，记录在本地的CDP恢复点可以快速的复制到远程容灾端。如果业务有开发、测试的需要，在远程容灾端可以将做好的恢复点进行异机恢复，对新的应用提供服务。3.2.2 各种技术的优势与劣势比较分析3.2.2.1 远程数据库复制技术优劣势分析优势：1、由于是通过日志来复制，对存储容量要求较低，灾备端的备份存

31、储空间只需和生产端配备相同空间即可（不含操作运行和测试空间），并且支持异构存储设备。2、由于网络上传输的只是重做日志（如DataGuard），或是SQL语句（如GoldenGate、SharePlex），因而，网络资源占用相对较少。3、由于灾备端数据库时刻处于激活状态，随时可以确认数据库状态，接管时间相对较短。劣势：1、灾备端服务器档次、配置相对较高高。由于是通过数据库重做日志方式实现复制，灾备端需配备与生产端数据库主机档次、配置相近的数据库服务器。2、由于是通过数据库重做日志方式实现复制，生产端主机需要通过额外进程来捕获、传输重做日志。因而，容灾时影响生产端数据库主机性能。3、只支持数据库灾

32、备，不支持操作系统、应用等文件类型灾备。4、容灾系统的实施部署、管理维护程序复杂，难度较大。生产端的数据库级发生变更、灾备端数据库系统需随时进行维护，以保证两端数据的一致性。如果多个业务系统需要做容灾，容灾系统维护工作量和难度成倍增加。3.2.2.2 基于逻辑磁盘卷的远程容灾技术优劣势分析优势：1支持异构存储，由于是通过操作系统逻辑卷管理软件来实现复制，对存储进行逻辑虚拟化，支持异构存储。2对应用透明，支持在该逻辑卷上所有数据的灾备，无论是数据库数据还是操作系统、应用等文件数据。劣势：1由于是基于逻辑磁盘卷的远程容灾，灾备端需配备与生产端数据库主机相同档次、配置的数据库服务器。2影响生产端主机

33、处理性能。基于逻辑磁盘卷的远程容灾，只有在生产端主机性能和通信带宽的要求得到满足时，远程复制效率和数据一致性才可以得到保证。因此，该技术对生产端主机性能影响较大。3对带宽要求高，由于操作系统的I/O请求都是基于毫秒级，异地逻辑卷的响应速度必须有高速可靠的网络加以保证。与存储远程复制对通讯带宽的要求属于同数量级。3.2.2.3 基于智能存储的远程容灾技术优劣势分析优势：1不占用生产端主机资源。由于是通过智能存储上的处理器来实现数据的复制和一致性控制，因而，对生产系统主机性能无影响。2对应用透明，支持在该存储上所有数据类型的灾备，无论是数据库数据还是操作系统、应用等文件数据。部署实施较容易。3传输

34、数据的级别最低，实现底层数据的透明传输，生产端的运维操作全部透明地传输到灾备中心，灾备端无需过多干预。因而，容灾系统整体的可靠性和可维护性较高，操作控制、管理运维简单，维护成本较低。特别是在多点、多个系统需要灾备时，维护工作的复杂度和难度明显较小。4对“多对一”或者“一对多”的远程容灾支持较好，在同时对多点、多个应用系统进行容灾的情况下，可以通过在容灾中心磁盘阵列上划分不同的磁盘卷方式，实现多点、多个不同应用系统的复制或镜像。劣势：1由于是最底层的数据透明传输，对网络带宽和稳定性的要求非常高。2对生产端和灾备端存储容量要求较高。由于容灾一致性的需求，容灾需通过备份卷来实现，这就需要增加额外存储

35、空间来满足灾备需求。并且对异构存储的支持不好。3容灾，没有时间点记录，只能通过有限的快照记录，但快照频度非常小。4. 远程数据不能直接读写，必须通过额外的软件5. 要求容灾两端的存储必须为同一厂家同一档次的产品，在产品选型时有很大限制。6. 后期演练复杂度高.3.2.2.4 基于智能虚拟磁带库（VTL）间的远程复制技术优劣势分析优势：1. VTL自主功能实现，无需借助第三方备份软件，无需改变原有策略；2. 成本小，管理简单；3. VTL容灾方案的实施对原有生产系统没有影响，只需要对其备份系统加以完善即可；4. 自动化容灾代替人工操作，确保数据安全传送与存储，防止了病毒与黑客攻击，避免数据丢失、

36、被盗等风险，从而节省管理时间和人力资源成本；5. 重复数据删除后再复制，节省带宽，同时带宽控制技术优化网络资源；6. 支持直接从远程VTL的灾难恢复功能，双重保障，避免单点造成的数据丢失；7. VTL无论是单台对单台、单台对多台还是多台对多台，通过复制功能都能实现数据容灾复制；8. 容灾的两地没有备份软件必须统一的限制，不同站点间的备份软件和物理磁带库可以是不同品牌；9. 容灾演练简单，并且对生产系统影响最小。劣势：1 备份的数据需要恢复才可以使用；2 RPO和RTO较大，一般需要半天时间。3.2.2.5 基于智能系统的持续数据保护和远程容灾复制技术优劣势分析优势：1. RPO接近于0，RTO

37、几分钟；2. 对有效数据进行应用程序感知、交易状态一致的恢复； 3. 事件标记，用于按需的时间点数据恢复；4. 带外数据复制，不影响应用服务器运行，性能高，支持异构存储；5. 支持多异构主机，支持卷组一致性数据复制，可以按时间点恢复；6. 压缩复制的数据和带宽控制；7. 基于智能交换机的数据拆分，不需在业务主机加载任何程序；8. Sure Save IDP是个成型的产品，安装即可使用，安装及恢复简单。劣势：1 基于智能光纤交换机方式，成本稍高。第四章 A公司容灾系统建设规划4.1 容灾设计综述从容灾架构设计的角度来分析，可以分为数据、网络、应用、流程四个方面，通过这四方面的有机配合，才能提高业

38、务系统端到端的稳定性和容灾能力。数据的容灾保护提供最基本的容灾底线保证，确保在任何预计之外的灾难发生后，业务系统都可以在允许损失一些数据的情况下，在一个确定的时间内恢复，数据容灾同时也是逻辑错误和部分数据库软件bug的容灾应对出发点；网络容灾提供了数据的可访问性，当灾难发生时，可以通过容灾的网络系统将业务访问从生产中心路由到容灾中心，容灾网络也是容灾数据复制的承载线路；应用容灾目的是重新初始化应用系统，在容灾中心重新运行或接管生产中心的业务；容灾流程是人员操作、管理过程的综合，完好设计的容灾流程能够保证以上几部分容灾工作能够顺利、有效地执行。4.2 用户需求分析A公司这种应用关键在于要保障数据

39、的完整性，因此，需要提供一种实时的数据复制解决方案。在此基础上，要提供如下的两个方面的附加要求：1）灾备数据的可处理性，包括对数据的读写操作。所谓的读操作，是指灾备数据要具有可用性，要为其他的应用提供查询功能，为其他分析应用提供数据来源，但是，由于这种分析类数据并非是一种实时的需求，因此，我们建议灾备数据要提供上本天之前的所有数据，而并不需要提供实时(最新)的数据。也就是对于管理者或数据查询者可以在任意时间查询到昨天和昨天以前的所有数据。所谓的数据写操作，是考虑利用灾备数据提供诸如员工培训、系统应用测试、后续软件软件调试或其他临时应用的可能。这样，可以为上述应用带来最大的便利性。但是，为了保持

40、和原始数据的一致性，系统应该支持上述写入操作的Reset(重置)操作，使得在上述任务结束后，可以方便地把数据恢复到没有进行写入操作之前的状态，维持灾备数据和源数据的严格一致。2）应用的可切换支持。灾备中心不应该作为纯粹的备用系统，在提供诸如数据查询等应用的同时，还要提供自动的应用切换等支持，一旦在生产中心发生故障后，灾备中心的系统可以自动接管生产系统，提供持续的应用保障。但是，对于系统的可切换时间应该根据应用的实际情况给出适合的要求，从而，采用性价比最高的解决方案。4.3 数据容灾设计目标和初步方法数据容灾的设计目标有三个，分别是数据的一致性、数据的完整性和数据的可用性。数据的完整性意味着确保

41、容灾、生产数据之间完全相同；数据一致性是在不能保证数据完全不会丢失的时候，能够按照一定的时间顺序丢失数据，不会出现时间序列中间的数据缺失；而数据的可用性是指在任何时候都可以访问数据，包括容灾数据。系统中数据库的数据对这三个容灾目标的要求最高，需要完全保证数据的一致性，最大限度保障完整性和可用性。系统中的数据类型可以分为静态数据、准静态数据和交易数据三种。静态数据是应用程序、操作系统的程序文件，这些数据在数据生存周期中几乎没有任何变化，只有很少的程序版本更新才会造成数据变化，这些数据的容灾设计需要与容灾系统管理流程结合，在进行程序调整的时候，同步更新容灾的程序数据；准静态数据通常是各种应用程序的

42、配置参数文件和用户信息等数据，这些数据的变化周期比较长，造成变化的操作很明显，一般是由系统、程序管理员手工操作完成，在本项目中，可以与静态数据归为一类，用同样的方法进行数据容灾；交易数据是实时发生变化的数据，每一次客户操作都可能造成交易数据的变化，因此是数据容灾中最需要通过技术解决的问题。由于同时要最大限度保证完整性、一致性、可用性与投资、管理、性能之间的平衡，对于不同类型的交易数据需要采用不同的技术。在本设计中对于系统的Oracle数据库数据以及其它数据将使用Sure Save IDP（CDP）进行数据的复制。概括来说，数据容灾的初步方法如下：l 静态数据采用虚拟磁带库备份，配合变更管理流程

43、l 准静态数据采用手工备份，纸介质备份，参数文档结合管理的方式l 交易数据通过SureSave IDP（CDP）进行复制4.4 应用容灾设计目标和初步方法应用容灾主要涉及的内容是在进行容灾切换后，重新初始化应用程序。应用程序可以分为两类，一类应用程序负责网络连接或者流程处理，没有复杂的数据结构，重新启动后，无需作任何操作，直接可以投入生产；另一类应用程序进行数据处理，例如数据库，如果异常故障，将导致磁盘数据混乱，重新启动后，需要通过内部机制进行磁盘数据恢复，通常这个恢复过程很长，可能需要几十分钟到几小时。为了提高容灾RTO，在设计中使用双活的数据库方式，容灾数据库一直处于启动状态，切换后无需恢

44、复工作，这样大大减少了数据库恢复的时间，接管生产时间可以控制在几分钟之内。4.5 容灾流程设计容灾流程是提高系统容灾能力的根本方法，尽管各种技术手段能够提供自动、高效的容灾能力，但是技术不能解决所有问题。技术设计的前提是一些假设，只有在这些假设范围之内发生的故障、灾难才能由技术手段解决。实际上现实中有许多假设范围之外的事件发生，往往技术手段不能解决，或者解决过程本身容易因此导致更多的问题，在这种情况下，就显示出了容灾流程的作用。由于流程设计涉及到系统上线运行的具体操作，因此在设计初期无法给出具体操作步骤，但是对于各种技术的基本操作流程，在实施方案中都有分别介绍。最终需要配合业务系统，完成具体命

45、令操作设计（在BCP/DRP中）。4.6 本项目中需要注意的几个要点通过在对用户的具体环境和需求作了细致的分析之后，我们认为用户对该数据容灾系统给以了充分的重视，所提出的观点和要求是十分详细和具体的，在此，从我们方案提供商的角度，对此作如下的概括，便于整体方案的分析。 容灾方案的通用性。这种通用性体现在两个方面：一是异构平台、存储设备的支持性，二是对不同应用类型数据的适用性，只有这样的方案才可以较好地保障用户当前投资，达到与应用类型无关、与平台无关以及与磁盘阵列等存储设备无关的适用性最广的解决方案。在当前，数据主要以Oracle类型为主，但是随着应用类型的增加，产生不同类型数据的可能性还是很有

46、可能的。如果现在选用了仅仅支持如Oracle数据的解决方案，那末临时性的其他数据将无法得到及时的复制，或者今后的应用扩展将受到很大的制约。 实时的数据复制解决方案。我们认为最终用户已经对不同应用数据的安全性要求做出了很好的分析和划分，其中关键数据要求不丢失，或尽量少地丢失。因此，我们认为必须要采用真正的实时的数据复制解决方案才可以满足这种要求。在条件具备的情况下，应该做到无延迟数据复制。而建议采用非实时或准实时复制方案。 灾备数据的可用性分为两个方面，一是数据的实时复制的可靠性，要求复制数据要和源数据保持严格一致，严格按照源数据的写入顺序进行复制，使得灾备数据具有可用性。二是在需要的时候可以很便利地对灾备数据进行读写操作，但是，这种读写操作不应该对数据的实时复制产生影响。还有，在对灾备数据进行修改（如进行员工培训、软件测试等操作时对数据的采集或调整测试）后可以恢复到原有状况，从而确保数据的一致性和安全性。 扩展的便利性包括对当前和今后非Oracle应用类型数据的实时复制的扩展，复制距离的扩展以及复制节点数量的扩展等多个方面，在当前选择方案的时候面对未来的需求进行全面考虑。 数据的丢失量对于关键应用要求数据不丢失，因此，不建议采用诸如当前在主机上开辟一定的缓存（Buffer）空间，用来存放待复制的数据，利用异步的方式发送到远程。这样的产品无疑会因为各种原因导致数据的丢失率较大，如当