異地備份
異地備份
將數據在另外的地方實時產生一份可用的副本,此副本的使用不需要做數據恢復,可以將副本立即投入使用。這就是異地備份。
異地備份的數據複製目前有如下實現方式:
基於主機。基於主機的數據複製技術,可以不考慮存儲系統的同構問題,只要保持主機是相同的操作系統即可,而目前也存在支持異構主機之間的數據複製軟體,如BakBone NetVault Replicator就可以支持異構伺服器之間的數據複製,可以支持跨越廣域網的遠程實時複製。缺點是需要佔用一點主機資源。
基於存儲系統。利用存儲系統提供的數據複製軟體,複製的數據流通過存儲系統之間傳遞,和主機無關。這種方式的優勢是數據複製不佔用主機資源,不足之處是需要災備中心的存儲系統和生產中心的存儲系統有嚴格的兼容性要求,一般需要來自同一個廠家的存儲系統,這樣對用戶的災備中心的存儲系統的選型帶來了限制。
基於光纖交換機。這項技術正在發展中,利用光纖交換機的新功能,或者利用管理軟體控制光纖交換機,對存儲系統進行虛擬化,然後管理軟體對管理的虛擬存儲池進行卷管理、卷複製、卷鏡像等技術,來實現數據的遠程複製。比較典型的有Storag-age,Falcon等。
基於應用的數據複製。這項技術有一定局限性,都是針對具體的應用。主要利用資料庫自身提供的複製模塊來完成,比如OracleDataGuard,Sybase Replication 等。
災難備份解決方案的分析及選擇
在推行計算機應用的過程中,銀行已深深體會到系統可用性對銀行業務的重要性。在保證到本地機房的高可用性之外,他們還認識到:對於意外引起的包括自然災害、設備損毀等災難性事件,仍然需要有相應的保護措施,以保障業務系統的連續運行,從而獲得良好的企業形象,保證社會的正常金融秩序。
事實上,對災難進行預防建設是危機管理的一部分。據一項美國的研究報告顯示,在災害之後,如果無法在14 天內恢復資訊作業,有75%的公司業務會完全停頓,43%再也無法重新開業,因而有20%的企業在兩年之內被迫宣告破產。另一方面,對於災害所造成的衝擊分析顯示,各行業最長可忍受的信息系統停機時間分別為:金融業-2天;銷售業-3.3天;製造業-4.9 天;保險業-5.6天。平均來看,一般行業可忍受的信息系統停機時間為4.8天(資料來源:美國明尼蘇達大學)。如果以營業收入的損失來看,金融業所遭受的損失最嚴重,可高達每日營業收入的50%。
由此可見,金融業對於信息技術的依賴程度尤其甚於其它行業,更難以容忍因為電腦中心停止服務所造成的慘重損失。同時,災難備份的實現並非單純的技術問題,其所涉及的將會是整個企業體所可能遭遇的問題,因而大多數的企業決策者都意識到災難備份計劃對企業的重要性。
災難備份計劃要求有周詳的事前準備,尤其是需要分析災難對業務的衝擊程度並相應制定災難后的恢復策略,同時配合目前最新的信息技術,提出最佳的恢復方案。在系統備份計劃建立以後,還必須在事前反覆測試,並隨時調整、加以改進,完整的災難備份解決方案才得以建立。
據國際標準SHARE 78 的定義,災難備份解決方案可根據以下列出的主要考慮方面所達到的程度而分為七級,從低到高有七種不同層次的對應的災難備份解決方案。銀行的金融監管系統可根據數據的重要性以及需要恢復的速度和程度,來設計選擇並實現災難恢復計劃。
· 備份/恢復的範圍
· 災難備份計劃的狀態
· 生產中心與備份中心之間的距離
· 生產中心與備份中心之間是如何相互連接的
· 數據是怎樣在兩個中心之間傳送的
· 允許有多少數據被丟失
· 怎樣保證更新的數據在備份中心被更新
· 備份中心可以開始備份工作的能力
在1992年Anaheim的SHARE 78, M028這一會議報告中,自動的異地遠程恢復任務被定義有七種層次:
1. 無異地數據備份(No off-site Data)
被定義為沒有信息存儲的需求,沒有建立備份硬體平台的需求,也沒有發展應急計劃的需求,數據僅在本地進行備份恢復,沒有數據送往異地。這種方式是最為低成本的災難備份解決方案,但事實上這種災難備份並沒有真正災難備份的能力,因為它的數據並沒有被送往遠離本地的地方,而數據的恢復也僅是利用本地的記錄。
2. PTAM車輛轉送方式( Pickup Truck Access Method)
災難備份方案需要設計一個應急方案,能夠備份所需要的信息並將它存儲在異地,然後根據災難備份的具體需求,有選擇地建立備份平台,但事先並不提供數據處理的硬體平台。
PTAM是一種用於許多中心備份的標準方式,數據在完成寫操作之後,將會被送到遠離本地的地方,同時具備有數據恢復的程序。在災難發生后,一整套系統和應用安裝動作需要在一台未啟動的計算機上重新完成。系統和數據將被恢復並重新與網路相連。這種災難備份方案相對來說成本較低(僅僅需要傳輸工具的消耗以及存儲設備的消耗)。但同時有難於管理的問題,即很難知道什麼樣的數據在什麼樣的地方。一旦系統可以工作,標準的做法是首先恢復關鍵應用,其餘的應用根據需要恢復。這樣的情況下,恢復是可能的,但需要一定的時間,同時依賴於什麼時候硬體平台能夠被提供準備好。
3. PTAM卡車轉送方式+熱備份中心 (PTAM+Hot Site)
相當於是Tier 1再加上具有熱備份能力中心的災難備份。熱備份中心擁有足夠的硬體和網路設備去支持關鍵應用的安裝需求。對於十分關鍵的應用,在災難發生的同時,必須在異地有正運行著的硬體平台提供支持。這種災難備份的方式依賴於用PTAM的方法去將日常數據放在異地存儲,當災難發生的時候,數據再被移動到一個熱備份的中心。雖然移動數據到一個熱備份中心增加了成本,但卻明顯降低了災難備份的時間。
4. 電子傳送(Electronic Vaulting)
是在Tier 2的基礎上用電子鏈路取代了車輛進行數據傳送的災難備份。接收方的硬體平台必須與生產中心物理地相分離,在災難發生后,存儲的數據用於災難備份。由於熱備份中心要保持持續運行,因此增加了成本。但確實是消除了運送工具的需要,提高了災難備份的速度。
5. 活動狀態的備份中心 (Active Secondary Site)
這種災難備份要求兩個中心同時處於活動狀態並管理彼此的備份數據,允許備份行動在任何一個方向發生。接收方硬體平台必須保證與另一方平台物理地相分離,在這種情況下,工作負載可以在兩個中心之間被分擔,兩個中心之間之間彼此備份。在兩個中心之間,彼此的在線關鍵數據的拷貝不停地相互傳送著。在災難發生時,需要的關鍵數據通過網路可迅速恢復,通過網路的切換,關鍵應用的恢復時間也可降低到了小時級。
6. 兩中心兩階段確認 (Two-Site Two-Phase Commit)
是在Tier 4的基礎上在鏡像狀態上管理著被選擇的數據 (根據單一commit範圍,在本地和遠程資料庫中同時更新著數據),也就是說,在更新請求被認為是滿意之前,Tier 5需要生產中心與備份中心的數據都被更新。我們可以想象這樣一種情景,數據在兩個中心之間相互映像,由遠程two-phase commit來同步,因為關鍵應用使用了雙重在線存儲,所以在災難發生時,僅僅傳送中的數據被丟失,恢復的時間被降低到了小時級。
7. 零數據丟失 (Zero Data Loss)
可以實現零數據丟失率,同時保證數據立即自動地被傳輸到備份中心。Tier 6被認為是災難備份的最高的級別,在本地和遠程的所有數據被更新的同時,利用了雙重在線存儲和完全的網路切換能力。Tier 6是災難備份中最昂貴的方式,也是速度最快的恢復方式,恢復的時間被降低到了分鐘級。對於Tier 6 的災難備份解決方案,可以應用兩種遠程拷貝技術來實現,即PPRC同步遠程拷貝和XRC非同步遠程拷貝。