金融行业灾难备份方案

金融行业灾难备份方案目前金融系统的主要业务系统，都是通过以下方式来加强系统的可靠性：主机通过采用双机方式来加强系统工作的可靠性和可用性；存储设备通过冗余的RAID技术保证数据的可靠性脱机数据备份关键网络设备和通讯线路的冗余但以上措施无法保证当发生火灾、电源系统故障等灾难性事故时，业务系统运行的连续性。灾备中心建设的目的是对金融行业现有业务系统建立一个完整的灾难备份体系。当由于灾难(火灾、地震、电源故障等)原因无法工作时，通过灾难备份体系，关键业务数据得到迅速恢复，从而保证业务应用系统能及时恢复运行。各系统现状目前主要的生产系统都采用服务器双机热备份的工作方式，服务器为IBM的AIX主机。各生产系统采用的存储系统各不相同，支付系统采用了IBMFAStT500，同城支付结算系统采用了EMC的存储系统；主机系统和存储系统之间的连接，支付系统是通过光纤交换机连接，同城支付结算系统是采用直接连接方式。各应用系统及外网之间，通过电信的DDN和ISDN线路连接（DDN为主线路，ISDN为备份线路），关键网络设备都是双机热备。系统由两种类型的平台构成：IBM小型机平台和PCSERVER平台，前者是高性能的处理器，完成最核心的业务处理和存储功能。PCSERVER平台主要作为WEB应用，处理不同种类的业务接入。在IBM小型机平台中，其中一台作为应用服务器，另外一台小型机作为数据库服务器。两台服务器使用EMC共享存储，并且是互为热备份，可以在任意一台主机发生故障时，自动切换业务到另外一台服务器上，保证服务的连续性。PCSERVER平台中，一个是企业WEB服务器，另外是银行WEB服务器，最后是WEB应用服务器。PCSERVER平台与小型机平台的信息传递是通过WEB应用服务器和小型机平台应用服务器之间的MQ通讯连接来完成的。应用服务器：P570:处理器8*POWER51.65GHZ，内存16G.内置硬盘4块74G软件AIX5.2MQ:5.3.0.2ORACLE9.2.0.4数据库服务器：P570:处理器8*POWER51.65GHZ，内存16G.内置硬盘4块74G软件AIX5.2MQ:5.3.0.2ORACLE9.2.0.4WEB应用服务器：IBMX226:2*3.2GHZXEON,内存2G.,内置2块镜像74G盘。软件LINUX9.0ORACLE9.2.0.4MQ5.0.6WEB服务器：IBMX226:2*3.2GHZXEON,内存2G.,内置2块镜像74G盘。软件：WIN2000,IIS,ORACLE9I客户端。建设目标灾备中心的建设目标是为各生产系统建立远程灾难备份系统，通过灾备系统，实现以下要求：影响各业务系统的计算机系统硬件、软件、应用故障不会影响各业务系统提供服务；由于灾难(火灾、地震、电源故障)等原因无法工作时，灾备数据中心能够立即接管各业务系统，使系统在短时间内恢复运行；系统恢复正常后，应用能够按照要求迅速切换回结算中心运行。对主要系统首先进行建设，逐步扩展灾难备份中心的规模。容灾目标：RTO:1小时RPO:零或接近零数据丢失容灾等级：按照灾难备份的技术等级划分，灾备系统实现第6级的“零数据丢失”指标要求，网络和应用系统则通过人工干预实现切换。容灾初期工作：由于有三台web服务器的数据是存储在本机硬盘上的，因此在建立容灾系统前必须将web服务器的存储迁到外部存储中，确保这些数据及时做好备份，以便灾难发生时所有系统数据得以恢复。金融行业灾难备份方案（续一）灾备中心地理位置的选择根据现有的基础设施资源考虑，有两种灾难备份中心位置的选择，一是10公里以内的办公楼宇，二是在50－70公里内的办公楼宇。两者距离的不同，对灾难备份中心建设要求也不同，10公里内的灾难备份中心，数据镜像效果比较好，基本上对生产中心的性能没有影响，在存储线路和网络线路上的投入都比较小。根据现有条件，可暂时将灾备中心建在距500米左右的某电信机房。条件成熟时可根据需要迁移至同城其他地点。系统备份策略根据前面的讨论，以灾备系统达到6级的“零数据丢失”指标要求为标准，灾备中心应通过远程数据镜像的方式来保证和数据中心数据的一致性。储系统硬件级的灾备技术方案目前主要的数据镜像灾备技术方案有三类，分别是基于主机的灾备技术方案、基于存储的灾备技术方案、基于SAN网络的灾备技术方案。基于硬件级别的数据远程备份，是使用智能存储内部的远程数据同步功能进行的，要求将系统所有相关的数据全部集中放置在一台智能存储设备当中，智能存储设备使用其内部的数据备份功能和异地另外一台同类型数据设备进行数据传输。基于硬件的数据备份，对软件系统来说完全是透明的。目前应用比较多的智能存储异地备份技术有：EMC的SRDF、IBM(ESS)的PPRC和NetApp的SyncMirror,HITACHI(HDS)的TrueCopy。操作系统级别的灾备技术方案该方式需要增加数据备份软件，专门对操作系统的文件系统数据进行监控，使用数据日志的方式和异地另外一套系统进行数据备份。该软件对于应用软件来说也是完全透明的。此类方案目前较流行的有Veritas公司的相关产品：VVM(VERITASVolumeManager),VVR(VeritasVolumeReplicator),VCS(VeritasClusterServer),GCM(GlobalClusterManager)；IBM公司的相关产品：HAGEO(HighAvailabilityGeographicCluster)基于SAN网络（存储虚拟化）的灾备技术方案基于SAN网络的复制技术，又称存储虚拟化技术。在SAN网络上实现的存储虚拟化技术能够屏蔽存储本身的限制，实现异种存储之间的数据镜像，保护现有存储系统投资。存储虚拟化技术通过定义虚拟卷的方式，使得生产中心和灾备中心的主机能够共享异种存储设备（而基于存储的灾备技术要求生产中心和灾备中心使用完全相同的存储系统），并且不增加系统故障点。以StoreAgeSVM产品为例，虚拟化存储I/O工作原理如下：1、SVM设备作为一个普通服务器，通过SAN发现所有存储，服务器等设备。不需要SVM发现的设备，可以使用Zoneing，LUNMasking等方法屏蔽。2、SVM将选定的LUN放入Pool中，即，在LUN上利用一个Sector签名3、SVM在Pool中定义虚拟卷4、SVM将虚拟卷地址与真实设备地址形成一个虚实地址对照表5、所有安装Agent的主机每10秒发送一个Polling给SVM，索取最新的虚实地址对照表，并将其装入内存中6、Agent过滤所有主机I/O，如果是使用虚拟地址的I/O，Agent将地址翻译成为真实SAN地址，再将I/O转发到操作系统I/O子系统。如果是使用真实地址的I/O，Agent简单Bypass这个I/O给操作系统I/O子系统。在实现虚拟化I/O的基础上，可实现虚拟卷的复制、镜像等功能。以上数据备份方法都可以在各个层面进行实现，但各个方案有不同的优点和缺点，差异主要表现在技术复杂度、实现的效果、投资大小、网络带宽要求、维护工作量等方面。金融行业灾难备份方案（续二）下面对各种灾难备份方案进行比较详细的探讨，并比较差异，作为方案选择的参考。存储系统硬件级的灾备技术方案基于存储设备的数据备份方式，就是利用高端智能存储对系统所有的数据进行集中存放，和异地另外一台同类型智能存储进行底层的数据同步，该同步由于是基于硬件，所以对软件系统完全是透明的，无需修改软件和进行人工的干预。基于存储设备的数据备份方式,有如下几个特点:1.系统数据统一放置在存储设备上,便于统一完成数据的备份传输.如果现有系统的数据分散传输,那么需要完成数据的集中改造.2.使用特定的网络传输环境,对网络通讯环境要求高.存储设备为了完成数据传输提供多个接口,高性能的传输方式如ESCON，要求特定的网络传输设备，而且对网络传输带宽要求比较高。3.由于数据备份的工作是基于底层硬件的，对于软件系统来说完全是透明的，也无需人工对数据传输进行干预。4.不占用主机设备的资源，存储系统使用自身的处理机制和传输机制。基于存储设备的数据备份方式存在以下的缺陷：1.必须使用相同的存储设备，存储设备之间的数据传输要求设备是同类型的，对于设备选择上没有多余的空间，而且存储设备都是高档智能存储，所以投资成本很高。2.必须要求数据统一放置，为了使用存储设备的数据备份，系统的数据都必须放置在同一台存储设备上，便于完成对异地数据的备份。3.网络建设成本高，由于要求特定的网络通讯线路，为了完成其数据传输，还必须租用高带宽的网络通讯线路，在网络通讯上的投资将是异地数据备份的重点成本。4.基于存储设备的数据备份，只完成IO上的数据同步，不能保证业务交易的一致性，有可能在生产中心发生灾难的情况下，还需要在业务上对数据进行核对，回退没有完成的交易。基于操作系统的数据备份在操作系统上安装备份软件，备份软件控制操作系统的存储管理：包括卷组、文件系统和裸设备。要求存储管理使用逻辑卷管理软件（LVM）.典型的基于卷管理的备份软件是VERITAS公司的卷组复制软件基于操作系统卷管理的数据备份功能有如下特点:1.对存储设备没有特定要求,软件只要求存储使用卷管理(LVM)即可，所以可以灵活地、充分利用现有的硬件资源，而不需要为备份数据进行存储架构改造；2.对传输网络没有特定要求，只要求生产中心和备份中心可以完成网络的传输就可以，在软件级别上可以忽略在传输方式上的差别。可以充分利用现有的网络传输环境。3.卷管理的数据备份方式，对应用软件来说都是透明的，无需进行附加的设置。4.卷管理可以实现跨平台的数据备份方式，对主机设备没有特定要求，只要求使用相同卷管理软件。使用卷管理的备份方式存在如下的缺点：1.需要在每台主机上安装卷管理软件，并且软件需要对存储系统进行管理。需要附加的安装配置和维护工作；2.由于是软件实现系统数据传输，需要占用主机的CPU资源；3.该方式也需要对卷管理备份进行投资，成本相对较高；4.由于是基于数据的备份方式，也无法保证业务交易的一致性，在灾难恢复时仍然需要人工干预。如果需要达到较高的数据同步性能，对网络带宽要求高。金融行业灾难备份方案（续三）基于SAN网络（存储虚拟化）的灾备技术方案SVM镜像（MultiMirror）分为同步和异步两种方式，其中异步工作原理如下：1，SVM定义一个新的空间（PiT）给源数据卷，并通知Agent2，Agent将指向源数据卷的写I/O改向到新空间PiT，指向源数据卷的读I/O不改变。3，SVM拷贝源数据卷到目标数据卷。目标数据卷可以是同一个SVMDomain里的虚拟数据卷，也可以是另外一个Domain里的虚拟数据卷。如果是后者，两个Domain之间的连接网络是IP。4，SVM拷贝PiT到目标PiT5，反复执行1，2，4三步使用存储虚拟化的灾难备份方案特点：1：可以使用异构设备，将现有的存储设备最大程度上进行使用，节约对硬件设备的投资；2：在数据备份上，进行透明处理，应用程序不关心底层对数据的处理过程。3：管理简易。通过统一的管理界面对现有的存储空间进行管理，可以很好地使用空间资源。缺陷主要是不能使用同步数据，也就是不能达到基于硬件存储之间完成的数据同步效果推荐的备份方案为了达到6级零数据丢失的功能，推荐使用基于存储的灾难备份方案。购买两台高性能的存储进行生产中心和备份中心的数据备份功能，附加地要对生产中心的存储进行数据集中、迁移的工作。对于主机的选择，为保证设备的处理性能，使用同型号的主机设备。其他是在SAN网络组建需要的附加设备和通讯投资。首先，考虑到目前使用的存储系统3630年限已久，因此需要新购两套存储系统，以建立SRDF关系。存储系统A和B端都需要配置SRDF/S数据远程复制软件，及支持单跳的SRDF/AR软件。同时还需要配置数据本地快速复制软件—TimeFinder，及存储系统软件ECC。如果用于SAN连接，还需要配置SAN管理器软件投资预算1、运行主机系统（应用和数据库服务器）2台IBMSystemp5570配置：