1数据备份机制以及策略研究

数据备份机制以及策略研究OracleEnterpriseArchitecture涂宇澄甲骨文大中国区新兴技术部资深顾问Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.2议题数据高可用性的分级与业务连续性保障机制数据备份与灾难备份的技术实现数据的多级分发Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.3议题数据高可用性的分级与业务连续性保障机制数据备份与灾难备份的技术实现数据的多级分发Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.4灾难的分类人为灾难–误操作–病毒–黑客入侵–蓄意破坏7%自然灾害44%硬件故障49%软件\人为\病毒故障•设备故障•存储阵列损坏•坏物理数据块•数据库损坏•主机故障•自然灾难•地震•台风•海啸•泥石流Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.5什么是容灾？对于IT而言，容灾就是一个提供能防御各种灾难的计算机信息系统。当政府、企业、商家的核心IT系统在遭受如：火灾、水灾、地震、战争、人为破坏等不可抗拒的灾难和意外时，能够有效保护数据并及时恢复生产系统的正常运行。概念辨析–容灾与备份数据备份是数据容灾的基础容灾在灾难发生时，全面、及时地恢复整个系统–容灾与容错保证系统的安全可靠容错是为了防止网络内部的某些子系统出现故障容灾是为了防止由于自然灾害等导致的整个系统全部或大部分发生问题Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.6容灾分级：国信办关于容灾标准的定义开销成本恢复时间分钟2小时12小时24小时48小时72小时天?第一级基本支持备份介质场外存放第二级有备份场地，能调配所需资源第三级关键数据定时传送，备用网络部分就绪第四级少量数据丢失，备用数据系统就绪，数据定时传送（即时拷贝），备用网络就绪第五级数据丢失趋向于零，备用数据系统就绪，远程数据复制，备用网络就绪第六级数据零丢失，自动系统故障切换，远程磁盘镜像，备用网络Active——《信息系统灾难恢复规范》(GB/T20988-2007)Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.7容灾系统的组成灾难恢复计划备份处理系统网络通信系统数据备份系统灾备中心基础环境设施恢复方案灾备方案Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.8容灾恢复能力指标RPO:（RecoveryPointObjective，恢复点目标）是指业务系统所允许的在灾难过程中的最大数据丢失量，用来衡量容灾系统的数据冗余备份能力。时间恢复点时间T1时间T0数据“丢失”阶段数据处于有效状态的最后时刻灾难发生时间RTO:（RecoveryTimeObjective，恢复时间目标）是指信息系统从灾难状态恢复到可运行状态所需的时间，用来衡量容灾系统的业务恢复能力。时间T2时间T1灾难发生恢复时间系统中断恢复运行Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.9国标灾难恢复能力与业务恢复能力容灾等级RTORPO第1级2天以上1天至7天第2级24小时以上1天至7天第3级12小时以上数小时至1天第4级数小时至2天数小时至1天第5级数分钟至2天0至30分钟第6级数分钟0数据大集中初期建设目标最终目标时间T3灾难性打击恢复点目标（RPO）---数据完整性系统恢复并运行访问恢复T2恢复访问目标（NRO）---用户访问应用T0T1恢复时间目标（RTO）---应用完整性成本递增成本递增磁带备份异步复制手工迁移定期复制同步复制扩展的集群磁带恢复天小时分钟秒秒.分钟小时.天周Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.10数据复制技术是容灾关键条目原因抵御灾难能力能否防御大范围灾难取决于距离，而是否会向灾备端传播灾难导致容灾失败则取决于数据复制的机制。灾备可靠性复制机制决定了备份数据是否保证可用，以及是否可以保证数据的一致性和完整性。RPO数据复制延迟直接决定灾难发生后的数据损失。RTO日常复制时目标端数据状态决定接管的速度。总投资复制技术决定了备份端的软硬件配置、商务采购的灵活性、网络带宽需求、是否可以利旧等投资回报率灾备建设投入的大量资金可以为企业提供附加价值，例如提供报表分离、实现数据集中、建立数据仓库、实现无宕机的系统升级等。Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.11FunctionalAspectofArchitecture容灾的规划业务需求容灾方案-近期的容灾方案-中长期的容灾方案应用架构的规划多数据中心规划容灾建设和企业战略的契合点从企业级别考虑整体策略和架构目的是保护企业的核心竞争力容灾建设的复杂性IT策略、多数据中心发展策略容灾中心发展策略应用架构发展策略容灾建设的策略Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.12业务连续性不仅仅是数据恢复•关键业务数据的保护•灾难发生后，应用不中断，操作可持续•成本可预测可管理•恢复是可预测的并且是可靠的容错的硬件，冗余，自动诊断以及故障隔离，数据库和应用层切换，预分析非中断性的备份和系统维护,以及应用持续可用，用户零感知非计划停机时自动保护，满足恢复点目标和恢复时间目标高可用性持续操作数据恢复业务连续性Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.13业务连续性建设基本需求数据库业务连续性是业务后台连续性的核心；数据备份是数据安全的最后屏障；•系统本地高可用性是业务连续性保障的基本基础；–应对大部分硬件设备的单机故障；–可提供满足系统的简单维护/升级等计划内停机；异地容灾系统可以应对系统重大故障、机房/站点级灾难。–提供满足系统升级/打补丁等计划内停机的业务接管切换功能（Switchover）；–应对主机双机故障、存储故障（含数据库逻辑故障），提供故障恢复功能（Failover）；–满足RTO/RPO要求；Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.14业务连续性架构设计规划方法基础架构硬件、软件和技术支持高可用性基础架构高可用性应用体系架构完整的测试和质量管控体系高可用性的流程管理和系统管理可靠的安全体系架构高可用性管理——端到端的体系结构，标准规范、管控制度高可用性的战略目标——基于业务需求和业务驱动Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.15容灾项目实施方法需求分析架构设计开发实施启动管理持续维护企业战略和业务需求分析IT现状分析策略制定方案设计预案开发制度制定演练评测日常维护教育培训目标及需求策略及方案方案制定和实施演练与评测维护、审核、更新系统风险分析评估报告技术架构和演进规划路线设计BCP制度实施方案演练方案评测报告维护手册Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.16Page16|2015/3/12灾备系统建设涉及人员、技术和流程管理三个重要因素。在以业务为核心，配备相关人员、制定完善的流程、采用合适的技术，将是容灾系统建设的重要保障。人员——在灾备系统建设中，用户、厂家以及应用开发商的通力合作，以及明确的职责划分，将是项目人员组织的重要保障。技术——充分理解和分析企业系统现状和容灾需求，采用合适的技术方案，将是容灾系统建设的技术基础。流程——灾备系统不仅是建设一个项目，而且是建设一种抵御风险的制度。灾备系统建设中需要建立完善的灾备规范和应急处理流程，以及一个紧急事件的处理机构，并且需要经过不断地演练、测试，完善灾备系统和应急处理流程。容灾项目实施成功保障要素Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.17议题数据高可用性的分级与业务连续性保障机制数据备份与灾难备份的技术实现数据的多级分发Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.18最高可用性架构——MaximumAvailabilityArchitecture(MAA)MAA是实现高可用的一个蓝图架构设计、测试验证、上线实施、文档管理、最佳实践经验的综合工程。多种技术的集成数据库、中间件、应用、存储、集群、网络、主机、虚拟化技术MAA不仅是技术，它也是最佳实践经验。MAA=坚不可摧的架构+最佳实践MAA架构在设计上避免或降低了一个客户业务系统在任何节点上发生故障时产生的不良影响。Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.19关键业务应用对MAA架构的要求高可用在所有层面从多种失败模式中自动恢复某一个组件的失败不会影响整个系统数据保护数据离线备份保障数据的一致性灾备数据库可作为数据备份源，降低生产数据库负载。多数据中心双活数据中心异地部署数据读写分离可扩展性从垂直到水平的可扩展性对数据库或架构的一部分提供扩展支持高可用高性能高可扩展性Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.20MAA对保障业务连续性的技术支撑高可用（HA）在生产数据中心，从一个或多个失败组件中恢复的能力。─硬件冗余─软件冗余识别和排除架构中每一个潜在的故障点─电源、操作系统、服务器、网络、内存、磁盘、数据库、应用程序等。大多数情况下是自动处理的，不需要人工干预。─理想情况下，当一个组件出现失败，故障转移有硬件或软件自动实现。灾难恢复（DR）在生产数据中心出现灾难性的故障时，恢复业务功能的能力。─整个生产数据中心长时间无法恢复。启用灾备恢复是一个保持业务持续运行需求的决定。─切换到灾备中心需要行政决策；只有在最坏的情况下使用─切换是复杂且昂贵的─涉及回切操作通常灾备站点处于闲置状态，直到生产数据中心出现灾难故障。双活（Active-Active）两个数据中心均运行相同的应用程序。─用户的连接请求被分割在两个数据中心；─当前的HA模式切换速度慢，需要手动实现。在两个数据中心的数据库业务数据必须实时同步一般对关键业务支持双活，很少将整个数据中心建设为双活模式。─由于其复杂性，通常只针对某些特定应用。数据保护（DP）在生产数据中心出现数据损坏的情况下，进行数据恢复的能力–人为因素造成数据损坏–数据的逻辑坏块–物理介质的损坏–数据的物理坏块Copyright©2013,Oracleand/oritsaffiliates.Allrightsreserved.21MAA架构发展趋势生产数据中心高可用2MAA架构的发展阶段时间通过数据复制方式建立数据拷贝务数据不丢失。是灾备建设的基础形式应用级灾难恢复中心3•保证系统的连续性，考虑RTO,RPO；•建立备份的应用系统环境，提供同级和降级业务支持能力。两地三中心4•同城备份中心：用于防范生产中心机房或楼宇发生的灾难；•异地灾难恢复中心：防范大规模的区域性灾难。数据级灾备1Copyright©