容災的迷思

全球經濟一體化的今天，資訊系統越來越成為社會生産能力的樞紐和重要支柱，人們忽然發現，今天，資訊系統的安全竟然能夠成為決定我們生死存亡的核心棋子，我們再也不能在正常意義上來看待這具有舉足輕重地位的“大腦”。

我們四路環望，資訊經濟包圍了我們，也産生了巨大的噴薄欲出的新的發展動力。政府開始朝向服務型方向演變，電子政務系統越來越成為政府和百姓的連接配接橋梁，其作用比肩“血管”。電信領域日新月異的新一代網絡技術的飛躍，無一不建構在資訊系統的巨手支撐之中。能源系統的發展，已經完全依賴于資訊管理系統所建構的“主動脈”。多年以來，人們在認識到資訊化社會的典型特征的同時，逐漸在多種程度上開始對于資訊技術的安全問題加大投入，施以重墨。資料備份技術的發展，從無到有，從小到大，成為各企業資訊系統的一門必修課。 

但是，“21世紀的珍珠港事件”的爆發,曾給世界經濟帶來了極大的負面影響,也使得越來越多的人們對于各業務運作的災難抗禦能力提出了反思，人們發現，天堂與地獄僅一牆之隔。可以說，“容災”的概念在今天突然變得萬分醒目。 

當企業因為資訊化帶來快捷的服務決策和友善管理時，也必須面對着資料丢失的危險，資料大集中也會聚集風險，這是人們意識到的一點。資料的丢失會中斷企業正常的業務運作，造成巨大的經濟損失。人們開始思忖災難恢複體系建立的意義，開始将注意力慢慢轉向了一個新興的領域—容災系統。實際上國際上是将資訊系統的容災體系納入到一個更大的範疇之内---業務連續性管理。業務連續性管理是一個危機應急的架構，涵蓋： 

——風險管理 

——供應鍊管理 

——it容災和恢複 

——環境設施管理 

——安全管理 

我們常說的容災系統就屬于it容災和恢複的技術範疇。容災，首先要清楚容什麼樣的災，其次要清楚災難後如何恢複，采用何種技術和管理手段確定資訊系統能夠在系統之後的快速再建、資料如何利用後援手段確定最小程度的丢失。根據×××資訊辦今年頒布的《重要資訊系統災難恢複指南》中所述定義，災難指由于人為或自然的原因，造成資訊系統運作嚴重故障或癱瘓，使資訊系統支援的業務功能停頓或服務水準不可接受、達到特定的時間的突發性事件，這類事件通常導緻資訊系統需要切換到備用場地運作。災難恢複指為了将資訊系統從災難造成的故障或癱瘓狀态恢複到可正常運作狀态、并将其支援的業務功能從災難造成的不正常狀态恢複到可接受狀态，而設計的活動和流程。

在人們接觸到各種各樣、形形***的或真或假的容災理念之後，許多人卻被這個龐大而虛渺的天幕所困惑住了，正所謂，亂花漸入迷人眼。人們發現，一個美好的災難系統建設的願望，在實踐中往往是那麼的過程繁雜，想象中的快速建構的技術輪廓卻經常不是那麼盡如人意，往往制約了容災系統建設的最終實效。根據我們了解，衆多企業和行業對于如何建立最為有效于自身的容災系統很少有相當清醒的認識，往往踏入了一些越陷越深的誤區。 

誤區一： 

使用遠端備份系統替代容災系統，使得容災的實際效果遠遠低于規劃，甚至于根本無法實作最初的災難抗禦的設想。

誤區二： 

采用單一技術手段，實作多系統的混合容災服務，結果是進退兩難，因為這些單一的技術手段實際上具有很高的技術限定條件，一般隻是單一系統的特定容災技術手段之一，而無法适應混合型容災服務的整體範圍。最終，這種所謂的容災中心，實際上變成了單一系統的特定資料備份中心，根本不具有擴充到多系統災難恢複服務的能力，所謂的投入産出比可想而知，隻能陷入重複建設、重複投資的怪圈，形成了一個為了容災而容災的錯誤定勢。這種情況，的确時有發生，尤其在一些政府或行業指令性的災難服務體系的建設中，屢見不鮮。 

誤區三： 

在容災中心的建設上，盲目追求裝置高性能高名額，而忽略了容災中心災難響應所特有的“小機率”特征，造成裝置的大量閑置和浪費，裝置投資的不合理。 

我們聽到的最多的問題是：我究竟适合什麼樣的災難恢複等級？這麼多的技術手段究竟哪一個才适合我？現在容災技術發展的成熟水準是什麼？ 

讓我們來逐漸把思路清晰，勾勒出災備系統建設的技術路線圖。 

首先我們要清楚傳統的備份體系實際上僅僅處于國際上公認的災難恢複等級的最為底層的區域，資料備份，是指為防止系統出現操作失誤或系統故障導緻資料丢失，而将資料集合從應用系統中以備份格式到處到離線的存儲媒體的過程。在一般定義的災備恢複等級中，第一級也稱為基本支援，主要就指媒體的庫外存放和管理，也就是備份系統來實作，實際上，這還不是真正意義上的災難恢複系統，因為其資料的儲存間隔實際上是比較長的，常見的是每天一次，也就是對于資料的實時性或近實時性并不提供保證，而且，備份出來的格式是專用的備份格式，并非應用系統中的資料原有格局，恢複時一定要通過格式轉換進行倒回操作，是以也并不保證恢複的快捷和精細化的時間點恢複。傳統的資料備份主要是采用資料内置或外置的錄音帶機進行冷備份。早在1990年，存儲軟體供應商就開始采用這種方式為使用者提供資料解決方案，比如ca arcserve、veritas nbu、legato等。要想對資料進行可靠的備份，必須選擇專門的備份軟、硬體，并制定相應的備份及恢複方案。備份系統主要是人們在日常工作中對付常見系統錯誤的一種正常手法，因為在我們日常行為中，人為操作錯誤、系統軟體或應用軟體缺陷、硬體損毀、電腦病毒、黑客攻擊、突然斷電、意外當機、自然災害等諸多因素都有可能造成計算機中資料的丢失，進而極有可能演變成一場滅頂之災。是以，資料備份與恢複實際上是企業的必修課程。 

在容災體系中，人們往往采用rpo(災難是的資料儲存點)和rto（災難後的業務恢複點）這兩個名額來衡量容災體系的應急能力和系統保護能力。一般而言，確定rpo名額的基本要求（也就是僅僅考慮資料要儲存到接近故障點）往往被稱為資料級災難備份系統，而對于rpo和rto（也就是業務災難恢複能力）的雙重要求，往往被稱為應用級災備系統，也就是災難時要考慮業務的處理系統的快速恢複能力。資料級災備系統地代價相對比較低，而應用級災備則不同，根據系統的複雜程度，有可能十分高昂。是以，一些企業采用建立資料級災備和應用級災備分步走的方式來實作持續性發展的目标。在一般定義的災備等級中，第3級以上的級别針對rpo、rto這兩個名額開始有了實際的意義，也就是我們說的建構災難備份系統。有些企業認為，建立遠端備份系統就是建立了資料級災備，也就是達到了災備的第一階段要求，這實際上是很大的誤解。先不說備份出來的資料格式已不是複制出來的格式，恢複時必須反向轉換，備份的很長的周期性間隔也無法達到一般的利用災備中心建立應急反應體系的要求(rpo超過了24小時對于多數企業而言已經沒有太大意義)，而且，備份時大量的遠端傳輸帶寬的占用（或本地備份汽車遠端運輸的資源消耗），使得傳輸根本無法滿足企業資料和業務增長的要求，傳輸成本奇高。因而，我們并沒有看到多少企業真正采用這種方式建立災難備份中心，并能夠有效地利用和管理。 

我們逐漸看到，至少是資料複制體系或遠端的電子傳輸以上的災備技術手段，才是建立災難備份中心的建設方案的技術手段可行性範疇。 

下面我們談談真正的災備體系的可用技術手段，也就是容災方案讨論的核心問題。 

災備系統的容災技術是一個災備系統建立的最為重要的考慮因素之一，這一因素的考慮是否完善，甚至于決定了災備系統的成敗。是以，我們可以看到許多企業在下達了災備系統建設任務之後，卻遲遲無法在技術方案的論證環節上達到統一，換句話說，找到一個完美的技術路線是這麼的艱難。這裡我們進行一下分析： 

在建構容災備份系統時，我們首先考慮的應該是遠端資料保護的機制，一般而言就是結合實際情況選擇合理的資料複制技術。而選擇合理的資料複制技術時主要考慮以下因素： 

（1）災難承受程度：明确計算機系統需要承受的災難類型，系統故障、通信故障、長時間斷電、火災及地震等各種意外情況所采取的備份、保護方案不盡相同。現在人們經常将災難分為自然災難和漸進性災難（如人為的失誤型故障、黑客攻擊、斷點等），實作的技術保護手段也開始有所差別。 

（2）業務影響程度：必須明确當計算機系統發生意外無法工作時，導緻業務停頓所造成的損失程度，也就是定義使用者對于計算機系統發生故障的最大容忍時間。這是設計容災備份方案的重要技術名額。 

（3）資料保護程度：是否要求資料庫可以恢複所有送出的交易并且要求實時同步資料也就是資料的連續性和一緻性，決定了容災備份方案規模和複雜程度的重要依據。 

（4）最為容易忽略的一點，容災的技術手段是否适合于現有的所有參與系統，對于生産系統的影響是否足夠的小。這一點，成為目前容災體系技術路線的讨論中最為困擾各方的一個因素。混合系統容災、開放裝置的選擇常常使得使用者的理想與技術現實産生鴻溝。 

容災的多種技術方式通過各類報刊和廠商的宣傳，已經被很多人所認知，各種技術近些年也在不斷融合，一些融合型技術也在不斷湧現。我們今天不做重點論述，隻再簡單歸納一下常見的技術路線： 

1） 基于應用的容災備份技術 

基于應用的容災備份技術是由應用軟體來實作資料的複制和同步，當主中心失效時，容災備份中心的應用軟體系統恢複運作，接管主中心的業務。 

這種方式下，應用軟體實作一定程度的修改，複雜性加深。并且由應用軟體來實作資料的複制和同步會對整個業務系統的性能造成較大的影響。 

這種方式往往是應用開發的更廣泛範疇，需要在應用開發初期進入開發的概要設計和需求目标。 

2） 基于資料庫的容災備份技術 

目前在一些主流資料庫系統的生産系統中廣泛采用。這是利用資料庫複制系統或一些專用的庫複制系統，基于資料庫日志複制實作主、備用系統的資料庫的資料同步，即是将主用系統資料庫操作log複制到備用系統資料庫中執行，實作二者資料的一緻性。基于資料庫的複制方式可分為實時複制、定時複制和存儲轉發複制，并且在複制過程中，還有自動沖突檢測和解決的手段，以保證資料一緻性不受破壞。 

這種方式對于主機系統和儲存設備都相當開放，也就是說，備份中心的建設是一個開放裝置的系統。主要的要求在于資料庫的一緻性，資料的傳輸和複制一般采用tcp/ip的網絡協定。 

3） 基于主機的容災備份技術 

這種方式主要是采用主機上的卷複制技術，通過ip網絡實作遠端的卷複制。 

采用這種方式時，主中心和備份中心的距離不受限制，對磁盤陣列等裝置要求不太高，由于是卷複制，對于資料庫具有通用的支援性。但這種方式會對主中心的主機系統帶來一定的負擔，而且對于備份中心的主機系統具有一緻性要求。在一些混合系統中，容災中心提供災備服務有一定制約。 

4） 基于智能存貯系統的容災備份技術 

也就是常說的磁盤拷貝技術。常用于光纖直連的連接配接方式，同城容災較多。磁盤陣列将磁盤遠端複制功能的處理負荷從主機轉移到智能磁盤控制器上。這種方式下資料複制軟體運作在存貯系統内，比較容易實作主中心和容災備份中心的作業系統、資料庫、系統庫和目錄的實時拷貝維護能力。遠端備份系統的啟動、運作恢複相對比較簡單快捷。 

這種方式在早期的單存儲系統容災和點到點容災系統中比較常見，而且，由于對于主機系統的限制較小，相對建構的改動也比較小，因而，一些系統建立災難備份系統的方案選擇，比較青睐這種模式。 

如果采用光纖連接配接，這種方式隻能用于同城方式，如果災備中心的建立在異地，則需要協定的轉換裝置才能實作基于ip的遠端傳輸，這在成本考慮中也必須是組成部分之一。該方案的開放性比較差，不同廠家的儲存設備一般不能配合使用，不太利于投資保護、而且對于混合系統的災備服務仍然會出現難解的瓶頸。 

目前，大部分的中高端存儲陣列都已經具有了這一能力，而且在複制技術上也在不斷演變和成熟化。 

5） 虛拟存儲容災技術 

鑒于存儲系統在異構環境和平台的種種制約，本世紀初，國際上，新興起了虛拟存儲的理論，而且日臻成熟。虛拟存儲的技術主要采用專門設立存儲服務層裝置，對于所有連接配接後端的存儲資料實作專門的存儲服務，如異構儲存設備之間的資料倒送、存儲的資料的連續時間點快照和快速讀取、存儲資料的存檔保護、遠端備份中心的資料專用複制服務甚至于利用磁盤裝置虛拟錄音帶庫的仿真接口，從功能角度說，虛拟存儲技術解決了存儲的開放性連接配接問 題，容災的混合系統災備服務問題，災備資料的快速挖掘和多時間點利用問題，故障時資料的一緻性問題，将系統的故障恢複時間大大提升（分鐘級别）。虛拟存儲技術所支援的存儲接口也包含了fc、iscsi、scsi等，适用環境相當廣泛。到目前為止，這一技術在存儲的服務能力上是最為強大的。目前，國際上正在興起的cdp（資料連續性保護技術）中，虛拟存儲技術也是實作最為全面的技術。一般在複雜的生産系統、辦公系統、管理系統實作統一的災備服務的要求下，虛拟技術往往獲得良好的效果。國際上，虛拟存儲技術以美國飛康公司為代表，此外，除了專業的虛拟軟體廠商之外，目前，一些儲存設備的廠商也紛紛推出支援虛拟化的産品，可見其發展勢頭。 

虛拟存儲技術在容災領域的運用時間還不長，一些人們還在觀望其實際使用的性能狀況。 

以上，是容災技術路線的常見表現形式。實際上，現在資料備份和連續複制的技術，已經産生了融合技術，這就是cdp的資料連續性保護技術，這一技術的出現，真正使得資料的點備份變成了連續跟蹤資料變化的多點精細跟蹤技術，使得傳統意義的備份系統已經淡化，而快速恢複以及任意時間點恢複已經成為現實，試想，系統完全損壞後（包括硬碟），幾分鐘内，系統又通過遠端引導和恢複了起來，這在傳統的恢複技術中是不可想象的，實在是人們辦公、生産時的福音 

cdp技術的實作，真正意義使得資料複制和備份具有了高性能的rpo和rto的能力，克服漸進式的災難具有了殺手锏。這一技術将在不遠的将來對于容災技術的架構産生又一次修正。 

總之，建立強大的容災系統，需要我們善于理性分析、跟蹤技術的脈搏，與時俱進。撥開迷霧，康莊之路在眼前。緊跟存儲脈搏，成功不再遙遠。