存储级数据容灾方案
存储级异地容灾解决方案
目录
1.用户现状与需求 (4)
1.1.用户IT系统现状 (4)
1.2.用户需求 (4)
1.2.1.建设目标 (4)
1.2.2.需求分析 (5)
2.建议方案 (7)
2.1设计原则 (7)
2.3.8容灾方案设计 (7)
2.3.9系统整体架构 (10)
3.灾备中心运行维护方案 (12)
3.1.解决方案选择 (12)
3.2.业务持续性策略 (13)
3.2.1.日常运行状态 (13)
3.2.2.切换流程 (13)
3.2.3.非切换异常处理流程 (15)
4.灾难恢复预案 (16)
4.1.计划内和计划外停机的切换步骤 (17)
4.1.1.计划内停机 (17)
4.1.2.计划外停机 (17)
4.2.设备故障的影响和处理 (18)
4.2.1.生产中心主机故障 (18)
4.2.2.生产中心存储系统故障 (18)
4.2.3.复制链路故障 (18)
4.2.4.容灾中心设备故障 (18)
4.3.实施风险提示 (19)
5.应急管理预案 (19)
5.1.紧急响应策略 (19)
5.1.1.紧急相应策略概述 (19)
5.1.2.紧急响应和运作的需求 (20)
5.1.3.紧急响应场所的分类和功能、建设描述 (24)
5.1.4.紧急场所设施使用人员的权限分配 (25)
5.1.5.紧急事件发生前的监测、监控与预警系统 (26)
5.1.6.紧急事件发生后的紧急事件响应程序 (27)
5.1.7.紧急响应策略保持有效性的监管措施 (37)
6.预案模拟演练方案 (37)
6.1.生产中心向备份中心切换流程演练 (39)
6.2.容灾中心向生产中心切换流程演练 (40)
1.用户现状与需求
用户IT系统现状
用户现有系统包括数据库、应用、WEB、邮件等系统,虽然是双机架构,但是其稳定性和可靠性都没有达到核心系统应该具备的标准,而且直连的存储架构对于性能和管理型都有一定的局限性。
业务数据是企业业务的生命线,如何保护好计算机系统里存储的数据,保证系统稳定可靠地运行,并为业务系统提供快捷可靠的访问,是系统建设中最重要的问题之一。为了保护业务系统的关键业务数据,我们必须对这些数据进行有效的备份,并支持快速恢复。
通过备份的方式将文件、数据库等重要数据做一个副本,只能在本地建立数据保护。但因意外(如火灾、地震等)停止工作时,随之而来的损失更是不可估量,为避免类似风险的存在,就需要建立异地容灾系统,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作,保证业务稳定运行。
用户需求
建设目标
从容灾的级别来说,可以规划数据级容灾和应用级容灾,根据业务种类多,业务方式多样化的特点,仅建设一个数据级容灾是不够,容灾发生时,业务快速的恢复是容灾系统的一大需求。应用级容灾是建立在数据级容灾的基础上,在容灾切换时,除了切换核心的数据库数据外,还包含了IP地址切换(按客户需要
选择),中间件服务,用户级业务。应用级容灾从流程上实现了全业务的连续性需求。
从我们的灾难系统建设经验出发,xxx有限公司可以考虑以下业务连续性计划目标: RPO(最大允许数据丢失时间):零数据丢失
RTO(最大允许宕机时间):30分钟
应用级容灾需求
需求分析
用户需要保障数据的长期安全可靠的,数据对于灾难的安全性和可恢复性:灾难切换时间要求灾难系统切换时间不超过30分钟,最好在10分钟内实现。
多种灾难切换方式提供自动灾难系统切换和手动灾难切换方式
计划内维护要求提供计划内维护支持能力,计划内维护切换时间不多于10分钟
数据丢失性要求原则上要求零数据丢失,可以依据情况进行调整
数据同步方式提供同步和异步两种方式
备份和灾难备份方式采用物理备份方式实现
物理部件失败要求支持部分磁盘,文件系统,主机,磁盘柜等各种物理部件失败导致的失败保护。
站点失败要求支持由于火灾,电力以及其他因素导致站点失败的数据保护。
逻辑失败要求支持由于数据块腐败导致的数据库无法启动,数据丢失等逻辑失败保护
人类错误失败要求支持由于人类误操作以及入侵等导致人类错误失败导致的数据
保护或者恢复。
生产系统的性能影响要求生产系统性能影响不超过5%
生产系统可用性要求容灾系统不会降低生产系统可用性
网络链路分钟级别短暂故障要求不会对生产系统产生影响
网络链路小时级别长期故障要求不会对生产系统产生影响
网络链路密集的秒级别短暂故障要求不会对生产系统产生影响
网络链路容错支持网络链路的容错,可以利用网络的备份链路,比如多路网卡等灾难系统的硬件故障由于灾难系统硬件故障导致的灾难系统不可用不会对生产系统产生影响,比如网卡,磁盘以及控制卡等
灾难系统的软件故障由于灾难系统软件故障导致的灾难系统不可用不会对生产系统产生影响,比如灾难系统管理软件部件等
网络协议采用IP网络实现
网络带宽一般的百兆或者千兆带宽
RTT要求RTT要求在10ms以内即可满足要求,可以容忍部分时间的30ms 响应
在线实施要求要求在备份系统实施期间保持生产系统运行
存储系统失败的原址运行在生产系统主机可用的情况下可以支持系统原址运行
部分文件失败的原址运行在部分文件失败的情况下可以支持系统原址运行
2.建议方案
2.1设计原则
通过对用户具体环境和需求的分析,我们在针对性的方案设计上应遵循以下原则:
最高的性价比,根据用户的实际需求,提供合适的解决方案,在有限的资金许可范围内提供符合需求的方案。
优化的策略,关键业务系统和一般应用系统优先级的策略化,需要确保关键业务系统的数据不丢失。
广泛的适用性,支持异构平台,产品可以适应不同类型的应用、数据以及主机存储设备。
2.3.8容灾方案设计
目前有很多种容灾技术,分类也比较复杂。根据用户应用系统特点的不同,应用系统持续服务紧迫性的区别,应有针对性的选择容灾系统方案。
(1)基于应用程序容灾解决方案
◆方案优点
?应用程序在本地、远端双写I/O;
?该方案能够实现业务系统在发生灾难时自动切换,保证业务的完全连续性;
◆方案缺点
?投资非常高,容灾软件价格昂贵;
?实施复杂,应用系统需要重新搭建;
?该方案完全由软件实现,需消耗主机系统资源,效率底;
(2)基于数据库复制的远程容灾解决方案
◆方案优点
?数据库本身的远程复制(Oracle DB Guard);
?实施相对简便,支持异构存储;
◆方案缺点
?只能复制数据库文件,实现数据库容灾;
?需要重新调试、安装数据库;
?停机时间较长;
(3)基于主机的远程数据复制软件容灾解决方案
◆方案优点
?复制软件在卷管理器层面截获I/O,远程复制
?支持异构存储;
?可以实现应用的实时、自动切换;
◆方案缺点
?需要重新配置存储卷,停机时间较长;
?新增容灾系统需要增加软件授权;
(4)基于存储的远程数据复制容灾解决方案
◆方案优点
?智能存储远程数据复制,技术较成熟;
?设备、软件投资费用低;
?实施简便,应用系统仅需短时间停机;
?不需要对应用、数据库重新安装调试;
方案缺点
?只支持同一厂商同一系列存储;
?不能实现应用的实时、自动切换;
根据用户的应用特点:建议使用基于存储的容灾方案。
2.3.9系统整体架构
本地灾备中心
服务器均采用原有服务器,所有服务器配置HBA卡,连接至用户现有光纤交换机;
新增存储加入SAN网络,存储空间可根据业务需求,自由划分给多套系统使用;
新增一台备份服务器,安装NBU服务端,新增一台HDS虚拟带库作为备份介质保存备份数据,实现SAN备份。
主数据中心和灾备中心之间通过高速光纤链路连接,为数据复制和备份提供了很好的链路基础。利用HDS 容灾管理软件TrueCopy实现磁盘阵列之间数据的复制。建立同城异地容灭系统,通过数据同步保证在总部运行中心出现重大灾难故障时,能启用灾备中心进行正常交易。
异地备份中心
容灾中心新增容灾服务器、容灾交换机,新增的HDS AMS 2100作为容灾存储设备,该备份中心只需要保存业务系统数据一份可用的备份。当本地机房瘫痪时,容灾服务器接管ERP及交易系统。
3.灾备中心运行维护方案
解决方案选择
保持业务持续性,恢复业务处理的方法可以包括与冷、温或热站点供应商签订商业合同、移动站点、镜像站点、与内部或外部机构签订互惠协议、与设备供应商签订服务水平协议(SLA)。另外,在制定系统恢复策略时应该考虑诸如独立磁盘冗余阵列(RAID)、自动故障切换、不间断电源(UPS)和镜像系统等技术。
业务持续性计划必须包括在比较长的期间在备用设施中恢复和执行系统运行的策略。通常,有三种备用站点可供选择:
由机构拥有或运行的专用站点
与内部或外部实体签订的互惠协议或协议备忘录
商业租用设施
无论选择哪种类型的备用站点,设施必须能够支持应急计划中所定义的系统操作。三种站点类型可以根据运行的准备程度进行分类。这样的话,站点可以被确定为冷站点、温站点、热站点、移动站点和镜像站点。
根据BIA的结果和银联对业务持续性的要求,选择的解决方案可以描述为:(1)建立异地容灾中心将完全复制生产中心的数据,并实现两中心间的数据实时同步,其功能为:
a.正常工作状态下,灾备中心将配置为生产中心的完全数据复制,以保证
当生产中心发生灾难时,数据的完整性。
b.当生产中心的存储系统及数据不可访问时,可以通过对备份数据中心的数据的访问。
(2)建立灾备中心,生产中心的数据将完全复制到灾备中心,允许存在一定的时间差,但应满足RPO和RTO要求。灾备中心配置有与生产中心架构相同的服务器系统,在生产中心无法运行的情况下接替生产中心的生产业务,实现对业务持续性的要求。
a.正常工作状态下,备份中心将配置为生产中心的数据复制源,以最大限度的不影响生产中心的主机和存储系统的性能。
b.当生产中心灾难发生时,灾备中心的完全复制数据将用于生产数据中心的数据同步,以保证当生产中心灾难发生时,灾备中心没有数据丢失;业务可以恢复运行。
业务持续性策略
日常运行状态
在没有任何异常情况发生的情况下,系统按照正常的运行状态运转,工作人员按照各自的岗位职责开展工作。定期将工作内容和工作结果向上级管理人员汇报并接受上级管理人员的监督和检查。
切换流程
切换流程分计划内切换流程和计划外切换流程,首先讨论计划为切换流程。
1. 发现并确定灾难情况
运行中心运行保障室是负责发现可能导致业务系统灾难的事件的主要部门。同时,网络维护室、系统维护室和安全管理室等其它部门应该将所发现的可能导致灾难的时间随时向运行保障室报告。
2. 通知负责恢复的人员
运行保障室按照预定程序通知业务持续管理小组的值班人员,值班人员需要监控事件的发展,必要时将向业务持续小组负责人通报。
当发生可能导致业务处理中心的情况后,需要通知以下人员:
◆信息中心主管
◆业务持续管理小组负责人
◆业务持续行政小组负责人
◆负责维护发生以外事件的系统的部门负责人
3. 判断异常影响程度,启动BCP计划
启动BCP计划是业务持续管理小组和/或业务持续行政小组的职责。通常由业务持续管理小组和/或业务持续行政小组的负责人宣布BCP计划的启动。在被授权的组织会负责人确定需要启动灾备站点后,宣布BCP计划启动。
按照BCP所定义的工作内容,损害评估小组和灾难恢复小组开始工作。
4. 激活灾备站点
在通知恢复的人员过程中,灾备站点的值班人员必须被通知并立即投入工作,做好业务运行环境的检查等工作。关闭可能对恢复业务运行有影响的任何应用系统,做好恢复业务运行的准备。
在收到BCP启动的通知后,按照BCP所定义的操作流程,与生产中心陪着或独立执行业务恢复工作。
5. 发布公告
业务持续管理小组的相关成员按照BCP所定义的工作内容向外发布公告
6. 提供业务恢复所需的服务
在业务恢复以及业务在灾备站点运行期间,内部和外部的支持团队以及相关工作人员按照BCP所定义的工作内容为业务的持续运行服务。
对于计划内切换流程,其大部分内容与计划为流程相同,通常由通知负责恢复的人员开始,直到提供业务恢复所需的服务。计划内切换可能是由于演习或需要进行站点级的设备维护造成的,有很强的计划性,灾备站点人员应该提早完成恢复业务运行的准备工作,如所有工作人员到位等。
非切换异常处理流程
切换流程用于处理不会导致业务切换的异常事件,如部分设备的损坏没有影响业务处理的正常运行,或备份中型和/或灾备中心发生异常等。虽然这些异常事件不会对业务的运行造成直接影响,但是使系统整体的稳定性降低,业务运行的风险加大了,而且这样的事件大量存在,应该引起足够的重视。初步计划的非切换异常处理流程如下:
1. 发现并确定灾难情况
运行中心运行保障室是负责发现可能导致业务系统灾难的事件的主要部门。同时,网络维护室、系统维护室和安全管理室等其它部门应该将所发现的可能导
致灾难的时间随时向运行保障室报告。
2. 通知负责恢复的人员
运行保障室按照预定程序通知业务持续管理小组的值班人员,值班人员需要监控事件的发展,必要时将向业务持续小组负责人通报。
当发生可能导致业务处理中心的情况后,需要通知以下人员:
◆信息中心主管
◆业务持续管理小组负责人
◆业务持续行政小组负责人
◆负责维护发生以外事件的系统的部门负责人
3. 判断异常影响程度
业务持续管理小组和/或业务持续行政小组的负责人在判断异常影响程度的基础上,做出不启动BCP的决定。
4. 异常处理
在通知恢复的人员过程中,发生异常的站点的值班人员必须并立即投入异常恢复工作,并与内部和外部的支援团队取得联系,获得相应支持。
4.灾难恢复预案
容灾系统建成之后,必须能够发挥相应的效益。鉴于本次容灾项目为数据级的容灾系统,在发生系统故障的时候,需要手工对应用系统进行切换,因此,我们应对各种系统状况提前做出操作预案,这样才能保证容灾系统真正发挥效益。
计划内和计划外停机的切换步骤
计划内停机
生产中心操作:
◆检查生产中心和容灾中心所有的主机、存储、网络、卷复制软件是否都
正常;
◆正常停止生产中心的所有应用;
◆断开产中心和容灾中心的复制关系;
容灾中心操作:
◆阵列上的卷MAP给容灾中心的主机;
◆手工启动应用系统;
计划外停机
生产中心不能做任何操作的情况;
容灾中心操作:
◆阵列上的卷MAP给容灾中心的主机;
◆手工启动应用测试;
设备故障的影响和处理
生产中心主机故障
I 一台主机问题;应用切换到cluster另外的一台主机;对应用有小切换的影响;
II 两台主机问题或者cluster问题;数据切换到容灾中心;在容灾中心启用应用;对应用有大切换影响;
生产中心存储系统故障
I阵列自己的冗余功能;替换故障备件;对应用无影响;
II 阵列不能冗余问题(2块控制器故障;多块硬盘同时故障),数据切换到容灾中心;在容灾中心启用应用;对应用有大切换影响;
复制链路故障
数据复制中断;对应用无影响;链路恢复后数据正常复制;
容灾中心设备故障
容灾中心设备故障对应用系统无影响。
实施风险提示
根据xxxx的业务应用需求,本方案旨在用最低的投资达到xxxx所需在60分钟心实现应用系统切换的系统容灾效果,无法规避如下风险因素:
◆应用系统的自动实施切换
本方案在需要切换系统时,必须人工干预,无法实现自动切换;
◆数据库数据异常
当数据库数据存在异常时,容灾系统在进行切换时首先需要进行数据数据的回滚才能启动数据库,回滚时间视数据库的数据量而定,可能会超出60分钟的恢复时限。(所有容灾方案均无法规避该问题)
◆同城灾难
本容灾方案无法规避地震、电网大规模断电等覆盖全市的灾难恢复;
5.应急管理预案
紧急响应策略
紧急相应策略概述
紧急响应策略包括三个部分:紧急事件响应、恢复和复原。紧急事件响应包
括为保护生命和减轻损失所采取的最初行动策略。恢复是指继续支持关键业务所采取的步骤。复原是回到业务的运行状态。
紧急响应策略是用于减少紧急事件对业务连续性造成负面影响的一套机制、计划、方法和规程。紧急响应策略包括建立和管理紧急事件运作中心,该中心用于在紧急事件中发布命令。
紧急事件响应方式概述
紧急事件响应方式根据不同类别的紧急事件,由有关部门组成紧急事件响应指挥中心,用户主管领导人担任总指挥,统一领导、统一指挥紧急事件处理,协调、调动相关力量和资源,决定采取处理紧急事件的重大措施;确定对外口径,指导对外新闻发布;其中容灾工作委员会的主要指责是组织开展对紧急事件的监测与报告、分析和预警;需要启动紧急事件紧急预案时,提请决策层批准,进行组织和协调专业技术机构及其人员进行现场调查与处理,实施现场撤离与抢修等紧急处理措施;组织制定有关的调查方案、技术标准和规范;依照条例规定及时对紧急事件评估;发布、通报紧急事件信息,可以授权其他部门向社会发布本行政区域紧急事件信息;开展健康教育、技术人员培训和演练;会同有关部门提出物资和经费储备计划;检查督导紧急事件紧急预案的落实情况等。
紧急响应和运作的需求
1、识别潜在的紧急事件类型和所需的响应(如火灾、危险物质泄漏、疾病等)
2、识别现有的、正确的紧急事件相应规程
数据中心容灾备份方案完整版
数据中心容灾备份方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
数据保护系统 医院备份、容灾及归档数据容灾 解决方案 1、前言 在医院信息化建设中,HIS、PACS、RIS、LIS 等临床信息系统得到广泛应用。医院信息化 HIS、LIS 和 PACS 等系统是目前各个医院的核心业务系统,承担了病人诊疗信息、行政管理信息、检验信息的录入、查询及监控等工作,任何的系统停机或数据丢失轻则降低患者的满意度、医院的信誉丢失,重则引起医患纠纷、法律问题或社会问题。为了保证各业务系统的高可用性,必须针对核心系统建立数据安全保护,做到“不停、不丢、可追查”,以确保核心业务系统得到全面保护。 随着电子病历新规在 4 月 1 日的正式施行,《电子病历应用管理规范(试行)》要求电子病历的书写、存储、使用和封存等均需按相关规定进行,根据规范,门(急)诊电子病历由医疗机构保管的,保存时间自患者最后一次就诊之日起不少于15 年;住院电子病历保存时间自患者最后一次出院之日起不少于 30 年。
2、医院备份、容灾及归档解决方案 针对医疗卫生行业的特点和医院信息化建设中的主要应用,包括:HIS、PACS、RIS、LIS 等,本公司推出基于数据保护系统的多种解决方案,以达到对医院信息化系统提供全面的保护以及核心应用系统的异地备份容灾 数据备份解决方案 针对于医院的 HIS、PACS、LIS 等服务器进行数据备份时,数据保护系统的备份架构采用三层构架。 备份软件主控层(内置一体机):负责管理制定全域内的备份策略和跟踪客户端的备份,能够管理磁盘空间和磁带库库及光盘库,实现多个客户端的数据备份。备份软件主服务器是备份域内集中管理的核心。 客户端层(数据库和操作系统客户端):其他应用服务器和数据库服务器安装备份软件标准客户端,通过这个客户端完成每台服务器的 LAN 或 LAN-FREE 备份工作。另外,为包含数据库的客户端安装数据库代理程序,从而保证数据库的在线热备份。 备份介质层(内置虚拟带库):主流备份介质有备份存储或虚拟带库等磁盘介质、物理磁带库等,一般建议将备份存储或虚拟带库等磁盘介质作为一级备份介质,用于近期的备份数据存放,将物理磁带库或者光盘库作为二级备份介质,用于长期的备份数据存放。
系统容灾解决方案
系统容灾解决方案 容灾基本概念 容灾是一个范畴比较广泛的概念,广义上,我们可以把所有与业务连续性相关的内容都纳入容灾。容灾是一个系统工程,它包括支持用户业务的方方面面。而容灾对于IT而言,就是提供一个能防止用户业务系统遭受各种灾难影响及破坏的计算机系统。容灾还表现为一种未雨绸缪的主动性,而不是在灾难发生后的“亡羊补牢”。 从狭义的角度,我们平常所谈论的容灾是指:除了生产站点以外,用户另外建立的冗余站点,当灾难发生,生产站点受到破坏时,冗余站点可以接管用户正常的业务,达到业务不间断的目的。为了达到更高的可用性,许多用户甚至建立多个冗余站点。 容灾系统是指在相隔较远的异地,建立两套或多套功能相同的IT系统,互相之间可以进行健康状态监视和功能切换,当一处系统因意外(如火灾、地震等)停止工作时,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作。容灾技术是系统的高可用性技术的一个组成部分,容灾系统更加强调处理外界环境对系统的影响,特别是灾难性事件对整个IT节点的影响,提供节点级别的系统恢复功能。 要实现容灾,首先要了解哪些事件可以定义为灾难?典型的灾难事件是自然灾难,如火灾、洪水、地震、飓风、龙卷风、台风等;还有其它如原提供给业务运营所需的服务中断,出现设备故障、软件错误、网络中断和电力故障等等;此外,人为的因素往往也会酿成大祸,如操作员错误、破坏、植入有害代码和病毒袭击等。现阶段,由于信息技术正处在高速发展的阶段,很多生产流程和制度仍不完善,加之缺乏经验,这方面的损失屡见不鲜。 容灾的七个层次 等级1: 被定义为没有信息存储的需求,没有建立备援硬件平台的需求,也没有发展应急计划的需求,数据仅在本地进行备份恢复,没有数据送往异地。这种方式是成本最低的灾难恢复解决方案,但事实上这种恢复并没有真正达到灾难恢复的能力。 一种典型等级1方式就是采用本地磁带库自动备份方案,通过制定相关的备份策略,可以实现系统等级1备份。 等级2: 是一种为许多站点采用的备份标准方式。数据在完成写操作之后,将会送到远离本地的地方,同时具备有数据恢复的程序。在灾难发生后,在一台未启动的计算机上重新完成。系统和数据将被恢复并重新与网络相连。这种灾难恢复方案相对来说成本较低,但同时有难以管理的问题,即很难知道什么样的数据在什么样的地方。这种情况下,恢复时间长短依赖于何时硬件平台能够被提供和准备好。
emc存储容灾技术解决方案
EMC VNX5400 存储容灾技术解决方案 2017年8月 易安信电脑系统(中国)有限公司 .1
一、需求分析 随着各行业数字化进程的推进,数据逐渐成为企事业单位的运营核心,用户对承载数据的存储系统的稳定性要求也越来越高。虽然不少存储厂商能够向用户提供稳定性极高的存储设备,但还是无法防止各种自然灾难对生产系统造成不可恢复的毁坏。为了保证数据存取的持续性、可恢复性和高可用性,远程容灾解决方案应运而生,而远程复制技术则是远程容灾方案中的关键技术之一。 远程复制技术是指通过建立远程容灾中心,将生产中心数据实时或分批次地复制到容灾中心。正常情况下,系统的各种应用运行在生产中心的计算机系统上,数据同时存放在生产中心和容灾中心的存储系统中。当生产中心由于断电、火灾甚至地震等灾难无法工作时,则立即采取一系列相关措施,将网络、数据线路切换至容灾中心,并且利用容灾中心已经搭建的计算机系统重新启动应用系统。 容灾系统最重要的目标就是保证容灾切换时间满足业务连续性要求,同时尽可能保持生产中心和容灾中心数据的连续性和完整性,而如何解决生产中心到容灾中心的数据复制和恢复则是容灾备份方案的核心内容。 本方案采用EMC MirrorView 复制软件基于磁盘阵列(VNX5300-VNX5400)的数据复制技术。它是由磁盘阵列自身实现数据的远程复制和同步,即磁盘阵列将对本系统中的存储器写I/O操作复制到远端的存储系统中并执行,保证生产数据和备份数据的一致性。由于这种方式下数据复制软件运行在磁盘阵列内,因此较容易实现生产中心和容灾容灾中心的生产数据和应用数据或目录 .2
的实时拷贝维护能力,且一般很少影响生产中心主机系统的性能。如果在容灾中心具备了实时生产数据、备用主机和网络环境,那么就可以当灾难发生后及时开始业务系统的恢复。 .3
数据中心容灾备份方案
数据保护系统 医院备份、容灾及归档数据容灾 解决方案
1、前言 在医院信息化建设中,HIS、PACS、RIS、LIS 等临床信息系统得到广泛应用。医院信息化HIS、LIS 和PACS 等系统是目前各个医院的核心业务系统,承担了 病人诊疗信息、行政管理信息、检验信息的录入、查询及监控等工作,任何的系统停机或数据丢失轻则降低患者的满意度、医院的信誉丢失,重则引起医患纠纷、法律问题或社会问题。为了保证各业务系统的高可用性,必须针对核心系统建立数据安全保护,做到“不停、不丢、可追查”,以确保核心业务系统得到全面保护。 随着电子病历新规在 4 月 1 日的正式施行,《电子病历应用管理规范(试行)》要求电子病历的书写、存储、使用和封存等均需按相关规定进行,根据规范,门(急)诊电子病历由医疗机构保管的,保存时间自患者最后一次就诊之日起不少于15 年;住院电子病历保存时间自患者最后一次出院之日起不少于30 年。
2、医院备份、容灾及归档解决方案 针对医疗卫生行业的特点和医院信息化建设中的主要应用,包括:HIS、PACS、RIS、LIS 等,本公司推出基于数据保护系统的多种解决方案,以达到对医院信息化系统提供全面的保护以及核心应用系统的异地备份容灾 2.1 数据备份解决方案 针对于医院的HIS、PACS、LIS 等服务器进行数据备份时,数据保护系统的备份架构采用三层构架。 备份软件主控层(内置一体机):负责管理制定全域内的备份策略和跟踪客户端的备份,能够管理磁盘空间和磁带库库及光盘库,实现多个客户端的数据备份。备份软件主服务器是备份域内集中管理的核心。 客户端层(数据库和操作系统客户端):其他应用服务器和数据库服务器安装备份软件标准客户端,通过这个客户端完成每台服务器的LAN 或LAN-FREE 备份工作。另外,为包含数据库的客户端安装数据库代理程序,从而保证数据库的在线热备份。
灾备中心数据容灾解决方案
财政灾备中心数据容灾解决方案 上海浪擎科技有限公司售前咨询部2012年8月25日
目录 1. 统一统筹,责任分明................................... 错误!未定义书签。2.浪擎灾备中心设计 (3) 2.1 灾备中心网络设计 (3) 2.2 两级监管的优势 (4) 2.3 横向扩展—支撑更多的用户 (5) 2.4 浪擎灾备软件的容灾优势 5 3.附件: (10) 2.4 附件1:部分案例介绍 (10) 1.统一统筹,分级管理
众所周知,集中建设备份中心的目的很明确,就是要本着少花钱多办事的原则,为全区域的各政府部门建立起一个共享的灾备平台,统一规划,节省投资。灾备中心共享化的确是一种符合政府信息化需求特点的建设趋势,即建成后将用一个灾备中心同时满足多个政府部门的数据备份保护需求。同时,灾备是一项长效的、专业的系统工程,只有专业的管理和服务才能将产品、技术、运维、演练有机结合,才能真正将灾备落到实处。然而各政府部门用户普遍“人少事多”,在规划和建设灾难备份和恢复系统时,经常面临着许多同样的困惑,例如对灾难恢复建设不熟悉、没经验,管理、技术、运维都面临调整、垂直行业无标准或标准混乱;投资保护和长远规划难于兼顾等等。因此,集中建立一个共享的灾备平台,实现专业人员集中管理,将灾备作为一种既统一管理、又可自主选择灾备级别的服务提供给各委办局使用,能从根本上避免“建而不管,备未无患”的尴尬,同时因为采用共享式灾备,可以极大的节约灾备中心的软硬件投入。 可见,建立集中的政府灾备中心,确实是一件有很大价值的好事儿。 但另一方面,随着部份地区的探索和实践,也发现政府异地灾备份中心与普遍意义的数据(灾备)中心在建设上存在着较大差异,建设和管理还存在很多难处。由区域政府牵头来建设灾备份中心,其核心难度在于:各条块、各委办局IT系统建设程度不一,数据存储形式复杂。因此如何搭建起一个同时满足各种不同复杂需求的统一灾备中心,并如何将灾备作为一种统一的、可选择的服务提供给各委办局使用,的确是一件非常“棘手”的任务。 结合多年的实际经验,浪擎科技对政府异地备份建设进行了一个小小的总结: 政府异地备份一般由灾备中心、委办局单位、备份系统、管理制度等组成。浪擎科技的建设经验证明,由于多家单位牵涉其中,在灾备系统建设之初就应理顺各方关系,协调好责任与义务。 上海浪擎信息科技有限公司是一家专注于存储、备份与容灾领域解决方案研发的公司,建设了多个大型的政府异地备份系统结合多年的实际经验,浪擎科技对政府异地备份建设进行了一个小小的总结: 政府异地备份一般由灾备中心、委办局单位、备份系统、管理制度等组成。浪擎科技的建设经验证明,由于多家单位牵涉其中,在灾备系统建设之初就应理顺各方关系,协调好责任与义务。 2.浪擎灾备中心设计 2.1灾备中心网络设计 目前政府电子政务网络由政务内网和政务外网构成。政府灾备可以选择电子政务网络作为灾备的基础网络,对于涉密的系统可经由政务内网传输;对于非涉密的系统可经由政务外网传输。数据量特别大的单位可架设专网接入灾备中心。
六种数据库容灾方案
六种数据库容灾方案 1、经典方案,即双机ha,单盘阵的环境。 简单的说,双机热备就是用两台机器,一台处于工作状态,一台处于备用状态,但备用状态下,也是开机状态,只是开机后没有进行其他的操作。打个比方来说,在网关处架上两台频宽管理设备,将两台的配置设定为一致,只是以一台的状态为主,一台为次。主状态下的频宽管理设备工作,处理事件,次状态下的频宽管理设备处于休眠,一旦主机出现故障,备用频宽管理设备将自动转为工作状态,代替原来的主机。这就是“双机热备”。 2、单机双盘阵(os层镜像)。针对某些用户的双盘阵冗余的需求,我提出了在os层安装卷管理软件,用软件对两台盘阵做镜像的方案,但只有单机工作,一台盘阵挂了,因为os层的软raid的作用,系统仍然可以工作。 3、双机双柜(os层镜像)方案,这个方案,仍然是用os层做镜像,但是用了双机ha,这种方式有个尚未确认的风险,非纯软方式的ha要求主机有共享的存储系统。一台机器对盘阵lun做的镜像虚拟卷,是否也适用另一台主机,也就是说,a主机做的镜像,b主机接管后,是否会透明的认出a机做镜像之后的逻辑虚拟卷,如果ab两主机互相都能认,那么就是成功的方案!! 4、双机双柜(底层镜像)。这种方案,虽然共享的lun不是在一台物理盘阵上,但是被底层存储远程镜像到另一台盘阵上,能保持数据的一致性
5、双机双柜纯软方式HA。这种方案,主机装纯软HA软件,虽然纯软不需要外接盘阵,但是接了盘阵,照样可行。 6、双机双柜(hacmp geo),其实geo大体上就是个类似于纯软HA的软件。
数据库安全 (一)数据库安全的定义 数据库安全包含两层含义:第一层是指系统运行安全,系统运行安全通常受到的威胁如下,一些网络不法分子通过网络,局域网等途径通过入侵电脑使系统无法正常启动,或超负荷让机子运行大量算法,并关闭cpu风扇,使cpu过热烧坏等破坏性活动;第二层是指系统信息安全,系统安全通常受到的威胁如下,黑客对数据库入侵,并盗取想要的资料。 编辑本段 (二)数据库安全的特征 数据库系统的安全特性主要是针对数据而言的,包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。下面分别对其进行介绍 1.数据独立性 数据独立性包括物理独立性和逻辑独立性两个方面。物理独立性是指用户的应用程序与存储在磁盘上的数据库中的数据是相互独立的;逻辑独立性是指用户的应用程序与数据库的逻辑结构是相互独立的。 2.数据安全性 操作系统中的对象一般情况下是文件,而数据库支持的应用要求更为精细。通常比较完整的数据库对数据安全性采取以下措施: (1)将数据库中需要保护的部分与其他部分相隔。 (2)采用授权规则,如账户、口令和权限控制等访问控制方法。 (3)对数据进行加密后存储于数据库。 3.数据完整性 数据完整性包括数据的正确性、有效性和一致性。正确性是指数据的输入值与数据表对应域的类型一样;有效性是指数据库中的理论数值满足现实应用中对该数值段的约束;一致性是指不同用户使用的同一数据应该是一样的。保证数据的完整性,需要防止合法用户使用数据库时向数据库中加入不合语义的数据 4.并发控制 如果数据库应用要实现多用户共享数据,就可能在同一时刻多个用户要存取数据,这种事件叫做并发事件。当一个用户取出数据进行修改,在修改存入数据库之前如有其它用户再取此数据,那么读出的数据就是不正确的。这时就需要对这种并发操作施行控制,排除和避免这种错误的发生,保证数据的正确性。 5.故障恢复 由数据库管理系统提供一套方法,可及时发现故障和修复故障,从而防止数据被破坏。数据库系统能尽快恢复数据库系统运行时出现的故障,可能是物理上或是逻辑上的错误。比如对系统的误操作造成的数据错误等。 SQL server数据库安全策略 SQL Server2000[1]的安全配置在进行SQL Server2000数据库的安全配置之前,首先必须对操作系统进行安全配置,保证操作系统处于安全状态。然后对要使用的操作数据库软件(程序)进行必要的安全审核,比如对ASP、PHP等脚本,这是很多基于数据库的Web应用常出现的安全隐患,对于脚本主要是一个过滤问题,需要过滤一些类似“,;@/”等字符,防止破坏者构造恶意的SQL语句。接着,安装SQL Server2000后请打上最新SQL补丁SP3。 SQL Server的安全配置 1.使用安全的密码策略 我们把密码策略摆在所有安全配置的第一步,请注意,很多数据库账号的密码过于简单,这跟系统密码过于简单是一个道理。对于sa更应该注意,同时不要让sa账号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步,建议密码含有多种数字字母组合并9位以上。SQL Server2000安装的时候,如果是使用混合模式,那么就需要输入sa的密码,除非您确认必须使用空密码,这比以前的版本有所改进。同时养成定期修改密码的好习惯,数据库管理员应该定期查看是否有不符合密码要求的账号。 2.使用安全的账号策略 由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个账号进行最强的保
容灾备份-解决方案方法
容灾备份系统2010-8-11
一、项目背景 随着计算机技术的快速发展,每个企业都在大量的使用计算机处理自己的核心数据,这些数据往往是企业生产经营必不可少的部分。依赖这些数据的计算机系统的停机往往会造成企业生产经营活动的停顿,给企业造成巨大的损失。所以,可以说,这些数据是企业的生命核心。企业的IT管理员为了保证生产经营活动的持续运行,不断的加强对系统和数据的保护,如使用基于双机的高可用技术,磁盘阵列系统的RAID技术等。然而,人们依然无法回避由于磁盘故障,人为失误,应用程序的逻辑错误,自然灾害等原因带来的系统停机或者数据丢失。所以,数据备份作为数据保护的最后一道屏障,必不可少。 二、功能介绍 实时保护:连续捕获、实时备份数据变化,全过程保护数据安全。实现真正的持 续性数据保护(CDP),无需设置任何备份时间点,居国内外同类产品领先地位。 完善备份:同一软件可实现“数据库双机热备+接管”、“本地实时灾备”、“异 地实时灾备”,全方位保证数据库安全。 任意回退:可按任意操作步数或时间点进行数据回退。主数据库遭到破坏时,备 份数据库可将主数据库回退到损坏前最后时刻的状态,且能保证事件的完整性。 快速恢复:主数据库或表损坏,从站自动检测,提示回退的步数。恢复1个G数据 库在3-5分钟。 增量备份:只备份变化部分,在保障备份数据安全的同时减少备份的工作量。 错峰机制:在系统负荷极大时暂停备份以免系统瘫痪,当系统负荷下降时备份暂 停期间的数据,并重新开始实时备份。 低耗资源:对主数据库压力小,系统采用消息机制,只有灾数据库发生变化时才 触发,只传数据库的变化部分,不同于文件拷贝,和数据表的轮询。 操作简单:自主开发设计,着重考虑国内用户使用习惯,安装、设置非常简单。 维护方便:启动或连接中断后重连时,自动校验主从站数据,保证数据准确。 加密传输:底层通讯采用自主研发的通讯平台,所有数据都是用加密数据包进行 数据交换,充分保证数据安全。 高性价比:在各项性能领先的同时,价格远远优于国外软件。当选择不接管的热 容灾备份方式时,从站可采用低档Server或高稳定性的PC(有足够的存储空间即
数据容灾备份设计方案
数据容灾备份设计方案 1.1数据备份的主要方式 目前比较实用的的数据备份方式可分为本地备份异地保存、远程磁带库与光盘库、远程关键数据+定期备份、远程数据库复制、网络数据镜像、远程镜像磁盘等六种。 (1)本地备份异地保存 是指按一定的时间间隔(如一天)将系统某一时刻的数据备份到磁带、磁盘、光盘等介质上,然后及时地传递到远离运行中心的、安全的地方保存起来。 (2)远程磁带库、光盘库 是指通过网络将数据传送到远离生产中心的磁带库或光盘库系统。本方式要求在生产系统与磁带库或光盘库系统之间建立通信线路。 — (3)远程关键数据+定期备份 本方式定期备份全部数据,同时生产系统实时向备份系统传送数据库日志或应用系统交易流水等关键数据。 (4)远程数据库复制 生产系统相分离的备份系统上建立生产系统上重要数据库的一个镜像拷贝,通过通信线路将生产系统的数据库日志传送到备份系统,使备份系统的数据库与生产系统的数据库数据变化保持同步。 (5)网络数据镜像 是指对生产系统的数据库数据和重要的数据与目标文件进行监控与跟踪,并将对这些数据及目标文件的操作日志通过网络实时传送到备份系统,备份系统则根据操作日志对磁盘中数据进行更新,以保证生产系统与备份系统数据同步。 (6)远程镜像磁盘 利用高速光纤通信线路和特殊的磁盘控制技术将镜像磁盘安放到远 …
离生产系统的地方,镜像磁盘的数据与主磁盘数据以实时同步或实时异步方式保持一致。磁盘镜像可备份所有类型的数据。备份拓扑网络结构1.2(即东风东路院区中心机广州市第八人民医院具有两个不同地点的中心机房房和嘉禾院区中心机房),在这基础上是可以构建一个异地容灾的数据备份系统,以确保本单位的系统正常运营及对关键业务数据进行有效地保护,以下设计方案仅提供参考。嘉禾院区数据中心东风东院区数据中心 本方案中,我们采用EMC的CDP保护技术来实现数据的连续保护和容灾系统。 1.在东风东院区数据中心部署一台EMC 480统一存储平台,配置一个大容量光纤磁盘存储设备,作为整个系统数据集中存储平台。 2.在嘉禾院区数据中心部署一台EMC 480统一存储系统,配置一个大容量光纤磁盘存储设备,作为整个平台的灾备存储平台。 ) 3.两地各部署两台EMC RecoverPoint/SE RPA,采用CLR技术,即CDP(持续数据保护)+CRR(持续远程复制),实现并发的本地和远程数据保护。 4.在东风东院区数据中心本地采用EMC RecoverPoint/SE CDP(持续数据保护)技术实现本地的数据保护。. 5.两地采用EMC RecoverPoint/SE CRR(持续远程复制)技术,实现远程的数据保护。由于两地之间专线的带宽有限,可以采用EMC Recoverpoint/SE异步复制技术,将东风东院区数据中心EMC480上的数据定时复制到嘉禾院区数据中心。根据带宽的大小,如果后期专线带宽有所增加,RecoverPoint会自动切换同步、异步、快照时间点三种复制方式,尽最大可能保证数据的零丢失。 1.3本地数据数据保护(CDP)设计
道孚县人民法院大数据安全系统存储及备份容灾系统建设方案设计
道孚县人民法院 数据安全存储及备份容灾系统建设方案 一、建设意义 随着计算机的普及和信息技术的进步,特别是计算机网络的飞 速发展,信息安全的重要性日趋明显。但是作为信息安全的一个重 要内容数据备份的重要性却往往被人们所忽视。只要发生数据传输、数据存储和数据交换,就有可能产生系统失效、数据丢失或遭到破坏。如果没有采取数据备份和数据恢复手段与措施,就会导致数据 丢失或损毁,给数据中心造成的损失是无法弥补与估量的。 道孚县人民法院近年来越来越依赖于数据处理来进行管理及办公,对业务系统的依赖性也随之增加。我法院从2010年开始着重推 进信息化,但在进行信息化建设的同时灾难也随之潜伏进来,使得 业务系统在潜伏着威胁的环境里运行。因此在进行信息化建设过程 中保证法院的业务系统连续运行及数据处理的高可靠性和高可用性 已经成为首先要考虑。 二、我院可能面临的灾难事故风险 1、存储介质风险:,包括存储和服务器硬盘,设备老化,影响 数据安全,发生概率较高。 2、应用服务器风险:服务器硬件故障,影响应用业务间断,发 生概率比较高。 3、逻辑错误风险:受人为误操作,病毒,升级等因素。影响数 据和应用,发生概率非常高。 4、机房环境风险:机房断点,异常电压,灰尘,气温等,影 响数据和应用。 5、自然灾害风险:地震、火灾、动乱等发生将是彻底灾难事故。影响数据和应用。 如果不能对风险采取有效治理,一旦数据由于上述某种原因丢失,就有可能造成整个法院在管理及办公上的严重问题,法院的形 象也将受到影响。如果核心数据丢失,严重时完全有可能造成整个 法院的瘫痪。
三、我院现状 道孚县人民法院地处甘北入口之重县,目前下设三个派出法庭,在未来几年还将再建四个派出法庭。随着“数字法院”的建设发展,业务应用系统的增加现有的数据保障模式已无法满足我院及其派出 法庭的数据安全和应用持续性保护。 (1)道孚县人民法院机房业务环境有: 法院信息化管理系统,它包括:案件绩效评估系统,审判管理 系统,OA系统,邮件系统,人事系统等;科技法庭系统还在建设之中。全院服务器有两台,一台为数据库服务器,一台为中间件服务器,均为windows操作系统平台,数据库服务器由Sybase数据库支撑。 (2)道孚县法院存储数据主要类型: 1、日常材料的扫描图片; 2、服务器业务运行产生的文件; 3、以后科技法庭建成后所产生的大量音视频文件; (3)备份数据的主要类型: 1、日常材料的扫描件; 2、服务器操作系统; 3、服务器业务运行产生的文件; 4、应用模块产生的业务数据,数据库等; 由于各种环境因素和升级问题,法院系统可能会出现故障。随 着硬件使用逐渐老化,应用程序故障等其他问题,会导致系统时常 停顿。保障这些业务系统不间断运行,需要构建一套能够及时恢复 故障设备,应用高可用性保障系统。 四、方案设计要求 (1)异地容灾: 方案设计需考虑备份的数据往往会因为非人为操作错误外的其 他因素所影响而导致毁坏,如地震、火灾、丢失等。因此必须在不 同的地点建立备份系统。
(完整版)存储级数据容灾方案
1.用户现状与需求 1.1.用户IT系统现状 用户现有系统包括数据库、应用、WEB、邮件等系统,虽然是双机架构,但是其稳定性和可靠性都没有达到核心系统应该具备的标准,而且直连的存储架构对于性能和管理型都有一定的局限性。 业务数据是企业业务的生命线,如何保护好计算机系统里存储的数据,保证系统稳定可靠地运行,并为业务系统提供快捷可靠的访问,是系统建设中最重要的问题之一。为了保护业务系统的关键业务数据,我们必须对这些数据进行有效的备份,并支持快速恢复。 通过备份的方式将文件、数据库等重要数据做一个副本,只能在本地建立数据保护。但因意外(如火灾、地震等)停止工作时,随之而来的损失更是不可估量,为避免类似风险的存在,就需要建立异地容灾系统,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作,保证业务稳定运行。 1.2.用户需求 1.2.1.建设目标 从容灾的级别来说,可以规划数据级容灾和应用级容灾,根据业务种类多,业务方式多样化的特点,仅建设一个数据级容灾是不够,容灾发生时,业务快速的恢复是容灾系统的一大需求。应用级容灾是建立在数据级容灾的基础上,在容灾切换时,除了切换核心的数据库数据外,还包含了IP地址切换(按客户需要选择),中间件服务,用户级业务。应用级容灾从流程上实现了全业务的连续性需求。 从我们的灾难系统建设经验出发,xxx有限公司可以考虑以下业务连续性计划目标:RPO(最大允许数据丢失时间):零数据丢失 RTO(最大允许宕机时间):30分钟
应用级容灾需求 1.2.2.需求分析 用户需要保障数据的长期安全可靠的,数据对于灾难的安全性和可恢复性:灾难切换时间要求灾难系统切换时间不超过30分钟,最好在10分钟内实现。 多种灾难切换方式提供自动灾难系统切换和手动灾难切换方式 计划内维护要求提供计划内维护支持能力,计划内维护切换时间不多于10分钟 数据丢失性要求原则上要求零数据丢失,可以依据情况进行调整 数据同步方式提供同步和异步两种方式 备份和灾难备份方式采用物理备份方式实现 物理部件失败要求支持部分磁盘,文件系统,主机,磁盘柜等各种物理部件失败导致的失败保护。 站点失败要求支持由于火灾,电力以及其他因素导致站点失败的数据保护。 逻辑失败要求支持由于数据块腐败导致的数据库无法启动,数据丢失等逻辑失败保护 人类错误失败要求支持由于人类误操作以及入侵等导致人类错误失败导致的数据保护或者恢复。 生产系统的性能影响要求生产系统性能影响不超过5% 生产系统可用性要求容灾系统不会降低生产系统可用性 网络链路分钟级别短暂故障要求不会对生产系统产生影响 网络链路小时级别长期故障要求不会对生产系统产生影响 网络链路密集的秒级别短暂故障要求不会对生产系统产生影响 网络链路容错支持网络链路的容错,可以利用网络的备份链路,比如多路网卡等灾难系统的硬件故障由于灾难系统硬件故障导致的灾难系统不可用不会对生产系统产生影响,比如网卡,磁盘以及控制卡等 灾难系统的软件故障由于灾难系统软件故障导致的灾难系统不可用不会对生产系统产生影响,比如灾难系统管理软件部件等 网络协议采用IP网络实现
存储级数据容灾方案
1.用户现状与需求 1.1.用户系统现状 用户现有系统包括数据库、应用、、邮件等系统,虽然是双机架构,但是其稳定性和可靠性都没有达到核心系统应该具备的标准,而且直连的存储架构对于性能和管理型都有一定的局限性。 业务数据是企业业务的生命线,如何保护好计算机系统里存储的数据,保证系统稳定可靠地运行,并为业务系统提供快捷可靠的访问,是系统建设中最重要的问题之一。为了保护业务系统的关键业务数据,我们必须对这些数据进行有效的备份,并支持快速恢复。 通过备份的方式将文件、数据库等重要数据做一个副本,只能在本地建立数据保护。但因意外(如火灾、地震等)停止工作时,随之而来的损失更是不可估量,为避免类似风险的存在,就需要建立异地容灾系统,整个应用系统可以切换到另一处,使得该系统功能可以继续正常工作,保证业务稳定运行。 1.2.用户需求 1.2.1.建设目标 从容灾的级别来说,可以规划数据级容灾和应用级容灾,根据业务种类多,业务方式多样化的特点,仅建设一个数据级容灾是不够,容灾发生时,业务快速的恢复是容灾系统的一大需求。应用级容灾是建立在数据级容灾的基础上,在容灾切换时,除了切换核心的数据库数据外,还包含了地址切换(按客户需要选择),中间件服务,用户级业务。应用级容灾从流程上实现了全业务的连续性需求。 从我们的灾难系统建设经验出发,有限公司可以考虑以下业务连续性计划目标:(最大允许数据丢失时间):零数据丢失 (最大允许宕机时间):30分钟 应用级容灾需求
1.2.2.需求分析 用户需要保障数据的长期安全可靠的,数据对于灾难的安全性和可恢复性:灾难切换时间要求灾难系统切换时间不超过30分钟,最好在10分钟内实现。 多种灾难切换方式提供自动灾难系统切换和手动灾难切换方式 计划内维护要求提供计划内维护支持能力,计划内维护切换时间不多于10分钟 数据丢失性要求原则上要求零数据丢失,可以依据情况进行调整 数据同步方式提供同步和异步两种方式 备份和灾难备份方式采用物理备份方式实现 物理部件失败要求支持部分磁盘,文件系统,主机,磁盘柜等各种物理部件失败导致的失败保护。 站点失败要求支持由于火灾,电力以及其他因素导致站点失败的数据保护。 逻辑失败要求支持由于数据块腐败导致的数据库无法启动,数据丢失等逻辑失败保护 人类错误失败要求支持由于人类误操作以及入侵等导致人类错误失败导致的数据保护或者恢复。 生产系统的性能影响要求生产系统性能影响不超过5% 生产系统可用性要求容灾系统不会降低生产系统可用性 网络链路分钟级别短暂故障要求不会对生产系统产生影响 网络链路小时级别长期故障要求不会对生产系统产生影响 网络链路密集的秒级别短暂故障要求不会对生产系统产生影响 网络链路容错支持网络链路的容错,可以利用网络的备份链路,比如多路网卡等灾难系统的硬件故障由于灾难系统硬件故障导致的灾难系统不可用不会对生产系统产生影响,比如网卡,磁盘以及控制卡等 灾难系统的软件故障由于灾难系统软件故障导致的灾难系统不可用不会对生产系统产生影响,比如灾难系统管理软件部件等 网络协议采用网络实现 网络带宽一般的百兆或者千兆带宽
ibm存储容灾方案v
i b m存储容灾方案v This manuscript was revised by the office on December 22, 2012
存储容灾解决方案 目录
一、概述 1.1信息系统现状 1.1.1存储系统现状 目前业务系统主要应用系统有文件服务器(windows )、应用服务器(windows )、邮件服务器(windows )、防病毒服务器(windows )、HR 服务器(windows )和ERP 服务器(SUN 小机)。目前应用系统均运行在独立的服务器中,一方面服务器本身容量空间有限,随着业务数据的不断增长,空间已基本饱和,另一方面数据安全性没有保障,服务器故障将面临整个业务系统数据丢失(单台服务器故障,怎么会造成整个数据丢失)。应用系统的高性能存储空间及数据保护工作是信息中心最为重视的 现有存储系统情况统计:(表格把客户目前服务型号及硬盘分布要写的详细些,表格我会提供) 序号 系统组成 系统类型/存储方式(位置) 现有磁盘阵列及类型、容量 1 文件服务器 Windows/本地 // 2 应用服务器 Windows/本地 3 邮件服务器 Windows/本地 4 防病毒服务器 Windows/本地 5 HR 服务器 Windows/本地 6 ERP 服务器 SUN 小机/本地 从上表情况来看,所有业务系统的数据都存放在本地硬盘上,本地硬盘存储具有如下缺陷: 单硬盘或者原始RAID 方式,故障率高,安全性低。 性能低下,影响应用主机性能。 磁盘容量性能扩展性差。 只能通过与之连接的主机进行访问。 每一个主机管理它本身的文件系统,但不能实现与其他主机共享数据。 数据分散,管理复杂。
异地容灾解决方案
存储升级整合与迁移方案规划建议书
目录 1. 方案总体规划 (4) 1.1存储现状及问题 (4) 2. 方案架构和选型分析 (6) 2.1高端存储平台选型论证 (6) 2.2整体方案及拓扑结构 (10) 2.3本次推荐的VSP及原有USP配置及容量规划 (11) 2.3.1 现有USP硬件配置及升级后配置情况 (11) 2.3.2 现有USP软件配置及升级后配置情况 (11) 2.3.3 新购VSP硬件配置情况 (11) 2.3.4 新购VSP软件配置情况 (12) 3. 数据迁移及服务 (13) 3.1数据迁移概述 (13) 3.1.1 当前系统架构 (13) 3.1.2 存储迁移架构 (13) 3.1.3 TrueCopy项目实施工作表 (14) 3.1.4 HUR项目实施工作表 (15) 3.1.5 ShadowImage项目实施工作表 (17) 4. 项目灾难备份演练、切换策略 (19) 4.1灾难备份演练策略 (19) 4.2灾难备份演练概述 (19) 4.2.1 灾难备份演练的目的 (19) 4.2.2 灾难备份演练的方法 (19) 4.3灾难备份切换策略 (21) 4.3.1 灾难备份切换概述 (21) 4.3.2 灾难备份切换策略 (21) 4.3.3 灾难切换及完整地意义的灾难恢复 (21) 4.3.4 灾难备份系统在技术层面可能存在的恢复缺陷 (22) 4.3.5 关键业务系统灾难恢复方案 (22) 5. 方案总结与介绍 (24) 5.1HDS存储方案特点 (24) 5.2HDS VSP高端存储指标和关键技术 (26) 5.2.1 存储虚拟化功能 (28) 5.2.2 存储逻辑分区技术 (29) 5.2.3 通用复制(UR)软件技术 (30) 5.3HDS VSP高端存储指标 (32)
分布式存储系统设计方案——备份容灾
分布式存储系统设计方案——备份容灾 在分布式存储系统中,系统可用性是最重要的指标之一,需要保证在机器发生故障时,系统可用性不受影响,为了做到这点,数据就需要保存多个副本,并且多个副本要分布在不同的机器上,只要多个副本的数据是一致的,在机器故障引起某些副本失效时,其它副本仍然能提供服务。本文主要介绍数据备份的方式,以及如何保证多个数据副本的一致性,在系统出现机器或网络故障时,如何保持系统的高可用性。 数据备份 数据备份是指存储数据的多个副本,备份方式可以分为热备和冷备,热备是指直接提供服务的备副本,或者在主副本失效时能立即提供服务的备副本,冷备是用于恢复数据的副本,一般通过Dump的方式生成。 数据热备按副本的分布方式可分为同构系统和异步系统。同构系统是把存储节点分成若干组,每组节点存储相同的数据,其中一个主节点,其他为备节点;异构系统是把数据划分成很多分片,每个分片的多个副本分布在不同的存储节点,存储节点之间是异构的,即每个节点存储的数据分片集合都不相同。在同构系统中,只有主节点提供写服务,备节点只提供读服务,每个主节点的备节点数可以不一样,这样在部署上会有更大的灵活性。在异构系统中,所有节点都是可以提供写服务的,并且在某个节点发生故障时,会有多个节点参与故障节点的数据恢复,但这种方式需要比较多的元数据来确定各个分片的主副本所在的节点,数据同步机制也会比较复杂。相比较而言,异构系统能提供更好的写性能,但实现比较复杂,而同构系统架构更简单,部署上也更灵活。鉴于互联网大部分业务场景具有写少读多的特性,我们选择了更易于实现的同构系统的设计。 系统数据备份的架构如下图所示,每个节点代表一台物理机器,所有节点按数据分布划分为多个组,每一组的主备节点存储相同的数据,只有主节点能提供写服务,主节点负责把数据变更同步到所有的备节点,所有节点都能提供读服务。主节点上会分布全量的数据,所以主节点的数量决定了系统能存储的数据量,在系统容量不足时,就需要扩容主节点数量。在系统的处理能力上,如果是写能力不足,只能通过扩容主节点数来解决;而在写能力不足时,则可以通过增加备节点来提升。每个主节点拥有的备节点数量可以不一样,这在各个节点的数据热度不一样时特别有用,可以通过给比较热的节点增加更多的备节点实现用更少的资源来提升系统的处理能力。
IBM-数据级容灾解决方案.
1、基于软件的数据备份技术 在应用软件进行灾难备份的解决方案中,应从下面三个层次考虑:用户应用程序 客户机软件 数据库引擎 其中用户应用程序和客户机软件一般不包含关键数据,几乎所有数据都由数据库引擎管理并放置在数据库服务器中。在这三者之中,数据库中的数据保护最为重要。 一般情况下,用户应用程序和客户机软件只需要将其执行代码和参数配置文件做以备份,当灾难发生时,可以通过这些备份重新安装和配置用户应用程序和客户机软件。 对数据库的备份,如果采用硬件级灾难备份有两种方法:一是采用备份的方法,即定期地将数据备份到硬盘和磁带/磁带库上,这些磁带可以通过运输的方式运到远程,以防磁带在本地的灾难中发生毁坏。这种方法的缺陷是实时性较差,恢复时间较长;另一种做法就是硬件镜像的做法,这种做法在硬件的投资上较大,对两点间的网络带宽有较大的要求。那么,有没有一种两者兼顾的解决方案呢?数据库产品提供的数据库复制技术就是一种两者兼顾的灾难备份解决方案。在前面提到的灾难恢复方案的7个层次中属于第5或第6层次。 数据库复制技术在数据库级别的灾难备份解决方案中可以实现远程容灾。目前已有的产品有IBM DB2 HADR、IBM INFORMIX HDR以及ORACLE DATA GUARD。 IBM DB2 HADR是High Availability Disaster Recovery 的缩写,HADR 将HA(高可用性)和INFORMIX DR的技术紧密结合起来。INFORMIX HDR是High Availability Data Replication的缩写。
HDR的工作原理是通过将主数据库服务器(简称为A)的逻辑日志缓冲区复制到备份数据库服务器(简称为B),而且能在主数据库服务器操作失败时自动切换到备份数据库服务器。复制方式有同步方式和异步方式两种。我们将在下面详细介绍HDR的工作原理以及同步方式和异步方式。 正常状态下,主数据库服务器做数据库的读写操作,备份数据库服务器为只读方式。当主数据库服务器失败时,备份数据库服务器会自动接管主数据库服务器的事务处理。此时,备份数据库服务器作为主数据库服务器进行数据库的读写操作。当主数据库服务器被修复后,主数据库服务器作为新的备份数据库服务器。
数据库容灾、复制解决方案全分析(绝对精品)
数据库容灾、复制解决方案全分析(绝对精品) 目前,针对oracle数据库的远程复制、容灾主要有以下几种技术或解决方案: (1)基于存储层的容灾复制方案 这种技术的复制机制是通过基于SAN的存储局域网进行复制,复制针对每个IO进行,复制的数据量比较大;系统可以实现数据的同步或异步两种方式的复制.对大数据量的系统来说有很大的优势(每天日志量在60G以上),但是对主机、操作系统、数据库版本等要求一致,且对络环境的要求比较高。 目标系统不需要有主机,只要有存储设备就可以,如果需要目标系统可读,需要额外的配置和设备,比较麻烦。 (2)基于逻辑卷的容灾复制方案 这种技术的机制是通过基于TCP/IP的网络环境进行复制,由操作系统进程捕捉逻辑卷的变化进行复制。其特点与基于存储设备的复制方案比较类似,也可以选择同步或异步两种方式,对主机的软、硬件环境的一致性要求也比较高,对大数据量的应用比较有优势。其目标系统如果要实现可读,需要创建第三方镜像。个人认为这种技术和上面提到的基于存储的复制技术比较适合于超大数据量的系统,或者是应用系统的容灾复制。 我一直有一个困惑,存储级的复制,假如是同步的,能保证数据库所有文件一致吗?或者说是保证在异常发生的那一刻有足够的缓冲来保障? 也就是说,复制的时候起文件写入顺序和oracle的顺序一致吗?如果不一致就可能有问题,那么是通过什么机制来实现的呢? 上次一个存储厂商来讲产品,我问技术工程师这个问题,没有能给出答案 我对存储级的复制没有深入的研究过,主要是我自己的一些理解,你们帮我看一下吧…… 我觉得基于存储的复制应该是捕捉原系统存储上的每一个变化,而不是每隔一段时间去复制一下原系统存储上文件内容的改变结果,所以在任意时刻,如果原系统的文件是一致的,那么目标端也应该是一致的,如果原系统没有一致,那目标端也会一样的。形象一点说它的原理可能有点像raid 0,就是说它的写入顺序应该和原系统是一样的。不知道我的理解对不对。另外,在发生故障的那一刻,如果是类似断电的情况,那么肯定会有缓存中数据的损失,也不能100%保证数据文件的一致。一般来说是用这种方式做oracle的容灾备份,在发生灾难以后目标系统的数据库一般是只有2/3的机会是可以正常启动的(这是我接触过的很多这方面的技术人员的一种说法,我没有实际测试过)。我在一个移动运营商那里看到过实际的情况,他们的数据库没有归档,虽然使用了存储级的备份,但是白天却是不做同步的,只有在晚上再将存储同步,到第二天早上,再把存储的同步断掉,然后由另外一台主机来启动目标端存储上的数据库,而且基本上是有1/3的机会目标端数据库是起不来的,需要重新同步。 所以我觉得如果不是数据量大的惊人,其他方式没办法做到同步,或者要同时对数据库和应用进行容灾,存储级的方案是没有什么优势的,尤其是它对网络的环境要求是非常高的,在异地环境中几乎不可能实现。
数据容灾备份方案
山西新景矿煤业有限责任公司数据灾备解决方案 2017年10月
目录 第1章需求分析 (3) 1.1用户简介 (3) 1.2需求描述 (3) 1.3方案目标 (5) 第2章技术方案 (7) 2.1全局拓扑 (7) 2.2(人员定位、产量监控、自动化平台)应用级双活容灾设计——镜像系统 (7) 2.3(网站、OA、虹膜系统等)数据级容灾设计——实时备份 (8) 2.4功能展示 (8) 2.4.1全自动化追逐式全量 (8) 2.4.2实时增量复制 (9) 2.4.3切换 (9) 2.4.4回切 (9) 2.4.5日常维护 (9) 2.5镜像系统.在线式应用级容灾系统产品优势 (10) 2.5.1所见即所得的容灾 (10) 2.5.2应用级的复制技术 (10) 2.5.3实施无需停顿业务系统 (10) 2.5.4主备系统硬件规格无需一致 (10) 2.5.5对网络带宽消耗非常小 (10) 2.5.6其他 (11) 2.6实时备份.数据级备份系统产品优势 (11) 2.6.1全功能全平台 (11) 2.6.2实时、定时备份 (11) 2.6.3任意时间点还原 (12) 2.6.4其他 (12) 2.7Y系MCenter平台.可持续运维平台 (13) 2.8方案配置 (14) 2.8.1软件模块 (14) 2.8.2硬件模块 (14) 第3章项目预算清单 (16)
第1章需求分析 1.1用户简介 新景矿是国家"八五"、"九五"重点能源建设项目之一,前身为阳煤集团三矿改扩建区。1997年8月试生产,井口定名三矿新井,隶属三矿管理。1998年10月阳煤集团为建立高产、高效矿井,以"阳煤党发【1998】398号"文《关于成立新景矿及新井党委的通知》将三矿新井从三矿分离出来,成立新景矿。 随着企业社会信息化的发展,众多业务系统的运行,必然会产生大量的数据,而这些数据作为各行各业最重要的资源,越来越受到人们重视。同样,由于数据量的增加和新业务的不断涌现,如何确保数据的安全性、可用和可靠性;如何确保业务系统的可持续性运行;如何实现数据的集中管理,建立便捷维护的平台也是目前所面临的一个重要问题。 1.2需求描述 ?简述 根据与用户的沟通,我们初步了解到客户的实际环境业务系统众多,其中人员定位系统、产量监控系统、生产自动化平台均采用集群方式,也是本企业的核心应用系统,其他诸如网站、OA、虹膜等系统均为单机运行。具体环境见下方调研表: ?容灾环境调研表