数据安全方案0001

1、 双机热备

2、 磁带（库）、虚拟带库备份 3、 数据双活 4、 异地备份 5、 两地三中心

一、双机热备方案

双机热备针对的是服务器的临时故障所做的一种备份技术， 通过双机热备， 来避免长时间的服务中断，保证系统长期、可靠的服务。

1. 集群技术

在了解双机热备之前，我们先了解什么是集群技术。

集群（ Cluster ）技术是指一组相互的计算机， 利用高速通信网络组成一个 计算机系统，每个群集节点（即集群中的每台计算机）都是运行其自己进程的 一个服务器。这些进程可以彼此通信，对网络客户机来说就像是形成了一 个单一系统，协同起来向用户提供应用程序、系统资源和数据，并以单一系统 的模式加以管理。一个客户端（ Client ）与 集 群 相 互作 用 时 ， 集群像是一 个的服务器。计算机集群技术的出发点是为了提供更高的可用性、可管理 性、可伸缩性的计算机系统。一个集群包含多台拥有共享数据存储空间的服务 器，各服务器通过内部局域网相互通信。当一个节点发生故障时，它所运行的 应用程序将由其他节点自动接管。其中，只有两个节点的高可用集群又称为双 机热备，即使用两台服务器互相备份。当一台服务器出现故障时，可由另一台 服务器承担服务任务，从而在不需要人工干预的情况下，自动保证系统能持续 对外提供服务。可见，双机热备是集群技术中最简单的一种。

2.

双机热备适用对象 一般邮件服务器（不间断提供应用类的都适用）

是要长年累月工作的，且 为了工作上需要，其邮件备份工作就绝对少不了。有些企业为了避免服务器故 障产生数据丢失等现象，都会采用 RAID 技术和数据备份技术。但是数据备 份只能解决系统出现问题后的恢复；而 RAID 技术，又只能解决硬盘的问 题。我们知道，无论是硬件还是软件问题，都

会造成邮件服务的中断，而 RAID及数据备份技术恰恰就不能解决避免服务中断的问题。要恢复服务器，再 轻微的问题或者强悍的技术支持，服务器都要中断一段时间，对于一些需要随 时实时在线的用户而言，丢失邮件就等于丢失金钱，损失可大可小，这类用户 是很难忍受服务中断的。因此，就 需 要通 过 双 机热备 ， 来避免长时间的服 务中断，保证系统长期、可靠的服务。

3. 实现方案 双机热备有两种实现模式，一种是基于共享的存储设备的方

式，另一种是 没有共享的存储设备的方式，一般称为纯软件方式。

1） 基于共享的存储设备的方式

基于存储共享的双机热备是双机热备的最标准方案。对于这种方式，

采用两台服务器（邮件系统同时运行在两台服务器上） ，使用共享的 存储 设 备磁 盘阵 列（邮件系统的数据都存放在该磁盘阵列中） 。 两台 服 务 器 可 以采 用互备 、主 从、 并行等不同的方式。在工作过程中，两台服务器 将以一个虚拟的 IP 地址对外提供服务，依工作方式的不同，将服务请求 发送给其中一台服务器承担。 同时，服务器通过心跳线（目 前 往 往

采用建立私有网络的方式)侦测 另一台服务器的工作状 况。当一台服务器出现故障时，另一台服务器根据心跳侦测的情况做出判 断，并进行切换，接管服务。对于用户而言，这 一过 程是全 自动 的，在 很短时间内完成，从而对业务不会造成影响。由于使用共享的存储设备， 因此两台服务器使用的实际上是一样的数据，由双机或集群软件对其进行 管理。优点：对于共享方式，数据库放在共享的存储设备上。当一台服务 器提供服务时，直接在存储设备上进行读写。而当系统切换后，另一 台 服务器 也 同 样 读 取 该 存 储 设 备 上 的 数 据 。 它 可 以 在 无 人 值守的情况下提供快速的切换，保证不会有数据丢失现象。 缺点： 增加了昂贵的存储设备投资，对于有实力的企业，可优先考虑该方式。

2) 纯软件方式

纯软件的方式，通过镜像软件，将数据可以实时复制到另一台服务器 上，这样同样的数据就在两台服务器上各存在一份，如果一台服务器出现 故障，可以及时切换到另一台服务器。

优点：

a. 避免了磁盘阵列的单点故障：对于双机热备，本身即是防范由于单

个设备的 故 障 导 致 服 务 中 断 ， 但 磁 盘 阵 列 恰 恰 又 形

成 了 一 个 新 的 单 点 。（ 比 如 ， 服 务器的可靠系数是

99.9%, 磁盘阵列的可靠系数 是 99.95%，则纯软双机的可靠系数是 1-99.9%x99.9%=99.99%，而基于磁盘 阵列的双机热备系统的可靠系

数则会是略低于 99.95%。

b. 节约投资：不需购买昂贵的磁盘阵列。

c. 不受距离的：两台服务器不需受 SCSI电缆的长度（光纤

通道的磁盘阵列也不受距离，但投资会大得多） 。这样 ，可以 更 灵活 地 部 署 服务 器，包括通过物理位置的距离来提高安全性。

缺点：

a. 可靠性相对较差， 两服务器间的数据实时复制是一个比较脆弱的

环 节。

b. 一旦某台服务器出现中断， 恢复后还要进行比较复杂的数据同步

恢 复。并且，这个时段系统处于无保护状态。

c. 没有事务机制，由于其复制是在文件和磁盘层进行的，复制是否成

功 不会影响数据库事务操作， 因此有出现数据不完整变化的情况， 这个存在着相 当的风险。

4. 配置

硬件：两台相同配置的服务器， 具体的要求大家可以根据各自的实际需要 来选择。

磁盘阵列，适用于采用共享的方式搭建双机热备系统。

集群软件： 搭建双机热备当然少不了集群软件。 在这里推荐集群软件

RoseHA,这个软 件包 括 心 跳 监 测 部 分 和 资 源 接 管 部 分 ，

心 跳 监 测 可 以 通 过

网 络 链 路 和 串 口 进 行，而且支持冗余链路，它们之间相互发送报文来告 诉对方自己当前的状态，如果在指定的时间内未收到对方发送的报文，那么就 认为对方失效，这时需启动资源接管模块来接管运行在对方主机上的资源或者 服务。另外在采用共享方式搭建的双机热备系统时， 可以采用微软 SERVER系统 企业版及以上版本自带功能实现。

二、磁带（库） 、虚拟带库备份

用户信息化最重要的是客户数据，任何系统都不会有 100%安全性，所以用 户需要做数据备份，以便信息系统出故障时，可以把数据还原出来，给用户把 损失降到最低。客户备份系统应由备份服务器、存储介质及专业备份软件构成， 备份对象为公司内部数据库（Oracle 、SQL Server ）、办公自动化数据、内部

WEB 文件及其他重要文件。

1、 备份系统系列设计原则

A、安全性原则： 在设计上完全保证系统的安全性和高可用性。在实施的过

程中，能在线安 装和部署，避免对现有的生产系统的影响。同时，存储管理软件安全性能 应在数据的传输，全寿命周期管理和应用存储系统管理员和操作员 各个层 次得到体现，满足用户的安全机制。

B、备份的开放性原则：

采取 Legato 备份软件采用开放磁带格式（ OTF），因此备份磁带格式与平台 无关，能保证磁带内容在异构服务器上可识别， 在更换备份服务器时， 保证 仍能读出数据。

C、备份的高可用性原则：

为了配合未来应用系统（ Oracle 数据库）的高可用集群， Legato 软件领 先、成熟的集群备份支持，可保证当服务器集群发生切换时，备份任务可不 中断进行。

D、可扩展性原则：

Legato 软件的备份功能，可无缝面向未来扩展。目前的备份方案为备份

到磁带， Legato 备份软件可支持先进的备份到磁盘技术，并且在恢复时，可以 同时从磁盘或者磁带进行系统恢复。存储管理软件需采用先进技术，以利 于整个系统的平滑升级。同时，必须考虑到今后存储环境的变化和灾难恢 复系统建立的需要。

E、可管理性与系统高效原则： 为保证数据存储的可管理性，减少管理的复

杂性。 采用先进的备份技术和先进 的备份系统软件，采用统一的管理机制，保证大数据量的一致性备份和高速切 换。提供高效的存储设备的管理能力和数据自动备份功能。

F、系统完整性原则： 作为数据存储系统的组成部分，本系统的各项设计从

整体考虑，协调各子 系统构成完整的数据存储管理系统。

G、系统成熟性原则：

存储管理软件必须稳定可靠，不能存在单点故障

H、投资有效原则：

系统方案应具有高性能价格比，具有较高实用性。

2、 存储备份系统连接示意图

存储备份连接示意图

3、 存储备份工作原理说明

如图所示，该方案设计的基本思想是采用 LAN备份的结构， 满足大容 量、高可靠、高可扩展的存储要求。磁盘阵列为原有设备，备份系统采用 先进的

Legato Networker 备份管理软件 , 对局域网的应用服务器通过 LAN 实现 LAN备份。通过 Networker 的管理，存储在磁盘阵列中的数据和每台 应用服务

器硬盘中的数据可以定时、分组的备份到虚拟磁带库中，为数据 保留一个副本，确保数据的安全、可靠。

A、 EMC Legato/Networker 备份管理软件

本地备份系统的核心是 NetWorker Server Network Edition for

Windows 主备份模块，它安装在性能高、工作稳定的备份服务器上，它对整个

备份系统进行监控和管理。对系统中的所有服务器，我们都安装一个备份的客户端。 LAN网络的服务器我们采用 LAN的备份方式备份到虚拟磁带库中。 对

Oracle 数据库 的在 线备份 可通 过相 应的 NetWorker Module for Oracle, Windows Client 数据库在线备份模块在线完成。 对 SQL数据库的

在线备份 可通过相应的 NetWorker Module for SQL, Windows Client 数据库 在线备份模块在线完成。如果未来有新的数据库服务器增加，只需要添加相 应的模块即可。对 Cluster 的双机，Legato Networker 看到的是一个虚拟主 机，所以在备份的时候，无论两台 Cluster 主机是否均正常工作，都不影响备 份进程。我们需要安装数据库在线备份模块，对 Oracle 数据库应用实现在 线备份；对重要的数据库服务器我们安装 Open File Manager 模块，他 能够在文件打开之前为数据保留一个时间点状态，这样就不会因为文件被 打开而影响备份。 Legato Networker 备份软件写入卷中的数据格式为

Open Tape 格式，与备份服务器的操作系统类型无关，当我们更换备份服 务器

的操作系统时，同样可以从原操作系统备份的数据卷中恢复数据。因 此备份磁带格式与平台无关，能保证磁带内容在异构服务器上可识别，在 更换备份服务器时， 保证仍能读出数据；上述方案为我们提供的数据备份基 本方案，设计的目的是采用业界最先进的备份技术完成对系统 数 据在 线 、 快速、有 效的磁带备份保护。同 时本方案还是系统扩充的基础， 可以 无 缝的 向 EMC

Legato/Networker 在未来提供的备份技术和备份产品 进行升级。 B、 SureSave 虚拟磁带库

采用 SureSave 虚拟磁带库作为备份设备， 充分利用备份软件的简单管理 性，虚拟磁带库大容量快速备份等先进的特性。为满足备份性能和备份设 备可靠性要求， 我们推荐使用 SureSave 虚拟磁带库作为备份设备， 用以将 磁盘阵列上的数据快速备份到虚拟磁带库中。 SureSave 虚拟磁带库特点： ◆ 可模拟多个包含机械手、磁带槽和磁带驱动器的标准磁带库设备； ◆ 可模拟多个的磁带机（ LTO等）；

◆ 模拟磁带库个数、磁带槽个数和磁带机个数可任意设定； ◆ 虚拟磁带容量可任意设定； ◆ 支持虚拟磁带的条码标识； ◆ 支持虚拟磁带归档功能；

◆ 冗余电源、风扇和具有 RAID保护的存储系统； ◆ 支持 SCSI 和 FC主机和存储接口； ◆ 支持备份数据的自动化分级式归档；

◆ 中文界面

备份系统可实现全备份、增量备份；分组备份、介质分组使用、介质自 动轮回使用等多种备份策略；支持设备故障自动报警。

4、 采用备份到虚拟磁带库与备份到传统磁带库的比较 虚拟磁带库作为传

统磁带库的一个有益的补充方案，在某些应用环 境有比磁带库更好的特性，但在超大容量存储和设备本身的价格上， 磁带库 依然具有不可替代的优势。 国际权威部门预测， 随着技术和产品的不断完 善，虚拟磁带库将逐渐占据数据备份存储的应用领域，而磁带库将逐渐 转向数据归档存储市场。

三、数据双活

总体架构图

目前大多数单位存储都是使用单一存储，其实，作为数据存储的媒介，很重 要，但是却形成了单点故障，为了进一步保障应用的高可用性，提高生产的安 全级别，用户应对存储系统进行虚拟化整合，并搭建双活存储系统，保证关键 业务所使用的存储系统即使有一台存储系统出现故障，也不会出现业务停顿， 达到更高的生产安全保障。 改造后的示意图如下：

如上图所示， 在生产中心的 SAN网络中配置一套存储虚拟化设备——

EMC VPlex ，将目前的存储系统接入 VPlex，所有应用系统只需要访问 VPlex

上的卷 即可，接入 VPlex 上的存储可以做到镜像关系（即双活）或级联关系。建议对 重要应用的数据存储在镜像的两台存储系统上。通过全新的备份软件

Networker 和备份存储 Datadomain 对生产数据进行本地及远程备份和恢复。

整个方案的组成部分为：

A. 光纤交换网络： 由两台速度为 8Gbps 的光纤交换机组成光纤交换网络，

为所有系统提供基于光纤协议的访问；两台光纤交换机之间互为冗余， 为系统的网络提供最大的可靠性保护。用户可自行建设冗余

SAN网络。

B. 主存储系统： 配置两台及以上存储系统，通过虚拟化存储进行本地数据

保护，对外提供统一的访问接口；重要应用系统的数据都保存在后端多 台存储系统上；

C. 存储虚拟化： 以 EMC VPlex Local 作为存储虚拟化；应用系统只需要

访 问虚拟化存储，而不需要直接管理后端的具体的存储系统；通过存储虚 拟化，可以达到两台存储之间双活，对数据进行跨存储的本地及远程保 护，统一管理接口和访问接口；

D. 利旧存储： EMCV Plex Local 挂接存储，对存储的品牌、配置、性能没

有 太多 （ 注：挂接到 vPlex 后端的其他存储品牌需要在 vPlex 的兼容列 表内。 ）从而充分利用已有投资，减少投资浪费。

、 项目建设规划

通过 EMC VPlex对存储进行虚拟化，逻辑示意图如下图所示：

存储系

统 存储系

统 存储系

统 存储系

统

虚拟存储

VPLEX Local

虚拟卷

应用系统服务器

内部网

数据库服务器

1. 本地存储双活

应用系统通过虚拟化存储 VPlex 访问后端的存储系统， VPlex 在提供虚拟化 的存储访问的同时，还可以对数据进行本地保护。

如下图所示， VPlex 通过镜像虚拟卷提供给应用系统访问， 而在后端，

VPlex

镜像虚拟卷将数据写入两立的存储系统中，来达到数据本地保护的目的

VPlex 提供的本地数据高可用性保护，可以保证在存储系统、 VPlex 系统自

身出现故障时，应用还可以正常使用，且不会导致数据丢失。

当存储系统 A/B 其中一台出现故障时， 由于通过 VPlex的镜像功能，存储 系统 A/B 之间是 RAID 1关系，应用系统可以正常运行，不需要停机； 当 VPlex 系统自身出现故障时，由于在 Vplex 中的设置， VPlex 不会修改 存储系统 LUN的配置信息，即，用户可以将存储系统 A或 B的

LUN直接 挂到应用系统，保证应用系统的继续运行，不会产生数据丢失。

2. 存储系统利旧

VPlex 在提供虚拟化的存储访问的同时， 还可以方便地对存储容量进行扩

展。 当一台存储系统出现空间不足的情况时，可以通过 VPlex 的虚拟卷，将多台存 储系统的空间组成一个卷给应用使用。通过这种级联方式，应用系统直接访

问

VPlex 的虚拟卷，而 VPlex 后端接入的存储系统只是作为 VPlex 虚拟卷的存

储 资源池使用，达到资源的更合理分配和优化。

3. 数据迁移

在整个项目过程中， EMC将负责整个系统的搭建及相应的数据迁移，保证应 用系统的正常过度。其中，数据迁移服务包括以下内容：

将重要应用的数据迁移到性能最优的存储系统上，通过 VPlex 的镜像功 能，与其他存储做成双活存储；

将 VPlex 不兼容的存储系统上的数据，通过第三方数据迁移工具迁移到

VPlex 存储资源池中；

整个双活系统做好，解决了最关键的数据存储的单点故障问题。

四、异地备份

一、 方案背景

集团公司或分支机构数据结构复杂、 分散， 具备集中备份、 容灾等需 求。

受地震、水灾、火灾、盗窃等事故都可能造成企事业单位的数据丢失。 将数据备份到本地，其安全性是远远不够的。据统计“ 911”事件很多公 司因彻底丢失数据导致而倒闭。台风“桑美”导致浙江，福建和上海数千台计 算机迚水，很多硬盘丢失数据。

企事业单位的信息化程度越高， 数据类型越繁杂， 数据量也越庞大。 尤其 是有多个分公司的集团公司、多分支的机构。日常业务数据、办公文档都 保存在个人电脑上，分支机构还有不同业务的服务器，这些数据的重要性不言 而喻。

而将这些数据集中备份到企事业单位的数据中心不管从容灾考虑上还是 从数据集中管理上都是目前企事业单位信息化规划的重点项目之一。 在有限预算下，数据备份到异地的容灾解决方案将是当前企事业单位的首 要规划之一。 二、 方案分析

桌面备份软件纯粹为数据的保护管理而设计， 可跨区域异地备份和管理桌 面、服务器等终端数据；可通过异地恢复数据解决受地震、水灾、火灾、盗窃 等事故造成数据丢失的问题。

1. 架构分析

如下图，由集团公司或机构总部的数据中心搭建一台或多台备份服务器， 分公司或分支机构通过专线或 VPN链路连接到备份服务器， 将重要数据集中备份 到数据中心。

通过备份软件的定时备份可以将备份时间设定为凌晨以后，可降低因数据

传输对其他业务数据交换的影响。备份时建议通过备份软件将重要数据自动压 缩后备份到备份服务器，提高数据传输效率。

2. 部署产品

将用于备份的服务器接入机房主干交换机上，配置内网静态 IP 并安装 备份软件备份服务端，安装成功后将自动生成静默安装的备份客户端，无需配 置。

服务端可以通过 Web平台管理和配置，方便进程管理。 为提高数据备份性能，建议服务器配置不要太低。 在分支机构需要备份数据的桌面终端访问 Web管理平台客户端安装向导页 面，下载备份客户端并安装。即可通过服务端配置的数据备份制定计划任务备 份复制桌面终端数据。

终端桌面过多的分支机构建议为该分支机构建立的备份服务器， 本地 备份后再通过备份服务器采用夜间网络空闲时二次备份到集团公司的备份服务 器。

需要通过 VPN链路方式异地备份需要为备份服务器设置 VPN拨号并为其配置 固定的 VPN内部IP地址，用于通过 VPN方式的异地备份。 三、 方案效果

终端用户： 无需手工提交数据到集团公司或上层机构，完全自动静默处理，提高业务 效率。

管理员：

不再奔波网络拥堵和挽救数据等繁琐工作，更多时间用于维护信息中心业 务数据。

用户单位：

轻松做到数据可备，数据可查，数据可统一管理规划。

如下图，分公司将重要数据备份到集团公司数据中心，当分公司遇到突发 火灾事故机房所有数据丢失。机房重建后通过集团公司数据中心恢复数据到分 公司，分公司即刻可以开展原有业务，可将损失降低到最小化。

五、两地三中心

结合近年国内出现的大范围自然灾害，以同城双中心加异地灾备中心的

“两地三中心”的灾备模式也随之出现，这一方案兼具高可用性和灾难备份的 能力。

同城双中心是指在同城或邻近城市建立两个可承担关键系统运行的 数据中心，双中心具备基本等同的业务处理能力并通过高速链路实时同步数据， 日常情况下可同时分担业务及管理系统的运行，并可切换运行；灾难情况下可 在基本不丢失数据的情况下进行灾备应急切换，保持业务连续运行。与异地灾 备模式相比较， 同城双中心具有投资成本低、 建设速度快、 运维管理相对简单、 可靠性更高等优点。

异地灾备中心是指在异地的城市建立一个备份的灾备中心， 用于双中心的 数据备份，当双中心出现自然灾害等原因而发生故障时，异地灾备中心可以用 备份数据进行业务的恢复。

针对两地三中心灾备建设的需求，我公司利用灾备软件的优势结合存储虚 拟化的优势，设计了典型的建设方案，方案原理和组网如图所示

如图，同城双中心的应用切换，采用灾备软件中的集群软件来实现，生产 中心主机和灾备中心主机上都需要安装相应监测软件。监测本地双机或集群状 态，并通过监测软件在本地和远程的集群之间进行状态监测。

在网络层，同城双中心之间采用光纤连接，保证双中心之间较大的带宽， 以响应实时的业务数据需求， 同城异地之间采用专网或 IP 广域网即可实现， 以 节约成本。同城双中心的光纤采用波分复用（ WD）M技术进行建设，针对两地只 有 1 条或 2 条光纤连接的场景， 采用 WDM方式，能够虚拟出多条 FC 或 GE联络， 满足两地之间对业务和数据多重链路的需求。 WDM技术能充分利用光纤的巨大 带宽资源，大幅度提高系统传输容量，降低传输成本，因此在长途和骨干网的 超大容量传输中得到了广泛的应用。将 WDM技术引入城域网、接入网，整个网 络就会变成无缝连接的整体，为所有不同的业务提供支持和连接，因此城域网 中 WDM具有很大优越性。

在数据存储层， 部署存储虚拟化网关， 充分利用用户现有存储， 通过存储

的同步远程复制功能将数据同步复制到灾备站点。确保生产中心和灾备中心的 数据完全一致。使用存储的异步复制功能，将数据通过广域网复制到远端的灾 备站点，并且保证数据的完整性和可用性。远端站点的作用主要是用来防止地 理和自然灾难，当同城的双中心全部故障后，可以确保在异地有一份完整的数 据拷贝，用于后续业务的恢复。

下面介绍方案具体的数据备份及业务流程：

数据备份

同城双中心的数据采用同步复制，在同城灾备中心建立一个在线更新的数 据副本。当有数据下发到生产中心阵列时，阵列间的同步复制都会同时将数据 复制一份到同城灾备中心。

同城灾备中心与异地灾备中心之间采用异步复制方式，定期将数据进行复 制备份，异步复制支持增量复制方式，可以节省数据备份的带宽占用，缩短数 据的备份时间。

灾难检测

主机上通过对资源组状态的监控来判断资源的可用性， 包括数据库资源组、 网络资源组等。 资源组的状态分 online/offline/fault 三种，正常情况下生产 中心在工作的时候资源组的状态都是 online ，而灾备中心的资源组是 offline 状态。每个资源组在 online 和 offline 的时候均可以指定

运行程序或脚本， 程 序或脚本执行完成后资源组即完成 online 或 offline 的过程。当检测到生产中

心有资源组出现 fault 状态时，同城内生产中心同灾备中心将进行切换，以保 证业务的连续性。

容灾切换

基于应用容灾切换包括一系列的动作：停止灾难节点的部件服务、切断数 据复制链路、建立数据容灾基线、启动容灾节点的部件服务、通知前端设备进 行业务网络切换。具体动作可以结合实际情况，通过脚本来定制。

恢复回切

回切工作流程和切换流程原理是一样的， 只是因为切换的时候是不确定触 发的、可能导致业务受部分影响；而回切的时候通过人工确认，选择最小影响 的情况下执行操作（比如业务流量非常小的情况下，甚至暂停业务情况下）， 因此回切推荐采用的是手动切换模式。

应用级容灾采用的是自动切换还是手动切换，用户可以在部署时通过修改 主机集群软件的切换配置实现。

同城范围有效保证了数据的安全性和业务连续性； 异地复制数据根据灾难情形，尽可能降低数据丢失机率； 同城双中心为同步复制，数据实时同步， RPO=；0 异地无距离，保证数据一致性，保证了数据的有效保护； 异地容灾带宽要求低，先进的复制机制提高带宽利用率。