系統(tǒng)兩地三中心方案_第1頁
系統(tǒng)兩地三中心方案_第2頁
系統(tǒng)兩地三中心方案_第3頁
系統(tǒng)兩地三中心方案_第4頁
系統(tǒng)兩地三中心方案_第5頁
已閱讀5頁,還剩18頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

系統(tǒng)兩地三中心方案系統(tǒng)兩地三中心方案系統(tǒng)兩地三中心方案xxx公司系統(tǒng)兩地三中心方案文件編號:文件日期:修訂次數(shù):第1.0次更改批準審核制定方案設計,管理制度金融行業(yè)“兩地三中心”數(shù)據(jù)備份與恢復方案設計“兩地三中心”設計背景行業(yè)背景中國有句俗話,“人無遠慮,必有近憂”。伴隨信息化的不斷深入,銀行越來越依賴信息系統(tǒng),在信息化給社會和銀行帶來巨大好處的同時,這也使得銀行的組織更易遭受攻擊,從而造成業(yè)務系統(tǒng)的中斷、數(shù)據(jù)丟失等。近年來,越來越多的銀行發(fā)現(xiàn),他們的IT系統(tǒng)意外地、不必要地中斷——即便是臨時性的,也會使銀行業(yè)務活動立即中斷,無法繼續(xù)開展,數(shù)據(jù)的丟失或訪問中斷,不僅影響了系統(tǒng)運行,還給銀行造成重大損失。業(yè)務持續(xù)性需求銀行的服務日益全球化,經(jīng)濟的增長和國民財富的急劇增長,客戶的需求日益多樣化和復雜化,對銀行的服務質(zhì)量的期望值越來越高,使銀行保持業(yè)務連續(xù)狀態(tài)成為當務之急。所謂業(yè)務連續(xù),就是無論發(fā)生任何情況,關鍵系統(tǒng)和網(wǎng)絡都持續(xù)可用。傳統(tǒng)意義上的備份和恢復計劃無法繼續(xù)滿足需要。當今的預防措施應該包括風險評估、中斷影響分析以及避免中斷策略,必須將這些因素充分考慮進綜合業(yè)務持續(xù)性計劃。在信息時代,業(yè)務持續(xù)性不再是一項“可有可無”的工作,而是“勢在必行”的重點規(guī)劃?!皟傻厝行摹睒I(yè)務保障影響業(yè)務持續(xù)性發(fā)展的因素很多,既有外部因素,如電力、通訊等;也有內(nèi)部因素,如場地、人員、決策、IT技術等。但從系統(tǒng)的觀念看,可以說目前影響銀行業(yè)務持續(xù)發(fā)展的最直接的威脅來自于信息系統(tǒng)的安全。健全業(yè)務持續(xù)性風險的預防策略和措施,需要以下幾點基于業(yè)務的需求:實施數(shù)據(jù)集中保護。隨著數(shù)據(jù)日益成為銀行的生命線,支持業(yè)務持續(xù)性的數(shù)據(jù)存儲策略成為銀行必須考慮的重點。它的優(yōu)勢在于,總體存儲的方式可使銀行降低購置和維護的成本,最大限度地減少管理多個獨立業(yè)務系統(tǒng)的復雜性,提高銀行數(shù)據(jù)的整體安全性。同時,存儲容量也可得以優(yōu)化,減少利用率偏低的現(xiàn)象。采用冗余、集群、負載均衡能力等技術,消除單點故障,提高系統(tǒng)的高可用性,提高系統(tǒng)性能影響。建立信息系統(tǒng)安全業(yè)務持續(xù)性保障體系,針對災難性事件的預防目標,建議總、分行層面考慮建立異地容災環(huán)境,建立異地備份機房,配備核心業(yè)務需要的基礎設施、網(wǎng)絡設備、通訊線路和計算機設備;建立數(shù)據(jù)服務器區(qū),實現(xiàn)全行經(jīng)營數(shù)據(jù)的集中保存。構(gòu)建生產(chǎn)中心、同城災備中心、異地災備中心的“兩地三個中心”災備體系。“兩地三中心”災難恢復系統(tǒng)布局布局原則a)災難備份中心設置在中華人民共和國境內(nèi);b)災難備份中心與生產(chǎn)中心之間距離合理,應避免災難備份中心與生產(chǎn)中心同時遭受同類風險;c)災難備份中心的選址應服從國家戰(zhàn)略安全要求,并綜合考慮生產(chǎn)中心與災難備份中心交通和電訊的便利性與多樣性,以及災難備份中心當?shù)氐臉I(yè)務與技術支持能力、電訊資源、地理地質(zhì)環(huán)境、公共資源與服務配套能力等外部支持條件。布局模式根據(jù)成本風險平衡原則以及運行管理要求,采用“一主雙備”布局模式,即一個生產(chǎn)中心,兩個個備份中心,其中一個同城備份、一個異地備份。對于同城數(shù)據(jù)備份中心,應與生產(chǎn)中心直線距離至少達到30公里,可以接管所有核心業(yè)務的運行;對于異地數(shù)據(jù)備份中心,應與生產(chǎn)中心直線距離至少達到100公里?!皟傻厝行摹睘碾y恢復系統(tǒng)設計“兩地三中心”框架設計結(jié)合近年國內(nèi)出現(xiàn)的大范圍自然災害,以同城雙中心加異地災備中心的“兩地三中心”的災備模式兼具高可用性和災難備份的能力。同城雙中心是指在同城或鄰近城市建立兩個可獨立承擔關鍵系統(tǒng)運行的數(shù)據(jù)中心,雙中心具備基本等同的業(yè)務處理能力并通過高速鏈路實時同步數(shù)據(jù),日常情況下可同時分擔業(yè)務及管理系統(tǒng)的運行,并可切換運行;災難情況下可在基本不丟失數(shù)據(jù)的情況下進行災備應急切換,保持業(yè)務連續(xù)運行。與異地災備模式相比較,同城雙中心具有投資成本低、建設速度快、運維管理相對簡單、可靠性更高等優(yōu)點。異地災備中心是指在異地的城市建立一個備份的災備中心,用于雙中心的數(shù)據(jù)備份,當雙中心出現(xiàn)自然災害等原因而發(fā)生故障時,異地災備中心可以用備份數(shù)據(jù)進行業(yè)務的恢復。兩地三中心”的災備模式框架圖如下圖所示:如圖,同城雙中心的應用切換,采用集群軟件來實現(xiàn),生產(chǎn)中心主機和災備中心主機上都需要進行集群。采用集群監(jiān)測本地雙機或集群狀態(tài),并通過組件在本地和遠程的集群之間進行狀態(tài)監(jiān)測。在網(wǎng)絡層,同城雙中心之間采用光纖連接,保證雙中心之間較大的帶寬,以響應實時的業(yè)務數(shù)據(jù)需求,同城異地之間采用專網(wǎng)或IP廣域網(wǎng)即可實現(xiàn),以節(jié)約成本。同城雙中心的光纖采用波分復用(WDM)技術進行建設,針對兩地只有1條或2條光纖連接的場景,采用WDM方式,能夠虛擬出多條FC或GE聯(lián)絡,滿足兩地之間對業(yè)務和數(shù)據(jù)多重鏈路的需求。WDM技術能充分利用光纖的巨大帶寬資源,大幅度提高系統(tǒng)傳輸容量,降低傳輸成本,因此在長途和骨干網(wǎng)的超大容量傳輸中得到了廣泛的應用。將WDM技術引入城域網(wǎng)、接入網(wǎng),整個網(wǎng)絡就會變成無縫連接的整體,為所有不同的業(yè)務提供支持和連接,因此城域網(wǎng)中WDM具有很大優(yōu)越性。在數(shù)據(jù)存儲層,部署虛擬存磁盤陣列,通過存儲的同步遠程復制功能將數(shù)據(jù)同步復制到災備站點。確保生產(chǎn)中心和災備中心的數(shù)據(jù)完全一致。使用存儲的異步復制功能,將數(shù)據(jù)通過廣域網(wǎng)復制到遠端的災備站點,并且保證數(shù)據(jù)的完整性和可用性。遠端站點的作用主要是用來防止地理和自然災難,當同城的雙中心全部故障后,可以確保在異地有一份完整的數(shù)據(jù)拷貝,用于后續(xù)業(yè)務的恢復。災難恢復能力等級需求國家標準要求災難備份級別根據(jù)國家標準《信息系統(tǒng)災難恢復規(guī)范》(GB/T20988-2007)的定義:災難是指由于人為或自然的原因,造成信息系統(tǒng)嚴重故障或癱瘓,使信息系統(tǒng)支持的業(yè)務功能停頓或服務水平不可接受、達到特定的時間的突發(fā)性事件。災難備份是指為了災難恢復而對數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡系統(tǒng)、基礎設施、專業(yè)技術支持能力和運行管理能力進行備份的過程;而災難恢復是指為了將信息系統(tǒng)從災難造成的故障或癱瘓狀態(tài)恢復到可正常運行狀態(tài)、并將其支持的業(yè)務功能從災難造成的不正常狀態(tài)恢復到可接受狀態(tài),而設計的活動和流程。災備系統(tǒng)的建設包含七要素:數(shù)據(jù)備份系統(tǒng)、備用數(shù)據(jù)處理系統(tǒng)、備用網(wǎng)絡系統(tǒng)、備用基礎設施、專業(yè)技術支持能力、運行維護管理能力、災難恢復預案。《信息系統(tǒng)災難恢復規(guī)范》將災難恢復能力劃分為6級,災難恢復能力等級越高,對信息系統(tǒng)的保護效果越好,但同時成本也會迅速上升。災備等級主要從RTO(恢復時間目標)和RPO(恢復點目標)來考慮,RPO(恢復點目標)是指發(fā)生災難前最后一次備份的時間點距離當前時間差(數(shù)據(jù)丟失時間);RTO(時間恢復目標)是指發(fā)生災難后恢復物理系統(tǒng)環(huán)境的時間。大部分的用戶關注的是數(shù)據(jù)安全性,即RPO值(RPO越小,數(shù)據(jù)丟失越少),但是用戶往往談的更多的是RTO(RTO越小,恢復生產(chǎn)越快)。金融行業(yè)標準要求災難恢復級別金融行業(yè)標準《銀行業(yè)信息系統(tǒng)災難恢復管理規(guī)范》(JR/T0044-2008)中指出金融單位應根據(jù)風險分析、業(yè)務功能分析和業(yè)務中斷影響分析的結(jié)論,將信息系統(tǒng)按時間敏感性分成三類需求等級:第一類:短時間中斷將嚴重影響單位關鍵業(yè)務功能并造成重大經(jīng)濟損失的系統(tǒng);單位和用戶對系統(tǒng)短時間中斷不能容忍的系統(tǒng)。第二類:短時間中斷將影響單位部分關鍵業(yè)務功能并造成較大經(jīng)濟損失的系統(tǒng);單位和用戶對系統(tǒng)短時間中斷具有一定容忍度的系統(tǒng)。第三類:短時間中斷將影響單位非關鍵業(yè)務功能并造成一定經(jīng)濟損失的系統(tǒng);業(yè)務功能容許一段時間中斷的系統(tǒng)。根據(jù)信息系統(tǒng)的時間敏感性,確定信息系統(tǒng)災難恢復目標的最低要求:第一類:RTO<6小時,RPO<15分鐘;第二類:RTO<24小時,RPO<120分鐘;第三類:RTO<7天。結(jié)合信息系統(tǒng)災難恢復目標的最低要求和《信息系統(tǒng)災難恢復規(guī)范》將災難恢復能力劃分為6級要求,第一類信息系統(tǒng)達到5級災難恢復能力;第二類達到3級災難恢復能力;第三類達到2級災難恢復能力?!皟傻厝行摹苯ㄔO策略依照中國金融行業(yè)IT戰(zhàn)略規(guī)劃和架構(gòu)的要求,我們認為“兩地三中心”的建設應按照如下策略進行:“兩地三中心”建設要滿足業(yè)務的需求。建設資金投入、功能、處理能力、管理方式等必須滿足目前的業(yè)務需求,同時還要兼顧未來發(fā)展的要求?!皟傻厝行摹毙枰⒏呖捎眯缘募軜?gòu)。其中災備中心啟用后,就開始做為生產(chǎn)中心提供服務。因此災備中心也應該與生產(chǎn)中心一樣,對關鍵業(yè)務應用采用高可用性架構(gòu),以防止由于單點故障而引起宕機“兩地三中心”應該可以提供演習環(huán)境。演習是保證業(yè)務永續(xù)運行計劃有效性的重要手段,每年至少應該舉行一次。演習環(huán)境是為了保證在演習是正常的業(yè)務處理仍能繼續(xù)而建立的?!皟傻厝行摹痹O備應該得到充分利用。系統(tǒng)建設不僅要考率到緊急情況下的使用情況,還要考慮日常如何利用。例如,為了在平時提供災備中心設備的利用率,可以利用災備中心的設備進行應用的開發(fā)和測試。“兩地三中心”建設以用先進、成熟的方法論做為指導,分階段進行。先進、成熟的方法論為災備中心建設的成功提供了保障。災備中心與生產(chǎn)中心使用結(jié)構(gòu)相同的IT基礎架構(gòu)和管理流程。這樣可以大大降低管理與運行維護的復雜度。災備中心的處理能力可以與生產(chǎn)中心不同,但是要滿足業(yè)務需要。建設的內(nèi)容包括:面向數(shù)據(jù)中心提供網(wǎng)絡通訊設備、通訊線路、存儲網(wǎng)絡設備的全面容錯和異地容災;面向數(shù)據(jù)中心提供部分關鍵業(yè)務系統(tǒng)的容錯和異地容災?!皟傻厝行摹狈桨笇崿F(xiàn)系統(tǒng)實現(xiàn)數(shù)據(jù)備份同城雙中心的數(shù)據(jù)采用同步復制,在同城災備中心建立一個在線更新的數(shù)據(jù)副本。當有數(shù)據(jù)下發(fā)到生產(chǎn)中心陣列時,陣列間的同步復制都會同時將數(shù)據(jù)復制一份到同城災備中心。同城災備中心與異地災備中心之間采用異步復制方式,定期將數(shù)據(jù)進行復制備份,異步復制支持增量復制方式,可以節(jié)省數(shù)據(jù)備份的帶寬占用,縮短數(shù)據(jù)的備份時間。災難檢測通過對資源組狀態(tài)的監(jiān)控來判斷資源的可用性,包括數(shù)據(jù)庫資源組、網(wǎng)絡資源組等。資源組的狀態(tài)分online/offline/fault三種,正常情況下生產(chǎn)中心在工作的時候資源組的狀態(tài)都是online,而災備中心的資源組是offline狀態(tài)。每個資源組在online和offline的時候均可以指定運行程序或腳本,程序或腳本執(zhí)行完成后資源組即完成online或offline的過程。當檢測到生產(chǎn)中心有資源組出現(xiàn)fault狀態(tài)時,同城內(nèi)生產(chǎn)中心同災備中心將進行切換,以保證業(yè)務的連續(xù)性。容災切換基于應用容災切換包括一系列的動作:停止災難節(jié)點的部件服務、切斷數(shù)據(jù)復制鏈路、建立數(shù)據(jù)容災基線、啟動容災節(jié)點的部件服務、通知前端設備進行業(yè)務網(wǎng)絡切換。具體動作可以結(jié)合實際情況,通過腳本來定制。恢復回切回切工作流程和切換流程原理是一樣的,只是因為切換的時候是不確定觸發(fā)的、可能導致業(yè)務受部分影響;而回切的時候通過人工確認,選擇最小影響的情況下執(zhí)行操作(比如業(yè)務流量非常小的情況下,甚至暫停業(yè)務情況下),因此回切推薦采用的是手動切換模式。應用級容災采用的是自動切換還是手動切換,用戶可以在部署時通過修改主機集群軟件的切換配置實現(xiàn)。同城范圍有效保證了數(shù)據(jù)的安全性和業(yè)務連續(xù)性;異地復制數(shù)據(jù)根據(jù)災難情形,盡可能降低數(shù)據(jù)丟失機率;同城雙中心為同步復制,數(shù)據(jù)實時同步,RPO=0;異地無距離限制,保證數(shù)據(jù)一致性,保證了數(shù)據(jù)的有效保護;異地容災帶寬要求低,先進的復制機制提高帶寬利用率。業(yè)務應用備份恢復實現(xiàn)應用環(huán)境備份的目的是確保災備中心能夠快速重建數(shù)據(jù)中心應用系統(tǒng)環(huán)境,并實現(xiàn)備份業(yè)務系統(tǒng)對生產(chǎn)系統(tǒng)有效替代。對應用環(huán)境備份的設計要點包括:通過配置同步技術,實現(xiàn)數(shù)據(jù)中心應用環(huán)境的一致性。災備中心的應用環(huán)境在技術路線、設備部署方面應盡量保證與數(shù)據(jù)中心應用環(huán)境一致。這樣有利于提高災備應用環(huán)境與生產(chǎn)應用環(huán)境之間手工切換的效率,也有利于日常檢驗災備應用環(huán)境的可用性。一般可通過災備應用環(huán)境定期向生產(chǎn)應用環(huán)境讀取配置文件、參數(shù)等方式,實現(xiàn)兩者配置的同步。災備中心關鍵型業(yè)務系統(tǒng)實現(xiàn)集群間自動切換,其余業(yè)務系統(tǒng)則采用手工切換模式。數(shù)據(jù)中心應用服務器一般通過HA等技術建立高可用性集群,保證本地應用服務的高可靠性。同樣,只要建立數(shù)據(jù)中心與災備中心之間的高可用性網(wǎng)絡監(jiān)控技術,災備中心備份應用服務器集群可實現(xiàn)與數(shù)據(jù)中心生產(chǎn)服務器集群之間的高可用性自動切換。為節(jié)約成本投入,建議對關鍵性業(yè)務系統(tǒng)采用此方式,以滿足RTO一小時以內(nèi)的災備恢復需求。對于其余業(yè)務系統(tǒng),只要如前所述,保證應用環(huán)境一致性,通過手工方式進行切換即可。采用虛擬化技術對備份環(huán)境進行整合。災備中心應用環(huán)境備份資源畢竟有限,充分利用備份應用資源對數(shù)據(jù)中心應用環(huán)境保護十分

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論