9.2.4 容灾技术

异步远程镜像 (异步复制技术) 保证在更新远程存储视
图前完成向本地存储系统的基本I/O操作，而由本地存
储系统提供给请求镜像主机的I/O操作完成确认信息。 远程的数据复制是以后台同步的方式进行的，这使本 地系统性能受到的影响很小，传输距离长 (可达l 000km以上) ，对网络带宽要求小。但是，许多远程的 从属存储子系统的写没有得到确认，当某种因素造成 数据传输失败，可能出现数据一致性问题。为解决这 个问题，目前大多采用延迟复制的技术，即在确保本 地数据完好无损后进行远程数据更新。
陷，如实现成本高、设备的互操作性差、跨越的地理
距离短 (10km)等，这些因素阻碍了它的进一步推广和 应用。
9.2.4 容灾技术

目前，出现了多种基于IP的SAN的远程数据容灾备份
技术。它们是利用基于IP的SAN的互连协议，将主数
据中心SAN中的信息通过现有的TCP/IP网络远程复制 到备援中心SAN中。当备援中心存储的数据量过大时 ，可以利用快照技术将其备份到磁带库或光盘库中。 这种基于IP的SAN的远程容灾备份，可以跨越LAN、 MAN和WAN，成本低、可扩展性好，具有广阔的发 展前景。基于IP的互连协议包括FCIP、iFCP、 Infiniband、iSCSI等。
”。

数据备份与服务器高可用集群技术以及远程容灾 技术在本质上是有所区别的。虽然这些技术都是 为了消除或减弱意外事件给系统带来的影响，但 是，由于其侧重的方向不同，实现的手段和产生
的效果也不尽相同。
9.2
信息灾难恢复规划

备份技术的目的，是将整个系统的数据或状态保 存下来，这种方式不仅可以挽回硬件设备坏损带 来的损失，也可以挽回逻辑错误和人为恶意破坏
9.2.4 容灾技术

存储虚拟化的一个关键优势是它允许异质系统和应用

3) 容灾是一个工程。它不仅包括容灾技术，还应有一 整套容灾流程、规范及其具体措施。
9.2.3 数据容灾等级

—般地，我们将容灾等级划分为以下4个等级。

第0级：本地备份、本地保存的冷备份。这一级容灾备 份，实际上就是上面所指的数据备份。它的容灾恢复 能力最弱，它只在本地进行数据备份，并且被备份的 数据磁带只在本地保存，没有送往异地。
9.2.1 数据容灾概述

4) 事件响应计划 (IRP) 。它建立了处理针对机构的IT
系统攻击的规程。这些规程用来协助安全人员对有害
的计算机事件进行识别、消减并进行恢复。

5) 场所紧急计划 (OEP) 。它在可能对人员的安全健康 、环境或财产构成威胁的事件发生时，为设施中的人 员提供反应规程。OEP在设施级别进行制定，与特定 的地理位置和建筑结构有关。
协调。
9.2.1 数据容灾概述

3) 操作连续性计划 (COOP) 。COOP关注位于机些功能在恢
复到正常操作状态之前最多30天的运行。由于COOP 涉及总部级的问题，它和BCP是互相独立制定和执行 的。COOP的标准要素包括职权条款、连续性的顺序 、关键记录和数据库。由于COOP强调机构在备用站 点恢复运行中的能力，所以该计划通常不包括IT运行 方面的内容。另外，它不涉及无需重新配置到备用地 点的小型危害。
9.2.4 容灾技术

(2) 快照技术

远程镜像技术往往同快照技术结合起来实现远程备份 ，即通过镜像把数据备份到远程存储系统中，再用快 照技术把远程存储系统中的信息备份到远程的磁带库 、光盘库中。
9.2.4 容灾技术

快照是通过软件对要备份的磁盘子系统的数据快速扫
描，建立一个要备份数据的快照逻辑单元号LUN和快
信息安全技术
第9章

信息安全管理与灾难恢复
9.1 信息安全管理与工程 9.2 信息灾难恢复规划
9.2
信息灾难恢复规划

9.2.1 数据容灾概述 9.2.2 数据容灾与数据备份的联系 9.2.3 数据容灾等级


9.2.4 容灾技术
9.2.5 实验与思考
9.2
信息灾难恢复规划

在2.2节“数据存储解决方案”中，我们了解了“ 数据备份”的有关知识，在本节中，我们继续来 学习相关的“容灾技术”和“信息灾难恢复规划
、盗窃和地震等灾难时，这些备份磁带也随之销毁， 所存储的磁带备份起不到任何容灾功能。
9.2.2 数据容灾与数据备份的联系

2) 容灾不是简单备份。真正的数据容灾就是要避免传
统冷备份具有先天不足，它能在灾难发生时，全面、
及时地恢复整个系统：容灾按其容灾能力的高低可分 为多个层次。

例如，国际标准SHARK 78定义的容灾系统有三类7个 等级：从最简单的仅在本地进行磁带备份，到将备份 的磁带存储在异地，再到建立应用系统实时切换的异 地备份系统，恢复时间也可以从几天到小时级到分钟 级、秒级或0数据丢失等。
储结构存在的主要限制。
9.2.4 容灾技术

虚拟存储系统还提供了动态改变逻辑卷大小的功能。
事实上，存储卷的容量可以在线随意增加或减少。可
以通过在系统中增加或减少物理磁盘的数量来改变集 群中逻辑卷的大小。这一功能允许卷的容量随用户的 即时要求动态改变。另外，存储卷能够很容易地改变 容量，移动和替换。安装系统时，只需为每个逻辑卷 分配最小的容量，并在磁盘上留出剩余的空间。随着 业务的发展，可以用剩余空间根据需要扩展逻辑卷。 也可以将数据在线从旧驱动器转移到新的驱动器上， 而不中断服务的运行。
9.2.4 容灾技术

远程镜像又叫远程复制，是容灾备份的核心技术，同
时也是保持远程数据同步和实现灾难恢复的基础。远
程镜像按请求镜像的主机是否需要远程镜像站点的确 认信息，又可分为同步远程镜像和异步远程镜像。
9.2.4 容灾技术

同步远程镜像 (同步复制技术) 是指通过远程镜像软件
，将本地数据以完全同步的方式复制到异地，每一本

数据容灾与数据备份的联系主要体现在:

1) 数据备份是数据容灾的基础。数据备份是数据高可 用的最后一道防线，其目的是为了系统数据崩溃时能 够快速恢复数据。虽然它也算一种容灾方案，但这种 容灾能力非常有限，因为传统的备份主要是采用数据 内置或外置的磁带机进行冷备份，备份磁带同时也在
机房中统一管理，一旦整个机房出现了灾难。如火灾
站点接替主站点的业务，从而维护业务运行的连续性
9.2.3 数据容灾等级

第3级：活动互援备份。这种异地容灾方案与前面介绍
的热备份站点备份方案差不多，不同的只是主、从系
统不再是固定的，而是互为对方的备份系统。这两个 数据中心系统分别在相隔较远的地方建立，它们都处 于工作状态，并进行相互数据备份。当某个数据中心 发生灾难时，另—个数据中心接替其工作任务。通常 在这两个系统中的光纤设备连接中还提供冗余通道， 以备工作通道出现故障时及时接替工作，采取这种容 灾方式的主要是资金实力较雄厚的大型企业和电信级 企业。
地的I/O事务均需要等待远程复制的完成确认信息，方 予以释放。同步镜像使远程拷贝总能与本地机要求复 制的内容相匹配。当主站点出现故障时，用户的应用 程序切换到备份的替代站点后，被镜像的远程副本可 以保证业务继续执行而没有数据的丢失。但它存在往 返传播造成延时较长的缺点，只限于在相对较近的距 离上应用。
9.2.1 数据容灾概述

6) 危机通信计划 (CCP) 。机构应该在灾难之前做好其
内部和外部通信规程的准备工作。危机通信计划
(CCP) 通常由负责公共联络的机构制定。危机通信计 划规程应该和所有其他计划协调，以确保只有受到批 准的内容公之于众，它应该作为附录包含在BCP中。 通信计划通常指定特定的人员作为在灾难反应中回答 公众问题的唯一发言人。它还可以包括向个人和公众 散发状态报告的规程，如记者招待会的模板。
容灾技术是保护系统的在线状态，保证数据可以
随时被访问。

在具有一定规模的系统中，备份技术、集群技术 和容灾技术互相不可替代，并且稳定和谐地配合 工作，共同保证着系统的正常运转。
9.2.1 数据容灾概述

严格地说，容灾计划包括一系列应急计划，如：

1) 业务持续计划 (BCP) 。这是一套用来降低组织的重
的情况下，实时提取当前在线业务数据。其“备份窗 口”接近于零，可大大增加系统业务的连续性，为实 现系统真正的7×24运转提供了保证。快照是通过内存 作为缓冲区 (快照cache) ，由快照软件提供系统磁盘存 储的即时数据映像，它存在缓冲区调度的问题。
9.2.4 容灾技术

(3) 互连技术

早期的主数据中心和备援数据中心之间的数据备份， 主要是基于SAN的远程复制 (镜像) ，即通过光纤通道 FC，把两个SAN连接起来，进行远程镜像 (复制) 。当 灾难发生时，由备援数据中心替代主数据中心保证系 统工作的连续性。这种远程容灾备份方式存在一些缺
的损失。但是，数据备份技术并不保证系统的实
时可用性。也就是说，一旦意外发生，备份技术 只保证数据可以恢复，但是恢复过程需要一定的 时间，在此期间，系统是不可用的。
9.2
信息灾难恢复规划

而集群和容灾技术的目的是为了保证系统的可用 性。也就是说，当意外发生时，系统所提供的服 务和功能不会因此而间断。对数据而言，集群和
要营运功能遭受意料之外的中断风险的作业程序。它 可以是人工或自动系统，目的是使一个组织及其信息 系统在灾难事件发生时仍可以继续运作。 2) 业务恢复计划 (BRP) 。也叫业务继续计划，涉及紧

急事件后对业务处理的恢复，但与BCP不同，它在整
个紧急事件或中断过程中缺乏确保关键处理的连续性 的规程。BRP的制定应该与灾难恢复计划及BCP进行
9.2.4 容灾技术