云计算技术下的不动产管理系统数据容灾

陈月琴

（宁波市自然资源和规划局奉化分局 浙江省宁波市 315500）

1 导言

不动产管理系统作为自然资源管理的重要抓手，及“最多跑一次”的重要服务平台，构建不动产管理系统的安全防护体系，是目前不动产管理系统日常运行中最重要的基本保证。笔者认为，全面的、多层次的不动产管理系统的安全防护体系，应当由物理安全、网络安全、数据安全、应用系统安全、制度建设等五个方面着手，其需求总体架构可如图1 所示。

不动产管理系统安全保障体系经过数年的建设及应用，已经顺利度过了初始的建设阶段，拥有比较先进的机房环境和防火墙、IPS 等常规的安全保障设备，但是随着信息安全形势的日趋严重，保证数据安全特别是不动产这种关乎国计民生系统的数据安全，变得更加迫切和重要。因此常规的物理层、网络层安全策略已不能很好地满足当前阶段不动产管理系统安全需求，特别是针对应用被迫中断、数据丢失、数据库瘫痪等极端情况的安全风险，越来越急需更先进的数据安全技术保驾护航。

当前数据安全的实现途径比较多样，本文力求依托新兴的云计算技术，探讨实现不动产管理系统数据容灾容错的架构。

2 现状描述

当前不动产管理系统通常包括提供业务服务的应用服务器群，提供数据存储、查询、统计分析的数据库服务器群，提供安全保障的各类安全设备（设施）。平台部署情况以及当前面临的主要情况如下：

2.1 服务器平台部署情况

根据不动产管理系统各业务系统间逻辑关系和不同的安全防护等级，将通用查询业务服务器、不动产登记发证服务器和数据库服务器（ORACLE RAC）分别部署在应用服务器区和数据库服务器区。

2.2 安全保障措施

不动产管理系统建设时，即已将安全保障工作放在重要位置，同步建设了以下几方面安全设施：

2.2.1 防火墙在网络的边界配置防火墙，通过防火墙的数据包状态检测功能，阻断非授权访问的数据包，实现网络的边界访问控制。

2.2.2 入侵防护系统

在网络边界配置网络入侵防护系统（IPS），对进出网络的数据包进行监控及分析，及时阻断各类攻击行为，提供主动的网络防护功能和应用防护功能。

2.2.3 准入控制系统

在网络中配备准入控制系统，对接入网络的各类终端进行身份认证和权限控制，并实施各项安全和管理配置，使网络终端满足安全基线要求，有效的规避了网络终端潜在的各种风险。

2.2.4 数据库审计

通过数据库审计系统，针对数据库访问、操作等事件进行检索、分析，定位事件原因，形成审计报告，实现对目标数据库系统的监管和审查。

2.2.5 日志审计

图1：不动产管理系统安全需求说明图

图2：不动产管理系统双活数据中心部署图

配置日志审计系统，对各设备、操作系统、应用日志进行全面监测，在故障发生后可进行查询、分析、溯源。

2.3 存在主要问题

从不动产管理系统网络和应用的情况，看出存在的主要问题有以下几方面：

2.3.1 服务器单点故障

原有系统都是由单台物理服务器支撑，服务器崩溃将导致系统瘫痪而短时难以恢复，同时还会造成数据丢失。

2.3.2 缺少完善的备份机制

对业务数据采用手工方式进行备份，不能高效对备份数据以及备份状态进行监控和检测，不能确认“备份数据能否恢复？”“恢复数据是否可用？”。

2.3.3 缺乏有效的容灾机制

（1）系统可用性没有保证：没有形成有效的灾难恢复机制，一旦发生灾难，不具备完全抵御灾难的能力，系统的可用性也没有得到很好的保证，一旦发生意外，系统所提供的服务和功能将陷入瘫痪难以短时间恢复，从而导致不动产中心无法正常运转而造成重大损失；

（2）数据恢复级别低：一旦数据库发生意外故障，无法运行，需要创建新的数据库，并使用备份数据进行还原，再启用数据库，恢复时间长。同时采用传统备份模式，无法做到实时备份，通常每天在业务低负载时进行一到两次备份，因此当登记发证系统发生故障，利用备份进行恢复时，其数据可能会有12 个小时的丢失。即使恢复成功也将丢失最近一次备份到故障发生时间段的大量数据。

3 容灾容错模式探讨

不动产管理系统需要建立数据灾难恢复体系，以确保业务应用连续运行，要保障业务应用连续运行最重要的是在发生灾难后快速进行数据恢复和业务恢复。

3.1 云计算容灾的技术概述

传统的灾难恢复方案需要完全一样的生产和灾备节点硬件配置，以确保硬件故障后的快速恢复，这大大增加了灾难恢复系统的成本。很多情况下只能选择极少的几个系统进行灾难备份，其他系统只好忽略。

依托云计算技术构建的“双活数据中心”通过虚拟化、存储双活、波分复用、VXLAN（大二层网络协议）等技术确保数据灾难恢复的经济性、高效性。可以保障不动产管理系统的网络资源、计算资源、存储资源能随着业务需求而动态扩展，实现不同灾难场景下的业务连续性要求。

虚拟化技术提供了真正的硬件无关性，消除了物理设备恢复过程中重新安装系统的过程、屏蔽了与硬件兼容性相关的故障，避免了在灾备节点部署和生产节点完全一样的硬件，降低了灾备体系的投入。

云主机具有自动化迁移能力，不需要针对每个云主机部署群集程序，就可有效解决单点故障的问题，从而保证业务的连续性。在迁移过程中，不会对云主机内的运行环境进行任何改变，网络连接和业务服务不会产生任何中断，并自动地将正在运行中的云主机从一台物理服务器上迁移到另一台物理服务器上。

3.2 云计算容灾的部署实践

构建“生产中心”和“灾备中心”双活架构，实现网络、数据（存储）和应用的全体系双活，保证不动产管理系统日常运行的高效可靠、负载均衡，以及在多种灾难环境中的灵活响应，其部署架构如图2。

3.2.1 整体架构说明

双活网络层：利用网络虚拟化技术，组建“大二层”网络架构，并且利用裸光纤IP 波分链路，实现生产中心、灾备中心网络二层互通。

双活数据（存储）层：利用磁盘存储双活技术，在生产中心、灾备中心分别部署一套具有双活特性的磁盘存储，并在生产中心、灾备中心SAN 存储网络之间通过裸光纤波分出的SAN 链路进行连接，通过磁盘存储双活技术，实现生产中心、灾备中心数据的实时同步，确保数据零丢失。

双活应用层：利用服务器虚拟化技术，构建生产中心、灾备中心服务器虚拟化平台。配备负载均衡设备，充分利用灾备中心的计算资源，增强业务并行处理能力，提升业务服务的质量，改善不动产管理系统使用体验。

3.2.2 设备部署方式

（1）配备核心、汇聚、接入交换机，按照2:1 的规格进行同层设备横向虚拟化，完成数据中心“大二层”新型网络架构的组建，既实现网络设备冗余备份以及网络性能的全面提升，又可满足云计算数据中心基础网络“云化”转变的需求。

（2）配备2 台光纤波分复用设备，分别部署于生产中心和灾备中心，将租用的运营商光纤链路波分成4 条链路，即2 条用于IP协议链路，2 条用于SAN 网络协议链路，各协议链路实现双链路冗余备份。

（3）在生产中心和灾备中心的SAN 网络中各配置1 台存储设备，两台存储设备支持阵列双活，配置2 台存储双活LAN 之间镜像关系（两台设备自动执行）。配备1 台独立的服务器，利用千兆网络连接至2 台存储，形成仲裁系统。

（4）配置多台物理服务器，分别放置在应用服务器区和数据库服务器区，利用虚拟主机软件运行多个虚拟服务器，按照对应关系建立所有业务系统的生产和灾备虚拟主机。一般实现1 台物理服务器承载8 台虚拟服务器，可以大幅减少服务器数量，简化服务器管理。

（5）在生产中心和灾备中心分别旁挂1 台负载均衡设备，实现两中心应用链路联动，并结合数据复制技术，完成业务访问的负载均衡，以保证灾备中心服务器平时主要的处理能力均被生产应用系统使用，当出现灾难时，可根据需要接管的方式，动态调度资源给备份系统使用。在应用处理层面上，业务访问需求通过负载均衡自动分配到不同的应用服务器，实现完全冗余。

3.2.3 当前云计算容灾容错流程

（1）容灾切换方式。为了保持不动产管理系统业务运行的稳定性和连续性，采用灾备中心虚拟主机对生产中心业务主机的容灾架构。这种架构的容灾恢复较为简单，即只需启动容灾虚拟主机即可接管生产主机的服务，切换时间小于5 分钟，生产主机与容灾虚拟主机通过生产中心与灾备中心双活存储保证了数据的一致性。

（2）容错切换方式。通过虚拟化平台的HA 模块来保护业务主机，一旦发生物理服务器硬件故障，其上的业务主机可以通过HA 模块自动转移到其他的可用服务器上，从而确保了业务主机的高可用性。

3.3 云计算容灾的应用效果

通过初步应用虚拟化容错容灾技术，取得一些成效，有利于我们继续对这种新兴的容灾容错技术做有益的尝试、探索。

（1）当生产主机宕机后，容灾虚拟主机可以快速提供正常服务，切换时间小于5 分钟，基本满足了不动产管理系统对服务器故障恢复的容忍程度。

（2）增强了备份和还原机制，实现生产主机与容灾虚拟主机数据基本保持一致；通过双活存储技术实现生产数据的实时备份，并可快速切换应用灾备端存储，实现生产数据的快速的恢复。

（3）能够保证虚拟主机的高可用性，当服务器故障时，自动重新启动虚拟主机；但是没有集群软件的成本和复杂性，不需要应用程序感知集群软件或任何自动化软件的存在。

4 结语

不动产管理系统的数据安全防护体系的建立与完善是一个长期实践摸索的过程，面对应用数据的价值日益凸显的今天，我们在建设规划、日常维护过程中注意切合不动产管理系统实际，积极引进新兴技术，进行全面、细致的规划和周密、整体的部署，提高不动产管理系统的数据安全保障能力。