【摘 要】网络安全中最重要的是数据安全,为了保障相关业务应用数据的安全和业务系统的连续性,必须进行容灾备份。在分析了数据中心容灾备份系统的建设背景和应用技术后,南京市教育城域网市区协同一体化灾备中心通过有效的系统设计,初步实现跨数据中心的数据容灾功能,以确保业务的连续性、高可靠性及数据安全性。
【关键詞】教育城域网;备份技术;数据灾备;信息安全
【中图分类号】TP309 【文献标志码】A 【文章编号】1005-6009(2022)12-0016-06
【作者简介】许海清,南京市江宁区电化教育中心(南京,211100)教师,高级教师,主要研究方向为教育城域网建设、数据中心建设运维。
一、数据中心容灾备份系统的建设背景和技术分析
计算机网络的广泛应用对教育信息化的发展产生了重大的影响,同时也不可避免地带来了一些网络安全问题。网络安全中最重要的是数据安全,为了保障相关教育业务应用数据的安全和业务系统的连续性,必须进行容灾备份。数据中心容灾备份系统简称“灾备系统”,[1]又称为“灾难恢复系统”或“灾难备份系统”。灾备系统是数据中心保护数据的最后手段,[2]其建设是一项系统工程,不但涉及数据中心的服务器、存储、网络,还涉及业务流程、规章制度、外部协作、资金投入等各个方面。从其对系统的保护程度来分,可以将容灾系统分为数据容灾和应用容灾。[3]数据容灾指建立一个异地的数据系统,该系统是本地关键应用数据的一个可用复制。[4]在本地数据及整个应用系统出现灾难时,系统至少在异地保存有一份可用的关键业务的数据。应用容灾是在数据容灾的基础上,在异地建立一套完整的与本地生产系统相当的备份应用系统(可以是互为备份),[5]在灾难发生的情况下,远程系统迅速接管业务运行。数据容灾是抵御灾难的保障,[6]而应用容灾则是容灾系统建设的目标。
(一)背景介绍
《江苏省“十四五”教育信息化发展专项规划》提出8项重点任务,即加快教育新基建布局、优化教育大资源服务、深化智慧校园建设、打造未来学习空间、普及人工智能教育、提升师生信息素养、推进数字化教育治理。随着教育信息化的深度发展,未来教育管理者、师生、家长等用户对业务系统的依赖程度会越来越高,因此对业务系统服务的连续性、安全可靠性提出了更高的要求,尤其是一些关键事务如招生报名、教育缴费、在线教育等。单一数据中心的服务能力和可靠性是有限的,外网线路故障、设备故障、供电故障、突发访问高峰时资源不足等都是单一数据中心服务的局限性所在,需要进行灾备建设。另外,各类网络安全规范要求和数据安全法也都要求信息系统实现异地灾备。
在有效利用南京市现有教育城域网的资源、结合市级和各区县教育信息化实际情况的基础上,南京市推进了教育城域网市区协同一体化灾备中心建设,开始区域教育城域网数据中心容灾机制的应用探索。目前已建成以市教育城域网数据中心为主中心、江宁教育城域网数据中心为分中心、各区县教育城域网数据中心为节点的区域教育城域网数据中心容灾体系。
(二)关键技术分析
1.远程镜像技术。
容灾备份的核心技术采用的是远程镜像,又叫远程复制。[7-8]这种技术可以让分属不同物理位置的存储设备通过远程数据连接,在异地维护一套本地的数据镜像。远程镜像是保持远程数据同步和实现灾难恢复的基础。按照主机的写入是否需要远程镜像站点的确认信息,远程镜像技术又可分为同步远程镜像和异步远程镜像(如表1所示)。
2.快照技术。
快照是通过软件对要备份的磁盘子系统的数据进行快速扫描,建立一个要备份数据的快照逻辑单元号LUN和快照cache。它可使用户在正常业务不受影响的情况下(主要指容灾备份系统),实时提取当前在线业务数据。[10]其“备份窗口”接近于零,可大大增加系统业务的连续性,为实现系统真正的“7×24”运转提供了保证。快照是通过内存作为缓冲区(快照cache),由快照软件提供系统磁盘存储的即时数据映像,存在缓冲区调度的问题。
3.IP网络传输技术。
利用基于IP网络的互连协议,将主数据中心内的数据通过现有的TCP/IP网络,远程复制到备援中心的专用备份容灾设备内。
二、数据中心容灾备份系统的系统设计与功能实现
(一)系统目标
建成以市级教育数据主中心为主节点,区级教育数据中心为分节点,可互为灾备的同城异地容灾体系,满足市区两级信息系统二级等保和三级等保的要求,并实现市区两级教育关键应用系统的高可靠性,提升服务质量。主节点与其他分节点之间实现数据级的异地备份,可相互将重要数据备份到对端,实现以下目标功能。
1.系统具有对应用文件、数据库、数据卷等不同层级数据的备份能力。
2.实现主中心和分中心之间的数据相互备份,其他区级数据中心的关键应用数据可备份至市级主中心或分中心。
3.为其他数据中心提供关键及重要应用系统或数据备份。
4.能够提供针对物理机、虚拟机以及可兼容类型数据存储设备相应的备份手段。
(二)通用型数据容灾系统
1.系统设计。
在南京市江宁电化教育中心建立容灾分中心,部署一套分布式数据容灾系统(如图1所示)。此系统配置3个备份节点,各节点拥有相同数量和相同大小的硬盘,为主数据中心和其他区级数据中心提供通用型数据容灾备份方式。
在系统实现上,3个备份节点组成备份集群,备份空间进行池化,同时使用统一管理界面进行集中式管理,形成一个统一的备份存储资源池。
在每个集群里,每一个节点都是活动节点。集群虚拟IP在其中某一个节点上,当接收到访问请求时,会对请求做负载均衡,分配到不同的节点来处理;当此节点宕机,集群虚拟IP自动转移到其他节点上,以此来保证集群的高可用性(如图2所示)。而对于个体业务系统来说,通过直接访问统一的虚拟IP,简化了备份的配置。
2.数据备份。
市级主中心和容灾分中心可在关键应用服务器中部署备份客户端软件,客户端软件定期将需要备份的关键应用数据通过全市教育城域网相互发送至对端的通用型数据容灾系统,对关键数据进行备份和存档(如图3所示)。同理,其他区级中心只需要在关键应用服务器中部署备份客户端软件,做好备份规则,客户端软件会定期将需要备份的关键数据发送至市级主中心或容灾分中心内的通用型数据容灾系统,对关键数据进行备份和存档。
通过配置客户端软件,可以实现文件级和数据卷级(如图4所示)的备份。
3.备份系统灾备保护。
市级主中心和容灾分中心均配置了本地通用型数据容灾系统,可定期将本地数据备份系统的关键数据发送至对端通用型数据容灾系统,对关键数据进行备份和存档。其他具备本地可兼容的通用型数据容灾系统的区级中心节点,也可将关键应用数据发送至市级主中心或容灾分中心进行备份和存档。
(三)存储级数据容灾系统
1.系统设计。
在容灾分中心部署一套存储级远程数据容灾系统,为主数据中心和其他区级数据中心提供存储级数据备份(如下页图5所示)。在存储级远程数据容灾系统上增加一个快照功能授权和一个远程镜像功能授权,提供存储级数据远程备份功能和充足的备份空间。将存储控制柜接入容灾分中心业务网络,主中心和其他区级中心需要远程备份的存储能够通过全市教育城域网连接至该存储控制器,进行远程备份任务。容灾分中心业务也可连接至市级主中心存储控制器,将存储数据卷备份至主中心。
2.功能实现。
能够支持远程镜像技术的数据存储,是经由全市教育城域网和各数据中心网络,对数据存储上各关键业务数据卷进行定时备份。实现此功能需要满足如下条件:目标数据存储和存储级容灾系统满足IP网络可达;存储系统需要支持远程镜像功能;存储级容灾系统设备配置快照功能,支持数据卷备份时执行快照,保留备份卷还原点。
(1)存储级数据卷定时备份功能。
通过对兼容现有容灾分中心存储控制器的存储设备配置复制功能授权,定期将关键数据卷利用远程镜像技术备份到容灾分中心内的存储级容灾系统内(如图6所示)。
(2)依据还原点恢复。
在容灾分中心备份存储上配置快照功能,配置远程镜像任务时启用快照,在配置快照还原点数量后,每次完成远程镜像备份任务后数据副本相应生成一个还原点,这样定期执行快照任务后即可提供多还原点的备份副本,提高数据备份的安全性。如当建邺区数据中心的教育信息数据库所在的数据卷出现故障时,可通过江宁区灾备中心的备份数据,利用最近的一次还原点副本進行数据回备,写入建邺区数据中心存储设备内,同时删除损坏的数据卷;待数据卷回备完成后,将数据卷重新挂载于应用主机,教育信息数据库即可恢复使用。
三、 数据中心容灾备份系统的特点
一是能有效利用现有的教育城域网资源。南京教育城域网覆盖全市各教育节点,全网IP网络可达,为全市异地容灾体系的快速构建打下基础;各区县教育城域网数据中心可利用现有的兼容灾备资源,只要做相应的技术和资源配备,就能方便接入全市的灾备体系中来。
二是系统支持多级别数据备份功能,支持文件级至数据卷级,兼容性广泛;系统也支持基于数据存储设备底层数据块的复制和校验,备份效率高,备份量大,传输速度快。
三是系统结构简单,IP网络可达即可实现容灾备份;系统支持重删技术(重删率最高可达99%),从而大幅度减少备份数据总量,降低备份数据所占用的存储空间,提升存储设备的利用率。
四是系统效率高,灾备时传输的数据为已完成源端重删的数据,同时基于数据块增量的复制技术,大大降低对网络带宽的占用。系统支持秒级数据保护功能,能够快速恢复关键业务系统。
五是系统支持复制与数据快照联动,在复制触发时,主存储会自动产生一个快照,将当前时间点的数据状态保存下来,并将这个快照点的状态传送到灾备中心存储,以保证复制完成的时候该时间点的状态是完整可用的,多个数据还原点可保证容错性更高。
六是系统安全可靠,增量备份的数据和普通备份数据在传输过程中可进行加密处理,存储同样支持加密处理,数据安全性得到保证;远程镜像技术将有逻辑关联的数据卷组成一个“组”,复制、快照等策略以组为单位进行,保证这些数据卷的内在逻辑一致性,确保灾备数据的可靠性。
七是系统扩缩性好,支持横向和纵向扩容,系统容量和性能扩容方便快捷。
目前基于通用型容灾系统备份功能和存储级数据容灾系统的远程镜像功能已经在南京教育城域网内初步实现跨数据中心的数据容灾,但还是异步备份的方式。后续工作实践中将针对容灾数据的同步备份做有针对性的探索研究,同时结合虚拟化技术实现跨数据中心的应用容灾技术探究,乃至基于教育城域网建设同城双活教育数据中心。
【参考文献】
[1]康芬.容灾中心容灾体系规划与设计[D].西安:西安电子科技大学,2006.
[2]刘昕洋.金融交易系统的数据灾备技术及其应用研究[D].大连:大连海事大学,2014.
[3]陈刘忠,展亚南,张旭东.云平台容灾技术研究与实现[J].网络安全技术与应用,2021(5):87-89.
[4]胡玲敏.数据容灾方案在会计信息系统中的设计与实现[D].上海:华东师范大学,2011.
[5]蒋鸿城,戚伟强,裘炜浩,等.基于远程镜像的数据容灾技术在浙江电力的应用[J].电力信息化,2011,9(11):16-20.
[6]王尉宇,孙卓.数据容灾备份的方法及实现[J].电子世界,2017(1):158-159.
[7]郭天杰,曹强,谢长生.远程镜像技术和方法研究[J].计算机工程与科学,2006(10):38-41,49.
[8]贾伟.大数据中心容灾备份的设计与实现[D].扬州:扬州大学,2018.
[9]闫瑾,宫思明,姚丹,等.信息系统容灾备份技术探讨[J].信息与电脑:理论版,2020,32(12):46-48.
[10]余向前,刘晓昆,肖兴峰.基于快照技术实现数据库快速恢复的方法研究[J].通讯世界,2020,27(7):107-108.
3629501908271