系统两地三中心方案Word文档格式.docx
《系统两地三中心方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《系统两地三中心方案Word文档格式.docx(8页珍藏版)》请在冰点文库上搜索。
在信息时代,业务持续性不再是一项“可有可无”的工作,而是“势在必行”的重点规划。
1.3.“两地三中心”业务保障
影响业务持续性发展的因素很多,既有外部因素,如电力、通讯等;
也有内部因素,如场地、人员、决策、IT技术等。
但从系统的观念看,可以说目前影响银行业务持续发展的最直接的威胁来自于信息系统的安全。
健全业务持续性风险的预防策略和措施,需要以下几点基于业务的需求:
a)实施数据集中保护。
随着数据日益成为银行的生命线,支持业务持续性的数据存储策略成为银行必须考虑的重点。
它的优势在于,总体存储的方式可使银行降低购置和维护的成本,最大限度地减少管理多个独立业务系统的复杂性,提高银行数据的整体安全性。
同时,存储容量也可得以优化,减少利用率偏低的现象。
b)采用冗余、集群、负载均衡能力等技术,消除单点故障,提高系统的高可用性,提高系统性能影响。
建立信息系统安全业务持续性保障体系,针对灾难性事件的预防目标,建议总、分行层面考虑建立异地容灾环境,建立异地备份机房,配备核心业务需要的基础设施、网络设备、通讯线路和计算机设备;
建立数据服务器区,实现全行经营数据的集中保存。
构建生产中心、同城灾备中心、异地灾备中心的“两地三个中心”灾备体系。
2.“两地三中心”灾难恢复系统布局
2.1.布局原则
a)灾难备份中心设置在中华人民共和国境内;
b)灾难备份中心与生产中心之间距离合理,应避免灾难备份中心与生产中心同时遭受同类风险;
c)灾难备份中心的选址应服从国家战略安全要求,并综合考虑生产中心与灾难备份中心交通和电讯的便利性与多样性,以及灾难备份中心当地的业务与技术支持能力、电讯资源、地理地质环境、公共资源与服务配套能力等外部支持条件。
2.2.布局模式
根据成本风险平衡原则以及运行管理要求,采用“一主双备”布局模式,即一个生产中心,两个个备份中心,其中一个同城备份、一个异地备份。
对于同城数据备份中心,应与生产中心直线距离至少达到30公里,可以接管所有核心业务的运行;
对于异地数据备份中心,应与生产中心直线距离至少达到100公里。
级越高,对信息系统的保护效果越好,但同时成本也会迅速上升。
灾备等级主要从RTO(恢复时间目标)和RPO(恢复点目标)来考虑,RPO(恢复点目标)是指发生灾难前最后一次备份的时间点距离当前时间差(数据丢失时间);
RTO(时间恢复目标)是指发生灾难后恢复物理系统环境的时间。
大部分的用户关注的是数据安全性,即RPO值(RPO越小,数据丢失越少),但是用户往往谈的更多的是RTO(RTO越小,恢复生产越快)。
2.2.1.金融行业标准要求灾难恢复级别
金融行业标准《银行业信息系统灾难恢复管理规范》(JR/T0044-2008)中指出金融单位应根据风险分析、业务功能分析和业务中断影响分析的结论,将信息系统按时间敏感性分成三类需求等级:
第一类:
短时间中断将严重影响单位关键业务功能并造成重大经济损失的系统;
单位和用户对系统短时间中断不能容忍的系统。
第二类:
短时间中断将影响单位部分关键业务功能并造成较大经济损失的系统;
单位和用户对系统短时间中断具有一定容忍度的系统。
第三类:
短时间中断将影响单位非关键业务功能并造成一定经济损失的系统;
业务功能容许一段时间中断的系统。
根据信息系统的时间敏感性,确定信息系统灾难恢复目标的最低要求:
RTO<
6小时,RPO<
15分钟;
24小时,RPO<
120分钟;
7天。
结合信息系统灾难恢复目标的最低要求和《信息系统灾难恢复规范》将灾难恢复能力划分为6级要求,第一类信息系统达到5级灾难恢复能力;
第二类达到3级灾难恢复能力;
第三类达到2级灾难恢复能力。
2.3.“两地三中心”建设策略
依照中国金融行业IT战略规划和架构的要求,我们认为“两地三中心”的建设应按照如下策略进行:
“两地三中心”建设要满足业务的需求。
建设资金投入、功能、处理能力、管理方式等必须满足目前的业务需求,同时还要兼顾未来发展的要求。
“两地三中心”需要建立高可用性的架构。
其中灾备中心启用后,就开始做为生产中心提供服务。
因此灾备中心也应该与生产中心一样,对关键业务应用采用高可用性架构,以防止由于单点故障而引起宕机
“两地三中心”应该可以提供演习环境。
演习是保证业务永续运行计划有效性的重要手段,每年至少应该举行一次。
演习环境是为了保证在演习是正常的业务处理仍能继续而建立的。
“两地三中心”设备应该得到充分利用。
系统建设不仅要考率到紧急情况下的使用情况,还要考虑日常如何利用。
例如,为了在平时提供灾备中心设备的利用率,可以利用灾备中心的设备进行应用的开发和测试。
“两地三中心”建设以用先进、成熟的方法论做为指导,分阶段进行。
先进、成熟的方法论为灾备中心建设的成功提供了保障。
灾备中心与生产中心使用结构相同的IT基础架构和管理流程。
这样可以大大降低管理与运行维护的复杂度。
灾备中心的处理能力可以与生产中心不同,但是要满足业务需要。
建设的内容包括:
面向数据中心提供网络通讯设备、通讯线路、存储网络设备的全面容错和异地容灾;
面向数据中心提供部分关键业务系统的容错和异地容灾。
3.“两地三中心”方案实现
3.1.系统实现
3.1.1.数据备份
同城双中心的数据采用同步复制,在同城灾备中心建立一个在线更新的数据副本。
当有数据下发到生产中心阵列时,阵列间的同步复制都会同时将数据复制一份到同城灾备中心。
同城灾备中心与异地灾备中心之间采用异步复制方式,定期将数据进行复制备份,异步复制支持增量复制方式,可以节省数据备份的带宽占用,缩短数据的备份时间。
3.1.2.灾难检测
通过对资源组状态的监控来判断资源的可用性,包括数据库资源组、网络资源组等。
资源组的状态分online/offline/fault三种,正常情况下生产中心在工作的时候资源组的状态都是online,而灾备中心的资源组是offline状态。
每个资源组在online和offline的时候均可以指定运行程序或脚本,程序或脚本执行完成后资源组即完成online或offline的过程。
当检测到生产中心有资源组出现fault状态时,同城内生产中心同灾备中心将进行切换,以保证业务的连续性。
3.1.3.容灾切换
基于应用容灾切换包括一系列的动作:
停止灾难节点的部件服务、切断数据复制链路、建立数据容灾基线、启动容灾节点的部件服务、通知前端设备进行业务网络切换。
具体动作可以结合实际情况,通过脚本来定制。
3.1.4.恢复回切
回切工作流程和切换流程原理是一样的,只是因为切换的时候是不确定触发的、可能导致业务受部分影响;
而回切的时候通过人工确认,选择最小影响的情况下执行操作(比如业务流量非常小的情况下,甚至暂停业务情况下),因此回切推荐采用的是手动切换模式。
应用级容灾采用的是自动切换还是手动切换,用户可以在部署时通过修改主机集群软件的切换配置实现。
同城范围有效保证了数据的安全性和业务连续性;
异地复制数据根据灾难情形,尽可能降低数据丢失机率;
同城双中心为同步复制,数据实时同步,RPO=0;
异地无距离限制,保证数据一致性,保证了数据的有效保护;
异地容灾带宽要求低,先进的复制机制提高带宽利用率。
3.2.业务应用备份恢复实现
应用环境备份的目的是确保灾备中心能够快速重建数据中心应用系统环境,并实现备份业务系统对生产系统有效替代。
对应用环境备份的设计要点包括:
通过配置同步技术,实现数据中心应用环境的一致性。
灾备中心的应用环境在技术路线、设备部署方面应尽量保证与数据中心应用环境一致。
这样有利于提高灾备应用环境与生产应用环境之间手工切换的效率,也有利于日常检验灾备应用环境的可用性。
一般可通过灾备应用环境定期向生产应用环境读取配置文件、参数等方式,实现两者配置的同步。
灾备中心关键型业务系统实现集群间自动切换,其余业务系统则采用手工切换模式。
数据中心应用服务器一般通过HA等技术建立高可用性集群,保证本地应用服务的高可靠性。
同样,只要建立数据中心与灾备中心之间的高可用性网络监控技术,灾备中心备份应用服务器集群可实现与数据中心生产服务器集群之间的高可用性自动切换。
为节约成本投入,建议对关键性业务系统采用此方式,以满足RTO一小时以内的灾备恢复需求。
对于其余业务系统,只要如前所述,保证应用环境一致性,通过手工方式进行切换即可。
采用虚拟化技术对备份环境进行整合。
灾备中心应用环境备份资源毕竟有限,充分利用备份应用资源对数据中心应用环境保护十分重要。
虚拟化技术可实现一台物理应用服务器对多台逻辑服务器的虚拟。
这样在数据中心里,大量性能要求不苛刻、RTO要求在数小时以上的应用系统灾备环境就可以集中部署在少数的硬件服务器资源中,有利于灾备中心尽可能提高对数据中心应用系统的灾备范围。
4.“两地三中心”安全管理
“两地三中心”系统的管理可以分成两部分:
日常管理、应急管理。
其中灾备中心的日常管理机构与生产中心相似,可以参照IT治理文档的组织架构部分。
关于业务持续性运行管理可参照以下流程管理:
当灾难发生时,需要有专门的组织协调进行灾难恢复的相关事宜。
灾难恢复组织分两部分,一个是管理组,另一个是恢复组。
升级会员 