公安核心数据保护 方案
2015- - 10
更新 记录
序号
日期
新版 本号
更新 说明
作者
1
V1.0 方案编写 臧磊 2
V1.0 方案审核
目录 一、 建设背景 ................................................................ 4 二、 核心数据保护目标 ........................................................ 4 2.1、多维度数据保护技术 .............................................. 4 2.2、连续数据保护 .................................................... 5 2.3、远程数据保护 .................................................... 5 三、 基于 HXVTL1000 数据保护方案特点 .......................................... 5 四、 方案亮点 ............................................................... 11 4.1、简化架构、消除附加成本 ......................................... 11 4.2、不只是简单集成 ................................................. 11 4.3、高级功能 ....................................................... 12 五、 系统及数据库支持 ....................................................... 14
一、 建设背景 伴随公安业务需求的不断增长,当今公安 IT 系统的复杂化趋势十分明显。如何实现全方位保护公安 IT 系统,如何保障多类型公安核心数据的完整性将成为目前信息化过程中需要克服的主要难题。
面对上述问题,新兴的持续数据保护(CDP)技术和传统的备份技术之间展开了一场激烈的辩论,各种厂商根据自己的技术积累而阐述各自不同的观点,由于 CDP 和备份技术的特点鲜明,优劣势各异,从而导致了用户的无所适从和选型障碍。
CDP 技术和备份技术既不是谁替代谁的关系,也不是彼此竞争的关系,而应该是相互补充的。当然,让用户在有限的资金预算前提下选择多种产品的确存在困难,而 HXVTL1000 将使您不再纠结于此,基于独创的多维度数据保护技术(MDP)设计的 HXVTL1000 将为用户 IT 系统提供全方位的保驾护航。
二、 核心数据保护目标 2.1、 、 多维度数据保护技术
数据保护技术种类繁多特点鲜明,HXVTL1000 采用的 MDP 技术从数据源类型、操作系统环境、数据获取方式以及时间轴(包括恢复点目标 RPO 和恢复时间目标 RTO)等多种维度提供保护,真正实现在单一设备上整合多种数据保护技术,是目前业界能够看到的功能最丰富并且完全自主掌握核心技术的国产产品。
2.2 、连续数据保护 HXVTL1000 除了是备份设备外还是持续数据保护设备,内置的 CDP 技术充分发挥了高速磁盘介质的特点,秉承当数据写入时即完成保护的原则,有效消除了备份窗口,真正实现 RPO=0。同时,由于采用块同步技术,保障 HXVTL1000与源存储设备高度一致,从而实现无须恢复过程即刻挂载,甚至到达 RTO=0。
2.3 、远程数据保护
任意多台 HXVTL1000 之间均可实现远程备份功能,通过该技术可以帮助用户完成异地容灾、离线保存、多点数据汇聚等需求。而且该功能并不需要额外付费,唯一的限制将仅是设备的容量。
三、于 基于 HXVTL1000 数据保护方案特点 ( (1)
)
影子副本即时挂载,多重用途 在新版 HXVTL1000 数据保护系统 5.0 中,我们利用影子副本(Shadow Copy)即时挂载技术,可以在不停止 CDP 保护的情况下,直接将多个历史快照/记录点数据状态瞬间挂载到不同主机或者虚拟机,可以与 CDP 磁盘组同时读写访问。
影子副本带来的好处是毋庸置疑的,它极大地改善了 HXVTL1000CDP 的易用性,包括灾备演练、恢复、测试和数据再利用的体验,并简化操作步骤。相当于可以将不同时间点的快照数据,虚拟生成若干个磁盘组,就像真实的多个 LUN来使用,以方便查询最符合要求的数据用于恢复。
当我们不再需要这些数据挂载点时,可以随时删除,不会影响到原有 CDP
任务保护的数据。在“影子卷”上产生的增量变化数据不被保留,占用的磁盘空间将释放会存储池。
如果选择将 CDP 卷组先进行设备上或者设备间的复制,当副本数据独立存放于单独的 RAID 磁盘,此时再使用影子副本功能做读写分离或查询等,适用于高I/O 负载的业务(比如交易频繁的数据库),同时保持不停止保护和复制。
( (2 )HXVTL1000 多维度远程容灾,降低 TCO 一机多用:用于异地容灾的 HXVTL1000,可以作为 CDP 的远程复制目标,也可以作为 HXVTL1000 统一备份功能的数据接收点,以及 VTL 等设备的远程复制保护。
一对多、多对一:一台 HXVTL1000 上的数据可以远程复制到异地多台HXVTL1000;而位于不同地点多台 HXVTL1000 上的数据也可以集中复制到一台HXVTL1000。
在位于灾备站点的 HXVTL1000CDP 远程复制目标上,同样可以利用到影子副本功能带来的好处。
( (3)
)
革新的 高性能 数据保护机制 针对存储高性能要求的应用场景,使用持续数据保护通常会对应用系统性能产生影响。HXVTL1000 采用多项创新的优化技术,保障对应用系统性能产生的影响降到“零”。
首先,HXVTL1000 根据持续数据保护的应用特点,采用独特的大容量高速缓存和 SSD 多级缓存架构来提高写入性能,充分利用多核处理器技术,配合先进的并行队列处理算法,将 CDP 对生产存储性能的影响降到最低。
其次,HXVTL1000从数据接收到写入磁盘的整个处理过程都在内核态实现,与用户态处理模式相比计算效率至少提高一倍。
此外,HXVTL1000 使用的自主研发基于 UNIX 内核的专用存储操作系统,集成了磁盘卷组管理、高效 RAID 和快写条带等技术保证了数据的安全性和性能。
( (4)
)
无风险的 带外 同步写入 HXVTL1000CDP 在不改变原有系统存储架构的基础上,于被保护主机安装分流器,不影响原有数据存储操作,以带外(Out-of-Band)方式镜像写入数据,实现 HXVTL1000 与应用数据存储的完全同步,避免了带内(In-Band)方式单点故障所带来的风险。
同时,使用分流器也可以实现对服务器内置存储的持续数据保护,包括操作系统和数据卷的保护,支持通过 FC 及 iSCSI 协议进行 SAN Boot,达到立即恢复应用系统的目的。
( (5)
)
无限制记录点 ,轻松应对“ 渐进性” 数据损坏 HXVTL1000CDP 严格按照存储 I/O 的写入顺序进行记录,记录数量无限制,可以选择任意的历史记录点进行回滚,将生产数据恢复到任意时间点的状态。
( (6)
)
具有专利的 一致性 快照技术,与数据库结合更好 针对某些应用(如 Oracle 数据库等),并不是每个 I/O 记录的状态都是应用数据的一致性点,而非一致性状态有可能造成事务的非正常中断,影响数据正确性,重则破坏数据库,造成数据丢失。HXVTL1000 采用数据一致性技术,专门开发了与应用软件相结合的数据一致性代理程序,生成数据一致性快照恢复点。既能够实现单个 I/O 记录操作的精细颗粒度,又最大限度保证了复杂应用环境下数据的有效恢复。
HXVTL1000CDP 的数据库一致性技术,属于被动快照记录点。传统的主动式快照/备份一致性代理,在生成快照点之前需要通知数据库将内存中的临时数据(dirty data)写盘,会影响数据库性能,特别是频繁快照时影响更大。而HXVTL1000CDP 的被动式快照生成机制对性能没有影响。
( (7)
)
可靠的数据存储技术 松耦合的存储结构设计,系统卷损坏不会造成数据卷数据丢失;
独特的重载(Reload)技术,确保系统故障后的快速恢复; 与位置无关的磁盘卷组,故障硬件更换不受限制,只要冗余卷组不坏,则保证数据不丢失; 可设置全局热备盘与 RAID 0/1/5/6/50/60/TP 等多重 RAID 保护技术,快速重建,最大限度的保证数据存储安全。
① ① 分流器 – 截取主机写操作(块级别),主机每次对被保护磁盘的写操作均被镜像写入到 HXVTL1000 – 镜像数据写入过程在主机的主存储读写路径之外 ② ② 数据卷 卷 – 在 HXVTL1000 上保存主机分流器写入的所有数据 ③ ③ 记录 卷 和一致性代理 – 在 HXVTL1000 上保存主机分流器写入的 I/O 记录 – 根据应用特点,通过一致性代理保存应用数据一致性快照 – 使数据能够快速恢复到任意 I/O 记录 ④ ④ 支持异构环境 – 单台 HXVTL1000 可以保护多个主机应用数据和存储 – 支持被保护主机不同的存储连接方式 – 支持 Unix、Linux、Windows 等各种主流系统平台 ⑤ ⑤ 远程容灾 – 单台 HXVTL1000 中的数据可以复制到远程多台 HXVTL1000 – 多台 HXVTL1000 中的数据可以集中复制到一台 HXVTL1000 ( (8 )I/O 记录和快照数据回滚恢复、测试
当生产数据出现由于物理或者逻辑原因导致的丢失时,HXVTL1000 通过数据回滚和反向同步操作,可以将生产数据恢复到任意历史 I/O 记录点和一致性快照。在主机端能够随时挂载磁盘快照并浏览内容,加载数据库系统进行恢复验证。
( (9)
)用 利用 SAN Boot 技术快速恢复中断的业务系统
在应用系统盘故障,系统无法启动时,通过FC或iSCSI连接到HXVTL1000,使用 HXVTL1000 的 SAN Boot 功能,能够立即使应用服务器重新开机。无需重新安装即可恢复操作系统正常运行,启动后还可以将 HXVTL1000 的数据恢复到原有操作系统盘。
( (10)
)
挂载影子副本,不停保护进行对象级恢复
HXVTL1000 的影子副本挂载,可以像单独的 CDP 数据卷那样进行读、写访问。除了进行整个被保护磁盘的恢复之外,还可以适用于单个文件、数据库表和记录级别的恢复——而无需数据回滚的过程,能够大大减少恢复时间。
( (11)
)
开放架构 全面兼容 无中断快速部署,无需改变现有 IT 架构,消除风险 不受存储设备品牌/技术限制,支持异构存储复制 与存储架构无关,实现服务器内置硬盘、DAS、FC SAN、IP SAN 设备的全面保护 与应用无关,实现结构化数据与非结构化数据的全面保护 ( (12)
)
实时复制 高效容灾 实时复制,无备份窗口概念,不消耗主机资源 最小 I/O 记录级颗粒度的历史数据恢复能力,满足用户对 RTO、PRO 的严格要求
( (13)
)
物理/ 虚拟环境 随时验证及演练 轻松验证灾备数据,随时进行容灾演练 支持通过 HXVTL1000 内置的虚拟机来挂载用户数据,可快速恢复应用环境,最大限度降低容灾成本 ( (14)
)
瞬间恢复应用 数据“零”丢失 本地实时复制,HXVTL1000 应对故障的 RPO 可达毫秒级 本地快速恢复,HXVTL1000 应对故障的 RTO 可达毫秒级(部分情况下)
任何故障的恢复,包括历史数据丢失、删除的快速恢复 实时远程容灾复制,大幅度提高 RPO 为秒级(带宽允许时)
灾备系统快速恢复,大幅度提高 RTO 为分钟级
四、 方案亮点 4.1、 、 简化架构、消除附加成本 HXVTL1000 数据保护系统将备份服务器、介质服务器、虚拟磁带库、支持重复数据删除的磁盘存储及配套相关软件均集成到一套设备上,在降低用户备份总体拥有成本的同时,减少了系统集成的复杂性。特别针对国内用户的需求特点提供“交钥匙”解决方案,用户不必联系多家供应商来解决售后服务问题,而且不存在多个产品兼容性和故障判断方面的困扰,大大简化了后期运维的难度。
与传统备份软件按照不同数据库/应用/文件代理、客户端数量来购买许可证的方式不同,HXVTL1000 数据保护系统不限被保护主机的数量,各种数据库、操作系统、文件备份代理全部免费。
4.2、 、 不只是简单集成 在一体化备份领域,传统硬件厂商通常欠缺软件核心竞争力;而备份软件厂商大多对硬件的理解和掌控不足,因此许多产品还停留在简单拼凑的层面,无法做到深度的融合。HXVTL1000 数据保护系统则完全不同,按照 IDC 的分类定义,它是一款多功能的备份存储设备(PBBA)。
HXVTL1000 内嵌自主研发基于 UNIX 内核的专用存储操作系统,避免了传统厂商采用的硬盘或 SSD 加上 Windows 操作系统的模式,无需占用存储设备的硬盘安装位,并最大程度地保证了可靠性和安全性。
量身打造:专为中小企业量身打造的统一备份解决方案,支持 Windows 和Linux 下的多种数据库包括 Oracle RAC、邮件服务器、操作系统、以及文件等各种类型数据源,同时可实现 LAN-Free、驱动器共享、D2D2T 等企业级的备份功能,为用户提供更加全面、高效的保护。
底层磁盘阵列技术:大多数备份一体机的磁盘存储池是由服务器上的 RAID卡来控制和保护的,而 HXVTL1000 则基于专为磁盘阵列优化的存储操作系统。
通过底层存储空间虚拟化技术,在 RAID 故障时只需要重建用户写入数据的容量范围,而不用重建整个硬盘,在大多数情况下能够显著节约时间,并减少对正常数据备份的影响。独特的“快写条带技术”把多个数据批量顺序写入硬盘,大幅提高了性能。
超大硬盘容量:某些国外备份一体机厂商使用的 4 块硬盘(RAID 5)或 8块硬盘(RAID 6),其实际容量不超过 8TB。HXVTL1000 数据保护系统采用 RAID 5/6 和全局热备盘的配置,容量可达 15-48TB 或者更高,同时提供了更好的容错和可靠性。
虚拟带库功能:HXVTL1000 数据保护系统支持虚拟磁带库(VTL)功能,可以直接作为一个带有重复数据删除的磁盘虚拟磁带设备来使用,尤其在 FC SAN、IP SAN 存储网络环境中,支持 LAN-Free 备份,可大幅度提高备份效率。
双重系统防护:目前大部分的备份一体机产品采用硬盘或 SSD RAID 1 的方式来保护操作系统,这样做的好处是能够应对物理驱动器故障,却无法从严重的逻辑错误中恢复,比如病毒感染、系统崩溃等。HXVTL1000 数据保护系统则支持以闪存为介质的双存储系统盘,无论发生任何系统故障,仅需从后备系统盘启动并利用重载功能,HXVTL1000 即可恢复正常。
4.3、 、 高级功能 ( (1)
)于 基于 SAN 环境的共享备份 通过配置光纤传输的数据迁移器,将备份数据直接写入 HXVTL1000 自带的虚拟磁带库或者物理磁带设备中,实现 FC SAN 或 IP SAN 环境下的 LAN-Free方式的数据备份,即数据流直接从备份源点经过光纤交换机写入到目标存储介质,进而实现高速备份。VMware 服务器亦可作为 SAN 中的备份主机,实现LAN-Free 方式的端到端虚拟机备份。
( (2)
)
重复数据删除 重复数据删除作为目前的热门存储技术,被广泛应用于虚拟磁带库和备份类产品中,其对于存储容量的优化和消除冗余数据方面的优势十分明显。由于重复
数据删除实质上就是“用计算能力换取存储空间”的技术,HXVTL1000 数据保护系统很好地实现了平衡性能和存储容量之间的关系。
HXVTL1000 数据保护系统支持一对一、多对一、一对多、多对多的不同广域网容灾范围。采用数据压缩、断点续传、流量控制和双向缓冲技术,以及重复数据删除,减少网络通信流量 90%,提高了数据传输的稳定性和效率。物理位置分离的两台、多台 HXVTL1000 可以相互容灾备份,一旦灾难发生,在异地HXVTL1000 上的数据备份并不会受到波及,确保数据安全。
( (3)
)
离线数据保护,实现法规遵从 HXVTL1000 数据保护系统能够支持磁盘到磁盘到磁带(D2D2T)方式的备份,可以实现将内部磁盘存储中的数据备份至物理磁带库中,满足备份数据离线保存的需求。另外,HXVTL1000 连接物理磁带库,还可以使用 LAN-Free 方式通过 SAN 网络直接高速备份数据。
( (4)
)
精细颗粒度恢复 HXVTL1000 支持备份数据的单文件恢复,即备份时以文件夹为单位,恢复时可以选择恢复其中的任意文件。
HXVTL1000除了调用RMAN接口备份Oracle数据库之外,还能支持Oracle单表级备份和恢复。用户可以根据自己的实际需要来选择不同的方式。
( (5 )VMware 无代理备份 传统的数据备份方式,需要在被保护客户端上安装代理程序,通过它将需要备份的数据库/文件/操作系统数据发送到备份设备。而在虚拟化环境中,这样的备份部署架构意味着每个虚拟机上都要单独安装代理,并且会消耗更多的处理资源。
HXVTL1000 支持 VMware 无代理备份,利用 VMware VADP 专用接口,直接从 ESXi 物理服务器底层获取磁盘镜像数据,并写入到 HXVTL1000 的存储池,避免了传统备份方式用于虚拟机的复杂度,简化了操作。
( (6)
)
恢复测试和灾备演练 HXVTL1000 数据保护系统支持建立备份容灾的物理机或者虚拟机。该功能还可以用于恢复测试和灾备演练,随时验证备份数据的有效性。
五、 系统及数据库支持 支持操作系统、数据库/应用简表:
项目 类别/ 厂商 软件名称 操作系统 UNIX AIX Solaris HP-UX Linux 麒麟 Linux 红旗 Linux PowerLinux Red Hat SUSE CentOS Oracle Linux Debian Ubuntu Windows Windows Server 2003 Windows Server 2008 Windows Server 2012 数据库 甲骨文 Oracle(含 ASM、RAC 支持)
MySQL 微软 SQL Server Exchange Server SAP Sybase ASE Sybase IQ IBM DB2 Lotus Informix 国产数据库 达梦 DM 神通数据库(原神舟 OSCAR)
南大通用 GBase 人大金仓 KingBase TRS
相关热词搜索: 核心 公安 保护