数字校园建设之容灾建设

沈权权　聂丽萍

摘 要：本文从高校数字校园建设的架构中介绍了容灾的重要性，并从数据库容灾、应用系统容灾两方面来设计完整的网络容灾建设方案。分析了不同技术各自的优缺点，并描述了备份一体机在管理成本、设备成本、设备复用等方面的优势。

关键词：数字校园；数据库容灾；应用系统容灾

数字化校园发展到现在，已经从最初的单个办公系统发展成为云、网、端一体的架构，技术融合了通信、计算、软件，3C终端融合了电信、互联网、广播电视网、物联网等。无论校园网如何发展，数据信息安全建设都是首要考虑的。高校的正常运行已经离不开数字化校园系统。在校园网的设计原则里就明确包含有“可靠性、安全性和保密性”原则。本文就针对这三方面展开。

目前的数字化校园的主流建设要点如下：

从建设要点可以看出，所有数字化校园的体现部分都依赖于基础平台。表现部分有大量的敏感信息（如：財务、科研、一卡通等），针对这部分的数据都有可靠性、安全性和保密性要求。要做好相关业务系统数据安全等工作，必须先找到我们要保护的根本，这就得先了解透整个系统平台的后端架构，也就是数据部分，否则我们就会陷入到“头疼医头，脚疼医脚”的治标不治本的境地。每个校园网的建设都不尽相同，因此在这方面就没有一个“万金油”式的方案，只能去根据各校园网建设的架构具体分析才能得出最终的解决之道。这里我们就以某高校的后台数据中心的架构作为本文讨论的模型。

该高校的数据中心体系结构如下：

从架构分析可以看出，整个数据中心的所有数据都在核心数据库中，所有业务都是从该数据库获取数据（财政除外）。这也就意味着数据库系统是整个数字化校园中数据核心，一旦数据库发生故障，整个数字化校园就处于瘫痪状态。因此核心数据的保护就显得尤为重要。下面我们就讨论下如何保护数据库的安全。

1 数据库容灾

大部分数字校园的核心数据库都是Oracle，版本都是10G以上。为了保证数据库的高可用，基本都做了各种集群。部分做了底层数据镜像来保证在线数据的安全。为了防止数据库逻辑错误（如意外断电、人为误删除、病毒、黑客入侵等），软件平台公司也会做一些数据库导出的脚本来定期备份，部分学校会采用专业的备份系统来做这些事情。从本地安全角度来看，做完上述这些保护措施，数据库本地安全几乎做得差不多了。但是，从容灾角度来讲，还做得不够。这些系统设备都集中在一个机房，当发生机房断电、火灾等事件时，所有业务都要瘫痪，更严重的是数据丢失（如火灾发生时）。因此本地安全做得再好，也只是把所有鸡蛋放在一个篮子里。为了更完善的保护数据库及相关系统，还得建立1个容灾中心。

我国《信息系统灾难恢复规范》（GB/T 20988-2007 ）定义的容灾级别划分如下：

第1级 基本支持；

第2级 备用场地支持；

第3级 电子传输和部分设备支持；

第4级 电子传输及完整设备支持；

第5级 实时数据传输及完整设备支持；

第6级 数据零丢失和远程集群支持。

参考以上标准，单做本地数据安全的只能达到第1级。容灾级别每上升1级，建设费用将成倍增加。为了节省成本，建议根据各系统的特点设计不同的容灾方案。

首先从数据库考虑，数据库的重要性在之前的分析中就有结论了，因此有必要将容灾级别提升到最高级，即RPO=0，RTO接近于0。

其次从业务系统方面考虑，要求级别就不那么高了。在之前的系统结构图里就能看出，业务系统处理的数据最终是在数据库里保存的，业务系统一旦上线运行正常，几乎很少有改动，只在后期功能调整、升级等事件时才会有变化，本身并没有多少数据。这些就决定了业务系统的RPO至少是以天来计算。

另外，業务系统时效性要求（RTO）也各不相同，有的业务系统要求在几分钟内能恢复，有的则几小时或几天不等。决定业务系统容灾级别的是RTO，针对哪些RTO要求高的，我们做到第5级，其余的做到第4级即可。

最后从网络方面考虑，网络是整个数字校园业务系统的载体，脱离了网络，即使容灾中心做得再完善，当生产中心故障时，容灾中心相关业务也无法对外提供服务。因此，容灾中心的网络必须是和生产中心一样，能独立对外提供网络服务。确定好了各部分的容灾等级后，我们就针对各部分的容灾部署方式来讨论。

这里就以Oracle 11g为例，容灾中心必须有一台或多台数据库服务器，至少有1台共享存储。软硬件平台搭建好，生产中心的Oracle数据怎么过去呢？要实现RPO=0，生产中心和容灾中心的数据库必须是同步的。同步方式可以在Oracle这层来实现，也可以从底层存储来实现，也可以两者结合。

Oracle层有oracle dataguard、goldengate、DSG以及IBM的CDC等工具。比较常用的还是dataguard和goldengate，其中dataguard的是整库同步，goldengate可以整库同步，也可以具体到某张表同步。每个学校可以根据自身需求来选择相应的工具来做同步。

底层存储同步有两种方式：

一种是基于存储设备自身的同步复制功能，在两台存储之间做数据卷的同步；

一种是基于存储网关模式，存储网关下挂两台存储，两台存储设备把空间映射给存储网关，由网关做成RAID1（镜像），最后由网关映射给oracle主机。

两种方式各有优劣：

第一种优势成本相对较低；缺点是切换操作复杂，Oracle实例有无法启动的风险（有数据库文件一致性错误的风险）等问题。

第二种最大的优势是存储镜像切换不需要人工干预，当一台阵列故障时，Oracle正常运行不受影响；缺点也很明显，采用单台网关会有单点故障的问题，采用两台就要投入更大的成本，另外网关对下挂的存储设备有一定要求，不一定所有的型号都支持，同时网关对下挂存储设备的稳定性非常敏感，一旦有敏感报警信息，很有可能被网关给屏蔽掉，最后网关也需要非常专业的技术员来维护，这给管理员带来了新的挑战。

纯粹硬件的方式只能解决RPO的问题，RTO还得靠人工或者其他方式来完成，比如依靠主机层的高可用软件或者是人工手动挂载空间，手动启动数据库等操作。这些都给容灾成功切换带来了一系列的不可控因素。如果能把二者相结合，把底层数据镜像和上层Oracle等应用整合在一个平台上那就更好了。这方面的产品也有不少：Oracle自身的Real Application Cluster（简称RAC）、IBM的HACMP+GLVM、Veritas的Storage Foundation HA（简称SFHA）等等。这类产品就集成了上层Oracle应用（包括实例、监听等）和底层跨阵列的镜像以及条带等功能。在这种架构下，能做到容灾中心和生產中心的数据库都处于工作状态，也就是我们常说的双活数据中心的概念。

当生产中心故障时，只会影响到连到生产中心数据库服务器的那部分用户，这些用户的所有session都会报错，但只需要立即重连就会自动重新连接到容灾中心的数据库服务器，RTO在秒级。之前连到容灾中心数据库服务器的那些用户则不受任何影响。同样，由于底层存储是镜像模式，底层存储任何1台故障都不会影响数据库正常运行。这些功能都在一个平台上实现，管理起来相对简单，相关的知识库也非常丰富，管理員只需稍加培训即可上手。

2 应用系统容灾

大多数高校的数字化校园应用都已经运行在虚拟化环境了，这里就以Vmware vsphere为例来讨论。在前面数据库容灾的基础上，我们默认生产中心和容灾中心的SAN（存储区域网）已经打通了。在两各数据中心SAN打通和网络都通的情况下，首选方式是生产中心和容灾中心的所有vmware主机都做成一个服务器池。这样一来vmware的容灾可选方案就比较多了：Vmware自身的有FT和SRM、Veeam、HDS的HDIM、英方的i2cloud、各备份一体机厂商（现在有Vmware认证的备份一体机设备都能支持直接从备份设备里启动成功备份过的虚拟机，这让虚拟机RTO能在分钟级，RPO在小时级）等。在前面的分析中我们得知不同的业务系统RTO要求不一样，要求高的分钟级，要求低的几小时。RPO要求都在天级别。针对RTO分钟级的，可以采用FT和SRM来实现；RTO在小时级别的，可用方式比较多，各校可以根据自身的需求选择相应的解决方案。如果RTO分钟级和RPO天级的，这里比较推荐备份一体机的方案。

管理成本方面：对于一个系统管理员来说，能少熟悉一个平台就能省很多时间。

投入成本方面：独立的容灾系统需要单独提供相应的存储空间以及主机，全部用FT或者SRM也需要准备更多的磁盘阵列空间（FT和SRM是vmware虚拟主机的在线复制，都要占用额外的在线存储空间）。

设备复用方面：几乎每个学校都有一套备份系统，也都将部分或者全部vmware主机纳入备份计划。现在的备份系统都支持重复数据删除功能，仅需要少量的空间即可备份大量的虚拟机。这样一来备份系统不仅仅只是起到数据备份的作用，将备份设备移到容灾中心，这个系统就是个vwmare的容灾系统，那些RTO要求不高的虚拟机可以几分钟内直接在备份一体机里启动。

容灾中心选址，作为学校来讲，是否容灾到异地看各自的需求，首先第一步，作为一个完整的容灾中心，一般都会选择本校，同城分校也可以考虑（距离不要太远，80公里以内）。

3 结语

综上所述，数字化校园系统通过数据库最高级容灾、业务系统第5级别容灾以及完整网络容灾建设，使得集成度相当高的数据中心的到了非常全面的安全和高可用保障。

参考文献：

[1] 姚文斌，吴淳华.中国灾备标准和产业发展现状[J].中兴通讯技术，2010，16（5） ：1-4.

[2] 邱龙金，刘晓洁，赵奎.安全的灾难备份系统[J].计算机工程与设计，2011，32（10）：3258-3261.

[3] GB /T 20988 -2007.信息系统灾难恢复规范[S].信息安全与通信保密，2007.

[4] 陈宏，郭素芹，罗顺辉，等.信息系统灾难备份策略及关键技术研究[J].电力自动化，2011，9（10）：8-13.

[5] 杨天明.网络备份中重复数据删除技术研究[J].华中科技大学学报，2011（7）：47-49.

[6] 宋文功，蒋新华.高校数据中心容灾技术的探讨[J].华东师范大学学报（自然科学），2015（S1）：309-312.

基金项目：

此文为2015年浙江省教育技术研究规划课题研究成果（项目编号JB120）

作者简介：

沈权权（1981-），男，汉族，浙江湖州人，硕士，讲师，毕业于浙江师范大学，就职于嘉兴职业技术学院，研究方向：计算机网络。