基于云平台进行跨区域容灾的方法研究

冯 宝

（中国联合网络通信有限公司河南省分公司，河南 郑州 450008）

1 研究背景

随着经济社会数字化转型的逐步深入，业务系统的数据量激增，数据的安全性和业务连续性成为企业运营和发展的命脉。现阶段传统的IDC机房已经无法满足用户本地业务数据量的激增和数据安全的需求，业务系统上云已成为大部分用户业务系统部署的常规模式，随着上云客户不断增加，海量数据存储成为各企业生产运营的关注热点，数据产生的价值越来越高[1]，由于人为的误删、磁盘损坏、勒索病毒、网络攻击等事件愈发频繁，数据也面临丢失的风险，数据安全问题日益突出，对于一些大型医院、企业及政府单位的云上客户，其数据规模庞大，对数据安全要求极高[2]，同城容灾备份已不能满足客户的需求，上云客户提出了对现有上云业务系统进行的异地灾备需求。

2 现行标准灾备方案存在的问题

现行的标准灾备方案适用于一般的云到云、本地到云的数据备份及高可用容灾场景。异地容灾存在双中心的选址问题、技术架构问题及网络实现问题[3]。其主要存在以下几个方面问题：

（1）异地容灾备份的双中心选址为华为VDC 的两个异地资源池，同属于一套管理架构内，管理网络畅通，业务网络的放通还未有标准方案。

（2）标准灾备方案中的网络实现方式主要分为：绕行互联网、建设专网。针对以上两种实现方式，一方面，公网场景下数据的传输面临的安全威胁更多；另一方面，异地灾备产生的专线费用更高，不利于业务模式的推广。

（3）标准灾备方案中的业务实现场景主要分为；云到云、本地到云，同时兼容两种业务场景的异地灾备实现方案目前还停留在一户一案，操作起来缺少标准化的保障体系和机制，不利于后期的管理运维。

3 双中心异地容灾备份模式的主要创新点

（1）业务系统和容灾系统部署在不同的城市，数据源源不断地 从源端同步至备端，一旦源端故障，可快速在备端启动容灾系统，可靠性更高，对企业应用及数据库起到了安全性、业务连续性等方面的作用，有效防范火灾、地震、供电故障、计算机系统及人为破坏等引起的灾难[4]。

（2）基于异地双节点之间现有的中继电路用DCI网络开创私有备份及容灾的专网通道，同时叠加IPSec-VPN，既避免了传统公网访问场景下的安全风险，同时节省了电路成本。标准灾备方案中的网络实现方式主要分为绕行互联网、构建VPN通道、建设专网三种方式。其中，绕行互联网场景下数据传输面临的安全威胁更多，而部署专线费用更高，对大多数客户成本难以承受。因此，构建VPN数据传输通道，兼顾安全与成本，充分利用网络基础设施资源，保证内部数据的安全性同时，缓解客户成本压力。

（3）建设标准的云到云、本地到云的异地灾备方案，统一规划并管理DCI地址、带宽和电路，既方便后期运维，又提高了项目的可复制性。针对各类企业在关注IT系统部署成本的情况下，将新建IT系统和容灾系统同时部署在云上；或已有IT系统部署在云上，为保证可靠性，需要在同一云池上部署容灾系统的场景，提供标准化产品一站式交付服务，有效地应对地域灾害所导致的系统灾难，灾备产品提供图形化操作页面，轻松实现一键式演练等功能。

（4）将IPsec VPN技术应用于不同资源池，以实现资源池跨域之间的安全互联，进而使机密数据在传输过程中不会被截取与篡改，从而降低了成本投入，使资源池管理工作水平得到了显著提升。IPSec是一种网络层的安全协议标准，可以无缝地为IPv4和IPv6提供安全保障。它是强健的、可扩展的机制，为数据提供身份验证、完整性检查以及机密性保证机制，可以防止数据收到不明攻击。IPSec VPN利用IPSec在网络层为端到端用户之间，网关/路由器之间或者用户和路由器之间提供安全保密通信的网络。IPSec-VPN无论从安全性，还是从经济实用性方面都不失为一项很好的技术。

乡村类型的分类方式有多种，按产业结构可分为农业型和非农业型，按人口可分为特大型、大、中、小四级，按行政归属又可分为自然村和行政村，按地形地貌的差异将农村分为平地式、山地式和丘陵式农村。为了更合理地制定出生态功能下的农村土地规划方法，应该结合农村的基本现状，依据农村的基本归属类型综合分析。

（5）按需申请所需要的基础设施资源，降低企业TCO；根据需要，在同一地域或跨地域部署云上的容灾系统，提升业务可靠性和连续性。客户无须自建容灾机房、采购物理设备、购买专业软件，以及投入专人进行维护和测试，专心聚焦企业自身业务建设。节省硬件的部署时间、并且按需申请所需要的基础设施资源，从而降低TCO，减少在基础设施硬件、物业、能源、人力运维等方面的投入。

4 郑州、洛阳双中心异地容灾备份模式实施方案

4.1 方案概述

依托郑州资源池和洛阳资源池创建“郑州主数据中心+洛阳备份中心”。基于两大资源池之间现有的中继电路用DCI网络开创私有备份及容灾的专网通道，同时叠加IPSec-VPN，既避免了传统公网访问场景下的安全风险，同时节省了电路成本。建设标准的云到云、本地到云的异地灾备方案，统一规划并管理DCI地址、带宽和电路，既方便后期运维，又提高了项目的可复制性。

4.2 外部网络创建

郑州资源池和洛阳资源池同属于一套云管平台，通过一条万兆光纤承载了管理网络，业务网络还未能实现互访。基于这条DCI电路，构建两朵云池之间的外部联接网络。

在郑州AC平台创建私有类型外部网关，路由地址为洛阳EIP地址，命名为：DCI-EIP-ZZ；OM创建对应EIP外部网络并添加外部子网，命名为DCI-EIP-ZZ，网段为：172.250.244.0/22。在洛阳AC平台创建私有类型外部网关，路由地址为郑州EIP地址，命名为：DCIEIP-LY，OM创建对应EIP外部网络并添加外部子网，命名为DCI-EIP-LY，网段为：172.250.248.0/22。

明确DCI外部联接网络（郑州至洛阳）带宽的分配规则，确保不影响运维管理网络正常运营的前提下，规划业务网络带宽的可使用大小，限制郑州数据中心（源：172.250.244.0）至洛阳灾备中心（目的：172.250.248.0）、洛阳灾备中心（源：172.250.248.0）至 郑州数据中心（目的：172.250.244.0）之间的DCI-EIP带宽为5G。

通过DCI-EIP方式来实现两region内虚拟机互通，在云管平台SC上分别为两region内需要互通的虚拟机申请DCI-EIP并设置带宽，将分配到的DCI-EIP地址绑定给对应虚拟机即可。

4.3 虚拟专有网络IPSec-VPN

虚 拟 专 用 网 络（Virtual Private Network，简 称VPN），用于在远端用户和虚拟私有云（Virtual Private Cloud，简称VPC）之间建立一条符合行业标准的安全加密的通信隧道，可将已有数据中心无缝扩展到VPC上，提供可靠、安全的加密通道。

默认情况下，在VPC中的弹性云服务器无法与其他数据中心或私有网络进行通信。如果需要将 VPC中的弹性云服务器和其他的数据中心或私有网络连通，可以启用VPN功能。

VPN网关是VPC中建立的出口网关设备，通过VPN网关可建立VPC和用户数据中心或其他区域VPC之间的安全可靠的加密通信。VPN网关需要与用户本地数据中心或其他区域VPC的远端网关配合使用，一个本地数据中心绑定一个远端网关，一个虚拟私有云绑定一个VPN网关。VPN网关与远端网关为一对一或一对多的关系，因此VPN支持点到点或点到多点的连接。

VPN连接是一种基于Internet的IPSec加密技术，通过特殊的隧道加密技术，使加密的安全服务在不同的网络之间建立保密而安全的通信隧道。

在郑州数据中心已经申请了VPC，并申请了2个子网（192.168.1.0/24， 192.168.2.0/24），在洛阳数据中心的Router下也有2个子网（192.168.3.0/24， 192.168.4.0/24）。可以通 过VPN使VPC内的子网与数据中心的子网互相通信。支持点到点VPN（Site-to-Site VPN）和点到多点VPN（Hub-Spoke VPN），VPC内的VPN和对端VPN，需要保证IKE 策略以及IPsec策略配置一致。

通过虚拟专有网络来实现郑州和洛阳云池内的子网互通。在郑州数据中心和洛阳数据中心同时创建虚拟私有网络（VPC）后，根据郑州数据中心（生产数据）的业务地址和洛阳数据中心（备份数据）业务地址申请创建VPN网关。在VPN网关创建后，通过配置两端云数据中心的连接参数、对应子网等来建立VPN连接。

采用专业网络接入设备，基于IKE和IPSec对传输数据加密，提供了电信级的高可靠性机制，从硬件、软件、链路三个层面保证VPN服务的稳定运行。利用Internet构建IPsec加密通道，与传统设备相比，VPN的连通成本相对更低，并且开通即可使用，配置实时生效，快速高效的完成部署。

4.4 路由及流量规划

基于专线叠加IPSec-VPN在郑州数据中心和洛阳数据中心之间建立网络连接，同时通过安全设备进行了安全防护。郑州数据中心的边界出口经过了核心防火墙和防病毒网关，云内通过虚拟防火墙和安全组进行网络进出策略的控制。

行业云采用业务防火墙实现防火墙的虚拟化，是集中式防火墙，仅针对南北流量做安全过滤。虚拟防火墙是虚拟私有云的安全服务，对VPC进行访问控制，支持黑白名单（即允许和拒绝策略），根据与VPC关联的入方向/出方向ACL规则，判断数据包是否被允许流入/流出VPC。

安全组是一组访问云服务器的规则集合，为同一个项目内具有相同安全保护需求并相互信任的云服务器提供访问策略。安全组内的云服务器无须添加规则即可互相访问。仅支持弹性云服务器，暂不支持裸金属服务器。同时为了防止云服务器被网络攻击，在生产服务器端设置了安全组规则，只允许备份服务器端的业务IP地址对固定协议、端口的进出访问。

在配置两地网络流量互通的过程中，首先，将流量引入防病毒网关，并回流；然后，在两端核心交换机设备各起一个子接口，配上IP地址，做为互联，并在郑州数据中心和洛阳数据中心的核心交换机设备上配置路由；最后，将DCI-EIP地址引入核心防火墙。

4.5 链路运维检测安全机制

云平台的组网方式采用了口字和交叉组网共用的方式来确保网络运行，网络主干设备间链路采用N+1来保护网络运行的安全，设备间最少有两条链路组成链路聚合。还实行了跨设备级链路保护来确保流量的安全，即使某设备整台设备出现异常，也可以确保流量从另一台设备安全抵达，避免了现在普遍的跨单板级链路保护的问题。

云平台每台设备链路都纳管到了平台监控之中，监控平台每天24小时有专人值守查看，确保出现问题能第一时间反馈出来，并沟通专业人员进行维护。且平台有独立的备品仓库，确保出现问题能及时解决，不会因为备件问题而无法解决。如出现备品仓库无备件情况，可联系设备厂家紧急发货，保证24小时内恢复业务正常。

5 双中心异地容灾备份模式实施效果分析

通过部署“郑州主数据中心+洛阳备份中心”的双中心异地容灾备份模式，同时叠加IPSec-VPN网络技术，将郑州资源池租户的重要业务数据备份到洛阳资源池、实现了两个资源池之间跨域异地灾备模式。

大幅度降低客户的运维成本，同时为租户提供简易、便捷的监管模式，为其他云上租户提供了可规模复制的灾备方案，提升了客户业务系统上云的使用感知，推动了河南联通云计算的快速健康发展。现在已将华为VDC河南能源化工郑州资源池业务数据跨域异地备份到华为VDC洛阳资源池。