一種多級網(wǎng)絡(luò)容災(zāi)系統(tǒng)模型

1網(wǎng)絡(luò)容災(zāi)技術(shù)高可用的網(wǎng)絡(luò)信息系統(tǒng)必須具有很強(qiáng)的災(zāi)難耐受性。通過網(wǎng)絡(luò)抑制技術(shù)，可以提高系統(tǒng)的災(zāi)難適應(yīng)性和快速恢復(fù)能力。在系統(tǒng)崩潰的情況下，即使發(fā)生系統(tǒng)災(zāi)難，系統(tǒng)也可以快速恢復(fù)，并將損失降至最低。網(wǎng)絡(luò)容災(zāi)技術(shù)的基本思路是“資源冗余+異地分布+故障管理”，即在異地建立和維護(hù)一個(gè)備份系統(tǒng)，利用資源冗余性和地理分散性來保證網(wǎng)絡(luò)系統(tǒng)對災(zāi)難事件的抵御能力。網(wǎng)絡(luò)容災(zāi)系統(tǒng)的核心技術(shù)主要有兩個(gè)方面：數(shù)據(jù)復(fù)制和應(yīng)用切換。數(shù)據(jù)復(fù)制是指在異地建立一個(gè)數(shù)據(jù)備份系統(tǒng)，實(shí)時(shí)或定時(shí)地備份本地關(guān)鍵性數(shù)據(jù)。應(yīng)用切換是指在數(shù)據(jù)復(fù)制的基礎(chǔ)上，在異地建立一個(gè)應(yīng)用系統(tǒng)的遠(yuǎn)程鏡像，在發(fā)生災(zāi)難的情況下，快速地切換到遠(yuǎn)程應(yīng)用系統(tǒng)，恢復(fù)系統(tǒng)運(yùn)行。網(wǎng)絡(luò)容災(zāi)技術(shù)不同于傳統(tǒng)的數(shù)據(jù)備份技術(shù)，它能夠在不中斷系統(tǒng)服務(wù)的同時(shí)，快速地恢復(fù)系統(tǒng)，充分保證了網(wǎng)絡(luò)服務(wù)質(zhì)量。近年來，網(wǎng)絡(luò)容災(zāi)技術(shù)受到國內(nèi)外的高度重視，提出了一些網(wǎng)絡(luò)容災(zāi)系統(tǒng)模型及其產(chǎn)品。在構(gòu)架一個(gè)網(wǎng)絡(luò)容災(zāi)系統(tǒng)時(shí)，需要考慮諸多的因素，如備份/恢復(fù)的數(shù)據(jù)量大小、本地系統(tǒng)和備份系統(tǒng)之間的距離、網(wǎng)絡(luò)連接方法、災(zāi)難發(fā)生時(shí)丟失的數(shù)據(jù)量、系統(tǒng)恢復(fù)時(shí)間、系統(tǒng)構(gòu)建成本和運(yùn)行費(fèi)用等，并由此產(chǎn)生不同的容災(zāi)等級。2熱備份站面向網(wǎng)絡(luò)傳輸和提供網(wǎng)絡(luò)備份基于等級的信息保護(hù)是信息安全技術(shù)中的重要原則之一，容災(zāi)系統(tǒng)作為信息保護(hù)的重要組成部分，同樣也要遵循這一原則。美國SHARE用戶組和IBM公司于1992年共同提出了容災(zāi)恢復(fù)等級概要SHARE(SummaryofDisasterRecoveryTiers)78標(biāo)準(zhǔn)，將容災(zāi)系統(tǒng)分為7個(gè)等級，分別適用于不同的系統(tǒng)規(guī)模和應(yīng)用場合。?第0級(NoOff-siteData)：這是災(zāi)難恢復(fù)的最低級，沒有定義信息存儲需求，不需要建立備份硬件平臺或應(yīng)急響應(yīng)計(jì)劃。事實(shí)上，第0級容災(zāi)系統(tǒng)并不具備災(zāi)難恢復(fù)能力，系統(tǒng)數(shù)據(jù)僅在本地進(jìn)行備份和恢復(fù)，并不轉(zhuǎn)送到異地保存。?第1級（PickupTruckAccessMethod）：它要求設(shè)計(jì)一個(gè)災(zāi)難恢復(fù)方案，平時(shí)需要對一些重要數(shù)據(jù)進(jìn)行定期的備份，數(shù)據(jù)備份用汽車運(yùn)送到異地保存。在發(fā)生災(zāi)難事件后，可根據(jù)預(yù)定的災(zāi)難恢復(fù)方案構(gòu)建相應(yīng)的硬件平臺，然后恢復(fù)應(yīng)用系統(tǒng)運(yùn)行，最后從數(shù)據(jù)備份中恢復(fù)企業(yè)數(shù)據(jù)。這種容災(zāi)方案可以抵御大規(guī)模的災(zāi)難事件，且成本比較低，只是在運(yùn)輸工具和數(shù)據(jù)存儲設(shè)備上需要一定的投入，存放備份的地點(diǎn)只需很少的硬件設(shè)備，稱為冷備份站點(diǎn)。然而，當(dāng)數(shù)據(jù)量增大時(shí)，該方案存在著數(shù)據(jù)不能完全恢復(fù)的問題，并且需要較長的系統(tǒng)恢復(fù)時(shí)間，大約1個(gè)星期左右。?第2級（PTAM+HotSite）：在第1級的基礎(chǔ)上增加了一個(gè)熱備份站點(diǎn)。此站點(diǎn)是指一個(gè)備份站點(diǎn)擁有足夠的硬件、備份數(shù)據(jù)和網(wǎng)絡(luò)連接設(shè)備。當(dāng)數(shù)據(jù)系統(tǒng)被破壞時(shí)，系統(tǒng)可切換到備份站點(diǎn)上。對于關(guān)鍵的應(yīng)用系統(tǒng)，必須由異地的熱備份站點(diǎn)提供支持。平時(shí)，使用PTAM方式將數(shù)據(jù)備份存放到備份數(shù)據(jù)倉庫中。當(dāng)發(fā)生災(zāi)難事件時(shí)，再將數(shù)據(jù)備份運(yùn)送到熱備份站點(diǎn)上。雖然運(yùn)送數(shù)據(jù)備份增加了一定的成本，但將系統(tǒng)恢復(fù)時(shí)間縮短為一天左右。?第3級（ElectronicVaulting）：在第2級的基礎(chǔ)上使用網(wǎng)絡(luò)鏈路來取代汽車運(yùn)送數(shù)據(jù)備份方式，數(shù)據(jù)系統(tǒng)和熱備份站點(diǎn)之間必須是地理上遠(yuǎn)離的，并通過網(wǎng)絡(luò)鏈路來傳送數(shù)據(jù)備份。由于熱備份站點(diǎn)要連續(xù)地運(yùn)行，因此增加了系統(tǒng)成本，但將系統(tǒng)恢復(fù)時(shí)間進(jìn)一步縮短為一天之內(nèi)。?第4級（ActiveSecondarySite）：它要求兩個(gè)在地理上相互分開的站點(diǎn)同時(shí)處于工作狀態(tài)，相互管理對方的備份數(shù)據(jù)，形成互為備份工作機(jī)制。備份行為可以在任意一個(gè)方向上發(fā)生，并且兩個(gè)站點(diǎn)之間還可以相互分擔(dān)工作負(fù)載。當(dāng)一個(gè)站點(diǎn)發(fā)生災(zāi)難事件時(shí)，可以通過網(wǎng)絡(luò)快速地切換到另一站點(diǎn)，以支持關(guān)鍵性應(yīng)用。但是，該系統(tǒng)自最近一次數(shù)據(jù)備份以來的業(yè)務(wù)數(shù)據(jù)將可能丟失，其它非關(guān)鍵應(yīng)用也要手工恢復(fù)。該方案可以將關(guān)鍵性應(yīng)用的系統(tǒng)恢復(fù)時(shí)間縮短到小時(shí)級或分鐘級。?第5級（Two-SiteandTwo-PhaseCommit）：在滿足第4級所有功能要求的基礎(chǔ)上，第5級進(jìn)一步提供了兩個(gè)站點(diǎn)之間的數(shù)據(jù)互為鏡像，數(shù)據(jù)庫的一次提交過程將同時(shí)更新本地和遠(yuǎn)程數(shù)據(jù)庫中的數(shù)據(jù)。數(shù)據(jù)庫的兩步提交法保證了任何一個(gè)事務(wù)在被接受以前，兩個(gè)站點(diǎn)間的數(shù)據(jù)都必須同時(shí)被更新。備份站點(diǎn)需要配備一些專用的硬件設(shè)備，以保證在兩個(gè)站點(diǎn)之間自動分擔(dān)工作負(fù)載和正確執(zhí)行兩步提交法。因?yàn)椴捎昧藘刹教峤环▉肀ＷC數(shù)據(jù)同步，使兩個(gè)站點(diǎn)間互為鏡像。所以，當(dāng)發(fā)生災(zāi)難事件時(shí)，只是丟失處于傳送中尚未完成提交的數(shù)據(jù)，系統(tǒng)恢復(fù)時(shí)間縮短到分鐘級。?第6級（ZrmDataLoss）：這是災(zāi)難恢復(fù)的最高級，可以實(shí)現(xiàn)零數(shù)據(jù)丟失。只要用戶向系統(tǒng)提交了數(shù)據(jù)，不管發(fā)生了任何災(zāi)難性事件，系統(tǒng)都能保證數(shù)據(jù)的安全，并且保證本地和遠(yuǎn)程系統(tǒng)之間所有數(shù)據(jù)的同步更新。當(dāng)發(fā)生災(zāi)難事件時(shí)，備份站點(diǎn)能夠通過網(wǎng)絡(luò)監(jiān)測到系統(tǒng)故障并立即自動切換。第6級是最昂貴的容災(zāi)系統(tǒng)，同時(shí)也是速度最快的系統(tǒng)恢復(fù)方式。第4～6級容災(zāi)系統(tǒng)具有類似的系統(tǒng)框架，它們的區(qū)別在于數(shù)據(jù)備份管理軟件的功能差異和備份站點(diǎn)的硬件配置不同。第4級容災(zāi)系統(tǒng)只需配置遠(yuǎn)程系統(tǒng)備份軟件即可工作，第5級容災(zāi)系統(tǒng)依賴于數(shù)據(jù)庫系統(tǒng)的兩步提交法來保證數(shù)據(jù)的同步，第6級容災(zāi)系統(tǒng)則需要配置更復(fù)雜的數(shù)據(jù)管理軟件和專用的硬件設(shè)備，以保證災(zāi)難事件發(fā)生時(shí)零數(shù)據(jù)丟失和備份站點(diǎn)的即時(shí)切換。3面向網(wǎng)絡(luò)數(shù)據(jù)存儲的容災(zāi)模型近年來，隨著集群計(jì)算和網(wǎng)絡(luò)存儲技術(shù)的發(fā)展，在容災(zāi)系統(tǒng)模型和支撐技術(shù)等方面發(fā)生了很大的變化，集群系統(tǒng)和存儲域網(wǎng)絡(luò)(SAN)成為構(gòu)造網(wǎng)絡(luò)容災(zāi)系統(tǒng)的主流技術(shù)，促使網(wǎng)絡(luò)計(jì)算模型逐步從傳統(tǒng)的“分布式計(jì)算，分布式存儲”模型向先進(jìn)的“分布式計(jì)算，集中式存儲”模型轉(zhuǎn)變。對于后者，網(wǎng)絡(luò)服務(wù)與數(shù)據(jù)存儲相分離，數(shù)據(jù)集中存儲在網(wǎng)絡(luò)存儲器上，并通過SAN技術(shù)與網(wǎng)絡(luò)服務(wù)器連接，提供網(wǎng)絡(luò)集中存儲服務(wù)。這種模型更適合于構(gòu)建高級別的網(wǎng)絡(luò)容災(zāi)系統(tǒng)。對于網(wǎng)絡(luò)系統(tǒng)來說，一個(gè)完整的容災(zāi)方案應(yīng)當(dāng)包括應(yīng)用容災(zāi)和數(shù)據(jù)容災(zāi)兩個(gè)方面，應(yīng)用容災(zāi)是指面向網(wǎng)絡(luò)應(yīng)用程序的容災(zāi)功能，避免因系統(tǒng)故障而中斷系統(tǒng)運(yùn)行。數(shù)據(jù)容災(zāi)是指面向網(wǎng)絡(luò)數(shù)據(jù)存儲的容災(zāi)功能，避免因?yàn)?zāi)難事件而毀壞關(guān)鍵性數(shù)據(jù)，這也是容災(zāi)系統(tǒng)中最重要的部分。根據(jù)第5級容災(zāi)系統(tǒng)的要求，本文提出一種基于集群技術(shù)和SAN技術(shù)的多級網(wǎng)絡(luò)容災(zāi)系統(tǒng)(NetworkDisasterToleranceSystem,NDTS)模型，將網(wǎng)絡(luò)服務(wù)系統(tǒng)和網(wǎng)絡(luò)存儲系統(tǒng)分離開，構(gòu)成兩個(gè)相對獨(dú)立的網(wǎng)絡(luò)：服務(wù)器網(wǎng)絡(luò)和存儲網(wǎng)絡(luò)，根據(jù)網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)存儲所面臨的不同安全風(fēng)險(xiǎn)和災(zāi)難，分別采用不同的安全策略對網(wǎng)絡(luò)服務(wù)系統(tǒng)和網(wǎng)絡(luò)存儲系統(tǒng)進(jìn)行保護(hù)。3.1ndts安全體系在網(wǎng)絡(luò)體系結(jié)構(gòu)上，NDTS將整個(gè)網(wǎng)絡(luò)系統(tǒng)分成客戶網(wǎng)絡(luò)、服務(wù)器網(wǎng)絡(luò)和存儲網(wǎng)絡(luò)等三個(gè)層次，如圖1所示。(1)客戶網(wǎng)絡(luò)：由客戶機(jī)、網(wǎng)絡(luò)交換機(jī)組成，為用戶提供接入服務(wù)。(2)服務(wù)器網(wǎng)絡(luò)：由集群交換機(jī)和Web服務(wù)器集群組成，為用戶提供基于Web服務(wù)器平臺的各種網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)服務(wù)器系統(tǒng)面臨的安全風(fēng)險(xiǎn)是由于網(wǎng)絡(luò)攻擊和系統(tǒng)故障等原因引起的服務(wù)中斷和系統(tǒng)崩潰，被保護(hù)對象是服務(wù)器系統(tǒng)及其計(jì)算資源。在NDTS中，由集群交換機(jī)來實(shí)現(xiàn)應(yīng)用容災(zāi)，它提供了接入控制、流量過濾、負(fù)載均衡、故障隔離與恢復(fù)等功能，保證了集群服務(wù)器安全可靠地運(yùn)行。(3)存儲網(wǎng)絡(luò)：由網(wǎng)絡(luò)交換機(jī)和網(wǎng)絡(luò)存儲器組成，作為集群服務(wù)器的共享存儲器。網(wǎng)絡(luò)存儲器系統(tǒng)面臨的安全風(fēng)險(xiǎn)是由于網(wǎng)絡(luò)攻擊、系統(tǒng)故障以及其它災(zāi)難事件引起的數(shù)據(jù)丟失、破壞和篡改等，被保護(hù)對象是網(wǎng)絡(luò)存儲器及其數(shù)據(jù)資源。在NDTS中，由兩個(gè)鏡像的網(wǎng)絡(luò)存儲器來實(shí)現(xiàn)數(shù)據(jù)容災(zāi)功能，它提供了實(shí)時(shí)數(shù)據(jù)備份與恢復(fù)、數(shù)據(jù)訪問認(rèn)證與保護(hù)、設(shè)備故障隔離與恢復(fù)、虛擬存儲管理等功能，保證了網(wǎng)絡(luò)存儲系統(tǒng)安全可靠地運(yùn)行。NDTS不僅提高了整個(gè)系統(tǒng)的安全保護(hù)能力和災(zāi)難容忍能力，并且還可以通過集群技術(shù)來均衡網(wǎng)絡(luò)負(fù)載，改善系統(tǒng)性能，提高系統(tǒng)執(zhí)行效率，減少由安全技術(shù)引入的性能損失，提高了網(wǎng)絡(luò)服務(wù)質(zhì)量。3.2ntds的關(guān)鍵技術(shù)在NDTS中，其關(guān)鍵技術(shù)是集群交換機(jī)和網(wǎng)絡(luò)存儲器。3.2.1集群局域網(wǎng)功能集群交換機(jī)是一種集網(wǎng)絡(luò)交換、集群服務(wù)和系統(tǒng)容災(zāi)為一體的網(wǎng)絡(luò)交換設(shè)備，集群交換機(jī)可以將多臺獨(dú)立的Web服務(wù)器主機(jī)集為一體，構(gòu)成一個(gè)Web集群服務(wù)器系統(tǒng)。對于用戶來說，Web集群服務(wù)器是一個(gè)整體Web服務(wù)器，但可以提供單一的Web服務(wù)器所不具備的高性能、高可用性和安全性。在集群服務(wù)器內(nèi)部，由集群交換機(jī)統(tǒng)一管理集群中各個(gè)Web服務(wù)器，并實(shí)現(xiàn)下列功能：(1)負(fù)載均衡功能：將若干個(gè)獨(dú)立的Web服務(wù)器組成一個(gè)高性能的Web服務(wù)器集群，負(fù)載均衡算法根據(jù)各個(gè)服務(wù)器的處理能力和負(fù)載狀態(tài)動態(tài)地分配網(wǎng)絡(luò)負(fù)載，將網(wǎng)絡(luò)流量均衡地轉(zhuǎn)發(fā)到各個(gè)服務(wù)器上，從而提高了系統(tǒng)執(zhí)行效率和性能，改善了系統(tǒng)服務(wù)質(zhì)量。(2)系統(tǒng)容災(zāi)功能：對集群中各個(gè)服務(wù)器節(jié)點(diǎn)的可用狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，對于發(fā)生故障的節(jié)點(diǎn)，自動從集群中刪除；對于可用的節(jié)點(diǎn)，自動加入集群中。從容災(zāi)的觀點(diǎn)，服務(wù)器集群應(yīng)當(dāng)分布在不同的地理位置上，保證不會因單點(diǎn)故障而引起整個(gè)系統(tǒng)的崩潰。(3)安全交換功能：在安全體系結(jié)構(gòu)上，集群交換機(jī)可以充當(dāng)連接客戶網(wǎng)絡(luò)（外網(wǎng)）和服務(wù)器網(wǎng)絡(luò)（內(nèi)網(wǎng)）的網(wǎng)關(guān)，也是實(shí)施訪問控制和安全管理的最佳控制點(diǎn)。因此，在集群交換機(jī)上集成防火墻、DoS攻擊防護(hù)等安全機(jī)制，不僅實(shí)現(xiàn)了信息的安全交換，而且還能將安全機(jī)制和容災(zāi)機(jī)制相互融合，構(gòu)成一個(gè)有機(jī)的整體，從而減少了系統(tǒng)開銷和成本。3.2.2工作機(jī)及備份機(jī)網(wǎng)絡(luò)存儲器采用千兆位以太網(wǎng)和iSCSI(internetSmallComputerSystemsInterface）技術(shù)構(gòu)架，存儲介質(zhì)是RAID磁盤陣列，并實(shí)現(xiàn)了下列功能：(1)數(shù)據(jù)容災(zāi)功能：整個(gè)網(wǎng)絡(luò)存儲系統(tǒng)由兩組網(wǎng)絡(luò)存儲器組成，分布在不同的地理位置上，它們之間通過網(wǎng)絡(luò)交換機(jī)和高速光纖鏈路（千兆位以太網(wǎng)）實(shí)現(xiàn)網(wǎng)絡(luò)連接，其中一組是工作機(jī)，處于工作狀態(tài)；另一組是備份機(jī)，處于監(jiān)控狀態(tài)。雙方周期地相互發(fā)送心搏信號來通告自身的狀態(tài)。當(dāng)工作機(jī)發(fā)生故障時(shí)，備份機(jī)將自動接管工作機(jī)的工作，反之亦然。同時(shí)，任何一個(gè)網(wǎng)絡(luò)存儲器發(fā)生故障時(shí)都會觸發(fā)報(bào)警信號。(2)數(shù)據(jù)同步功能：在更新數(shù)據(jù)庫中數(shù)據(jù)時(shí)采用兩步提交法，將數(shù)據(jù)同時(shí)寫入本地和遠(yuǎn)程數(shù)據(jù)庫中，保持兩個(gè)網(wǎng)絡(luò)存儲器中數(shù)據(jù)一致性和互為鏡像狀態(tài)。(3)數(shù)據(jù)保護(hù)功能：為了防止黑客非法對網(wǎng)絡(luò)存儲器上的數(shù)據(jù)進(jìn)行篡改或破壞，必須采取適當(dāng)?shù)谋Ｗo(hù)措施，它表現(xiàn)為兩個(gè)方面：一是數(shù)據(jù)交換時(shí)的身份認(rèn)證，這是由iSCSI協(xié)議提供的；二是基于規(guī)則的訪問控制機(jī)制，對數(shù)據(jù)訪問操作進(jìn)行控制，這是在系統(tǒng)內(nèi)核中實(shí)現(xiàn)的，黑客或病毒難以越過這種安全機(jī)制對數(shù)據(jù)文件進(jìn)行攻擊。另外，本系統(tǒng)通過一個(gè)遠(yuǎn)程控制臺對集群交換機(jī)和網(wǎng)絡(luò)存儲器進(jìn)行一體化管理，包括系統(tǒng)配置管理、系統(tǒng)狀態(tài)監(jiān)控、虛擬存儲管理、數(shù)據(jù)復(fù)制管理、