论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2002-10-10 15:53 |只看该作者 |倒序浏览

数据管理：可用性和成本的抉择

唐冬梅

　　随着计算机的应用日益进入社会生活的方方面面，计算机系统的安全可靠性也引起越来越多的关注。就计算机系统安全这个话题来说，涵盖了计算机系统的每一个环节、每一个可能的故障点，非管窥所能尽述。本文试从计算机系统中最宝贵的资源－数据的角度出发，探讨在保障系统和数据安全方面相关的技术和应用。

　　计算机系统中存储的数据被人们称为系统的血液。当数据被提炼、归纳为有意义的信息时，则成为企业发展的推动力。数据在计算机系统中存放形式分为三个层次：在线、近线、离线如下图。下面就从这三个方面来分别论述。

　　■在线存储高可用

　　在线存储主要针对经常需要存取的活跃数据。对这些数据来说，人们最为关心的问题是高可靠性，要求保证这些数据的可读取性和应用系统的连续运行。保证系统高可靠性的产品有两大类，一种称为容错系统，一种称为高可用性系统。前者以tandem公司和stratus公司为代表，后者以ibm、hp、dec为代表。

　　容错系统和高可用性系统是两个不同的概念。容错系统通过特殊的硬件、软件设计，如双主机板、冗余磁盘、专有操作系统等方法实现可靠性。容错系统可以达到无停顿的处理效果，缺点是大量的硬件冗余带来高成本，操作系统的专有版本造成系统不够开放。

　　高可用性的基本概念是以合理的价格保证系统长时间运行，系统设计的方针是防止错误或纠正大部分错误。通常故障恢复的时间要几秒或更多，故障之后可能会出现降级状态，即与正常相比效率降低。高可用性系统的实现通常有两种方法，双机热备份和集群。

　　两者的主要区别是，集群方案具有高度的可扩展性，可实现服务器间的负载均衡，同时，当某台机器宕机时，其作业可由其它的机器接管。

　　通常人们用每年宕机时间的长短来量化系统可用性：年宕机为0时，可用性为100％，年宕机52．8分钟时，可用性为99．99％，依次类推。

　　不同的应用所需要的可用性是不一样的。可用性系列最顶端是实时应用系统，它甚至不能容忍一刹那的中断，也就是所谓的“关键任务”（mission－critical）应用系统，如空中交通管制系统，应用专有的、大型容错主机。而“关键业务”（business－critical）应用系统则是指运行在大型中层系统的高可用性服务器上的应用，适合与大多数企业的联机事务处理系统、客户机／服务器应用等系统。本文着重介绍高可用性方案的设计。

　　一个高可用性方案可以看成由这样几部分组成：服务器、磁盘阵列、高可用性软件。

　　1．磁盘阵列

　　磁盘阵列是针对单一硬盘存在的问题提出的。硬盘作为传统的存放数据最基本的介质，由于本身设计上的原理，使得硬盘成为计算机系统当中最易发生突发性损坏的部件之一；同时，随着计算机处理器能力的迅速提高，硬盘的i／o能力成为制约计算机性能的瓶颈。磁盘阵列解决了人们对磁盘io系统的要求：（1）高容量；（2）增加磁盘存取速度；（3）容错可靠。

　　磁盘阵列针对不同的应用使用不同的技术，称为raid级别（raidlevel）。需要说明的是，不同的raid级别适宜不同的应用，并不是一定是raid5最好。只是由于raid5适应大型数据处理中心的需求，在国内金融等领域广泛应用，所以广为人们所熟知和接受。下表列出了不同的raid级别的特点和适宜的应用：
操作工作模式应用
raid 0磁盘延伸和数据分布高速i/o系统
raid 1数据分布和镜像高效读取
raid 2共轴同步，并行传输，ecc大型电脑及影像
raid 3共轴同步，并行传输，paritycad/cam
raid 4数据分布，固定parity和raid 5相似，但适合大量数据的存取
raid 5数据分布，分布parityoltp
*注：除了以上的raid级别外，还有raid6、raid7、raid10、
raid50、raid100等，都是各厂商自制定，还未成为业界标准。

　　如果以raid0为基准的话，各raid级别在成本、可用性和性能上的差异如下图所示：

　　从图中可以看出，不存在全能的“raid”级，如raid5具有高可用性和低成本，但在性能方面作出了让步。选用raid1可以获得高可用性和低成本，但付出了高昂的代价。此外，更改raid级的过程是非常费时的，可能导致停机并增加系统管理成本。

　　为此出现了autoraid，即所谓的自适应分级raid技术，其主要思想是，最活跃的写入数据保存在raid0＋1（镜像和数据分布）一级，低活动数据保存在raid5中。其特点是：（1）用户无需raid知识，减少管理成本；（2）安装简单，可以在几分钟内完成安装和配置；（3）优异的性能，通过动态的系统工作量负载平衡优化系统性能；（4）在线添加磁盘，无须冗余分组格式化；（5）自动分配保留热备份空间。

　　目前，各磁盘阵列的生产厂商通过大容量cache、独立的cpu、并行控制器、冗余电源、冗余风扇等手段不遗余力地提供更高的性能和可靠性的产品。磁盘阵列的发展方向会向着高带宽、网络化、智能化的方向发展。服务器与磁盘阵列之间的连接一直以scsi为主，提供10－40m／s的传输速率，现在则出现了光纤通道，可以支持100m／s的传输速率，传输距离则可达到10公里。此外，磁盘阵列也不再局限于连接一台和两台服务器，而是允许不同平台的多个服务器共享磁盘阵列。更进一步，磁盘阵列可以像网络打印机一样直接连接在网络上，成为网络上一个共享资源。正如人们所说的，企业的计算模式正在向以存储为中心的计算模式演变。

　　2．双机容错系统

　　双机容错系统以其安全可靠、简洁和易于实施被广泛采用。

　　和容错主机系统不同，它采用心跳（heart－break）的方法保持主系统与备份系统之间的联系。所谓心跳，指的是主系统和备用系统之间，相互按照一定的时间间隔发送通讯讯号，表明系统目前的运行状态。心跳线路有三种：串口线、网线、scsi线。

　　双机容错系统自动监测的故障包括：系统硬件故障，系统网络故障，操作系统故障，系统宕机或断电，数据库和应用程序。

　　当故障发生时，接管的动作包括：（1）文件系统（filesystem）；（2）数据库（database）；（3）网络地址（ipaddress）；（4）应用程序（application）；（5）系统环境（osenviroment）；（6）用户自定义接管项目。

　　从大类上分，双机容错方案主要有两种工作模式：第一种为热备份方式，第二种为双机双工方式。

　　第一种方式下，备份机不运行任何业务软件，当主机出现故障时，系统把业务切换到备份机上。原故障主机完全修复后，若自动变为备援主机，这种方式称为主从热备（master／slave）；若修复后，备援机交还全部工作，这种方式称为hot－standby热备份。

　　在第二种方式下，正常状态时，两台主机都运行各自的业务，若一台出现故障，其业务被自动切换到另外一台机器上。另外，可在主机上各插入两块网卡，当主网卡故障时，由备援网卡接管备援网卡的ip地址，这样，主机就不会因为网卡故障而切换。

　　3．集群技术

　　集群是通过网络连接在一起的一组系统，提供分布的计算环境。对用户而言，群集系统是单一系统，数台服务器共同为用户提供服务。它的优点是具有高度的可扩展性，系统可在服务期间均衡负载；当某台机器出现故障时，由其他服务器接管工作。

　　目前国内应用最多的是双机集群方案。

　　■近线存储高性价比

　　数据爆炸使得数据量以每年55％－65％的速度增长，业务处理、数据仓库、决策支持、电子邮件、图像处理、多媒体吞噬了大量的存储空间，即使是磁盘阵列也很难满足所需的容量，或者造价太过昂贵。人们发觉硬盘上的数据只有20％是活跃数据，其他都是中性或者非活跃数据。由此人们希望只在硬盘上保留最活跃的数据，而将非活跃数据放到其他更廉价的存储介质上。光盘库、磁带库正好满足了人们对大容量、低成本存储介质的需求。

　　1．光盘库适合保存档案。

　　由于光盘所具有随机存取方式、支持多媒体的特点，非常适合于较少访问的、一旦需要又能以较快的速度访问的应用场合。例如：凭证的管理、卷宗的存档、病案保存、投保单原件的保留等等。

　　将图形图像等数据放到光盘上的方法有二种：一种是直接拷贝到光盘库上，通过api接口驱动光盘库，这种方法可以和应用程序更为紧密地结合；第二种是借助于hsm软件，实现硬盘、光盘库间自动的文件迁移。文件迁移的工作原理是，根据用户预先定义好的水线（watermark）：文件的新旧、硬盘剩余空间的大小、文件的尺寸等等条件，将满足条件的文件转移到二级存储设备上（光盘库、磁带库），在硬盘上仅保留该文件的一个标识，当有对该文件的访问时，hsm系统会自动将文件从二级存储设备上移回硬盘。这一切对用户来说是透明的，用户并不知道文件的当前实际存放位置在硬盘上还是光盘上，从用户看来，硬盘空间似乎是无限的。

　　hsm技术非常适合于inter?net邮件服务器、cad／cam等应用。

　　2．磁带库适合做数据备份。

　　对于作为近线存储设备的磁带库，由于它顺序读取的工作方式和高容量、低成本的特性，更多地被用来做数据备份。

　　从目前企业计算机应用的状况看，对于在线数据所作的ha方案已经深入人心，易于为人们所接受。而对于企业网络环境的数据备份则还很少有人上升到系统管理的角度予以考虑。误区之一，是将ha方案等同于系统备份方案。应该指出，ha方案是为了保证系统进程的连续性，它和数据备份是两个概念。当系统被黑客攻击时，一旦数据被恶意篡改，没有数据备份如何恢复？ha方案在此时是无能为力的。数据备份正是为了应付各种意外事件造成的数据丢失，诸如火灾、地震、病毒攻击，虽然这些属于小概率事件，但一旦发生，损失是难以挽回的，用磁带库这种每兆成本最为低廉的介质应对小概率事件的损失，堪称良策。

　　实际上在日常的工作中，也有很多原因可能造成数据的丢失和损坏。有过软件开发或者业务系统数据库维护经验的人都有这样的体会，当改正某一个bug后，直到几天以后，才发现前次的修改引起了新的bug，这时若没有数据备份，如何找回当时的状态。在安装系统软件和应用软件的升级版本时，有时也会造成数据的丢失。

　　大多数企业的备份手段也比较落后，通常的做法是用硬盘或者小容量磁带机做数据库的拷贝。这里存在的问题主要是：

　　（1）采用磁带机备份需要系统管理人员掌握较深的专业知识，如tar、cpio命令。因此，很多用户购买了磁带机后由于不会使用，就将磁带机闲置了。

　　（2）所作的备份仅仅局限于数据库备份，没有对整个系统备份。拷贝命令不能备份系统信息，一旦系统崩溃，系统重建的时间会很长。

　　（3）手工的拷贝工作通常会花费管理员很多时间，当要求系统管理员做网络中日益增多的服务器的数据备份时，系统管理员难以承受。

　　（4）其他问题：备份下来的磁带如何管理，如果数据库要求24小时不关机如何做备份？各个平台下备份出来的数据如何交换？

　　以存储为中心的计算模式体现在数据备份，即在异构的网络环境下实现自动化的数据备份和集中、统一的管理。

　　网络数据自动备份方案由三部分组成：备份服务器、备份设备、备份软件。其工作原理是：选择网络中的一台服务器或新增加一台／多台服务器作为数据管理服务器，在其上连接大容量存储设备（如磁带库或光盘库），安装备份软件的服务器端程序；在其它应用服务器或需要进行数据管理的客户端，根据相应的操作系统安装相应的软件模块。备份服务器端负责操作存储设备，管理备份索引表。客户端负责响应备份请求，产生适当的数据流，将数据推（push）给服务器。

　　网络数据自动备份方案的特点是：（1）良好的体系结构和跨平台支持能力，使得系统具有非常好的可伸缩性，可以支持从工作组到企业级的用户，并满足系统不断增加的需求；（2）实现lan、wan备份工作的集中管理、异地存储与灾难恢复；（3）对系统完整和全自动的备份，能够备份数据文件、系统文件、配置信息，实现无人值守的全自动化高效率备份；（4）支持数据库的在线备份；（5）广泛的存储设备支持和并行设备支持；（6）能够对介质进行有效的管理；（7）易于使用，全图形界面；（8）与其它unix命令格式如cpio或tar格式兼容，使得备份的磁带可相互通用。

　　异地数据备份和灾难恢复技术，是用户颇为关心的问题，因此在下面会有专门的论述。

　　此外，还有一种最为原始的异地备份方法，就是手工备份本地的两份磁带，然后将其中一份送到异地的保险柜中保存。

　　■离线存储低成本

　　离线存储是指脱机存放的磁带、光盘上的数据，通常是归档的历史数据，归档时可以对数据作加密处理和口令保护，以保障数据的安全性。历史数据的保留对于日后的安全检查和数据仓库应用都是非常有价值的。

　　■灾难恢复生死攸关

　　高可用性还包含另外一个方面的含义，即能否通过对故障、灾难的快速恢复能力提高系统的可用性。最为原始的容灾方法就是将本地数据做两份磁带备份，然后将其中一份送到异地的保险柜中保存。对于有的应用来说，这种灾难恢复的时效性很难满足用户的需求。他们除了需要依靠本地的双机热备系统保证系统可用性，还希望能够在异地保留一个数据备份，并在本地系统瘫痪时，直接切换到异地的系统。

　　对于用户的这种需求，如果用户期望实现秒级的可用性，方法之一是利用emc磁盘阵列的远程镜像技术srdf。srdf是在raid1的基础上，通过对磁盘子系统性能的不断改进，并实现了附加协议和子系统间通信能力之后，使得用户获得了数据远程镜像能力。它的最大优点之一是不占用主机cpu资源，对操作系统是透明的，当灾难发生时，可以在几十秒内实现异地的切换。采用escon的光纤电缆连接时，异地的距离可以达到60公里，若采用t3线路距离可以达到上千公里。当用户首要关心的是可靠性和实时性，如电信或者银行等领域，期望能够实现异地的数据中心，emc的异地镜像无疑是一个很好的选择。

　　对于仅是一般性的异地数据复制要求并且价格敏感的客户，可采用数据库复制技术。各数据库厂商通常提供了自身数据库的复制能力，如informix的cdr，有的也能够支持异种数据库间的复制能力，如sybase的replicate server。数据库复制的工作方式有同步和异步之分。从理论上来说，数据库复制技术打破了距离上的限制；从目前国内应用的状况来说，目前制约异地数据库复制成功应用的原因并非复制技术本身，而是通信线路问题，通常采用的x．25或ddn专线能否满足复制的时效性，要视用户的具体情况而定。

　　异地保留数据的第三种方案则是异地数据备份，因为采用数据备份的方法，能够实现数据的自动备份，但是数据的恢复则需人手工完成。和数据库复制技术一样，线路的速度是影响异地数据备份的瓶颈。

　　实际上，对于一个高要求的灾难恢复方案的考虑，应当同时考虑建立二级的数据中心和数据备份中心。

　　有时候人们讨论是光、磁之争，从上面的论述中可以看出，单纯的争论生命力、技术优劣是没有意义的，要看应用的场合。磁盘阵列、光盘库、磁带库在现代企业计算环境中是互相补充，共同组成了企业的存储环境。同时，数据库和服务器性能监控优化等管理软件以及网络安全等等，在保障数据安全的任务中也是不可或缺的。要构造一个数据的保险箱，涉及的技术是非常广泛的。