华东师范大学:异地容灾保障数据安全

作者:来源:人员机构日期:2018-04-04人气:1984

  随着信息化建设不断发展,关键业务数据安全性与连续性问题日益突出。当发生严重灾难时,会导致业务长时间不能正常提供服务。比如运行在华东师范大学闵行校区的身份认证系统,如果发生机房断电、身份认证服务器宕机或者相关存储损坏,都会直接导致身份认证业务长时间处于不能正常访问状态,给全校师生造成巨大影响。
  考虑到关键业务数据的安全性与连续性,华东师范大学采用NetApp snapmirror异地容灾方案来保障业务正常稳定运行。NetApp snapmirror能够将关键业务数据复制到不同的校区,客户端可以通过网络访问复制的数据。当发生严重灾难时,可实现从数秒到数分钟的恢复时间目标(RTO),以及低至几分钟的恢复点目标(RPO),不会导致业务长时间不可用,在修复因灾难造成的生产站点损坏之前,恢复站点的应用程序可以访问复制的数据来恢复关键业务,保障业务系统能够及时正常的提供服务。
  异地容灾方案
  基于两校区现有的网络架构,采用NetApp snapmirror方案来实现业务数据异地容灾,其基本架构如图1所示。
  在两校区分别部署一台NetApp FAS8000系列存储,通过brocade光纤交换机接入现有的san网络环境,将存储设备上每个控制器上的两个物理端口以冗余方式接入现有网络环境,用于两校区之间的数据通信与复制。两校区网络实现万兆互联,具有高速率、低延时、二层互通等特性,满足snapmirror异地容灾方案对网络要求。采用NetApp snapmirror集成的数据复制技术来将关键业务系统数据复制到其他校区,用作灾难恢复的副本。当发生严重灾难时,可以通过访问复制数据来继续提供服务,提高数据中心的连续可用性和安全性。
  异地容灾实践
  NetApp snapmirror搭建流程
  基于NetApp snapmirror异地容灾框架搭建工作主要涉及以下三个方面。
  1.前期准备工作。存储设备上架与加电测试、光纤与网络跳线、光纤与网络交换机配置、主机多路径软件配置等。
  2.存储系统初始化配置。完成前期准备工作后,我们需要对NetApp存储进行系统初始化工作,主要涉及集群创建与配置、系统用户配置、时间同步配置、DNS设置、磁盘归属节点配置、聚合配置、SVM配置、存储协议配置、端口集配置、启动程序组配置等。
  3.snapmirror具体配置。NetApp snapmirror异地容灾方案通过网络来实现集群间数据通信和复制,主要配置涉及集群间网络配置、集群间对等关系建立及SVM对等关系建立。
  (1)集群间网络配置。通过将存储设备上每个控制器上的两个物理端口以冗余方式聚合成一个逻辑端口,实现在集群中的每个节点上至少存在一个集群间逻辑端口,每一个逻辑端口都需要配置IP信息,用于多个集群之间的数据通信与复制。集群间逻辑端口必须创建于具有集群间能力的端口上,即分配了集群间角色或数据角色的端口。用于集群内节点互连的端口不可用于集群间复制。
  (2)集群间对等关系建立。基于创建完成的集群间逻辑端口,建立异地集群间的对等关系,实现异地集群之间数据通信与复制。创建集群对等关系是一次性操作,必须由集群管理员执行。对等关系可以通过两种方法来创建。一种方法是由拥有另一集群的安全凭据(集群管理登录名和密码)的集群管理员来创建对等关系。另一种方法则允许两位管理员在不交换集群管理密码的情况下为其集群建立对等关系。使用这种方法时,需各自输入cluster peer create命令,指定对方集群的集群间IP地址。
  (3)SVM对等关系建立。从集群模式DataONTAP8.2开始,在完成集群间对等关系建立后,必须建立异地集群间SVM对等关系。SVM对等关系可以将集群间的SVM连接在一起,以便在彼此之间进行数据复制。创建SVM对等关系是一种基于权限的机制,集群管理员通过在源与目标集群上分别执行vserver peer create和vserver peer  accept命令,完成SVM对等关系。
  容灾卷创建
  NetApp snapmirror异地容灾技术是基于不同集群的存储虚拟机中的卷来进行数据复制。下面我们来介绍容灾卷创建流程。
  1.源卷与目标卷分配。在闵行校区和中北校区机房的NetApp存储上划分相应大小的卷,分别用作源卷与目标卷。
  2.源卷与目标卷同步配置。我们在目标卷所在的存储虚拟机上进行源卷与目标卷同步配置,并通过创建不同的同步策略来设定同步优先级及同步频率。
  3.LUN创建。在完成源卷与目标卷同步之后,我们可以在源卷上创建LUN,将自动在目标卷上创建相同大小的LUN,用于对源卷上的LUN进行数据保护。通过支持FCP协议的端口组将LUN分配给启动程序组,在应用服务器层面经过磁盘扫描后,就可以识别到分配的存储。
  业务系统数据迁移方案规划
  NetApp snapmirror搭建完成之后,下一步进行相关业务迁移工作规划,主要涉及虚拟校园系统、splunk日志分析系统、ORACLERAC测试环境、SFRAC测试环境、zabbix监控系统、nessus漏洞扫描系统等。
  1.针对部署在虚拟化平台的业务,如虚拟校园系统、splunk日志分析系统等。
  通过NetApp snapmirror分配存储给虚拟化平台,将运行在虚拟化平台的各类业务通过存储vMotion的方式将业务从原有存储迁移到新存储上。
  2..针对部署在实体机上的业务,如ORACLERAC测试环境、SFRAC测试环境、zabbix监控系统、nessus漏洞扫描系统等。
  根据主机层面是否安装赛门铁克的集群软件SFRAC,将考虑两种不同方式迁移业务。
  服务器层面已经安装SFRAC的业务系统,如ORACLERAC测试环境、SFRAC测试环境等。操作方案有以下3种:
  第一种,通过snapmirror为业务系统服务器分配4块磁盘(包括1块用作业务数据盘和3块用作仲裁盘)。
  第二种,通过赛门铁克的SFRAC将原有业务数据磁盘与通过snapmirror分配的用作业务数据的磁盘做成镜像。
  第三种,将用于服务器HA的3块仲裁盘替换为snapmirror分配的新的3块磁盘。针对服务器层面并未安装SFRAC的业务
  系统,如zabbix监控系统、nessus漏洞扫描系统等。一种方式通过snapmirror为服务器分配存储进行业务重新安装部署;另一种方式采用VM warev Center Converter工具来实现实转虚操作,将实体业务转化成虚拟化平台的虚拟业务。
  NetApp snapmirror采用异步复制模式,定期在源卷上创建快照副本,通过配置千兆带宽仅对上一个复制周期后更改或新创建的数据块进行数据复制。同时结合主存储上开启数据重删功能以及在源卷上启用了数据压缩功能,进一步提高复制效率。目前,迁移后的业务系统采用60分钟同步一次的策略,即将业务系统60分钟内的数据变化同步到对端,经过一段时间观察,业务变化量能够在下一次发起同步前完成复制,业务运行稳定,达到预期效果。
  NetApp snapmirror建立了一个统一的、高效的存储异地容灾的系统框架。通过集成数据复制技术,将关键业务数据复制到不同校区,实现两校区数据中心的异地容错,进一步提高数据中心的连续可用性和安全性。
  (作者单位为华东师范大学信息化办公室)