5.2 服务器
服务器支持文件共享与存储、数据处理、做为集中应用程序的主机(如电子邮件或集中式数据库)、打印、访问控制、用户认证、远程接入连接以及其它共享网络服务。本地用户通过联网PC登录服务器访问服务器提供的资源。
5.2.1 应急需求
因为服务器可以支持大量的关键应用或成为这些应用的主机,服务器失败可以对业务处理造成严重后果。在解决服务器缺陷时,应该可以考虑以下措施:
-
将备份的介质和软件离站存储 如前所述,备份的介质和软件应该被存储在安全和具备环境控制的离站设施中。存储设施应该离原站点足够远以减小两个站点受相同事件影响的可能性。
-
对硬件、软件和外部设备执行统一的标准 如果硬件、软件和外部设备在整个机构范围内执行了统一的标准则系统恢复就会更快。标准配置应该写入应急计划中。
-
将系统配置和供应商信息整理成文档 维护详细的系统配置记录可以增强系统恢复的能力。另外,供应重要硬件、软件和其它重要部件的供应商应该在应急计划中确定。
-
协调与安全策略和系统安全控制的关系 服务器应急方案应该协调安全策略和系统安全控制的关系。这样,在选择合适的技术性应急方案的过程中,与生产环境中类似的安全控制和相关安全的行动(如风险评估、缺陷扫描)就应该被应用于应急方案中,以确保在系统中断或紧急事件过程中所执行的技术性应急方案不会破坏或泄漏敏感信息。
-
使用来自BIA的结果 应该检查在相关重要系统和通用支持系统BIA中所发现的影响和优先顺序以确定相关的需求。
5.2.2 应急方案
有多种技术措施可用于增强服务器恢复能力。重要应用和通用支持系统的BIA应该提供信息协助确定恢复需求和优先顺序。服务器应急计划应该强调由服务器提供的服务的可靠性和可用性。当选择适当的技术性应急解决方案时,数据的机密性和敏感性要求也应该得到考虑。另外,当选择适当的服务器应急方案时,服务器、应用程序和数据的可用性要求应该得到评估。做为防御性应急措施,服务器上的关键功能和非关键功能应该尽量相互分离。例如,做为关键应用主机的服务器应该专门提供此应用服务,不再提供别的资源。
和PC一样,应该对服务器定期备份。可以通过分布式系统对服务器进行备份,分布式系统中每一个服务器都具有自己的驱动器;也可以通过集中式系统对服务器进行备份,集中式系统将集中式备份设备连接在某一个服务器上。有三种系统备份方法可供用于保存服务器数据:
-
完整 完整备份保存磁盘上所有文件或文件夹中被选择备份的所有文件。由于完整备份被记录于一个单一的介质或介质组,所以定位一个特定的文件或文件组很简单。但是,执行完整备份所需的时间可能会很长。另外,对不经常改变的文件进行完整备份会造成很多不必要的介质存储空间需求。
-
增量 增量备份保存从上次备份以来创建或产生变化的文件,而无论上次备份的类型是什么。增量备份在存储介质使用方面的效率较高,备份时间也会缩短。但是,为了从增量备份恢复系统,需要使用多个不同备份操作的介质。例如,在需要恢复一个目录时,如果上一次完整备份是三天前进行的,每天有一个文件被改变,那么,在恢复全部目录时需要完整备份和每天增量备份的介质。
-
差别 差别备份存储从上次完整备份以来创建或被修改的文件。所以,如果从上次完整备份以后文件被修改,每次差别备份都会保存到下一次完整备份完成为止。差别备份花费的时间比完成完整备份少。从差别备份恢复所需的介质会比增量备份少,因为只需要完整备份的介质和最后一次差别备份的介质。差别备份的缺点是差别备份花费的时间比增量备份长,因为从上次完整备份以来数据量在每天增加直到下一次完整备份执行完为止。
依据系统配置和恢复需求的不同可以使用不同组合的备份操作。例如,在周末可以执行完整备份,而每天晚上执行差别备份。在制定服务器备份进度表时,应该考虑以下问题:
-
介质存储在哪里?
-
备份什么数据?
-
备份的执行频率如何?
-
在紧急事件中获取备份的速度要多快?
-
谁有权获取介质?
-
获取介质需要花费多长时间?
-
介质将被送到哪里?
-
谁从介质恢复数据?
-
介质标记方案是什么?
-
备份介质保留多长时间?
-
当介质被离站存储时,提供什么环境控制来保护介质?
-
合适的备份介质是什么?
-
在备份站点使用什么类型的介质阅读器?
备份介质应该被离站存放于安全和环境受控的地点。选择离站地点时,应该解决备份介质访问的方便性、物理存储空间的限制以及合同条款的问题。在离站存储地点定期获取介质并测试以确保备份的正确执行是很重要的。应急计划协调人应该参考BIA的结果以协助确定备份介质测试的频率。应该对每一份备份磁带、磁带匣或磁盘设定唯一的标记以确保在紧急情况下能够快速确定所需的数据。这需要机构制定有效的标记和跟踪策略。一种办法是按照介质创建的年月日标记。其它策略会比较复杂,涉及到多个介质组的轮换以及老数据的追加和覆盖。标记策略应该与规定介质销毁前的保存时间的介质保留指导方针相一致。
虽然备份介质的离站存储使系统可以被恢复,但是中断和灾难会导致从上次备份以后服务器上添加或修改的数据的丢失。为了防止这种潜在的数据丢失,可能需要冗余方案来补充备份策略,冗余方案包括磁盘镜像、RAID以及负载均衡。下面讨论这些方案。来自BIA的数据可以协助应急计划协调人确定数据轮换的合适时间长度。
RAID提供了数据存储磁盘的冗余及容错并且减少了平均故障间隔时间。RAID被用于屏蔽磁盘驱动器和磁盘控制器故障。另外,RAID将数据分散存储在多个磁盘驱动器中而不是一个单独的磁盘中从而提高了性能和可靠性。可以通过软件和硬件方式实施RAID
,在两种方式中,操作系统都将其看作一个单一的逻辑硬盘。在RAID系统中可以使用热交换驱动器-也就是在磁盘驱动器故障时无需关闭系统就可以交换磁盘驱动器。RAID技术使用三种冗余技术:镜像、较验和条纹。
镜像 使用此技术,系统同时将数据写到两个分离的硬盘驱动器或驱动器阵列。镜像的优点是减少停机时间、简化数据恢复和提高从磁盘读取的性能。如果硬盘驱动器或磁盘阵列出现故障,系统可以依靠工作着的硬盘驱动器或磁盘阵列运行,或者系统可以使用一块磁盘处理读请求而另一块磁盘处理不同的请求。镜像的缺点是两个驱动器或磁盘阵列都要处理磁盘的写操作,这样会阻碍系统性能。镜像具有高容错性,可以通过RAID硬件控制器或操作系统实施。
较验 较验是一种确定数据是否丢失或被覆盖的技术。校验的容错性不如镜像。校验的优点是无需存储数据拷贝就可以保护数据,镜像则不同。
条纹 条纹可以通过将数据分布到所有的驱动器来提高硬件阵列控制器的性能。在条纹中,数据元素被分割成很多片段,每个片段被分配到一个硬盘驱动器中。由于多个驱动器可以同时访问不同的数据片段,所以条纹使传输数据的性能得到了提高。条纹可以在字节或数据块级别进行。字节级条纹将数据分割成字节并按顺序将其分布存储在多个硬盘中。数据块级条纹将数据分割成给定大小的数据块,每个数据块被分配到一个磁盘。
RAID解决方案依靠镜像、较验和条纹技术。目前有六种级别的RAID,每种级别提供一种不同的配置。RAID-1和RAID-5是最常用的数据冗余级别。
-
RAID-0是最简单的RAID级别,仅仅依赖于条纹。RAID-0在读/写速度上具有比其它级别更高的性能,但是不提供数据冗余。所以,不建议使用RAID-0做为数据恢复的方案。
-
RAID-1使用镜像在两个驱动器上创建和存储相同的拷贝。RAID-1实施起来简单而且便宜,但是由于数据复制而多用了百分之五十的存储空间。
-
RAID-2使用比特级条纹;但是此方案由于RAID控制器昂贵和难于实施而很少使用。
-
RAID-3使用带有专用较验的字节级条纹。RAID-3对于处理大文件的应用程序来说是有效的解决方案;但是由于较验数据被存储在一个驱动器上,所以无法提供较验信息的容错。
-
RAID-4和RAID-3类似,不过没有使用字节级条纹而是使用了数据块级条纹。此技术的优点是数据块的大小可以根据应用程序的需要而改变。使用RAID-4多用了一个磁盘驱动器的存储空间。
-
RAID-5使用数据块级条纹和分布式较验。这个方案消除了在RAID-3和
RAID-4由于单个磁盘保存较验数据而造成的瓶颈。RAID-5中,较验和数据分布在所有的驱动器中。较验信息数据块和实际数据块的分离提供了容错。如果一个驱动器发生故障,可以使用阵列中其它驱动器中存储的数据对故障驱动器中的数据进行重建。另外,可以根据应用程序的需要改变条纹集。RAID-5多用了一个磁盘驱动器的存储空间。
当单个RAID级别不能满足应急计划协调人的应急需求时,可以组合使用RAID级别以便利用各RAID级别的长处。RAID-0+1和RAID-1+0是RAID级别的常用组合,八个硬盘驱动器可以被分成两组每组四个硬盘驱动器的分离阵列。然后,使用RAID-1镜像两个阵列以提供数据冗余。这样RAID-1的高容错和RAID-0高性能就组合在一起了。RAID-1+0使八个硬盘驱动器镜像来创建四组两个驱动器的段,或四个镜像组。然后,使用RAID-0跨越所有四组镜像组创建条纹阵列。但是,这两种情况都会多用百分之五十的驱动器存储空间。
RAID是磁盘冗余的有效策略。但是,还需要提供对其它关键服务器部分的冗余,如电源。服务器可以配备两个电源,这样如果主电源过热或无法使用时,第二电源可以继续支持服务器。
虽然第二电源可以防护硬件故障,却不是电源故障的有效防御措施。为确保短期供电和防护供电波动,应该安装UPS。UPS通常提供足够的备份电源以便系统可以正常关闭。如果需要高可用性,可能需要汽油或柴油发电机。发电机可以直接联线到站点的供电系统并且可以被配置为在探测到供电中断的情况下自动启动。
电子跳跃和远程日记是与提供额外数据备份能力类似的技术,它通过通信线路将数据备份到远程磁带驱动器中。远程日记和电子跳跃缩短了恢复时间并且减少了两次备份之间服务器遭到损害时的数据损失。进行电子跳跃时,系统被连接到电子跳跃提供者自动进行离站备份的创建。电子跳跃可以使用光盘、磁盘、海量存储设备或自动化磁带库做为存储设备。使用这种技术,定期备份之间发生在服务器中的变化被传送到电子跳跃处。这些在两次备份之间的传送有时被称为电子日志。
使用远程日记时,交易日志或日记被传送到远程地点。如果需要对服务器进行恢复,可以使用日志或日记来恢复上一次服务器备份以来发生的交易、应用或数据库变化。远程日记可以通过批处理进行也可以使用缓存软件不间断地进行。远程日记和电子跳跃需要专用离站地点来接收所传输的数据。这个站点可以是系统的热站点、离站存储站点或其它合适的地点。执行远程日记或电子跳跃所使用的连接带宽可以依据数据的传输量和传输频率而定。
服务器负载均衡提高了服务器和应用程序的可用性。通过负载均衡,流量可以被动态分配到一组运行相同应用程序的服务器组中的不同服务器上,这样可以避免某台服务器过载。使用这种技术时,一组服务器对于网络就像一个单独的服务器。负载均衡系统监控每一台服务器以确定流量的最佳路径以提高性能和可用性防止服务器的流量过载。负载均衡可以在一个站点的服务器之间进行,也可以在不同站点的服务器之间进行。进行不同站点之间的负载均衡时,只要任何一个或多个站点保持运行,应用就可以保持持续运行。这样,依据系统可用性的需求,负载均衡就可以成为一种可行的应急措施。
使用磁盘复制时,由于数据被写入不同的磁盘以确保总是存在两个正确的数据拷贝,所以恢复的时间被减到最小。两个磁盘被称为受保护服务器(主服务器)和复制服务器(备份服务器)。磁盘复制可以在本地进行也可以在不同的站点之间进行。有两种不同的数据复制技术,它们提供了不同的恢复时间目标(RTO)和恢复点目标(RPO)。RTO是在系统的不可用性严重影响到机构之前所允许消耗的最长时间。RPO是数据必须被恢复以便继续进行处理的时间点。下面描述磁盘复制技术。
-
同步或镜像 这种方法通过在受保护服务器发生变化的同时将变化添加到复制服务器的盘对盘复制来维护一个数据库或文件系统的复制品。同步模式会降低受保护服务器的性能,只应在物理距离较短数据传输带宽不受限制的服务器之间进行。使用同步镜像技术,RTO可以减小到几个小时,RPO可以被减少为未提交工作的损失。镜像应该被用于不能允许数据损失或只能允许很少数据损失的关键应用。
-
异步或映像 这种技术通过不断地获取日志变化并将此变化添加到复制服务器日志的方式维护一个数据库或文件系统的复制品。使用异步映像技术,依据部署待用日志中变化所需时间的不同,RTO在数小时和一天之间。合适的RPO是映像服务器接收的最后数据。在有可能产生网络延迟的小带宽长距离网络中异步复制较有用。映像技术还具有保持受保护服务器性能的作用。
复制方案的运行与系统相关,被称为基于主机的复制,可使用同步和异步复制。为了选择合适的磁盘复制技术和产品,应急计划协调人应该对平台支持、与其它补充产品的集成、部署的费用和速度、对性能的影响以及产品的完全性和可管理性进行评估。
磁盘复制也可以像负载均衡器那样使流量指向拥有资源最多的服务器。使用磁盘复制技术时,受保护服务器向复制服务器发送状态信息。如果受保护服务器停止复制或者发出“危急”呼叫,复制机器自动继续受保护服务器的功能。如果复制停止,在开始步骤之前应该在受保护服务器和镜像服务器之间进行重新同步。
如果应急计划协调人考虑在两个站点之间执行复制,则应该考虑受保护和复制服务器的基础支持系统。如果资源条件充足应该提供冗余的通信路径。应急计划协调人应该了解磁盘复制的潜在缺点,包括已损坏的磁盘或数据被复制的可能性,这会破坏已经备份的拷贝。
存储虚拟化概念是将多个物理存储设备结合成一个逻辑虚拟存储设备的方法,它可以做为网络应用、操作系统和用户的单一存储池得到集中管理。存储虚拟化的好处是存储设备可以在无需中断网络的情况下添加,不用的服务器或存储设备的存储容量可以被重新设置,可以根据服务器的需要对设定给服务器的存储进行创建、删除或扩充。虚拟化技术可以用于补充网络附加存储(NAS)环境。NAS环境基于文件为多个服务器提供统一的存储区域。NAS环境适用于文件服务器应用或存储,如文件共享或Web以及邮件服务等。NAS设备或服务器在最小化的操作系统上运行,被设计用来协助数据移动。使用基于文件的协议,参与其中的使用任何操作系统的任何应用程序或客户都可以从NAS设备读取或向其发送数据。
虚拟化技术也可以用于补充存储局域网(SAN),这是使不同操作系统的计算机与一个存储设备进行通信的高速、高性能网络。与NAS不同,SAN提供数据块级的数据访问,是用来处理存储和备份的流量而不是基于文件的流量的。SAN可以是本地的也可以是远程的(有限距离内的),通常通过光纤通道与服务器通信。SAN方案将数据存储移出LAN,使备份数据流向高速磁带驱动器,这样就不会如其它分布式或集中式存储体系那样影响网络资源了。虚拟化、NAS和SAN从客户机/服务器体系转向数据中心体系。如果系统负责人考虑实施数据中心体系,应该考虑这项技术的优点、缺点以及系统负责人对数据中心网络的需要。互联网小型计算机接口(iSCSI)是实施NAS和SAN技术的基于传输控制协议/互联协议(TCP/IP)的存储网络规格。iSCSI将传统的SCSI转移到互联协议(IP)栈的一层上,它协助完成通过IP网络的远距离存储的部署、管理和数据传输。iSCSI可以从网络中的任何点上对连接到IP网络中的任何存储设备进行备份。使用iSCSI时,SAN可以从任何位置不受距离限制地添加存储和服务器。
|
