【摘要】本文以国产信创备份平台建设为目标,调研国内各备份平台的产品差异,寻找国产化建设体系下建设安全、可靠的全场景数据保护平台,形成实用、可靠的数据保护解决方案。【作者】陆海宏,某证券IT基础架构主管。主要负责证券公司各类主流操作系统管理,包括信创和非信创;各类主流数据库管理:包括信创和非信创;各种类存储架构设计和管理:传统存储、分布式存储、存储交换机;桌面云、虚拟化设计和管理;备份系统设计和管理等IT架构管理管理工作。
一、引言
随着数字化转型的浪潮席卷全球,证券行业作为金融市场的核心,信息系统的稳定性和数据安全成为了维系市场信任和效率的关键。于此同时,《证券期货业网络和信息安全管理办法》的公布,第二十条、二十七条、四十九条均给出了核心机构和经营机构的备份建设指导意见。核心机构和经营机构建立本地、同城和异地数据备份,数据需进行定期备份、定期有效性验证,持续提升证券期货业重大灾难应对能力。因此,探索基于国产技术的全场景备份平台建设,对于提升证券期货业的信息安全保障能力、促进金融科技自主可控具有重要意义。二、创新型备份平台的建设思路
1、现状
当前证券行业面临两大趋势,数字化转型和自主可控建设。数字化转型需要充分发挥数据价值,加强数据流通,兼容在线、离线、同城、异地等多种备份场景,保证在任何情况下恢复业务,保护数据安全。常见的部署方式:采用国外备份软件+磁带库进行数据的备份的归档。面临着不少问题:
1)国产化趋势加快,国外备份系统,处于封闭状态,对国产化应用平台兼容性不足,导致备份覆盖率不足,无法满足建设要求。
2)国外备份系统在供应连续性、信息安全、成本等方面存在隐患。
3)备份平台在两地架构也不统一,数据是孤岛,无法流动,不满足异地的备份系统建设需求,运维团队还需要维护两套系统,增加运维的复杂度。
4)原有的备份系统使用年限过长,故障的频率越来越高。在此情况下,我司计划对原有的备份平台进行升级改造,建设一套新的备份平台以满足国家信息安全标准和监管要求,在证券行业关键技术领域自主创新进行探索实践。
5)磁带备份介质易损坏失效,为保障数据完整性,检查翻新等管理成本高昂。
有必要建设一套安全可靠的数据储存平台,替代磁带介质,做为数据资产安全的最终保障手段。
2、建设方案
基于原有数据库备份体系存在的痛点,在新方案设计上,希望建设一整全新的国产备份平台能满足以下需求:
在本地,同城和异地都建设相关的数据库备份设施,满足业务系统定期备份,定期恢复,定期校验的基础功能,整个数据库备份系统优先选择一套管理体系,备份数据可以在设备之间相互流动,从而保证业务的连续性,同时也可以发挥数据的价值。
新的数据库备份平台应该在满足当前备份业务需求的前提下,选择自主可控的品牌,对国产的数据库,虚拟化平台具有良好的兼容性。
新的数据库备份平台需要满足备份和归档的需求,在整体的品牌上选择具有行业成熟度较高的品牌;而且随着信息安全建设的发展,平台优先选择备份和恢复速度快,产品稳定性高,可扩展性强的品牌,从而满足日益增长备份需求。
整体的初步方案规划如下:
我们企业的数据库类型很多,不同的数据库、不同的数据库部署方式(单机部署、分布式部署都有),备份逻辑都不同。因此采用先把数据库数据先同步到NAS存储,然后在通过备份软件将数据从NAS里备份到专业备份存储、归档入对象存储。如上备份方案是一个过渡方案,未来等信创类数据库备份软件生态、安全性、可靠性直一步成熟,最终目标依然是走向agent的方式,即去掉本地落盘和NAS备份存储中间过渡、通过备份软件直接备份数据库。
3、设备调研选型
信创备份系统设计核心考虑如下几个维度:
1)兼容性:对业界主流数据库(Oracle,MySQL,GaussDB,达梦,PG等)的备份和恢复测试;对虚拟化平台VMware的备份和恢复测试;对文件系统的备份和恢复,文件备份和恢复和粒度的测试等。
2)功能:增量备份,全量备份,源端重删备份,QoS,日志管理,审计功能,客户端管理功能,报表功能等。
3)可靠性:设备单器件故障测试,整机的稳定性测试。
4)性能:比较在高并发场景下的备份带宽能力和备份时间。
在近线备份存储硬件方面,采用的是华为专业备份存储设备OceanProtect X8000,传统双控制器架构,冗余度、可靠性和IO能力较高。在离线备份存储介质方面,采用的是华为OceanStor Pacific分布式存储。数据量达到存储总存放量60%的场景下,相比分布式存储软件,OceanStor Pacific不仅在整体的OPS上较高,在产品的运行稳定和性能表现上较好。特别是在故障恢复方面,故障点影响时间最短;业务优先恢复模式下,整体环境恢复时间最少;维修恢复时整机的性能测试表现方面几乎无明显影响。在4+2:1配置,,集群扩容节点,性能等比例提升,增加一个节点后存储整体TPS增加约三成。当资源利用率达90%以上时,存储读写性能表现也非常稳定,无明显性能下降拐点出现。
4、方案选择
平台建设规划,通过采购多套OceanProtect备份存储和3套OceanStor Pacific。在同城两个数据中心之间通过备份软件复制进行数据的流动,两地之间的备份系统可以进行链路重删,可以节省城际带宽,减轻两地链路负担。备份数据会持续增加,通过OceanStor Pacific 进行分级存储。在同城部署两套OceanStor Pacific进行异步复制,满足同城数据备份需求,通过Worm设置只读,进行数据保护,达到离线的目的。另外为避免OceanProtect设备故障,对备份的原始数据,进行离线的体外备份。异地的备份体系架构和主数据中心保持一致,实现数据双向流动,达成多地备份的诉求。
规划实现,生产中心的备份,保障生产数据的高可靠。异地灾备中心的备份及生产中心备份副本的容灾,完善灾备体系建设。建设目标,主生产数据中心备份:建设一套统一运维的管理平台,完成统一备份、统一监控、统一管理。优化现有备份策略,整合备份资源,数据分级分类备份,升级替换现有备份设备,推动国产化生态及应用创新,提升备份体验。建立完善的备份管理体系以及基于业务的备份分级分类;实现对数据的分级流动,新增对象存储实现数据整体归档。备份容灾数据中心异地备份建设目标:生产数据中心备份副本到容灾数据中心的复制,实现远程容灾。同时也可在主数据中心增加备份一体机,实现主数据中心业务的负载均衡,增加容错。
5、备份策略制定
备份策略制定原则,按照系统的重要级别,采取不同的备份策略,主要将系统分为重要业务系统和一般业务系统,全备和增备,通过对系统的梳理,备份策略示例如下:
三、项目建设效果
1)基本要求:整个备份平台系统满足信息安全要求,全栈国产化,设备更新换代之后,满足数据的备份需求,兼容国内外的数据库和虚拟化平台,整个备份平台的功能更强大,更全面。也提升了整个系统的备份和恢复速度。
2)运维要求:整个备份平台全栈采用统一品牌产品,设备统一管理,运维简单,对备份一体机和对象存储责任归一,定界清晰。
3)稳定可靠:备份一体机和分布式对象存储运行过程中稳定性强,对硬件故障的容忍度较高;后续可按需扩展,产品软硬件供应连续性得到持续保障。
4)功能齐全:备份平台除基础功能,亦支持副本挂载演练,副本即挂即用,同时生成相应的演练报告;两地之间支持链路重删,减少传输;于此同时,新一代备份平台与华为系列存储产品进行对接,还可免扫描差异对比,大大减少小文件备份的扫描时间;对海量小文件的快速检索,定点恢复提供了可能。
5)数据保护:法规级和企业级worm功能,增加了保护手段和多种选择方式,提高了企业的数据保护能力,解决磁带介质易失效的难题。四、总结
随着信息安全的不断完善,备份平台也将面临更多的挑战和机遇。数据的保护发展也会是一个多元化、综合化的过程。我们相信,数据保护会不断叠加新的能力,防勒索,防篡改,数据溯源,数据加密等等,将会不断促进信息安全的建设;零信任架构的普及,会逐渐打破传统网络边界防护观念,减少数据泄露的风险;同时随着AI的发展,数据保护产业也会不断学习,未来能够自动识别重要数据和备份需求,从而去优化备份策略和恢复时间,科学的备份和恢复。我们将继续关注行业动态和技术发展趋势,同时,我们也期待与其他企业和友商共同交流和学习,共同推动数据保护技术的发展和应用。参与协作反馈同行:
邹阳 某证券 DBA
黄庆 某证券 系统工程师
高照 某证券 数据库工程师
吉万利 某证券 备份工程师
曹斌 某证券 数据库工程师
审核专家:
谢茜茜 某城市商业银行 系统管理岗/架构分析岗
