《OpenStack高可用集群（上册）：原理与架构》—1.4.2 业务系统容灾恢复

1.4.2　业务系统容灾恢复

HA与DR是有区别的，HA更多的是强调本地系统的高可用，即将某个应用系统运行在数据中心的多个服务器上，当其中的任一服务器出现任意故障时，应用程序和系统能迅速切换到其他服务器上运行从而保证业务系统的高可用性，其实现过程主要是本地系统的集群和数据的热备份，从设计上来讲，HA往往通过共享存储来实现数据的同步，因此通常RPO＝0，而更多要考虑的是RTO的设计。

DR则更多的是强调异地灾备中心的容灾恢复，即DR通常被认为是在另一数据中心重构恢复当前出现灾难数据中心的计划或过程。灾难（Disaster）是指由于人为或自然灾害致使当前数据中心内的IT系统受到严重破坏或者直接瘫痪，并最终导致相应的业务系统功能访问中断或者服务水平不可接受且达到特定时间的突发性、严重性、灾难性的事件，灾难的出现通常迫使当前数据中心的系统不得不切换到备用数据中心运行。容灾恢复即当灾难发生且生产数据中心受到严重程度破坏时在异地数据中心内恢复数据、应用或者业务的能力。容灾恢复的前提是企业具备容灾能力。容灾是指企业除了日常的生产数据中心以外，在异地还有备份的数据中心随时可以接管生产中心的业务系统，例如IBM倡导的“两地三中心”容灾方案，就是在同城建立备份中心，然后在地理位置更远的异地再建个容灾中心。衡量容灾系统的两个指标，仍然是RTO和RPO。图1-18显示了影响业务系统恢复时RTO和RPO的数据恢复方式与业务系统的恢复方式。

图1-18　业务系统高可用的RTO与RPO

从图1-18中可以看到，如果数据中心之间进行的是数据的同步复制，则容灾恢复过程中的RPO是秒级别的，即几乎不丢失数据，而如果是通过带库之类的备份恢复，则可能会丢失几天到几周不等的数据。同时，如果业务系统建立有HA，则恢复过程几乎是秒级别的，而如果是通过热备数据中心来恢复，则可能需要几个小时到几天不等。容灾恢复总体上可以分为数据级别、应用级别、业务级别：

数据级别。数据级别的容灾通常是建立异地容灾中心，通过数据的远程备份来实现，数据级别的容灾可以确保在灾难发生之后原有的数据不会丢失或者遭到破坏。但在发生灾难时应用是会中断的，因为数据级的容灾方式其实就是一个远程的数据备份中心，并不具有业务恢复的能力，此外，数据级容灾的恢复时间比较长，但是相比其他容灾级别来讲它的费用比较低，而且构建实施也相对简单，即RTO最长，总体拥有成本（TCO）最低。

应用级别。在数据级容灾的基础之上，在备份站点同样构建一套相同的应用系统，通过同步或异步复制技术在数据中心之间传递数据，这样可以保证关键应用在允许的时间范围内恢复运行，尽可能减少灾难带来的损失，让用户基本感受不到灾难的发生，这样就使系统所提供的服务是完整、可靠和安全的。这一级别的RTO相对数据级别要优很多，同时TCO也相对较小。

业务级别。几乎就是生产数据中心的模板复制，全部业务系统都做了应用级别的灾备，同时除了必要的IT相关人员和技术，还要求具备全部的基础设施。在严重灾难发生后，原有的办公场所都会受到破坏，在业务级别的容灾环境下，除了数据和应用的恢复，业务系统的正常开展也要被恢复。当然，这一级别的容灾恢复RTO是最低的，同时TCO是最昂贵的。