从索契奥运五环看系统数据容灾

“我知道大家一定想知道为什么一片雪花没有变成环形。我想说的是，在佛教的禅中，任何事物都没有完美的，即使是一个抛光很好的球也是如此。出现的问题并不影响其余部分的完美展出。如果总是揪着这个问题不放？这样做太愚蠢了!”这是索契冬奥会开幕式总制片人康斯坦丁·恩斯特在开幕式之后新闻发布会上对“奥运五环事件”的解释。

无力的辩驳和无伤大雅

　　我猜康斯坦丁先生一定没有读过中国的《弟子规》，“无心非 名为错 有心非 名为恶 过能改 归于无 倘掩饰 增一辜”。“五环事件”肯定是个错误不是恶，有错就要改，就像上届温哥华冬奥会一样，上届冬奥会开幕式也出过故障，点火时一根火炬柱没能升起来，但加拿大人在闭幕式上重新点燃了这根火炬柱。温哥华人用实际行动诠释了如何改正过错。我想温哥华人估计也没有读过《弟子规》，但他们对于事件的处理的境界和《弟子规》是完全相同，一味地辩解，不仅于事无补，而且错上加错了。

　　康斯坦丁先生说的也没有错，“五环事件”并不影响开幕式的成功，甚至可以用完美来形容，这就是所谓的瑕不掩瑜。但问题就在于，任何人都可以这样说，惟有康斯坦丁先生不能这样说。康斯坦丁先生显然还没有学习过危机公关。

　　“五环事件”并不是本次冬季奥运会惟一的乌龙事件，“倒计时5秒黑屏”，性质同样严重，有了“五环事件”作为挡箭牌，“倒计时5秒黑屏”事件被冲淡了。

　　对于这样的事件，原本不必抓住不放，奥运会不过是一个Party(聚会)，没有必要上纲上线，也不必幸灾乐祸。但这样的错误实在有点“小儿科”，完全可以避免的。这样让我想起各种重大仪式上嘉宾开幕经常使用的“水晶球”，触摸就会闪电发光，控制礼花或者大屏幕开启，营造开幕式热烈气氛，很现代，很高科技。实际上，老外不知道，“水晶球”的背后，还有人在控制。即使“水晶球”罢工，仪式还是可以正常进行的。所谓人为操作，这就是“应急预案”。我想如果索契有类似的预案，这样的错误是完全可以避免的，俄罗斯电视台不就有这样的预案吗？

容灾备份生死相关

　　如果说奥运会不过是一个Party(聚会)，那么对于行业企业来说，不可预见IT系统事故所导致的宕机绝对不是一个小问题。 据国外IT Policy Compliance Group报告显示，数据丢失会对企业业务造成巨大影响，公开披露了数据丢失的企业。预计将导致其客户量及相关收入降低8%;对于上市企业而言，每股股价会下降8%;平均每丢失一个客户记录便会造成100美元的额外损失。相关调查显示，每年全球百万企业因数据丢失而倒闭。换句话说，IT系统容灾远比“五环事件”更应该引起企业的关注和重视。

　　但从现实来看，企业一旦有灾难发生，哪怕是从磁带中恢复数据中心的一部分数据，不说一星期，但也要花费几天时间。在如此高效率、高节奏社会环境下，如此保障将无法满足企业的需要。

　　容灾从其对系统保护程度来划分，可以分为数据级、应用级和业务级容灾。其中，数据级容灾通过建立异地容灾中心，做数据远程备份，确保原有数据不会丢失或破坏;应用级容灾则是在数据级容灾基础之上，通过构建相同的应用系统，借助同步或异步复制技术，确保关键应用在允许时间范围内恢复运行，尽可能减少灾难带来的损失;业务级容灾是针对全业务的灾备，除了必要的IT相关技术，还要求具备全部的基础设施。

徒劳的“两地三中心”

　　“两地三中心”建设是近年来行业应用，尤其是金融行业的建设重点。国内五大商业银行、城市商行大多完成了“两地三中心”建设，或自建或者依托第三方数据中心服务。可以说，通过“两地三中心”建设，国内行业用户信息系统的保障程度有了非常大的提高。无论银行、电信还是民航，信息系统故障所导致的灾难事件显著降低。但与此同时也需要看到，灾难性事件并没有绝迹，重大灾难事件仍有发生，更为致命的是在灾难面前，所谓的“两地三中”、“双活数据中心”似乎失去了作用，仿佛蒸发了一样，对于灾难束手无策。

　　有行业用户指出，目前市场上的解决方案虽然号称“双活”，但是仔细地研究其方案，在技术实现和手段上还是存在非常大的不同。该用户指出，需要用户根据自己的业务特点，对解决方案进行认真的选择，否则会带来非常大不确定性。以数据级容灾为例，数据级容灾又称为异地数据复制技术，技术上有同步传输和异步传输方式，甚至“半同步”方式的区分。选择的技术不同，数据恢复能力也不同。

　　在《信息系统灾难恢复规范》(GB/T 20988-2007)中，根据RTO(Recovery Time Objective，恢复时间目标，指灾难发生后，系统从停顿到恢复的时间)和RPO (Recovery Point Objective，恢复点目标RPO，指灾难发生后，系统和数据必须恢复到的时间点要求)的不同，将灾难恢复能力分为6个等级。其中，最高的也是用户所期盼的是第6级，也就是RPO为0，灾难在数分钟内恢复，没有任何数据丢失。但在目前的“两地三中心”设计方案中，第6级是一个难以实现的目标，即使不惜代价，但仍然难以满足问题的需要。

　　“两地三中心”方案在设计上重点针对的火灾、地震等自然界难以抗拒的因素，这本身就是一个小概率事件。此外，当这些灾难发生时，并不会要求RPO为0，能够尽快恢复服务就是能够被接受的，因此“两地三中心”并不针对RPO为0而设计。换句话说，不要将RPO为0与“两地三中心”划等号，要追求RPO为0不要考虑“两地三中心”。因此，对于IT系统容灾的认知上，仍有许多亟待提高的地方。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友