設計 Pilot-Light 災難復原 (DR) 拓樸
如果大型停機會影響您的生產環境應用程式,您必須能夠快速回復工作負載。您的業務持續性計畫應包含符合回收點、回收時間及預算目標的 DR 策略。試行拓樸提供成本與復原需求之間的餘額。
Pilot 光源一詞是指裝置 (例如氣體電源加熱器) 中的小型火焰,可用來在需要時快速啟動裝置。在 DR 的相關資訊環境中,pilot-light 環境包含指定工作負載的核心元件,以及最新的組態和重要資料,以主要網站遠端位置的最小規模執行。在主要網站發生災害時,您可以使用遠端位置的試用燈元件快速還原生產環境。
Oracle Cloud Infrastructure 提供高可用性且可擴展的基礎架構和服務,可讓您設計試用版 DR 拓樸。
架構
此架構顯示在兩個 Oracle Cloud Infrastructure 區域分配冗餘資源的多層拓樸。
下圖說明此參考架構。
x-region-pilot-light-topology.png 圖解描述
架構包含下列元件:
- 區域
Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且大型距離可以區隔 (跨國家或甚至洲)。
- 可用性網域
可用性網域是區域內獨立的獨立資料中心。每個可用性網域中的實體資源都會與其他可用性網域中的資源隔離,以提供容錯。可用性網域不會共用基礎設施 (例如電力或散熱冷卻系統) 或內部可用性網域網路。因此,一個可用網域發生故障並不會影響該區域中的其他可用網域。
架構圖未顯示可用性網域。但是,在具有多個可用性網域的區域中,您可以跨可用性網域散佈每個區域中的資源,以提供高可用性。
- 容錯域
容錯域是可用性網域內的一組硬體和基礎設施。每個可用性網域都有三個具有獨立電源和硬體的容錯域。當您將資源分配到多個容錯域時,應用程式可能會容許容錯域內的實體伺服器故障、系統維護和電源故障。
架構圖未顯示容錯域。但為了避免容錯域內的失敗,您可以將每個可用性中的資源分散至容錯域。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。VCN 就像傳統資料中心網路一樣,可讓您完整控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,供您在建立 VCN 之後變更。您可以將 VCN 區隔為子網路,子網路範圍可為區域或可用性網域。每個子網路均包含一個未與 VCN 中其他子網路重疊的連續位址範圍。您可以在建立子網路之後變更子網路的大小。子網路可以是公用或專用。
在此參照架構中,每個區域中的所有資源都會連附至單一 VCN。
- 防禦主機
防禦主機是一個運算執行處理,可作為雲端外部拓樸的安全、受控制的進入點。防禦主機通常是在非軍事區域 (DMZ) 中啟動設定。它可讓您將機密資源放在無法直接從雲端存取的專用網路中,以保護機密資源。拓樸有一個您可以定期監督及稽核的單一已知進入點。因此,您可以避免暴露拓樸的更敏感元件,而不會暴露它們的存取權。
- 負載平衡器
Oracle Cloud Infrastructure Load Balancing 服務提供自動化的流量分佈,從單一進入點到後端的多部伺服器。
- 網際網路閘道
網際網路閘道可讓 VCN 中的公用子網路與公用網際網路之間的流量。
- 運算執行處理
主要區域包含兩個應用程式層的運算執行處理。
待命區域有一個用於掛載複製檔案儲存的運算執行處理。待命區域中的其他兩個運算執行處理代表您在主要區域中發生災害時,可以使用複製的開機磁碟區和區塊磁碟區建立的伺服器。
- 區塊磁碟區
透過區塊儲存磁碟區,您可以建立、連附、連線與移動儲存磁碟區,以及根據儲存、效能和應用程式需求變更磁碟區效能。將磁碟區連附並連線至執行處理之後,您可以使用磁碟區,例如一般硬碟。您也可以中斷磁碟區的連線,然後將它連附至另一個執行處理,而不會遺失資料。
此架構顯示複製到待命區域之主要區域中的開機磁碟區和區塊磁碟區。使用此設計時,在主要區域中發生災害時,您可以使用複製的開機和區塊磁碟區佈建運算執行處理,在待命區域中快速回復應用程式層。
- 檔案儲存
Oracle Cloud Infrastructure File Storage 服務提供持續、可擴充、安全的企業級網路檔案系統。您可以從 VCN 中的任何裸機、虛擬機器或容器執行處理連線至檔案儲存服務檔案系統。您也可以使用 Oracle Cloud Infrastructure FastConnect 和 IPSec VPN,從 VCN 外部存取檔案系統。
架構顯示目前使用命令檔複製到待命區域之主要區域中的檔案儲存體。
- 物件儲存
物件儲存可讓您快速存取任何內容類型的大量結構化和非結構化資料,包括資料庫備份、分析資料以及豐富的內容 (例如影像和視訊)。您可以直接從網際網路或從雲端平台內,安全地儲存及擷取資料。您可以無縫接軌地擴展儲存體,而不會遇到任何效能或服務可靠性降低。使用標準儲存體作為快速、立即及經常存取所需的「熱」儲存體。將封存儲存用於您保留的「冷」儲存空間長期、少數或少數存取。
架構會使用跨區域複寫原則,自動顯示複製到待命區域之主要區域中的物件儲存體。
- 應用程式伺服器
應用程式伺服器會使用次要對等,例如資料庫,在發生災害時將會接管處理。應用程式伺服器使用儲存在資料庫和檔案系統中的組態和描述資料。應用程式伺服器叢集功能可在單一區域的範圍中提供保護,但進行中的修改與新的部署需要持續複製到次要位置,以進行一致的災害復原。
- 資料庫
架構包括每個區域中的資料庫。Oracle Data Guard 用於資料複製,並確保待命資料庫是主要資料庫的交易一致複本。
「資料保全」會從主要資料庫傳輸並套用重做資料至待命資料庫,自動維護資料庫之間的同步化。如果是主要區域的災害,「資料保全」會自動容錯移轉至待命資料庫。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,可提供 VCN 與區域外部網路 (例如另一個 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或另一個雲端提供者中的網路) 之間的專用網路流量路徑。
- NAT 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不會對內送網際網路連線暴露這些資源。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務 (例如 Oracle Cloud Infrastructure Object Storage )。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送,而一律不會周遊網際網路。
建議
使用下列建議作為設計試用燈 DR 拓撲的起點。您的需求可能會與此處描述的架構不同。
- VCN
建立每個 VCN 時,請判斷每個子網路中的雲端資源需要多少 IP 位址。使用無類別網域間路由 (CIDR) 表示法,指定足以容納所需 IP 位址的子網路遮罩和網路位址範圍。請使用標準專用 IP 位址空間內的位址範圍。
選取未與想要設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至可作為安全界限的相同子網路。
使用區域子網路。
- 安全清單
若要允許跨區域複製資料庫和檔案儲存,請設定必要的安全清單。請注意,複製開機磁碟區和區塊磁碟區不需要連附磁碟區之主機之間的通訊。
- 區塊磁碟區備份原則
設定原則,視需要經常備份區塊磁碟區以符合 RPO。
- 在 Oracle Platform as a Service ( PaaS ) 上執行的應用程式伺服器與自訂應用程式
PaaS 服務 (例如 Oracle SOA Cloud Service 和 Oracle WebLogic Server for Oracle Cloud Infrastructure ) 使用上述大部分資源 (運算、區塊磁碟區、檔案儲存、網路、資料庫)。它們需要以一致的方式保護所有不同層的特定災害復原策略。Oracle 提供詳細的最佳作法是建立最佳可用架構 (MAA),並保護此類型的系統免於災害。如需有關 PaaS 災害復原 (DR) 的特定文件,請參閱探索詳細資訊。
注意事項
導入試用版 DR 設定時,請考慮下列因素:
- 效能
規劃 RPO 與 RTO 時,請考慮跨區域複製磁碟區備份所需的時間。
- 使用狀態
您可以在容錯移轉之後,使用 DNS 操控管理將從屬端流量重導至目前的生產區域。
如果您使用提供本機連附 NVMe 裝置的運算資源配置,可以使用使用使用物件儲存的傳統備份解決方案來備份這些裝置上的資料。
- 成本
如果從主要區域容錯移轉至待命區域,您可以使用 Terraform 命令檔來快速啟動設定必要的基礎架構。您可以在佈建資料庫系統之後調整其大小;因此,請一開始指定所需的最小資源配置,然後在容錯移轉之後變更為較大的資源配置。
探索更多
深入瞭解 Oracle Cloud Infrastructure 中的災害復原與復原能力。
請參閱 MAA 災害復原技術簡介以瞭解下列 Oracle PaaS 服務: