使用 ZConverter ZDM 迁移应用程序并启用灾难恢复
ZConverter 的灾难恢复管理器 (Disaster Recovery Manager,ZDM) 支持对完整应用程序的源不可知迁移和恢复。此架构展示了如何将应用从内部部署系统和其他云系统迁移和备份到 Oracle Cloud Infrastructure (OCI),然后根据需要恢复这些系统。
ZDM 使用 ZConverter 的专有 。用于创建源不可知备份的 ZIA 映像格式。。ZIA 格式使您可以捕获服务器的整个工作负载,包括操作系统、应用程序、数据、IT 服务及其依赖项,所有这些工作负载都处于一致的状态。这样,无论机器类型、磁盘类型、虚拟机管理程序、平台或地理位置如何,您都可以将关键应用、数据和基础设施从任何源备份到 OCI。
在备份过程中,对每个应用程序进行压缩和加密,然后通过 WAN 将其复制到 OCI 以进行长期存储。然后,您可以使用备份在发生灾难、勒索软件攻击或需要迁移特定服务器时恢复 OCI 中的应用。
ZConverter 支持在不同云平台、虚拟机管理程序和磁盘格式之间进行灾难恢复,这意味着您可以将以下源恢复到 OCI:
- VMware、Hyper-V、KVM、Xen
- AWS、Azure、GCP、Alibaba Cloud
- OpenStack、CloudStack、经典 Oracle Cloud
- 本地(裸机)
体系结构
此架构展示了如何将应用从内部部署系统和其他云系统迁移和备份到 OCI,然后根据需要恢复这些系统。
必须在每个源和目标环境中安装 ZDM 实例。ZDM 搜索要保护的计算机,并将代理推送到这些计算机。然后,备份过程将开始并将备份映像存储为 。ZIA 源不可知文件,然后将这些文件分载到对象存储以供长期保留。所有备份都将复制到目标 ZDM,然后可以进行恢复以预配新计算机。
下图说明了备份和复制过程的逻辑数据流。在这种情况下,我们将备份和复制位于第三方云和客户自己的数据中心内的示例应用,并将其作为目标目标复制到 OCI。
下图说明了位于客户数据中心和第三方云提供商的 ZDM 服务器的物理布局,OCI 是备份文件的目标。
zconverter-topology-oracle.zip
该体系结构具有以下组成部分:
- 区域
Oracle Cloud Infrastructure 区域是一个局部地理区域,其中包含一个或多个数据中心,称为可用性域。区域独立于其他区域,而广阔的距离可以分离它们(跨国家甚至大陆)。
- 可用性域
可用性域是一个区域中的独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离,因而具备容错能力。可用性域不共享电源、冷却设备或内部可用性域网络等基础设施。因此,一个可用性域出现故障不会影响区域中的其他可用性域。
- 虚拟云网络 (VCN) 和子网
VCN 是可在 Oracle Cloud Infrastructure 区域中设置的可定制的软件定义网络。与传统的数据中心网络一样,VCN 允许您完全控制您的网络环境。VCN 可以具有多个不可重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 分段到子网,这些子网可以限定到区域或可用性域。每个子网包含一个连续的地址范围,这些地址与 VCN 中的其他子网不重叠。您可以在创建子网后更改其大小。子网可以是公共子网,也可以是专用子网。
- Internet 网关
互联网网关允许 VCN 中的公共子网与公共互联网之间的通信。
- 动态路由网关 (DRG)
DRG 是一个虚拟路由器,它提供 VCN 与区域之外的网络之间的专用网络通信路径,例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供商中的网络。
- 服务网关
通过服务网关,可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传输,永远不会经过互联网。
- FastConnect
Oracle Cloud Infrastructure FastConnect 提供了在数据中心与 Oracle Cloud Infrastructure 之间创建专用专用连接的简单方法。FastConnect 提供比基于互联网的连接更高的带宽选项和更可靠的网络体验。
- 站点到站点 VPN
站点到站点 VPN 提供了内部部署网络与 Oracle Cloud Infrastructure 中的 VCN 之间的 IPSec VPN 连接。IPSec 协议套件在将数据包从源传输到目标之前加密 IP 流量,并在数据包到达时解密流量。
- 堡垒服务
Oracle Cloud Infrastructure 堡垒提供对没有公共端点且需要严格资源访问控制的资源(例如裸金属和虚拟机、Oracle MySQL 数据库服务、自治事务处理 (Autonomous Transaction Processing,ATP)、Oracle Container Engine for Kubernetes (OKE) 以及任何允许安全 Shell 协议 (Secure Shell Protocol,SSH) 访问的其他资源有限且受时间限制的安全访问。使用 Oracle Cloud Infrastructure 堡垒服务,您可以启用对专用主机的访问,而无需部署和维护跳转主机。此外,通过基于身份的权限以及集中、审计和有时限的 SSH 会话,您还可以改善安全状况。Oracle Cloud Infrastructure 堡垒消除了公共 IP 的堡垒访问需求,在提供远程访问时消除了麻烦和潜在的攻击面。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动流量分配。
- 网络安全组 (NSG)
NSG 用作云资源的虚拟防火墙。使用 Oracle Cloud Infrastructure 的零信任安全模型,将拒绝所有流量,您可以控制 VCN 中的网络流量。NSG 包含一组入站和出站安全规则,这些规则仅应用于单个 VCN 中的一组指定 VNIC。
- 安全列表
对于每个子网,您可以创建安全规则来指定必须允许传入和传出子网的通信的源、目标和类型。
- 路由表
虚拟路由表包含将流量从子网路由到 VCN 之外的目的地(通常通过网关)的规则。
- 块存储卷
通过块存储卷,您可以创建、附加、连接和移动存储卷,并更改卷性能,从而满足您的存储、性能和应用要求。将卷连接到实例后,您可以像常规硬盘驱动器那样使用该卷。您还可以断开卷并将其附加到其他实例而不会丢失数据。
- 对象存储
通过对象存储,可以快速访问任意内容类型的大量结构化和非结构化数据,包括数据库备份、分析数据以及丰富的内容(例如图像和视频)。您可以安全可靠地存储数据,然后直接从互联网或云平台检索数据。您可以在不降低性能或服务可靠性的情况下无缝扩展存储。将标准存储用于需要快速、立即和频繁访问的“热”存储。将归档存储用于长时间保留的“冷”存储,很少或很少访问。
- 内部部署网络
此网络是您的组织使用的本地网络。它是拓扑的发言人之一。
- 日志记录日志记录是一项高度可扩展且完全托管的服务,您可以从云中的资源访问以下类型的日志:
- 审计日志:与审计服务发出的事件相关的日志。
- 服务日志:各个服务发出的日志,例如 API 网关、事件、函数、负载平衡、对象存储和 VCN 流日志。
- 定制日志:包含来自定制应用程序、其他云提供商或内部部署环境的诊断信息的日志。
- 监视
Oracle Cloud Infrastructure Monitoring 服务使用指标主动和被动监视云资源,以监视资源和预警,并在这些指标达到预警指定的触发器时通知您。
- 策略
Oracle Cloud Infrastructure Identity and Access Management 策略指定谁可以访问哪些资源以及如何访问哪些资源。在组和区间级别授予了访问权限,这意味着您可以编写策略向组授予特定区间或租户中特定类型的访问权限。
- 身份和访问管理 (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud 应用程序的访问控制层。IAM API 和用户界面使您可以管理身份域和身份域中的资源。每个 OCI IAM 身份域代表一个独立的身份和访问管理解决方案或其他用户群体。
- 审计
Oracle Cloud Infrastructure Audit 服务会自动将对所有受支持的 Oracle Cloud Infrastructure 公共应用程序编程接口 (API) 端点的调用记录为日志事件。当前,所有服务都支持 Oracle Cloud Infrastructure Audit 记录。
- ZConverter 云灾难恢复管理器 (ZDM)
ZMD 支持备份、迁移、灾难恢复和勒索软件保护。
- 。齐亚
ZIA 是 ZConverter 的专有源不可知图像格式。它能够同时备份、复制、迁移和恢复操作系统、应用程序、数据、关联的 IT 服务和必要的依赖项。
建议
- 数据库
我们建议您使用数据库的复制功能,而不是此解决方案。
- 网络和 DNS 解析
在使用灾难恢复方案时,通常会单独配置和管理网络和 DNS 解析。
- VCN
创建 VCN 时,根据计划连接到 VCN 中的子网的资源数量,确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
选择与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、您的内部部署数据中心或其他云提供商)不重叠的 CIDR 块。
设计子网时,请考虑流量和安全性要求。将特定层或角色中的所有资源连接到可以用作安全边界的同一子网。
- 负载平衡器带宽
创建负载平衡器时,您可以选择提供固定带宽的预定义配置,也可以指定设置带宽范围的定制(灵活)配置,并让服务根据流量模式自动缩放带宽。通过任一方法,您可以在创建负载平衡器后随时更改配置。
- ZConverter 灾难恢复管理器 (ZDM) 的系统配置
使用以下建议来帮助配置系统:
- ZDM 的最低服务器规格:具有 2 个核心、8GB RAM 和 60GB 根分区的虚拟机。
- 创建基于对象的单个存储系统信息库,以便长期保留完整备份和增量备份。将对象存储配置为 WORM(一次写入,多次读取)状态,以防删除、丢失或损坏的数据以及勒索软件攻击。
- 使用 Terraform 在恢复时自动预配应用服务器。
- 使用 Terraform 通过自动预配 VCN、子网、网关等来创建其他 ZDM 对。
考虑事项
使用 ZDM 启用迁移和灾难恢复时,请考虑以下选项。
- 负载平衡器
请注意,您无法将此解决方案应用于负载平衡器。
- 复制调度
您的复制调度将取决于预期的 RPO。您可以根据自己的需要将复制期间调整为更短或更长。
- 可扩展性
- 每个源和目标组合都需要一对 ZConverter 灾难恢复管理器 (ZDM)。
- 对于写入密集型或包含过多数据量的源环境,可以通过在源环境中添加其他 ZDM 服务器来扩展复制过程,从而添加更多核心和 RAM 到 ZDM VM,或者迁移到运行本地 SSD 驱动器或连接到高性能网络连接存储 (Network-Attached Storage,NAS) 的多处理器裸金属服务器平台。
- 每个 ZDM 对可保护大约 200 个服务器。可以通过单个 ZDM 对支持的服务器数量主要取决于要捕获的数据量。
- 安全性
- ZConverter 在备份时对应用程序、数据和操作系统进行压缩和加密,工作负荷在目标环境中保持加密和压缩,直到恢复时为止。
- 使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 策略可控制谁可以访问云资源以及可以执行哪些操作。
- 要保护密码或任何其他密钥,请考虑使用 Oracle Cloud Infrastructure Vault 服务。
- 成本
您可以免费使用 ZDM 设置概念部署的证明,这可能包括完成生产灾难恢复安装、灾难恢复钻取培训以及在恢复期间为自动预配服务器创建 Terraform 脚本。在积极使用 ZDM 后,会收取每月订阅费用,包括云灾难恢复、迁移、内部部署和云备份以及勒索软件保护。
部署
- 转到 Oracle Cloud Marketplace。
- 单击获取应用程序。
- 按照屏幕上的提示操作。