设计 Pilot-Light 灾难恢复 (DR) 拓扑
如果大规模中断影响生产应用程序,则需要能够迅速恢复工作负载。您的业务连续性计划应该包括符合恢复点、恢复时间和预算目标的 DR 策略。试点光拓扑在成本和恢复要求之间提供了平衡。
“飞行灯”一词是指在气体供热器等设备中始终亮起的小型火焰,可以在需要时用于快速启动设备。在 DR 上下文中,试点指示灯环境包含给定工作量的核心组件,其中包含最新的配置和关键数据,在远离主站点的位置以最小规模运行。在主站点发生灾难时,可以使用远程位置的试点指示灯组件快速恢复生产规模环境。
Oracle Cloud Infrastructure 提供高可用性和可扩展的基础结构和服务,使您可以设计试点指示灯 DR 拓扑。
体系结构
此体系结构显示一个多层拓扑,该拓扑具有跨两个 Oracle Cloud Infrastructure 区域分配的冗余资源。
下图说明了此引用体系结构。
插图 x-region-pilot-light-topology.png 的说明
体系结构具有以下组成部分:
- 区域
Oracle Cloud Infrastructure 区域是一个本地化地理区域,包含一个或多个数据中心,称为可用性域。区域独立于其他区域,其距离很大(跨越国家或甚至大陆)可以分开。
- 可用性域
可用性域是区域内的独立独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离,这些资源提供故障容差。可用性域不共享基础结构(例如电源或冷却设备)或者内部可用性域网络。因此,一个可用性域出现故障不太可能影响该区域中的其他可用性域。
体系结构图不显示可用性域。但是,在具有多个可用性域的区域中,您可以在可用性域之间分配每个区域中的资源,以实现高可用性。
- 容错域
容错域是可用性域内的一组硬件和基础设施。每个可用性域都有三个具有独立电源和硬件的故障域。在多个故障域之间分配资源时,应用程序可以容忍故障域中的物理服务器故障、系统维护和电源故障。
体系结构图不显示故障域。但是,为了防止故障域中发生故障,可以在故障域之间分配每个可用性中的资源。
- 虚拟云网络 (VCN) 和子网
VCN 是在 Oracle Cloud Infrastructure 区域中设置的可自定义、软件定义的网络。与传统的数据中心网络一样,VCN 允许您完全控制您的网络环境。VCN 可以有多个非重叠 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 细分为子网,子网可以被限定为区域或可用性域。每个子网包含一系列与 VCN 中的其他子网不重叠的地址。您可以在创建后更改子网的大小。子网可以是公共的或专用的。
在此引用体系结构中,每个区域中的所有资源都附加到单个 VCN。
- 堡垒主机
堡垒主机是一个计算实例,用作云外部拓扑的安全受控入口点。堡垒主机通常预配在非军事区 (DMZ) 中。它使您可以通过将敏感资源放置在无法直接从云外部访问的专用网络中来保护敏感资源。拓扑有一个已知的单个入口点,您可以定期监视和审计。因此,可以避免公开拓扑的更敏感的组件,而不会影响对这些组件的访问。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动通信分配。
- Internet 网关
Internet 网关允许 VCN 中的公共子网与公共 Internet 之间的通信。
- 计算实例
主区域包含应用程序层的两个计算实例。
备用区域具有用于挂载复制文件存储的计算实例。备用区域中的另外两个计算实例表示在主区域发生灾难时,可以使用复制的引导卷和块存储卷创建的服务器。
- 块存储卷
通过块存储卷,您可以创建、附加、连接和移动存储卷,以及更改卷性能,从而满足您的存储、性能和应用要求。将卷连接到实例后,可以像常规硬盘一样使用该卷。还可以断开卷的连接并将其附加到其他实例而不丢失数据。
体系结构显示要复制到备用区域的主区域中的引导卷和块卷。使用此设计,在主区域发生灾难时,您可以使用复制的引导和块存储卷预配计算实例,在备用区域中快速恢复应用程序层。
- 文件存储
Oracle Cloud Infrastructure 文件存储服务提供了持久、可扩展、安全、企业级网络文件系统。可以从 VCN 中的任何裸金属、虚拟机或容器实例连接到文件存储服务文件系统。您还可以使用 Oracle Cloud Infrastructure FastConnect 和 IPSec VPN 从 VCN 外部访问文件系统。
体系结构显示使用脚本复制到备用区域的主区域中的文件存储。
- 对象存储
通过对象存储,可以快速访问任意内容类型的大量结构化和非结构化数据,包括数据库备份、分析数据以及图像和视频等丰富内容。您可以安全可靠地存储数据,然后直接从互联网或云平台检索数据。您可以无缝扩展存储,而不会性能或服务可靠性降低。对需要快速、立即和频繁访问的“热”存储使用标准存储。对您长时间保留的“冷”存储使用归档存储,并且很少或很少访问。
体系结构使用跨区域复制策略显示主区域中要自动复制到备用区域的对象存储。
- 应用程序服务器
应用程序服务器使用辅助对等设备,这与数据库一样,在发生灾难时,将接管处理。应用程序服务器使用存储在数据库和文件系统中的配置和元数据。应用服务器集群在单个区域范围内提供保护,但持续进行的修改和新部署需要持续复制到辅助位置,以实现一致的灾难恢复。
- 数据库
该体系结构包括每个区域中的一个数据库。Oracle Data Guard 用于数据复制,并确保备用数据库是主数据库的事务处理一致副本。
Data Guard 通过将重做数据从主数据库传输和应用到备用数据库来自动维护数据库之间的同步。在主区域发生灾难时,Data Guard 会自动故障转移到备用数据库。
- 动态路由网关 (DRG)
DRG 是一个虚拟路由器,它为 VCN 与区域之外的网络(例如另一 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供商中的网络)之间的专用网络通信提供了路径。
- NAT 网关
NAT 网关允许 VCN 中的专用资源访问 Internet 上的主机,而不会向传入的 Internet 连接公开这些资源。
- 服务网关
通过服务网关可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage。从 VCN 到 Oracle 服务的流量通过 Oracle 网络网状结构网络进行传输,而不通过互联网。
建议
使用以下建议案作为设计试点光 DR 拓扑的起点。您的要求可能与此处描述的体系结构不同。
- VCN
创建每个 VCN 时,确定每个子网所需的云资源的 IP 地址数。使用无类域间路由 (Classless Inter-Domain Routing, CIDR) 表示法,指定足够大于所需 IP 地址的子网掩码和网络地址范围。使用标准专用 IP 地址空间内的地址范围。
选择不与您要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)重叠的 CIDR 块。
创建 VCN 后,可以更改、添加和删除其 CIDR 块。
设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源附加到可用作安全边界的同一子网。
使用区域子网。
- 安全列表
要允许跨区域复制数据库和文件存储,请配置所需的安全列表。请注意,复制引导卷和块卷不需要连接卷的主机之间的通信。
- 块存储卷备份策略
根据需要配置策略以备份块卷以满足 RPO 的频率。
- 在 Oracle Platform as a Service 上运行的应用程序服务器和定制应用程序 (PaaS)
PaaS 服务(例如 Oracle SOA Cloud Service 和 Oracle WebLogic Server for Oracle Cloud Infrastructure)在内部使用上述大多数资源(计算、块存储卷、文件存储、网络、数据库)。它们需要以一致的方式保护所有不同层面的特定的灾难恢复策略。Oracle 提供了详细的最佳实践,旨在创建高可用性架构 (MAA) 并保护此类系统免受灾难影响。有关 PaaS 的灾难恢复 (DR) 的特定文档,请参阅“了解更多信息”。
考虑事项
实施试点指示灯 DR 设置时,请考虑以下因素:
- 性能
规划 RPO 和 RTO 时,请考虑跨区域复制卷备份所需的时间。
- 可用性
在故障转移后,可以使用 DNS 指导管理将客户机通信重定向到当前生产区域。
如果使用提供本地连接的 NVMe 设备的计算配置,则可以使用使用对象存储的传统备份解决方案来备份这些设备上的数据。
- 成本
如果从主区域故障转移到备用区域,则可以使用 Terraform 脚本快速预配所需的基础结构。您可以在预配数据库系统后调整其大小;因此,指定最初所需的最小配置,并在故障转移后更改为较大的配置。
浏览更多
详细了解 Oracle Cloud Infrastructure 中的灾难恢复和复原。
有关以下 Oracle PaaS 服务,请参见 MAA 灾难恢复技术简介:
Oracle Cloud Infrastructure Marketplace 灾难恢复中的 SOA Suite
适用于 Oracle Cloud Infrastructure 灾难恢复的 Oracle WebLogic Server