构建中小银行同城“双活”灾备网络

中国有几千家中小银行，其信息系统稳健运行及安全体系关系到整个国家的经济，随着各家银行自身需要和监管要求的不断推进，大力发展灾备系统及业务连续性体系建设已成为了中小银行日益关注的工作内容。灾备系统从初期的冷备、温备到热备都已在金融行业得到了成熟应用。近些年又在此基础上提出了双中心双活、多中心多活的概念及架构模型，在实现灾备功能的基础上充分利用了各中心软硬件资源，灾备中心的角色正在转变。央行和银监会对中小银行的灾备布局建设十分重视，构建同城灾备中心，发挥其接管业务、延续业务和双活运行的作用，对中小银行尤为重要，“双活”网络设计自然也成为重中之重。

一、生产中心——同城灾备总体架构

        一个完备的灾备网络系统包括存储层、应用层和互联层三大部分。存储层网络系统主要用于生产中心和同城灾备中心的数据存储设备，包括磁盘阵列、磁带库、光纤交换机和NAS设备，通过存储层网络系统，可以将生产中心信息系统的关键数据同步复制到同城灾备中心的存储设备中：应用层网络系统，主要包括支持服务器设备、操作系统、数据库、中间件软件、应用软件和系统接口软件的网络系统，应用层网络系统建设完成后，可以实现系统在生产中心和同城灾备中心间的切换；互联层网络系统，主要通过路由器、交换机、防火墙、负载均衡等互连设备，实现生产中心、同城灾备中心间以及与外界的连接。通过互联层使得下联机构、外联机构（包括人民银行、银监局等）与生产中心、同城灾备中心互联互通，满足生产中心、同城灾难灾备中心网络之间的切换需要。

二、同城灾难备份数据中心资源调度分析

        同城灾备中心在建设和定位上，大体可以分为以下3类：冷备份中心、热备份中心和同城双活中心。其中双活中心是指针对同一类业务两个数据中心都处于工作状态。在同城双活灾备中心的资源使用和调度上，也可以分为不同的深度，见图1。

[attachimg]50871[/attachimg]

纵向进入双活中心的业务数据流称作南北向数据流，同城两个数据中心业务的横向访问数据流称作东西向数据流。双活数据中心的资源活动层面可分为前置服务器的双活，应用服务器的双活。数据库服务器层间实现Active／Stangby模式，纵向双活层面越深，相应网络实现的复杂度越高。

三、同城双活数据中心方案设计

        同城双活中心最终要实现同一种业务的前置服务器、应用服务器在两个数据中心的双活，根据南北向数据流及东西向数据流的不同走向，可以采用不同的网络部署模式来实现双活数据中心的建设。

        1．使用全局负载均衡双活方案        该方案将全局负载均衡设备和本地负载均衡设备结合起来，实现关键业务的前置或应用的双活运行。其中，全局负载均衡设备主要负责站点（主数据中心或同城备份数据中心）的选择和调度，本地负载均衡器主要负责数据中心业务服务器的分配和调度，该方案有4个设计要点，架构示意图如图2。

[attachimg]50873[/attachimg]

客户端访问全局负载均衡设备进行地址解析，根据预先设定的策略解析出主中心本地负载均衡设备的虚地址VIP-A，或同城灾备中心的本地负载均衡设备的虚地址VIP-B，然后将南北向数据流调度到主数据中心和同城备份数据中心。

        数据中心内部的本地负载均衡设备负责分配调度下面的前置服务器或应用服务器，将南北向进入本中心的业务数据流分配到前置服务器或应用服务器中，为减少复杂度，本地负载均衡设备只分配调度本中心内部的服务器，不进行东西向数据流跨数据中心的服务器分配和调度。如果是实现前置服务器的双活，那么访问同城灾备中心前置服务器的南北向数据流通过跨数据中心的东西向数据流访问主中心的应用服务器，再访问主中心的数据库服务器。

        两个中心内部本地负载均衡设备的虚拟IP地址分别为VIP-A和VIP-B，并注册到全局负载均衡设备里；同城灾备中心与生产中心的前置服务器配置不相同IP地址、不相同的vlan-id；同城灾备中心的应用服务器和数据库服务器处于冷备份状态。

南北向数据流可同时经过两个中心防火墙、本地负载均衡设备、前置服务器；东西向数据流可从同城灾备中心的前置服务器到主中心的应用服务器。

        2．使用本地负载均衡双活方案        该方案不使用全局负载均衡设备，由本地负载均衡设备进行两中心资源调度，来实现关键业务的前置或应用的双活运行，本方案有4个设计要点，架构示意图如图3。

[attachimg]50875[/attachimg]

主数据中心和同城灾备中心的本地负载均衡设备虚地址都是VIP-A，同城灾备数据中心的本地负载均衡设备处于冷备份状态，客户端通过路由表访问到主数据中心的VIP-A。

        数据中心内部的本地负载均衡设备，通过调度本中心及同城灾备中心的前置服务器，实现前置服务器的双活。访问同城灾备中心的前置服务器是通过跨中心的东西向数据流访问主中心的应用服务器，再访问到主中心的数据库服务器实现的。

        两个中心内部本地负载均衡设备的虚拟IP地址相同即VIP-A：同城灾备中心与生产中心的前置服务器配置不相同网段IP地址、相同的或不相同的vlan-id，根据应用的实际情况，可以采用2层延伸或3层连接。

        平时南北向数据流只经过主数据中心的防火墙、本地负载均衡设备，通过主中心的本地负载均衡设备调度主中心的前置服务器和同城灾备数据中心的前置服务器，再从同城灾备数据中心的前置服务器到主中心的应用服务器。同城灾备数据中心的防火墙、本地负载均衡设备、应用服务器和数据库服务器均处于冷备份状态。

四、生产同城数据中心互联设计

        中小银行的生产中心和同城灾备中心互连网络中，一般通过2条运营商裸光纤互联，采用2对CWDM冗余设备，将裸光纤划分为8个通道，分配给IP网络传输链路和SAN网络传输链路。根据各网络区域冗余、切换及访问策略需求，双活中心之间CWDM从逻辑上需要分两大类通道：SAN网通道、IP网通道。如图4所

[attachimg]50877[/attachimg]

SAN网通道：将生产中心的业务数据实时复制到同城灾备中心存储设备上，是实现业务恢复的基础保障。两中心SAN网通道的主要功能是提供业务数据传输，对FC网络带宽及稳定性要求较高，因此分配4个及以上通道满足带宽及冗余。

        IP网通道：根据安全策略需要又分为内网通道、外网通道。内网通道根据连接实现功能需求的不同，需要划分为3层和2层两个通道。外网通道是外联单位接入生产中心和同城灾备中心在经过防火墙前部分需要实现冗余的机制，这部分网络由于安全级别较低，最好划分一个单独的通道来处理。

五、同城中心运维管理网设计

        同城数据中心运维管理区要单独设计，一般分3部分，其中LAN 1是同城灾备中心运维监控网，属于带内管理；LAN 2是同城灾备中心办公网，通过防火墙策略可以访问提前区域；LAN 3是带外管理区，连接同城灾备中各硬件设备，数据流跟业务流完全独立。