当前金融行业核心系统NAS承担着与外围系统状态与日志交互的重要关键作用,一方面要求NAS满足落盘的速度,另一方面对子目录的访问控制权限的有所要求,例如:核心系统与各外围系统采用的交互日志,存放在接口目录下的多个二级目录中,每个二级目录有对应的的外围系统。NAS挂载时,要求二级目录挂载给核心和对应外围系统共享文件时,除了需要并针对二级目录做访问权限控制,还需要确保外围系统间的NAS安全访问,防止错位挂载二级目录带来安全隐患。
另外当前的NAS未采用双活架构,基本上是同步复制模式,切换和恢复操作较复杂,那么如果考虑切换和过渡成双活保护的NAS,增加了仲裁服务器之后,如何保证梳理好现有NAS服务配置工作,防止遗漏和错配,或者可以自动化工具去学习现有配置并完成双活NAS配置工作,避免重复性的收集核对配置工作,还能保证迁移的连续性和准确性?
第三、如果经过充分的测试后,在迁移双活NAS的过程中如何保证迁移过程的数据安全性和必要的快速回退保障?
确实nas这块除了单业务系统服务器集群共享文件外,也可用于不同业务系统之间文件交互用。在多业务系统交互场景,要做好不同业务子目录的设置。每个业务系统建立自己的子目录,原则上,某个业务系统只有对自己的子目录有读写权限。对于存储侧的配置,可以按业务场景设置不同的租户进行安全隔离。此外,在满足业务系统权限需求时,要遵循最小授权的原则。除了上述安全性考量,nas存储侧一方面通过构建双活架构来提升数据中心级别的容灾能力,另一方面通过对文件系统设置快照策略,可以对文件历史版本或者误删除的文件实现快速回溯,这也是一层安全性保障。当然对于重要的文件,也可以通过ndmp协议离线备份到磁带库里。
对于nas双活改造后,原文件系统的迁移,对于文件量不大的业务系统,可以直接采用从操作系统层文件拷贝的方式做数据迁移。由于迁移过程中和迁移后,原文件系统只是更换了挂载点,所以数据安全还是有保障的。对于文件量比较大的文件系统,可以采用打包以及按文件的时间业务特性分批次做文件迁移。比如先迁移在线活跃的文件,这部分一般量不大。而对于历史文件,比如1年前的再分批迁移。也有的客户在存储前端设计开发了类似文件路由功能(可以了解下),这样在做文件迁移时对业务可以说就是透明的了。