土法炼钢兴趣小组的算法知识备份

【存储工程】灾难恢复设计

2025-10-09 · storage · #disaster-recovery #rpo #rto #active-active #failover #two-site-three-center #dr-drill

文章导航

分类入口
storage
标签入口
#disaster-recovery#rpo#rto#active-active#failover#two-site-three-center#dr-drill

目录

2021 年 7 月,某大型云服务商因一个数据中心的冷却系统故障导致核心区域全面宕机,影响数百家企业客户的在线服务,部分客户的数据恢复花了超过 72 小时。事后复盘发现,受影响最严重的客户有一个共同特征:没有经过验证的灾难恢复方案。他们要么根本没有灾备,要么有灾备但从未做过切换演练,真正需要切换时发现备用站点的数据落后主站数小时,甚至根本无法启动。

灾难恢复(Disaster Recovery)不是”买两套设备”就能解决的问题。它涉及一系列工程决策:能容忍丢多少数据?能容忍停多长时间?数据怎么同步到备用站点?故障切换是手动还是自动?自动切换怎么防止脑裂?灾备方案怎么验证?这些问题的答案决定了灾备架构的形态和成本。

本文从灾难恢复的工程定义出发,逐步展开 RPO/RTO 等级设计、同城双活、异地灾备、两地三中心三种主要架构模式,再深入讨论数据同步技术、故障切换机制、灾备演练方法论,最后给出灾难恢复 SLA 的设计方法和恢复时间的验证与优化手段。

适用范围 本文讨论的灾难恢复聚焦于存储和数据层面,不涉及应用层的无状态服务恢复(那是高可用部署的范畴)。涉及的具体技术以 MySQL 8.0、PostgreSQL 16、Oracle Data Guard 19c、MinIO 为参考实现。不同产品的具体配置和行为可能存在差异。

一、灾难恢复的工程定义

灾难的分类

灾难(Disaster)在存储工程语境下,指的是导致生产系统无法在原站点恢复正常服务的事件。按影响范围和恢复难度,灾难通常分为三类:

局部故障:单台服务器、单块磁盘或单个网络交换机的故障。这类问题由高可用(High Availability)机制处理——RAID、多副本、主从切换。局部故障不属于灾难恢复的范畴。

站点级故障:整个机房或数据中心不可用。原因包括电力中断、网络中断、火灾、洪水、冷却系统故障。站点级故障是灾难恢复的核心场景。

区域级故障:整个城市或地理区域的基础设施不可用。原因通常是大规模自然灾害——地震、台风、洪水。区域级故障需要跨地域的灾备方案。

灾难恢复与高可用的边界

高可用(High Availability)和灾难恢复(Disaster Recovery)经常混淆,但它们解决的问题不同:

维度 高可用(HA) 灾难恢复(DR)
应对的故障类型 组件级故障(磁盘、节点、进程) 站点级或区域级故障
切换范围 同一集群内的节点切换 跨站点的整体切换
数据同步方式 通常是同步复制 可以是同步或异步
切换时间 秒级 分钟到小时级
成本结构 主要是硬件冗余 硬件冗余 + 网络专线 + 运维体系

高可用是灾难恢复的基础,但不能替代灾难恢复。一个典型的误区是:集群内做了三副本、配了自动主从切换,就认为”灾备做好了”。实际上,如果三个副本都在同一个机房,机房断电后三个副本全部不可用,高可用机制毫无意义。

灾难恢复的核心度量

灾难恢复的设计围绕两个核心度量展开:

RPO 和 RTO 是灾备架构设计的起点。所有架构选择——同步还是异步、双活还是冷备、自动切换还是手动切换——都由 RPO 和 RTO 的要求驱动。下一节详细展开。

二、RPO 与 RTO

定义与直觉

RPO 回答的问题是”灾难发生后,我最多丢多少数据”。假设生产数据库在 14:00 发生站点级故障,灾备站点的数据同步到了 13:55,那么 RPO 实际值是 5 分钟——13:55 到 14:00 之间写入的数据丢失了。

RTO 回答的问题是”灾难发生后,我最多停多长时间”。假设 14:00 发生故障,灾备站点在 14:30 开始对外提供服务,那么 RTO 实际值是 30 分钟。

两者独立变化:RPO 可以是零但 RTO 很长(数据不丢,但恢复服务需要时间);RTO 可以很短但 RPO 不为零(服务快速恢复,但最近几分钟的数据丢了)。

等级划分

不同业务对 RPO 和 RTO 的要求差异极大。下面是一个常见的等级划分:

等级 RPO RTO 典型场景 灾备方案
1 级 0 < 1 分钟 金融交易、支付系统 同城双活 + 同步复制
2 级 0 < 15 分钟 核心业务数据库 同步复制 + 热备站点
3 级 < 5 分钟 < 30 分钟 订单系统、用户系统 半同步复制 + 温备站点
4 级 < 1 小时 < 4 小时 内部管理系统 异步复制 + 温备站点
5 级 < 24 小时 < 24 小时 归档数据、日志分析 定期备份 + 冷备站点
6 级 > 24 小时 > 24 小时 开发测试环境 离线备份

这个等级划分不是行业标准,而是工程实践中常用的分类框架。实际项目中需要根据业务需求确定具体数值。

RPO/RTO 与成本的关系

RPO 和 RTO 的要求越高(数值越小),灾备方案的成本越高。这个关系不是线性的,而是指数级增长的:

成本
 ^
 |
 |  *
 |   *
 |    *
 |      *
 |         *
 |              *
 |                      *
 |                                     *
 +─────────────────────────────────────────→ RPO / RTO
   0    1min   5min  15min  1h    4h   24h

从 RPO = 1 小时降到 RPO = 5 分钟,可能只需要把异步复制改成更频繁的异步复制或半同步复制,成本增加有限。但从 RPO = 5 分钟降到 RPO = 0,必须使用同步复制,写延迟会受到跨站点网络延迟的约束,还需要专线网络保证链路质量,成本可能翻几倍。

从 RTO = 4 小时降到 RTO = 30 分钟,需要把冷备站点改成温备站点(数据库实例已启动、数据已加载)。从 RTO = 30 分钟降到 RTO < 1 分钟,需要双活架构——灾备站点时刻在承担流量,切换只是流量调度层面的操作。双活架构的成本是冷备的 2 倍以上。

实际工程中,灾备方案不是”越低越好”,而是”刚好够用”。对一个内部管理系统做 RPO = 0 的同城双活是浪费;对一个金融交易系统做 RPO = 1 小时的定期备份是渎职。关键在于对业务做准确的影响分析(Business Impact Analysis,BIA),然后根据 BIA 的结果确定 RPO 和 RTO 等级。

业务影响分析

BIA 的核心输出是:每个业务系统在不同停机时长下的损失。具体步骤:

  1. 列出所有业务系统及其依赖的数据存储。
  2. 对每个系统,评估停机 1 分钟、5 分钟、15 分钟、1 小时、4 小时、24 小时分别造成多大损失(收入、合规、声誉)。
  3. 对每个系统,评估丢失 1 分钟、5 分钟、1 小时的数据分别造成多大损失。
  4. 根据损失评估结果和灾备成本,确定每个系统的 RPO/RTO 等级。

BIA 的结果往往出乎预期。很多团队以为自己最重要的系统是核心数据库,做完 BIA 后发现配置中心或域名解析服务的故障影响面更大。

三、同城双活架构

架构概述

同城双活(Active-Active within Same City)是 RPO = 0、RTO 接近零的灾备方案中成本最可控的一种。基本思路是:在同一个城市的两个数据中心同时运行生产业务,两个中心之间通过专线网络做同步数据复制。任何一个中心故障,流量自动切换到另一个中心,业务不中断。

                     ┌──────────────────────────┐
                     │        流量调度层          │
                     │   (DNS / GSLB / LB)     │
                     └─────────┬────────────────┘
                               │
                ┌──────────────┴──────────────┐
                │                             │
        ┌───────▼───────┐             ┌───────▼───────┐
        │   数据中心 A   │             │   数据中心 B   │
        │  (城市东区)   │             │  (城市西区)   │
        │               │             │               │
        │  ┌──────────┐ │  同步复制   │ ┌──────────┐  │
        │  │ 数据库主  │◄├────────────►┤ │ 数据库主  │  │
        │  └──────────┘ │  专线网络   │ └──────────┘  │
        │  ┌──────────┐ │             │ ┌──────────┐  │
        │  │ 应用服务  │ │             │ │ 应用服务  │  │
        │  └──────────┘ │             │ └──────────┘  │
        └───────────────┘             └───────────────┘
               距离:30-100 km
          网络延迟(RTT):< 3 ms

同城双活的前提条件

同城双活对基础设施有严格要求:

网络延迟:同步复制要求主节点等待备节点确认后才能返回客户端,写入延迟至少增加一个 RTT。同城数据中心之间的 RTT 通常在 1-3 毫秒。对于写延迟敏感的业务(如高频交易),即使 1 毫秒的额外延迟也可能不可接受。

网络带宽:同步复制意味着每一笔写入都要实时传输到对端。假设数据库的写入吞吐为 200 MB/s,同步复制至少需要 200 MB/s 的专线带宽,换算成约 1.6 Gbps。考虑到协议开销和峰值余量,通常需要 10 Gbps 以上的专线。

网络可靠性:两个中心之间的网络必须高度可靠。如果专线频繁中断,同步复制会导致主节点写入阻塞,反而降低可用性。通常需要至少两条独立路由的专线互为备份。

距离限制:距离决定网络延迟。光在光纤中的传播速度约为 200 km/ms(真空光速的 2/3)。两个数据中心相距 100 km,单程传输延迟约 0.5 ms,RTT 约 1 ms。加上交换设备的转发延迟,实际 RTT 通常在 1-3 ms。超过 100 km,RTT 就可能超过 3 ms,对写入延迟的影响开始显著。

数据分片与路由

同城双活最大的工程挑战不是基础设施,而是数据一致性。两个中心同时承担写流量,如果同一条数据在两个中心被同时修改,就会出现写冲突。

解决写冲突有两种思路:

分片路由:把数据按某个维度(用户 ID、租户 ID)分片,每个分片只在一个中心写入。例如用户 ID 尾号为偶数的写入中心 A,奇数的写入中心 B。这样同一条数据不会在两个中心同时被修改,避免了写冲突。中心 A 故障后,偶数用户的写入切到中心 B。

共识协议:使用分布式共识协议(如 Raft)来协调两个中心的写入顺序。每次写入都需要两个中心的多数派确认。这种方式没有数据分片的限制,但写入延迟更高,且至少需要三个投票节点(两个中心各一个 + 一个仲裁节点)才能在一个中心故障时继续写入。

实际工程中,分片路由是更常见的选择。原因是共识协议跨数据中心运行时,延迟和复杂度都更高,而分片路由的实现相对简单——只需要在接入层做路由规则。

同城双活的流量调度

流量调度层是同城双活架构中的关键组件,负责将请求路由到正确的数据中心。常见的调度机制:

基于 DNS 的调度:通过 DNS 解析返回不同数据中心的 IP 地址。优点是实现简单、对客户端透明。缺点是 DNS 缓存导致切换不够实时——即使 DNS 记录已更新,客户端缓存的旧记录可能还要等 TTL 过期。

基于 GSLB 的调度:全局服务器负载均衡(Global Server Load Balancing)在 DNS 基础上增加了健康检查能力。GSLB 持续探测两个数据中心的健康状态,一旦检测到某个中心不可用,自动将 DNS 解析指向健康的中心。常见的 GSLB 产品包括 F5 GTM、AWS Route 53、阿里云 DCDN。

基于四层/七层负载均衡的调度:在接入层部署跨数据中心的负载均衡器(如 Nginx、Envoy、HAProxy),直接在请求级别做路由。这种方式切换速度最快(不依赖 DNS TTL),但要求负载均衡器本身是多活部署的,否则负载均衡器就成了单点。

对于使用分片路由的场景,流量调度层还需要根据分片键(如用户 ID)将请求路由到正确的数据中心。一种常见的做法是在七层负载均衡器中解析请求参数,提取分片键,查询路由表确定目标中心:

请求 → 七层 LB → 解析用户 ID → 查询路由表 → 转发到目标中心
                                    │
                           ┌────────┴────────┐
                           │  路由表示例       │
                           │  user_id % 2 == 0 │
                           │    → 中心 A       │
                           │  user_id % 2 == 1 │
                           │    → 中心 B       │
                           └─────────────────┘

同城双活的局限

同城双活能应对单个数据中心的故障,但无法应对城市级灾难(地震、台风、大面积停电)。两个数据中心在同一城市,共享相同的电网、通信骨干网、市政基础设施,城市级灾难会同时击倒两个中心。

如果业务需要应对区域级灾难,需要在同城双活的基础上增加异地灾备。

四、异地灾备架构

架构概述

异地灾备(Remote Disaster Recovery)的基本思路是:在一个地理距离足够远的城市建立灾备站点,主站点的数据持续复制到灾备站点。主站点发生区域级灾难时,灾备站点接管业务。

“足够远”的含义是:灾备站点不会被同一场自然灾害同时影响。行业经验是至少相隔 300 km 以上。中国的实践中,通常选择不同抗震带、不同水系的城市,例如北京和上海、深圳和成都。

热备、温备与冷备

异地灾备站点按准备程度分为三个等级:

类型 描述 RTO 成本
热备(Hot Standby) 数据库实例持续运行,数据实时同步,应用服务已部署并随时可接受流量 分钟级 高(接近主站点 100%)
温备(Warm Standby) 数据库实例运行中,数据持续同步,但应用服务未启动或未配置 30 分钟到数小时 中(主站点 50-70%)
冷备(Cold Standby) 硬件已部署但未开机,数据通过定期备份传输(非实时同步) 数小时到天级 低(主站点 20-30%)

选择哪种类型取决于 RTO 要求和预算。热备的 RTO 最短,但需要一套几乎和主站点相同的基础设施持续运行。冷备最便宜,但恢复时需要先启动硬件、加载备份数据、部署应用、验证数据完整性,整个过程可能需要数小时甚至更长。

温备是实践中最常见的选择。它在成本和 RTO 之间取得了合理的平衡:数据库持续同步保证了数据的新鲜度,应用服务在切换时启动(或从休眠状态唤醒),通常能在 30 分钟到 1 小时内完成切换。

异地灾备的 RPO 约束

异地灾备的 RPO 受制于数据同步方式。跨城市的网络延迟通常在 10-50 ms(取决于距离和线路质量),这意味着:

同步复制在异地场景下代价极高。每次写入增加至少一个跨城 RTT(20-100 ms),对写入密集型业务来说几乎不可接受。假设单次写入的本地延迟为 1 ms,加上 50 ms 的跨城 RTT,写入延迟直接从 1 ms 涨到 51 ms,吞吐量降到原来的 1/50。

异步复制是异地灾备的主流选择。主站点写入成功后立即返回客户端,数据异步传输到灾备站点。RPO 取决于异步复制的延迟(Replication Lag),通常在秒级到分钟级。主站点在复制完成之前发生灾难,未复制的数据就丢失了。

部分系统支持半同步复制(Semi-Synchronous Replication)作为折中方案。写入只需要等一个远程副本确认就返回,不需要所有副本都确认。半同步复制的写延迟介于同步和异步之间,RPO 理论上为零(至少一个远程副本收到了数据),但在极端情况下(半同步退化为异步时)仍可能丢数据。

异地灾备的网络设计

异地站点之间的网络是灾备方案的生命线。设计要点:

  1. 至少两条独立物理路由的专线,互为备份。“独立物理路由”意味着两条线走不同的管道、经过不同的中继站。如果两条线共享同一段光缆,一次施工事故就能同时切断两条线。
  2. 带宽规划基于峰值写入吞吐 + 全量同步预留。异步复制在正常情况下需要的带宽等于平均写入吞吐。但如果灾备站点因维护临时断开后重新连接,需要追赶断开期间的所有变更(Catch-Up),此时带宽需求会瞬间增大。
  3. 加密:跨城市的专线可能经过公共传输网络,数据传输必须加密。通常使用 IPsec VPN 或 MACsec。

异地灾备的容量规划

灾备站点的容量规划是容易被忽视的环节。常见的问题是:灾备站点按照”主站点的 50% 容量”来规划,但实际切换后灾备站点需要承担 100% 的流量。

容量规划需要考虑以下几个方面:

计算资源:灾备站点如果是温备或热备,CPU 和内存配置应当和主站点相当。如果灾备站点平时不承担业务流量,可以用较低配置运行数据库同步进程,但切换时需要能够快速扩容(如果是虚拟化或容器化环境)或提前按生产配置部署。

存储容量:灾备站点的存储容量必须大于或等于主站点。注意不能只看”当前数据量”——还要预留数据增长空间。如果主站点当前使用了 10 TB 存储、年增长率 30%,灾备站点至少需要 15 TB 的预留。

网络容量:灾备站点切换为生产站点后,所有客户端流量都会涌入灾备站点。灾备站点的外部网络带宽必须能承载主站点的峰值流量。如果主站点峰值入站流量为 5 Gbps,灾备站点的外部网络也需要至少 5 Gbps。

一个实用的做法是定期(每月或每季度)对比主站点和灾备站点的资源使用情况,确保灾备站点的容量始终跟上主站点的增长。

五、两地三中心

架构概述

两地三中心(Two-Site Three-Center)是中国金融行业最常见的灾备架构模式,也是人民银行对重要信息系统的监管要求之一。它结合了同城双活和异地灾备的优点:

              城市 A(生产城市)                      城市 B(灾备城市)
    ┌────────────────────────────────┐        ┌─────────────────────┐
    │                                │        │                     │
    │  ┌──────────┐  ┌──────────┐   │        │  ┌──────────┐      │
    │  │  中心 1   │  │  中心 2   │   │        │  │  中心 3   │      │
    │  │ (主生产) │  │ (同城备) │   │        │  │ (异地备) │      │
    │  │          │  │          │   │        │  │          │      │
    │  │  数据库  ◄──►  数据库   │   │        │  │  数据库   │      │
    │  │          │  │          │   │        │  │          │      │
    │  └─────┬────┘  └──────────┘   │        │  └─────▲────┘      │
    │        │        同步复制       │        │        │            │
    │        │       RTT < 3 ms     │        │        │            │
    └────────┼───────────────────────┘        └────────┼────────────┘
             │                                         │
             └─────────────────────────────────────────┘
                           异步复制
                        RTT: 20-50 ms
                       距离: 300+ km

架构设计要点

同城部分:中心 1 和中心 2 通过同步复制保持数据一致。两个中心都承担读写流量(双活),或者中心 2 只承担读流量和实时备份(主备)。双活模式下需要处理数据分片和路由,前面第三节已经讨论过。

异地部分:中心 1(或中心 2)的数据通过异步复制传输到中心 3。异步复制意味着中心 3 的数据会有一定延迟,RPO 不为零,通常在秒级到分钟级。中心 3 的角色是应对城市 A 整体不可用的极端场景。

故障场景覆盖

故障场景 数据丢失 服务恢复 处理方式
中心 1 故障 RPO = 0 秒级切换 流量切到中心 2,同步复制保证数据零丢失
中心 2 故障 RPO = 0 秒级切换 流量全部由中心 1 承担
城市 A 整体故障 RPO = 异步延迟 分钟到小时级 流量切到中心 3,丢失异步复制延迟内的数据

数据同步方式

两地三中心涉及两层数据同步:

同城同步复制:中心 1 和中心 2 之间。以 MySQL 为例,可以使用组复制(Group Replication)的单主模式或多主模式,通过 Paxos 协议保证事务在两个中心的多数派节点上提交后才返回客户端。也可以使用 MySQL 8.0 的半同步复制(rpl_semi_sync_source_wait_for_replica_count = 1),确保至少一个同城副本确认后才提交。

# MySQL 半同步复制配置示例(主节点)
[mysqld]
server-id = 1
log-bin = mysql-bin
binlog-format = ROW
rpl_semi_sync_source_enabled = 1
rpl_semi_sync_source_wait_for_replica_count = 1
rpl_semi_sync_source_timeout = 3000
# 超时 3 秒后退化为异步,避免同城链路故障导致写入阻塞

异地异步复制:中心 1(或中心 2)到中心 3。使用标准的异步复制即可。关键是监控复制延迟(Replication Lag),确保延迟在 RPO 允许的范围内。

# 检查 MySQL 复制延迟
mysql -e "SHOW REPLICA STATUS\G" | grep "Seconds_Behind_Source"

仲裁机制

两地三中心架构面临的一个关键问题是:当中心 1 和中心 2 之间的网络断开时,两个中心都认为对方挂了,都想成为主节点——这就是脑裂(Split-Brain)。

解决脑裂的标准做法是引入仲裁节点(Witness / Arbiter)。仲裁节点不存储业务数据,只参与投票。部署位置有两种选择:

  1. 仲裁节点放在中心 3:中心 3 本来就有一套灾备环境,增加一个仲裁角色成本很低。中心 1 和中心 2 网络断开时,能连上中心 3 的那个中心获得多数票(2/3),成为主节点。
  2. 仲裁节点放在第四个独立位置:如果中心 3 和中心 1 之间的网络也不稳定,可以在一个网络条件更好的位置(如公有云上的一个轻量实例)部署仲裁节点。

六、数据同步技术

数据同步是灾难恢复的底层机制。在副本与复制策略一文中已经详细讨论了同步、异步和半同步复制的基本原理。本节聚焦于这三种复制方式在灾备场景下的具体应用和工程取舍。

同步复制的灾备应用

同步复制(Synchronous Replication)保证 RPO = 0,代价是写入延迟增加。在灾备场景下,同步复制的适用范围比一般数据复制更窄,原因是灾备站点的距离通常比集群内节点间的距离大得多。

同城同步复制(RTT < 3 ms):可行。写入延迟增加 1-3 ms,大多数 OLTP 业务能接受。这是同城双活的标准选择。

异地同步复制(RTT 20-50 ms):通常不可行。以 RTT = 30 ms 为例,每次写入至少增加 30 ms 延迟。如果事务包含多次写操作(比如一个转账事务包含扣款和加款两次写入),延迟还会叠加。一个原本 2 ms 完成的事务可能变成 62 ms,吞吐量从 500 TPS 降到约 16 TPS。

Oracle Data Guard 在同步模式(Maximum Protection / Maximum Availability)下支持跨城同步复制,但 Oracle 官方文档也明确建议备库距离不超过 200 km,RTT 不超过 5 ms。超过这个距离,建议使用 Far Sync(中间节点接力)来降低主库的写延迟。

异步复制的灾备应用

异步复制(Asynchronous Replication)是异地灾备的主流选择。主节点写入本地后立即返回客户端,变更日志(WAL / binlog / oplog)异步传输到灾备站点并回放。

异步复制在灾备场景下的核心问题是复制延迟(Replication Lag)。复制延迟 = 灾备站点当前回放位置与主站点当前写入位置之间的时间差。这个延迟直接决定了实际 RPO:如果主站点在复制延迟为 30 秒时发生灾难,最近 30 秒的数据就丢了。

影响复制延迟的因素:

  1. 网络带宽:如果写入吞吐超过跨站专线带宽,变更日志会在主站点堆积,延迟不断增大。
  2. 回放速度:灾备站点回放变更日志的速度必须跟上主站点的写入速度。如果回放是单线程的(如 MySQL 5.6 之前的单 SQL 线程),而主站点的写入是高并发的,回放会成为瓶颈。MySQL 8.0 的多线程回放(replica_parallel_workers)和基于 WRITESET 的并行策略显著缓解了这个问题。
  3. 大事务:一个修改了百万行的大事务,其 binlog 可能有数百 MB。传输和回放这个大事务期间,其他正常事务的复制也会受阻。

半同步复制的灾备应用

半同步复制(Semi-Synchronous Replication)在灾备场景下的典型用法是:主站点的写入等待至少一个副本(可以是同城副本或异地副本)确认收到变更日志后再返回客户端。

这种方式的 RPO 理论上为零——至少有一个远程副本收到了数据。但有两个需要注意的工程细节:

退化行为:MySQL 的半同步复制在超时后会自动退化为异步复制。rpl_semi_sync_source_timeout 参数控制超时时间(默认 10 秒)。退化后 RPO 不再为零。如果灾难恰好发生在退化期间,就会丢数据。

确认语义:MySQL 半同步复制的确认含义是”副本收到了 binlog 事件并写入 relay log”,不是”副本已经回放了这些事件”。副本收到但未回放的事件在副本崩溃时可能丢失(如果 relay log 未持久化)。PostgreSQL 的同步复制(synchronous_commit = remote_write)也有类似的语义分层。

三种复制方式的灾备对比

维度 同步复制 半同步复制 异步复制
RPO 0 理论为 0,退化后不为 0 取决于复制延迟
写入延迟增加 至少一个 RTT 至少一个最近副本的 RTT
适用距离 同城(< 100 km) 同城为主,跨城需评估 无限制
主站点故障时的行为 备站点数据完整 备站点数据大概率完整 备站点数据可能落后
备站点故障时的影响 主站点写入阻塞 超时后退化为异步 无影响
工程复杂度 中高

变更数据捕获

在某些场景下,灾备站点使用的存储系统和主站点不同(例如主站点用 MySQL,灾备站点用 PostgreSQL),或者需要同步的数据经过了 ETL 转换。这时无法直接使用数据库原生的复制机制,需要通过变更数据捕获(Change Data Capture,CDC)来实现数据同步。

CDC 工具(如 Debezium)从主数据库的变更日志中提取变更事件,发送到消息队列(如 Kafka),灾备站点的消费者从 Kafka 读取事件并写入目标数据库。这种方式的灵活性很高,但引入了更多组件(Kafka 集群本身也需要灾备),且端到端延迟通常比原生复制更大。

数据校验与一致性检查

无论使用哪种同步方式,灾备站点的数据都需要定期和主站点做一致性校验。复制过程中可能出现的问题包括:事件丢失、事件重复回放、字符集不一致导致的数据变异、浮点精度差异。这些问题在正常运行时不易发现,切换后才暴露。

常用的校验方法:

全量校验:对主站点和灾备站点的表按行计算校验和(如 CRC32),对比两端的校验和是否一致。MySQL 生态中的 pt-table-checksum(Percona Toolkit)是这个场景下最常用的工具。

# 使用 pt-table-checksum 校验主备数据一致性
pt-table-checksum \
  --host=primary-db.example.com \
  --user=checksum_user \
  --password="$CHECKSUM_PWD" \
  --replicate=percona.checksums \
  --databases=production \
  --chunk-size=5000

增量校验:只校验最近一段时间内变更过的数据。全量校验在大数据量下非常耗时(TB 级别的数据可能需要数小时),增量校验可以更频繁地执行。

业务层校验:对关键业务指标(如账户余额总和、订单数量)在主站点和灾备站点分别统计,对比结果。这种方式无法发现所有不一致,但能快速发现严重的数据偏差。

建议每周执行一次全量校验,每天执行一次增量校验或业务层校验。

七、故障切换机制

手动切换与自动切换

故障切换(Failover)是灾难发生后将业务从主站点迁移到灾备站点的过程。切换方式分为手动和自动两种:

手动切换:运维人员确认主站点故障后,按照预定义的操作手册(Runbook)逐步执行切换操作。典型步骤包括:确认主站点不可恢复、停止主站点残余服务(避免脑裂)、在灾备站点提升数据库为主节点、启动应用服务、更新 DNS 或负载均衡指向、验证服务可用性、通知业务方。

手动切换的优点是每一步都有人确认,降低了误切换的风险。缺点是 RTO 取决于人的反应速度和操作速度,通常在 30 分钟到数小时。如果灾难发生在凌晨 3 点,从收到告警到运维人员到位可能就需要 15 分钟。

自动切换:监控系统检测到主站点故障后,自动触发切换流程,无需人工干预。自动切换的 RTO 可以做到分钟级甚至秒级,但需要解决两个核心问题:如何准确判断”主站点真的故障了”(避免误判),以及如何防止脑裂。

故障检测

自动切换的前提是准确的故障检测。常见的检测方式:

心跳探测:灾备站点定期向主站点发送心跳请求。连续 N 次心跳失败后判定主站点故障。关键参数是心跳间隔和失败阈值。心跳间隔太短(如 1 秒)可能因网络抖动频繁误报;太长(如 30 秒)会延迟故障发现。实践中常见的配置是心跳间隔 5 秒、失败阈值 3 次,即 15 秒内无响应判定故障。

多路径探测:单一网络路径的心跳可能因为中间链路问题(而非主站点本身故障)而失败。多路径探测通过多条独立网络路径同时检测,降低误判概率。例如:一条通过专线、一条通过公网 VPN、一条通过第三方监控服务。只有所有路径都报告失败才判定故障。

仲裁探测:由一个独立于主站点和灾备站点的第三方节点(仲裁节点)来判定主站点是否可用。灾备站点在自己检测到主站点故障后,还要向仲裁节点确认。仲裁节点也检测不到主站点,才允许切换。这种方式有效防止了因主站点和灾备站点之间网络中断导致的误切换。

脑裂防护

脑裂(Split-Brain)是灾备系统最危险的故障模式:主站点和灾备站点都认为自己是主节点,同时接受写入请求,导致数据分叉。一旦发生脑裂,数据合并的难度极高,很多情况下只能人工介入逐条对账。

脑裂防护的核心原则是隔离(Fencing):在灾备站点提升为主节点之前,必须确保原主站点已经停止写入。具体手段:

STONITH(Shoot The Other Node In The Head):通过带外管理接口(如 IPMI、iLO、iDRAC)强制关闭原主站点的服务器。这是最可靠的隔离手段,因为服务器直接断电,不存在”应用层残留写入”的可能。

# 通过 IPMI 强制关闭远程服务器
ipmitool -H 10.0.1.100 -U admin -P password chassis power off

存储隔离:通过存储网络层面切断原主站点对共享存储的访问。如果使用 SAN 存储,可以在 SAN 交换机上删除原主站点的 Zone 配置;如果使用分布式存储,可以在存储集群中撤销原主站点的访问权限。

网络隔离:通过网络设备(防火墙、交换机)切断原主站点的外部网络访问,确保客户端无法连接到原主站点。

实际工程中,建议同时使用多种隔离手段。单一手段可能因为故障(如 IPMI 网络也断了)而失效。隔离操作必须在灾备站点开始接受写入之前完成。

切换流程示例

以下是一个两地三中心架构中,城市 A 整体故障时切换到中心 3 的完整流程:

时间线
──────────────────────────────────────────────────────────────

T+0s     城市 A 发生灾难,中心 1 和中心 2 不可用
T+15s    中心 3 的监控系统连续 3 次心跳失败
T+20s    中心 3 向仲裁节点确认:仲裁节点也无法连接城市 A
T+25s    自动切换流程启动
T+30s    尝试通过 IPMI 关闭中心 1 和中心 2 的数据库服务器
         (如果 IPMI 也不通,记录日志并继续——城市级灾难下 IPMI 大概率不通)
T+35s    中心 3 数据库提升为主节点(promote to primary)
T+40s    中心 3 应用服务启动并连接新的主数据库
T+50s    DNS / GSLB 更新,将流量指向中心 3
T+60s    中心 3 开始接受外部流量
T+90s    自动化验证脚本检查关键接口是否正常响应
T+120s   切换完成,通知业务方

整个过程约 2 分钟完成。注意这里有一个工程判断:城市级灾难下,IPMI 大概率也不通,此时隔离操作会失败。但由于城市 A 整体不可用,原主站点事实上已经无法接受写入,脑裂风险可控。切换流程应记录隔离失败的日志,在城市 A 恢复后第一时间检查数据一致性。

回切

灾难恢复后,业务需要从灾备站点切回主站点,这个过程称为回切(Failback)。回切的复杂度往往不低于切换本身:

  1. 主站点修复后,需要将灾备站点的数据反向同步到主站点。这期间灾备站点的写入不能中断。
  2. 反向同步完成后,需要在一个维护窗口内完成切换:停止灾备站点写入、确认主站点数据追上、将主站点提升为主节点、更新流量指向。
  3. 回切过程中如果出现数据不一致(灾难发生时的数据分叉),需要人工介入解决。

回切应当有独立的操作手册,并且和正向切换一样经过演练验证。

多站点故障的处理

实际灾难场景可能比”主站点完全故障、灾备站点完全可用”更复杂。以下是几种需要特殊处理的场景:

部分故障:主站点没有完全宕机,只是部分服务不可用(如数据库可用但应用服务器故障)。这种情况下,全量切换到灾备站点可能不是最优选择——修复主站点的应用服务器可能比切换更快、更安全。灾备决策树需要覆盖部分故障的判断逻辑。

灾备站点自身故障:灾备站点可能在主站点故障前已经存在问题(如复制延迟过大、磁盘空间不足)。切换到一个不健康的灾备站点可能导致二次故障。因此,灾备站点的健康状态必须持续监控,任何影响切换能力的问题都应当立即告警并修复。

连锁故障:主站点故障可能触发客户端的重试风暴。当流量切换到灾备站点时,灾备站点不仅要承担正常流量,还要承受重试流量的冲击。灾备站点的接入层必须具备限流能力,避免被重试流量压垮。

八、灾备演练方法论

为什么必须演练

灾备方案如果没有经过演练验证,在真正需要的时候大概率会失败。失败的原因通常不是方案设计有根本性缺陷,而是细节上的遗漏:

演练的目的不是”走个形式”,而是在非灾难状态下暴露这些问题,并在真正灾难到来之前修复。

三种演练类型

灾备演练按深度和影响范围分为三个层次:

桌面演练(Tabletop Exercise)

桌面演练不涉及任何实际操作,只是在会议室里模拟灾难场景,参与人员按照操作手册口头走一遍流程。

目的:验证操作手册的完整性、发现流程中的遗漏、确认角色和职责分工。

执行方式: 1. 确定演练场景(如”城市 A 凌晨 2 点发生地震,中心 1 和中心 2 同时不可用”)。 2. 主持人宣布场景,参与人员(DBA、运维、网络、业务方)按照操作手册描述各自应该执行的操作。 3. 记录每一步操作中发现的问题:手册描述不清、缺少某个步骤、某个人的联系方式过期、某个权限没有配置。 4. 演练后整理问题清单,逐项跟进修复。

频率:建议每季度一次。

优点:零风险、零成本、可以快速发现流程问题。 局限:不涉及实际操作,无法验证技术层面的可行性。

功能演练(Functional Exercise)

功能演练在非生产环境(或使用生产环境的镜像)中执行实际的切换操作,验证技术方案的可行性。

目的:验证自动切换脚本、数据库提升(Promote)流程、应用服务启动流程、DNS 切换流程在技术上是否可行。

执行方式: 1. 在演练环境中模拟主站点故障(如关闭主站点的数据库实例)。 2. 触发自动切换流程或手动执行操作手册。 3. 验证灾备站点是否成功接管:数据库是否可读写、应用是否正常响应、数据是否完整。 4. 记录每一步的耗时,和 RTO 目标对比。 5. 执行回切流程,验证回切是否成功。

频率:建议每半年一次。

优点:能验证技术方案的可行性,发现配置、脚本、环境差异等技术问题。 局限:非生产环境可能和生产环境存在差异(数据量、流量模式、网络拓扑),演练结果不能完全代表真实灾难下的表现。

全切演练(Full-Scale Exercise)

全切演练在生产环境中执行真实的站点切换,把实际的生产流量切到灾备站点运行一段时间,然后再切回来。

目的:在真实条件下验证灾备方案的有效性,包括真实流量下灾备站点的性能、容量、数据一致性。

执行方式: 1. 选择业务低峰期(如周日凌晨)。 2. 通知所有相关方。 3. 执行正向切换,将生产流量切到灾备站点。 4. 在灾备站点上运行至少 1-2 小时,观察业务指标。 5. 执行回切,将流量切回主站点。 6. 验证数据一致性。

频率:建议每年至少一次。

优点:最接近真实灾难场景的验证方式,能暴露非生产环境无法发现的问题。 局限:有真实的业务风险。切换过程中如果出现问题,可能影响线上服务。需要完善的回滚方案和充足的应急准备。

演练评估

每次演练结束后,需要评估以下指标:

┌─────────────────────────────────────────────────────┐
│                  演练评估框架                         │
├─────────────────────┬───────────────────────────────┤
│ 评估维度            │ 具体指标                       │
├─────────────────────┼───────────────────────────────┤
│ 时间指标            │ 实际 RTO vs 目标 RTO           │
│                     │ 故障检测时间                   │
│                     │ 切换决策时间                   │
│                     │ 切换执行时间                   │
│                     │ 验证时间                       │
├─────────────────────┼───────────────────────────────┤
│ 数据指标            │ 实际 RPO vs 目标 RPO           │
│                     │ 切换后数据完整性校验结果        │
│                     │ 回切后数据一致性校验结果        │
├─────────────────────┼───────────────────────────────┤
│ 流程指标            │ 操作手册是否完整               │
│                     │ 通知机制是否有效               │
│                     │ 角色分工是否明确               │
│                     │ 是否有遗漏步骤                 │
├─────────────────────┼───────────────────────────────┤
│ 问题记录            │ 发现的问题数量和严重等级        │
│                     │ 阻断性问题(导致切换失败)      │
│                     │ 非阻断性问题(影响效率但不致命)│
└─────────────────────┴───────────────────────────────┘

关键判断:如果全切演练中实际 RTO 超过了目标 RTO,或者发现了阻断性问题,灾备方案必须立即整改并重新演练,直到达标为止。

演练常见陷阱

根据多次灾备演练的经验,以下是最常见的导致演练失败的问题:

配置漂移(Configuration Drift):灾备站点的配置和生产环境逐渐不一致。生产环境升级了数据库版本、修改了参数、增加了索引,但灾备站点没有同步更新。演练时应用连接灾备数据库报错。解决方法是使用基础设施即代码(Infrastructure as Code)管理灾备站点的配置,每次生产环境变更自动同步到灾备站点。

权限缺失:灾备站点的数据库账号、应用密钥、证书和生产环境不一致。切换后应用无法连接数据库,或者 HTTPS 证书不匹配。解决方法是将密钥和证书的同步纳入灾备方案的一部分。

依赖服务遗漏:灾备方案只覆盖了核心数据库,忽略了应用依赖的其他服务——缓存(Redis)、消息队列(Kafka)、配置中心(etcd)。切换后数据库可用了,但应用因为连不上 Redis 而无法正常工作。解决方法是梳理完整的服务依赖图,确保所有关键依赖都有灾备方案。

演练环境和生产差异:功能演练使用的环境数据量只有生产环境的 1%,数据库 Promote 在 5 秒内完成。实际生产环境有 5 TB 数据,Promote 需要回放大量 WAL,可能需要 5 分钟。解决方法是全切演练中使用真实的生产数据量。

九、灾难恢复 SLA 设计

SLA 的组成

灾难恢复 SLA(Service Level Agreement)是组织对灾备能力的正式承诺。一个完整的灾难恢复 SLA 应包含以下要素:

RPO 承诺:明确每个业务系统的 RPO 等级。例如:“交易系统 RPO = 0,用户管理系统 RPO < 5 分钟,报表系统 RPO < 1 小时。”

RTO 承诺:明确每个业务系统的 RTO 等级。例如:“交易系统 RTO < 1 分钟,用户管理系统 RTO < 30 分钟,报表系统 RTO < 4 小时。”

演练频率:明确各类演练的执行频率和通过标准。

恢复优先级:当多个系统同时需要恢复时,按什么顺序恢复。通常按业务影响度排优先级——先恢复直接面向客户的核心交易系统,再恢复内部管理系统。

沟通机制:灾难发生后,谁负责通知谁、通过什么渠道、多长时间内完成通知。

分级恢复策略

大型组织通常有几十甚至上百个业务系统,不可能对所有系统都做同一等级的灾备。分级恢复策略(Tiered Recovery Strategy)按业务重要性将系统分为不同等级,每个等级对应不同的灾备方案和 RPO/RTO 承诺:

# 分级恢复策略示例
recovery_tiers:
  tier_1:
    name: "核心交易系统"
    systems:
      - "支付网关"
      - "交易撮合引擎"
      - "账户余额服务"
    rpo: "0"
    rto: "< 1 min"
    architecture: "同城双活 + 异地热备"
    drill_frequency: "每季度全切演练"
    recovery_order: 1

  tier_2:
    name: "重要业务系统"
    systems:
      - "用户管理"
      - "订单管理"
      - "通知服务"
    rpo: "< 5 min"
    rto: "< 30 min"
    architecture: "同城主备 + 异地温备"
    drill_frequency: "每半年功能演练"
    recovery_order: 2

  tier_3:
    name: "支撑系统"
    systems:
      - "报表平台"
      - "日志分析"
      - "内部管理后台"
    rpo: "< 1 hour"
    rto: "< 4 hours"
    architecture: "异步复制 + 异地冷备"
    drill_frequency: "每年桌面演练"
    recovery_order: 3

SLA 的度量与报告

灾难恢复 SLA 不是写完就结束的。需要持续度量和报告以下指标:

  1. 复制延迟监控:实时监控主站点到灾备站点的复制延迟,确保延迟在 RPO 范围内。复制延迟超过 RPO 阈值时应自动告警。
  2. 灾备站点健康检查:定期验证灾备站点的数据库可读、应用可启动、配置和生产环境一致。
  3. 演练通过率:每次演练是否达到了 RPO/RTO 目标。
  4. 问题修复跟踪:演练中发现的问题是否在下次演练前修复完成。

灾备成熟度评估

组织的灾备能力可以按成熟度分级评估。以下是一个从低到高的成熟度模型:

成熟度等级 描述 特征
Level 0:无灾备 没有灾备方案 无备份或仅有本地备份,无灾备站点
Level 1:基础备份 有备份但无灾备站点 定期备份到异地,恢复依赖手动操作,RTO 以天计
Level 2:冷备站点 有灾备站点但未持续同步 定期将备份传输到灾备站点,切换需要数小时
Level 3:温备站点 灾备站点持续同步 数据实时复制,切换需要 30 分钟到 1 小时,有操作手册
Level 4:热备 + 演练 灾备站点随时可切换 定期演练,切换时间分钟级,有自动化脚本
Level 5:双活 + 自动切换 生产和灾备同时运行 自动故障检测和切换,RTO 接近零,定期全切演练

大多数组织的目标应该是达到 Level 3-4。Level 5 成本极高,通常只有金融和电信行业的核心系统需要。评估当前所在的等级,明确下一步需要提升到哪个等级,可以帮助团队制定合理的灾备建设路线图。

十、恢复时间验证与优化

RTO 的组成分解

RTO 不是一个单一的时间段,而是由多个阶段组成。要优化 RTO,必须先拆解每个阶段的耗时:

RTO = T_detect + T_decide + T_isolate + T_promote + T_startup + T_switch + T_verify

T_detect  :故障检测时间(从故障发生到监控系统发现)
T_decide  :切换决策时间(确认需要切换,手动场景下包括人工判断时间)
T_isolate :隔离时间(确保原主站点停止写入)
T_promote :数据库提升时间(灾备站点数据库从备节点提升为主节点)
T_switch  :流量切换时间(DNS / LB 更新生效)
T_startup :应用启动时间(灾备站点的应用服务启动并就绪)
T_verify  :验证时间(确认灾备站点服务正常)

以一个实际案例说明各阶段的典型耗时:

阶段 手动切换耗时 自动切换耗时 优化手段
T_detect 5-15 分钟(依赖告警) 15-30 秒(心跳探测) 多路径探测、缩短心跳间隔
T_decide 10-30 分钟(人工判断) 5-10 秒(自动决策) 明确的决策树、减少审批层级
T_isolate 5-10 分钟 10-30 秒 STONITH 自动化、存储隔离脚本
T_promote 1-5 分钟 30-60 秒 热备数据库、预加载数据
T_switch 5-30 分钟(DNS TTL) 10-60 秒(API 直接更新) 低 TTL、GSLB 动态切换
T_startup 5-15 分钟 0(热备已运行) 温备改热备、容器化快速启动
T_verify 5-10 分钟 1-2 分钟(自动化验证) 自动化验证脚本
总计 36-115 分钟 约 2-5 分钟

优化手段

基于上面的分解,针对每个阶段的优化手段:

故障检测优化:缩短心跳间隔、增加探测路径、使用独立的带外监控通道。但心跳间隔不能无限缩短——过短的间隔会导致网络抖动被误判为故障。

切换决策优化:自动切换的决策逻辑需要经过充分验证,避免误切换。一个实用的策略是分级响应:

# 故障检测与切换决策逻辑示例(伪代码)
def evaluate_failover(heartbeat_failures, witness_status, replication_lag):
    """
    三级故障响应策略:
    Level 1: 告警但不切换(可能是网络抖动)
    Level 2: 准备切换,等待人工确认
    Level 3: 自动切换
    """
    if heartbeat_failures >= 3 and heartbeat_failures < 6:
        # 15-30 秒无响应:可能是网络抖动,只告警
        alert(level="WARNING", message="主站点心跳失败,持续监控中")
        return "MONITOR"

    if heartbeat_failures >= 6 and witness_status == "PRIMARY_UNREACHABLE":
        # 30-60 秒无响应,且仲裁节点也无法连接主站点
        if replication_lag < MAX_ACCEPTABLE_LAG:
            alert(level="CRITICAL", message="确认主站点故障,自动切换启动")
            return "AUTO_FAILOVER"
        else:
            # 复制延迟过大,自动切换会丢太多数据,等人工确认
            alert(level="CRITICAL", message="主站点故障但复制延迟过大,需人工确认")
            return "MANUAL_CONFIRM"

    return "OK"

DNS 切换优化:DNS 的 TTL 直接决定了流量切换的速度。如果 TTL 设为 300 秒(5 分钟),即使 DNS 记录在 1 秒内更新完成,客户端也可能在 5 分钟后才真正连接到新地址。灾备场景下,DNS TTL 建议设为 30-60 秒。但低 TTL 会增加 DNS 查询压力,需要评估 DNS 服务的容量。

更好的方案是使用全局负载均衡(Global Server Load Balancing,GSLB)而非 DNS 来做流量调度。GSLB 可以基于健康检查结果实时调整流量指向,不受 DNS TTL 的限制。

应用启动优化:温备站点的应用启动时间可能是 RTO 的主要瓶颈。一个 Java 应用的启动时间可能需要 2-5 分钟(加载类、初始化连接池、预热缓存)。优化手段: - 改用热备:应用持续运行但不接受外部流量,切换时只需更新路由。 - 容器化部署:容器镜像预先拉取到灾备站点,启动时间缩短到秒级。 - 延迟加载:非关键组件的初始化放到后台,应用先启动核心功能。

恢复验证

切换完成后,必须验证灾备站点的服务是否真正可用。验证内容包括:

  1. 数据库可读写:在灾备站点的数据库上执行一次写入和读取操作,确认数据库角色已提升为主节点。
  2. 数据完整性:抽查关键业务表的最新记录,确认数据和切换前的主站点一致(在 RPO 允许的范围内)。
  3. 应用接口可用:对关键 API 执行健康检查请求,确认返回正常。
  4. 端到端验证:模拟一个完整的业务操作(如下一笔测试订单),确认业务流程端到端可通。
  5. 监控恢复:确认灾备站点的监控、告警、日志收集都在正常工作——如果监控不可用,灾备站点出了问题也发现不了。
# 自动化验证脚本示例
#!/bin/bash
set -euo pipefail

DR_DB_HOST="dr-db.example.com"
DR_API_HOST="dr-api.example.com"

echo "=== 灾备站点验证 ==="

# 1. 数据库可读写检查
echo "[1/5] 检查数据库可读写..."
mysql -h "$DR_DB_HOST" -u monitor -p"$MONITOR_PWD" -e \
  "INSERT INTO dr_check (ts) VALUES (NOW()); SELECT * FROM dr_check ORDER BY ts DESC LIMIT 1;"

# 2. 数据完整性抽查
echo "[2/5] 检查关键表记录数..."
RECORD_COUNT=$(mysql -h "$DR_DB_HOST" -u monitor -p"$MONITOR_PWD" -Nse \
  "SELECT COUNT(*) FROM orders WHERE created_at > DATE_SUB(NOW(), INTERVAL 1 HOUR);")
echo "最近 1 小时订单数: $RECORD_COUNT"

# 3. API 健康检查
echo "[3/5] 检查 API 健康状态..."
HTTP_CODE=$(curl -s -o /dev/null -w "%{http_code}" "https://$DR_API_HOST/health")
if [ "$HTTP_CODE" != "200" ]; then
  echo "API 健康检查失败,HTTP 状态码: $HTTP_CODE"
  exit 1
fi
echo "API 健康检查通过"

# 4. 端到端验证
echo "[4/5] 端到端验证..."
RESPONSE=$(curl -s -X POST "https://$DR_API_HOST/api/v1/test-order" \
  -H "Content-Type: application/json" \
  -d '{"product_id": "test-001", "quantity": 1}')
echo "测试订单响应: $RESPONSE"

# 5. 监控检查
echo "[5/5] 检查监控系统..."
curl -s "https://monitor.example.com/api/v1/targets" | \
  grep -q "$DR_DB_HOST" && echo "监控正常" || echo "监控异常:灾备数据库未被监控"

echo "=== 验证完成 ==="

恢复时间基线

每次演练或实际切换后,记录各阶段的耗时,建立恢复时间基线。基线数据用于:

  1. 评估当前灾备方案是否满足 RTO 要求。
  2. 定位 RTO 的瓶颈阶段,指导优化投入。
  3. 跟踪优化效果——每次改进后重新演练,对比基线是否改善。

基线数据建议用如下格式记录:

演练日期: 2025-03-15
演练类型: 全切演练
场景: 模拟城市 A 中心 1 故障,切换到中心 2

T_detect  :  18s  (心跳间隔 5s,失败阈值 3 次)
T_decide  :   8s  (自动决策)
T_isolate :  12s  (STONITH 关闭中心 1 数据库服务器)
T_promote :  45s  (MySQL 半同步复制提升备库为主库)
T_switch  :  35s  (GSLB 健康检查间隔 10s,2 次失败后切换)
T_startup :   0s  (热备,应用已运行)
T_verify  :  62s  (自动化验证脚本)

总计 RTO :  180s = 3 分钟
目标 RTO :  < 5 分钟
结论    :  达标

十一、参考文献

标准与规范

书籍

官方文档

事故复盘

上一篇: 备份策略工程 下一篇: 数据生命周期管理

同主题继续阅读

把当前热点继续串成多页阅读,而不是停在单篇消费。

2026-04-13 · architecture

【系统架构设计百科】容灾架构:多活与灾备设计

同城双活、异地多活、两地三中心——名词背后是完全不同的 RPO/RTO 和成本曲线。本文从容灾基础概念出发,拆解数据同步的五种拓扑、流量调度与 DNS 切换的工程细节,深入分析蚂蚁金服 LDC(逻辑数据中心)的多活架构,最后给出不同容灾等级的成本对比与选型建议。

2026-04-22 · db / storage

数据库内核实验索引

汇总本站数据库内核与存储引擎实验文章,重点覆盖从零实现 LSM-Tree 及其工程权衡。

2026-04-22 · storage

存储工程索引

汇总本站存储工程系列文章,覆盖 HDD、SSD、NVMe、持久内存、索引结构、压缩、分布式存储与对象存储。

2025-10-18 · storage

【存储工程】云块存储架构

深入剖析云块存储——分布式块存储架构原理、AWS EBS与阿里云ESSD架构分析、云盘性能规格解读、性能测试方法与选型成本优化

By .