姚蕾

文章編號： 2095-2163（2018）03-0172-04中圖分類號： 文獻標志碼： A

摘要： 關(guān)鍵詞： （Chengdu Polytechnic， Chengdu 610041， China）

Abstract： The era of big data has arrived. Data is the core of all kinds of information system applications. All information systems run normally under the premise of data security storage. How to ensure data security is the focus of this project. We study the algorithm of real-time protection of volume， and strive to find a way to improve data security.

Key words：

基金項目：

作者簡介：

收稿日期： 引言

數(shù)據(jù)是各類信息系統(tǒng)應用的核心，信息系統(tǒng)能夠正常運行是建立在數(shù)據(jù)安全存儲的前提之下。IT 運維人員往往更重視服務器系統(tǒng)的可用性和安全性，而較易忽視數(shù)據(jù)安全的重要性。實際上，數(shù)據(jù)才是各類信息化應用及業(yè)務系統(tǒng)的中樞所在，特殊情況發(fā)生時，交換機、服務器、存儲設(shè)備等必要的硬件資源能夠快速恢復或重新配置，但如果數(shù)據(jù)發(fā)生損壞或丟失，可能很難找回或恢復。因此，實時保護數(shù)據(jù)安全已成為了信息安全的重中之重。

目前，隨著云計算和大數(shù)據(jù)產(chǎn)業(yè)的快速發(fā)展，企業(yè)在大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全方面發(fā)生了巨大變化，傳統(tǒng)的數(shù)據(jù)安全解決方案早已無法滿足大數(shù)據(jù)的安全需求，主要體現(xiàn)在以下3個方面：

（1）大數(shù)據(jù)備份時間長，數(shù)據(jù)易丟失

企業(yè)的應用逐漸豐富和多元化，這使得企業(yè)的數(shù)據(jù)量成幾何級增長，且增長速度越來越快，特別是非結(jié)構(gòu)化數(shù)據(jù)正逐漸成為其增長的主力，過去簡單的結(jié)構(gòu)化數(shù)據(jù)的備份模式不再實用，普通的企業(yè)用戶對復雜界面的備份操作感覺吃力；如果在業(yè)務運行時對大數(shù)據(jù)進行備份，會導致累積增量數(shù)據(jù)過多，空閑時間增量數(shù)據(jù)經(jīng)常備份不完，增加備份間隔又會導致事故發(fā)生時丟失數(shù)據(jù)變多。

（2）大數(shù)據(jù)邏輯損壞，備份后的數(shù)據(jù)無法正常使用

數(shù)據(jù)損壞可以分為2種情況，一種是損壞后的數(shù)據(jù)徹底無法使用，這種損壞稱為物理損壞；另一種是失效的數(shù)據(jù)仍可以部分使用，只是數(shù)據(jù)之間的關(guān)系發(fā)生了錯誤，這種失效稱為邏輯損壞。傳統(tǒng)的存儲復制災備模式幾乎不能隔離任何邏輯錯誤，一旦出現(xiàn)數(shù)據(jù)庫邏輯錯誤，如：數(shù)據(jù)庫BUG、磁盤壞塊、網(wǎng)絡(luò)內(nèi)存錯誤等，磁盤鏡像技術(shù)將無損地把這些錯誤也傳播到備份數(shù)據(jù)庫的磁盤中，最終導致備份數(shù)據(jù)庫將無法正常使用。

（3）大數(shù)據(jù)備份耗時又耗力，業(yè)務難恢復

在大數(shù)據(jù)平臺遭遇到物理故障、邏輯錯誤或人為因素造成的數(shù)據(jù)損壞后，如采用傳統(tǒng)備份恢復手段，會因數(shù)據(jù)量大以及網(wǎng)絡(luò)帶寬有限等因素導致業(yè)務中斷時間過久，且隨著數(shù)據(jù)量的增大，企業(yè)用戶不斷更新動態(tài)。目前，企業(yè)需要更加靈活、快速和精細化的數(shù)據(jù)恢復方法。尤其在大數(shù)據(jù)環(huán)境下，備份不能進行恢復演練，無法確定備份有效性；在需要數(shù)據(jù)恢復時，不能預先查看備份內(nèi)容，導致長時間恢復的數(shù)據(jù)可能不是想要的數(shù)據(jù)。這將嚴重影響到業(yè)務的正常開展，給企業(yè)帶來巨大的經(jīng)濟損失和負面影響。

針對上述問題，本文采用PB級大數(shù)據(jù)卷實時保護算法和虛擬磁盤卷技術(shù)，結(jié)合卷級IO 攔截與分離、ESXI 虛擬機自動生成等技術(shù)，通過對大數(shù)據(jù)卷進行卷級實時保護，在大數(shù)據(jù)卷需要數(shù)據(jù)恢復時，可將大數(shù)據(jù)卷的備份數(shù)據(jù)快速虛擬成可讀可寫的臨時磁盤卷，用于應急恢復大數(shù)據(jù)卷中的數(shù)據(jù)，在極端情況下，也可以臨時替換受保護的大數(shù)據(jù)卷，保證業(yè)務持續(xù)性。本文的研究成果不僅可保障云平臺、智能制造等大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全，同時可實現(xiàn)數(shù)據(jù)安全產(chǎn)品自主可控，保障大型數(shù)據(jù)安全。

1系統(tǒng)功能模塊介紹

本文通過卷實時保護技術(shù)對大數(shù)據(jù)卷進行實時保護，通過虛擬磁盤卷的技術(shù)將大數(shù)據(jù)卷的備份數(shù)據(jù)快速虛擬成可讀可寫的臨時磁盤卷，用于應急恢復大數(shù)據(jù)卷數(shù)據(jù)。本文根據(jù)快速原型法和敏捷開發(fā)的思想，采用B/S和C/S混合架構(gòu)，總體架構(gòu)如圖1所示 。

根據(jù)需求規(guī)格對界面進行原型設(shè)計，采用網(wǎng)頁方式將設(shè)計的界面原型導出，通過不同用戶對界面原型交互完善需求規(guī)格的設(shè)計。

（1）卷實時保護算法模塊

首先，完成卷的初始化同步、實時同步保護、卷快照的創(chuàng)建、刪除；其次，完成卷的異步保護功能、定時數(shù)據(jù)同步、暫停保護、繼續(xù)保護等；最后，完成卷快照刪除時的空間釋放、卷鏡像中斷后快速增量初始化等。每個階段的程序即可獨立測試也可集成到總框架中進行聯(lián)調(diào)。

（2）開發(fā)虛擬磁盤卷模塊

首先，將真實磁盤卷通過ISCSI/FC target 映射給生產(chǎn)服務器，通過程序進行掛載與卸載磁盤卷等；其次，將單個文件虛擬成磁盤卷，將虛擬磁盤卷通過ISCSI/FC target 映射給生產(chǎn)服務器等；最后，將多個物理設(shè)備上的文件重組成一個虛擬磁盤卷，將虛擬磁盤卷通過ISCSI/FC target 映射給生產(chǎn)服務器等。每個階段的程序即可獨立測試也可集成到總框架中進行聯(lián)調(diào)。

完成各模塊的集成和系統(tǒng)測試后，將系統(tǒng)安裝到推薦硬件環(huán)境下并在實際環(huán)境中繼續(xù)進行測試優(yōu)化，根據(jù)用戶反饋改進用戶體驗。

2系統(tǒng)總體設(shè)計

系統(tǒng)設(shè)計主要分為以下幾方面：

（1） Linux 操作系統(tǒng)下ISCSI/FC 虛擬磁盤卷技術(shù)研究此項技術(shù)可以將位于不同物理存儲上的文件重組成虛擬磁盤卷，再通過ISCSI/FC target 將虛擬磁盤卷映射到生產(chǎn)服務器，作為生產(chǎn)服務器被保護卷（生產(chǎn)卷）的鏡像卷，對生產(chǎn)卷進行保護。

（2）虛擬磁盤卷技術(shù)研究

此項技術(shù)主要研究虛擬磁盤的創(chuàng)建、刪除、映射、掛載與卸載。掛載與卸載都需要在系統(tǒng)運行時進行，不能重啟系統(tǒng)，卸載時需要考慮卷上有程序或文件被打開時的處理。

（3）卷級IO 攔截與分離技術(shù)研究

此項技術(shù)主要研究各種操作系統(tǒng)下，在卷讀寫IO 時攔載并分發(fā)至鏡像卷，需要支持同步與異步兩種模式，同步模式下生產(chǎn)卷與鏡像卷數(shù)據(jù)完全一致，數(shù)據(jù)0 丟失；異步模式下，需要提供暫停機制，以免影響生產(chǎn)系統(tǒng)效率。下面對各技術(shù)進行詳細描述。

2.1卷級實時保護算法

基于多維鏈表IO 日志記錄算法的卷級實時保護給邏輯卷每一個數(shù)據(jù)塊增加一個TimeStamp 以及占用者Unit Number 來標記{Time，Unit Number}，Unit Number 表示被某個存儲單元占用，Time 表示何時占用。分別建立兩張表，一張為LMT（logic mapping table）表，一張為IRT（io recording table）表。LMT表記錄當前時間該數(shù)據(jù)塊指向哪個位置，LMT表存儲當前卷的數(shù)據(jù)。IRT表記錄該數(shù)據(jù)塊何時被誰占用，IRT表存儲最備份集的數(shù)據(jù)，如圖2所示。

本算法通過塊索引，快速重建任意時間點的數(shù)據(jù)；根據(jù)設(shè)置的卷實時保護數(shù)據(jù)保留時間策略，自動回收卷實時保護數(shù)據(jù)所占用的空間。

2.2虛擬磁盤卷技術(shù)

備份服務器上安裝虛擬磁盤驅(qū)動并生成虛擬磁盤，通過ISCSI/FCtarget 映射給生產(chǎn)服務器，生產(chǎn)服務器通過卷過濾驅(qū)動將生產(chǎn)磁盤的所有IO 操作同樣分發(fā)一份到虛擬磁盤，在虛擬磁盤上應用卷級CDP 算法進行整個邏輯卷的實時保護。同樣，可將任意時間點的備份版本生成虛擬磁盤，通過ISCSI/FC 協(xié)議掛載到任意服務器，也可以作為裸磁盤映射到虛擬機，在生產(chǎn)服務器故障時快速接管生產(chǎn)服務器應用。具體流程如圖3所示。

2.3卷鏡像中斷后快速增量初始化技術(shù)

目前，幾T與幾十T的卷已經(jīng)比較常見，假設(shè)當前系統(tǒng)有10TB的有效數(shù)據(jù)，按250 MB/S的讀速度計算，僅讀取當前有效數(shù)據(jù)的時間就會超過10小時。因此，當生產(chǎn)卷與鏡像卷鏡像關(guān)系中斷造成數(shù)據(jù)不一致需要重新初始化時，如果使用現(xiàn)有的技術(shù)進行增量初始化，會長時間占用系統(tǒng)CPU、系統(tǒng)IO 資源、系統(tǒng)內(nèi)存，影響生產(chǎn)系統(tǒng)運行。本文使用增量Bitmap表技術(shù)解決上述問題，實現(xiàn)原理如圖4所示。

在鏡像卷未尾分配連續(xù)扇區(qū)用于存放增量Bitmap 表，對生產(chǎn)卷進行劃磁盤塊，本文定義每塊大小為16MB ，增量Bitmap表中每一個Bit 與生產(chǎn)卷一個磁盤塊對應，代表此磁盤塊的寫標識，初始時每個Bit 的值為0。100TB 的數(shù)據(jù)卷對應的增量Bitmap 表等于800KB。在生產(chǎn)服務器上安裝卷過濾驅(qū)動，監(jiān)控對生產(chǎn)卷的寫IO 操作，如果寫IO 中的扇區(qū)所在磁盤塊對應寫標識為0，則修改寫標識為1，且立即保存增量Bitmap 表有修改的扇區(qū)。

在鏡象復制開始時，如果上一次系統(tǒng)是非正常關(guān)機或上一次鏡象復制異常中止，則進行增量初始化鏡像卷。將增量Bitmap 表中寫標識為1 的磁盤塊包含的扇區(qū)n轉(zhuǎn)化成文件系統(tǒng)中簇的位置（簇號=（n-卷起始扇區(qū)）/每簇扇區(qū)數(shù)），通過文件系統(tǒng)API 判斷簇是否有數(shù)據(jù)存在，將有數(shù)據(jù)的扇區(qū)內(nèi)容復制至鏡像卷，再將磁盤塊相應bit 修改為0，并且立即保存增量Bitmap 表有修改的扇區(qū)。在處理增量Bitmap 表中的增量數(shù)據(jù)的過程中，系統(tǒng)產(chǎn)生新的增量數(shù)據(jù)保存至鏡像復制緩存。

3結(jié)束語

本文將需要保護的大數(shù)據(jù)卷（生產(chǎn)卷）的磁盤IO 分離至虛擬的鏡像卷，在鏡像卷使用卷實時保護算法，可以生成任意時間點的備份版本，對生產(chǎn)卷的磁盤IO 不作任何改變，保證生產(chǎn)卷的效率與安全性。本文研究具有如下優(yōu)勢：

（1）基于多維鏈表IO 日志記錄卷級實時保護算法，邏輯卷每一個IO 寫入都可以生成對應時間點的卷備份版本，版本間隔可達毫秒級，每份版本僅占用增量空間，過期的版本自動被最新的版本覆蓋，保證備份持續(xù)進行。

（2）數(shù)秒內(nèi)完成封裝最近時間點或任意歷史時間點的大數(shù)據(jù)內(nèi)容為虛擬磁盤形式，可供任意服務器掛載并提供訪問，用于確認備份有效性。

（3）生產(chǎn)卷與鏡像卷關(guān)系中斷造成不一致后，使用增量Bitmap 表技術(shù)進行快速初始化同步，使生產(chǎn)卷與鏡像卷數(shù)據(jù)保持一致。支持Windows 2003、Linux 2.6 以上操作系統(tǒng)的邏輯卷實時保護，支持保護1PB 以上的數(shù)據(jù)量。

實時保護運行時，CPU 占用率低于5%，內(nèi)存占用可手動設(shè)置，默認100M以內(nèi)；支持以秒為單位選擇任意時間點的備份版本生成虛擬磁盤，1 分鐘內(nèi)通過ISCSI/FC 協(xié)議掛載虛擬磁盤獲取相應時間點的數(shù)據(jù)；支持反復回滾，回滾到某一時間點時，不丟失此時間點之后的IO 記錄；支持虛擬化演練與接管，虛擬服務器可以使用最近時間點的版本數(shù)據(jù)在3分鐘內(nèi)啟動自動生成的虛擬機。通過本項目逐漸形成產(chǎn)業(yè)化發(fā)展，促進本地區(qū)高新技術(shù)產(chǎn)業(yè)鏈形成較完整的產(chǎn)業(yè)集群。

參考文獻

[1] 賈心愷，顧慶峰.移動互聯(lián)網(wǎng)安全研究[J]. 移動通信，2011，35（10）：66-70.

[2] 肖志輝. 移動互聯(lián)網(wǎng)研究綜述[J]. 電信科學，2009，25（10）：30-36.

[3] 謝勝落，張佩辰. 移動互聯(lián)網(wǎng)安全加密技術(shù)[J]. 網(wǎng)絡(luò)安全技術(shù)與應用，2001（4）：22-24.

[4] 全秀霞. 移動互聯(lián)網(wǎng)中基于會話的Web負載測試研究[D]. 華南理工大學，2011.

[5] 郝文江，武捷. 互聯(lián)網(wǎng)輿情監(jiān)管與應對技術(shù)探究[J]. 信息網(wǎng)絡(luò)安全，2012（3）：1-4.