第47卷第1期2002年1月简报www.scichina.com如何构建完善的公有云方案张宏斌中国电信上海公司信息网络部摘要作者通过对国外云平台的故障来分析目前云平台的容灾方案，从数据中心可靠性、应用层容灾、虚拟化套件容灾、存储容灾、网络容灾等方面对可行的方案进行了描述，希望对今后的上海公司方案有所帮助。关键词云计算；数据中心；容灾方案第47卷第1期2002年1月简报www.scichina.com1云计算平台随着云计算的推出，越来越多地企业把企业的应用放在了云上。亚马逊于2006年推出了亚马逊网络服务(以下简称“AWS”)，该服务面向新创立的科技公司销售亚马逊过剩的计算资源和数据存储空间。目前，AWS的客户中已包括了多家知名机构和公司，例如美国宇航局、美国国务院、西门子、辉瑞和纳斯达克等。但是2010年开始，出现了几次故障，令世人对云计算的安全性产生了怀疑。1.1部分云平台事故2010年5月，Amazon一周发生了四次故障。5月4日的两次故障是一个UPS单元故障和人为操作失误导致。5月8日由于配电屏电气接地和短路产生，导致了部分用户失去服务7个小时，并有极少量用户的数据丢失。最后一次故障是由于一辆汽车撞倒了Amazon数据中心附近的高压电线杆，而HYPERLINK"javascript:;"\t"_self"数据中心的配电开关又未能正常地从市电切换到内部的备用发电机，导致美国东部的少量用户失去服务一个小时。2011年4月21日上午8：30GMT，位于Virginia州的Amazon公司旗舰数据中心的EBS（冗余弹性块存储）服务无法正常使用。在12小时后，AWS表示，在除一个区域以外，所有可用区域的功能均已恢复并运行正常。至4月24日晚上7:00，AWS表示，该服务运行稳定，恢复过程仍在进行中，但是直至4月25日AWS才将美国东部地区的运行状态标为正常（但是在关系型数据库中还存在着问题）。2011年8月7日，都柏林的雷击导致了Amazon的EC2(弹性计算云)、EBS、关系HYPERLINK"http://soft.chinabyte.com/database/"\t"_blank"数据库服务中断，服务直到8月10日才陆续恢复。同时，微软的部分服务也受到了影响。2011年9月上旬，微软云端WindowsLive服务全球中断了几个小时，原因是DNS发生问题。1.2云平台与数据中心的关系从以上一系列故障可以看出，云平台并不如想象中的安全可靠，它的可靠性完全依赖于所托管的数据中心本身的可靠性。原来，提供云平台的所有硬件设备，还是放置在物理数据中心之中的。因此一个安全可靠的云服务平台，最需要是一个安全可靠的数据中心。数据中心的不可用，除了可能导致云平台的不可用外，进一步还可能导致云平台的数据损坏或丢失。2容灾数据中心可靠性2.1数据中心可靠性数据中心的安全性，可以分为物理安全和访问安全。访问安全更多地体现在安全管理体系的建立和执行上；物理安全则可以分为基础设施安全、电力安全、网络安全等几个部分。我们这里不对访问安全进行论述，可以参照ISO27001信息安全管理体系[1]的内容进行设计和执行。基础设施代表了数据中心的基石，只有“坚如磐石”的基础设施，才能使得数据中心“稳坐泰山”。抗震、防洪、防雷、防火等，都是基础设施安全保障中最基本的要求，根据TIA-942-2005[2]标准，对这些内容都有详细的描述和要求。电力安全则更多地体现在冗余性的设计和保护上。对服务器来说，是否具有2套独立UPS供电，每套UPS的市电引入是否冗余，是否具有后备柴油机，都是冗余性的保证。网络安全相对来说就简单多了：网络接入侧是否有双路备份，数据中心网络出口是否冗余。定期的网络安全演练也是网络安全的保证措施之一。目前我们上海电信建设的数据中心都参照TIA-942-2005标准中T3以上的标准，在各方面都采取了较为严谨的安全和冗余设计，因此，排除人为因素和设备原因，单个数据中心的可靠性可以达到99.9%以上。集团公司在2006年开始进行IDC机房星级评定，从客户服务能力、设备运行维护能力和机房基础设施建设标准等三个方面把IDC机房评为五星、四星、三星、二星、一星五类标准，五星级机房为最高标准。经过多年的完善，目前2011年的标准正在各省听取意见。从目前已知的标准来看，五星级机房的各项要求都高于06年标准。2.2容灾数据中心的技术要求国际Share组织在1992年3月在Anaheim举行的一次会议上，制定了一个有关远程自动恢复解决方案的标准，后来业界一直沿用此标准，作为容灾标准，称为Share78[3]容灾国际标准。该标准将容灾解决方案由低