深信服：深信服超融合aCloud可靠性技術白皮書（32頁）.pdf

《深信服：深信服超融合aCloud可靠性技術白皮書（32頁）.pdf》由會員分享，可在線閱讀，更多相關《深信服：深信服超融合aCloud可靠性技術白皮書（32頁）.pdf（32頁珍藏版）》請在三個皮匠報告上搜索。

1、 深信服超融合 aCloud 可靠性技術白皮書 深信服科技股份有限公司 版權聲明 本文檔版權歸深信服科技股份有限公司所有，并保留對本文檔及本聲明的最終解釋權和修改權。本文檔中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明外，其著作權或其它相關權利均屬于深信服科技股份有限公司。未經深信服科技股份有限公司書面同意，任何人不得以任何方式或形式對本文檔內的任何部分進行復制、摘錄、備份、修改、傳播、翻譯成其他語言、將其全部或部分用于商業用途。免責條款 本文檔僅用于為最終用戶提供信息，其內容如有更改，恕不另行通知。深信服科技股份有限公司在編寫本文檔的時候已盡最大努力保證其內容準

2、確可靠，但深信服科技股份有限公司不對本文檔中的遺漏、不準確、或錯誤導致的損失和損害承擔責任。聯系我們 售前咨詢熱線：400-806-6868 售后服務熱線：400-630-6430（中國大陸）香港：(+852)3427 9160 英國：(+44)8455 332 371 新加坡：(+65)9189 3267 馬來西亞：(+60)3 2201 0192 泰國：(+66)2 254 5884 印尼：(+62)21 5695 0789 您也可以訪問深信服科技官方網站： 獲得最新技術和產品信息 3 目錄 1.超融合平臺架構.5 2.aCloud 平臺管理層可靠性.6 2.1.分布式架構.6 2.2.網

3、絡鏈路全冗余.6 2.3.系統資源自保障.7 2.4.資源預留保障.7 2.5.監控告警中心.8 2.6.進程看門狗.8 2.7.黑匣子技術.8 2.8.系統文件備份恢復.9 3.aSV 計算層可靠性設計.9 3.1.虛擬機異常重啟.9 3.2.虛擬機高可用 HA.9 3.3.虛擬機快照.10 3.4.虛擬機熱遷移.10 3.5.主機維護模式.11 3.6.動態資源調度.11 3.7.動態資源擴展.12 3.8.虛擬機優先級.13 3.9.資源回收站.13 3.10.虛擬機互斥保護.13 4.aSAN 存儲層可靠性設計.13 4.1.aSAN 分布式存儲架構.13 4.2.數據多副本保護.14

4、 4.3.數據仲裁保護.15 4.4.數據熱備盤保護.15 4.5.IO QOS 保護.16 4.6.硬盤亞健康檢測.16 4.7.硬盤維護模式.17 4.8.靜默錯誤檢測.17 4.9.數據快速重建.18 4 4.10.存儲故障域隔離.19 4.11.數據延時刪除.19 4.12.數據自平衡.20 5.aNET 網絡層可靠性設計.21 5.1.aNET 網絡層高可靠架構.21 5.1.1.管理面高可靠.21 5.1.2.控制面高可靠.21 5.1.3.數據轉發面高可靠.22 5.2.分布式虛擬交換機.22 5.3.三層轉發網絡可靠性.22 5.4.分布式防火墻可靠性.23 5.5.NFV 設

5、備可靠性.23 5.6.網絡連通性探測.23 5.7.VXLAN 網絡可靠性.23 5.8.網口故障自動恢復.24 6.硬件層可靠性設計.24 6.1.硬件健康檢測.24 6.2.CPU 可靠性.24 6.3.內存可靠性.24 6.4.硬盤可靠性.25 6.5.網卡可靠性.25 6.6.RAID 卡可靠性.26 6.7.電源可靠性.26 6.8.告警機制.26 7.解決方案層的可靠性設計.27 7.1.虛擬機快速備份.27 7.2.虛擬機持續數據保護.28 7.3.異地容災方案.30 7.4.延伸集群方案.31 5 1.1.超融合平臺架構 超融合平臺架構 深信服超融合 aCloud 基于“軟件

6、定義數據中心”的思想，以虛擬化技術為核心，利用計算虛擬化 aSV、存儲虛擬化 aSAN、網絡虛擬化 aNET 等組件，形成一個統一的資源池，減少數據中心的硬件設備，有效節省投資成本，縮短應用上線時間；提供圖形化界面和自助運維能力，降低運維復雜度，幫助用戶解放生產力；并在產品品質上持續打磨，致力打造極簡，穩定可靠，高性能的超融合解決方案。深信服超融合 aCloud 作為軟件產品，要保證產品本身可靠性，產品架構是最根本的保證，包含平臺管理層、計算、存儲、網絡、硬件層和解決方案層面的可靠性。6 2.2.aCloud 平臺管理層可靠性 aCloud 平臺管理層可靠性 2.1.2.1.分布式架構 分布式

7、架構 深信服超融合 aCloud 采用全分布式架構，保障平臺可靠性。1）超融合集群采用無中心化的設計，每個節點都是獨立對等的工作節點，不存在單節點故障風險；并采用主控模式作為接入點管理集群，平臺通過算法自動選舉主控節點，如果主控節點所在主機發生故障，平臺會自動重新選舉新的主控節點，保證集群的穩定性和可接入，主控節點切換過程中，虛擬機正常運行不受影響。2）超融合集群配置信息，通過集群文件系統以多副本的方式分布在集群的各節點中，任意單節點出現故障，都不會丟失集群配置數據。超融合 aCloud 總體架構圖 Controller：為整個集群提供管理和控制服務，例如用戶管理與認證、資源告警、備份管理等；

8、每個節點上都會存在 Controller，但同一時刻只有一個主控 Controller 是活動的，其他節點 Controller 的狀態是 Standby。Worker：主要負責執行計算、配置、數據傳輸交換等具體工作；每個節點都會有一個Worker 進行活動。2.2.2.2.網絡鏈路全冗余 網絡鏈路全冗余 超融合解決方案有四個網絡平面，每個網絡平面獨立部署，分別是：管理網、業務網、數據通信網（VXLAN）、存儲網。管理網：管理員接入管理網對超融合集群進行管理；管理網通過雙交換機聚合實現鏈路 7 冗余，單個交換機和單條鏈路故障不影響超融合管理平臺的穩定性。業務網：用于進行正常的業務訪問和發布；業

9、務網可通過雙交換機聚合實現鏈路冗余，可為業務出口設置網口靜態綁定，可設置多個業務出口供虛擬網絡中虛擬機選擇，保障業務網冗余高可靠。數據通信網（VXLAN）：虛擬機之間的東西向流量，可實現業務之間的通信，組建私網保障數據安全；采用物理交換機，可通過聚合實現鏈路冗余；采用超融合平臺分布式虛擬交換機，集群所有主機上都存在一個虛擬交換機實例，當其中某臺主機離線，原本經過這臺主機上虛擬交換機實例的流量，由于虛擬路由和虛擬機 HA 到其他主機上，流量也會被其他主機所接管。存儲網：執行需要經過網絡的 IO 動作，實現數據存儲功能；組建私網保障數據安全，無需靜態綁定和交換機上鏈路聚合，超融合平臺從軟件層面實現

10、了鏈路聚合功能，aSAN 私網鏈路聚合按照 TCP 連接進行負載均衡，兩臺主機間的不同 TCP 連接可使用不同物理鏈路。四個網絡平面故障隔離，任何一個網絡平面的故障都不會影響其他網絡平面。2.3.2.3.系統資源自保障 系統資源自保障 由于超融合平臺自身會占用一定的計算資源，為了保證平臺承載業務時的穩定和性能，超融合平臺提供系統資源自保障機制：在系統啟動階段，會強制保留平臺運行所需的最基本計算和內存資源，避免虛擬機資源過多擠占系統資源，導致整個 aCloud 系統出現異常；根據用戶開通的超融合平臺組件情況，自適應地調整強制保留的系統資源。2.4.2.4.資源預留保障 資源預留保障 為了保障主機

11、故障時，有足夠資源執行主機 HA 機制，進而恢復故障主機上運行的業務，超融合平臺提供資源預留機制：在物理主機上預留一定資源，這部分資源在正常情況下不被分配，只有當某些主機發生故障，HA 機制生效時，這部分資源才允許被分配使用。8 資源預留機制，可以預防資源被過度利用之后，整個 aCloud 平臺的 HA 機制失效；HA 機制請見3.2 章節 虛擬機高可用 HA。2.5.2.5.監控告警中心 監控告警中心 超融合平臺提供監控告警中心，可以為平臺上運行的業務提供全面的監控和告警服務，可視化應用內部數據流，提供鎖、Session、事件等待、解析、重做日志等細粒度性能指標狀況，幫助用戶通過數據流圖形化

12、+詳細數據的方式，全面分析 Oracle 數據庫及 Weblogic中間件實時性能及歷史趨勢，并可自定義關鍵指標進行智能監控及快速告警，讓業務人員更快識別應用瓶頸，所有動態全局掌握。監控虛擬機 CPU、內存、IO、內部進程狀態等關鍵信息，并形成歷史趨勢報表；對關鍵業務進行輪詢探測，如 HTTP、FTP、TCP 端口；用戶可以編輯探測包內容，根據探測反饋包來判斷業務狀態；核心數據庫和中間件的全面監控和告警，包括：Oracle、Sql Server、weblogic；提供 syslog、snmp trap、郵件、短信等多種告警方式，用戶可及時收到關鍵告警信息。2.6.2.6.進程看門狗 進程看門狗

13、 系統進程可能發生未知錯誤導致的崩潰、死鎖等情況，導致進程不對外提供服務，此時超融合平臺提供的進程看門狗機制可及時恢復進程。在 aCloud 后臺運行一個獨立的守護進程，該進程具有最高的優先級，負責監控所有aCloud 系統進程，一旦某個系統進程出現崩潰、死鎖等狀況，Watchdog 會強行介入重啟該進程，恢復業務的運行，并記錄下當時進程的狀態信息到黑匣子中，以供事后分析。2.7.2.7.黑匣子技術 黑匣子技術 在系統出現崩潰、進程死鎖或異常復位故障時，為了保障業務的連續性和故障定位與處理，超融合平臺優先恢復業務并提供黑匣子技術，將“臨死信息”備份到本地目錄，用于后續故障分析與處理。黑匣子主要

14、用于管理節點和計算節點上收集并存儲操作系統異常退出前的內核日志、診斷工具的診斷信息等數據，以便操作系統出現死機后，系統維護人員能將黑匣子功能保存的數據導出分析。9 2.8.2.8.系統文件備份恢復 系統文件備份恢復 超融合平臺提供系統文件（平臺配置數據）一鍵備份能力，當平臺出現整體性故障，導致系統配置文件丟失時，用戶可以從備份文件快速恢復系統相關配置。3.3.aSV 計算層可靠性設計 aSV 計算層可靠性設計 3.1.3.1.虛擬機異常重啟 虛擬機異常重啟 當虛擬機 Guest 系統出現應用層不調度（藍屏、黑屏）時，超融合平臺提供虛擬機異常重啟機制，進行異常檢測與強制復位，以及時恢復業務，保障

15、業務連續性。aCloud 平臺會時刻偵測應用層可用性，通過在虛擬機中安裝深信服的性能優化工具，該工具每隔幾秒向虛擬機運行所在主機發送心跳，主機根據虛擬機發出的心跳、磁盤 IO、網絡流量狀態，判斷是否虛擬機的 Guest 系統應用層不調度，應用層不調度狀態持續數分鐘后，可認為該虛擬機發生了黑屏或者藍屏，將該虛擬機執行 HA 操作，關機并重啟。虛擬機異常的原因有多種，由硬盤故障、驅動錯誤、CPU 超頻過度、BIOS 設置、軟件中毒等原因引起系統藍屏，硬件驅動、盜版軟件、軟件病毒等問題，業務操作系統導致系統黑屏等，此時超融合平臺能夠提供相關自動重啟方案，幫助管理員進行自動化運維。3.2.3.2.虛擬

16、機高可用虛擬機高可用 HAHA 當外部環境故障（比如主機網線斷了，所在存儲不能訪問等）導致業務中斷時，超融合平臺提供了成熟的 HA 機制，將故障主機的業務在資源充足的健康主機上自動重啟，從而實現業務的不中斷或短暫中斷。10 在 aCloud 集群中，對啟用了 HA 功能的虛擬機所在節點進行集群心跳檢測，通過輪詢的機制，每隔 5s 檢測一次虛擬機狀態是否異常，當發現異常并持續時長達到用戶設置的故障檢測敏感度時（最短時間 10s），切換 HA 虛擬機到其他主機運行，保障業務系統的高可用性，極大縮短了由于各種主機物理或者鏈路故障引起的業務中斷時間。注：HA 機制，需要整個集群中有預留的資源（主要是內

17、存資源）供發生異常的虛擬機拉起，即2.3 資源預留保障技術，如果資源不足，HA 功能拉起虛擬機會失敗。3.3.3.3.虛擬機快照 虛擬機快照 當虛擬機發生非邏輯故障導致業務異常時，比如虛擬機變更失?。ㄌ摂M機打補丁、安裝新軟件等），超融合平臺提供虛擬機快照技術，可以快速回滾到快照時刻的健康業務狀態。虛擬機快照是指對虛擬機某個時刻的狀態做一次狀態保存，以便后續需要的時候，可以把虛擬機恢復到該時刻的狀態。3.4.3.4.虛擬機熱遷移 虛擬機熱遷移 當管理員要對主機做硬件維護、主機變更等操作時，超融合平臺提供虛擬機熱遷移機制，在不影響業務運行的情況下，將虛擬機遷移到其他主機上，保證業務持續提供服務。熱

18、遷移虛擬機時，進行源端和目標端的信息同步，包括內存、vCPU、磁盤和外設寄存器狀態；同步完成后，暫停源端虛擬機并釋放源主機上占用的計算資源，開啟目標端虛擬機。遷移過程中會檢查物理主機的資源是否足夠（如果資源不夠，則遷移失?。┖湍繕硕颂摂M網絡是否和源端一致（如果不一致則告警，用戶決定是否繼續遷移）保障遷移順利地進行。11 aCloud 熱遷移支持如下三種場景：1)集群內熱遷移：因為集群內的分布式共享存儲，虛擬機可只遷移運行位置，存儲位置不改變，因此只需要進行運行數據同步（內存、vCPU、磁盤和外設寄存器狀態）；2)集群內跨存儲熱遷移：當需要遷移存儲位置時，遷移服務會先將虛擬機虛擬磁盤鏡像文件進行

19、遷移，然后進行運行數據同步；3)跨集群熱遷移：需要同步虛擬磁盤鏡像文件和運行數據。注：aCloud 支持異構服務器組建集群，默認情況下，aCloud 新建的虛擬機采用相同類型 vCPU，使得虛擬機不依賴于物理 CPU 型號（指令集），可以支持虛擬機在不同代別 CPU 的物理主機之間進行熱遷移。3.5.3.5.主機維護模式 主機維護模式 當管理員要對主機做硬件維護、主機變更等操作時，超融合平臺提供主機維護功能，可以達到自動進行虛擬機熱遷移的效果，系統會先將啟動維護模式主機上運行的業務遷移到其它主機上或者關機，確保替換過程中不對業務造成影響，通過維護模式可以達到自運維的效果；進入單主機維護模式的主

20、機如同冰凍狀態，不能讀寫數據。沒有主機維護功能時，管理員需手動遷移虛擬機并且可能存在數據單點故障；主機維護模式會進行虛擬存儲副本檢查，保障該主機上的數據副本在其他主機上存有一份，該主機進行下電操作不會影響業務。3.6.3.6.動態資源調度 動態資源調度 當虛擬機業務壓力激增，導致其運行的物理主機可提供的性能不足以承載虛擬機業務的正常運行時，超融合平臺提供動態資源調度 DRS（Dynamic Resource Scheduler）功能，通過監控集群中資源池的使用情況，對整個集群的資源情況進行動態的運算，將資源過載服務器上的虛擬機熱遷移到資源充足的服務器上運行，保障集群中業務的健康運行狀態，均衡集

21、群中的主機負載情況。主機資源過載的基準線由用戶自定義，包括 CPU 過載、內存過載和過載持續時間，避免造成因 DRS 導致的業務來回切換震蕩，并且用戶可選擇手動和自動進行資源調度。12 3.7.3.7.動態資源擴展 動態資源擴展 當虛擬機業務壓力激增，導致用戶創建業務時分配的計算資源不足以承載業務當前的穩定運行時，超融合平臺提供動態資源擴展 DRX（Dynamic Resource eXtension）功能，實時監控業務虛擬機的內存、CPU 資源的使用情況，當虛擬機分配的計算資源使用即將達到瓶頸時，并且運行的物理主機的計算資源資源足夠時，自動或手動給業務虛擬機增加計算資源（CPU 和內存），以

22、保證業務的正常運行；當檢測到運行的物理主機的資源過載時，不會進行計算資源熱添加操作，避免擠壓其他虛擬機的資源空間，此時將根據集群的負載情況進行動態資源調度。業務虛擬機資源使用瓶頸由用戶自定義，包括 CPU 使用率、內存使用率和計算資源達到使用瓶頸的持續時間，保證資源分配給有需要的應用使用。13 3.8.3.8.虛擬機優先級 虛擬機優先級 當集群可用資源有限時（系統資源緊張、主機宕機、虛擬機 HA 等），需要優先保障重要業務的運行，超融合平臺提供虛擬機優先級分類標記，優先保障重要虛擬機的資源供給，以保證重要虛擬機的業務得到更高級別的保障。3.9.3.9.資源回收站 資源回收站 當管理員手誤刪除虛

23、擬機等資源，需要找回刪除的設備時，超融合平臺提供資源回收站機制，管理員可以到回收站一鍵找回未徹底刪除的虛擬機和虛擬網絡設備，給用戶提供一個“誤刪除操作緩沖區”的保護機制和一次“反悔”的機會，盡可能保障用戶操作的可逆性和正確性。用戶刪除的虛擬設備會在回收站暫放一段時間，此時被刪除設備占用的磁盤空間并沒有釋放，數據并沒有刪除，這種狀態下的設備可被找回；被刪除設備在回收站的時間超過 30天之后會自動徹底刪除或者用戶手動點擊徹底刪除，此時才釋放設備占用的磁盤空間。3.10.3.10.虛擬機互斥保護 虛擬機互斥保護 當多個虛擬機是主備或者負載均衡關系時，比如 Oracle RAC 數據庫的多個 RAC

24、節點虛擬機，如果將這些虛擬機放置在一臺主機上，如同將所有雞蛋放在一個籃子里，面臨全軍覆沒風險；超融合平臺提供虛擬機安全互斥機制，保證具有互斥關系的虛擬機一定不會運行在同一臺主機上，當一臺主機宕機時，運行在集群其他主機上的互斥虛擬機可以繼續運行，保證業務的連續性?；コ馓摂M機在 DRS 動態資源調度、HA 拉起時，仍然遵循安全互斥原則，禁止這些虛擬機在同一個主機上運行。4.4.aSAN 存儲層可靠性設計 aSAN 存儲層可靠性設計 4.1.4.1.aSANaSAN 分布式存儲架構 分布式存儲架構 aSAN 存儲層采用自主開發的分布式存儲系統，利用虛擬化技術“池化”集群存儲卷內通用 X86 服務器中

25、的本地硬盤，實現服務器存儲資源的統一整合、管理及調度，最終向上層提供 NFS/iSCSI 存儲接口，供虛擬機根據自身的存儲需求自由分配使用資源池中的存儲空間。14 4.2.4.2.數據多副本保護 數據多副本保護 當硬件層面發生故障時（硬盤損壞，存儲交換機/存儲網卡故障等），導致該故障主機上的數據丟失或者不能被訪問，影響業務運行；超融合平臺提供數據多副本保護機制，確保業務數據在存儲池中存有多份，并且互斥地分布在不同的物理主機的不同磁盤上；因此，此時用戶數據在其他主機上依然有完好的副本，可以保證數據不會發生丟失，業務可以正常運行。注：多副本機制僅僅解決硬件層面的故障，不解決邏輯層面的故障，如“上層

26、應用被勒索病毒加密”，底層無論采用多少個副本，都會全部被加密。15 4.3.4.3.數據仲裁保護 數據仲裁保護 當因網絡等原因導致多副本寫入數據不一致，并且多個副本均認為自己是有效數據，此時業務并不清楚哪個副本數據是正確的時候，就發生了數據腦裂，影響業務的正常運行。超融合平臺提供多副本仲裁保護機制，每個業務存在多個數據副本+仲裁副本；通過仲裁副本來判斷哪份數據副本是正確的，并告知業務使用正確的數據副本，保證業務的安全穩定運行。仲裁副本是一種特殊的副本，它只有少量的校驗數據，占用的實際存儲空間很??；仲裁副本同樣要求與數據副本必須滿足主機互斥的原則，因此至少三臺主機組成的存儲卷才具有仲裁副本。仲裁

27、機制的工作核心原理是“少數服從多數”，即：當虛擬機運行所在的主機上可訪問到的數據副本數小于總副本數（數據副本+仲裁副本）的一半時，則禁止虛擬機在該主機上運行。反之，虛擬機可以在該主機上運行。4.4.4.4.數據熱備盤保護 數據熱備盤保護 當集群內出現某塊 HDD 硬盤損壞導致 IO 讀寫失敗，進而影響業務時，超融合平臺提供數據熱備盤保護，系統熱備盤可以立即自動取代損壞的 HDD 硬盤開始工作，無需用戶手動干預；在主機集群較大、硬盤數量較多的場景下，硬盤故障的情況會時有發生，aCloud 平臺讓 16 用戶不用擔心硬盤損壞而沒有及時更換，從而造成數據丟失。4.5.4.5.IO QOSIO QOS

28、 保護 保護 為了給用戶業務提供更高的集群 IO 能力和最優化分配 IO，超融合平臺提供 IO QOS 保護機制，用戶可通過配置虛擬機優先級保證重要業務的 IO 供給，包括 IO 隊列優先級、SSD分層的緩存空間等資源優先使用。業務優先級策略為：重要虛擬機業務 IO普通虛擬機業務 IO其他 IO（備份，數據重建等）；平臺會自動檢查每個物理磁盤的 IO 吞吐負載、物理空間占用的情況，提供業務不同的調度策略，給用戶提供集群最大化 IO。4.6.4.6.硬盤亞健康檢測 硬盤亞健康檢測 當硬盤壽命到期、硬盤壞道數量過多時，硬盤實際上是處于亞健康狀態，雖然硬盤可以被識別到進行數據讀寫操作，但此時硬盤存在

29、讀寫不成功和數據丟失風險；超融合平臺提供硬盤亞健康檢測機制，提前檢測并規避硬盤故障對業務帶來的影響。硬盤亞健康檢測調用 smartcrtl、iostat 指令獲取硬盤的狀態信息，通過與硬盤異常閾值對比來判斷硬盤是否出現亞健康現象（例如慢盤，卡頓，PCIE ssd 壽命檢測等），并且通過內核日志，過濾出 IO 調用、RAID 卡錯誤日志，獲知硬盤的錯誤信息。其基本原理如下圖：亞健康硬盤會在 aCloud 平臺上顯示“慢盤”告警，幫助用戶發現亞健康硬盤并及時更換為健康硬盤，保證集群中硬盤均為健康狀態；亞健康硬盤將被限制新增分片，已有分片全部做靜默處理無法寫入新數據，并將亞健康硬盤上的數據重建到健康

30、硬盤上。17 4.7.4.7.硬盤維護模式 硬盤維護模式 當硬盤處于亞健康狀態并進行告警后，運維人員需要執行硬盤替換操作；如果有數據同步任務需要從即將替換的硬盤上讀取數據，此時操作拔插硬盤可能導致發生雙點故障進而影響業務，此時可以先使用硬盤維護/硬盤隔離功能，系統隔離硬盤之前，會對數據進行全面的巡檢，保證該硬盤上的數據在其他硬盤上存有一份健康副本，隔離之后的硬盤將不允許數據的讀寫，確保硬盤隔離時業務不受影響。4.8.4.8.靜默錯誤檢測 靜默錯誤檢測 硬盤使用過程中會出現一種無法預警的錯誤，即靜默錯誤，直到用戶需要使用這些數據時，才會發現這些數據已經發生了錯誤和損壞，最終造成無可挽回的損失，因

31、為靜默錯誤沒有任何的征兆，可能錯誤已經發生了很長時間，導致非常嚴重的問題。NetApp 針對超過 150萬臺硬盤驅動器進行了 41 個月的觀察，發現了超過 400,000 個靜默數據損壞，其中，硬件RAID 控制器未檢測到的錯誤超過 30,000 個。為防止因靜默錯誤而返回給用戶錯誤數據，超融合平臺提供 aSAN 數據端到端校驗功能，通過 Checksum 引擎、Verify 引擎和 Checksum 管理模塊，選用具有業界領先水平的校驗和（Checksum）算法，配合校驗和存儲性能優化關鍵技術，在用戶數據一進入系統開始就生成一個校驗和，作為該數據的“指紋”，并進行存儲。之后就會一直用該校驗和

32、來對數據進行校驗，保障用戶遠離靜默故障；其原理圖如下：18 端到端技術，存在如下兩個關鍵點：“校驗和生成算法”與“校驗和生成時的存儲性能優化”，aSAN 在這兩點上具有業界領先的技術方案。關鍵技術 1：業界前沿水平的校驗和算法 校驗和算法有兩個主要的評價標準：一是生成校驗的速度；二是沖突率和均勻性。沖突率是指兩個數據不一樣，但生成相同校驗和的概率。深信服超融合 aSAN 數據端到端校驗方案使用 XXhash64 算法，相比目前業界普遍使用的 CRC-32 和 Adler-32 算法，具有速度更快、沖突率更低的特點。關鍵技術 2：校驗和生成時的存儲性能優化 校驗和在內存中生成，并可以跟隨數據一起

33、傳輸、存儲。當數據存儲到磁盤、SSD 等非易丟性存儲中，校驗和也需要進行存儲。這樣會帶來額外的寫開銷，影響系統性能。深信服超融合基于無元數據中心架構，在 aSAN 端到端校驗方案中，通過使用異步回刷、關鍵 I/O 路徑 Bypass、I/O 競爭隔離等多項手段，優化校驗和存儲帶來的性能問題。此外，通過自校驗、沖突檢測、時序檢測來保證正確性和一致性。4.9.4.9.數據快速重建 數據快速重建 當多副本數據寫入不一致，或者主機/硬盤故障進行硬件替換后，為了保證底層副本數據的一致性，超融合平臺提供數據快速重建機制，定期會檢查硬盤的工作情況和副本的健康狀況，以健康數據為源進行副本重建，保障集群數據安全

34、狀態。其工作原理如下：當進行數據盤和緩存盤拔盤操作時，將導致物理層面的數據盤和緩存盤離線；當數據盤上業務 IO 連續故障時認為數據盤故障，或緩存盤上業務 IO 出現一次故障時認為緩存盤故障時，將觸發數據重建流程。19 數據重建過程采用如下技術方案，以加快重建的速度：1)全局參與，多并發重建：數據重建的 I/0 是多并發式的，即從多個源端硬盤讀取，往多個目的端硬盤寫入的，實現了數據的快速重建；2)智能重建：數據在重建過程中會占用一部分的存儲網絡帶寬和硬盤性能，那么重建程序可以感知到上層業務的 I/0 的情況并以此智能地調整重建所占用的 I/0，在保障業務正常運行的前提下快速重建數據；3)分級重建

35、：數據重建優先級依賴虛擬機優先級，在存儲卷可用于重建數據的空間資源緊缺時，通過分級重建可以優先保障用戶重要的數據。4.10.4.10.存儲故障域隔離 存儲故障域隔離 超融合平臺提供存儲故障域隔離功能，對存儲劃分不同的磁盤卷，用戶可以根據需求把aSAN 劃分成不同的磁盤卷，每個磁盤卷都是一個獨立的故障域；在同一個故障域內，aSAN的副本機制、重建機制都將隔離在故障域內執行，不會重建到其他故障域；同一故障域的故障也不會蔓延到其他故障域，可以有效隔離故障蔓延；通過機架進行故障域劃分時，某個機架發生故障，僅影響運行在該機架上的磁盤卷。4.11.4.11.數據延時刪除 數據延時刪除 3.9 資源回收站機

36、制章節中介紹到，虛擬設備被徹底刪除后，業務占用的磁盤空間將被釋放，無法找回設備；超融合平臺為了進一步保障用戶操作的可逆性和正確性，aSAN 虛擬存儲層提供數據延時刪除機制，可找回 aSAN 未徹底刪除的虛擬設備數據。當上層業務向 aSAN 數據存儲層發出刪除數據的指令時（如徹底刪除虛擬機鏡像指令），此時 aSAN 會檢查剩余磁盤空間，如果剩余磁盤空間足夠，則 aSAN 并不會立即把這部分刪除的空間全部清零、回收，而會把這部分數據放到“待刪除隊列”，并會向上層應用反饋刪除成功的結果，然后繼續把這些數據保留一段時間（默認 10 天），超過這段時間之后則刪除這部分數據。20 如果 aSAN 可用剩余

37、空間不足 70%，而后臺存在有需要延時刪除的數據，則 aSAN 會按照時間最久原則依次回收需要刪除的數據，而不等待超時時間。4.12.4.12.數據自平衡 數據自平衡 aSAN 通過數據平衡來保證在任何情況下，數據在存儲卷內的各個硬盤上內盡可能地分布均衡，避免產生極端的數據熱點和盡快地利用新增硬盤的空間和性能，保證各主機各硬盤的資源得到合理利用。平衡的觸發條件：1）計劃內平衡 計劃內平衡會在用戶所計劃的時間范圍發起數據平衡（比如凌晨 12 點到早上 7 點），當存儲卷內不同硬盤的容量使用率差異較大時，將對使用率較高的硬盤執行數據平衡，遷移部分數據到容量使用率較低的硬盤上。在用戶所計劃的時間范圍

38、內，aSAN 的數據平衡模塊會對存儲卷內的所有硬盤進行掃描，若當發現卷內最高和最低的硬盤容量使用率之差超過一定閾值時（默認是 30%）即觸發平衡，直至卷內任意兩塊硬盤的使用率之差不超過一定閾值（默認是 20%）。例如，用戶對存儲卷進行擴容后，在用戶所設的數據平衡計劃時間內，就會觸發平衡將數據遷移至新增的硬盤上。2）自動平衡 自動平衡無需用戶進行干預，由系統自動發起的數據平衡。是為了避免存儲卷內某塊硬盤的空間已用滿，而其他硬盤仍有可用空間。當存儲卷內存在某塊硬盤空間使用率已超過風險閾值時（默認是 90%）即觸發自動平衡，直至卷內最高和最低的硬盤容量使用率小于一定閾值（默認是 3%）。2.平衡的實

39、現方式 當滿足平衡的觸發條件時，會以數據分片為單位計算出源端硬盤上的各個數據分片即將落入的目的端硬盤的位置；目的端硬盤位置滿足以下原則：1）必須滿足主機互斥原則：即遷移后的分片兩個副本不允許位于同一個主機上；2）性能最優原則：即優先選擇分片遷移后依然滿足數據最優分布策略的硬盤；3）容量最優原則：優先選擇容量使用率低的目的端硬盤。分片在平衡過程中，針對該分片上新增/修改的數據是同時寫入到源端和目標端，即多寫一份副本；在平衡結束前，平衡程序會對源和目標的數據進行校驗，確保平衡前后數據一致性；平衡完成后，源端的分片會移動到臨時目錄保留一段時間后再刪除。21 5.5.aNET 網絡層可靠性設計 aNE

40、T 網絡層可靠性設計 5.1.5.1.aNETaNET 網絡層高可靠架構 網絡層高可靠架構 aNET 網絡層采用管理面、控制面、數據轉發面分離的架構，通過標準化和解耦的接口進行各平面的通信；如果某個子模塊發生異常，其影響范圍僅限于模塊內部，并不會因為問題蔓延導致 aNET 網絡平臺出現整體故障，各平面進行高可靠設計，實現 aNET 高可靠架構。各平面間的通信：管理面接收用戶下發配置，通過“管理服務”模塊將用戶配置轉換成網絡配置，下發給控制面的控制服務模塊“中央控制器”，控制面對管理面下發配置進行分析，并拆解分發到不同的計算節點和網絡節點，“數據轉發面”執行任務；當管理面下發狀態變更或運維命令時

41、，管理 agent 或運維 agent 直接下發配置到數據轉發面執行，無需經過控制面。5 5.1.1.1.1.管理面高管理面高可靠可靠 管理面采用集中式控制方案，通過集群模塊選舉出管理面主控節點，使用集群文件系統將數據分布式地存儲在每個網絡節點中，如果控制節點故障，aNET 會自動選舉出新的主控節點，新的主控節點通過集群文件系統獲取集群網絡配置數據，保障管理面的高可靠。5 5.1.2.1.2.控制面高控制面高可靠可靠 控制面與管理面一樣采用集中式控制方案，復用集群模塊推選主控，主控節點會拉起中央控制器；通過各個計算和網絡節點的網絡代理模塊主動上報機制，中央控制器恢復對當前每個計算和網絡節點的實

42、時狀態掌握，保障控制面的高可靠。22 5 5.1.3.1.3.數據轉發面高可靠 數據轉發面高可靠 數據轉發面運行在應用層，不同于其他云平臺運行在內核層，可保證轉發面出現異常時，不會導致內核宕機，并通過重啟服務方式快速恢復轉發面，大大減少轉發面對平臺本身可靠性的影響；數據轉發面支持單主機內主備切換，備進程包含數據轉發面的所有配置信息，可以在主進程異常退出后，備進程立刻成為主進程，接管所有的網絡轉發業務，用戶業務不會中斷，保障數據轉發面單主機高可靠。5.2.5.2.分布式虛擬交換機 分布式虛擬交換機 超融合虛擬交換機采用分布式方案，集群所有主機上都存在一個虛擬交換機實例，當其中某臺主機離線，原本經

43、過這臺主機上虛擬交換機實例的流量，由于虛擬路由和虛擬機 HA到其他主機上，流量也會被其他主機所接管；對上層應用表現為無論業務虛擬機運行在集群中的任意節點上，其橋接的虛擬交換機都是同一個，虛擬機發生漂移、HA 等動作之后，虛擬網絡訪問關系不受影響，保障了數據轉發面集群內跨主機高可靠。5.3.5.3.三層轉發網絡可靠性 三層轉發網絡可靠性 aNET 網絡層中虛擬路由器為集中式路由器，進行三層轉發的流量需要通過路由器進行轉發，當路由器所在節點出現故障或者路由器連接的業務網口無法通信時，會影響連接到該路由器的設備之間的通信。超融合 aNET 網絡層提供路由器 HA 功能保障三層轉發網絡可靠性，通過網絡

44、控制器實時監控集群中主機運行狀態和業務網口狀態，當發現主機故障或者業務網口無法通信時，中央控制器會計算受到影響的虛擬路由器，自動將這些路由器切換到其他正常工作的主機上，保證經過該路由器的流量可以正常轉發。！23 5.4.5.4.分布式防火墻可靠性 分布式防火墻可靠性 虛擬機出現故障異常時，會通過 HA 機制在集群中其他主機上恢復運行，虛擬網絡管理模塊根據虛擬機 HA 時的啟動信息，在虛擬機 HA 后所在主機上，快速建立與此虛擬機相關的分布式防火墻 ACL 防護策略，保障虛擬機時刻受到分布式防火墻的保護。5.5.5.5.N NFVFV 設備可靠性 設備可靠性 NFV 設備以虛擬機的形式集成于 a

45、Cloud 平臺中，具有虛擬機的 HA 高可用保護機制；并提供 NFV 設備雙機高可用方案，進一步保障 NFV 設備可靠性。同時，aNET 網絡層通過多維度（watchdog、磁盤 IO、網絡流量和 BFD 探測）實時監控NFV 設備的運行狀態，如果 NFV 設備無法正常工作，虛擬路由器將會 bypass 關聯的策略路由，保障業務不受 NFV 設備故障影響。注：本章節 NFV 設備特指應用交付 vAD 和應用防火墻 vAF 設備。5.6.5.6.網絡連通性探測網絡連通性探測 當虛擬網絡配置錯誤或者網絡鏈路故障導致業務訪問異常時，虛擬網絡的運維模塊提供網絡連通性探測功能，通過界面設置需要探測的源

46、虛擬機和目的 IP 地址，管理面把探測的路徑下發給控制器，控制器協調多個節點控制 agent 進行連通性探測和結果上報，并在 UI上清晰呈現整個探測的邏輯和物理網絡路徑情況，幫助用戶快速和定位分析虛擬網絡中的連通性故障。5.7.5.7.VXVXL LANAN 網絡可靠性 網絡可靠性 aNET 會定時對 VXLAN 網絡進行連通性探測，各主機的 VXLAN 口 IP 互相進行 ping 探測，當持續5 秒無法 ping 通時進行 VXLAN 網絡故障告警，并呈現各主機的 VXLAN 網絡連通情況，幫助用戶快速定位集群網絡的 VXLAN 鏈路故障；同時，對于開啟了 VXLAN 高性能的用戶，支 2

47、4 持 VXLAN 網絡巨幀探測。注：網絡連通性探測（overlay 網絡）和 VXLAN 網絡可靠性（underlay 網絡）共同提供aNET 虛擬網絡斷流問題定位與防護。5.8.5.8.網口故障自動恢復 網口故障自動恢復 aNET 數據轉發面會定時檢查網口的收發包狀態，當檢測到網口連續 30s 無法發包時，對該網口進行復位處理，保證網口可正常使用，確?？焖倩謴陀脩魳I務。6.6.硬件層可靠性設計 硬件層可靠性設計 6.1.6.1.硬件健康檢測 硬件健康檢測 超融合產品提供兩種交付方式：軟硬件結合一體化交付和 aCloud 純軟件交付（搭載第三方硬件）；在這兩種方式上，超融合平臺都提供硬件層面

48、的可靠性檢測和保障，避免因硬件故障引發嚴重問題。硬件的可靠性監控，包含 CPU、內存、網卡、硬盤、存儲、RAID 等硬件健康檢測，便于及時發現問題并提供相應異常檢測項的恢復指導建議；檢測結果會統一呈現，用戶根據告警信息和提示進行處理，即可消除風險。另外，深信服超融合一體機標配 BMC 診斷模塊，可實現對 CPU、內存、硬盤、網卡、風扇、溫度、電源等關鍵部件的故障診斷。6.2.6.2.CPUCPU 可靠性 可靠性 超融合平臺定期檢查 CPU 溫度和主頻，異常告警并提供解決方案，提前規避 CPU 故障風險，保障 CPU 可靠性。CPU 溫度監控：超融合平臺定期每分鐘檢查 CPU 各個物理核的溫度，

49、當 CPU 溫度異常持續時間達到設置的閾值（10 分鐘），平臺將進行告警。主頻監控：超融合后臺定期每小時檢查 CPU 主頻，當 CPU 主頻出現降頻，則進行告警。6.3.6.3.內存可靠性 內存可靠性 超融合平臺提供 ECC 內存監控和內存吞吐速率檢測，保障內存的可靠性。ECC 監控：采用 ECC 錯誤檢查和糾正技術（Error Checking and Correcting）對內存 25 進行實時監控，包含 UC 錯誤（不可修正 ECC，會導致設備宕機或重啟）和 CE 錯誤（可修改 ECC，ECC 報錯不再增加，不會影響內存的繼續使用），主要有軟件原因、內存條本身故障、主板 SI 影響、擾動

50、（環境噪聲、高溫、PWM 芯片高頻干擾）以及整機散熱等問題;隨著各廠家的顆粒制程的減小，內存頻率不斷提升，電容儲存電荷的能力變小，漏電事件容易發生，近年來內存 ECC 報錯問題顯現越來越明顯，超融合平臺針對 UC 類不可修正的ECC 錯誤進行統計監控，進行告警和提供解決方案，規避事故的發生。內存吞吐速率監控：超融合平臺提供了針對內存吞吐率的檢測功能，當內存吞吐率明顯低于內存標稱大小時，進行告警。6.4.6.4.硬盤可靠性 硬盤可靠性 硬盤熱插拔和 RAID：深信服超融合一體機支持系統運行時硬盤（SAS/SATA）熱插拔，支持硬盤 RAID0、1、10 的多種 RAID 方式，保障硬盤高可用；支

51、持 RAID 下另加熱備盤的配置，進一步保證了硬盤數據的高冗余可靠；支持硬盤故障、拔插后對數據進行重建、平衡。硬盤全面監控，故障規避，保障硬盤高可靠 1）硬盤狀態監控：超融合平臺會實時監控硬狀態，硬盤離線時立即告警；2）IO 錯誤監控：超融合平臺定期分析 Dmesg 信息的 IO 錯誤情況，發現錯誤立即告警；3）SSD 壽命監控:超融合平臺定期使用 smartctl 指令檢測 SSD 硬盤壽命，當 SSD 可用壽命將至整個硬盤壽命的 10%以下時，立即告警；4）HDD 壞道監控：超融合平臺會根據用戶的指令使用 smartctl 指令掃描所有的物理硬盤，發現 HDD 壞道立即告警；壞道數量在 1

52、0 個以內建議更換，壞道數量在 10 個以上，將該硬盤設置為亞健康硬盤，硬盤降級，并逐步遷出硬盤數據；3）IO 時延遲監控：超融合平臺會根據用戶的指令調用 fio 命令測試裸盤 4k IO 塊大小在 32 深度場景下隨機讀的時延情況，當時延超過 10ms，立即告警；當時延超過 50ms 時，立即緊急告警，并將硬盤設置為亞健康硬盤，硬盤降級，并逐步遷出硬盤數據；4）IOPS/吞吐率監控:超融合平臺會根據用戶的指令調用 fio 指令測試裸盤 4k IO 塊大小在 32 深度場景下隨機讀，當硬盤 IOPS 性能達到危險值時進行告警；比如：當 7200 轉的硬盤 IOPS 小于 60 時，10000

53、轉的硬盤 IOPS 小于 100 時，15000 轉的硬盤 IOPS 小于 140時，平臺進行告警。6.5.6.5.網卡可靠性 網卡可靠性 網口連接模式檢測：為了提供正確的業務運行網絡環境，超融合平臺通過 ethtool 指令檢查網口工作模式，保障實際網口模式與協商工作模式一致，不一致時則告警提示；網口部署檢測：為了保障業務的正常運行，超融合平臺對所有網口進行部署檢測，確保 26 配置特定用途的網口能發揮作用，杜絕網口掉線和未插網線這類低級故障的發生，如網口未正確部署則告警提示；網口丟包檢測：為了保障業務網絡的穩定性，超融合平臺通過讀取網卡信息，統計網卡丟包情況，當丟包率達到危險值時進行告警，

54、如網口 10 分鐘丟包率大于 0.1%則告警提示；網口速率檢測：為了保障業務運行的性能要求，超融合平臺會檢測網口速率，當網口速率達到危險值進行告警；如網口速率小于千兆則告警提示；全雙工模式檢測：為了保證業務需要的網絡效率，超融合平臺會進行網絡模式檢測，確保業務在高網絡效率的全雙工模式下運行；如檢測為半雙工網絡模式則告警提示。6.6.6.6.RAIDRAID 卡可靠性 卡可靠性 RAID 卡異常狀態檢查：超融合平臺通過系統指令讀取 RAID 狀態信息，進而分析 RAID卡的健康狀態，如 RAID 卡存在錯誤或者異常，進行告警，提示用戶檢查或者更換 RAID 卡；Jbod（Non-RAID）模式檢

55、查：為了保障硬盤的熱拔插特性，超融合平臺會進行 RAID 的Jbod 模式檢測，如非 Jbod 模式，則告警提醒。6.7.6.7.電源可靠性 電源可靠性 深信服超融合一體機配置 2 組電源，支持電源 1+1 冗余和電源熱插拔，可以在一組電源故障后，系統持續運行而不影響業務，并且可以在線更換故障電源。6.8.6.8.告警機制 告警機制 深信服超融合平臺提供完善的告警服務，包括集群、主機、存儲、網絡、虛擬機等多個維度的異常告警，在發現問題時于頁面展示告警信息并提供告警級別劃分，并且通過郵件和短信多種方式提醒用戶，確保告警及時通知到用戶。管理員可以根據公司業務情況設置最合適的告警規則，保障平臺檢測告

56、警的準確性；如主機內存占用過高告警，CPU 高頻告警等；并且提供日志審計功能，進一步保障操作的可靠性。27 7.7.解決方案層的可靠性設計 解決方案層的可靠性設計 7.1.7.1.虛擬機快速備份 虛擬機快速備份 aCloud 平臺的多副本機制，可以應對硬件層面的單點故障問題，確保硬件層面發生故障的時候，平臺能夠提供數據冗余。但如果發生 aCloud 平臺多點故障（多副本所在的主機全部損壞）、或者發生邏輯錯誤故障（勒索病毒、業務數據庫誤刪除），多副本機制無法解決。aCloud 平臺提供首次全量備份+非首次增量備份+bitmap 臟數據標記技術的虛擬機快速備份功能來解決此類故障，該功能為 aClo

57、ud 獨創技術，大大提升了備份效率，并減少了備份過程對原生產環境的影響。1）首先進行全量備份（如果已經有全量備份則直接進行增量備份）；2）全量備份后業務持續寫入新數據（G 和 H），用 bitmap 標記，此時新數據可以在 qcow2文件的原位置直接寫入，下次備份時只增量備份修改處的數據；備份結束后重新將 bitmap置 0，以此進行每一次的備份操作。3）刪除增備文件，數據向后合并，保證每個保留的備份數據都是完整可用的，以此快速釋放空間，節約備份存儲資源。28 當一個虛擬機的多個磁盤鏡像、或者多個虛擬機的磁盤鏡像有相關性時，快速備份還提供多磁盤數據一致性檢查，比如在數據庫的應用場景中，數據庫（

58、SQL Server、Oracle）的數據盤、日志盤，必須保持備份時刻的一致性，否則當恢復備份時，會由于不一致導致恢復的 Oracle 系統仍然不可用，而通過深信服的快速備份可保障數據庫數據的多個磁盤在恢復時，保持數據的一致性。aCloud 快速備份技術相比較業界其他平臺使用的基于快照的 CBT 的備份方案，性能和效率有本質的提升，因為在原位置寫入新數據時可直接寫入，不會發生寫時拷貝，不會造成qcow2 文件與數據位置的映射亂序，因此不會對 qcow2 鏡像造成性能上的影響；增量備份方式減少每次備份的數據量，進而提高備份速度。7.2.7.2.虛擬機持續數據保護 虛擬機持續數據保護 虛擬機持續數

59、據保護 CDP（Continuous Data Protection）技術也是 aCloud 獨創技術，為用戶提供額外的鏡像保護，粒度更精細的數據保護技術：虛擬機快速備份技術可以提供小時級粒度的保護，而虛擬機持續數據保護 CDP 技術可以提供 1 秒或 5 秒級別的數據保護，它記錄用戶的每一次數據改動，通過近似零丟失的數據恢復，實現業務保護。深信服超融合平臺對 CDP 技術進行優化，將 CDP 模塊做到虛擬機的 qcow2 文件層，相較于傳統 CDP 軟件只是以代理方式嵌入到系統操作 OS 層，深信服超融合能更好為用戶提供 CDP數據保護，為用戶提供了一種低成本、易部署、高價值、更適合虛擬機業

60、務使用的 CDP 解決方案。CDP 備份數據由 RP 日志文件和 BP 備份文件組成，通過旁路架構+IO 分流+共享緩存區技術，實現從主業務異步復制 IO 到 CDP 日志存儲區，定期生成 RP 點，保障 CDP 備份過程不影響正常業務運行的性能，并且實現故障隔離，CDP 模塊的故障不影響正常業務的運行；并根據設置的備份頻率定期生成 BP 點，對生成的 BP 點和 RP 點均標記上時間戳，便于故障時 29 定位恢復點。傳統 CDP 軟件在 IO 路徑上插入“探針程序”，如果“探針程序”本身存在故障或者 CDP依賴的存儲出現故障，可能造成原生產環境的業務異常；超融合提供的 CDP 技術對原生產環

61、境的 IO 鏡像是旁路模式獲取的，CDP 模塊故障，都不會造成原生產業務系統的故障。CDP 還提供對多磁盤上存儲數據做一致性檢測，保證每個恢復點數據正確有效。1）CDP 存儲有 3 個磁盤，每個 IO 寫入并形成 id 標識的 RP 點，3 個磁盤上的 id 相同的RP 點則認為屬于同個一致性 RP；2）id 為 3 的 RP 點在 3 個 vdisk 上都存在，因此 RP3 是一個有效的一致性 RP，可以展現在頁面上，用于恢復虛擬機；3）id 為 6 的 RP 在 vdisk2 中缺失了，因此 RP6 不是一個有效的一致性 RP，不能展現在頁面上，不能用于恢復虛擬機。30 7.3.7.3.異

62、地容災方案 異地容災方案 深信服超融合提供完善的異地容災方案，幫助用戶應對機房級別故障，提供不依賴于第三方軟件的完整容災建設方案,減少方案復雜程度，讓整個方案更簡單穩定。主備容災解決方案主要應用于同城或異地的容災需求，生產中心和災備中心采用主備模式，當生產中心發生電路故障或火災等災難時，災備中心能快速恢復業務，最大化保護業務系統的連續運行。超融合異地容災方案是在兩個超融合集群中實現虛擬機數據異步復制，超融合計算虛擬化平臺內置容災網關 aDR 實現虛擬機數據的備份和異步傳輸；容災網關 aDR 調用 CDP 備份接口，對受容災保護虛擬機進行本地數據備份，并在生產中心和容災中心兩個容災網關之間進行遠

63、程數據傳輸，實現數據的異步復制。容災網關支持對數據的加密、壓縮、動態流控、一致性校驗及斷點續傳，保障數據的安全性、可靠性和完整性。超融合云管理平臺實現對生產中心集群和容災中心集群的統一管理，提供容災策略管理，容災計劃、容災狀態大屏監控以及容災演練功能，實現故障 RPO 秒級恢復。31 7.4.7.4.延伸集群方案 延伸集群方案 深信服超融合平臺提供延伸集群存儲雙活方案，實現 RPO=0，RT0 秒級的機房故障恢復，當一個機房故障時，延伸集群中運行的業務可以無縫使用另一個機房的數據副本；實現跨站點的業務虛擬機高可用，虛擬機可在不同站點之間熱遷移或 HA 切換。4.2 數據多副本保護機制章節中介紹

64、到業務數據會以多副本形式寫入存儲卷，在超融合平臺組建延伸集群后，運行在延伸集群中的業務數據多副本將同步雙寫到兩個數據中心中，并在收到兩個數據中心寫完成確認后，認為一個寫 IO 完成，才能進行下一個 IO 的寫入，保障數據副本的一致性；業務正常運行時，優先訪問本地數據副本，當本地數據副本無法訪問時，切換為訪問異地數據中心；因此，當一個數據中心故障后，可在另一個數據中心HA 拉起延伸集群內故障的虛擬機，并訪問數據副本 2，最大化保護業務系統的連續運行。當用戶運行 Oracle RAC 數據庫集群或其他分布式集群業務時，可以實現不同站點之間的故障自動切換，實現業務雙活；承載雙活業務的虛擬機必須互斥地

65、運行在不同的故障域，超融合平臺支持指定虛擬機的運行位置，假設客戶使用虛擬機 A、B 承載雙活業務，在創建虛擬機時，將虛擬機 A 配置成必須在主機房運行，將虛擬機 B 配置成必須在備機房運行，即可保證虛擬機運行位置互斥。例如 Oracle RAC 場景下，兩個 RAC 節點都設置為必須運行在某個機房，并且互斥，那么當某個機房故障后，仍有一個節點在運行。延伸集群通過仲裁副本進行數據一致性檢驗，詳情請見4.3 數據仲裁保護。32 中國廣東省深圳市南山區學苑大道 1001 號南山智園 A1 棟 Block A1,Nanshan iPark,No.1001 Xueyuan Road,Nanshan District,Shenzhen,Guangdong Province,P.R.China(518055)售前咨詢熱線：400-860-6868 售后服務熱線：400-630-6430 郵箱：