银行业IT服务连续性体系规划与灾备自动化切换经验

一、背景介绍

相较于其它行业，金融业对信息系统的可用性和连续性有着很高的要求，基于这样的客观要求，以及银监会《商业银行数据中心监管指引》的要求，绝大部分大中型银行都已经建立两地三中心架构，甚至多地多中心架构。为了验证同城中心或者异地中心的 IT 服务连续性保障能力，需要持续开展灾备切换演练，一般情况下分为同城灾备切换演练与异地灾备切换演练。

首先，明确一下 IT 服务连续性的目标和原则，以便更好在各类管理措施与技术方案的选择上面进行抉择。

首先， IT 服务连续性的目标是为了保障业务连续性，他的目标最终是为了保障银行的业务的可用性与连续性，这是我们开展各项工作的基本原则，针对灾备切换，换句话说，不一定只有通过将所有应用系统从 A 中心切换到 B 中心才能保障业务连续性。

第二，业务分级与重要业务优先原则，在我们开展业务连续性工作、进行切换演练或者实施真实切换等阶段，如果在人力资源、系统资源、时效性、工具系统建设或者存在限制或者相互冲突的情况下，我们应该优先考虑重要信息系统，着重以最短的时间恢复重要系统的连续运行，对一般性业务进行降级或者将恢复一般性业务作为第二阶段工作。

第三，要以应对真实场景，有效保障业务系统连续性为原则，此原则看似简单，但是在实际处理过程中，具体的工作要求或者方案设计会与此原则存在一定差距。

二、存在的问题及解决方案

银行 IT 服务连续性体系是一个涉及组织结构、数据中心架构与高可用设计、应用架构规范与治理、应急管理的系统性工程，也是一项长期性工作，需要统筹设计、整体建设、持续改进，不是单纯依靠加强一个方面就能达成目标的，例如依靠灾备切换工具的能力。其主要包含以下方面的工作：

（一）数据中心的布局设计

为保障 IT 服务连续性，数据中心应如何布局，现有的数据中心布局应如何优化？首先建立异地灾备中心比同城灾备中心的成本更高，一方面是需要申请至少两条以上高带宽长途专用线路，费用较高，第二是异地中心的基础设施资源相对于同城中心来说，更难以复用，第三是建立异地模式灾备中心，在人员日常组织协调与管理方面的成本更高，因此如果按照监管要求，无需建立异地灾备的小型银行，可建立同城灾备中心。

对于按照监管要求，需要设立异地灾备中心的大中型银行，在设立异地中心的情况下，是否有必要设立同城中心。大中型银行普遍对于可用性与连续性有着更高的要求，虽然设立异地灾备中心是为了应对地理区域级别的灾难，但是由于距离的因素，因此异地灾备中心数据同步的时效性远低于同城灾备中心，对于联机交易同城数据中心数据同步时效性接近 0 ，但是异地数据同步一般为分钟级。因此大中型银行在具备异地灾备中心后，仍然有必要设立同城灾备中心，同时设立同城数据中心为了实现应用系统同城双活创造了条件，甚至直接建设或者后续演进至一个区域内的多活数据中心，类似 AWS 的一个 region 的多个 AZ ，众多分布式多活技术组件有三个以上副本的要求。

对于有能力将大量应用、甚至核心应用做到异地多活的银行，也有足够人力物力资源的情况下，可以考虑在异地也设立双活中心或者多活中心，实现异地双活或者异地多活，设置多个地域，但是达成上述要求，对于应用架构、应用治理与分布式基础设施组件的方面，提出了很高的技术能力与治理能力要求，在这方面互联网行业的一些技术创新可以作为重要的参考。对于大中型银行，是否需要在异地建设多数据中心是一个需要全面论证和权衡的问题，需要分析投入产出比，或者在可用性因素之外，有其他行内的特殊情况需要在异地设立多中心。

银行在规划异地多活数据中心时候，可能会陷入一个技术误区，就是要实现异地多活，任意中心故障情况下都能做到对业务无影响 RTO 等于 0 ，数据强一致性，同时还要保证日常数据处理系统具备足够的性能，在多活数据中心超过一定距离的情况下，类似 CAP 原理，可用性、一致性、高性能是存在矛盾的