​

为什么需要两地三中心

随着互联网的不断发展，各行各业不断加紧开展线上业务，越来越多的用户核心业务都要求二十四小时不断网，持续运行，这样才能保障前端用户的体验，让前端用户享受互联网带来的便利，也是数字经济时代给人们带来的便利。但在这个便利背后，是需要企业用户们提前部署很多，才能换来核心业务 7*24 小时不断网，不断电持续运行。

但传统的高可用架构无法防止大范围的故障、自然灾害等，一旦出现整个机房、或者区域断网断电，就会无法提供服务，造成不可估量的损失。

"两地三中心"解决方案被提出，用于解决以上场景。

构建两地三中心需要考虑什么

在构建两地三中心的容灾系统时，一般考虑以下几个维度：

• 灾难承受程度（容灾半径）：明确计算机系统需要承受的灾难类型，系统故障、通信故障、长时间断电、火灾及地震等各种意外情况所采取的备份、保护方案不尽相同。

• 业务影响程度（RTO）：必须明确当计算机系统发生意外无法工作时，导致业务停顿所造成的损失程度，也就是定义用户对于计算机系统发生故障的最大容忍时间。这是设计备份方案的重要技术指标。

• 数据保护程度（RPO）：是否要求数据库恢复所有提交的交易 ， 并且要求实时同步 ，保证数据的连续性和一致性， 这是备份方案复杂程度的重要依据。

• 容灾系统投入（ROI）：用以衡量用户投入到容灾系统的资金与从中所获得的收益的比率。

显然，具有零 RTO 、零 RPO 和大容灾半径的灾难恢复方案是用户最期望的，但相应的成本就会很高，实际上很少有用户会选择这种极端的方案。所以，用户在选择容灾方案时应该综合考虑灾难的发生概率、灾难对数据的破坏力、数据所支撑业务的重要性、适用的技术措施及自身所能承受的成本等多种因素，理性地作出选择。

容灾级别

按照容灾系统对整个系统的保护程度，由低到高可以分为：

• 数据级容灾：将生产中心的数据复制到容灾中心，在生产中心出现故障时，容灾中心可以保留完整的数据。容灾中心的数据可以是生产中心数据的完全复制（ 同城容灾中心），也可以比生产中心的数据略微落后，但必定是可用的（异地容灾中心）。而差异的数据可以通过一些工具手工补回。数据级容灾，坏处是业务恢复的速度较慢 ，RTO 可能会超过 24 小时，好处是这种级别的容灾系统运行维护成本较低。

• 应用级容灾：在数据级容灾的基础上，进一步实现应用可用性，确保业务的快速恢复。要求容灾系统的应用不能改变原有业务处理逻辑，是对生产中心系统的基本复制 。因此，容灾中心需要建立起一套和生产中心一致的备份环境，包括主机、网络、应用、 IP 等资源均有配套，当生产中心发生灾难时，同城容灾中心可以提供完全可用的生产环境。 应用级容灾的 RTO 通常在 12 个小时以内，技术复杂度较高，运行维护的成本也比较高。

• 业务级容灾：生产中心与容灾中心对业务请求同时进行处理的容灾方式，能够确保业务持续可用。这种方式业务恢复过程的自动化程度高，RTO 可以做到 30 分钟以内。但是这种容灾级别的项目实施难度大，需要从应用层对系统进行改造，比较适合流程固定的简单业务系统 。 并且此级别容灾系统的运行维护成本最高。

KingbaseES 集群的两地三中心部署架构

金仓 KingbaseES 集群支持的两地三中心容灾系统属于数据级的容灾，提供数据库软件的两地三中心解决方案，易用、易维护、可靠性高。该方案可以较快地响应小范围的故障和较大范围的自然灾害，保全业务数据，保障业务的连续性。并且用户可以在金仓 KingbaseES 的两地三中心方案上对应用和业务进行改造，构造应用级或业务级容灾系统。

定义

两地三中心：一种业务连续性容灾方案。三数据中心并存的特性，能在任意两个数据中心受损的情况下保障核心业务的连续，大大提高容灾方案的可用性。

生产中心：对外提供服务。

同城灾备中心：通常在离生产中心几十公里的距离建立同城灾备中心，应用可在不丢失数据的情况下切换到同城灾备中心运行，是两地三中心容灾方案的第一级容灾保护。

异地灾备中心：通常在离生产中心几百或者上千公里的地方建立异地灾备中心，应对区域性重大灾难，实现异步复制灾备，是两地三中心容灾方案的第二级容灾保护。

SYNC：节点间同/异步关系，SYNC 表示同步模式，数据会实时地同步传输到 SYNC 指向的节点。

ASYNC：节点间同/异步关系，ASYNC 表示异步模式，数据会非实时地同步传输到 ASYNC 指向的节点，数据可能有一定的滞后性。

RTO（Recovery Time Objective）：从灾难发生到整个系统恢复正常所需要的最大时长。

RPO（Recovery Point Objective）：最多可能丢失数据的时长。

备份：指最新数据的物理备份，默认 7 天 1 次全量备份，1 小时 1 次增量备份。

KingbaseES 数据库的两地三中心架构：

能力

当前，金仓 KingbaseES"两地三中心"提供如下功能：

• 数据同步，在多个副本之间进行数据同步，并基于同城短距离和异地远距离的不同场景提供最优的数据同步方案。

• 热备，备库可读，分担业务压力，识别读写事务并进行分发，降低单个数据副本的业务压力，提高整套系统的处理能力。

• 故障切换与故障恢复能力，保证 7*24 小时提供数据服务，各种软硬件故障下能够提供安全可靠的数据服务，最大程度提供数据可靠性和服务持续性。

• 独立备份，生产数据最后的保障，即使整套业务、数据库系统都无法恢复，还有最后的独立备份数据作为最终数据安全保障手段。

方案优势

相比跨同城容灾和跨地域异地容灾的方案，两地三中心容灾方案结合两者的优势，可以同时应对中心级别故障和地域级别灾难。

• 对于中心级别故障，容灾切换时保证数据库数据一致性。

• 对于地域级别灾难，该方案可将业务恢复至最近一次备份时间点和异地灾备数据二者取最小值，尽可能保全业务数据不丢失。

​