多副本和Raid根本扛不了快照備份容災的活兒!
本文目錄:
- 數據損毀的幾種類型
- 數據恢復的幾種方式
- 多副本和Raid頂不了快照備份容災
最近,關于騰訊云用戶前沿數控公司數據受損一事讓數據安全再次成為大家關注的焦點。騰訊云也終于發布了事情原委,詳見:關于客戶“前沿數控”數據完整性受損的技術復盤。
總結起來三句話:管理員在遷移數據時違反規程關閉了校驗(比如大家熟知的md5和sha1),數據傳遞到新空間之后,沒等24小時就把原有副本刪除了。結果發現遷移過來的數據出現了問題。這個過程具體的細節冬瓜哥就不再追了。
本文冬瓜哥嘗試全方位的論述一下數據安全,云上的用戶到底該怎么做才能保證自己的數據安全。
1.數據損毀的幾種類型
1.1 介質物理損壞。比如磁盤扇區磁疇分布出了問題,介質出現各種不穩定問題,直接讀不出來了。這種即便是找開盤恢復數據的公司,就算再牛逼,比如這家,也無能為力了。據說FBI有種技術,可以通過磁力顯微鏡,通過磁疇的分布狀況,經過各種復雜分析,探測出該區域之前的數據,而且還不是100%。
1.2 盤內部物理部件損壞。比如機械硬盤的磁頭定位出了問題,音圈無法校準,電機出現機械故障,轉速不穩或者不轉,各種傳感器出了問題,等等。固態硬盤PCB上的電容出了問題,供電部分出了問題,等等。這種損毀,是可以通過開盤修復數據的,數據恢復公司可以承接這類業務。
1.3 硬盤內部軟件崩潰或bug。比如硬盤固件崩潰,啟動參數錯誤導致固件無法啟動。或者固件bug、硬件bug導致數據邏輯上的靜默損毀。
1.4 數據上層邏輯層面的損毀。最典型的比如誤刪了數據,中了病毒等。誤刪數據和中病毒純屬人為導致,與系統無關。
1.5 數據底層邏輯層面的損壞。出現不可修復亂碼,文件系統丟失或者文件錯亂,卷丟失或者容量錯亂,等。這些就屬于底層系統問題。冬瓜哥的兩篇文章大家可以擴展閱讀:原子寫,靜默損毀。
2.數據的恢復方法
數據丟了就得恢復,如果你沒有快照和備份的話,就只能用下面方式嘗試恢復數據。
2.1 軟件修復邏輯錯誤。一些誤刪除的數據,只要對應文件所在的區域還沒有被分配給其他文件并寫入新數據,一些數據恢復軟件可以通過掃描文件系統元數據的方式來將文件恢復出來。一些更專業的恢復工具(一般都是數據恢復公司自己開發的)可以識別更精細深度的數據,做更智能的分析,從而將數據恢復出來,還有可能提供多個不同的恢復出來的副本供用戶選擇那個正確率最高的。
2.2 開盤修復物理損毀。發生盤內固件等損毀時,整個硬盤已經無法正常工作,此時一般需要返廠,或者找專業數據恢復公司,通過特殊接口恢復固件,或者直接做開盤修復,繞過原生固件,直接控制。
2.3 各種Raid。Raid可以防止單盤數據的部分或者整體的數據物理損壞以及由于系統層導致的邏輯損壞,比如某個硬盤寫入時發生靜默損毀,但是Raid組中其他盤上的數據依然是完好的,此時,讀出數據時發現校驗有誤,就可以從Raid條帶中其他數據塊讀出數據恢復出目標數據。但是Raid無法防止上層的邏輯損壞,比如誤刪、中病毒等,因為這種數據是在源頭就被損毀了,已經被損毀的數據寫入到Raid系統之后,后者對這種層面的損毀無法感知。
2.4 多副本(Raid1)。多副本是大型互聯網廠商慣用的架構,由于普遍采用分布式系統,跨網絡做校驗型Raid的話不適合隨即寫入場景,只適合大塊順序寫入,而且寫一次讀多次場景比如網盤之類。而更多場景只能采用跨網絡的非校驗型Raid,那就是Raid1了,或者說多副本,存三份,一主兩副。多副本的本質還是Raid,所以無法防止上層邏輯層面的損毀,也就是說,無法防止源頭上的數據損毀。
所以,多副本和Raid基本上只能防止硬盤級的物理故障,和底層邏輯層面故障。顯然,只靠這兩個操作,數據仍然是不安全的。
3.多副本和Raid頂不了快照備份容災
數據邏輯層損毀,這是被很多用戶完全忽略掉的。很不幸,多數用戶依然認為Raid和多副本,數據安心無憂。那么到底如何防止數據源頭上的損毀?無法防止,這種損毀永遠都是存在的,比如中了勒索病毒,黑客入侵,騰訊云的這次人為操作失誤,不過騰訊云這次也的確加強了這方面管理。雖然無法做到事前防止,但是可以做到事后恢復。有2個技術可以做到:快照、備份。
3.1 快照的重要性。快照相當于對用戶的數據拍了一張歷史照片,用戶可以做多個不同時間點的快照,將那些數據沒有損壞的時刻的數據映像保存下來。快照有個特點就是它的尺寸會隨著數據更改的量而增加,如果數據不更改,則快照占用的空間只是那些記錄表等元數據空間,可忽略不計。所以,只要數據沒有在底層發生邏輯或者物理損壞,那么歷史快照就可以被用于快速恢復或者回滾。
3.2 備份的重要性。快照可以用于快速回滾數據,但是快照本身并不是備份。快照本質上是:指針表+增量數據塊。它保存的只是增量數據塊,而如果基礎數據塊有任何邏輯或者物理錯誤,快照就會一損俱損。此時,必須將數據完完整整的復制出一份或者多份保存,與生產數據完全脫離。但是備份和恢復數據時,由于存在完整拷貝,需要更長時間,架構也更復雜,比如塊級備份、CDP、文件極、數據庫級等等。
3.3 容災的重要性。數據備份一般與生產數據放在同一個數據中心,在發生大型災難時,整個數據中心可能被損毀。所以需要容災,而容災一般是實時的,生產系統的寫I/O數據會被實時的復制到遠端的數據中心。目前有些做備份容災一體機的廠商,都支持云-本地、多云容災。
4.云用戶的數據保障
綜合而言,數據安全等級如下圖所示。
對于云用戶而言,多副本、快照、備份,最好都用,起碼做到快照不要停,這是你唯一的速效后悔藥。值得一提的是,這次丟數據的騰訊云反而針對每塊云盤提供了7個免費快照額度,而其他廠商都是收費的,價格從一毛五到三毛五每GB/月不等。
根據上表顯示,快照業務收費微軟的Azure和亞馬遜AWS基本相當,而國內阿里云的一毛四分八厘每GB每月有點滑稽,為何不干脆一毛五算了。而騰訊云則是不限容量,直接為每個云盤提供免費快照,但是上限為7個,一般來講還是可以滿足日常回滾需求的。騰訊云和阿里云的自動快照時間粒度精確到小時,也就是說RPO額定為1小時。而微軟僅支持手動快照,AWS的額定RPO要長一些,為12小時,處于劣勢。
如果碰到不可修復或者人為損壞,除了從云廠商日常運維規程方面入手解決之外,用戶自身也決不能100%依靠云,必須同時購買云廠商提供的備份服務,或者自己部署云-本地備份系統,自己留一份,雖然不是最新的數據,但是關鍵時刻好死不如賴活著。借用最近p2p暴雷的段子:雞蛋不能放到一個籃子里,但是如果所有籃子都在一輛車上,整個車翻了,無人幸免。前沿數控公司如果當時購買了備份服務的話,或者起碼定期把數據從云端備份到本地的話,也不至于像現在這樣的結果。
