減少服務中斷風險 異地備援未必昂貴 有備無患 強化災害回復力

受限於IT技術的發展，傳統上許多關鍵性應用的備援機制都是採用高可用性架構（High Availability）來實作，這種設置兩套同等級的系統、伺服器、儲存設備、應用程式以及資料庫，中間以高速光纖同步的典型做法，通常代表著企業高昂的IT支出，而且也往往高於實際需求，使得企業被迫捨棄二級系統（重要性次於關鍵系統）的備援保護。

但現在，更多元的解決方案出現，企業能夠依照可容忍的停機時間以及可接受的資料回復狀態來規劃災難復原機制，做好更完善的資料防護。本期的專題報導，除了走訪原廠針對企業如何部署災難復原計畫提出專業建議之外，也提供一些應用案例給資訊決策者參考。

天災人禍不可抗　遠端保障系統運作
異地備援　打造永續營運基礎

▲Acronis亞太區市場總監楊志偉觀察，企業對於異地備援機制的需求，還是取決於企業營運依賴資訊系統的程度而定。

綜觀今年的國際新聞，天災人禍頻仍，全球氣溫持續暖化，劇烈氣候逐漸成為常態，地殼板塊運動也在各國造成頻繁地震。在此同時，政局動盪、種族衝突、恐怖攻擊等陰影依舊籠罩世界各地，動亂與破壞絕非僅止於戰爭地區。包括才剛重創南台灣的莫拉克颱風在內，各種突發事故的經驗都提醒著我們：防災比起救災更為要緊。

企業資訊系統中的重要資料，如果僅僅只在本地備份，恐怕還是來不及應付突如其來的天災與人禍，從過去的歷史軌跡來看，九二一大地震以及汐止東帝士火災事件已經是前車之鑑。備份在本地端的資料，極有可能同時毀於一旦。雖說後續可以人工補足，但實情往往是資料復原得參差不齊，而且關鍵系統停滯中斷，尤其重度仰賴電子化營運的企業，損失更為慘重。

這幾年，接二連三的事件更顯出企業提早防災的重要性。如果還是抱持著被動的心態以為災害不會發生在自己身上，那麼日前八八風災所帶來的教訓應該更可以做為警惕。企業應該更主動積極地加強相關系統的防護機制，而且不應只是聚焦在備份與還原，完善的防災機制還需要考量整體架構的健全與穩定性、人員的任務派遣與編制以及不定時的防災演練。

呂文中指出，企業正極力在數位資料中，尋求拓展業績及提昇競爭優勢的可能性，商業資料（如客戶、訂單等）成為當今企業最重視的資料，從第一線單位到決策單位均已部署了同步機制，因此，同步資訊傳達並非難題。但若臨時面對斷電、當機、斷線等不被預期的人為或自然災害，異地備援機制還是有存在的必要性。

異地備援的最大目的是在企業遇到災害時，能夠建立一套程序，將中斷的服務快速地在異地端恢復提供運作，是災難復原計畫的重要環節。Acronis亞太區市場總監楊志偉觀察，企業對於異地備援機制的需求，還是取決於企業營運依賴資訊系統的程度而定。

「假設企業提供電子商務服務，那麼顯而易見地，IT對於企業而言就相當重要。因為電子商務具有7×24小時營運不中斷的特性，一旦災難發生時，企業必須能夠讓接替的服務迅速啟動，這個時候異地備援機制就是最基本的需求。」楊志偉指出，如果企業主認為災難發生時不需即時運作，連郵件系統也不急迫，那麼自然沒有建置備援方案的必要性，因為該企業並不依賴IT運作。 愈仰賴電子化　愈要有容災能力

▲普樺技術支援部proNAS資深產品暨行銷工程師呂文中指出，企業極力尋求拓展業績並且提升競爭優勢，當企業重要的商務營運都仰賴資訊化時，因應災難復原而生的異地備援機制也就更為重要。

這些發展都使得商業資料更朝向電子化演進，企業極力尋求拓展業績並且提昇競爭優勢的背後，正是由IT架構支持著電子化的運行，當企業重要的商務營運都仰賴資訊化時，因應災難復原而生的異地備援機制也就更為重要。

呂文中指出，企業正極力在數位資料中，尋求拓展業績及提昇競爭優勢的可能性，商業資料（如客戶、訂單等）成為當今企業最重視的資料，從第一線單位到決策單位均已部署了同步機制，因此，同步資訊傳達並非難題。但若臨時面對斷電、當機、斷線等不被預期的人為或自然災害，異地備援機制還是有存在的必要性。

異地備援的最大目的是在企業遇到災害時，能夠建立一套程序，將中斷的服務快速地在異地端恢復提供運作，是災難復原計畫的重要環節。Acronis亞太區市場總監楊志偉觀察，企業對於異地備援機制的需求，還是取決於企業營運依賴資訊系統的程度而定。

「假設企業提供電子商務服務，那麼顯而易見地，IT對於企業而言就相當重要。因為電子商務具有7×24小時營運不中斷的特性，一旦災難發生時，企業必須能夠讓接替的服務迅速啟動，這個時候異地備援機制就是最基本的需求。」楊志偉指出，如果企業主認為災難發生時不需即時運作，連郵件系統也不急迫，那麼自然沒有建置備援方案的必要性，因為該企業並不依賴IT運作。

延續業務運作　做好資料防護

災難復原不只是大企業應該重視，中小型企業主也不應忽略。因為備援機制的完善與否正決定了企業的容災能力。賽門鐵克技術顧問鍾文博表示，異地備援能延續企業業務運行，並且延伸資料防護的完整性。

「原先在主機房運作的系統與服務，今日可以利用容災的方式，在災難發生時順利的在災備機房重啟爐灶，重新提供服務。這種作法考驗著IT的能力，IT究竟能夠提供何種服務等級給前端的業務以及使用者，而檢視服務等級指標的便是RPO（Recovery Point Objective）以及RTO（Recovery Time Objective）。」

鍾文博解釋，RPO指的是資料可以回復到特定時間點，也就代表了系統可以容忍多久的資料遺失量。假設IT人員在星期四的晚上9點剛做完每天的系統備份，很不幸地在星期五下午3點，有個突發的意外導致系統不能運作，那麼資料就只能回復到星期四晚上9點時所保留的資料。而在星期四的下班時段後到星期五下午3點間，資料很有可能遺失，企業能不能容忍系統服務遺失這段時間的資料，便是考量RPO的關鍵。

而RTO則是指服務可以允許多久的停機時間來完成回復。企業若是不仰賴IT，當然可以選擇慢慢把資料復原，花個二、三天重建都不會受到影響，但是像金融業每秒都是以百萬計的交易量的系統，停機一秒鐘都是極大的損失。假設企業可接受的停機時間是在半小時以內的話，就表示服務必須在半小時之內便重新啟動。

除了延續企業核心業務運作之外，異地備援也能延伸資料防護的完整性，從本地端延伸到異地端。「就技術而言，談到異地備援，就直接聯想到透過軟體或硬體的方式，複製一份到異地機房，而能讓服務在異地機房重起爐灶，當遇到重大災難，需要做到Site Failover時，透過人工化或自動的方式，切換到異地端，在最短的時間之內把服務帶起來。」

「RPO與RTO的評估意謂著企業需要投入的預算以及提供給使用者的服務等級。如果RPO與RTO的數值是０，就表示企業不能容忍任何時刻的停頓以及資料遺失，那麼持續不中斷的備援機制的成本投入就會較為高昂。」鍾文博說。

重新審視備援機制

也因為如此，傳統上企業會優先將備援的概念施行在關鍵應用服務。例如銀行的交易系統的異地備援多半就採行高可用性架構（High Availability）來實作備援機制，典型的做法是部署兩套同等級的系統、伺服器、儲存設備、應用程式以及資料庫，中間以高速光纖同步傳輸。由於早先可選擇的解決方案多數是以HA架構為主，即使企業不需要達到連續不中斷的保護也只能有單一的解決方案，昂貴的IT支出使得企業被迫捨棄二級系統的備援保護。

然而二級系統的重要性在今日的依賴程度早已不同於往日。Novell台灣區總經理陳學智表示，根據Novell內部統計，企業內部有70%的工作負載都屬於二級系統，例如SQL Server、Web Server、Mail Server等等，這其中有90%都是沒有備援機制的，僅有少部分做到資料備份。

「因為二級系統所提供的服務並不是處於連中斷幾分鐘都不能接受的狀態，往往很容易被忽略。但是二級系統的重要性卻是與日俱增。」陳學智舉例說明，以Web應用來說，上市公司的網頁或網站掛了，等上一段時間恢復都還能夠忍受，但是若是壞了一整天，消費者就會覺得這家公司是不是有問題，同理電子郵件系統也是如此。

電子郵件在多數的公司內部並沒有關鍵到五分鐘不收郵件不行的地步，但是二個小時不能收郵件，就會有主管關切的電話，半天不能收郵件，直覺IT的能力不足，要是一天不能收郵件，對工作就造成了一定程度上的影響，由於大多數企業對外的聯繫都是透過郵件，建議書、文件、標案，這些往返的聯繫只要一天不能使用郵件就會出現很大的問題，但話說回來這些系統都算是非關鍵應用的系統。

「如果是以前的解決方案，把二級系統都納入異地備援考量的話，成本負擔壓力實在太大，但是受惠於虛擬化的發展，現在可以更精簡的方式來彈性運用，利用VM同時切割多種應用服務備援，必要時就能夠直接取代主系統運作。」陳學智指出，隨著IT技術不斷提升，企業可以在有限的預算內做到最多的系統備援機制，讓企業容災的能力大幅增加。

做好企業風險管理

企業執行災難復原的最大目的便是在於風險管理。風險管理的作法很多，因應企業的需求、預算以及各種不同的架構，可以搭配出不同的解決方案。然而不管如何，最底層的備份是企業容災機制的最基本要求，做好備份機制就能把資料在需要還原時用最正確快速的方式來還原。例如在本地端多備一份資料，用人工的方式把磁帶送到異地端，然後在異地端做資料還原，這也是一種方式，主要還是與RTO與RPO值有絕對相關。

災難的發生並不只限於天災，資料傳輸的任何一個細節中，軟體、硬體、網路、甚至於是整個機房架構，都可能是問題的發生點，真正完整的容災機制必須把所有的環節都考量進去，當考慮得愈完整，能達到的RTO與RPO值就愈短。IT人員能夠承諾給使用者單位的服務，不管是停機時間、資料還原時間，都能以最快的速度恢復。

接下來的幾篇文章中，除了邀請專家針對異地備援導入的考量因素提供諸多提醒之外，也推薦了幾種不同的解決方案，作為導入時的參考。