容灾设计的首要目标是降低单点故障对业务的影响,提高整体应用可用性。常见策略包括建立多可用区(AZ)或多地域部署、采用主动-主动/主动-被动架构、以及通过负载均衡实现流量切换。
建议在香港机房内至少跨两个可用区部署应用实例,数据层采用主从或分布式存储。对关键业务可考虑跨香港与邻近区域(如新加坡、日本)做异地备援以抵御区域性故障。
对于低延迟读写业务,可采用同步复制(牺牲一点性能换取更短的RPO);对可接受短时数据丢失的场景使用异步复制以降低延迟与成本。
把计算、存储、网络等资源独立成不同故障域,避免跨域依赖。例如独立子网、独立负载均衡器与独立日志系统,保证局部故障不会级联影响。
选择部署策略应基于业务的RTO(恢复时间目标)和RPO(恢复点目标)。对于要求极高的金融或交易系统,推荐跨地域主动-主动部署;普通业务可先做多可用区主动-被动。
多地域部署带来更高的带宽与同步成本,并可能增加跨区延迟。评估业务对延迟敏感度,采用分层策略:延迟敏感层在香港本地,批处理或备份数据跨区存储。
使用低TTL的DNS、全局流量管理(GTM)或云厂商的健康检查+路由策略,在故障发生时实现自动或半自动切换。
考虑香港及目标地域的合规要求,某些数据可能需留存本地,需在容灾设计中区分敏感数据与可跨区数据。
数据是容灾的核心。应结合快照/增量备份、对象存储异地复制、数据库复制/日志归档等手段,制定分级备份策略以满足RPO要求。
关系型数据库可采用主从复制+自动故障转移或分布式数据库(例如分片+复制)。对强一致性要求高的场景使用同步复制或分布式事务解决方案。
对静态文件与大对象使用跨域复制(CRR)或生命周期管理,将冷数据迁移到成本更低的区域存储以降低费用并满足异地备份要求。
备份策略应包含定期恢复演练、备份完整性校验与备份数据加密。密钥管理要与主系统隔离并具备审计能力。
网络设计要保障高可用的流量调度、快速故障检测与平滑切换。推荐使用云厂商负载均衡器、BGP Anycast、以及多路径路由等技术。
配置多层健康检查(L4、L7),结合自动化脚本或云厂商的云路由功能在检测到异常时自动剔除故障节点并启用备用节点。
使用短TTL的DNS和全局负载均衡器,必要时采用会话复制或有状态服务的会话迁移策略(如会话持久化到共享缓存)以避免用户体验中断。
确保跨可用区/地域链路有充足带宽并建立多条独立链路(不同ISP或不同物理路径),避免链路单点故障导致全局不可达。
良好的监控与定期演练是容灾成功的关键。建立端到端监控、告警和自动化运行手册,并进行定期故障演练与容量评估。
监控应覆盖可用性、性能、错误率、队列长度等关键指标。告警需分级并与自动化故障处理/运维工单系统联动,提高响应速度。
定期开展桌面演练与实战切换演练(包括冷启动、回滚流程),验证备份可用性、切换时间和运维流程的有效性。
使用IaC(如Terraform/CloudFormation)与CI/CD流水线实现基础设施与应用的可重复部署,结合自动化Runbook在故障时执行预定义的恢复步骤,降低人为错误。