灾难恢复：RPO与RTO

许多企事业单位虽然已经认识到信息安全的重要性，却迟迟没有行动。其中的原因是多方面的，最主要的一个原因就是在如何建立容灾系统的问题上存在种种疑惑。容灾设计指标主要与容灾系统的数据恢复能力有关，最常见的设计指标有RTO 和RPO。RPO是指能把数据恢复到过去的那一个时间点，RTO 是指在出现问题后“什么时候”可以恢复数据。
　　RPO可简单地描述为企业能容忍的最大数据丢失量。为了更好地理解，可以想一下传统数据备份方式，一般备份都是一天做一次，通常是在晚上。如果第二天出现错误，那从备份完成后到错误出现时所写入的数据都无法挽回了，这期间没有备份，数据就丢失了！如果错误出现在一天结束时，那一天的数据都丢失了，这种情况下，RPO就是24小时。

　　为了改进RPO，数据保护必须更频繁地进行。大多数情况下，增加备份的频率是不现实的。原因有：1.应用的高峰时段无法进行备份操作；2.备份数据所花时间太长。为了改进RPO，需要有新的方法，这种方法就是恢复管理，用连续复制和快照技术能有效地改进RPO。

　　RTO可简单地描述为企业能容忍的恢复时间。在传统的数据保护中，备份数据是不能立即使用的，必须先恢复。对象级别的恢复功能可以有效恢复单个的目标，如一个文件或一封邮件，甚至是许多文件和邮件的集合。然而，恢复整个数据库和海量数据时仍需要时间。

　　要解决这个问题，不得不对生产数据进行复制，创建镜像快照或连续复制，或两者都做。因为复制是在线的，能立即投入使用，整个数据库或海量数据的RTO也许只有5分钟或更短。

　　然而在设计一个容灾系统时，不能过分追求RPO和RTO，因为RPO和RTO越小，投资将越大。而总体投入成本越高，投资回报率将越低。从经济角度考虑，最佳的容灾解决方案不一定是效益最好的容灾解决方案，因为容灾系统的总体投入TCO和投资回报ROI，对于许多用户来说是十分重要的设计指标。

　　数据保护一般有3个技术手段实现：持续可用、快速恢复、可以恢复。这3种方式的投资和造成数据丢失是不同的，如图1

　　由此可以看出，不同的RPO指标实现的代价和方式都不同。而这些技术手段的RTO也是不同的，如图2

　　可以看出，虽然备份的RPO指标比较差，但RTO也可以很好，因为可以采用事先恢复的方法，提高恢复响应时间。
　　采用镜像方式虽然丢失的数据比较少，但是恢复运行时间可能比较长。由于数据库的日志机制，在不同的设置下，如果镜像中断，灾备中心有可能需要比较长的修复时间。所以如果要快速恢复应用运行，一般需要和快照、备份结合。同时，由于镜像不能避免逻辑错误，所以也必须和快照结合，来提高灾备数据的可用性。

　　快照机制能够在灾备中心创建若干个恢复时间点，例如1个小时1个，保留4个等。快照丢失的数据有可能比较多，一般是1个小时，但是恢复的速度非常快。如果和应用快照结合的话，恢复数据库运行一般只要几分钟，因为修复的时间非常短，在某个时间点能够确保数据库数据完整一致。