iThome
身兼「球員」與「裁判」的優勢,讓身為公有雲平臺服務商龍頭的AWS與微軟Azure,在技術、普及度等許多領域往往能後來居上,雲端災難復原服務(DRaaS)也不例外。
在DRaaS領域,AWS與微軟Azure都算是後進者,微軟Azure雖然在2015年便已投入,但也只算是第2波廠商,至於2019年才正式參與這個領域的AWS,則是第3、4波的廠商。儘管如此,憑藉平臺整合與業務能力上的優勢,這2大平臺的DRaaS服務,都已成為這個領域不可忽視的要角,可說是當前用戶最容易接觸到的DRaaS服務,也是我們理解相關應用理想的入門磚。
AWS的雲端災難復原服務
比其他廠商,AWS投入DRaaS領域的時間相對較晚,2019年才藉由併購源自以色列的DRaaS先驅廠商CloudEndure,推出了自身的AWS CloudEndure Disaster Recovery(CEDR)服務。
CEDR是基於代理程式(Agent)的DRaaS服務,適用於實體主機、虛擬化主機,以及雲端服務環境的備援應用,利用安裝在被保護主機上的代理程式,提供用戶端到AWS虛擬私有雲(Virtual Private Cloud)的遠端複製與復原服務。
時隔一年半之後,AWS又在CEDR基礎上,於2021年底推出新的AWS Elastic Disaster Recovery(DRS)服務。自2024年3月31日起,除了中國、美國GovCloud、AMS與Outposts用戶外,其餘CEDR服務都將停止,由DRS取代。
相比於CEDR,DRS的特色是與AWS平臺更緊密的整合。CEDR由於併購自CloudEndure,並未與AWS環境完全整合,用戶必須透過市集與獨立的授權合約來訂閱,並透過獨立的控制臺來管理,管理權限設定,以及復原環境的程序也是透過獨立的腳本來設定。
而DRS則與AWS的管理架構完全整合,透過標準AWS帳單與授權合約計費,並使用AWS主控臺來管理,相容於AWS的CloudWatch、EventBridge、CloudTrail等監控工具,權限管理也是套用標準AWS使用者管理機制(IAM),復原環境啟動也可透過AWS Services Manager設定。
適用來源端類型
AWS DRS服務適用的受保護來源端,可支援常見的作業系統與環境,包括實體主機、VMware vSphere與微軟Hyper-V虛擬化環境,還有AWS EC2與其他雲端虛擬主機等,還支援安裝在Windows與Linux平臺上的應用程式與資料庫。
資料的遠端複製
AWS DRS是透過安裝在被保護主機上的代理程式,監控被保護主機的資料狀態,並驅動區塊層級的遠端複製作業,並執行資料傳送前的壓縮與加密工作。
上一代的CEDR服務,在遠端複製的傳輸方式上,只有經由公用網路的選項,至於新的DRS服務,額外提供經由AWS PrivateLink與AWS Direct Connect等專屬傳輸網路選項,安全性更高。
安全性與法規遵循
用戶傳送到DRS環境的資料,是由AWS負責保護,來源端的資料傳輸經由TLS 1.2協定進行傳輸中加密,用戶端的存取權限則透過AWS使用者管理機制(IAM)來控制。
DRS服務取得的安全架構與法規的認證,包含GDPR、HIPAA、ISO、PCI與SOC等,在部分美國服務區域,也通過美國政府的FedRAMP Medium認證。
RPO、RTO等級與復原演練
DRS服務的還原點目標(RPO)號稱是數秒鐘等級,代理程式會持續監控來源端主機的區塊變化,並在新區塊寫入時,立即將異動區塊複製傳輸到DRS服務,藉此可將來源端失效時,將用戶損失的資料量縮小到數秒的範圍。
除了從來源端主機即時複製的最新資料狀態,DRS也能透過快照保存來源端過去狀態的還原點,以便用戶將來源端主機還原到指定時間點狀態,對於最近1小時,可以每隔10分鐘保存1個還原點,過去24小時是每隔1小時保存1個還原點,過去7天則是每天保存1個還原點,最長可保存365天的還原點。
DRS的還原時間點目標(RTO)則是數分鐘等級,典型範圍是5到20分鐘,也就是復原環境最快可在5到20分鐘內啟動上線,接替用戶端主機服務。
在進行復原時,DRS會將來源端伺服器的開機磁碟,轉為EC2格式,然後在AWS環境中開機,載入必要程式並變更路徑後,接替失效的來源端主機。
在復原測試演練上,DRS比起上一代的CEDR也有顯著的改進。例如,在CEDR中,若要進行復原測試,必須中斷來源端的遠端複製,而影響復原架構的運作。而DRS可在完全不影響來源端的情況下,進行復原演練,無須中斷來源端的資料複製作業。
計價方式
DRS的基本費用,是每臺來源端伺服器每小時資料複製費用0.028美元,對來源端伺服器數量沒有最低門檻要求。另外用戶還須為DRS服務使用的EBS儲存空間與EC2執行個體付費。
對於每臺來源端伺服器上的每臺磁碟,DRS會建立等量的EBS儲存空間,作為複製用的臨時磁碟,同時還會建立EBS快照以構成不同時間的還原點,用戶必須這些EBS空間依等級與容量付費。
DRS還會使用EC2執行個體作為複製伺服器(Replication Server)來處理複製工作,一臺複製伺服器可處理多臺來源端伺服器的複製作業(AWS計算範例中,是以17臺複製伺服器來處理200臺來源端伺服器的遠端複製),用戶也必須依照複製伺服器所使用的EC2等級與數量付費。
微軟Azure的雲端災難復原服務
在主要公有雲服務商中,微軟是最早投入DRaaS領域的一家,在2015年便推出Azure Site Recovery(ASR)服務,可為用戶本地端環境到Azure雲端服務區域,以及Azure雲端服務區域到另一區域,提供資料遠端複製與復原服務。相較於其他DRaaS,ASR一大特色是可透過REST API、PowerShell或Azure SDK,建立自動化的復原程序。
適用來源端類型
ASR支援Windows與Linux實體主機、VMware與Hyper-V的虛擬主機、Azure VM與AWS Windows執行個體,以及這些主機上常見的應用程式工作負載。
資料的遠端複製與安全性
基本上,ASR是透過在來源端安裝ASR代理程式,來驅動遠端複製作業。
ASR亦提供基於TLS 1.2的傳輸加密,並預設啟用靜態加密來保護用戶資料,也結合Azure平臺的存取權限管理功能。
在安全性認證方面,ASR擁有ISO 27001:2013、27018、HIPAA、DPA等,並正在進行SOC2與FedRAMP JAB認證的評估。
RPO、RTO等級與復原演練
對於Hyper-V虛擬機器,ASR提供30秒或5分鐘的複製間隔,所以RPO是30秒或5分鐘。至於其他類型工作負載,ASR採用連續執行的遠端複製,因而RPO理論上可以縮短到最短數秒的等級。
ASR也能透過快照,來為來源端主機建立不同時間的還原點,在最近2小時內是每5分鐘保存1個還原點,超過2小時則是每小時保存1個還原點,最長可保存15天以內的還原點。
至於RTO,ASR在SLA協定中設定的時間是2小時,但微軟聲稱多數情況下都可在數分鐘內恢復。
計價方式
ASR的費用包括基本費用與附加費用兩部分,基本費用是每個受保護主機或執行個體的基本授權費,目前微軟提供前31天免費的優惠。至於附加費用,則包括在Azure環境中保存來源端主機資料複本、還原點,以及執行復原演練或實際還原時,所涉及的儲存空間費用,還有對外資料傳輸的輸出費用。
平臺服務整合的優勢
單就DRaaS服務本身的核心功能來說,與其他服務商相比,AWS DRS和微軟ASR並無特出之處(甚至還缺少一些第3方廠商提供的傳輸資料縮減功能),但最大優勢在於與自家服務平臺整合,用戶可透過AWS或Azure的通用控制臺與管理政策,就能同時管理DRS與ASR服務,省去額外第3方管理工具的麻煩。
AWS與Azure的DRaaS服務
AWS與Azure這兩大公有雲平臺,都擁有雲端災難復原服務(DRaaS),可支援常見的用戶端主機與工作負載,透過連續、非同步的遠端複製,將資料傳輸到雲端環境作為備援。
熱門新聞
2024-11-18
2024-11-20
2024-11-12
2024-11-15
2024-11-15
2024-11-19