【提供與服務平臺完全整合的應用架構與復原管理】兩大公有雲平臺的災難復原服務

身兼「球員」與「裁判」的優勢，讓身為公有雲平臺服務商龍頭的AWS與微軟Azure，在技術、普及度等許多領域往往能後來居上，雲端災難復原服務（DRaaS）也不例外。

在DRaaS領域，AWS與微軟Azure都算是後進者，微軟Azure雖然在2015年便已投入，但也只算是第2波廠商，至於2019年才正式參與這個領域的AWS，則是第3、4波的廠商。儘管如此，憑藉平臺整合與業務能力上的優勢，這2大平臺的DRaaS服務，都已成為這個領域不可忽視的要角，可說是當前用戶最容易接觸到的DRaaS服務，也是我們理解相關應用理想的入門磚。

AWS的雲端災難復原服務

比其他廠商，AWS投入DRaaS領域的時間相對較晚，2019年才藉由併購源自以色列的DRaaS先驅廠商CloudEndure，推出了自身的AWS CloudEndure Disaster Recovery（CEDR）服務。

CEDR是基於代理程式（Agent）的DRaaS服務，適用於實體主機、虛擬化主機，以及雲端服務環境的備援應用，利用安裝在被保護主機上的代理程式，提供用戶端到AWS虛擬私有雲（Virtual Private Cloud）的遠端複製與復原服務。

時隔一年半之後，AWS又在CEDR基礎上，於2021年底推出新的AWS Elastic Disaster Recovery（DRS）服務。自2024年3月31日起，除了中國、美國GovCloud、AMS與Outposts用戶外，其餘CEDR服務都將停止，由DRS取代。

相比於CEDR，DRS的特色是與AWS平臺更緊密的整合。CEDR由於併購自CloudEndure，並未與AWS環境完全整合，用戶必須透過市集與獨立的授權合約來訂閱，並透過獨立的控制臺來管理，管理權限設定，以及復原環境的程序也是透過獨立的腳本來設定。

而DRS則與AWS的管理架構完全整合，透過標準AWS帳單與授權合約計費，並使用AWS主控臺來管理，相容於AWS的CloudWatch、EventBridge、CloudTrail等監控工具，權限管理也是套用標準AWS使用者管理機制（IAM），復原環境啟動也可透過AWS Services Manager設定。

適用來源端類型

AWS DRS服務適用的受保護來源端，可支援常見的作業系統與環境，包括實體主機、VMware vSphere與微軟Hyper-V虛擬化環境，還有AWS EC2與其他雲端虛擬主機等，還支援安裝在Windows與Linux平臺上的應用程式與資料庫。

資料的遠端複製

AWS DRS是透過安裝在被保護主機上的代理程式，監控被保護主機的資料狀態，並驅動區塊層級的遠端複製作業，並執行資料傳送前的壓縮與加密工作。

上一代的CEDR服務，在遠端複製的傳輸方式上，只有經由公用網路的選項，至於新的DRS服務，額外提供經由AWS PrivateLink與AWS Direct Connect等專屬傳輸網路選項，安全性更高。

安全性與法規遵循

用戶傳送到DRS環境的資料，是由AWS負責保護，來源端的資料傳輸經由TLS 1.2協定進行傳輸中加密，用戶端的存取權限則透過AWS使用者管理機制（IAM）來控制。

DRS服務取得的安全架構與法規的認證，包含GDPR、HIPAA、ISO、PCI與SOC等，在部分美國服務區域，也通過美國政府的FedRAMP Medium認證。

RPO、RTO等級與復原演練

DRS服務的還原點目標（RPO）號稱是數秒鐘等級，代理程式會持續監控來源端主機的區塊變化，並在新區塊寫入時，立即將異動區塊複製傳輸到DRS服務，藉此可將來源端失效時，將用戶損失的資料量縮小到數秒的範圍。

除了從來源端主機即時複製的最新資料狀態，DRS也能透過快照保存來源端過去狀態的還原點，以便用戶將來源端主機還原到指定時間點狀態，對於最近1小時，可以每隔10分鐘保存1個還原點，過去24小時是每隔1小時保存1個還原點，過去7天則是每天保存1個還原點，最長可保存365天的還原點。

DRS的還原時間點目標（RTO）則是數分鐘等級，典型範圍是5到20分鐘，也就是復原環境最快可在5到20分鐘內啟動上線，接替用戶端主機服務。

在進行復原時，DRS會將來源端伺服器的開機磁碟，轉為EC2格式，然後在AWS環境中開機，載入必要程式並變更路徑後，接替失效的來源端主機。

在復原測試演練上，DRS比起上一代的CEDR也有顯著的改進。例如，在CEDR中，若要進行復原測試，必須中斷來源端的遠端複製，而影響復原架構的運作。而DRS可在完全不影響來源端的情況下，進行復原演練，無須中斷來源端的資料複製作業。

計價方式

DRS的基本費用，是每臺來源端伺服器每小時資料複製費用0.028美元，對來源端伺服器數量沒有最低門檻要求。另外用戶還須為DRS服務使用的EBS儲存空間與EC2執行個體付費。

對於每臺來源端伺服器上的每臺磁碟，DRS會建立等量的EBS儲存空間，作為複製用的臨時磁碟，同時還會建立EBS快照以構成不同時間的還原點，用戶必須這些EBS空間依等級與容量付費。

DRS還會使用EC2執行個體作為複製伺服器（Replication Server）來處理複製工作，一臺複製伺服器可處理多臺來源端伺服器的複製作業（AWS計算範例中，是以17臺複製伺服器來處理200臺來源端伺服器的遠端複製），用戶也必須依照複製伺服器所使用的EC2等級與數量付費。

微軟Azure的雲端災難復原服務

在主要公有雲服務商中，微軟是最早投入DRaaS領域的一家，在2015年便推出Azure Site Recovery（ASR）服務，可為用戶本地端環境到Azure雲端服務區域，以及Azure雲端服務區域到另一區域，提供資料遠端複製與復原服務。相較於其他DRaaS，ASR一大特色是可透過REST API、PowerShell或Azure SDK，建立自動化的復原程序。

適用來源端類型

ASR支援Windows與Linux實體主機、VMware與Hyper-V的虛擬主機、Azure VM與AWS Windows執行個體，以及這些主機上常見的應用程式工作負載。

資料的遠端複製與安全性

基本上，ASR是透過在來源端安裝ASR代理程式，來驅動遠端複製作業。

ASR亦提供基於TLS 1.2的傳輸加密，並預設啟用靜態加密來保護用戶資料，也結合Azure平臺的存取權限管理功能。

在安全性認證方面，ASR擁有ISO 27001：2013、27018、HIPAA、DPA等，並正在進行SOC2與FedRAMP JAB認證的評估。

RPO、RTO等級與復原演練

對於Hyper-V虛擬機器，ASR提供30秒或5分鐘的複製間隔，所以RPO是30秒或5分鐘。至於其他類型工作負載，ASR採用連續執行的遠端複製，因而RPO理論上可以縮短到最短數秒的等級。

ASR也能透過快照，來為來源端主機建立不同時間的還原點，在最近2小時內是每5分鐘保存1個還原點，超過2小時則是每小時保存1個還原點，最長可保存15天以內的還原點。

至於RTO，ASR在SLA協定中設定的時間是2小時，但微軟聲稱多數情況下都可在數分鐘內恢復。

計價方式

ASR的費用包括基本費用與附加費用兩部分，基本費用是每個受保護主機或執行個體的基本授權費，目前微軟提供前31天免費的優惠。至於附加費用，則包括在Azure環境中保存來源端主機資料複本、還原點，以及執行復原演練或實際還原時，所涉及的儲存空間費用，還有對外資料傳輸的輸出費用。

平臺服務整合的優勢

單就DRaaS服務本身的核心功能來說，與其他服務商相比，AWS DRS和微軟ASR並無特出之處（甚至還缺少一些第3方廠商提供的傳輸資料縮減功能），但最大優勢在於與自家服務平臺整合，用戶可透過AWS或Azure的通用控制臺與管理政策，就能同時管理DRS與ASR服務，省去額外第3方管理工具的麻煩。

 AWS與Azure的DRaaS服務 
AWS與Azure這兩大公有雲平臺，都擁有雲端災難復原服務（DRaaS），可支援常見的用戶端主機與工作負載，透過連續、非同步的遠端複製，將資料傳輸到雲端環境作為備援。

 相關報導