多租户策略
一套分布式数据库集群可以用于支持多个业务,通过分配多个数据库实例进行管理,这就是多租户策略。多租户是分布式数据库实现资源隔离与未来进行云化发展的基础,通过多租户还可以实现安全的隔离、故障的隔离、运维的隔离等。
首先是租户资源的隔离,租户是资源分配的最小单元,每个租户可以进行CPU、内存、存储、网络带宽、连接数等的资源控制。CPU等资源可以在租户创建时进行指定,也可以按需进行动态调整。每个租户之间的资源不进行复用,以避免资源的抢占带来的稳定性问题。
其次是安全的隔离,租户有对应的用户权限,每个租户的用户只能访问自己租户内的实例以及相关租户资源。不存在可以进行跨租户访问的超级用户,实现了安全策略的可控,避免了数据安全问题。
再次是故障的隔离,因为硬件资源的隔离,单个租户的“抖动”、资源不足、数据错误等不会影响其他租户,对于分布式数据库的监控最小采集粒度是租户级别,数据库的故障影响分析也从租户维度进行关联分析。
最后是运维的隔离,租户是资源分配的最小单元,在进行资源调度、集群扩容时按照租户进行迁移,集群的备份与恢复也从租户维度进行控制。
“异地多活”之“三地五中心”
《商业银行数据中心监管指引》要求金融机构设立异地模式的灾备中心,其中重要系统的灾难恢复能力要达到《信息安全技术 信息系统灾难恢复规范》中定义的灾难恢复等级第5级(含)以上。具体要求是,RPO为数分钟到两天,RTO为0~30分钟。传统银行中最常见的是“两地三中心”模式,具备同城的机房级容灾能力,实现了同城一个机房故障下RPO为0,异地数据弱一致。网商银行从“两地三中心”的“异地多活”进一步发展到“三地五中心”,实现RP0为0,RTO在1分钟内的城市级容灾架构,保证了银行系统的高可用和不间断的用户服务能力,实现了金融服务的随时在线。
常见部署模式
(1)同城双机房采用主备模式,应用访问主数据库,进行数据写入。(2)同城双机房间采用存储设备的同步复制,保障同城双机房之间的数据实时一致。(3)异地机房用异步复制方式进行数据同步,备份节点数据非强一致,对数据实时性要求不高的可以进行读访问。(4)同城主备库之间进行故障检测,出现异常时进行主备切换。(5)应用端可以通过使备库只读而降低主库压力。这种部署模式本质上只能做到机房级容灾,当城市1异常时,城市2的数据是不完整的,无法实现城市级的容灾。
分布式数据库“两地三中心”(见图3-1-5)
传统银行的“两地三中心”(见图3-1-4)
(1)“两地三中心”模式有三个副本,采用主备模式,应用访问主数据库,进行数据写入主库。
(2)主库数据实时同步到所有备库,基于一致性协议,在1/2的节点完成数据的同步后,即认为数据同步完成。同城机房因耗时更短,两个机房的数据保持实时同步。
(3)异地机房因耗时较长,在数据同步上有延迟,但相对于传统银行的备份节点,该延迟较小,在1分钟以内。
(4)两个从节点都可以提供数据的弱一致性只读服务。三个副本中最多允许有一个故障点,所以这种模式只具备城市2的城市级容灾能力,不具备城市1的容灾能力。分布式数据库“三地五中心”(见图3-1-6)
“三地五中心”模式有五个副本,最多允许存在两个异常节点,所以采用2-2-1的方式进行分布建设。当任意一个城市的机房发生城市级的故障时,数据库都依然能够继续提供服务。
五副本在进行数据写入实时同步时,需要三个节点完成写入,因一个城市最大节点只有两个,所以必然会存在跨城市的实时同步,带来耗时的增加。具体耗时的增加与城市间的距离有关,例如从杭州到上海,需要增加6~8毫秒。
城市3只有单节点,无法满足城市内的容灾要求,一旦有故障,应用都需要跨城访问数据库,所以在部署时,城市3不进行应用的部署。由于不提供数据服务,城市3可以进一步降低成本,机房5作为日志副本,无全量数据,参与一致性协议投票选举主节点。
