在当今数字化时代,大型企业对业务安全性、服务可用性和数据可靠性的要求日益严苛。为有效应对地域级别的灾难性故障,容灾双活架构应运而生。本文将详细介绍如何通过在不同地域部署两套 CASB 主备实例及数据库,并实现相关配置与操作,以构建高效可靠的容灾体系。
架构概述
容灾双活架构旨在通过在不同地域部署两套 CASB 主备实例和数据库,同步 CASB 实例间的策略信息以及数据库间的数据。不同地域间借助专线等方式进行私网通信,以确保数据实时同步,并将数据传输延迟降至最低。当故障发生时,能够通过切换访问的 CASB 实例信息,迅速恢复业务。具体架构表现为 2 套不同地域的 CASB 实例,且主从 CASB 实例和主从数据源实例的地域保持一致。
配置步骤
前提条件
已购买两套不同地域的 CASB 实例,且确保 CASB 实例能够在各自地域稳定运行。
说明:
金融区与非金融区不可跨地域容灾。
主从配置
步骤一:在CASB 主、从实例分别添加对应的主、从元数据
1. 登录 控制台,在左侧导航栏中,单击元数据 > 元数据管理。
2. 在元数据管理页面,选择所需的地域、CASB 实例。
3. 在元数据管理页面,选择需要新建的元数据类型 Tab 栏,单击新建云元数据。
4. 在新建云元数据弹窗中,选择元数据类型和云产品。系统将显示当前账号在所选地域、元数据类型、云产品下的元数据。
5. 在新建云元数据弹窗中,选择具体实例,然后输入所选元数据的用户名和密码,单击测试进行测试连通性,连接成功后单击确定即可新增云元数据。
步骤二:在 CASB 主、从实例分别配置对应代理账号信息
1. 登录 控制台,在左侧导航栏中,单击实例 > 代理账号。
2. 在代理账号页面,选择所需的地域和 CASB 实例。
3. 在代理账号页面,单击新建代理账号,弹出新建代理账号窗口。
4. 在新建代理账号窗口中,配置相关参数,单击确定,即可完成创建代理账号。
步骤三:在 CASB 从实例中,配置 “元数据主节点”
1. 登录 控制台,在左侧导航栏中,单击元数据 > 元数据管理。
2. 在元数据管理页面,选择从节点的地域、CASB 实例。
3. 找到所需配置的元数据,在其右侧,单击设置为从节点。
4. 在选择主节点页面中,选择主节点的地域、CASB 实例以及对应的元数据,单击确定。
注意:
当前主从模式已设置为主节点或从节点的元数据,不能再次配置主从节点。
在配置过程中,只有非从节点才能作为主节点。
在配置过程中,所选择的元数据已被设置为主节点,系统将会自动设置为主节点。
当元数据为从节点时,对应的加解密策略、加密密钥会直接从主节点中同步, 从节点密钥保存方式可选择是否使用 KMS 托管, KMS 托管优势和使用说明见:KMS 密钥管理和授权。
容灾切换
1. 业务应用切换链接:将 “主实例地址(IP + 端口)和代理账号密码” 改为 “从实例地址(IP + 端口)和代理账号密码”。通过更改业务应用访问的 CASB 实例地址和账号信息,使业务能够迅速切换到备用实例上继续运行。
2. (可选)在 CASB 从实例中,参考主从同步管理,来取消 “元数据从节点”。
恢复时长预估
采用此容灾双活架构部署的实例,恢复时长主要取决于业务切换访问地址的时间。由于该架构可实现跨地域的加解密策略同步,异地实例实时可用,CASB 能够保障策略在 1 分钟内实时同步。因此,业务侧可直接切换为异地实例,快速实现容灾切换,极大程度减少业务中断时间,保障企业业务的连续性。
