公有云灾难恢复的失效之处
公有云灾备只负责恢复虚拟机,剩下的工作,凌晨三点按正确顺序手动重启各项服务,则留给您的团队。对受监管机构而言,这一缺口是合规风险,而非小小不便。
当关键系统故障时,每一秒都要付出金钱、信誉和监管地位的代价。虚机级恢复能恢复基础设施,但无法恢复运行中的应用:你的命名空间、依赖关系、有状态集、配置和密钥仍需由操作员在压力下按顺序启动。当事故跨越两朵云时,这迟早会发生,而那种手动编排正是韧性测试设计要暴露的问题。
虚拟机恢复只能恢复机器,而非工作负载。故障转移后,您的团队仍需在分秒必争的情况下识别哪些服务故障、它们的依赖顺序如何、原因何在。
DORA、NIS2和BAFIN均要求经过测试、有据可查的ICT连续性,并明确恢复目标。若一款灾难恢复工具无法提供RTO和RPO表现的审计记录,这一合规缺口将在下一次监管审查中暴露无遗。
贵方的工作负载跨越多个公有云和本地部署。大多数灾难恢复工具仅覆盖一种。当事件跨越两个环境时,你必须手动在这些工具从未设计用于协调的系统间编排故障转移。
许多公有云灾备服务通过外国控制的控制平面进行编排, 对于无法外包控制权的受监管机构而言, 这构成了结构性的主权破口。
核心能力
主权云平台恢复的是正在运行的应用,而非裸机,并在贵方运营的每一个集群与云环境中编排故障转移、备份与恢复。
该平台在容器工作负载层面运行。它按依赖顺序恢复命名空间、部署、有状态集、服务、配置映射、机密和持久卷,恢复到正在运行的、经过验证的应用状态,而非原始机器镜像。
在同一云内、跨云之间或跨本地数据中心之间实现自动化故障转移。同时支持双活与主备两种拓扑结构,并具备实时健康监测与可配置的驱逐容忍度。
集群监控间隔、异常宽限期和驱逐超时均可按核心银行与政府SLA进行调整。每一项参数均可审计,并可向监管机构报告。
无需人工介入。当集群越过不健康阈值时, 会自动被打上污点, 驱逐随即开始, 工作负载 Pod 在无人工干预的情况下迁移至健康集群。
两种故障模式,一套解决方案:单个服务在生产环境中失败,以及完整集群事件。平台两者皆可处理。
专为跨可用区与跨区域的地理分布式部署而设计,既满足技术层面的高可用性目标,也符合关于地理数据隔离的监管要求。
架构概览
主权云平台以中心辐射式的多云管理模式运行灾难恢复,控制平面就设在贵方境内。
一个统一管理集群负责跨云工作负载调度、故障转移策略与健康监测,部署于您自己的基础设施之上。
无论位于任何云端或本地环境,生产、备用与灾备集群均以受管理成员的身份注册。聚合式或动态权重调度策略管理日常运营。
持续运行的 ClusterMonitor 会轮询每个已注册的集群。一旦检测到超出宽限期的不健康状态,它会为该集群打上污点标记,以优雅驱逐方式清空 Pod,并在剩余容量的健康集群上重新调度。
一个定时备份控制器将应用命名空间与 etcd 状态的完整快照及增量快照持久化到您自己的存储后端:兼容 S3、本地 NFS 或私有对象存储。
命名空间级别的恢复配合标签选择器过滤, 能够精准恢复单一服务, 而不触及相邻工作负载, 将影响范围与恢复时间降至最低。
部署在贵方自有基础设施上,无需强制回连Amanah。
设计之初即符合监管要求
韧性的价值取决于您能证明多少。主权云平台生成经过测试、有据可查的主权证据,正是欧洲金融和关键基础设施监管机构如今所要求的。
经过测试并有文档记录的 ICT 连续性,具备明确的恢复目标以及 RTO 和 RPO 表现的完整审计轨迹,这正是金融业韧性测试所要核查的证据。
为关键实体和重要实体提供业务连续性,通过自动故障转移与地理隔离,确保关键服务在区域性事件中持续运行。
可配置、可重复、并可按需向金融监管机构报告的恢复目标、备份机制和故障切换演练。
完整的欧洲主权框架,在每一个恢复域中都经过独立认证并严格执行,控制平面部署在你自己的国土之上。
受你的法律管辖,由你的团队运营。每一层都实现主权。
经过验证,而非表演
主权云平台背后的技术栈,在17个国家、20个行业中承载着一千多个生产环境应用案例。
完整的欧盟八大支柱主权体系,在每一个恢复域中均经独立认证并强制执行。
无需任何控制流量离开您的基础设施。即使外部世界中断,恢复流程依然运行。
拒绝灾备演戏
受监管机构承受不起'摆样子'的灾备,那些演示时表现不错、却在主权测试、审计测试或凌晨三点的生产事故中失效的工具。主权云平台由维护云原生基础设施的工程师打造,专为不能在恢复环节出错的机构而生。