小編的世界 優質文選 主機
字體大小:
2021年5月24日 -
:
蔚可雲
這是一個很有意思的問題。2018年ATEC大會上,螞蟻金服CTO胡喜演示了一套容災系統,在支付寶多個機房同時出現問題,40%的服務器無法工作時,僅僅26秒後,系統完成智能切換,用戶資金、數據0丟失。
問題來了,如果支付寶100%的服務器被破壞,數據會不會在地球上消失?這樣一來,花唄是不是不用還了?
因為我們沒辦法知道支付寶容災系統到底長什麼樣,所以只能進行簡單的假設。如果在簡單的假設下,我們仍然無法完全炸掉服務器,肯定也攻不破真實複雜的容災系統。
假設如下:
1.支付寶采用主流的兩地三中心部署架構(事實上它采用了三地五中心);2.支付寶按照對低配置的金融信息系統設計;3.攻擊者知道支付寶所有服務器的物理位置,並且一炸一個准;
攻擊開始!首先攻擊者面臨的第一個坎:兩地三中心。
兩地三中心指的是在同城有兩個數據中心,外加一個異地容災中心。
先說同城的兩個數據中心,它們有兩種災備方案,一種叫“雙活”,一種叫“熱備份。”
雙活的意思是讓兩個數據中心同時承擔用戶的業務,並且互相實時備份。當其中一個數據中心出現問題時,另一個數據中心能承接業務。
如果只炸了其中一個數據中心,顯然不會產生什麼影響。
熱備份指的是在數據庫運行的情況下進行備份。如果其中一個數據中心被炸掉,會自動切換到另外一個數據中心繼續工作,顯然也不能只炸一個。
得出的結果是,必須兩個全部炸掉。但是即便兩個都被炸了,還有一個異地的容災中心,此時它便會開始工作,切換和恢複數據。
把三個數據中心炸了,不就行了?
還不行!冷備份了解一下。冷備份指的是在關閉數據庫,並且數據庫不能更新的情況下進行備份。
如果容災系統到了用冷備份的時候,就會受到一些影響,因為冷備份不是實時的,它會每隔一段時間備份一次。
假設在剛剛備份完成,到下一次備份開始時的這段時間,有用戶使用了花唄,是不是就不會有借款的數據了?
也不是……只是支付寶暫時不能提供花唄服務而已,因為冷備份肯定不止一份,一段時間後,數據仍然會恢複。
哪怕把所有冷備份全部炸掉,支付寶還可以找各大銀行和金融機構要數據……當然,損失一些只有自己知道的數據,肯定是會沒掉,這個無法避免。
911事件發生後,美國的一家國際金融服務公司摩根士丹利,在世貿大廈的數據中心全部被摧毀,但因為有成熟的容災系統,第二天就恢複了全部業務。有些公司卻因為備用災備系統,最終不得不申請破產。
此後,所有公司都意識到災備的重要性,相關技術迅猛發展。如今想要完全摧毀一家金融機構的全部數據,已經成為幾乎不可能的事情了。
我們提前做了三個假設,仍然很難摧毀支付寶的所有服務器,現實就更別提了。像金融行業的數據中心,從機房的選址開始,就極為苛刻,周圍不能有鐵路、公路、化工廠等存在安全隱患的設施,還要有抗洪、抗震的能力。
不要說炸毀,就算切換數據中心的供電也極其困難。
數據中心會有兩個發電站同時為其供電,另一個是備份的電力供應,與兩地三中心有異曲同工之妙。就算這三個發電站全部無法工作,還有獨立的配電室。
配電室完了,還有ups室可以短時間為數據中心供電。
ups室沒了,還有發電機和儲油罐……
所以,花唄還是老老實實還吧……