因为敬畏所以备份，唯有盘活才能重生

感谢长江证券计算机首席分析师凌总，感谢清泉石资本提供的机会，让我来跟大家解读一下最近的WM事件。2月23号WM发生了一次比较严重的事故，直到3月3日才最终恢复了全部的业务。这件事情引起了轩然大波，波及到上百万的商户。作为一名IT的老兵，我来给大家做一次科普。

首先从科学的角度解读一下。顺便也揭示一下行业乱象。首先WM事件发生的根本原因是数据被人为删除了，包括数据运行的软环境一起被破坏了。需要注意一点，这里面没有发生任何的硬件故障。机房、链路、设备没有任何问题，所以故障的核心问题直接指向了数据。

在解读之前，先跟大家科普一下常见的三种数据保护技术：

第一种是本地高可用，是利用冗余算法把数据写成多份。常见的有镜像技术、多副本技术、主从复制等技术。它实现不止一份数据运行在不同的物理位置，所以叫本地的高可用。

第二种技术是容灾，本质上是本地高可用技术在物理位置上的延展。数据跨越大型的物理环境，通过通信链路来实现业务连续不中断。容灾的范畴比较广，不仅仅考虑数据，还要考虑整个物理环境和用户的应用。容灾不是简单的一种技术，它是一大堆技术加上管理的组合。

本地高可用和远程容灾复制技术，都是着眼于抵御基础设施的故障，从而保障业务持续运行不中断；我们制造的多份冗余数据，都是确保“当下”的数据在多个地方都有，而不关心传播的数据正确与否。

举个例子，不管是多副本还是容灾，主数据插入一个A，副本数据也插入一个A；主数据删除一个A，副本数据也删除一个A，以保持一致性。主数据全部delete all，副本数据也是删除全部delete all。WM事件的本质是系统本身没坏，但因为人为的灾难导致数据被错误的改变，进而蔓延到整个运行环境，彻底搅乱了应用系统，造成了数据逻辑灾难。从删库到跑路，这是我们业内经常调侃的一句话。多副本和容灾都拯救不了WM。能抵御逻辑错误和人为错误的，只有接下来要介绍的第三种技术，就是数据备份。

不少人喜欢用“灾备”这个词，但是容灾是容灾，备份是备份，出发点和作用有本质区别，专业的IT规划从来都是严格区分，各自建设的。

数据备份和前两种技术本质的差别是它制造冗余副本的过程，不在生产系统的主操作逻辑里面，备份和生产是两个平行的逻辑。备份进程伴随在生产进程旁边，真实记录数据的变化量。好比营业大厅的视频监控，不干扰营业，但是记录营业厅每个时间点的状态，可以回放。如果把数据当作客体对象，这个对象会沿着时间轴发生变化。我们想象一个长条切片面包，备份系统保留有每个时间点的切片，所以备份系统不是一个或两个生产数据的副本，而是一系列按时间轴排列的副本集。从时间维度来看，备份系统不强调实时性，但极其强调时间序列的连续性和真实性。

备份和生产，好比一个硬币的两面，是自IT诞生之初就存在着的一种古老的技术。在对生产系统进行任何重大的操作之前，例如上线、割接、升级和变更，我们通常都会说，“先做一次备份再干吧”。中国的哲学观点是“福祸相倚，阴阳相济”，因此既要对生产中的数据有敬畏之心，也要对数据备份有敬畏之心。

由于时间关系，就不对备份技术做大篇幅的展开了。接下来也想揭露一下WM事件折射出来的因为无知和缺乏敬畏之心而导致的行业乱象，让大家避免跳坑。

我现在向大家提出两个问题，第一，企业为什么容易忽视数据备份的建设？WM这次出事明显地看出来，他没有备份。第二，数据备份的出路和方向在哪里？

第一个问题，备份是要花钱的，道理大家都是懂的。2018年IDC面向全球企业的CIO做了一次调研，结果显示，70%的CIO对现有的备份系统不满意，50%的CIO计划改造或更换备份系统，这是为什么？因为消费者花了钱觉得不爽，不爽在哪里？首先备份数据需要的存储空间是大于生产系统的存储空间，有当前的有历史的，当然大了。这不是主要的原因。在2016年之前，市面上的主流备份技术都是把生产数据拷贝成一系列的映像文件，备份下来的映像文件是不能直接使用的，恢复数据是需要我们找到相应时间点的映像文件，restore倒回到一个存储空间才能打开数据。

因此，backup和restore是一对逆过程。正是因为这份数据不能直接使用，需要准备额外的存储空间，并且要经过一系列复杂的操作，所以恢复时间长，代价大。用户平时很少做恢复操作。

我有个CIO朋友跟我说过一句话，他说：“我希望永远也不要用到备份系统”。用到它的时候都是发生了巨大的灾难，所以数据备份是企业救命的最后一根稻草。

在我职业生涯里面，我遇到好几回痛彻心扉的故事。有一次，一个很大的用户发生了逻辑灾难，生产系统无法修复。大领导忍痛挥泪下决定，把生产系统格式化存储，从备份系统把数据找回来恢复。恢复了N个小时之后，发现一个无情事实：数据是坏的，恢复不成功。客户已经把门都堵上了，IT领导想死的心都有了。这就是所有企业要面对的现状。

备份系统消耗存储、不断烧钱，对备份数据做恢复验证还需要花更大的代价，目的只是为了一个永远也不想用到的救命药丸。如果您是企业的CIO，您会对这样的备份系统满意吗？企业花钱买备份的心态，就好比我们买一个意外伤害保险，你愿意花大价钱去买一个意外伤害保险吗？无非是出于尊重生命或合规监管的要求而已，企业忽视数据备份的建设，除了认知误区，缺乏敬畏心，其实还有背后的技术问题。

第二个问题是数据备份的出路和方向。2016年全球知名的IT研究分析机构Gartner给了一个答案，5个字，盘活暗数据。什么是暗数据呢？备份数据就是暗数据，平时不用，沉默在那，消耗企业的成本。事实上企业暗数据的数量要远远大于生产。

IDC做过一个统计，一个中型企业的生产数据会分成8~10份副本，供不同的人在不同的场景使用。打个比方，备份是一份，容灾要一份，查询统计要一份，开发测试要一份等等。一方面造成了存储的重复、浪费，另一方面数据的使用效率是不高的。企业目前没有很好的管理办法。

回到WM事件，WM的IT本来是云上云下都有的。客户应用在腾讯云上面，客户的信息和账单放在一个线下数据库里，结果都被人为地破坏了。WM在3月1日晚上11点多发了一个公告。从WM的事后公告，可以得到如下几个信息：

第一，WM承认自己没有做好备份。以后线下的部分也要迁到云上，好像有腾讯云的加持就安全了；第二，腾讯云宣称帮助WM找回了数据，但没有用恢复数据的字眼；第三，从2月23日发生灾难到3月3日恢复数据，整整花了9天的时间，而且3月2日花了一天的时间做恢复演练，做恢复演练的过程中停止业务。

我想问，是不是全上云就不会发生类似灾难了？前两天我看云头条带节奏发了一个文章，说WM事件的解决是很完美的，较好的方案是全上云，不要半上云。你们觉得这个是理智的理性的一个分析吗？

其实WM这个事情它的根本原因是它是一个信息安全的事件，是人为地突破了防御，就干掉了数据。但是我们知道，做安全是七分管理，三分技术。管理里面有很多要素，里面有一个要素就是人，人是最不可琢磨的。一个高级的运维主管，突破了所有的堡垒机，所有的安全的防御，完全合理地删除了这些数据，你怎么防？所以放弃幻想吧。我再问9天时间，才全面恢复业务，能够接受吗？