当洪水、地震等极端灾害冲击数据中心，导致断电断网，如何保障核心业务持续在线、数据不丢失？

当企业业务从单地域走向多地域、从单机房演进到多中心，高可用架构能否平滑升级、灵活扩展，而不必推倒重来？

百度智能云混合云 ABC Stack 高可用方案，以一套可演进架构，应对不同阶段业务连续性挑战 —— 既能在极端灾难中「扛得住」保障业务和数据安全，也能随基础设施升级而「平滑演进」，让高可用真正成为企业数字基座的坚实底色。

国内某领先的互联网金融科技企业，依托该高可用方案完成了从单机房到两地三中心的架构演进。在一次因水灾导致机房断电断网的极端场景下，其核心业务依然保持平稳运行。

1. 百度智能云混合云 ABC Stack 高可用方案：一套架构，平滑演进

企业级私有云作为承载核心业务的数字基座，一次系统中断可能导致千万级交易损失、用户流失，甚至引发监管风险。因此，高可用已成为企业运营的必备能力。

但高可用需求并非一成不变：业务从单区域到多地域扩张，风险从单点故障升级为区域性灾难，高可用体系也必须同步成长 —— 从单机房硬件冗余，到同城双活数据实时同步，再到两地三中心跨域容灾。如每次升级都需重构拓扑、迁移数据，不仅耗费大量人力成本，更会引发业务停服，反而放大 「不可用」 风险。因此，企业需要的不仅是静态高可用，更是能具备随架构演进的动态、平滑扩展的高可用。

百度智能云混合云 ABC Stack 高可用方案，通过一套统一架构，实现从单机房到多可用区，再到多地域的无缝扩展。其核心是构建一套覆盖底层基础设施到上层业务应用的全维度保障体系，贯穿传输、网络、云平台和业务层，实现从单机房、到同城多可用区（ AZ ）、再到两地三中心（多 Region）的全阶段演进。

例如，当架构从单机房向同城多 AZ、 异地多 Region 演进时，无需调整或重构既有拓扑，只需在 AZ / Region 边缘建立互联通道，通过智能选路实现跨 AZ / Region 流量调度；云服务依托平台的智能规划与弹性扩缩，完成跨 AZ / Region 的动态重规划与重部署，整个过程云平台保持正常运行，从而实现「业务无感的高可用平滑升级」。

1.1. 三阶段演进路径：平滑升级的全场景落地

百度智能云混合云 ABC Stack 的高可用方案覆盖企业私有云全生命周期的不同阶段，从起步阶段的单机房防护，到业务扩张后的同城双活，再到战略级的异地容灾，帮助客户一步步提升业务韧性。企业可根据业务规模与预算选择最合适的起点，未来业务增长时，无需推倒重来，即可按需升级至更高等级的容灾模式。

第一阶段：单机房高可用 —— 从起步就筑牢防线

方案目标：在云平台部署初期，资源有限、业务集中于单一数据中心。此时，高可用的核心目标是防范单机房的节点宕机、链路中断等「单点故障」。企业需要建立稳固的容灾基线，确保平台具备持续承载业务的能力。

方案设计：构建全冗余机房拓扑。

• 网络与传输冗余：线路、板卡、设备全冗余，通过「双平面四路由」、交换机堆叠与 BGP 路由，实现数据通信的高可用切换。

• 服务与实例部署：云平台及业务服务离散部署，无状态服务通过负载均衡实现自动调度，有状态服务采用主备模型确保单点故障时自动切换。

借助单机房高可用方案，客户可有效规避单点故障引发的系统性风险，即使遇到线路中断或机柜断电，业务仍能持续稳定运行，为企业后续升级打下坚实基础。

第二阶段：同城双活高可用 —— 业务不中断，数据不丢失

方案目标：随着业务体量提升，企业在同城多可用区（AZ）部署云架构，高可用不仅要防范单机房故障，还需实现跨 AZ 的数据实时同步与快速故障切换。

方案设计：构建「2 个业务 AZ + 1 个仲裁 AZ」的 3 机房双活架构。

• 网络与传输冗余：原 AZ1 架构无需调整，新增的 AZ2 和仲裁机房沿用单机房的高可用冗余原则，并在机房间新增冗余的高速专线互联。借助 SDN 技术实现流量智能调度，满足 AZ 内就近访问和可用区双活。

• 服务与实例部署：通过统一云管平台完成服务和实例的规划落位。跨机柜部署的 Region 级别服务，利用跨 AZ 迁移能力进一步分散在每一个 AZ 的不同机柜，并通过负载均衡实现业务双活。此时，为了保障服务连续性，借助仲裁机房的独立仲裁节点构建分布式共识体系，从而保障主 AZ 故障时快速完成 Region 服务的主节点选举。

借助同城双活方案，即使任一机房因电力或网络故障失联，系统可自动切换流量与服务控制权至健康机房，确保业务不中断、数据安全无损，为企业向更高级别容灾升级奠定坚实基础。

第三阶段：异地容灾高可用 —— 保障极端场景下的业务连续性

方案挑战：为应对地震、洪水等区域性灾难，并满足监管合规要求，企业在构建跨地域架构时，高可用的核心目标是实现跨地域的全域容灾能力。

方案设计：构建跨区域（Region）的主备架构。

网络与传输冗余：跨 Region 建立备份链路，结合全局域名切换能力，将一个完整 Region 作为灾备中心，确保灾难发生时快速切换。

服务与实例部署：通过统一云管平台完成服务和实例的规划落位。Global 级别的服务及其数据会被重部署至多 AZ、多 Region 中，由主 Region 提供服务；Region 服务 和 AZ 服务保持原有服务落位，保证主 Region 的每个 AZ 均可提供服务。

借助异地容灾方案，当主 Region 整体失效时，全局控制流可自动切换至备 Region，核心业务数据在异地完整备份，实现快速恢复。该方案不仅保障极端情况下的业务连续性，也满足企业战略容灾和合规审计的需求。

1.2. 全栈四层协同：支撑平滑升级的技术内核

该方案依托传输、网络、云平台与业务层四层协同，环环相扣，实现增量部署与动态适配，确保升级无需重构系统和业务无感。

传输层：保障「血脉」通畅

作为承载一切的基础，传输层采用「双平面四路由」的冗余设计，无论在机房内部还是 AZ / Region 之间，都有两个传输平面，每个平面配备至少两条独立物理链路。一旦某条光缆意外中断，备用链路可立即接管全部流量，确保通信不中断，为上层架构提供稳定可靠的物理保障。

网络层：实现智能调度

作为数据流动的「通道」，网络层基于 SDN 技术构建智能调度体系。通过动态路由与智能流量牵引，实时为流量提供最优路径，并在故障时快速切换，保障网络始终高效、可靠运行。

云平台层：架构核心引擎

作为架构「中枢」，云平台高可用的核心思想是基于服务分层和服务模型实现云服务的离散部署和动态落位，从而保障其全生命周期的有效性和连续性。

• 服务分层：服务分层决定云服务在云内部署时的覆盖范围。根据云服务的作用域及数据一致性等要求，将其划分为 Global、Region、AZ 三个服务级别，该服务级别伴随云服务的整个生命周期，在云扩建时，不同级别云服务的扩展部署范围不同，以此实现高可用能力和资源效率的最佳平衡。

  例如，IAM 鉴权、计费等全局服务属于 Global 级别，需要实现全局（即整个云内全局）范围的高可用，当云架构扩建时，此类服务及其数据势必需要扩展覆盖至云内全局，并始终保持数据的实时同步，以便在故障时快速切换；而计算实例等资源类服务的作用范围仅在 AZ 内，属于 AZ 级别服务，需要实现 AZ 范围内的高可用，无需扩展至全局。

• 服务模型：服务模型决定了云服务在不同作用域内的部署落位。云服务按照架构模型和状态模型进行部署，其内部角色需在作用域内进行跨节点、跨机柜、跨交换机、甚至跨 AZ / Region 的离散落位，以避免单点风险，实现稳定运行。

业务层：无缝衔接上层需求

业务层的高可用设计聚焦于算力调度、流量切换和数据同步三方面，确保业务及其关键数据能够随着云架构的变化而灵活调整资源落位并提供服务。通过这一机制，业务在扩展、迁移或切换过程中始终保持连续性与稳定性，实现业务高可用。

在算力调度方面，业务层通过多实例的离散部署，实现业务实例跨节点、跨机柜、跨交换机乃至跨 AZ 的分布式落位，从而保障业务在不同范围的单点故障下仍具备高可用能力。这一点与云服务的离散部署理念一致，都是通过跨域分布来提升业务韧性。

在流量切换方面，业务可依托百度智能云提供的跨 AZ 负载均衡与健康探测机制，在检测到异常时自动完成 AZ 级别的流量切换，确保业务不中断。

在数据同步方面，百度智能云提供覆盖数据库、云主机文件系统和存储集群的全方位数据高可用方案，以满足不同业务场景需求。在关键业务中，客户可依托 DTS 数据传输服务实现跨域主备数据库的实时数据同步，并通过对等连接将跨域的云主机进行网络打通而实现云主机的在线数据同步。

当灾难发生时，这类业务流量可以实现业务无感的瞬时切换。而针对一般业务场景，客户则可采用离线同步和恢复机制，例如通过跨域 volume 复制、跨 bucket 复制实现快照与镜像备份，当灾难发生时，在拉起云资源的同时即可完成数据恢复，确保业务快速回归。

2. 某金融企业的高可用架构演进实践

2.1. 三阶段演进：从基础冗余到金融级容灾的层级跃升

作为国内领先的互联网金融科技企业，客户 D 的业务覆盖信贷、理财、支付等核心金融场景，服务超数亿用户。伴随业务高速扩张，其私有云架构完成从单机房集中部署到「两地三中心」的架构演进，全栈高可用体系实现了「从抵御单点硬件故障」到「抵御区域级灾难」的全场景覆盖，达成 RPO≈0（数据零丢失） 与秒级 RTO（业务秒级恢复） 的金融级容灾能力。

回溯架构演进历程，客户 D 的高可用体系建设并非一蹴而就，而是通过两次关键能力跃升，逐步构建金融级全场景容灾：

第一次跃升：从单可用区到同城三可用区，筑牢同城容灾基础

客户 D 在云平台初建阶段采用单可用区（AZ）架构，服务与流量集中于同一数据中心。虽满足初期需求，但单机房故障可能引发的业务中断风险，始终是技术团队重点关注的问题。

为破解这一痛点，基础设施技术团队迅速启动双可用区改造，并突破性引入当时行业内尚未广泛应用的「仲裁可用区」机制 —— 通过「双活可用区承载业务流量 + 仲裁可用区保障数据一致性与故障决策」的协同模式，构建「双活 + 仲裁」三可用区架构，将容灾能力从「抵御单点硬件故障」升级至「抵御同城机房级故障」，具备同城级容灾能力。

第二次跃升：从同城容灾到跨区域容灾，落地金融级「双城三中心」

随着金融监管对业务连续性要求的不断提升，以及极端自然灾害（如地震、洪水）等区域级风险的应对需求，客户 D 启动跨区域（Region）容灾建设。

通过将核心业务系统、数据同步部署于两个地理隔离的区域，搭配实时数据同步与毫秒级流量切换，全面覆盖城市级、区域级故障 —— 任一区域遭遇极端灾害，备用系统可即时接管业务，确保服务不中断、数据不丢失。此次升级标志着客户 D 正式建成金融级「双城三中心」高可用体系，容灾能力达到行业顶尖水平。

2.2. 实战检验：极端水灾中的韧性表现与能力升级

多年前的一次华北特大水灾中，客户 D 的机房因进水导致电力设施损毁，全机房断电断网，在此极端灾难下，基于百度智能云混合云 ABC Stack 高可用方案搭建的容灾机制瞬间启动 —— 业务、数据、云服务等瞬时由异地机房顺利承接，核心业务全程零中断，信贷、理财、支付等服务始终平稳运行，不仅成功抵御了突发灾害冲击，更以实际表现验证了架构设计的可靠性。

洪水过境后，基于预先建立的「全链路服务观测与可用性验证体系」和「常态化容灾演练与应急预案」，百度智能云第一时间响应：一方面依托平台的可观测性与弹性能力快速完成扩缩容，保障业务流量平稳承接；另一方面高效推进受损机房的服务恢复，最大程度降低故障影响。

3. 结语

真正的高可用，不只是能抗住今天的挑战，更是保障企业未来每一次演进都能从容前行。百度智能云混合云 ABC Stack 高可用方案，从平台建设初期就采用统一架构，帮助客户轻松完成高可用升级 —— 从单机房到同城双活，再到两地三中心，全程无需重构拓扑、不中断核心业务，按需扩展即可，让高可用升级不再是难题。

我们已成功帮助金融、汽车、能源等众多行业客户，平稳实现高可用体系的迭代。无论您正搭建首套私有云，还是计划向「两地三中心」架构进阶，百度智能云都能提供匹配业务发展阶段的高可用方案。

欢迎联系我们，进一步了解百度智能云混合云 ABC Stack 的高可用方案能力及落地实践。