營運持續計畫和災難復原

本頁內容適用於 ApigeeApigee Hybrid

查看 Apigee Edge 說明文件。

Apigee 是多租戶自助式雲端平台,在全球多個區域的多個資料中心,以完全備援 (即時/即時) 設定執行。Apigee 使用 Google Cloud 做為雲端平台。我們在 Google Cloud 上建構服務時,會在每個區域內使用多個資料中心,並透過這些資料中心為客戶提供即時流量服務。我們沒有「即時」資料中心和「待機」(或「次要」或「容錯移轉」) 資料中心。我們在每個全球區域都有兩個 (或更多) 資料中心, 持續且同時為客戶流量提供服務。

BCP/DR 計畫

Apigee 業務持續性規劃和災難復原 (BCP/DR) 是平台層級的計畫,不包含個別客戶的詳細工作。平台會設定為處理客戶資料要求,不受中斷和服務中斷影響。即使整個資料中心離線,資料仍會持續流動。如果整個區域離線,單一區域的客戶可能會遇到 API 處理服務中斷的問題。對於需要「區域內」備援服務以外的客戶,Apigee 提供全球備援層級的備援資料中心,可在多個區域或國家/地區處理流量,因此即使整個區域離線,資料仍可正常流動。

由於資料處理和存取可能受到地理位置限制,單一區域的客戶服務不會自動轉移至其他區域。Apigee 服務會為客戶代管,代管區域由客戶指定。由於可能存在特定法規或客戶對使用者的資料地理位置承諾,服務不會自動移至替代區域,因為這可能會損害 Google 對客戶的承諾,或 Google 客戶對其客戶的承諾。

Google 不會與任何個別客戶分享完整的 BCP/DR 計畫,因為該計畫包含內部機密資訊和客戶參考資料。根據隱私權政策,我們無法與個別客戶分享平台 BCP/DR 計劃,因為這可能會洩漏其他客戶的名稱。我們為每位顧客提供同等程度的隱私權保障。

BCP/DR 管理

Google 資安團隊負責監督業務持續性計畫,而輪值的事件指揮官則負責管理及解決所有事件。事件指揮官隨時待命,並備妥所有可能需要採取的行動教戰手冊,以及營運和工程人員的聯絡資訊。

BCP/DR 測試

Google 執行的作業程序支援平台 BCP/DR 測試,頻率比完整的年度 BCP/DR 測試更高。我們每月都會在更新服務的系統時,從即時/即時環境執行負載擺動,這個程序包括關閉一整個資料中心的所有系統,同時由對等資料中心處理負載。在此程序中,執行任何更新後,第一個資料中心會重新啟動,並再次執行服務,確認沒有任何問題。接著,對等資料中心會因相同的更新而停機,然後再次上線。Google 會使用工具和技術排空流量,並將一小部分流量傳送至最近更新的服務,檢查是否有任何問題或錯誤,然後再恢復完整負載處理。

這項持續的作業程序超越了業界標準,因為業界標準是每半年「測試」一次服務的韌性,而我們將這項作業視為更頻繁執行的作業任務。

除了上述作業程序外,Google 每年至少會進行一次 BCP/DR 演練,由工程和營運團隊成員測試真實的災害情境。除了服務本身,這也為我們的人員提供額外的訓練和經驗,協助他們瞭解企業整體的 BCP/DR 計畫。

Google 執行的 BCP/DR 測試不會使用「容錯移轉演練」或「次要位置」,因為這些都已內建於執行中的系統。

Google 會維護應對手冊,供所有營運和工程團隊使用。這些劇本每年至少會經過一次審查及更新,並用於所有 BCP/DR 測試和訓練練習。

客戶可取得年度 BCP/DR 測試報告。我們也會將作業工作和年度災害復原演練測試報告的結果,提供給第三方稽核人員,做為稽核人員審查我們是否符合 PCI、HIPAA、ISO、合約和其他規定的依據。

客戶 BCP/DR 測試

建議客戶在自己的 DR 計畫中納入 Apigee 服務。客戶可以且應該考慮 Apigee 如何視需要重新導向流量,讓客戶即使在客戶資料中心中斷或其他災害事件期間,也能維持使用者服務。不過,這個層級的測試不在 Apigee DR 計畫的範圍內。建議客戶對自己的應用程式執行 BCP/DR 測試,並將 Apigee 納入測試範圍。

復原時間目標/復原點目標

Apigee 不會為客戶提供復原點和復原時間目標 (RPO/RTO),也不會在與 BCP/DR 活動相關的合約中提供。服務水準協議是雲端版的 RTO/RPO 資料點。Apigee 是雲端備援服務,管理和執行階段服務都採用備援即時服務架構,因此 RTO 和 RPO 都可以視為「即時」。單一區域客戶至少會收到相同區域內不同資料中心的多餘服務。如要提高備援層級,客戶可以選擇多區域服務。

疫情應變計畫

Google 將疫情應變計畫納入整體 BCP/DR 計畫和程序。對於支援等業務營運,Google 在多個辦公室和遠端地點設有 24 小時全年無休的全球支援團隊。如果全球某個地區發生疫情,影響到其中一個支援地點,其他辦公室的人員就會收到警示,並接手受影響辦公室的班表。至於銷售等其他業務服務,員工則遍布全球。Google 所有團隊都已做好準備,可視需要進行遠端工作。使用的工具以雲端為基礎,自然適合用於疫情應變計畫。

更新

Google 每年至少會審查及更新一次 BCP/DR 計畫。我們會根據事件、產品異動、產業標準、風險分析活動和 BCP/DR 測試收集到的資訊,更新計畫。

業務影響分析和風險評估

Google 每年都會進行業務影響分析和風險評估。系統會優先處理 BIA 和 RA 的結果,並記錄在問題追蹤系統中。