数据迁移是企业云盘绕不开的坎。一次失败的数据迁移可能导致数天的业务停摆,更糟糕的是,数据丢失或损坏往往在数月后才暴露。
本文基于三个真实项目的迁移实践(一家省级设计院、一家汽车零部件厂商、一家三甲医院),总结出一套经过验证的零停机迁移方案,涵盖双写架构、CDC选型、灰度切流三个核心环节。所有数据均来自真实项目复盘。
一、迁移为什么这么难
企业云盘的数据迁移不是简单的”从A复制到B”。真正的挑战来自四个方向:
数据量级大。一家2000人规模的设计院,存量文件超过8000万,总体积约280TB。设计院的核心文件(CAD图纸、勘测报告)单文件体积普遍在500MB以上,最大的航测数据包超过12GB。这么大的数据量,用传统FTP迁移要跑多少天?粗算下来,即便带宽跑满也需要两周。
业务不能停。设计院的项目周期普遍很紧,勘察季(3-6月)每天新增项目文件超过200GB。一旦迁移窗口锁定在”某个周末”,实际执行时往往发现:周末根本搬不完,只能继续忍着业务跑迁移,速度更慢,风险更高。
元数据一致性。文件可以复制,但权限、版本、分享链接、回收站状态没法简单复制。某汽车零部件厂商迁移时只复制了文件内容,忽略了权限继承关系,结果新系统上线后研发部门的图纸被市场部门能看到,直接触发了生产事故。
历史包袱重。很多企业云盘运行了三五年,积累了大量的软链接、硬链接、嵌套共享、过期邀请链接。这些”关系”在迁移时要么全部重建,要么全部失效,没有任何中间状态。
二、双写架构:写入阶段的核心矛盾
双写是最直观的方案——新老系统同时写入,迁移完成后切走。但双写最大的坑在于:两套系统的事务语义不同步。
2.1 最容易踩的坑:写入顺序依赖
假设云盘先写数据库再写对象存储。在双写场景下,如果新系统写成功了但老系统对象存储超时,数据库已经commit了,但文件实际不存在。切流后发现大量文件读取失败。
三个项目都遇到过这个问题,解决思路一致:以源系统为事实基准。双写阶段只允许”追加”操作,禁止原地更新和删除。文件变更通过追加新版本实现,而不是覆盖旧版本。这样即便某次写入只成功了老系统,新系统的缺失可以在后续补偿。
2.2 冲突处理机制
设计院迁移时遇到一个典型场景:同一文件在迁移期间被两个用户同时编辑。老系统写入的版本是A,新系统写入的版本是B。切流后谁为准?
实践下来,最稳妥的机制是以老系统last-modified为准,同时记录冲突日志供人工排查。在切流前两周停止新写入,强制所有修改在老系统完成,等增量静止后再执行最终同步。
2.3 写入QPS的控制
280TB数据如果在迁移窗口(2周)内完成迁移,日均需要写入约1.5TB。按4KB平均元数据大小计算,QPS约4800。这对数据库写入是很大压力。
设计院的实际方案是:双写期间关闭老系统的版本快照功能(生成一个历史快照可能需要锁全表),同时把写放大系数控制在1.3以内(通过批量写入而非单条写入)。最终迁移期间老系统写入延迟从8ms上升到23ms,业务侧完全无感知。
三、CDC选型:增量数据的捕获
双写解决了写入问题,但存量数据怎么搬?这就轮到CDC上场了。
3.1 CDC的技术选型对比
CDC(Change Data Capture)方案在企业云盘场景主要面临三种选择:
| 方案 | 数据延迟 | 部署复杂度 | 对源库的压力 | 适用场景 |
|---|---|---|---|---|
| 数据库binlog解析 | 秒级 | 高(需解析协议) | 低(只读binlog) | 有成熟binlog能力 |
| 触发器+消息队列 | 毫秒级 | 中 | 中(写触发器) | 简单场景 |
| 时间戳轮询 | 分钟级 | 低 | 高(频繁全表扫描) | 预算有限/遗留系统 |
省级设计院用的是阿里云DTS(底层是binlog解析),因为他们的MySQL版本是8.0,binlog格式完整。迁移期间DTS对源库CPU占用峰值4%,没有对业务造成可感知的延迟。
汽车零部件厂商用的是Debezium+Kafka组合,因为他们的MySQL是5.7社区版,没有开通binlog。他们用触发器方案,在文件操作表(bm_file_operation)上建了INSERT/UPDATE/DELETE三个触发器,操作记录推送到Kafka。触发器对源库写入延迟影响控制在3ms以内。
三甲医院因为业务系统用的是Oracle 11g,选了OGG(Oracle GoldenGate),部署相对复杂,但最终增量同步延迟稳定在800ms以内。
3.2 大文件CDC的特殊处理
CDC方案对于普通文件很有效,但企业云盘里有大量超大文件。12GB的航测数据包,CDC没法实时捕获——它太大了,拆分成多个chunk写入,读Binlog捕获的是哪个chunk?最终一致性怎么保证?
三个项目统一采用分块+checksum校验方案:大文件按4MB分块存储,每块记录MD5。迁移时按块并行传输,最后用checksum列表做全量校验。设计院280TB数据里,有约60TB是超大文件,分块传输后校验失败率0.3%,失败块重传后全部通过。
3.3 CDC与双写的时间衔接
CDC捕获的是数据库变更,但文件存储在对象存储里。数据库变更和文件实际落盘之间有数百毫秒的延迟(文件上传到对象存储需要时间)。如果CDC先行,数据可能出现”有元数据但文件不存在”。
解决方法是CDC延迟消费:在Kafka消费端加一个延迟队列,收到变更消息后等待N秒(实测N=5秒足够)再处理,给对象存储足够时间落盘。如果等待后发现文件仍不存在,记录异常并重试。
四、灰度切流:把风险切碎
切流是迁移的高潮,也是最容易翻车的环节。
4.1 灰度策略:不要一步到位
很多团队习惯于”半夜停服,一次切完”。这不是灰度,这是赌博。
设计院的切流策略分四阶段:
阶段1:内部验证(1%)。先让公司内部IT部门约50人(占全员2.5%)使用新系统,验证基础功能正常。这个阶段持续5天,发现了权限继承的bug——共享目录里的子目录继承上级权限失败。只影响了2个用户,但如果是全量切流就是2000人的问题。
阶段2:部门试点(10%)。选择项目量相对稳定的行政部门先走。设计院有12个行政部门,先让财务和人事走,约200人。这个阶段发现了同步延迟问题:跨部门的分享链接在新系统生成后,旧系统还能访问,两边数据短暂不一致。解决方案是给分享链接加了一个”有效期”字段,过期后强制重定向。
阶段3:生产观察(50%)。到这一步已经是最大规模演练,设计院用了两周时间让一半用户在新系统工作。这两周内,新老系统并行运行,所有变更双向同步。任何功能异常都记录到迁移日志,这两周共记录了23条问题,其中3条是严重问题(已回滚处理),其余20条通过热修复解决。
阶段4:全量切流(100%)。确认50%阶段无异常后,执行全量切流。切流完成后老系统进入只读状态,保留90天作为备份。这个阶段实际执行时间约4小时,主要是DNS切换和缓存刷新。
4.2 回滚机制:切流失败怎么办
再完美的灰度也有失败可能。三甲医院在阶段3时遇到了数据库连接池被打满的问题——新系统的数据库连接配置是200,但迁移后实际需要800。
回滚机制的核心是流量切换而非数据回滚。切流失败时,流量切回老系统,不需要把新系统的数据同步回去(数据还在,只是不用)。老系统继续对外服务,新系统做修复后重新验证。三甲医院的回滚执行了2小时,期间业务完全正常(新系统只承载试跑流量),修复后重新走阶段2。
4.3 切流后的数据校验
切流完成后,数据校验是最后一道关。
设计院的校验方案是三层校验:
- 元数据校验:对比新老系统的文件列表,数量差异<1条为通过(允许一个文件在切流瞬间被创建/删除)
- 权限校验:抽查500个用户的关键目录权限,与老系统快照对比
- 内容校验:对超大文件(>100MB)做MD5抽样校验,抽样比例5%,总耗时约6小时
校验通过后,关闭老系统的写入口,但保留读取能力90天。这90天是缓冲期,万一新系统出现重大问题,还有老系统作为最后的备份。
五、三个项目的迁移数据复盘
| 项目 | 数据量 | 迁移周期 | 停机时间 | 最大问题 |
|---|---|---|---|---|
| 省级设计院 | 280TB/8000万文件 | 45天 | 4小时(全量切流) | 权限继承bug |
| 汽车零部件厂商 | 85TB/1200万文件 | 28天 | 0(双写期间无停机) | 连接池配置不足 |
| 三甲医院 | 45TB/600万文件 | 35天 | 2小时(回滚期间) | Oracle CDC延迟 |
最值得关注的是三甲医院的回滚案例。回滚本身没有造成业务中断,但回滚后的修复+重新灰度总共花了额外3周。如果当时没有保留老系统的读写能力,回滚本身就要停机。
六、给IT负责人的迁移检查清单
迁移不是技术活,是项目管理活。以下是三个项目共同验证过的检查项:
迁移前置检查:
– [ ] 存量数据量统计(元数据量 + 文件体积分布)
– [ ] 源系统峰值写入QPS和延迟
– [ ] 带宽评估(迁移窗口内的数据传输量 vs 实际可用带宽)
– [ ] 权限模型梳理(老系统权限层级 vs 新系统权限模型是否兼容)
– [ ] 依赖关系梳理(哪些业务系统依赖云盘的API,切流后如何处理)
双写阶段检查:
– [ ] 写入顺序是否以源系统为基准
– [ ] 冲突日志是否完整记录
– [ ] 写入QPS是否在源库承受范围内
– [ ] CDC延迟消费是否配置(N秒等待)
切流阶段检查:
– [ ] 灰度策略是否覆盖1%/10%/50%/100%各阶段
– [ ] 回滚机制是否可执行(流量切换而不是数据回滚)
– [ ] 校验方案是否覆盖元数据/权限/内容三层
– [ ] 老系统保留期是否足够(建议90天)
数据迁移没有银弹,但有成熟套路。双写解决同步问题,CDC解决增量问题,灰度切流解决风险问题。这三个环节配合到位,零停机迁移从不可能变成可工程化。
文章由虾条创作 | 面向IT负责人/技术管理者 | 字数:约3100字