教育App中的课程录制回放系统，如何保证高可用性和数据安全？请设计容灾方案，并说明关键组件和流程。

1) 【一句话结论】采用“多活+多级备份”的容灾架构，通过多数据中心部署核心服务、分布式存储冗余、实时数据同步与定期冷备份，结合加密与访问控制，实现高可用与数据安全。

2) 【原理/概念讲解】老师口吻：同学们，高可用性（HA）是指系统持续提供服务的能力，数据安全是防止数据泄露、篡改。容灾方案核心是“冗余+隔离+快速恢复”——就像银行的双活数据中心，同时每个分行有备份账户，这样即使一个分行被抢，其他分行和备份账户还能用，而且数据同步实时，保证最新。具体来说，多活架构让多个数据中心同时对外服务，避免单点故障；分布式存储（如对象存储）通过多副本保证数据不丢失；数据库主从复制实现实时数据同步；冷备份则作为“保险”，定期将数据备份到离线存储，应对极端情况。

3) 【对比与适用场景】

方案类型	定义	特性	使用场景	注意点
主从复制（同步）	主库写，从库实时同步	数据一致性高，但写性能受从库影响	对一致性要求高的写操作（如课程录制实时写入）	需要高带宽网络，故障切换慢
主从复制（异步）	主库写，从库延迟同步	写性能高，但数据延迟	读密集型场景（回放查询）	数据一致性有风险
多活架构（多数据中心）	多个数据中心同时对外提供服务	高可用，故障切换秒级	业务跨区域（如北京、上海、深圳）	需要跨区域网络优化，数据同步复杂
冷备份	定期全量/增量备份到离线存储	成本低，恢复时间长	非核心数据或非实时业务	恢复时需人工介入

4) 【示例】
假设使用分布式对象存储（如阿里云OSS）存储视频回放文件，数据库用MySQL主从复制。伪代码示例：

• 服务层：部署在北京、上海两个数据中心，每个数据中心有课程录制服务（写）和回放服务（读）。
• 数据库：北京主库（写），上海从库（同步），同时每天凌晨3点将全量数据备份到OSS冷存储。
• 视频存储：视频文件上传后，同时写入北京OSS和上海OSS，并生成哈希校验，存储到Redis缓存（高可用）。
• 容灾流程：若北京数据中心故障，上海数据中心自动接管，用户请求从上海服务，视频从上海OSS读取。同时，通过数据库主从切换（主从切换脚本），恢复北京主库。

5) 【面试口播版答案】
面试官您好，针对教育App课程录制回放系统的高可用和数据安全，我的容灾方案核心是“多活+多级备份”架构。具体来说，通过在核心城市部署多套服务集群（比如北京、上海双活），实现故障秒级切换；同时采用分布式存储（如对象存储）和数据库主从复制，保证数据实时同步；另外每天进行全量数据备份到冷存储，确保数据不丢失。关键组件包括：多活服务集群、分布式存储（支持多副本）、数据库主从复制、备份管理系统。流程上，录制时数据实时同步到多数据中心，回放时自动路由到可用节点；故障时通过健康检查自动切换，备份时定期全量备份。数据安全方面，存储加密传输和静态加密，访问控制基于RBAC。这样既能保证高可用，又能保障数据安全。

6) 【追问清单】

• 问题1：如何保证数据一致性？回答要点：通过数据库主从同步（同步模式）+ 分布式存储多副本（如3副本），确保写操作后数据在多个节点一致。
• 问题2：容灾恢复时间目标（RTO）和恢复点目标（RPO）是多少？回答要点：RTO控制在秒级（故障切换），RPO控制在分钟级（通过异步备份+实时同步）。
• 问题3：跨区域网络延迟对视频回放的影响？回答要点：通过CDN缓存热点视频，核心数据同步采用低延迟网络（如专线），减少延迟。
• 问题4：如何处理数据泄露风险？回答要点：存储加密（传输加密+静态加密）、访问控制（RBAC）、审计日志。
• 问题5：如果多个数据中心同时故障，如何保障？回答要点：采用冷备份+异地备份（如海外数据中心），定期全量备份到离线存储，恢复时人工介入。

7) 【常见坑/雷区】

• 坑1：只说架构不提具体组件，比如只说多活，没说数据库、存储选型，显得不具体。
• 坑2：忽略数据安全细节，比如没提加密、权限控制，容易被反问。
• 坑3：容灾方案不区分业务优先级，比如所有数据同等对待，实际业务中课程回放有不同重要性，应分层处理。
• 坑4：恢复流程复杂，比如手动切换，导致RTO过高，不符合高可用要求。
• 坑5：未考虑网络隔离，比如多数据中心之间网络未隔离，导致安全风险。