金暉 王梓名 歐兵
摘要:隨著醫(yī)院信息化建設(shè)的不斷發(fā)展,HIS、LIS、RIS、PACS等諸多應(yīng)用系統(tǒng)的數(shù)據(jù)量愈來愈大,數(shù)據(jù)的重要性日益凸顯,數(shù)據(jù)丟失或系統(tǒng)宕機造成的醫(yī)院經(jīng)濟損失和聲譽影響是醫(yī)院不能接受的。如何設(shè)計有效的數(shù)據(jù)保護和系統(tǒng)恢復(fù)架構(gòu),實現(xiàn)醫(yī)院關(guān)鍵業(yè)務(wù)的不間斷成為信息系統(tǒng)從業(yè)人員關(guān)注的焦點。
關(guān)鍵詞:醫(yī)院;信息系統(tǒng);容災(zāi);CDP技術(shù);信息化建設(shè) 文獻標識碼:A
中圖分類號:R197 文章編號:1009-2374(2015)32-0063-03 DOI:10.13535/j.cnki.11-4406/n.2015.32.034
1 概述
業(yè)界的容災(zāi)就是在異地建立一套關(guān)鍵應(yīng)用的備份,利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對災(zāi)難性事件的抵御,根據(jù)對災(zāi)難性事件的抵抗程度,容災(zāi)可分為數(shù)據(jù)級容災(zāi)和應(yīng)用級容災(zāi)。數(shù)據(jù)級容災(zāi)就是建立一套異地的數(shù)據(jù)系統(tǒng),對本地系統(tǒng)的關(guān)鍵應(yīng)用數(shù)據(jù)實時復(fù)制,當災(zāi)難出現(xiàn)后可以通過異地備份系統(tǒng)將數(shù)據(jù)恢復(fù)出來,保證本地系統(tǒng)數(shù)據(jù)的完整性。應(yīng)用級容災(zāi)比數(shù)據(jù)級容災(zāi)要求高,首先需要在異地建立一套和本地數(shù)據(jù)系統(tǒng)相當?shù)膫浞輵?yīng)用系統(tǒng),在災(zāi)難出現(xiàn)后,異地備份應(yīng)用系統(tǒng)能迅速接管或承擔(dān)本地應(yīng)用系統(tǒng)的業(yè)務(wù)。由于應(yīng)用級容災(zāi)所涉及的資金投入過大,國內(nèi)大部分醫(yī)院都沒有建設(shè),多采取簡單的數(shù)據(jù)備份來防范災(zāi)難,數(shù)據(jù)恢復(fù)時間長自然不可避免。
2 系統(tǒng)現(xiàn)狀和整改思路
我院信息系統(tǒng)建設(shè)較為完善,除HIS、LIS、PACS三大系統(tǒng)和服務(wù)器虛擬化應(yīng)用,還包括其他十幾個應(yīng)用系統(tǒng)。其中LIS、PACS系統(tǒng)均采用雙機單陣列結(jié)構(gòu),服務(wù)器虛擬化應(yīng)用是多機單陣列結(jié)構(gòu),并且各自為陣,成為SAN結(jié)構(gòu)孤島,雖然LIS、PACS系統(tǒng)有基本數(shù)據(jù)定時備份機制,但是系統(tǒng)都存在單點故障,架構(gòu)如圖1所示:
圖1
為了排除這些風(fēng)險點,我們決定進行架構(gòu)調(diào)整和運用一些新技術(shù)、新功能來逐步完善系統(tǒng),計劃從三個方面來實現(xiàn)對LIS、PACS、服務(wù)器虛擬化應(yīng)用的數(shù)據(jù)保護。
2.1 配置數(shù)據(jù)邏輯保護
當系統(tǒng)發(fā)生邏輯破壞,如病毒、人為誤操作等造成的數(shù)據(jù)修改、數(shù)據(jù)刪除或者文件系統(tǒng)受損等,可以進行回滾或修復(fù),確保數(shù)據(jù)丟失量控制在秒級。
2.2 增加數(shù)據(jù)的物理保護
在實現(xiàn)數(shù)據(jù)邏輯保護的前提下,進一步提高系統(tǒng)物理冗余度,實現(xiàn)物理和虛擬環(huán)境數(shù)據(jù)的物理保護,保證上述業(yè)務(wù)在出現(xiàn)物理故障時,如磁盤陣列損壞、宕機等,實現(xiàn)數(shù)據(jù)不丟失、業(yè)務(wù)不停頓。
2.3 兼顧異地容災(zāi)
經(jīng)過“5·12”大地震之后,容災(zāi)的必要性越來越多地在信息化建設(shè)中被提及,我們想利用本次系統(tǒng)的整改,兼顧未來發(fā)展,增加適當?shù)脑O(shè)備實現(xiàn)異地容災(zāi)的前期架構(gòu)。
3 CDP技術(shù)
通過多方了解和與業(yè)界數(shù)據(jù)保護領(lǐng)先廠商的技術(shù)交流,并結(jié)合我院的實際情況,我們計劃采用CDP技術(shù)來實現(xiàn)容災(zāi)和數(shù)據(jù)保護。
CDP容災(zāi)是一種持續(xù)數(shù)據(jù)保護(CDP)技術(shù),內(nèi)置實時備份、災(zāi)難恢復(fù)和介質(zhì)同步模塊,可持續(xù)地復(fù)制生產(chǎn)服務(wù)器上的數(shù)據(jù)庫應(yīng)用系統(tǒng)的變化,并將變化同步或異步地復(fù)制到介質(zhì)服務(wù)器的OFS卷和容災(zāi)服務(wù)器的數(shù)據(jù)卷上,當災(zāi)難發(fā)生時,可通過容災(zāi)服務(wù)器接管原有系統(tǒng),并從介質(zhì)服務(wù)器上恢復(fù)任意時間點到生產(chǎn)服務(wù)器,達到應(yīng)用系統(tǒng)RPO和RTO最低的目標。
CDP技術(shù)的部署方式存在兩種:一種是帶內(nèi)部署;另一種是帶外部署,其代表廠家有FalconStor和Datacore等,我們針對兩種方式都進行了部署測試。
3.1 帶內(nèi)部署(Datacore)
通過測試Datacore的CDP技術(shù),總結(jié)其特點是利用實時備份模塊正向持續(xù)復(fù)制,將生產(chǎn)服務(wù)器上應(yīng)用系統(tǒng)的數(shù)據(jù)庫變化復(fù)制到介質(zhì)服務(wù)器,介質(zhì)服務(wù)器保存數(shù)據(jù)到CDP日志卷,同時介質(zhì)服務(wù)器再將數(shù)據(jù)分發(fā)到對應(yīng)的容災(zāi)服務(wù)器。生產(chǎn)服務(wù)器定期通過網(wǎng)絡(luò)向容災(zāi)服務(wù)器發(fā)送消息,稱之為“心跳線”,容災(zāi)服務(wù)器能夠接收到生產(chǎn)服務(wù)器的“心跳”,就知道生產(chǎn)服務(wù)器情況,當生產(chǎn)服務(wù)器宕機,容災(zāi)服務(wù)器無法接收到“心跳”,就知道生產(chǎn)服務(wù)器出現(xiàn)故障,于是災(zāi)難恢復(fù)模塊通知容災(zāi)服務(wù)器接管原有系統(tǒng)。
容災(zāi)接管分自動接管和手動接管,可以自主選擇。自動接管是當容災(zāi)服務(wù)器檢測到生產(chǎn)服務(wù)器宕機后,生產(chǎn)服務(wù)器的IP會自動漂移到容災(zāi)服務(wù)器上,容災(zāi)服務(wù)器自發(fā)開始運行。手動接管是生產(chǎn)服務(wù)器的IP不會自動漂移給容災(zāi)服務(wù)器,需要手動操作完成,漂移完成后,容災(zāi)服務(wù)器啟動,對外提供服務(wù)。
在利用Datacore虛擬存儲網(wǎng)關(guān)進行搭建時,需要整合目前我院的PACS、LIS、服務(wù)器虛擬化應(yīng)用,將它們各自的SAN網(wǎng)絡(luò)打通,在光纖交換機和磁盤陣列之間串聯(lián)入Datacore虛擬存儲網(wǎng)關(guān),實現(xiàn)對下級陣列的接管,然后將其中的LUN映射給上一級的網(wǎng)管設(shè)備,用于為上級服務(wù)器提供訪問??紤]到網(wǎng)管的單一性,我們采取了冗余的雙網(wǎng)管結(jié)構(gòu),保障竄入節(jié)點的安全性。
圖2
如圖2所示,我們采用Datecore虛擬存儲網(wǎng)管分別從業(yè)務(wù)高可用、數(shù)據(jù)邏輯破壞保護與歷史數(shù)據(jù)追溯、提升存儲性能等方面來為PACS、LIS、服務(wù)器虛擬化應(yīng)用進行存儲的架構(gòu)整改測試。
首先是業(yè)務(wù)系統(tǒng)的可靠性,根本方法就是提高系統(tǒng)冗余度。我院計劃在存儲虛擬化改造中,將提高系統(tǒng)冗余度作為重點,分別增加兩臺大容量的磁盤陣列來實現(xiàn)底層數(shù)據(jù)的鏡像和分區(qū)存儲CDP數(shù)據(jù)以及快照,從而真正保證這些業(yè)務(wù)的24X7運行。其中采用SANsymphony-V存儲網(wǎng)關(guān)來實現(xiàn)存儲的實時同步及存儲故障的無縫切換。由于SANsymphony-V在存儲高可用方面有很高的可靠性,并且數(shù)據(jù)鏡像技術(shù)是實現(xiàn)CDP的前提條件,雖然數(shù)據(jù)鏡像技術(shù)有多種,但是利用存儲高可用的數(shù)據(jù)鏡像技術(shù)實現(xiàn)CDP,兼顧了業(yè)務(wù)系統(tǒng)物理和邏輯保護,是數(shù)據(jù)保護的最佳手段。
其次是使用SANsymphony-V的快照與CDP相結(jié)合的方式對數(shù)據(jù)進行保護,實現(xiàn)數(shù)據(jù)邏輯破壞保護與歷史數(shù)據(jù)追溯。Datecore的CDP(Continue Data Protection)技術(shù)保障了PACS、LIS、服務(wù)器虛擬化應(yīng)用系統(tǒng)數(shù)據(jù)可以恢復(fù)到2周內(nèi)的任意時間點,而快照技術(shù)可用于更久時間以前的某個時間的快速恢復(fù)。
至于存儲系統(tǒng)性能提升,在IT產(chǎn)業(yè)中,計算速度一直遵循著摩爾定律,性能在飛速提升,但存儲設(shè)備由于是電子和機械的結(jié)合體,其性能提高的速度遠遠落后于主機性能的提升。所以在實際業(yè)務(wù)系統(tǒng)的使用中,最終的性能瓶頸往往是存儲的訪問速度,所以要提高業(yè)務(wù)的訪問速度,存儲的性能的提升往往會起到立竿見影的效果。由于SANsymphony-V存儲網(wǎng)關(guān)附有高速大容量緩存技術(shù)、自動熱點平衡技術(shù)、自動分層技術(shù),所以對原有以及新購的存儲設(shè)備的性能都有改進。
3.2 帶外部署方式(FalconStor)
通過測試FalconStor的CDP技術(shù),總結(jié)其特點是采用了許多關(guān)鍵技術(shù),比如精簡復(fù)制技術(shù)(Microscan)、存儲虛擬化技術(shù)、多種策略的遠程Replication技術(shù)、多時間點自動快照技術(shù)、連續(xù)I/O記錄技術(shù)(Journal)、
數(shù)據(jù)一致性保證技術(shù)、讀/寫優(yōu)化技術(shù)。
圖3
如圖3所示,我們測試的FalconStor的CDP全面數(shù)據(jù)保護系統(tǒng)是一套行集磁盤鏡像、數(shù)據(jù)連續(xù)保護和備份、遠程容災(zāi)于一體的綜合解決方案。
基本架構(gòu)是在我們的災(zāi)備站點部署一臺FalconStor的CDP服務(wù)器,接入到SAN存儲網(wǎng)絡(luò)中,通過FC協(xié)議進行數(shù)據(jù)保護,通過以太網(wǎng)進行管理,保護數(shù)據(jù)的方法是將生產(chǎn)數(shù)據(jù)鏡像到CDP服務(wù)器中。在生產(chǎn)中心將CDP代理模塊安裝在生產(chǎn)機上,以鏡像的方式將生產(chǎn)數(shù)據(jù)的當前狀態(tài)或即時IO流抓取到CDP服務(wù)器中。代理模塊采用旁路的獲取數(shù)據(jù),不影響正常的生產(chǎn)數(shù)據(jù)。采用TCP/IP協(xié)議,復(fù)制策略根據(jù)實際的數(shù)據(jù)增量和傳輸帶寬靈活制定,設(shè)置為實時或間隔等多種級別,實現(xiàn)多歷史點保護,數(shù)據(jù)在CDP服務(wù)器上可保存200多份定時歷史,帶寬充足時還可具備長達30天的任意時間點的IO變化錄像。所有歷史點可在任何時刻提取,無需Restore過程,無需使用臨時空間暫存Restore回滾數(shù)據(jù)。還可提取多個歷史點,供一臺或多臺服務(wù)器讀寫,寫入不會破壞原始版本,可隨時撤消改變,也可永久保存。
4 CDP技術(shù)的優(yōu)劣
通過對比上述兩種部署方式和實際測試使用,我們發(fā)現(xiàn)datacore的CDP技術(shù)的主要優(yōu)勢在于響應(yīng)服務(wù)器快速,數(shù)據(jù)流到達CDP網(wǎng)關(guān)設(shè)備即返回,但由于是串入在結(jié)構(gòu)中,一旦CDP硬件或軟件發(fā)生故障必然影響到系統(tǒng)的正常運行,而FalconStor的CDP技術(shù)的主要技術(shù)優(yōu)勢在于旁路接入,不影響系統(tǒng)的結(jié)構(gòu),部署簡單,CDP的硬件或軟件故障都不會影響系統(tǒng)的正常工作。
兩種CDP技術(shù)都優(yōu)于傳統(tǒng)的備份技術(shù),由于CDP技術(shù)是一種數(shù)據(jù)的連續(xù)時間點的保護技術(shù),其作用能在故障瞬間完成任何時間點的故障恢復(fù),從根本上解決傳統(tǒng)備份中低恢復(fù)能力和非精細時間策略的弱點。傳統(tǒng)備份技術(shù)所困擾人們的長備份窗口和按天進行備份的弱點將不再存在,CDP實時鏡像備份技術(shù)所獲取的數(shù)據(jù)影像不是專用的備份格式,而是直接的數(shù)據(jù)原型,因此數(shù)據(jù)的恢復(fù)將是立即可用,這在恢復(fù)技術(shù)上是根本進步。CDP采用的多點快照技術(shù),既是災(zāi)難發(fā)生時保護最新數(shù)據(jù)的備份技術(shù),也是歷史數(shù)據(jù)丟失時恢復(fù)原有數(shù)據(jù)的備份技術(shù),由于自動產(chǎn)生數(shù)據(jù)的多個時間點保存,因此即使丟失的數(shù)據(jù)已經(jīng)過了幾天,仍然可以快速實現(xiàn)獲取正確的歷史數(shù)據(jù)。當系統(tǒng)發(fā)生邏輯災(zāi)難時,CDP能夠提供顆粒度達到IO的歷史軌跡恢復(fù)能力,追溯歷史,使災(zāi)難防御能力得到大大提高,同時CDP在本地連續(xù)數(shù)據(jù)保護和異地容災(zāi)兩個層面都能提供數(shù)據(jù)一致性機制,保證了復(fù)制到災(zāi)備端CDP數(shù)據(jù)的可用性。
無論采用哪種方式的CDP技術(shù),其設(shè)計思想都擺脫了傳統(tǒng)備份方式的弱點,都可以實現(xiàn)對我院PACS、LIS、服務(wù)器虛擬化應(yīng)用系統(tǒng)數(shù)據(jù)的實時而快速的恢復(fù)。
5 結(jié)語
按照國家頒布的《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》(GB_T 20988-2007)和《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》,醫(yī)院信息系統(tǒng)應(yīng)該達到相應(yīng)的容災(zāi)等級要求,可以根據(jù)自身的條件來建立相應(yīng)的容災(zāi)保護。我們認為在對于RPO和RTO指標要求很高的情況下,兼顧TCO和ROI指標采用CDP技術(shù)不失為一套行之有效的方法,它兼具了磁盤鏡像、數(shù)據(jù)連續(xù)保護和備份遠程容災(zāi)于一體,為醫(yī)院提供全面的數(shù)據(jù)保護。
參考文獻
[1] 黎斌,胡睿,李正,等.淺談災(zāi)備系統(tǒng)建設(shè)在區(qū)域地震數(shù)據(jù)中心的應(yīng)用[J].電腦知識與技術(shù),2013,(8).
[2] 張順仕,竇光芒,張旭.基于業(yè)務(wù)數(shù)據(jù)庫的容災(zāi)系統(tǒng)應(yīng)用研究[J].電腦知識與技術(shù),2012,(29).
[3] 楊棟.CDP技術(shù)在醫(yī)院災(zāi)備系統(tǒng)中的應(yīng)用[J].科學(xué)管理,2011,(7).
[4] 溪利亞,顧兵.CDP技術(shù)在數(shù)據(jù)容災(zāi)系統(tǒng)中的應(yīng)用[J].科學(xué)管理,2011,(10).
[5] 阜外醫(yī)院通過信息安全等保三級[J].中國信息界(e醫(yī)療),2013,(2).
[6] 劉其成,鄭緯民,陳康.虛擬化技術(shù)在容災(zāi)系統(tǒng)中的應(yīng)用[J].小型計算機系統(tǒng),2010,(10).
作者簡介:金暉(1965-),男,北京人,四川大學(xué)華西第二醫(yī)院工程師,碩士,研究方向:計算機應(yīng)用;王梓名
(1987-),男,四川巴中人,供職于四川大學(xué)華西第二醫(yī)院,碩士,研究方向:軟件設(shè)計;歐兵(1963-),男,陜西漢中人,供職于四川大學(xué)生命科學(xué)學(xué)院,研究方向:圖書情報。
(責(zé)任編輯:秦遜玉)