醫(yī)院雙活數(shù)據(jù)中心災備系統(tǒng)的探討和實踐

劉志國 薛家貴

摘要：目的：在原有的業(yè)務雙活主機架構基礎上升級容災備份系統(tǒng)，探索符合我院現(xiàn)狀的容災方案，進一步保障業(yè)務系統(tǒng)平穩(wěn)運行，生產數(shù)據(jù)安全可用。方法：通過對比和分析，在節(jié)約成本的情況下，保留已有的容災和集中備份，利用Oracle Data Guard 構建容災備份，提高閑置設備的利用率。成效：整套系統(tǒng)設計無任何設備單點故障，實現(xiàn)本地和異地數(shù)據(jù)中心環(huán)境下生產、應急、容災、備份的完美結合。結論：實踐證明，生產中心、災備中心兩端都為“雙活”架構，是行之有效的容災建設方案。

關鍵詞：醫(yī)院信息化;數(shù)據(jù)安全;容災;備份;節(jié)約成本

一、引言

如今醫(yī)院信息化建設不斷發(fā)展，業(yè)務也在不斷擴大，信息也成為醫(yī)院的生產資源，業(yè)務流、資金流、信息流相互作用，貫穿醫(yī)院運營管理的全過程。各種業(yè)務系統(tǒng)產生的核心數(shù)據(jù)逐漸增多，業(yè)務系統(tǒng)容災和數(shù)據(jù)備份保護顯得尤其重要。數(shù)據(jù)安全、業(yè)務連續(xù)和用戶隱私保護，是信息化環(huán)境下各類用戶最重要的安全原則。如何通過災備保證系統(tǒng)安全及業(yè)務連續(xù)性，成為醫(yī)院信息科室關注的問題，經(jīng)濟性也是重要考量因素。災備系統(tǒng)規(guī)劃建設中，將新舊設備分別建設于生產和容災是合理化利用物理設備的有效解決方案。

二、醫(yī)院現(xiàn)狀

我院現(xiàn)有HIS、LIS、EMR、PACS等核心系統(tǒng)來承擔醫(yī)院的日常業(yè)務運行，HIS、LIS、PACS、EMR、體檢、銀醫(yī)通、物資設備等業(yè)務系統(tǒng)都建有相應的備份功能，為了實現(xiàn)對系統(tǒng)和數(shù)據(jù)的多重保護，確保重要數(shù)據(jù)萬無一失，同時提高系統(tǒng)和數(shù)據(jù)應急恢復能力，我們采用備份一體機AnyBackup 5.0對現(xiàn)有業(yè)務系統(tǒng)的生產數(shù)據(jù)、服務器操作系統(tǒng)、虛擬化平臺的虛擬機系統(tǒng)和數(shù)據(jù)等重要數(shù)據(jù)采取統(tǒng)一的、集中的備份，同時采用增量備份和完全備份相結合的模式，提高防災、容災的能力。備份一體機恢復數(shù)據(jù)需要專業(yè)的環(huán)境，恢復時間受環(huán)境搭建、硬件設備等影響。原備份一體機基于應用層備份，無存儲層備份。醫(yī)院原搭建的oracle RAC群集的物理設備已經(jīng)使用超過5年，我院已于今年進行更換。但是閑置下來的RAC群集物理設備變得相對雞肋，使用在低端業(yè)務應用有些奢侈，使用在高端業(yè)務安全性能不夠，原設計方案建設的軟件無法與新搭建的軟件并行。

三、需求分析

為了保護我院信息化平臺的數(shù)據(jù)信息，必須對其信息系統(tǒng)平臺上的數(shù)據(jù)進行有效的備份。通過配置相應的數(shù)據(jù)備份軟件、磁帶庫等軟、硬件系統(tǒng)，以防止因為硬件損壞、邏輯錯誤、人為誤操作等故障而引起計算機系統(tǒng)的數(shù)據(jù)丟失與數(shù)據(jù)損壞[1]?；谖以盒畔⒒l(fā)展中長期建設規(guī)劃，結合我院現(xiàn)有實際情況和未來發(fā)展需求，我院組織專家組經(jīng)過詳細考察和論證，提出建設數(shù)據(jù)生產中心和災備中心兩端都為雙活架構的災備系統(tǒng)[2]。采用不同技術實現(xiàn)醫(yī)院信息系統(tǒng)的容災備份，對我院的HMIS系統(tǒng)提供全面的容災保護，最大限度地消除造成業(yè)務中斷或導致系統(tǒng)性能下降的各種因素。提供一種完整、可靠的數(shù)據(jù)備份方案，實現(xiàn)對各種平臺的數(shù)據(jù)進行基于策略的自動備份、集中管理，備份工作無需人工干預，不需要耗費大量的人力和時間;可以進行數(shù)據(jù)庫在線備份，支持磁帶庫、硬盤備份等多種的備份方式，確保系統(tǒng)的數(shù)據(jù)的安全性與可靠性，在數(shù)據(jù)被破壞時擁有可靠的恢復能力。

四、容災升級方案設計原則

重視系統(tǒng)架構設計，優(yōu)化系統(tǒng)建設方案;

實現(xiàn)應用級和數(shù)據(jù)級容災;

盡量避免影響到業(yè)務系統(tǒng)正常運行;

雙中心業(yè)務統(tǒng)一部署，統(tǒng)一管理;

網(wǎng)絡資源與計算資源高效利用;

保證恢復數(shù)據(jù)的可靠性。

五、災備方案設計與實現(xiàn)

（一）我院原網(wǎng)絡環(huán)境拓撲圖

（二）存儲雙活實現(xiàn)方式對比分析

本次通過相關技術對比，確定：

1.數(shù)據(jù)中心內的存儲設備的品牌型號，屬歷次采購形成，為保證兼容性，采用存儲虛擬化雙活統(tǒng)一管理各存儲，在存儲網(wǎng)關層實現(xiàn)本地雙活。

2.數(shù)據(jù)中心之間，采用Oracle DataGuard實現(xiàn)實時復制。為避免影響生產中心業(yè)務，采用異步方式，避免偶爾的光纖線路故障對業(yè)務的影響。

（三）解決方案設計

搭建數(shù)據(jù)庫雙活必須構建網(wǎng)絡和存儲雙活，我院通過華為CSS技術搭建網(wǎng)絡雙活，通過虛擬化存儲網(wǎng)關搭建存儲雙活，加上部署的Oracle RAC已經(jīng)構建合格的災備技術處理方案，但因為物理硬件的升級，閑置物理設備的高效合理化應用需要，我院計劃在災備的基礎上升級為容災，升級后解決數(shù)據(jù)可用性的問題。

Oracel的數(shù)據(jù)災備技術有3個，分別是RAC、DataGuard、GoldenGate。RAC用于本地數(shù)據(jù)庫雙活，RAC的優(yōu)點主要在于高可用性和負載均衡，一臺機器有故障不影響業(yè)務系統(tǒng)訪問數(shù)據(jù)庫[3]。DataGuard用于災備，是在主節(jié)點與備用節(jié)點間通過日志同步來保證數(shù)據(jù)的同步，可以實現(xiàn)數(shù)據(jù)庫快速切換與災難性恢復。GoldenGate用于異構主機的數(shù)據(jù)災備和實時復制[4]。GoldenGate最大特點是異構，即異構數(shù)據(jù)庫支持，應用場景多為業(yè)務級災備，目前我院沒有實際需求，所以這里不做深入探討研究。

1. DataGuard優(yōu)缺點對比分析

2.備用庫測試困難

3.切換后數(shù)據(jù)庫的IP發(fā)生變化，應用需要更改數(shù)據(jù)源信息

4.完成處于主備模式下，會導致備機硬件長期閑置

5.需要專業(yè)化數(shù)據(jù)庫工程師運維

6.應用場景相對較窄，多用于容災備份

我院已有ORACLE RAC數(shù)據(jù)庫，今年更新物理設備后導致原環(huán)境的物理設備閑置。搭建Oracle DataGuard可以補充oracle rac群集，原有的RAC群集環(huán)境及物理設備可以保留作為備機，在Oracle DataGuard主備工作模式中，既合理利用了原來的數(shù)據(jù)庫環(huán)境、降低資源閑置的建設費用，又增加了災備切換模式，一舉多得。隨著醫(yī)院業(yè)務量的不斷攀升，原有的工作人員運維能力、工作內容都出現(xiàn)不足，業(yè)務量的攀升也必然導致引進專業(yè)的運維公司駐場運維，所以Oracle DataGuard缺點中的1、4、5、6點對我院實際生產工作中不存在問題。

基于Oracle DataGuard在容災備份中出現(xiàn)的人工干預和備用庫測試困難等情況，我院引進某品牌DBRA全業(yè)務容災系統(tǒng)和運維一體機做為容災中的補充和完善。某品牌DBRA全業(yè)務容災系統(tǒng)依舊支持災難應急恢復切換和計劃維護切換兩類場景[5]，主要體現(xiàn)在以下兩步驟：

1.數(shù)據(jù)同步：實現(xiàn)應用程序、中間件和數(shù)據(jù)庫等業(yè)務系統(tǒng)各組成部分的數(shù)據(jù)同步，同時確保數(shù)據(jù)一致性和系統(tǒng)可用性;

2.災難恢復：當發(fā)生故障時，能夠在5分鐘內根據(jù)不同的細粒度要求一鍵應急切換到災備中心，保障整個業(yè)務系統(tǒng)持續(xù)運行。

（四）技術方案描述

采取oracle RAC與DataGuard用于主從結構的高可用災備解決方案，RAC為實例級的冗余提供負載均衡與實例高可用性，DataGuard為數(shù)據(jù)庫級冗余提供數(shù)據(jù)存儲級高可用性和數(shù)據(jù)安全災備服務。同時增加第三方某品牌DBRA全業(yè)務容災系統(tǒng)設備，保留原備份一體機用于處理數(shù)據(jù)級災備。

1.根據(jù)以上分析，依據(jù)我院對HIS系統(tǒng)業(yè)務接管的建設目標，采用生產中心+應急中心+容災中心+數(shù)據(jù)備份相結合的災備模式，本地生產機房仍采用2臺服務器+2臺光纖交換機+2臺存儲虛擬化網(wǎng)關+2臺核心存儲的雙活架構，實現(xiàn)主機端的高可用和負載均衡，解決設備的單點故障問題，實現(xiàn)生產機房的本地容災。容災機房使用原有的2臺HIS服務器+2臺光纖交換機+2臺存儲虛擬化網(wǎng)關+2臺核心存儲的雙活架構也實現(xiàn)高可用和負載均衡，解決設備的單點故障問題，實現(xiàn)災備機房的本地容災。兩套系統(tǒng)通過Oracle Data Guard實現(xiàn)兩套RAC冗余，通過網(wǎng)絡實現(xiàn)遠程數(shù)據(jù)容災。主節(jié)點與備用節(jié)點間通過日志同步來保證數(shù)據(jù)的同步，出現(xiàn)應急故障時可以應急切換，可以實現(xiàn)快速切換與災難性恢復。有效地保障了業(yè)務運行的持續(xù)性和穩(wěn)定性。

2.原備份一體機繼續(xù)使用，原備份一體機系列產品是一種集備份、容災、磁盤陣列、虛擬磁帶庫等功能為一體的軟、硬件一體化備份平臺。為業(yè)務環(huán)境提供了各類數(shù)據(jù)與應用的備份恢復，并且提供業(yè)務災難接管功能。隨著時間的更替，其業(yè)務災難接管功能已不滿足使用，現(xiàn)繼續(xù)使用其備份和還原功能，備份應用服務器的文件備份如PACS的圖片等。

3.由于容災備份往往涉及應用系統(tǒng)、中間件、數(shù)據(jù)庫、網(wǎng)絡和其他容災對象等復雜情況，因此傳統(tǒng)容災產品及方案往往對切換過程的處理并不是很完善，整個切換過程非常復雜，往往牽涉到各個環(huán)節(jié)的切換操作，甚至有些還需要人工通過命令行的方式進行操作，整個應急切換流程非常復雜耗時不說，往往還容易出錯，造成整個應急切換的失敗，無法實現(xiàn)災難恢復的目標。使用某品牌全業(yè)務容災系統(tǒng)的一鍵切換功能，在WEB管理界面中設立一個功能鍵，通過流程自定義編排，無論在災難應急還是計劃內維護切換時，均可以通過一個按鍵完成切換，整個流程自切換啟動后全部自動化完成，極大降低了人為干預和切換耗時，極大保障了切換成功率，降低了RTO[6]。

六、災備系統(tǒng)建設成效

（一）實現(xiàn)網(wǎng)絡雙活

我院采用的是華為CSS技術將多臺網(wǎng)絡設備虛擬化為一臺網(wǎng)絡設備（虛擬設備），并將這些設備作為單一設備管理和使用。

（二）實現(xiàn)存儲雙活

通過虛擬化存儲網(wǎng)關整合光纖存儲陣列、iSCSI存儲陳列、SAS存儲陣列實現(xiàn)儲雙活，基于虛擬化技術的無縫數(shù)據(jù)遷移技術將存儲做雙向鏡像，其中一臺存儲故障，不影響業(yè)務使用，保障數(shù)據(jù)不丟失的兩大特點，最大程度降低客戶停機時間，實現(xiàn)高效統(tǒng)一管理。

（三）實現(xiàn)數(shù)據(jù)庫雙活

在兩臺服務器上部署oracle數(shù)據(jù)庫，使用Oracle RAC和DG技術實現(xiàn)雙活數(shù)據(jù)庫[7]。其中一臺出現(xiàn)故障，另一臺持續(xù)運行，可以保障生產狀態(tài)不中斷。在主機層面和數(shù)據(jù)中心層面均實現(xiàn)了數(shù)據(jù)庫雙活。在任意節(jié)點出現(xiàn)故障時能夠迅速切換到另一方（分鐘級），保證業(yè)務高可用性。

（四） 實現(xiàn)異地容災備份

新搭建RAC環(huán)境為主業(yè)務數(shù)據(jù)庫，替換下的rac環(huán)境為備用業(yè)務數(shù)據(jù)庫。將兩套RAC部署分別部署在本地和異地，通過日志同步來保證兩邊的數(shù)據(jù)同步，保持生產和備份的兩個業(yè)務數(shù)據(jù)庫事務上的一致性，實現(xiàn)快速切換與災難性恢復。當RAC環(huán)境出現(xiàn)災難性的損害徹底無法使用的時候可以通過一鍵failover腳本切換到備庫[8]。醫(yī)院的重要業(yè)務數(shù)據(jù)采用 Lan-Free 的備份方式，將數(shù)據(jù)直接寫入院內備份介質，同時通過備份一體機的復制功能將數(shù)據(jù)復制到災備機房，實現(xiàn)備份數(shù)據(jù)的異地容災，同時采用重復數(shù)據(jù)刪除技術，節(jié)約95% 以上的帶寬和復制時間[9]。

七、結束語

隨著國家對信息化建設的重視，信息安全已經(jīng)上升為國家的戰(zhàn)略性高度，信息安全離不開災備系統(tǒng)的建設，災備系統(tǒng)在受到更多關注的同時也獲得的很大的發(fā)展。同時隨著科技的發(fā)展，高新技術的使用，必將產生大量老舊的物理設備，信息化的投入逐年遞增，如何合理地利用老舊設備，如何節(jié)約成本提高設備利用率也值得大家共同探討。本文以我院災備系統(tǒng)建設為例，結合實踐，通過對災備升級技術和方案深入的研究和分析，探索一條符合我院現(xiàn)狀的容災之路，建設切合實際的容災備份系統(tǒng)，保障業(yè)務系統(tǒng)平穩(wěn)運行，生產數(shù)據(jù)安全可用。實踐證明，生產中心、容災中心利用科技手段合理優(yōu)化利用老舊物理設備是行之有效的災備建設方案。

參? 考? 文? 獻

[1]陳文昭. 中大型民營醫(yī)院信息系統(tǒng)的云容災與備份[J]. 現(xiàn)代醫(yī)院，2013，13（8）：146-147.

[2]王春苗，劉玥. 再論Citrix PVS雙活系統(tǒng)架構設計與實現(xiàn)[J].電腦知識與技術，2020，16（22）：28-32.

[3]（美）K Gopalakrishnan 著 .Oracle Database 11g RAC 手冊（第 2 版）[M].賈洪峰等譯 .北京：清華大學出版社，2012.

[4] Oracle Database 9i/10g/11g編程藝術：深入數(shù)據(jù)庫體系結構（第2版） [M]：人民郵電出版社.

[5]美創(chuàng)DBRA全業(yè)務容災系統(tǒng)產品白皮書[M] .2020.14-19.

[6]閆瑾，宮思明，姚丹，楊曉玫.信息系統(tǒng)容災備份技術探討[J].信息與電腦：理論版，2020（12）：46-47.

[7]余莎莎，肖輝. HIS雙活架構實現(xiàn)讀寫分離的設計及實踐[J].中國數(shù)字醫(yī)學，2018，13（10）：106-108 .

[8]龐焱.醫(yī)院信息安全管理中異地雙活容災技術的應用[J]. 電子技術與軟件工程，2020（14）：236-237.

[9]陳詩唐，賴小琴. 醫(yī)院信息化應用容災的設計與實踐[J].數(shù)字通信世界，2019（11）：106-106.

作者單位：劉志國? ? 薛家貴? ? 淮安市第三人民醫(yī)院