医院双活数据中心灾备系统的探讨和实践

刘志国 薛家贵

摘要：目的：在原有的业务双活主机架构基础上升级容灾备份系统，探索符合我院现状的容灾方案，进一步保障业务系统平稳运行，生产数据安全可用。方法：通过对比和分析，在节约成本的情况下，保留已有的容灾和集中备份，利用Oracle Data Guard 构建容灾备份，提高闲置设备的利用率。成效：整套系统设计无任何设备单点故障，实现本地和异地数据中心环境下生产、应急、容灾、备份的完美结合。结论：实践证明，生产中心、灾备中心两端都为“双活”架构，是行之有效的容灾建设方案。

关键词：医院信息化;数据安全;容灾;备份;节约成本

一、引言

如今医院信息化建设不断发展，业务也在不断扩大，信息也成为医院的生产资源，业务流、资金流、信息流相互作用，贯穿医院运营管理的全过程。各种业务系统产生的核心数据逐渐增多，业务系统容灾和数据备份保护显得尤其重要。数据安全、业务连续和用户隐私保护，是信息化环境下各类用户最重要的安全原则。如何通过灾备保证系统安全及业务连续性，成为医院信息科室关注的问题，经济性也是重要考量因素。灾备系统规划建设中，将新旧设备分别建设于生产和容灾是合理化利用物理设备的有效解决方案。

二、医院现状

我院现有HIS、LIS、EMR、PACS等核心系统来承担医院的日常业务运行，HIS、LIS、PACS、EMR、体检、银医通、物资设备等业务系统都建有相应的备份功能，为了实现对系统和数据的多重保护，确保重要数据万无一失，同时提高系统和数据应急恢复能力，我们采用备份一体机AnyBackup 5.0对现有业务系统的生产数据、服务器操作系统、虚拟化平台的虚拟机系统和数据等重要数据采取统一的、集中的备份，同时采用增量备份和完全备份相结合的模式，提高防灾、容灾的能力。备份一体机恢复数据需要专业的环境，恢复时间受环境搭建、硬件设备等影响。原备份一体机基于应用层备份，无存储层备份。医院原搭建的oracle RAC群集的物理设备已经使用超过5年，我院已于今年进行更换。但是闲置下来的RAC群集物理设备变得相对鸡肋，使用在低端业务应用有些奢侈，使用在高端业务安全性能不够，原设计方案建设的软件无法与新搭建的软件并行。

三、需求分析

为了保护我院信息化平台的数据信息，必须对其信息系统平台上的数据进行有效的备份。通过配置相应的数据备份软件、磁带库等软、硬件系统，以防止因为硬件损坏、逻辑错误、人为误操作等故障而引起计算机系统的数据丢失与数据损坏[1]。基于我院信息化发展中长期建设规划，结合我院现有实际情况和未来发展需求，我院组织专家组经过详细考察和论证，提出建设数据生产中心和灾备中心两端都为双活架构的灾备系统[2]。采用不同技术实现医院信息系统的容灾备份，对我院的HMIS系统提供全面的容灾保护，最大限度地消除造成业务中断或导致系统性能下降的各种因素。提供一种完整、可靠的数据备份方案，实现对各种平台的数据进行基于策略的自动备份、集中管理，备份工作无需人工干预，不需要耗费大量的人力和时间;可以进行数据库在线备份，支持磁带库、硬盘备份等多种的备份方式，确保系统的数据的安全性与可靠性，在数据被破坏时拥有可靠的恢复能力。

四、容灾升级方案设计原则

重视系统架构设计，优化系统建设方案;

实现应用级和数据级容灾;

尽量避免影响到业务系统正常运行;

双中心业务统一部署，统一管理;

网络资源与计算资源高效利用;

保证恢复数据的可靠性。

五、灾备方案设计与实现

（一）我院原网络环境拓扑图

（二）存储双活实现方式对比分析

本次通過相关技术对比，确定：

1.数据中心内的存储设备的品牌型号，属历次采购形成，为保证兼容性，采用存储虚拟化双活统一管理各存储，在存储网关层实现本地双活。

2.数据中心之间，采用Oracle DataGuard实现实时复制。为避免影响生产中心业务，采用异步方式，避免偶尔的光纤线路故障对业务的影响。

（三）解决方案设计

搭建数据库双活必须构建网络和存储双活，我院通过华为CSS技术搭建网络双活，通过虚拟化存储网关搭建存储双活，加上部署的Oracle RAC已经构建合格的灾备技术处理方案，但因为物理硬件的升级，闲置物理设备的高效合理化应用需要，我院计划在灾备的基础上升级为容灾，升级后解决数据可用性的问题。

Oracel的数据灾备技术有3个，分别是RAC、DataGuard、GoldenGate。RAC用于本地数据库双活，RAC的优点主要在于高可用性和负载均衡，一台机器有故障不影响业务系统访问数据库[3]。DataGuard用于灾备，是在主节点与备用节点间通过日志同步来保证数据的同步，可以实现数据库快速切换与灾难性恢复。GoldenGate用于异构主机的数据灾备和实时复制[4]。GoldenGate最大特点是异构，即异构数据库支持，应用场景多为业务级灾备，目前我院没有实际需求，所以这里不做深入探讨研究。

1. DataGuard优缺点对比分析

2.备用库测试困难

3.切换后数据库的IP发生变化，应用需要更改数据源信息

4.完成处于主备模式下，会导致备机硬件长期闲置

5.需要专业化数据库工程师运维

6.应用场景相对较窄，多用于容灾备份

我院已有ORACLE RAC数据库，今年更新物理设备后导致原环境的物理设备闲置。搭建Oracle DataGuard可以补充oracle rac群集，原有的RAC群集环境及物理设备可以保留作为备机，在Oracle DataGuard主备工作模式中，既合理利用了原来的数据库环境、降低资源闲置的建设费用，又增加了灾备切换模式，一举多得。随着医院业务量的不断攀升，原有的工作人员运维能力、工作内容都出现不足，业务量的攀升也必然导致引进专业的运维公司驻场运维，所以Oracle DataGuard缺点中的1、4、5、6点对我院实际生产工作中不存在问题。

基于Oracle DataGuard在容灾备份中出现的人工干预和备用库测试困难等情况，我院引进某品牌DBRA全业务容灾系统和运维一体机做为容灾中的补充和完善。某品牌DBRA全业务容灾系统依旧支持灾难应急恢复切换和计划维护切换两类场景[5]，主要体现在以下两步骤：

1.数据同步：实现应用程序、中间件和数据库等业务系统各组成部分的数据同步，同时确保数据一致性和系统可用性;

2.灾难恢复：当发生故障时，能够在5分钟内根据不同的细粒度要求一键应急切换到灾备中心，保障整个业务系统持续运行。

（四）技术方案描述

采取oracle RAC与DataGuard用于主从结构的高可用灾备解决方案，RAC为实例级的冗余提供负载均衡与实例高可用性，DataGuard为数据库级冗余提供数据存储级高可用性和数据安全灾备服务。同时增加第三方某品牌DBRA全业务容灾系统设备，保留原备份一体机用于处理数据级灾备。

1.根据以上分析，依据我院对HIS系统业务接管的建设目标，采用生产中心+应急中心+容灾中心+数据备份相结合的灾备模式，本地生产机房仍采用2台服务器+2台光纤交换机+2台存储虚拟化网关+2台核心存储的双活架构，实现主机端的高可用和负载均衡，解决设备的单点故障问题，实现生产机房的本地容灾。容灾机房使用原有的2台HIS服务器+2台光纤交换机+2台存储虚拟化网关+2台核心存储的双活架构也实现高可用和负载均衡，解决设备的单点故障问题，实现灾备机房的本地容灾。两套系统通过Oracle Data Guard实现两套RAC冗余，通过网络实现远程数据容灾。主节点与备用节点间通过日志同步来保证数据的同步，出现应急故障时可以应急切换，可以实现快速切换与灾难性恢复。有效地保障了业务运行的持续性和稳定性。

2.原备份一体机继续使用，原备份一体机系列产品是一种集备份、容灾、磁盘阵列、虚拟磁带库等功能为一体的软、硬件一体化备份平台。为业务环境提供了各类数据与应用的备份恢复，并且提供业务灾难接管功能。随着时间的更替，其业务灾难接管功能已不满足使用，现继续使用其备份和还原功能，备份应用服务器的文件备份如PACS的图片等。

3.由于容灾备份往往涉及应用系统、中间件、数据库、网络和其他容灾对象等复杂情况，因此传统容灾产品及方案往往对切换过程的处理并不是很完善，整个切换过程非常复杂，往往牵涉到各个环节的切换操作，甚至有些还需要人工通过命令行的方式进行操作，整个应急切换流程非常复杂耗时不说，往往还容易出错，造成整个应急切换的失败，无法实现灾难恢复的目标。使用某品牌全业务容灾系统的一键切换功能，在WEB管理界面中设立一个功能键，通过流程自定义编排，无论在灾难应急还是计划内维护切换时，均可以通过一个按键完成切换，整个流程自切换启动后全部自动化完成，极大降低了人为干预和切换耗时，极大保障了切换成功率，降低了RTO[6]。

六、灾备系统建设成效

（一）实现网络双活

我院采用的是华为CSS技术將多台网络设备虚拟化为一台网络设备（虚拟设备），并将这些设备作为单一设备管理和使用。

（二）实现存储双活

通过虚拟化存储网关整合光纤存储阵列、iSCSI存储陈列、SAS存储阵列实现储双活，基于虚拟化技术的无缝数据迁移技术将存储做双向镜像，其中一台存储故障，不影响业务使用，保障数据不丢失的两大特点，最大程度降低客户停机时间，实现高效统一管理。

（三）实现数据库双活

在两台服务器上部署oracle数据库，使用Oracle RAC和DG技术实现双活数据库[7]。其中一台出现故障，另一台持续运行，可以保障生产状态不中断。在主机层面和数据中心层面均实现了数据库双活。在任意节点出现故障时能够迅速切换到另一方（分钟级），保证业务高可用性。

（四） 实现异地容灾备份

新搭建RAC环境为主业务数据库，替换下的rac环境为备用业务数据库。将两套RAC部署分别部署在本地和异地，通过日志同步来保证两边的数据同步，保持生产和备份的两个业务数据库事务上的一致性，实现快速切换与灾难性恢复。当RAC环境出现灾难性的损害彻底无法使用的时候可以通过一键failover脚本切换到备库[8]。医院的重要业务数据采用 Lan-Free 的备份方式，将数据直接写入院内备份介质，同时通过备份一体机的复制功能将数据复制到灾备机房，实现备份数据的异地容灾，同时采用重复数据删除技术，节约95% 以上的带宽和复制时间[9]。

七、结束语

随着国家对信息化建设的重视，信息安全已经上升为国家的战略性高度，信息安全离不开灾备系统的建设，灾备系统在受到更多关注的同时也获得的很大的发展。同时随着科技的发展，高新技术的使用，必将产生大量老旧的物理设备，信息化的投入逐年递增，如何合理地利用老旧设备，如何节约成本提高设备利用率也值得大家共同探讨。本文以我院灾备系统建设为例，结合实践，通过对灾备升级技术和方案深入的研究和分析，探索一条符合我院现状的容灾之路，建设切合实际的容灾备份系统，保障业务系统平稳运行，生产数据安全可用。实践证明，生产中心、容灾中心利用科技手段合理优化利用老旧物理设备是行之有效的灾备建设方案。

参  考  文  献

[1]陈文昭. 中大型民营医院信息系统的云容灾与备份[J]. 现代医院，2013，13（8）：146-147.

[2]王春苗，刘玥. 再论Citrix PVS双活系统架构设计与实现[J].电脑知识与技术，2020，16（22）：28-32.

[3]（美）K Gopalakrishnan 著 .Oracle Database 11g RAC 手册（第 2 版）[M].贾洪峰等译 .北京：清华大学出版社，2012.

[4] Oracle Database 9i/10g/11g编程艺术：深入数据库体系结构（第2版） [M]：人民邮电出版社.

[5]美创DBRA全业务容灾系统产品白皮书[M] .2020.14-19.

[6]闫瑾，宫思明，姚丹，杨晓玫.信息系统容灾备份技术探讨[J].信息与电脑：理论版，2020（12）：46-47.

[7]余莎莎，肖辉. HIS双活架构实现读写分离的设计及实践[J].中国数字医学，2018，13（10）：106-108 .

[8]庞焱.医院信息安全管理中异地双活容灾技术的应用[J]. 电子技术与软件工程，2020（14）：236-237.

[9]陈诗唐，赖小琴. 医院信息化应用容灾的设计与实践[J].数字通信世界，2019（11）：106-106.

作者单位：刘志国    薛家贵    淮安市第三人民医院