陳濤

（南京醫(yī)科大學附屬南京醫(yī)院（南京市第一醫(yī)院）信息中心，江蘇 南京 210006）

1 研究背景

醫(yī)院數字技術發(fā)展過程中，不同種類的系統(tǒng)架構演變迅速發(fā)展，醫(yī)院信息系統(tǒng)應具備非?？煽康臑膫淠芰?，完善的醫(yī)院信息系統(tǒng)應具有完善、可靠的數據備份機制和從災難中快速恢復的能力[1]。云架構的災備設計是目前的流行理念，然而傳統(tǒng)的災備架構體系并不適用于云架構。目前，醫(yī)院災備系統(tǒng)架構不斷地由分散式向集中式發(fā)展，這使得以往災備軟件與快速擴展的災備體系建設格格不入。傳統(tǒng)災備系統(tǒng)中，執(zhí)行醫(yī)院的基礎數據遷移業(yè)務常常比較困難。災難發(fā)生時協調停機困難，災備數據備份驗證周期長，基礎數據環(huán)境重建耗時費力等問題，都阻礙了醫(yī)院數據災備體系建設數字化轉型的步伐。災難恢復是指災難發(fā)生后，系統(tǒng)恢復正常運行的能力，而容災指災難發(fā)生時保持系統(tǒng)不間斷運行的能力[2]。醫(yī)院新的數據災備應急系統(tǒng)亟需應用。

2 需求研究

具體需求包含以下幾個方面：①根據目前的實際需求，新的醫(yī)院數據災備系統(tǒng)設備配制應不少于4 個千兆網口，包含兩個物理主機服務器進行相關業(yè)務應急，系統(tǒng)在客戶端上應可用Web 管理界面進行統(tǒng)一管理。②系統(tǒng)應該能夠監(jiān)測被保護服務器的CPU、內存、網絡等性能指標，對數據庫、中間層等其他應用服務器數據擁有監(jiān)控其運行情況的功能。災備應急系統(tǒng)應能夠模擬不同用戶的訪問方式，有效地對各種應用服務提供運行安全監(jiān)控。系統(tǒng)應該支持用戶根據自身需要自定義數據庫，并提供基于事件的統(tǒng)計報表和圖表，且能夠針對這些事件提供短信通知功能。數據災備應急系統(tǒng)針對所備份的所有系統(tǒng)可能出現的各種狀況進行日志統(tǒng)計，遇到錯誤事件發(fā)出事件報警等。③在數據災備應急系統(tǒng)環(huán)境配置上，能夠將醫(yī)院信息系統(tǒng)數據的基礎環(huán)境和數據存儲對象實現虛擬化隔離，災備系統(tǒng)以虛擬機映像文件的方式進行存儲，保持與實際映像數據實時同步，保持業(yè)務驅動環(huán)境實時P2V 轉換。④信息數據災備應急系統(tǒng)應該支持二層、三層網絡的接入，支持VPN 的接入，支持NAT 和橋接組網，支持虛擬子網管理等。⑤當信息系統(tǒng)數據業(yè)務服務器發(fā)生故障時，災備應急系統(tǒng)要能夠提供及時有效應急接管，應能夠在不同故障發(fā)生時提供應急接管，比如人為原因的誤刪數據、數據服務器硬盤損壞造成的數據文件損壞丟失等。當災備應急管理系統(tǒng)接管醫(yī)院信息系統(tǒng)時，要能夠滿足災備管理系統(tǒng)無需對醫(yī)院信息系統(tǒng)配置進行任何修改，包括IP、MAC 地址，軟件端的配置，系統(tǒng)口令等。信息數據災備系統(tǒng)要有快照節(jié)點功能，能從快照設置的任意時間點啟動接管程序。⑥信息數據災備應急系統(tǒng)應能夠支持多個獨立的賬號管理模式，能夠實現整機業(yè)務級一體化備份且僅備份有效的數據塊。系統(tǒng)設備應能夠模擬機房內任何信息系統(tǒng)服務器的應用環(huán)境，在整個仿真過程中，數據災備應急系統(tǒng)能夠對信息系統(tǒng)平臺作業(yè)和信息日常業(yè)務無任何影響。⑦數據災備應急系統(tǒng)要能夠支持各種單機環(huán)境以及主備集群的應急接管，共享磁盤、本地磁盤以及多路徑軟件環(huán)境同樣要兼容適用。

3 系統(tǒng)架構研究

數據災備應急系統(tǒng)底層框架應該基于超融合架構，超融合架構的諸多特點要能夠體現在系統(tǒng)中。比如能夠支持系統(tǒng)的橫向擴展，用戶能夠根據實際需要進行擴展，以節(jié)省成本。設備資源及存儲的橫向擴展也使得壓力分擔到每一個節(jié)點上，這就解決了單點性能問題。

新的數據災備應急系統(tǒng)應該具備一定的應急接管功能和仿真測試功能，所以系統(tǒng)應該由客戶端Web 管理功能、管控平臺、監(jiān)控預警、恢復功能、接管功能、遷移功能、仿真功能、快照管理以及存儲節(jié)點九部分組成。

3.1 Web 管理功能

構架基于B/S，用戶在客戶端通過Web 網頁方式進行整個災備應急系統(tǒng)的管理與操作。

3.2 管控平臺

數據災備應急系統(tǒng)具備獨立物理服務器實體，架構于醫(yī)院信息中心機房，負責各種物理主機和虛擬主機的鏡像化復制，能夠對源信息系統(tǒng)服務器的各項運行數據進行實時的捕捉，并存入自身虛擬化存儲池。

3.3 監(jiān)控預警

該功能作用于監(jiān)控災備應急系統(tǒng)的實體服務器資源情況，包括硬件資源、軟件資源以及業(yè)務的可用狀態(tài)等。當災備應急系統(tǒng)出現問題時，監(jiān)控預警功能即可觸發(fā)告警，通過短信方式通知用戶，讓用戶能及時了解掌握災備系統(tǒng)問題。

3.4 恢復功能

該功能是讓災備應急系統(tǒng)能通過快照掛載的方式，把備份數據卷有效地掛載給源信息系統(tǒng)數據服務器，以實現瞬間恢復數據的能力。

3.5 存儲節(jié)點

數據災備應急系統(tǒng)在日常的數據備份過程中，數據傳輸需要分發(fā)處理，這就需要擁有足夠的存儲能力和空間。存儲節(jié)點則對此提供了基礎保障。

3.6 接管功能

接管功能用于應急接管，當災備應急系統(tǒng)檢測前端應用服務的業(yè)務發(fā)生故障時，接管系統(tǒng)則通過最近同步的業(yè)務節(jié)點，啟動應急業(yè)務接管功能，并且虛擬服務器信息數據和原信息數據服務器相同。應急接管功能除了自動接管外，也可以手動接管，最大限度地保證業(yè)務正常運行。

3.7 遷移功能

遷移功能用于離線遷移主業(yè)務數據服務器數據，平時對源數據服務器進行在線備份，在源機離線時能恢復數據到異構平臺上，進行整機的數據遷移。

3.8 仿真功能

該功能負責系統(tǒng)環(huán)境的測試和數據的仿真模擬，這對于業(yè)務需要、業(yè)務數據開發(fā)以及業(yè)務培訓等都有著極大幫助。

3.9 快照管理

快照管理功能可以根據系統(tǒng)所設置的數據備份策略而自動生成數據時間節(jié)點快照，各個快照節(jié)點互相獨立，且是云鏡像。在快照系統(tǒng)下的用戶可以根據不同的時間節(jié)點，產生應急演練的虛擬機，以此來測試源機服務器數據，驗證正確性。

4 數據備份研究

數據災備應急系統(tǒng)的數據備份，應該包括數據捕獲、數據恢復、應急接管以及仿真測試四個環(huán)節(jié)部分。

4.1 數據捕獲環(huán)節(jié)

數據災備應急系統(tǒng)應該具備把源機數據服務器的操作系統(tǒng)、服務器上的各種應用以及數據數據打包成云鏡像文件的能力，這樣系統(tǒng)可以通過全量或者增量的方式去鏡像化復制到自身的災備系統(tǒng)中。

4.2 數據恢復環(huán)節(jié)

數據恢復應該分為兩種方式，瞬時恢復和不間斷恢復。瞬時恢復可以基于任意不同的快照時間節(jié)點，通過TCP 協議，進行分區(qū)的掛載，在這個過程中，不需要去移動原始數據，相對應的時間快照節(jié)點信息也不會改變。不間斷恢復是指當源機數據服務器數據發(fā)生異常時，災備應急系統(tǒng)先通過接管系統(tǒng)進行及時、有效的業(yè)務接管，不間斷日常數據業(yè)務的正常運行，當源機數據服務器恢復正常后，災備應急系統(tǒng)進行增量數據的回傳，同時應急虛機保持在線運行。

4.3 應急接管環(huán)節(jié)

當源機數據服務器發(fā)生異常時或者用戶想根據實際需要測試備份數據準確性時，用戶要能在數據災備應急系統(tǒng)中生成應急接管虛擬化服務器，對源機的業(yè)務進行一鍵接管，以此來保證源機數據的連續(xù)性。

4.4 仿真測試環(huán)節(jié)

數據備份的環(huán)節(jié)必須要有仿真測試這個流程部分。綜上所述，災備應急系統(tǒng)應該具備與源機實時同步的時間節(jié)點備份策略，在這些不同的快照時間節(jié)點上，必須要能生成跟源機數據業(yè)務環(huán)境隔離的仿真測試環(huán)境，在這個環(huán)境下，對備份的數據進行驗證。驗證完成后，可刪除仿真環(huán)境，確保數據災備系統(tǒng)的流暢運行。

5 系統(tǒng)用戶管理研究

用戶管理是每個系統(tǒng)都應具備的功能。用戶管理權限的明確劃分，可以確保數據災備應急系統(tǒng)的操作安全性以及操作規(guī)范性。不同的用戶管理權限，可以相互監(jiān)督制約，以確保系統(tǒng)的安全穩(wěn)定運行。數據災備應急系統(tǒng)應該支持系統(tǒng)管理員、審查管理員、系統(tǒng)存儲管理員、應急系統(tǒng)管理員四個角色：①系統(tǒng)管理員。負責數據災備應急系統(tǒng)的日常維護與管理工作，對整個系統(tǒng)進行統(tǒng)籌管理，這包括數據備份查看、應急演練功能的測試、數據的恢復、計算節(jié)點存儲節(jié)點的隨時監(jiān)測以及系統(tǒng)運行日志告警查看等。②審查管理員。負責數據災備應急系統(tǒng)的運行日志的審查。③系統(tǒng)存儲管理員。負責數據災備應急系統(tǒng)的存儲恢復等權限。④應急系統(tǒng)管理員。負責在數據災備應急系統(tǒng)中進行應急演練等權限部分。

6 系統(tǒng)日志研究

數據災備應急系統(tǒng)應該具備詳細的系統(tǒng)的日志報表。日志報表記錄著系統(tǒng)中所有用戶的操作及系統(tǒng)運行問題，這能夠確保所有用戶在系統(tǒng)中操作都有記錄監(jiān)管，因人為操作原因而引起的系統(tǒng)故障，能夠根據日志報表及時查出原因，或者系統(tǒng)自身運行出現的錯誤，通過系統(tǒng)運行日志報表可以及時修復改進。日志類型包括：①數據備份日志，記錄數據備份相關信息；②警告日志，記錄系統(tǒng)告警信息；③應急數據日志，記錄系統(tǒng)中應急接管操作信息；④存儲及恢復日志，記錄系統(tǒng)的數據恢復以及系統(tǒng)存儲的信息。

7 小結

目前，人類社會比以往任何時候都更加依賴于計算機系統(tǒng)，計算機系統(tǒng)在迅猛發(fā)展提供技術基礎架構的同時，由于用戶業(yè)務處理的高度集中以及不可預見的故障和災難，導致整個系統(tǒng)存在災難性破壞的隱患，有可能成為整體系統(tǒng)中的單故障點[3]。信息數據災備系統(tǒng)成為醫(yī)院信息工作中不可或缺的部分。新型、完善的信息數據災備系統(tǒng)可使醫(yī)院在信息化的運行中事半功倍、穩(wěn)定運行。