大型醫(yī)院信息系統(tǒng)的容災(zāi)設(shè)計(jì)和應(yīng)用
翁錦陽(yáng)、何萍、朱鐵兵
上海交通大學(xué)醫(yī)學(xué)院附屬瑞金醫(yī)院計(jì)算機(jī)中心
通信地址:上海市盧灣區(qū)瑞金二路197號(hào)科教樓13樓計(jì)算機(jī)中心 翁錦陽(yáng)收
郵編:200025
電子郵件:wjy@rjh.com.cn
聯(lián)系電話(huà):(021)64370045轉(zhuǎn)611399
摘要:容災(zāi)的實(shí)質(zhì)是通過(guò)各種容災(zāi)技術(shù)和手段保持信息系統(tǒng)的業(yè)務(wù)持續(xù)性。大型醫(yī)院信息系統(tǒng)容災(zāi)設(shè)計(jì)和應(yīng)用是一項(xiàng)系統(tǒng)工程,它涉及到管理、流程、規(guī)范等各個(gè)方面,而不僅僅是技術(shù)。容災(zāi)不僅僅簡(jiǎn)單的數(shù)據(jù)備份和恢復(fù),還包括信息系統(tǒng)應(yīng)用上的恢復(fù)。本文共享了在醫(yī)院信息系統(tǒng)容災(zāi)設(shè)計(jì)過(guò)程中的經(jīng)驗(yàn),給出適合大型醫(yī)院使用的容災(zāi)系統(tǒng)設(shè)計(jì)方案,并且詳細(xì)說(shuō)明其原理和實(shí)現(xiàn)過(guò)程。
關(guān)鍵詞:容災(zāi) 存儲(chǔ)局域網(wǎng) 服務(wù)器群集 連續(xù)數(shù)據(jù)保護(hù) 鏈路冗余
Abstract: The essence of disaster tolerance is to maintain the continuity of information system through a variety of disaster tolerance techniques and tools. Large-scale hospital information system design and application of disaster tolerance is not only technology, but also a systematic project, which involves management, processes, standards and other aspects. Disaster tolerance is not simple data backup and recovery. It includes restoration of information systems applications. This shared disaster tolerance in the large-scale hospital system design process the experience, the use of disaster tolerance for large-scale hospital systems design, and detailed description of its principle and realization.
Key words: Disaster Tolerance Storage Area Network Server Cluster Continuous Data Protection Link Redundancy
一、醫(yī)院信息系統(tǒng)的容災(zāi)目的和需求
當(dāng)前,大型醫(yī)院已普遍建有醫(yī)院信息系統(tǒng),并已成為醫(yī)院高效、有序開(kāi)展醫(yī)療服務(wù)的基本保障。由于大型醫(yī)院全年365天、全天24小時(shí)不間斷服務(wù)和高峰期業(yè)務(wù)并發(fā)量大的特點(diǎn),一旦信息系統(tǒng)發(fā)生故障,整個(gè)醫(yī)院的業(yè)務(wù)將陷于癱瘓,因此對(duì)醫(yī)院信息系統(tǒng)的運(yùn)行安全性和連續(xù)性提出了很高的要求。為此,醫(yī)院信息系統(tǒng)的容災(zāi)設(shè)計(jì)性對(duì)于大型醫(yī)院來(lái)說(shuō)顯得尤為重要。
容災(zāi),就是利用技術(shù)手段、管理手段,或者任何可以獲取的管理資源,來(lái)確保一些關(guān)鍵的數(shù)據(jù)、處理關(guān)鍵數(shù)據(jù)的手段,以及關(guān)鍵的業(yè)務(wù),在災(zāi)難發(fā)生后可以盡可能多、盡可能快地恢復(fù)的過(guò)程。醫(yī)院信息系統(tǒng)的容災(zāi)目的,不僅是確保數(shù)據(jù)的完整性,還要保障關(guān)鍵業(yè)務(wù)的運(yùn)行持續(xù)性。即當(dāng)醫(yī)院信息系統(tǒng)發(fā)生故障時(shí),仍能夠不間斷地或盡可能快地恢復(fù)提供關(guān)鍵業(yè)務(wù)支持,并盡可能避免關(guān)鍵數(shù)據(jù)的丟失,以保證醫(yī)療業(yè)務(wù)的正常進(jìn)行。
系統(tǒng)的容災(zāi)設(shè)計(jì)有兩個(gè)評(píng)價(jià)標(biāo)準(zhǔn):恢復(fù)時(shí)間目標(biāo)(RTO,即在災(zāi)難發(fā)生后需要恢復(fù)的緊迫性)和恢復(fù)點(diǎn)目標(biāo)(RPO,在災(zāi)難發(fā)生后恢復(fù)運(yùn)轉(zhuǎn)時(shí)數(shù)據(jù)丟失的可容忍程度)。RPO針對(duì)的是數(shù)據(jù)丟失,而RTO針對(duì)的是服務(wù)丟失。即系統(tǒng)容忍丟失的數(shù)據(jù)量越小,RPO的值越小;系統(tǒng)服務(wù)的緊迫性要求越高,RTO的值越小。由于醫(yī)院承擔(dān)救死扶傷任務(wù)的特殊性,決定了醫(yī)院信息系統(tǒng)對(duì)RPO和RTO具有很高的要求。
二、醫(yī)院信息系統(tǒng)的容災(zāi)設(shè)計(jì)和實(shí)現(xiàn)
醫(yī)院信息系統(tǒng)有三大核心資源——計(jì)算資源、傳輸資源和存儲(chǔ)資源。計(jì)算資源主要包括具有計(jì)算能力和業(yè)務(wù)處理能力的服務(wù)器。傳輸資源主要包括網(wǎng)絡(luò)和各類(lèi)網(wǎng)絡(luò)交換設(shè)備。存儲(chǔ)資源主要包括存放數(shù)據(jù)的各類(lèi)存儲(chǔ)設(shè)備。醫(yī)院信息系統(tǒng)的容災(zāi)設(shè)計(jì)重點(diǎn)就是要保護(hù)這三種核心的資源。
1、計(jì)算資源的保護(hù)
計(jì)算資源的傳統(tǒng)容災(zāi)方式主要是通過(guò)采用服務(wù)器群集技術(shù)來(lái)實(shí)現(xiàn)的。以典型的三層架構(gòu)(一般將醫(yī)院信息系統(tǒng)架構(gòu)由上至下劃分為表示層、業(yè)務(wù)邏輯層和數(shù)據(jù)訪問(wèn)層)分別獨(dú)立部署在服務(wù)器或服務(wù)器群集上運(yùn)行為例:
位于數(shù)據(jù)訪問(wèn)層的數(shù)據(jù)庫(kù)服務(wù)器采用基于共享存儲(chǔ)的雙機(jī)熱備方式。兩臺(tái)數(shù)據(jù)庫(kù)服務(wù)器可以采用互備、主從、并行等不同的方式。在工作過(guò)程中,兩臺(tái)服務(wù)器將以一個(gè)虛擬的IP地址對(duì)外提供服務(wù),依工作方式的不同,將服務(wù)請(qǐng)求發(fā)送給其中一臺(tái)服務(wù)器承擔(dān)。同時(shí),服務(wù)器通過(guò)心跳線偵測(cè)另一臺(tái)服務(wù)器的工作狀況。當(dāng)一臺(tái)服務(wù)器出現(xiàn)故障時(shí),另一臺(tái)服務(wù)器根據(jù)心跳偵測(cè)的情況做出判斷,并進(jìn)行切換,接管服務(wù)。這一過(guò)程自動(dòng)在短時(shí)間內(nèi)完成(分鐘級(jí)),對(duì)業(yè)務(wù)不會(huì)造成影響。由于使用共享的存儲(chǔ)設(shè)備,因此兩臺(tái)服務(wù)器使用的實(shí)際上是一樣的數(shù)據(jù),由雙機(jī)或集群軟件對(duì)其進(jìn)行管理。通過(guò)服務(wù)器群集的方式,能夠以較短的時(shí)間在部分計(jì)算資源發(fā)生災(zāi)難后恢復(fù),保障業(yè)務(wù)系統(tǒng)的持續(xù)穩(wěn)定、可靠。
在上兩層中——業(yè)務(wù)邏輯層(應(yīng)用服務(wù)器)和表示層(頁(yè)面服務(wù)器)由于只提供應(yīng)用服務(wù)和用戶(hù)訪問(wèn)界面,并不保存數(shù)據(jù),一般不需要使用共享的存儲(chǔ)設(shè)備,而應(yīng)配置多臺(tái)服務(wù)器建立負(fù)載均衡機(jī)制。一來(lái)避免在這兩層上出現(xiàn)單點(diǎn)失效,實(shí)現(xiàn)容災(zāi);二來(lái)可以為用戶(hù)提供更好的訪問(wèn)質(zhì)量、提高服務(wù)器響應(yīng)速度。
對(duì)于服務(wù)器供電中斷這類(lèi)故障,可通過(guò)UPS的冗余并聯(lián)實(shí)現(xiàn)快速甚至無(wú)縫的災(zāi)難恢復(fù)。UPS冗余并聯(lián)實(shí)現(xiàn)了若干UPS設(shè)備本身的災(zāi)難恢復(fù),一旦主機(jī)故障停機(jī),系統(tǒng)自動(dòng)選擇作為從機(jī)(哪臺(tái)先開(kāi)哪臺(tái)就是主機(jī),而后開(kāi)機(jī)的都是從機(jī))運(yùn)行的另一臺(tái)UPS接替主機(jī)的工作,保持供電不間斷。
2、傳輸資源的保護(hù)
傳輸資源的保護(hù)主要通過(guò)虛擬路由技術(shù),以及雙鏈路冗余和負(fù)載均衡來(lái)保障系統(tǒng)容災(zāi)的RTO。虛擬路由技術(shù)中最具代表性的是VRRP(虛擬路由冗余協(xié)議),可將一組用于醫(yī)院信息系統(tǒng)服務(wù)器與客戶(hù)端通信的路由器協(xié)同工作,共同構(gòu)成一臺(tái)虛擬路由器。該虛擬路由器對(duì)外表現(xiàn)為一個(gè)具有唯一固定IP地址和MAC地址的邏輯路由器。處于同一個(gè)組中的路由器具有兩種互斥的角色:主控路由器和備份路由器,一個(gè)組中有且只有一臺(tái)處于主控角色的路由器,可以有一個(gè)或者多個(gè)處于備份角色的路由器。VRRP協(xié)議使用選擇策略從路由器組中選出一臺(tái)作為主控,負(fù)責(zé)ARP響應(yīng)和轉(zhuǎn)發(fā)IP數(shù)據(jù)包。組中的其它路由器作為備份角色處于待命狀態(tài)。當(dāng)主控路由器發(fā)生故障時(shí),備份路由器能在幾秒鐘的時(shí)延后升級(jí)為主路由器。由于此切換非常迅速而且不用改變IP地址和MAC地址,故對(duì)醫(yī)院信息系統(tǒng)客戶(hù)端用戶(hù)是透明的。
同時(shí),通過(guò)合理的網(wǎng)絡(luò)設(shè)計(jì),可以到達(dá)備份和負(fù)載均衡雙重效果。比如讓兩臺(tái)路由器同時(shí)屬于互為備份的兩個(gè)組:在組1中路由器A為IP地址所有者;組2中路由器B為IP地址所有者。將客戶(hù)端1的默認(rèn)網(wǎng)關(guān)設(shè)定為路由器A;客戶(hù)端2、客戶(hù)端3的默認(rèn)網(wǎng)關(guān)設(shè)定為路由器B。這樣,既分擔(dān)了設(shè)備負(fù)載和網(wǎng)絡(luò)流量,又提高了網(wǎng)絡(luò)可靠性。同樣的,可以利用如Port-channel等技術(shù)可以實(shí)現(xiàn)鏈路的冗余和負(fù)載均衡。
3、存儲(chǔ)資源的保護(hù)
存儲(chǔ)資源由于承擔(dān)保存醫(yī)院信息系統(tǒng)數(shù)據(jù)的功能,建議在數(shù)據(jù)庫(kù)服務(wù)器群集中采用雙存儲(chǔ)陣列作為共享存儲(chǔ)(雙鏈路雙控制器冗余的存儲(chǔ)陣列最佳),并以鏡像方式同步。這樣,即使作為共享存儲(chǔ)的其中一個(gè)盤(pán)陣離線,服務(wù)依然能夠無(wú)間斷運(yùn)行。
此外,可利用連續(xù)數(shù)據(jù)保護(hù)技術(shù)(CDP)對(duì)醫(yī)院信息系統(tǒng)數(shù)據(jù)進(jìn)行備份,此技術(shù)可以捕捉到一切文件級(jí)或數(shù)據(jù)塊級(jí)別的數(shù)據(jù)寫(xiě)改動(dòng),可以對(duì)備份對(duì)象進(jìn)行更加細(xì)化的粒度的恢復(fù),可以恢復(fù)到任意時(shí)間點(diǎn)。硬盤(pán)部分,設(shè)置RAID容錯(cuò)報(bào)錯(cuò),且有熱拔插功能,一旦硬盤(pán)毀損,立刻抽換硬盤(pán),系統(tǒng)仍可正常運(yùn)作,無(wú)需中斷或關(guān)機(jī)。
4、建立異地災(zāi)備中心
上述技術(shù)手段實(shí)現(xiàn)了醫(yī)院信息系統(tǒng)的本地容災(zāi),但對(duì)于機(jī)房遭遇火災(zāi)等大型災(zāi)害,本地容災(zāi)則顯得無(wú)能為力。有鑒于此,應(yīng)當(dāng)在數(shù)據(jù)中心所處的建筑之外建
|
|
資源大小:18.02 KB 
