医院容灾系统设计
[摘 要] 容灾的实质是通过各种容灾技术和手段保持信息系统业务的持续性。本文介绍了我院信息系统的容灾设计和10余年的运行经验,总结出了适合大型医院使用的容灾系统设计方案,并详细说明其了原理和实现过程。
[关键词] 医院信息系统;容灾技术;存储局域网
1 医院信息系统的容灾目的和需求
医院信息系统的容灾目的,不仅是确保数据的完整性,还要保障关键业务运行的持续性。即当医院信息系统发生故障时,仍能够不间断地或尽可能快地恢复提供关键业务支持,并尽可能避免关键数据的丢失,以保证医疗业务的正常运行。
系统的容灾设计有两个评价标准:恢复时间目标(RTO,在灾难发生后需要恢复的紧迫性)和恢复点目标(RPO,在灾难发生后恢复运转时数据丢失的可容忍程度)。RPO 针对的是数据丢失,而 RTO 针对的是服务丢失。即系统容忍丢失的数据量越小,RPO 的值越小 ;系统服务的紧迫性要求越高,RTO 的值越小。由于医院承担救死扶伤任务的特殊性,决定了医院信息系统对 RPO 和 RTO 具有很高的要求。
2 医院信息系统的容灾设计和实现
医院信息系统有计算、传输和存储三大核心资源。计算资源主要包括具有计算能力和业务处理能力的服务器。传输资源主要包括网络和各类网络交换设备。存储资源主要包括存放数据的各类存储设备。医院信息系统的容灾设计重点就是要保护这三种核心资源。
2.1 计算资源的保护
计算资源的传统容灾方式主要是通过采用服务器群集技术来实现的。以典型的三层架构(一般将医院信息系统架构由上至下划分为表示层、业务逻辑层和数据访问层)分别独立部署在服务器或服务器群集上运行为例介绍 :位于数据访问层的数据库服务器采用基于共享存储的双机热备方式。两台数据库服务器可以采用互备、主从、并行等不同的方式。在工作过程中,两台服务器将以一个虚拟的 IP 地址对外提供服务,依工作方式的不同,将服务请求发送给其中一台服务器承担。同时,服务器通过心跳线侦测另一台服务器的工作状况。当一台服务器出现故障时,另一台服务器根据心跳侦测的情况做出判断,并进行切换,接管服务。通过服务器群集的方式,能够以较短的时间在部分计算资源发生灾难后恢复,保障业务系统持续稳定地运行。
在上两层中——业务逻辑层(应用服务器)和表示层(页面服务器)由于只提供应用服务和用户访问界面,并不保存数据,一般不需要使用共享的存储设备,而应配置多台服务器建立负载均衡机制 :一是避免在这两层上出现单点失效,实现容灾 ;二是可以为用户提供更好的访问质量、提高服务器响应速度。
对于服务器供电中断这类故障,可通过 UPS 的冗余并联实现快速甚至无缝的灾难恢复。UPS 冗余并联实现了若干 UPS 设备本身的灾难恢复,一旦主机故障停机,系统自动选择作为从机(哪台先开哪台就是主机,而后开机的都是从机)运行的另一台 UPS 接替主机的工作,保持供电不间断。
2.2 传输资源的保护
传输资源的保护主要通过虚拟路由技术,以及双链路冗余和负载均衡来保障系统容灾的 RTO。虚拟路由技术中最具代表性的是 VRRP(虚拟路由冗余协议),可将一组用于医院信息系统服务器与客户端通信的路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定 IP 地址和 MAC 地址的逻辑路由器。处于同一个组中的路由器具有两种互斥的角色 :主控路由器和备份路由器。一个组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。VRRP 协议使用选择策略从路由器组中选出一台作为主控,负责 ARP响应和转发 IP 数据包。组中的其它路由器作为备份角色处于待命状态。当主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变 IP 地址和 MAC 地址,故对医院信息系统客户端用户是透明的。
2.3 存储资源的保护
存储资源由于承担保存医院信息系统数据的功能,建议在数据库服务器群集中采用双存储阵列作为共享存储(双链路双控制器冗余的存储阵列最佳),并以镜像方式同步。这样,即使作为共享存储的其中一个盘阵离线,服务依然能够无间断运行。
此外,可利用连续数据保护技术(CDP)对医院信息系统数据进行备份,此技术可以捕捉到一切文件级或数据块级别的数据改动,可以对备份对象进行更加细化的粒度的恢复,可以恢复到任意时间点。硬盘部分,设置 RAID容错报错,且有热拔插功能,一旦硬盘毁损,立刻抽换硬盘,系统仍可正常运作,无需中断或关机。
2.4 建立异地灾备中心
上述技术手段实现了医院信息系统的本地容灾,但对于机房遭遇火灾等大型灾害,本地容灾则显得无能为力。有鉴于此,应当在数据中心所处的建筑之外建立异地灾备中心,将重要性高的应用实现异地数据容灾。由于现在存储局域网(SAN)的发展,使得数据备份过程可以在 SAN中实现,以满足异地容灾需求。数据中心和异地灾备中心直接通过专用存储网络进行连接,生产系统的数据实时地通过专用的存储网络传输到灾备中心存储。由于数据的备份过程不经过主机系统所在的网络,因此不会对生产系统的网络有任何影响。
虽然异地数据容灾可以保障在生产系统设备遭遇严重损坏情况下的数据完整性,但该方案的系统恢复时间较长,业务支持连续性较差,较适合对实时性要求相对较低的业务应用,如出院结算服务、行政办公服务等。
对实时性要求高的应用,如门急诊结算应用,应实现异地的应用级容灾。即在异地灾备中心建立一套与生产系统相同的备用系统,不但通过 SAN 实现数据的备份,还应搭建一套备用的应用服务器,并与客户端间采用双网络回路。即使数据中心主核心路由器完全停止工作,网络线路仍可以快速切换到通向灾备中心的链路,客户端程序也可以通过容灾系统的路由连接到备用数据库,可使应用系统得以在 30s 内恢复运行,RTO 值很小。
3 医院信息系统容灾的日常管理
除通过技术手段建立医院信息系统容灾方案以实现信息系统高可用性之外,信息系统日常管理的重要性也不可忽视。平时应定期对机房巡检,通过查看设备状态灯以及各类日志(包括操作系统、数据库、服务器和存储硬件监视软件、路由交换设备),分析系统当前的健康情况。对操作系统以及数据库的用户和密码进行严格管理,及时删除不再使用的帐户,定期更改密码。及时更新杀毒软件病毒码,不推荐被杀毒软件扫描的目录和文件(如数据库系统和数据文件),应当及时将其列入排除列表,以免严重影响系统性能和杀毒软件误删文件后造成系统崩溃。定期进行灾难恢复演练,确认恢复点及容灾方案在发生各种故障后的可用性。综上所述,日常的管理措施可以尽量减少系统故障点,防患于未然,避免不必要的系统恢复工作。
诚然,实现医院信息系统的容灾需要较大的前期投入,但是相对于医院信息系统因遭遇故障而丢失的数据、造成的恶劣社会影响和经济损失、事后恢复所需的大量人力和时间,这些投入还是相当值得的
参考文献
[1] 崔樱. 基于三层C/S结构的医院信息系统设计与实现[J]. 现代电子技术. 2011(02)
[2] 钱崇强,解春生. 医院信息系统升级风险管理[J]. 中国医院. 2011(01)
[3] 黄威. 浅谈医院信息系统的安全问题[J]. 科技创新导报. 2011(03)
[4] 韦韧,徐民,李翠荣. 基于医院信息系统建设的网络规划[J]. 医学信息(上旬刊). 2011(04)
[5] 苏晓辉,田晓颖. 医院信息系统在医院运行存在的问题及发展前景[J]. 医学信息(上旬刊). 2011(04)
[6] 柳明. 医院信息系统安全策略探讨[J]. 医疗卫生装备. 2011(03)
[7] 金爱山,倪冬岩,王忱玉. 医院信息系统建设实践[J]. 医学信息学杂志. 2011(05)
[8] 李霞. 医院信息系统维护统计数据分析及日常维护体会[J]. 医学信息(上旬刊). 2011(03)
联系我们
学位论文:1157918155
2860401462
期刊论文:2860401462 1157918155
电话:张老师:13189798483
推荐阅读