基于醫(yī)院應用的CDP技術測試和分析

金暉　王梓名　歐兵

摘要：隨著醫(yī)院信息化建設的不斷發(fā)展，HIS、LIS、RIS、PACS等諸多應用系統(tǒng)的數(shù)據(jù)量愈來愈大，數(shù)據(jù)的重要性日益凸顯，數(shù)據(jù)丟失或系統(tǒng)宕機造成的醫(yī)院經(jīng)濟損失和聲譽影響是醫(yī)院不能接受的。如何設計有效的數(shù)據(jù)保護和系統(tǒng)恢復架構，實現(xiàn)醫(yī)院關鍵業(yè)務的不間斷成為信息系統(tǒng)從業(yè)人員關注的焦點。

關鍵詞：醫(yī)院；信息系統(tǒng)；容災；CDP技術；信息化建設 文獻標識碼：A

中圖分類號：R197 文章編號：1009-2374（2015）32-0063-03 DOI：10.13535/j.cnki.11-4406/n.2015.32.034

1 概述

業(yè)界的容災就是在異地建立一套關鍵應用的備份，利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對災難性事件的抵御，根據(jù)對災難性事件的抵抗程度，容災可分為數(shù)據(jù)級容災和應用級容災。數(shù)據(jù)級容災就是建立一套異地的數(shù)據(jù)系統(tǒng)，對本地系統(tǒng)的關鍵應用數(shù)據(jù)實時復制，當災難出現(xiàn)后可以通過異地備份系統(tǒng)將數(shù)據(jù)恢復出來，保證本地系統(tǒng)數(shù)據(jù)的完整性。應用級容災比數(shù)據(jù)級容災要求高，首先需要在異地建立一套和本地數(shù)據(jù)系統(tǒng)相當?shù)膫浞輵孟到y(tǒng)，在災難出現(xiàn)后，異地備份應用系統(tǒng)能迅速接管或承擔本地應用系統(tǒng)的業(yè)務。由于應用級容災所涉及的資金投入過大，國內大部分醫(yī)院都沒有建設，多采取簡單的數(shù)據(jù)備份來防范災難，數(shù)據(jù)恢復時間長自然不可避免。

2 系統(tǒng)現(xiàn)狀和整改思路

我院信息系統(tǒng)建設較為完善，除HIS、LIS、PACS三大系統(tǒng)和服務器虛擬化應用，還包括其他十幾個應用系統(tǒng)。其中LIS、PACS系統(tǒng)均采用雙機單陣列結構，服務器虛擬化應用是多機單陣列結構，并且各自為陣，成為SAN結構孤島，雖然LIS、PACS系統(tǒng)有基本數(shù)據(jù)定時備份機制，但是系統(tǒng)都存在單點故障，架構如圖1所示：

圖1

為了排除這些風險點，我們決定進行架構調整和運用一些新技術、新功能來逐步完善系統(tǒng)，計劃從三個方面來實現(xiàn)對LIS、PACS、服務器虛擬化應用的數(shù)據(jù)保護。

2.1 配置數(shù)據(jù)邏輯保護

當系統(tǒng)發(fā)生邏輯破壞，如病毒、人為誤操作等造成的數(shù)據(jù)修改、數(shù)據(jù)刪除或者文件系統(tǒng)受損等，可以進行回滾或修復，確保數(shù)據(jù)丟失量控制在秒級。

2.2 增加數(shù)據(jù)的物理保護

在實現(xiàn)數(shù)據(jù)邏輯保護的前提下，進一步提高系統(tǒng)物理冗余度，實現(xiàn)物理和虛擬環(huán)境數(shù)據(jù)的物理保護，保證上述業(yè)務在出現(xiàn)物理故障時，如磁盤陣列損壞、宕機等，實現(xiàn)數(shù)據(jù)不丟失、業(yè)務不停頓。

2.3 兼顧異地容災

經(jīng)過“5·12”大地震之后，容災的必要性越來越多地在信息化建設中被提及，我們想利用本次系統(tǒng)的整改，兼顧未來發(fā)展，增加適當?shù)脑O備實現(xiàn)異地容災的前期架構。

3 CDP技術

通過多方了解和與業(yè)界數(shù)據(jù)保護領先廠商的技術交流，并結合我院的實際情況，我們計劃采用CDP技術來實現(xiàn)容災和數(shù)據(jù)保護。

CDP容災是一種持續(xù)數(shù)據(jù)保護（CDP）技術，內置實時備份、災難恢復和介質同步模塊，可持續(xù)地復制生產(chǎn)服務器上的數(shù)據(jù)庫應用系統(tǒng)的變化，并將變化同步或異步地復制到介質服務器的OFS卷和容災服務器的數(shù)據(jù)卷上，當災難發(fā)生時，可通過容災服務器接管原有系統(tǒng)，并從介質服務器上恢復任意時間點到生產(chǎn)服務器，達到應用系統(tǒng)RPO和RTO最低的目標。

CDP技術的部署方式存在兩種：一種是帶內部署；另一種是帶外部署，其代表廠家有FalconStor和Datacore等，我們針對兩種方式都進行了部署測試。

3.1 帶內部署（Datacore）

通過測試Datacore的CDP技術，總結其特點是利用實時備份模塊正向持續(xù)復制，將生產(chǎn)服務器上應用系統(tǒng)的數(shù)據(jù)庫變化復制到介質服務器，介質服務器保存數(shù)據(jù)到CDP日志卷，同時介質服務器再將數(shù)據(jù)分發(fā)到對應的容災服務器。生產(chǎn)服務器定期通過網(wǎng)絡向容災服務器發(fā)送消息，稱之為“心跳線”，容災服務器能夠接收到生產(chǎn)服務器的“心跳”，就知道生產(chǎn)服務器情況，當生產(chǎn)服務器宕機，容災服務器無法接收到“心跳”，就知道生產(chǎn)服務器出現(xiàn)故障，于是災難恢復模塊通知容災服務器接管原有系統(tǒng)。

容災接管分自動接管和手動接管，可以自主選擇。自動接管是當容災服務器檢測到生產(chǎn)服務器宕機后，生產(chǎn)服務器的IP會自動漂移到容災服務器上，容災服務器自發(fā)開始運行。手動接管是生產(chǎn)服務器的IP不會自動漂移給容災服務器，需要手動操作完成，漂移完成后，容災服務器啟動，對外提供服務。

在利用Datacore虛擬存儲網(wǎng)關進行搭建時，需要整合目前我院的PACS、LIS、服務器虛擬化應用，將它們各自的SAN網(wǎng)絡打通，在光纖交換機和磁盤陣列之間串聯(lián)入Datacore虛擬存儲網(wǎng)關，實現(xiàn)對下級陣列的接管，然后將其中的LUN映射給上一級的網(wǎng)管設備，用于為上級服務器提供訪問?？紤]到網(wǎng)管的單一性，我們采取了冗余的雙網(wǎng)管結構，保障竄入節(jié)點的安全性。

圖2

如圖2所示，我們采用Datecore虛擬存儲網(wǎng)管分別從業(yè)務高可用、數(shù)據(jù)邏輯破壞保護與歷史數(shù)據(jù)追溯、提升存儲性能等方面來為PACS、LIS、服務器虛擬化應用進行存儲的架構整改測試。

首先是業(yè)務系統(tǒng)的可靠性，根本方法就是提高系統(tǒng)冗余度。我院計劃在存儲虛擬化改造中，將提高系統(tǒng)冗余度作為重點，分別增加兩臺大容量的磁盤陣列來實現(xiàn)底層數(shù)據(jù)的鏡像和分區(qū)存儲CDP數(shù)據(jù)以及快照，從而真正保證這些業(yè)務的24X7運行。其中采用SANsymphony-V存儲網(wǎng)關來實現(xiàn)存儲的實時同步及存儲故障的無縫切換。由于SANsymphony-V在存儲高可用方面有很高的可靠性，并且數(shù)據(jù)鏡像技術是實現(xiàn)CDP的前提條件，雖然數(shù)據(jù)鏡像技術有多種，但是利用存儲高可用的數(shù)據(jù)鏡像技術實現(xiàn)CDP，兼顧了業(yè)務系統(tǒng)物理和邏輯保護，是數(shù)據(jù)保護的最佳手段。

其次是使用SANsymphony-V的快照與CDP相結合的方式對數(shù)據(jù)進行保護，實現(xiàn)數(shù)據(jù)邏輯破壞保護與歷史數(shù)據(jù)追溯。Datecore的CDP（Continue Data Protection）技術保障了PACS、LIS、服務器虛擬化應用系統(tǒng)數(shù)據(jù)可以恢復到2周內的任意時間點，而快照技術可用于更久時間以前的某個時間的快速恢復。

至于存儲系統(tǒng)性能提升，在IT產(chǎn)業(yè)中，計算速度一直遵循著摩爾定律，性能在飛速提升，但存儲設備由于是電子和機械的結合體，其性能提高的速度遠遠落后于主機性能的提升。所以在實際業(yè)務系統(tǒng)的使用中，最終的性能瓶頸往往是存儲的訪問速度，所以要提高業(yè)務的訪問速度，存儲的性能的提升往往會起到立竿見影的效果。由于SANsymphony-V存儲網(wǎng)關附有高速大容量緩存技術、自動熱點平衡技術、自動分層技術，所以對原有以及新購的存儲設備的性能都有改進。

3.2 帶外部署方式（FalconStor）

通過測試FalconStor的CDP技術，總結其特點是采用了許多關鍵技術，比如精簡復制技術（Microscan）、存儲虛擬化技術、多種策略的遠程Replication技術、多時間點自動快照技術、連續(xù)I/O記錄技術（Journal）、

數(shù)據(jù)一致性保證技術、讀/寫優(yōu)化技術。

圖3

如圖3所示，我們測試的FalconStor的CDP全面數(shù)據(jù)保護系統(tǒng)是一套行集磁盤鏡像、數(shù)據(jù)連續(xù)保護和備份、遠程容災于一體的綜合解決方案。

基本架構是在我們的災備站點部署一臺FalconStor的CDP服務器，接入到SAN存儲網(wǎng)絡中，通過FC協(xié)議進行數(shù)據(jù)保護，通過以太網(wǎng)進行管理，保護數(shù)據(jù)的方法是將生產(chǎn)數(shù)據(jù)鏡像到CDP服務器中。在生產(chǎn)中心將CDP代理模塊安裝在生產(chǎn)機上，以鏡像的方式將生產(chǎn)數(shù)據(jù)的當前狀態(tài)或即時IO流抓取到CDP服務器中。代理模塊采用旁路的獲取數(shù)據(jù)，不影響正常的生產(chǎn)數(shù)據(jù)。采用TCP/IP協(xié)議，復制策略根據(jù)實際的數(shù)據(jù)增量和傳輸帶寬靈活制定，設置為實時或間隔等多種級別，實現(xiàn)多歷史點保護，數(shù)據(jù)在CDP服務器上可保存200多份定時歷史，帶寬充足時還可具備長達30天的任意時間點的IO變化錄像。所有歷史點可在任何時刻提取，無需Restore過程，無需使用臨時空間暫存Restore回滾數(shù)據(jù)。還可提取多個歷史點，供一臺或多臺服務器讀寫，寫入不會破壞原始版本，可隨時撤消改變，也可永久保存。

4 CDP技術的優(yōu)劣

通過對比上述兩種部署方式和實際測試使用，我們發(fā)現(xiàn)datacore的CDP技術的主要優(yōu)勢在于響應服務器快速，數(shù)據(jù)流到達CDP網(wǎng)關設備即返回，但由于是串入在結構中，一旦CDP硬件或軟件發(fā)生故障必然影響到系統(tǒng)的正常運行，而FalconStor的CDP技術的主要技術優(yōu)勢在于旁路接入，不影響系統(tǒng)的結構，部署簡單，CDP的硬件或軟件故障都不會影響系統(tǒng)的正常工作。

兩種CDP技術都優(yōu)于傳統(tǒng)的備份技術，由于CDP技術是一種數(shù)據(jù)的連續(xù)時間點的保護技術，其作用能在故障瞬間完成任何時間點的故障恢復，從根本上解決傳統(tǒng)備份中低恢復能力和非精細時間策略的弱點。傳統(tǒng)備份技術所困擾人們的長備份窗口和按天進行備份的弱點將不再存在，CDP實時鏡像備份技術所獲取的數(shù)據(jù)影像不是專用的備份格式，而是直接的數(shù)據(jù)原型，因此數(shù)據(jù)的恢復將是立即可用，這在恢復技術上是根本進步。CDP采用的多點快照技術，既是災難發(fā)生時保護最新數(shù)據(jù)的備份技術，也是歷史數(shù)據(jù)丟失時恢復原有數(shù)據(jù)的備份技術，由于自動產(chǎn)生數(shù)據(jù)的多個時間點保存，因此即使丟失的數(shù)據(jù)已經(jīng)過了幾天，仍然可以快速實現(xiàn)獲取正確的歷史數(shù)據(jù)。當系統(tǒng)發(fā)生邏輯災難時，CDP能夠提供顆粒度達到IO的歷史軌跡恢復能力，追溯歷史，使災難防御能力得到大大提高，同時CDP在本地連續(xù)數(shù)據(jù)保護和異地容災兩個層面都能提供數(shù)據(jù)一致性機制，保證了復制到災備端CDP數(shù)據(jù)的可用性。

無論采用哪種方式的CDP技術，其設計思想都擺脫了傳統(tǒng)備份方式的弱點，都可以實現(xiàn)對我院PACS、LIS、服務器虛擬化應用系統(tǒng)數(shù)據(jù)的實時而快速的恢復。

5 結語

按照國家頒布的《信息系統(tǒng)災難恢復規(guī)范》（GB_T 20988-2007）和《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》，醫(yī)院信息系統(tǒng)應該達到相應的容災等級要求，可以根據(jù)自身的條件來建立相應的容災保護。我們認為在對于RPO和RTO指標要求很高的情況下，兼顧TCO和ROI指標采用CDP技術不失為一套行之有效的方法，它兼具了磁盤鏡像、數(shù)據(jù)連續(xù)保護和備份遠程容災于一體，為醫(yī)院提供全面的數(shù)據(jù)保護。

參考文獻

[1] 黎斌，胡睿，李正，等.淺談災備系統(tǒng)建設在區(qū)域地震數(shù)據(jù)中心的應用[J].電腦知識與技術，2013，（8）.

[2] 張順仕，竇光芒，張旭.基于業(yè)務數(shù)據(jù)庫的容災系統(tǒng)應用研究[J].電腦知識與技術，2012，（29）.

[3] 楊棟.CDP技術在醫(yī)院災備系統(tǒng)中的應用[J].科學管理，2011，（7）.

[4] 溪利亞，顧兵.CDP技術在數(shù)據(jù)容災系統(tǒng)中的應用[J].科學管理，2011，（10）.

[5] 阜外醫(yī)院通過信息安全等保三級[J].中國信息界（e醫(yī)療），2013，（2）.

[6] 劉其成，鄭緯民，陳康.虛擬化技術在容災系統(tǒng)中的應用[J].小型計算機系統(tǒng)，2010，（10）.

作者簡介：金暉（1965-），男，北京人，四川大學華西第二醫(yī)院工程師，碩士，研究方向：計算機應用；王梓名

（1987-），男，四川巴中人，供職于四川大學華西第二醫(yī)院，碩士，研究方向：軟件設計；歐兵（1963-），男，陜西漢中人，供職于四川大學生命科學學院，研究方向：圖書情報。

（責任編輯：秦遜玉）