医院信息系统数据应该如何灾备
摘要:
随着医院信息系统日益复杂,应用系统规模不断扩大,数据管理问题日益凸显。其中,医院信息系统的业务连续与高可用是重中之重。国家卫生计生委、国家中医药管理局印发的《医疗机构病历管理规定》中说明:患者病历档案保存时间不少于15年;卫生部新《医院信息
随着医院信息系统日益复杂,应用系统规模不断扩大,数据管理问题日益凸显。其中,医院信息系统的业务连续与高可用是重中之重。国家卫生计生委、国家中医药管理局印发的《医疗机构病历管理规定》中说明:“患者病历档案保存时间不少于15年”;卫生部新《医院信息系统软件基本功能规范》也明确规定:“门诊信息系统恢复时间在5-10分钟之内、支持7x24小时工作,以及要求数据备份等。”
1、数据保护规划从存储系统开始
1.1 避免因存储故障影响业务连续性
如何保障业务连续与高可用,一个常见的问题是,当存储层发生故障时,如何保障业务连续性。本地存储
双活方案提供了有益的思路:当生产数据中心机房其中任意一套存储阵列发生故障时,另外一套阵列依然能够提供数据存储访问服务。
实现前端业务、数据库的双活,前提是必须基于共享存储。存储虚拟化技术能将整个SAN环境中的存储资源池化,从而掩盖异构存储之间的差异。通过单一界面就能进行数据管理和控制,大幅度简化存储资源的分配与管理工作,是实现主中心与容灾中心共享同一存储的最为有效的技术手段。
同时,医院信息系统数据保护设计中,"备份是容灾的基础”应被视为基本指导原则:为防止系统出现操作失误或系统故障导致数据丢失,将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质上。一套功能完善、技术先进的容灾备份系统应包含磁盘阵列、存储虚拟化网关、CDP任意时间点数据恢复设备等。
1.2 本地存储双活+连续性数据保护
通过在主生产中心部署存储虚拟化设备存储虚拟化网关,实现本地机房的存储双活。
在灾备中心,通过采用CDP(连续数据保护)技术,可将生产中心的数据实时复制到灾备中心的存储阵列上。根据带宽大小,自动切换同步、异步、快照时间点三种复制方式,提供任意时间点数据回滚功能,有效应对数据库逻辑故障。
连续数据保护技术突破了传统容灾技术的限制,可实现分布式虚拟卷的数据实时同步和IO任意回滚,支持在生产端和容灾端同时打开数据库,容灾端数据库用于实现测试、报表等功能,并不会影响生产,真正做到与操作系统、数据库、应用软件无关。
极端情况下,当遭遇某应用的数据库失效的逻辑故障时,核心系统可通过CDP技术回滚至故障发生的前一秒,拉起数据库,然后将整个业务在15分钟内恢复。即RPO=0,RTO≤15分钟。在生产中心和灾备中心均采用服务器虚拟化平台的设计,对服务器应用系统进行整合,将现有生产中心的应用系统通过虚拟化技术部署到灾备中心,实现生产中心应用系统备份。当生产中心发生灾难时,可拉起灾备中心应用系统,并通过容灾网络持续提供业务访问。
2、容灾系统设计是系统工程
2.1 数据保护设计原则
医院信息系统的数据保护设计需充分考虑现有需求及业务发展趋势,设计规划满足未来5-10年需求的网络存储架构,系统整体设计和建设应遵循高可靠性、高可用性、安全性、统一性、标准开放性、灵活性与可扩展性、可管理性、技术先进性和成熟性等原则。
2.2 完整的灾备中心包含五个方面
围绕机房建设、容灾系统设计、网络系统建设、服务器虚拟化平台建设、局域网安全建设等五大方面,规划建设了一个完整的灾备中心。系统可确保主生产机房在出现系统故障时,灾备中心能够在15分钟内启动并接管业务系统,保证业务不间断地正常运转。同时,确保数据备份系统安全可靠,在出现数据逻辑错误时,可恢复至任意时间点。系统可实现数据级甚至应用级实时容灾,做到服务器、存储、网络故障不影响核心系统生产,例如HIS、LIS、PACS等。
2.3 完整容灾体系的实施效果
通过本地存储双活、连续性数据保护、虚拟化平台设计等一些技术,构建一套立体、完整的容灾体系,可有效应对系统物理故障、数据库逻辑故障带来的风险。
第一,保证了本地物理磁盘故障容灾,解决了由于生产机房集中存储硬盘故障或磁盘阵列故障等物理设备故障引起的业务中断问题。
第二,有效解决数据库逻辑故障,运维人员可通过CDP进行回滚,恢复至任意一个正常的时间点或者直接切换到容灾存储上,最大限度地保障医院数据安全、可靠。
第三,将原有物理数据库服务器转化为单台数据库虚拟机服务器系统,当物理服务器故障时,数据库虚拟机可漂移到其他正常服务器启动,避免了因服务器物理故障而造成的核心数据库中断。同时,将核心数据库虚拟机实时同步至灾备中心,解决逻辑故障问题。
第四,在虚拟化架构下,在线迁移技术可以在不中断虚拟机应用,不关闭虚拟机的情况下,把虚拟机的运行地点从一台主机服务器改变到另外一台主机服务器上。这意味着,可轻松实现在应用不停止运行的条件下,维护需要停机的物理服务器。
第五,减少计划外宕机。当集群中任意一台物理服务器计划外宕机时,应用虚拟机能自动无缝地漂移到其它物理服务器上,待修复后,应用虚拟机又可以自动地无缝地漂移回来,保证负载平衡。整个过程中,使用者是完全察觉不到的,可以完全保证计划外宕机不会中断业务。
3、结语
医院信息系统的数据保护设计应遵循"因地制宜”的原则,合理规划并最大化投资收益。从技术演进趋势来看,异地双活甚至异地多活数据中心是业务连续与高可用的发展方向,将真正意义上打破“主——备中心”概念。
"本地存储双活+连续数据保护”的思路在当前医院信息系统的数据保护设计中较为常见,可有效满足业务连续与高可用需求。
实际上,无论是本地高可用还是异地双活、多活,存储系统都是“根基",有能力同时提供数据访问是关键。简言之,就是在两个独立的站点内的相同的信息,可以同时从这两个站点访问。在此基础上,有能力实现数据中心之间自动实现负载平衡、跨地域的从数据到应用的完整高可用,存储层的完全自动故障处理等。