医院双机双柜方案备份方案.docx

医院双机双柜方案备份方案.docx

《医院双机双柜方案备份方案.docx》由会员分享，可在线阅读，更多相关《医院双机双柜方案备份方案.docx（21页珍藏版）》请在冰豆网上搜索。

医院双机双柜方案备份方案

XXXX医院

信息系统改造技术方案

赛门铁克软件（北京）有限公司

2014年04月

一、前言

随着社会及公众对医疗业务的服务要求不断的提高，管理水平和服务功能的强化及发展将对医院办公方式产生极大的推动作用。

近几年，XXXX医院在信息化方面正在逐步走向成熟，并形成了一定的规模。

XXXX医院现有主要的信息系统包括HIS医院信息系统、LIS电子病历系统、OA系统等，分别部署在PC服务器上。

由于医疗行业的特殊性，医院信息系统需要7×24小时连续运行，对于系统的安全、稳定要求很高，医院的主要诊疗活动都依赖于信息系统的运行。

因此为了保障医院系统的高可用性，医院信息系统迫切需要从简单的单存储单机（或双机）系统更改为双服务器双存储的园区集群容灾系统，确保发生存储、服务器或者站点故障时能够安全切换。

二、高可用需求分析

2.1.关于容灾

有句古谚叫“别把鸡蛋放在一个篮子里”。

现在的信息系统，将各种数据高度集中，“鸡蛋”全放在一个篮里了。

一旦出现突然停电、意外死机或者人为破坏，便会造成数据丢失，后果非常严重。

容灾备份系统就是防止意外情况而采取的一种解决方案，其目的只有一个，那就是保证数据安全和业务应用连续。

理想的容灾备份系统是能够进行两个机房数据的实时同步和重要应用的自动切换。

2.2.业务连续性参数

考虑容灾或业务连续性需求和方案选择时必需对业务系统以及业务系统的RPO和RTO进行分析，其中：

∙RecoveryPointObjective（RPO）

oThepointtowhichdatamustberestored

o能够接受的最大数据损失量

∙RecoveryTimeObjective（RTO）

oThetimebywhichdatamustberestored

o能够接受的最长停机时间

二者之间的关系如下图所示：

2.3.核心业务系统现状

XXXX医院核心业主要包括HIS、LIS、OA、成本核算、EMR等七套业务系统,。

HIS系统肩负着医院日常的门诊、急诊和住院业务。

可以说HIS系统是医院的核心信息系统，所有医院日常工作都依赖于HIS系统的正常运转。

而将建设的PACS系统即图像存储与传输系统，是应用于医院的数字医疗设备如CT、MR、US、DSA、CR等设备所产生的数字化医学图像信息的采集、存储、管理、诊断、信息处理的综合应用系统。

PACS系统借助计算机技术，可以对图像的像素点进行分析、计算、处理，得出相关的完整数据，为医学诊断提供更客观的信息。

随着医院对于HIS、PACS系统越来越依赖，HIS、PACS系统的可用性对于医院的生存越来越重要。

同时，随着医院信息化的不断完善，医院信息服务管理人员开始意识到，仅有一个可用的IT系统远远无法满足业务的需要，如果信息服务对医院业务的正常运作很重要，医院的信息服务应当基于一个高可用的架构，以确保信息系统具备在相当长的一段时间内持续执行其功能的能力。

2.4.高可用需求

根据对XXXX医院业务系统的了解，发现HIS、LIS系统是医院核心系统之一，非常关键。

灾难性事故仍影响着系统可靠运行：

∙在线数据仅有一份，数据不是镜像到2台磁盘阵列上的，如果主阵列故障或者阵列维护，核心业务将不能提供应用服务；

∙所有业务系统仅运行在单机上，当服务器发生故障时，无法及时提供备机进行切换，理没有自动切换能力。

∙仅有一个机房，当出现重大故障，如大面积停电、火灾、地震等造成的灾难事件时，所有系统无法连续运行，数据也将丢失。

∙所有数据没有自动备份系统，某些重要数据基本采用手工方式，效率低下。

一旦数据被误删除或者出现逻辑错误，无法保证有最新的备份数据可供恢复。

因此为了以防万一，能够在灾难发生时保证数据的安全性，同时快速恢复生产业务，XXXX医院首先需要实现业务系统高可用和数据备份。

三、高可用架构设计

3.1.高可用整体架构

XXXX医院计划在两栋大楼设置两个独立的机房（分别是主机房和灾备机房）。

为了充分保证业务数据连续不中断，我们建议将服务器与磁盘阵列分别部署在两个机房，并通过SymantecFoundationHA软件搭建成园区级容灾集群。

SymantecStorageFoundationHA包含了两大组件：

VERITASStorageFoundation（SF）和VERITASClusterServer（VCS）。

VERITASClusterServer（VCS）是一个商用的企业级解决方案，提供全面的可用性管理，可帮助用户把计划的和非计划的停机时间降到最低。

VERITASStorageFoundation可帮助用户容灾的效果能够达到无缝的数据高可用性，对业务系统的高可用性提供了保障，StorageFoundation提供基于磁盘镜像的技术，即可在磁盘阵列内部实现，也可以跨越不同磁盘系统来实现，镜像中任一个磁盘阵列出现问题停顿时，都不会导致应用中断。

并可以完全不依赖于磁盘系统的品牌和型号。

所以，利用镜像技术实现容灾，我们就可以保留在任何时候自由、灵活的选择磁盘系统的权利。

详细方案设计描述如下：

●部署3台性能较高的服务器，安装虚拟化软件。

其中，两台安装在主机房，一台安装在备机房。

●两台光纤存储，分别部署在两个机房。

●将当前7个应用系统迁移到虚拟化环境。

●服务器的工作网卡和心跳网卡均通过高速网络互联。

●服务器使用两块HBA卡分别连接两个SAN光纤交换机。

●两个光纤交换机同时分别连接两个SAN光纤存储阵列。

●在需要保护的虚拟机上安装SymantecStorageFoundationHAForWindows及相应的代理，组成集群系统。

因此建议的逻辑结构如图所示:

3.2.存储镜像的技术实现

Symantec利用StorageFoundation系列软件的镜像技术，来构建容灾方案。

利用StorageFoundation的镜像技术构建容灾系统是非常简单的，它只有一个条件，就是将两大楼之间的SAN存储区域网络通过光纤连接起来，建立SAN存储网络。

然后，我们就可以通过StorageFoundation提供的非常成熟的跨阵列磁盘镜像技术来实现容灾了，容灾方案的结构如下图所示：

从镜像原理上讲，在城域SAN存储网络上的两套磁盘系统之间的镜像，和在一个机房内的SAN上的两个磁盘系统之间的镜像并没有任何区别。

利用裸光纤将主机房和容灾机房的SAN网络连接起来，构成城域SAN网络以后，利用StorageFoundation的先进的逻辑卷管理功能，我们就可以非常方便的实现主机房磁盘系统和容灾机房磁盘系统之间的镜像了。

如下图所示。

我们可以看到，利用StorageFoundation，我们可以创建任意一个逻辑卷（Volume）供业务主机使用，实际上是由两个完全对等的，容量相同的磁盘片构成的，两个磁盘片上的数据完全一样，业务主机对该Volume的任意修改，都将同时被写到位于主机房和容灾机房的两个磁盘系统上。

采用这种方式，主机房的磁盘阵列与容灾中心的磁盘阵列对于两地的主机而言是完全同等的。

利用城域SAN存储网络和StorageFoundation镜像功能，我们可以非常轻松的实现数据系统的异地容灾。

并且消除了复制技术（无论是同步还是异步）的切换的动作，从而保证零停机时间，零数据损失的实现。

3.3.高可用系统故障响应

一个完整的灾备系统，除了在数据灾难发生时，能够完成灾备的使命，需要考虑灾备系统本身的可维护性和可操作性，以及对系统尽可能快的恢复。

当主机房数据系统故障

主机房数据系统故障意味着灾难，磁盘故障，链路故障，或者数据系统的计划内停机时间，也就一切导致主机无法访问主机房数据系统的情况。

当主机房的磁盘系统发生故障（灾难）时，由于容灾中心的磁盘是它的镜像，所以操作系统会自动隔离主机房的磁盘，转而对容灾中心的数据进行访问。

业务系统可以通过SAN网络直接访问容灾中心的磁盘系统的数据，而不需要有任何针对业务系统的动作。

也就是说，主机房磁盘系统的灾难，对业务系统是透明的，应用和数据库不会因为主机房磁盘系统的故障而停止；更重要的是，因为应用和数据库不会因为灾难而异常中止，从而避免了发生数据库损坏（数据一致性风险）的可能。

值得注意的是：

整个过程对应用完全透明，不需要也不会中断业务系统的正常运行。

这是其他基于磁盘系统间复制技术构建的容灾系统无法实现的。

容灾机房数据系统故障以及SAN链路故障

容灾机房数据系统故障，以及大楼间SAN链路故障，我们都可以把其看成是容灾部分的故障，其原理和后果与生产中的数据系统故障相同。

都是导致了镜像的破坏。

而后，系统将自动的只与状态健康的磁盘阵列继续工作。

整个过程对应用完全透明。

故障修复后的恢复

磁盘系统故障修复之后，我们需要尽可能快的将远程镜像系统恢复起来，以确保容灾的功能继续得以实现，同时，在整个镜像恢复的过程中，势必会对应用造成影响。

因为磁盘数据的同步，一定会造成I/O的极度繁忙而导致应用性能下降，如果镜像恢复无法快速完成，其后果跟系统应用停机也非常接近了。

因此，如何快速有效的实现镜像的重新同步，同样是一个容灾方案是否成功的关键因素。

传统的镜像技术（如OS的镜像技术），在镜像链路被中断以后，中断的镜像会被认为完全作废，在链路恢复以后，我们不得不将数据完整地从主机房拷贝一份到容灾中心。

这种方式，对于用户的应用是无法接受的。

链路方面的故障如果经常发生，我们就需要不断的重复将主机房的数据全部同步到容灾机房的磁盘系统上，实际上，这种方案不具有可实施性和可维护性，是不现实的。

这也是什么主机厂商虽然也有类似镜像功能，但不会用于容灾的根本原因。

为了解决这个问题，SymantecStorageFoundation提供了DCO+FMR技术，其中DCO（DataChangeObject）是一种针对镜像的Log技术，该技术允许StorageFoundation在镜像链路中断后记录逻辑卷的数据变化情况，以便在镜像链路恢复后，由FMR实现数据的增量恢复。

所谓FMR，其全称是FastMirrorResync，意思就是“镜像的快速再同步”，FMR是和DCO技术对应的镜像快速恢复技术，利用SymantecStorageFoundation的DCO和FMR技术，我们现在可以不用再担心容灾系统本身的可维护性了。

利用DCO和FMR，我们的应对步骤如下：

1．一切故障，导致镜像被破坏。

2．主机房的StorageFoundation利用DCO日志记录因业务数据的变化而变化的数据块。

3．一旦故障被修复，StorageFoundation的FMR功能模块，会根据DCO日志记录的情况，将链路中断后更新的业务数据（变化量）同步到灾难端实现增量更新。

4．镜像快速同步的过程中，用户的应用始终可以正常工作。

整个过程的发起，只需要执行一条命令即刻完成。

整个过程的速度，由于只是同步增量，时间远远小于整个数据系统的完全同步。

从而大大减小对用户应用的影响，这也是传统镜像技术如OS镜像所以不具备的。

3.4.StorageFoundation技术特点

存储在线管理

在今天数据量快速膨胀的环境中，服务器和存储的重新分配已成为一项日常工作：

应用的数据增长超过了原来分配的存储容量；一些数据的价值日益增加，需要更高级的保护；需要将系统上多余的存储容量转分配给容量不足的其他系统……这些都属于存储管理的范畴。

无论出于何种原因而进行存储重新分配，通常都会导致应用程序“停机”，这对于需要保障应用程序不间断运行的管理员来说是个难题。

从业务角度来看，停用大型文件系统或数据库，以将其备份并恢复到较大设备的做法往往不可行。

即使将数据集从镜像设备直接复制到非冗余设备所需的时间也会对运营产生负面影响。

VxVM的体系结构允许数据被应用程序联机使用状态下执行重新配置操作，从而消除或至少减少重新配置存储带来的问题。

调整卷的大小既可以在应用程序需要多余空间时增加其容量，也可以在需要将未使用的存储重新部署到其他主机时减少其容量。

可以在线卷的配置，包括添加或删除镜像、增加或减少条带卷中的列数等。

VxVM可以在磁盘或LUN之间重定位条带卷的单个镜像或列。

如果怀疑存在潜在的磁盘故障，则可以使用该功能，即将数据从故障磁盘移至另一个正在使用的备用磁盘。

另外，还可以使用它将数据从旧设备迁移到新设备中。

VxVM使用存储中的空闲容量在后台执行上述所有重新配置操作。

需要注意的是，重新配置卷操作需要大量I/O，因此应谨慎地安排在生产应用程序未承担峰值负载时执行这些操作。

VxVM联机重新配置可避免停机，在执行重新配置时，即使应用程序达不到峰值性能，也完全可正常运行。

因此，联机重新配置功能解决了这一难题。

VxVM在重新配置存储时无需停止应用程序，只需在安排重新配置时，将其安排在从业务角度看可以承受任何潜在的性能下降的时间。

多层存储与在线迁移

企业使用通常与业务目的密切相关的文件来组织它们的数字信息，这些信息包括文档、事务、图像、音频曲目和其他数字业务对象，每个都具有业务价值。

因此，优化存储及I/O成本和性能的工作显然要围绕文件这个对象来展开。

企业会出于多种原因而需要控制在两个或多个存储层内放置数据对象：

■不同类型的数据具有不同I/O性能需要。

数据流需要较高的数据传输性能，但可以接受中等的I/O请求速率。

事务需要较高的I/O请求速率，但只需要中等的数据传输性能。

■同时运行的应用程序可能会争用I/O资源，除非它们的数据放置在具有单独访问路径的单独存储设备上。

■不同数据集具有不同可用性要求。

通常，企业可以在缺少人力资源系统的情况下经营业务，但却不能在缺少销售点或客户关系管理系统的情况下经营业务。

■不同数据集具有不同的价值。

丢失一天的业务事务会对企业产生明显影响，但仍可恢复正常。

丢失年度结算数字可能会带来一场灾难。

丢失一整天的工作对于视频编辑人员来说可谓损失惨重，但丢失完成的产品可能使组织遭受更大挫折。

另外，文件的合适存储类型会随着时间而变化这一事实构成了更大的挑战。

当文件变旧、变为不活动状态、增大或者缩小、或在目录之间移动时，适用于该文件的合适的存储设备类型也会发生变化。

手动在存储设备层中重定位数百万个文件会成为一项永无休止的任务。

自动化对于有效利用多个存储层是一个必要条件，特别是对于包含大量文件的文件系统。

VxFS动态存储分级（DST）包含两个部分：

多卷文件系统以及文件系统存储内基于策略的自动化文件放置。

顾名思义，多卷文件系统就是占用两个或更多虚拟存储卷的文件系统。

VxFS多卷文件系统显示单一名称空间，因此多个卷的存在对于用户和应用程序是透明的。

但是，VxFS内部仍清楚每个卷的标识，这使得管理员可以定义策略来控制单个文件的位置。

在其上构建多卷VxFS文件系统的VxVM卷也称为VxFS文件系统的卷集。

卷可能具有不同的类型（例如，条带卷、RAID-5卷、镜像卷，等等），并可能基于不同的硬件技术（如不同类型的磁盘阵列LUN和不同技术的直接磁盘挂接）。

将存储层构建在VxVM卷之上具有一个重要的优点：

出于I/O性能或容错方面的原因，卷可以具有任何必需的容量和配置，甚至可以跨多个磁盘阵列。

多卷VxFS文件系统的管理员通过定义文件放置策略来控制文件位置，文件放置策略指定最初文件位置以及现有文件应在那个位置环境下重定位。

VxFS文件放置策略由将文件位置限制到文件系统的卷集的子集的规则组成。

这些子集被称为放置级别，通常使用存储层进行标识。

文件是在指定的放置级别中创建和扩展的，并在满足某些资格要求时被重定位到其他放置级别。

例如，下图显示了一个由三个放置级别（分别称为tier1、tier2和tier3）组成的卷集。

此卷集可能适合包含少量关键文件（tier1）、具有一般重要性的较大数量的文件（tier2）和更多数量的非活动文件（tier3）的文件系统。

VxVM卷通过使用称为卷标记的字符串与放置级别相关联。

在上图中，Volume_F带有标记tier1，Volume_D和Volume_E被标记为tier2，而Volume_A、Volume_B和Volume_C被标记为tier3。

放置文件时，VxFS同等对待放置级别中的所有卷并在它们之间平衡空间分配。

卷标记只是一个用于对卷进行分类的字符串。

任何卷都可以使用任何方便的名称进行标记。

例如，以贵重金属命名存储层是很常见的－gold（最顶层）、silver（中间层）和bronze（最低层）。

VxFS根据文件系统的活动文件放置策略为文件分配空间。

文件放置策略由用于管理指定文件集的最初位置和后续重定位的规则组成。

可以对规则指定文件，按名称、目录、所有权或按三者的组合对文件应用规则。

文件放置策略规则是按放置级别而不是按特定卷来指定文件位置的。

这避免了在从文件系统的卷集添加或删除卷时更改放置策略的需要。

此外，由于放置类别名称不需要唯一，因此可以将一个放置策略指定给具有相似要求和存储补偿的任意数目的文件系统。

文件放置策略规则以按优先级排序的放置类别列表的形式指定原始分配和重定位的位置。

如果空闲空间允许，会将文件分配到列表中的第一个类别中，如果在第一个类别中没有空闲空间，则会分配到第二个类别中，以此类推。

除非在任何指定的类别中都没有空间，否则文件分配不会失败。

此功能为特定存储层意外填满的文件系统提供了一种“软着陆”方式。

VxFS通过管理命令强制执行文件放置策略。

策略强制执行通常会定期（例如，每天）进行，并且安排在生产性活动预期比较少的时间。

在策略强制执行过程中，如果有可用空间，VxFS会将文件重定位到这些文件所应用的规则中列出的第一个放置类别，如果在第一个类别中没有可用空间，则会定位到第二个类别，以此类推。

文件放置策略可以指定无条件的重定位；或者，重定位可以基于某些资格条件，如自最近访问或修改之后的时间、访问强度（有时也称为I/O热度）和文件大小。

存储多路径管理

在数据中心的高可用性范畴中，存储网络本身已成为一个重要因素。

不仅虚拟存储设备必须非常强大，还必须保护访问组成虚拟存储设备的物理设备的能力，使其不受网络故障的影响。

最常用的多路径访问容错形式是配置两个或多个完全独立的物理网络或光纤通道，然后将主机服务器和存储设备与两条光纤通道连接。

但要达到当路径中任一组件发生故障都不会中断主机服务器与数据间的连接，其前提是：

■主机服务器可识别它与存储设备之间的两个路径。

■主机服务器的I/O软件堆栈能够将发送到失败路径的请求重新发送给备用路径，使应用程序访问数据时不会中断。

VxVM动态多径处理（DMP）功能可满足上述两个要求。

DMP基于基本操作系统设备发现而构建，可识别连接到相同磁盘驱动器或磁盘阵列LUN的多个路径。

如果设备路径因任何原因失败，DMP会将请求重新路由到备用路径。

在大多数情况下，重新路由对应用程序是透明的。

对于所谓的主动/被动磁盘阵列，即需要特定操作才能与备用路径上设备通信的磁盘阵列，DMP会执行所需操作。

上图显示DMP处于I/O堆栈中VxVM虚拟层下的位置。

在系统启动过程中或按需要执行发现的阶段，DMP会查询类似设备以确定它们是确实为不同设备，还是通过两个主机总线适配器提供给操作系统的相同设备。

对于为其检测多个路径的每个设备，DMP都会在操作系统中创建伪设备数据结构。

VxVM虚拟层将DMP提供的伪设备虚拟化（镜像和条带化等等）。

VxVM向驱动程序发出的每个I/O请求都会通过DMP层，该层使用I/O路径将其路由至设备并跟踪其进度，所以VxVM的I/O请求不会在系统中丢失。

如果I/O设备的一条路径发生故障，DMP会直接将未完成请求和未来请求重新路由到另一路径，同时执行可影响路径故障切换的任何特定于磁盘阵列的操作。

DMP的辅助优势在于可同时使用两条或多条设备路径以提高吞吐量。

该功能在配备较大缓存内存的企业级磁盘阵列中尤为重要。

对于某些类型的应用程序，相当大一部分I/O请求是通过引用磁盘阵列缓存来满足的。

因为不会对这些请求执行查找或旋转中继，所以数据传输成为限制I/O性能的因素。

如果磁盘阵列支持同时通过两条或多条路径访问其LUN，则DMP可以将每个VxVMI/O请求路由到相对不繁忙的路径，从而提高总吞吐量。

DMP包含多种算法，可在多条路径之间平衡I/O负载。

DMP的主要优势是提高服务器级别的数据可用性，因为它使对存储设备的访问能够承受I/O路径故障。

其辅助优势是在与磁盘阵列一起使用时，如果这些磁盘阵列支持同时访问连接到它们提供的LUN的多条I/O路径，则可提高I/O性能。

DMP相对于其他厂商提供的多路径管理软件来说，更大的价值在于其支持多个不同类型的阵列。

当主机需要连接两种或两种以上不同厂商的阵列时，因为厂商的多路径管理软件互不兼容，客户的这种需求很难满足。

但VeritasDMP能完全满足这种复杂需求。

存储快照管理

快照技术无论是用于脱机备份或快速恢复，还是用于其它处理例如分析、统计，都会占据大量的存储空间。

现实中无论是应用开发阶段、测试阶段、或是生产环境，都存在这大量的数据快照。

就像捕获物理操作的摄影快照一样，VxVM快照能够捕获大型数据集的瞬间映像，从而帮助解决该冲突。

可以将大型数据集的VxVM快照备份或对其执行其他处理，同时生产应用程序可继续处理数据本身。

VxVM同时支持完整副本和节约空间的写入时分配快照。

完整副本快照是卷的“位对位”副本，与卷本身占用相同的存储容量。

完整副本快照的优势在于可以将它们占用的存储设备移到其他主机上，因此处理它们时不会影响生产应用程序的可用资源。

它们的缺点在于初次创建时需要很长时间，这是因为必须将要为其创建快照的数据集中每个位复制到快照卷中。

节省空间的快照是卷的虚拟快照。

从物理角度看，节省空间的快照仅包括快照创建后已修改的数据之前的映像。

当应用程序更新之前的映像之后，会为它们分配存储容量。

节省空间快照作为完整数据集提供，但是它们通过引用原始映像满足获得未修改数据的读请求。

因此，不能将它们移到主机以外的其他计算机以进行辅助处理。

节省空间的快照使用的存储容量非常有限，不经常更改的大型数据集更是如此，因为它们使用的存储容量与其生命期内修改的数据量成比例，而不是与数据集大小成比例。

因此，可以经常创建节省空间的快照，从而在数据集被损坏之后迅速将它们恢复到先前的状态（恢复点）。

VxVMFastResync™功能显著增强了完整副本和节省空间的快照在重复应用中的可用性，并可用于从应用程序导致的数据损坏中恢复。

VxVM维护数据更改日志（DCL），跟踪对活动快照和它们代表其快照的卷的更改。

使用DCL作为指南，VxVM使用快照的之前映像内容覆盖已更改的块，从而迅速将损坏的卷恢复到先前的状态。

同样，快照的有效期结束时，可以使用原始卷中已更改的块覆盖快照，将其更新为最新快照。

所以，举例来说，可以将完整副本的快照移到主机外以进行备份，然后在备份结束后将其移回主机，将已更改的数据复制到其原始卷中以更新原始卷的当前状态，然后再次将其移到主机外，进入下一个备份循环。

VxVM快照可以显著延长信息服务的正常运行时间，使其能够捕获生产应用程序继续处理活动数据时，可对其进行备份或分析的大型数据集的瞬间状态。

可使用快照