联鼎三级甲等医院容灾备份方案-医院-软件.doc

《联鼎三级甲等医院容灾备份方案-医院-软件.doc》由会员分享，可在线阅读，更多相关《联鼎三级甲等医院容灾备份方案-医院-软件.doc（36页珍藏版）》请在咨信网上搜索。

技术方案 三级甲等医院 信息系统数据安全方案建议书 上海联鼎软件股份有限公司 方案制作：张成方15221826285 上海 2015年10月 目录 1. 需求说明 4 1.1。 项目背景 4 1.2. 实现目标 4 1.3. 环境概述 6 1。4. 待解决问题 7 2. 容灾概述 8 2.1. 概述 8 2.2. 灾难恢复和业务持续性的区别 8 2。3. 我们对灾难恢复的认识 9 2。4。 数据库容灾的几种实现方式 11 2。5. 有效的容灾方案应有特点 12 2。6。 容灾系统的设计指标 13 3. 方案设计 15 3。1。 设计概述 15 3。2。 设计思想 15 3。3. 设计原则 18 3.4。 方案说明 19 3。4。1. 方案综述 19 3.4.2. 数据库服务器容灾 20 3.4。3。 应用及虚拟机应用容灾 23 3。4。4. 本地备份 29 3.5。 医院容灾系统拓扑图 33 3.6。 配置清单 34 3。7. 方案总结 34 4. 产品概要 35 4.1。 LanderVault 简述 35 4。2. 功能模块介绍 36 4。2。1. 统一集中管理平台:LanderVault 36 4.2。2。 Cluster高可用集群系统 36 4。2.3. Replicator网格化数据复制系统 37 4。2。4。 Backup数据备份系统 37 4.2。5. Disaster应用级容灾系统 38 4。2.6。 备份一体化平台 38 4.2。7。 容灾一体化平台 39 4.2。8。 分布式存储 39 4。2。9. ORACLE逻辑复制AliveDB 40 5. 公司简介 42 1. 需求说明 1.1. 项目背景 XXXXXX医院经过几十年，几代儿医人的艰苦奋斗、无私奉献，从稚嫩一步一步走向成熟。现在医院已成为一所学科齐全,拥有大量专业人才和先进医疗设备，技术先进的综合性医院。 联鼎做为医疗行业用户的IT解决方案提供商，我们为大型的服务用户，提供的一种增值数据安全保障服务，通常高级别的数据安全体系建设需要大量的资金投入，针对不同系统规模，投入可能从几十万到几百万。联鼎十几年积累的技术和产品，具有稳定可靠、架构伸缩灵活、高性价比的特点,可以根据不同规模用户环境和不同等级保护要求进行灵活部署,满足广泛的需求，并能节省大量IT投入。 本方案正是经过对医院用户的软、硬件产品及网络环境的综合考察，结合实际环境的情况提出的。我们力图提供一套完备、基于容灾技术、智能化、易管理的数据安全环境，并且尽我们的力量来充分体现我们在存储软件领域中的扎实功底和及时到位的技术支持服务，为医院用户信息系统数据安全保障建设提出合理的解决方案。 我们为医院用户提出建立一套科学的数据安全体系，可以实现从本地高可用、本地容灾，到异地应用级容灾。可以实现双活容灾、两第三中心数据保护平台建设. 信息系统中数据安全是本方案关注的核心。 1.2. 实现目标 本建议方案针对医院信息系统中数据及应用部分满足国家信息安全等级保护制度的第三级要求而制定的。 三级等保在数据安全及备份恢复包括数据完整性（S3）、数据保密性(S3）、备份和恢复（A3）几个方面. l 数据完整性（S3） 应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施； 应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施. l 数据保密性(S3） 应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性; 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性. l 备份和恢复(A3） 应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放； 应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地； 应采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障； 应提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。 我们提出的方案实现的安全级别要高出三级等保要求许多，比如可以应用或系统故障实现秒级切换，数据逻辑错误可以实时回滚,并且核心业务系统可以做到双活容灾。还可以通过部署备份系统,实现多层次的本地、异地数据及应用的保护. 通常医院的数据中心拥有相当数量的核心业务服务器、存储、网络系统，目前基本上还没有完整的数据安全体系,任何人为的操作错误、软件缺陷、硬件故障、电脑病毒、骇客攻击、自然灾难等诸多因素，均有可能造成数据的丢失和业务的停止,从而给业务系统造成无法估量的损失。 信息系统架构的合理性，系统的安全性、可靠性和最优TCO是本方案的总体目标。需要逐步建立一个可以满足业务持续发展需要、具有一定先进性、易于管理维护、扩展性强的数据安全体系。 本方案提出了一套合理的数据安全体系，确保整个系统数据的多层次安全保障，本方案涉及容灾备份体系涵盖数据本地备份和应用级容灾。 1.3. 环境概述 医院现规划有本地数据中心和异地容灾中心两个机房,其中本地数据中心有数据库级应用服务器共4台，和虚拟机环境上的近30个应用，异地容灾中心设计规划包含服务期、存储及相应网络环境(这部分内容方案汇总方可以根据实际情况调整，但规划的应用容灾实实现上,现仅需在异地机房部署与本地业务系统相对应的物理服务器或者虚拟机，配置上不需要数量与本地数据中心一致）。 本地数据中心环境： l 数据库服务器为PC服务器，通过冗余SAN区域存储网络连接到核心存储设备，Windows操作系统和ORACLE 数据库 l 应用服务器为PC服务器,拥有强劲的CPU和足够的内存空间 l WEB服务器为PC服务器，足够的内存空间 l 病毒服务器 l 主审计服务器 l 其它服务器等 l 核心存储设备 l 网络系统 l 网络安全设备 参考拓扑图如下： 1.4. 待解决问题 l 本地业务持续性保护 当任何服务器或应用由于人为或者意外原因造成宕机,都会影响到用户正常访问服务器业务，需要有针对整个系统各个核心业务系统的高可用保护手段，同时应避免高可用短板。 l 本地数据保护 本地服务器上拥有大量的各类业务数据，比如HIS、PACS等，这些数据在意外丢失时,必须要有一个快速本地数据恢复的手段，确保在任何意外情况下可以进行本地数据恢复。 l 灾难恢复 服务器的数据库和应用即使有本地备份手段,仍然无法避免本地机房发生灾难的情况下的业务和数据保障，而异地数据和业务的保护手段就是容灾，本方案讨论的就是异地应用级双活容灾。容灾可以分为多个级别，本方案实现的是最高级别的应用级容灾. 2. 容灾概述 2.1. 概述 数据是整个系统运作的核心。人为的操作错误,软件缺陷,硬件故障，电脑病毒，骇客攻击，自然灾难等诸多因素，均有可能造成数据的丢失，从而给整个系统造成无法估量的损失。 通常容灾系统可以简单的分为数据容灾和应用级容灾，对于医院这样的业务环境,按照国家规定，需要满足等级保护要求，需要建立一个达到应用级容灾的多层次数据保护体系，达到或超过卫生部要求全国卫生行业各单位信息安全等级保护工作的标准。 2.2. 灾难恢复和业务持续性的区别 很多人认为灾难恢复（Disaster Recovery ）和业务持续性(Business Continuity）是同一个概念.实际上它们并不完全一样,当然，它们共同的目标是IT建设中，为了最坏的情况发生而作的准备。 业务持续性(Business Continuity）是针对潜在的包括停电这样能够造成系统停止运行的风险而提出的概念.针对业务持续性的问题包括：业务系统持续性的实施计划是什么?在问题出现时，谁负责在最短的时间内按照流程将系统恢复工作？在特殊情况下，比如灾难的发生需要做什么？多长时间能够使系统重新启动工作？诸如此类的问题。比如:集群就是业务持续性保护手段的一种。 而灾难恢复(Disaster Recovery ）是更高级别的安全保护手段，是针对更加严重的情况发生，如何保证系统持续提供服务，并且有完整的数据存在。那么我们必须知道：IT系统怎样从灾难发生后，进行数据的恢复?采用什么样的技术来达到这样的目标？什么样的应用需要在灾难发生时，进行切换，如何切换？用户如何访问容灾中心的系统？诸如此类的问题。而灾难恢复的实现，则主要通过远程数据复制和应用切换来实现。 我们看到,灾难恢复部分包含了业务持续性，比如应用级容灾就包括了业务持续性概念,它除了强调系统的远端冗余，更要求能够有完整的数据可供服务。而业务持续性更加强调系统持续提供服务的能力。二者都需要对系统运行环境存在的风险进行分析，做出投资决策。 2.3. 我们对灾难恢复的认识 我们对灾难恢复有多年的积累,包括用于在灾难发生情况下减少宕机时间计划和技术手段。一个灾难恢复系统从结构上主要包括远端容灾中心，它能够在本地系统发生问题时，在最短的时间内接管本地的关键业务. 从业务规划角度，远端的容灾中心应该足够的远，越远越安全。系统在一公里、几公里范围内是无法达到容灾要求的，比如区域停电怎么办?那么长期的全局数据安全规划怎么实现呢，真正容灾的保护需要跨区、跨省、甚至跨越国家来实现。很多全球化企业就是这么做的. 所以灾难恢复环境的实现,需要做到数据复制和应用切换两个环节： l 数据复制： 指在异地保证各个系统关键数据和状态参数的一致，根据其实现的方法来分可以是软件的方式，也可以是硬件的方式。软件方式是在主系统和容灾系统的主机上,安装专用的数据复制软件。这种方式的特点是成本较低。但是存在需要占用一定系统资源的问题，随着系统硬件处理能力的提升，这些已经不是问题,因此，这种高性价比的解决方案正在成为大多用户的首选。硬件方式的数据复制，是数据通过存储阵列控制器直接在存储设备之间传输，由于数据复制是由光纤通道存储阵列控制器完成，因此不占用服务器内存等的硬件资源，也不须由操作系统进行管理和控制，对操作系统资源不会造成占用,对系统效率也不会造成影响，但这种方式无法确保数据库的一致性，并在有些异常情况下，数据库无法正常打开。 同时根据实现的步骤，也可以分为同步复制（实时容灾)和异步复制(异步容灾）.同步复制是安全级别最高的工作方式,工作时主系统主机向本地的存储设备发送一个I/O请求时，这个请求同时被传送到容灾系统的存储设备中,等到2个存储设备都处理完成后,才向主系统主机返回确认信号。这一机制确保在两个存储设备中的数据在数据块级别的高度一致。而异步复制的工作机制是主系统内主机与存储设备间的I/O处理与数据复制过程无关，也就是说,主机无须等待远端存储设备完成I/O处理,只要本地主系统存储设备完成I/O处理后，即向主系统主机发送确认信号.这样，虽然主系统与容灾系统之间数据复制的通讯效率会提高，但是2个存储设备中的数据就可能存在不一致，这也就是采用异步复制机制的代价。 软件方式对传输控制更加灵活，方案采用的联鼎LanderDisaster可以实现同步传-同步写、同步传、异步写、异步传-同步写、异步传-异步写，满足各种网络环境的需求，比如,网络在工作时间段内繁忙，则可以定义在网络空闲情况下进行传递，而在备机，由于引入了时间漏斗概念，可以灵活定义时间漏斗大小，确保在漏斗内的数据可以灵活恢复，满足了在逻辑错误发生时，可以灵活恢复到指定时间点。 LanderDisaster同时提供了多种容灾实现手段，包括: 基于文件I/O变化捕捉的LanderDisaster复制方式,这种方式完全与应用、数据库无关,实现通用环境的软件容灾，适用于各类数据库和文件环境. 基于数据库日志传递、控制，而实现的高灵活性数据库容灾软件LanderDisaster,嵌入了传输加密、压缩、CDP功能,适用于ORACLE、SQL Server数据库环境的容灾。 Ø 应用切换： 即当某个具体应用在一个系统中失效之后，可以在另外一个系统中启动切换并接管该网络服务.每次进行事务处理时,数据均同步更新。当主业务中心发生灾难时，远程备份中心子系统中的数据将安然无恙，并且通过备用主机连接而保证数据的可用。自动的存储子系统故障恢复和故障返回功能允许在线操作继续进行，只需要将客户端与远程子系统重新连接即可恢复业务运作。通过建立额外的镜像,该方案可实现并行操作。 LanderCluster是联鼎十几年技术积累结晶的旗舰产品，与复制产品完美集成,可以使容灾部署更加方便、科学、可靠. Ø 容灾考量重要指标: RPO(Recovery Point Objective）：即数据恢复点目标，主要指的是核心业务系统所能容忍的数据丢失量。 RTO(Recovery Time Objective)：即恢复时间目标，主要指的是所能容忍的业务停止服务的最长时间，也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。 这两个指标值越低，容灾质量越高，需要根据实际情况选择部署策略。 2.4. 数据库容灾的几种实现方式 由于绝大多数用户核心业务是基于数据库环境的,而数据库容灾是容灾环境中的关键。目前数据库容灾主要有以下三种方式实现： 基于存储I/O复制实现,比如本方案涉及到的LanderReplicator这种方式是通过底层驱动截获I/O变化，将该变化写成日志，存放在单独的目录中，将日志传输到备机后，通过底层驱动将日志写入到备机，这种方式可以和LanderCluster有效的相结合,实时的保证了数据的一致性和业务的不间断性. 基于数据库可回滚的容灾方式，比如本方案涉及到的LanderDisaster，这种方式是通过底层驱动截获I/O变化，将变化写入日志，生成控制文件,将日志传输到备机后日志会保留设置时间轴长度时间,可以在备机进行容灾演练,回滚时间轴上任意时间点数据，无限次回滚,会打开备机数据库,方便管理员查询，可以将确认回退好的 数据同步到主机，这种方式有效的解决了数据的完整，可回退，备机可查询。 基于日志挖掘的数据库逻辑复制方式，比如本方案涉及到的联鼎AliveDB,这种方式是通过对本机数据库日志挖掘，分离出数据库具体的内部操作指令，并将过滤过的操作传递到异地数据库上。可以跨越不同的操作系统平台，跨越不能的Oracle版本，同时对网络带宽依赖较低，支持数据表、过程、触发器等关键的数据对象，是标准的数据库双活，容灾端可以提供实时的数据查询及报表业务等，在生产机出现故障时容灾机可以立即接管，稳定性极高，这种方式充分的利用了容灾端的计算能力，提高数据同步的效率，减少带宽的使用率，高效的提升系统整体的业务处理能力。 2.5. 有效的容灾方案应有特点 正如我们前面提到的，新的需求需要我们换种新的思路来考虑。在讨论如何以创新的思维来建立一个容灾项目之前，让我们先看一下理想容灾项目要的标准是什么： l 灾难备份中心运行在远地环境，并且能够在灾难发生后,在很短的时间内上线(分钟级别）; l 应该尽量避免数据丢失，或者数据丢失在最小状态； l 应用系统切换工作必须尽量减少人工操作，以提高效率 ； l 数据一致性必须有保障； l 对生产服务器的影响应该最小，或不构成任何影响。 2.6. 容灾系统的设计指标 要建设容灾工程必须提出容灾系统设计指标，作为衡量和选择容灾解决方案的参数.目前,国际上通用的容灾系统的评审标准为Share78： l 备份/恢复的范围 l 灾难恢复计划的状态 l 业务中心与容灾中心之间的距离 l 业务中心与容灾中心之间如何相互连接 l 数据是怎样在两个中心之间传送的 l 允许有多少数据被丢失 l 怎样保证更新的数据在容灾中心被更新 l 容灾中心可以开始容灾进程的能力 Share78只是建立容灾系统的一种评审标准，在设计容灾系统时,还需要提供更加具体的设计指标。建立容灾系统的最终目的，是为了在灾难发生后能够以最快的速度恢复数据服务,所以，容灾中心的设计指标主要与容灾系统的数据恢复能力有关。最常见的设计指标有:RTO 和RPO。 各种容灾解决方案的RTO有较大差别，基于光通道技术的同步数据复制，配合异地备用的业务系统和跨业务中心与备份中心的高可用管理，这种容灾解决方案具有最小的RTO。容灾系统为获得最小的RTO，同样需要投入大量资金. RPO反映恢复数据完整性的指标，在同步数据复制方式下，RPO等于数据传输时延的时间，在异步数据复制方式下，RPO基本为异步传输数据排队的时间.实际应用中，考虑到数据传输因素，业务数据库与容灾备份数据库的一致性（SCN)是不相同的，RPO表示业务数据库与容灾备份数据库的SCN的时间差。发生灾难后,启动容灾系统完成数据恢复，RPO就是新恢复业务系统的数据损失量。 从经济角度考虑,最佳的容灾解决方案不一定是性能最好的容灾解决方案，容灾系统的总体投入TCO和投资回报ROI，对于许多用户来说是十分重要的设计指标.TCO包括建立系统、维护系统和扩充系统的总投入，由于容灾系统的启用概率很低,新技术的发展和新产品的性能价格比的提高，必定造成容灾设备的贬值。所以,对于容灾系统TCO越高，ROI越低.我们的观点是对于系统规模不大的情况下，容灾系统建设投入，应该控制在主系统投入的30%左右,如果超过将得到非常差的RIO。 由于业务不同模式的IT系统在升级过程中，会采用新技术和新产品,业务系统任何变动都会引起容灾系统相应的变化,势必加大系统升级的投入。要想把这种变化的影响降低到最小，容灾系统的灵活性和兼容性也应该是十分重要的指标。 综上所述,进行容灾系统设计时,必须根据企事业的业务系统的使用情况，综合考虑地理环境、网络条件、投资规模、业务系统长远发展规划等各种因素，制定合理的可行的容灾系统设计指标。 36 / 36 3. 方案设计 3.1. 设计概述 综合考虑“技术、成本、融合、发展”因素,运用成熟、可靠、先进、安全的技术和产品，既能适应当前对技术及管理的特定需要，又能满足未来业务扩张、技术产品升级的发展要求。 合理控制总体拥有成本（TCO），有效提高工作效率和服务质量、显著降低维护成本和管理复杂度，实现最大投资回报（ROI）。 3.2. 设计思想 数据安全体系架构是一项系统工程，包括系统持续提供服务能力、数据本地安全、数据异地保护以及应用级容灾. 我们在架构数据安全体系的时候，必须从基础架构做起，建立一套具有高度伸缩性、稳固性、可管理性、最优化TCO和服务保障的系统。大多数用户在系统建立初期，由于各种限制，导致系统建设存在各种安全隐患，资源不能有效利用、管理难度大、扩展性不佳等系列问题，使得IT管理者疲于奔命。 根据我们多年的行业经验，在虚拟化和云计算大潮延伸到各行业的今天，我们有更多的手段和理由来建立一个科学架构的数据安全体系，应主要从以下几个层面入手。 Ø 系统持续服务能力 系统持续服务能力是计算机系统运行的基本要求，单纯依靠服务器本身的可靠性很难达到预期，通常的做法是采用集群技术。集群技术实现了应用的虚拟化，软件的监视程序监视群集中每一个节点状态,并且对出现的故障很快地做出反应，使应用程序不会因为任何单点故障而停止服务，确保整个系统在任何服务器故障的情况下，灵活切换到其它服务器上运行。并且可以灵活增加服务器节点. 联鼎集群产品LanderCluster是LanderVault V4.0家族中的旗舰模块，凝聚了联鼎十五年的技术积累，是目前市场上最优秀的集群软件产品之一。 Ø 数据本地安全 数据本地安全主要是通过备份手段，将关键的业务数据、系统数据，备份到备份介质上，并且在数据丢失或者不可恢复的情况下，快速进行数据恢复。本地数据安全关注的重点在备份恢复速度、备份可靠性上。 如果可以建立一个可以按需分配、自我管理的云备份模式，将更适应未来的发展。这样的体系下，可以任意增加备份客户端，客户端包括桌面用户和服务器应用。 目前常用的解决方案仍然是通过部署备份软件达到本地数据安全目的，常见的备份软件都能达到本地数据备份的要求,当然，还有一中软硬件一体化解决方案，由于其高性价比的特点，被越来越多的采用. 联鼎2012年推出的智能鼎设备就是一款非常有特点的产品，在诸多的大型用户环境中得到使用.详细设备信息请参考附件。 本地数据保护的内容是本方案要讨论的核心之一。 Ø 数据异地保护 也称为异地数据容灾，是在本地数据保护的基础之上，在异地机房部署一个备份策略，实现本地数据直接传输到异地机房，在本地应用系统故障的情况下，可以直接切换到异地容灾节点使业务正常使用，这个是实现异地容灾的必要手段，是在本地备份系统已经相当完善的情况下，更高级的数据安全手段。 Ø 应用级容灾 应用级容灾是数据保护的最高级别，是针对关键业务系统灾难情况下的异地保护手段.通常这些方案在金融、证券等涉及民生、国家安全的行业中采用。但随着计算机技术的发展，目前大多数的用户在完成前面几步数据安全体系建设后，开始考虑建立应用容灾系统。 Ø 云存储体系 容灾中心的存储架构的合理性是整个灾备中心安全型和伸缩性的基础保障。云存储云一体化方案部署需要具有以下特点： n 采用云平台作为灾备中心提供一体化平台，满足虚拟化数据中心对容灾环境云主机和云存储的应用需求; n 采用分布式存储系统具有高吞吐、海量空间、极易扩展等优势，满足云平台提供弹性、安全的高可用存储需求; n 基础架构清晰合理；既满足虚拟化、文件等非结构化数据存储的大容量和方便部署管理,又能满足核心数据库的性能业务需求； n 弹性部署，管理便捷；根据业务规模与需求，灵活扩展计算资源与存储资源。 由于现在有更多的优秀解决方案，我们把容灾系统建设做为重点讨论问题之一. 下图为云存储架构容灾中心平台逻辑图： 3.3. 设计原则 本次项目，我们在具体设计方案时，制定了如下的方案设计原则。这些原则也本身都是从用户实际需求出发，并着眼于配合今后业务发展所必需的数据中心的建设要求。 Ø 一是开放性原则 系统的开放性必须建立在标准化基础之上，依据当前信息化建设的国际标准、国家标准、卫生标准组织实施。开放性体现选用产品方面，通过将市场上最好的各类产品组合起来,来构建完整的系统框架。 Ø 二是先进性原则 在选择核心技术时，充分考虑采用当前最前沿的技术和产品，以确保系统的先进性。同时，先进技术的应用还必须充分考虑到相关技术的成熟性，以便确保整个系统建成后的长期稳定、正常运转。 Ø 三是可靠性原则 系统的各个架构层不仅是整体的组成部分，同时也是一个相对独立的工作过程，在系统设计时应当充分考虑到各架构层在运转过程中产生的故障对系统整体效能的影响，尽力避免系统瘫痪情况的发生。 Ø 四是扩展性原则 由于医院业务在实际工作中还将不断发展,具体业务需求不可能通过一次整理就全部完成，因此系统设计、开发和相关技术的选择必须具有比较强大的扩展能力，为今后系统局部调整或升级留有余地，并能够满足不同系统的需要,以适应业务工作的可持性发展。 Ø 五是安全性原则 采用合适的技术和方案加强数据的安全防护，尽力避免因遭攻击而受到破坏。同时在出现故障时,能在较短时间内实现数据恢复。 以上几点是构建数据安全体系的几个要点,按照本方案的思路，可以做到有计划、有步骤的实施，最后达到建立包括应用级容灾的完整数据安全体系。因为联鼎是一家专业提供完整的自主研发的一体化软件产品解决方案厂商，只需要在同一个管理平台下,就可以完成对整个数据安全体系的架构和管理操作,真正实现一体化的数据安全体系。 3.4. 方案说明 3.4.1. 方案综述 结合XXXXXX医院实际环境，综合对医院现有系统环境进行分析，为保障业务持续不间断的运行,数据的安全可靠，本地灾难发生时业务不间断等设计目标，我们推荐以下方案，确保XXXXXX医院整体业务系统安全高效的运行. 结合现在本地数据中心的环境,分别部署了以下几个方面的策略： 1、 在灾备中心部署云存储平台，建立高度可靠、可伸缩的存储体系，做到存储冗余,可存放虚拟化容灾节点在线数据、虚拟机容灾数据、备份数据和其它必要的应用。 2、 采用智能鼎备份一体机实现本地数据备份，对关键业务系统数据文件和数据库进行本地数据保护.作为多层次数据保护体系的最后一层保护是必须具备的手段。 3、 采用智能鼎容灾一体机作为异地容灾平台,与云存储形成高度可靠和可扩展的容灾系统，对本地数据中心的核心业务服务器进行灵活容灾部署.针对不同类型应用可以采用不同的容灾策略. l 采用LanderDisaster容灾模块,对数据库服务器、应用服务器等本地关键业务进行异地应用级容灾保护，确保本地灾难,该业务可以在容灾中心启动，实现准双活容灾； l 采用AliveDB模块，实现对核心业务数据库ORACLE的双活容灾，容灾中心的对应服务器ORACLE数据库可以实时访问。 4、 采用LanderCluster集群模块对应用服务器、WEB服务器等关键业务进行高可用性保护，确保任何一台服务器宕机，都不会影响业务的运行。 集群模块用于对整个数据中心、灾备中心服务器及应用的状态监控、实时应用切换.可以在统一平台上,对整个数据中心业务系统进行管理，并可以制定自定义事件。 通过这样部署，实现了本地和异地的整体安全保障，使医院信息系统达到相当高的安全级别。 该安全平台均在联鼎一体化管理平台LanderVault下进行部署和管理,是真正的一体化数据安全平台和体系。 本方案架构对本地数据中心不造成任何影响，不需要改变现有架构，不需要在本地数据中心增加任何硬件设备，是目前最容易部署的容灾备份解决方案。 总体设计方案如下表： 序号 系统名称 应用名称 RTO RPO 容灾方式 1 数据库服务器 核心数据库 小于10分钟 秒级 逻辑复制双活容灾 1 应用服务器1 中间件 小于10分钟 秒级 CDP双活容灾 2 应用服务器2 中间件 小于10分钟 秒级 CDP双活容灾 3 WEB服务器1 网站服务 小于10分钟 秒级 CDP双活容灾 1 WEB服务器2 网站服务 小于10分钟 秒级 CDP双活容灾 1 其它虚拟机服务器1-N 审计、OA等 小于10分钟 秒级 CDP双活容灾（根据系统重要程度进行选择性容灾 3.4.2. 数据库服务器容灾 数据库服务器安装Oracle ,通过冗余的SAN交换机将数据存放在生产存储上,为了更好的保护数据，通过联鼎AliveDB逻辑复制技术将本地数据中心Oracle 直接捕获源数据库的交易,将数据库的改变通过逻辑复制到异地容灾中心对应虚拟容灾节点数据库中，同时容灾中心数据库处于活动状态，实现双活容灾。 AliveDB可以实现跨操作系统平台、跨数据库版本容灾部署，同时在部署时，不需要停止生产数据库，数据初始同步可以在线完成，是同类软件不具备的功能特点。 Ø 逻辑复制管理界面: 联鼎AliveDB逻辑复制客户端部署在本地数据中心的两台PC服务器上,本地生产端的进程对Oracle Redo日志进行实时监控和分析,然后将这些交易指令和交易数据经过格式转化后实时通过网络传输到容灾机中，容灾端经过校验码检查确认，确认是正确的数据库包后,调用Oracle函数安装交易的先后顺序在容灾机系统中执行交易，可以及时对容灾端数据库进行更新。同时本地和异地的Oracle数据库都是打开状态，是标准的数据库双活,容灾端可以提供实时的数据查询及报表业务等 Ø 日志抓取 AliveDB对数据的抓取是通过安装在Data Source端的Agent模块定时分析Oracle Redo Log来获取Data Source端的交易类型及数据的。 AliveDB Agent在判断Data Source端的Oracle系统是否有新的交易产生时是通过定期检查Oracle Controlefile中记录的当前SCN号来判断的,这样避免每次检都通过读取log文件来判断否有新的交易产生时造成的系统影响。 在Controle file中确认有新的交易产生时，可以同时获得当前的Redo Log 组，以及最新日志在日志文件的最新位置。 AliveDB Agent模块根据这些信息将上次抓取时记录的日志位置与本次读取的最新位置之间的Log读取并加以分析。然后将这些数据保存在Online Log Cache文件中，等待下一步作交易合成处理。 Ø 日志分析 Oracle数据库的所有更改都记录在日志中，其中记录了对数据库中的每一个变化。 当我们候需要需要了解数据库中所作的交易时，一个最有效实用而又低成本的方法就是分析Oracle数据库的日志文件。 AliveDB Agent中集成了优秀的日志分析功能，该功能完全不同于oracle提供的Logminer日志分析工具，在性能和功能上都大大提高，主要体现在系统性能的优化上，大幅度提高日志分析的速度,使得对于高并发业务系统的复制成为可能。按照AliveDB的日志分析设计目标，每秒能够分析的日志量达到10M/s。 AliveDB通过对日志的分析，得到该数据库中的每个SQL指令,并将这些SQL指令生成专有格式的表达方式，从而在分析和转载时需要最小的转化，提高分析和装载速度，减少资源占用、丰富能够表达的各种数据类型。 Ø 事务合成 通过ORACLE REDO LOG分析的交易指令存在如下的几个特点: (1)这些指令是交叉出现的，属于一个交易（Transaction)的多条SQL指令是非连续存储的，多个交易的SQL之间是相互穿插的； （2）Redo log中记录了所有的commit的交易以及没有commit的交易； 所以，为了提高系统的可控制性、保证逻辑完整性、避免数据丢失，最好将复制的最小单位为一个交易（Transaction），而不是以单个SQL指令为复制单位，这样在Data Target端的交易装载更加容易控制。 同时，对于复制的数据而言，只有那些Commit的数据对于Data Target端系统是有意义的，而对于那些Rollback的数据无需复制到Data target系统上。 所以AliveDB在复制过程中不是复制每个SQL语句，而是对抓取的数据进行交易整合后以交易（Transaction)为单位进行复制，同时只复制COMMIT的交易。 在Online Log Cache文件中，包括Commit的交易,没有Commit的交易和Rollback的交易。交易合成模块首先按照交易序号对SOL语句进行划分，每个交易包含多条SOL语句。然后，以交易为单位进行处理，将已经Commit的交易，传至传输处理模块；将未提交的交易保存在本地，一旦通过日志得知保存的未提交交易已提交，立即将该交易发送到传输处理模块；对Rollback的交易作丢弃处理。 Ø 部署说明 序号 系统名称 主机机型 操作系统 所在机房 说明 1 核心数据库 PC服务器 Windows 本地数据中心 放置本地数据中心，安装Oracle 2 核心数据库 PC服务器 Windows 本地数据中心 3 虚拟容灾节点 智能鼎平台 异地容灾中心 放置在异地容灾中心,与本地数据中心的Oracle 实现逻辑复制 部署AliveDB模块 3.4.3. 应用及虚拟机应用容灾 本地数据中心应用服务器通过LanderCluster实现本地集群，同时通过LanderDisaster实现异地应用容灾.本地业务系统产生的数据通过LanderDisaster CDP容灾技术将数据传输到异地容灾中心，医院管理员可以通过容灾演练查看时间轴上任意时间点上的数据，不影响数据的传输，当本地数据中心数据出现问题时，可以通过LanderDisaster技术将异地容灾中心的数据回滚到放生事故的时间点,通过容灾恢复将数据恢复到本地数据中心数据库服务器上,实现了异地数据可查询，容灾演练，故障恢复和数据的零丢失。 Ø LanderDisaster工作原理 如上图所示：LanderDisaster CDP灾软件分别部署在本地数据中心应用服务器和异地容灾中心应用服务器上，每当生产节点产生数据时，LanderDisaster CDP容灾软件通过底层驱动捕获I/O变化，将变化的事务通过驱动写入到日志目录中，同时生成控制文件，将日志传输到异地容灾中心对应的应用服务器上，在通过底层驱动的转化后将数据变化写入到容灾节点相应的目录中.当业务系统正常运行时，可以在容灾节点上打开容灾演练模式进行查询，若发现本地数据中心的应用服务器出现故障，造成了数据的丢失或丢失，可以在容灾演练模式下时间轴上任意时间点的数据进行回滚，当确定某一时间的数据的我们想要的,可以将对数据进行导出或是通过容灾恢复将该时间点的数据恢复到本地数据中心的服务器中，确保数据的安全,零丢失。 l 操作系统底层I/O数据截获，仅复制变化数据,网络畅通情况下，RPO\RTO接近0 在进行数据同步时，LanderDisaster仅仅复制被更新的数据从而使被传输的数据量最小。它利用LanderSoft独创的“Data Push”技术不间断地将变化数据更快地“推送"到本地或远程的一个多或多个站点上,当您的信息发生系统和站点故障或灾难性数据损毁时，LanderDisaster可以从备援站点中将数据恢复到故障发生前的任意时刻。 l 存储、服务器硬件环境无关性 完全的WIN 32/64bit平台兼容性 磁盘无关性,支持IDE, SCSI， SAN,ATA,SATA，SAS l 不需对系统做任何改变即可部署 LanderDisaster容灾模块为XXXXXX医院提供网格化的数据同步、异步复制及数据可实时回放的CDP功能,无需购入任何其它设备, LanderDisaster 就可以在现有系统中使用，可为您的系统环境提供数据复制、恢复和保护，从而最大限度的提高核心业务系统实时数据安全，并有效为您节省管理成本。 l 传输数据的自动压缩,降低带宽占用 LanderDisaster容灾解决方案能为您的数据中心提供容灾及数据移植的能力。在拥有足够带宽的情况下，LanderDisaster可以实现同步的复制.在广域网环境中，可实现超远距离的数据事实传递，并应用强大加密及数据压缩功能,保障数据传输的高安全.与LanderCluster集群管理模块集成，可实现本地及异地自动故障切换，达到应用级容灾目的,从而增加可用性. l 支持不停机容灾演练 传统CDP容灾方案很难验证数据是否可回滚并完整可操作，联鼎CDP支持容灾数据的实时演练，并且可在不中断CDP运行的基础上实现，解决了容灾演练时业务系统必须暂时中断运行来配合演练的停机风险，使实例性演练可实际进行并随时操作，极大的提升了容灾数据本身的可靠度，经常性的演练也可增强在灾难发生时处置的准确性和及时性。联鼎CDP容灾采用与生产运行系统分离的技术，可以在完全不影响生产系统运行的情况下,进行完整的数据回滚演练及验证,保障每一个回滚时间点的数据均是可用的. l 可自定义的恢复时间轴 联鼎CDP技术通过可自定义的恢复时间轴为用户提供了一个可自由操控的数据恢复点的连续体，时间轴可按用户本身对核心数据保障可承受的范围自主定义其回滚时限,在时间轴内的所有数据变化将可完全追溯，精确到秒级。自定义的时间轴有效的平衡了用户的存储开销与数据回复量，令用户可最大化并最经济的持续保护数据。让恢复做到完整、快速，节约存储空间。 l 独创快速回滚技