联鼎三级甲等医院容灾备份专项方案医院软件.docx

《联鼎三级甲等医院容灾备份专项方案医院软件.docx》由会员分享，可在线阅读，更多相关《联鼎三级甲等医院容灾备份专项方案医院软件.docx（46页珍藏版）》请在咨信网上搜索。

三级甲等医院 信息系统数据安全方案提议书 上海联鼎软件股份 方案制作：张成方 上海 10月 目录 1. 需求说明 4 1.1. 项目背景 4 1.2. 实现目标 4 1.3. 环境概述 6 1.4. 待处理问题 7 2. 容灾概述 8 2.1. 概述 8 2.2. 灾难恢复和业务连续性区分 8 2.3. 我们对灾难恢复认识 9 2.4. 数据库容灾多个实现方法 11 2.5. 有效容灾方案应有特点 12 2.6. 容灾系统设计指标 13 3. 方案设计 15 3.1. 设计概述 15 3.2. 设计思想 15 3.3. 设计标准 18 3.4. 方案说明 19 3.4.1. 方案综述 19 3.4.2. 数据库服务器容灾 20 3.4.3. 应用及虚拟机应用容灾 23 3.4.4. 当地备份 29 3.5. 医院容灾系统拓扑图 33 3.6. 配置清单 34 3.7. 方案总结 34 4. 产品概要 35 4.1. LanderVault 简述 35 4.2. 功效模块介绍 36 4.2.1. 统一集中管理平台：LanderVault 36 4.2.2. Cluster高可用集群系统 36 4.2.3. Replicator网格化数据复制系统 37 4.2.4. Backup数据备份系统 37 4.2.5. Disaster应用级容灾系统 38 4.2.6. 备份一体化平台 38 4.2.7. 容灾一体化平台 39 4.2.8. 分布式存放 39 4.2.9. ORACLE逻辑复制AliveDB 40 5. 企业介绍 42 1. 需求说明 1.1. 项目背景 XXXXXX医院经过几十年，几代儿医人艰苦奋斗、无私奉献，从稚嫩一步一步走向成熟。现在医院已成为一所学科齐全，拥有大量专业人才和优异医疗设备，技术优异综合性医院。 联鼎做为医疗行业用户IT处理方案提供商,我们为大型服务用户，提供一个增值数据安全保障服务，通常高等级数据安全体系建设需要大量资金投入，针对不一样系统规模，投入可能从几十万到几百万。联鼎十几年积累技术和产品，含有稳定可靠、架构伸缩灵活、高性价比特点，能够依据不一样规模用户环境和不相同级保护要求进行灵活布署，满足广泛需求，并能节省大量IT投入。 本方案正是经过对医院用户软、硬件产品及网络环境综合考察，结合实际环境情况提出。我们力图提供一套完备、基于容灾技术、智能化、易管理数据安全环境，而且尽我们力量来充足表现我们在存放软件领域中扎实功底和立即到位技术支持服务，为医院用户信息系统数据安全保障建设提出合理处理方案。 我们为医院用户提出建立一套科学数据安全体系，能够实现从当地高可用、当地容灾，到异地应用级容灾。能够实现双活容灾、两第三中心数据保护平台建设。 信息系统中数据安全是本方案关注关键。 1.2. 实现目标 本提议方案针对医院信息系统中数据及应用部分满足国家信息安全等级保护制度第三级要求而制订。 三级等保在数据安全及备份恢复包含数据完整性（S3）、数据保密性（S3）、备份和恢复（A3）多个方面。 l 数据完整性(S3) 应能够检测到系统管理数据、判别信息和关键业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必需恢复方法； 应能够检测到系统管理数据、判别信息和关键业务数据在存放过程中完整性受到破坏,并在检测到完整性错误时采取必需恢复方法。 l 数据保密性(S3) 应采取加密或其它有效方法实现系统管理数据、判别信息和关键业务数据传输保密性； 应采取加密或其它保护方法实现系统管理数据、判别信息和关键业务数据存放保密性。 l 备份和恢复(A3) 应提供当地数据备份和恢复功效,完全数据备份最少天天一次,备份介质场外存放； 应提供异地数据备份功效,利用通信网络将关键数据定时批量传送至备用场地； 应采取冗余技术设计网络拓扑结构,避免关键节点存在单点故障； 应提供关键网络设备、通信线路和数据处理系统硬件冗余,确保系统高可用性。 我们提出方案实现安全等级要高出三级等保要求很多，比如能够应用或系统故障实现秒级切换，数据逻辑错误能够实时回滚，而且关键业务系统能够做到双活容灾。还能够经过布署备份系统，实现多层次当地、异地数据及应用保护。 通常医院数据中心拥有相当数量关键业务服务器、存放、网络系统，现在基础上还没有完整数据安全体系，任何人为操作错误、软件缺点、硬件故障、电脑病毒、骇客攻击、自然灾难等很多原因，全部有可能造成数据丢失和业务停止，从而给业务系统造成无法估量损失。 信息系统架构合理性，系统安全性、可靠性和最优TCO是本方案总体目标。需要逐步建立一个能够满足业务连续发展需要、含有一定优异性、易于管理维护、扩展性强数据安全体系。 本方案提出了一套合理数据安全体系，确保整个系统数据多层次安全保障，本方案包含容灾备份体系涵盖数据当地备份和应用级容灾。 1.3. 环境概述 医院现计划有当地数据中心和异地容灾中心两个机房，其中当地数据中心有数据库级应用服务器共4台，和虚拟机环境上近30个应用，异地容灾中心设计计划包含服务期、存放及对应网络环境（这部分内容方案汇总方能够依据实际情况调整，但计划应用容灾实实现上，现仅需在异地机房布署和当地业务系统相对应物理服务器或虚拟机，配置上不需要数量和当地数据中心一致）。 当地数据中心环境： l 数据库服务器为PC服务器，经过冗余SAN区域存放网络连接到关键存放设备，Windows操作系统和ORACLE 数据库 l 应用服务器为PC服务器，拥有强劲CPU和足够内存空间 l WEB服务器为PC服务器，足够内存空间 l 病毒服务器 l 主审计服务器 l 其它服务器等 l 关键存放设备 l 网络系统 l 网络安全设备 参考拓扑图以下： 1.4. 待处理问题 l 当地业务连续性保护 当任何服务器或应用因为人为或意外原因造成宕机，全部会影响到用户正常访问服务器业务，需要有针对整个系统各个关键业务系统高可用保护手段，同时应避免高可用短板。 l 当地数据保护 当地服务器上拥有大量各类业务数据，比如HIS、PACS等，这些数据在意外丢失时，必需要有一个快速当地数据恢复手段，确保在任何意外情况下能够进行当地数据恢复。 l 灾难恢复 服务器数据库和应用即使有当地备份手段，仍然无法避免当地机房发生灾难情况下业务和数据保障，而异地数据和业务保护手段就是容灾，本方案讨论就是异地应用级双活容灾。容灾能够分为多个等级，本方案实现是最高等级应用级容灾。 2. 容灾概述 2.1. 概述 数据是整个系统运作关键。人为操作错误，软件缺点，硬件故障，电脑病毒，骇客攻击，自然灾难等很多原因，全部有可能造成数据丢失，从而给整个系统造成无法估量损失。 通常容灾系统能够简单分为数据容灾和应用级容灾，对于医院这么业务环境，根据国家要求，需要满足等级保护要求，需要建立一个达成应用级容灾多层次数据保护体系，达成或超出卫生部要求全国卫生行业各单位信息安全等级保护工作标准。 2.2. 灾难恢复和业务连续性区分 大家认为灾难恢复（Disaster Recovery ）和业务连续性（Business Continuity）是同一个概念。实际上它们并不完全一样，当然，它们共同目标是IT建设中，为了最坏情况发生而作准备。 业务连续性（Business Continuity）是针对潜在包含停电这么能够造成系统停止运行风险而提出概念。针对业务连续性问题包含：业务系统连续性实施计划是什么？在问题出现时，谁负责在最短时间内根据步骤将系统恢复工作？在特殊情况下，比如灾难发生需要做什么？多长时间能够使系统重新开启工作？诸如这类问题。比如：集群就是业务连续性保护手段一个。 而灾难恢复（Disaster Recovery )是更高等级安全保护手段，是针对愈加严重情况发生，怎样确保系统连续提供服务，而且有完整数据存在。那么我们必需知道：IT系统怎样从灾难发生后，进行数据恢复？采取什么样技术来达成这么目标？什么样应用需要在灾难发生时，进行切换，怎样切换？用户怎样访问容灾中心系统？诸如这类问题。而灾难恢复实现，则关键经过远程数据复制和应用切换来实现。 我们看到，灾难恢复部分包含了业务连续性，比如应用级容灾就包含了业务连续性概念，它除了强调系统远端冗余，更要求能够有完整数据可供服务。而业务连续性愈加强调系统连续提供服务能力。二者全部需要对系统运行环境存在风险进行分析，做出投资决议。 2.3. 我们对灾难恢复认识 我们对灾难恢复有多年积累，包含用于在灾难发生情况下降低宕机时间计划和技术手段。一个灾难恢复系统从结构上关键包含远端容灾中心，它能够在当地系统发生问题时，在最短时间内接管当地关键业务。 从业务计划角度，远端容灾中心应该足够远，越远越安全。系统在一公里、几公里范围内是无法达成容灾要求，比如区域停电怎么办？那么长久全局数据安全计划怎么实现呢，真正容灾保护需要跨区、跨省、甚至跨越国家来实现。很多全球化企业就是这么做。 所以灾难恢复环境实现，需要做到数据复制和应用切换两个步骤： l 数据复制： 指在异地确保各个系统关键数据和状态参数一致，依据其实现方法来分能够是软件方法，也能够是硬件方法。软件方法是在主系统和容灾系统主机上，安装专用数据复制软件。这种方法特点是成本较低。不过存在需要占用一定系统资源问题，伴随系统硬件处理能力提升，这些已经不是问题，所以，这种高性价比处理方案正在成为大多用户首选。硬件方法数据复制，是数据经过存放阵列控制器直接在存放设备之间传输，因为数据复制是由光纤通道存放阵列控制器完成，所以不占用服务器内存等硬件资源，也不须由操作系统进行管理和控制，对操作系统资源不会造成占用，对系统效率也不会造成影响，但这种方法无法确保数据库一致性，并在有些异常情况下，数据库无法正常打开。 同时依据实现步骤，也能够分为同时复制（实时容灾）和异步复制（异步容灾）。同时复制是安全等级最高工作方法，工作时主系统主机向当地存放设备发送一个I/O请求时，这个请求同时被传送到容灾系统存放设备中，等到2个存放设备全部处理完成后，才向主系统主机返回确定信号。这一机制确保在两个存放设备中数据在数据块等级高度一致。而异步复制工作机制是主系统内主机和存放设备间I/O处理和数据复制过程无关，也就是说，主机无须等候远端存放设备完成I/O处理，只要当地主系统存放设备完成I/O处理后，即向主系统主机发送确定信号。这么，即使主系统和容灾系统之间数据复制通讯效率会提升，不过2个存放设备中数据就可能存在不一致，这也就是采取异步复制机制代价。 软件方法对传输控制愈加灵活，方案采取联鼎LanderDisaster能够实现同时传-同时写、同时传、异步写、异步传-同时写、异步传-异步写，满足多种网络环境需求，比如，网络在工作时间段内繁忙，则能够定义在网络空闲情况下进行传输，而在备机，因为引入了时间漏斗概念，能够灵活定义时间漏斗大小，确保在漏斗内数据能够灵活恢复，满足了在逻辑错误发生时，能够灵活恢复到指定时间点。 LanderDisaster同时提供了多个容灾实现手段，包含： 基于文件I/O改变捕捉LanderDisaster复制方法，这种方法完全和应用、数据库无关，实现通用环境软件容灾，适适用于各类数据库和文件环境。 基于数据库日志传输、控制，而实现高灵活性数据库容灾软件LanderDisaster,嵌入了传输加密、压缩、CDP功效，适适用于ORACLE、SQL Server数据库环境容灾。 Ø 应用切换： 即当某个具体应用在一个系统中失效以后，能够在另外一个系统中开启切换并接管该网络服务。每次进行事务处理时，数据均同时更新。当主业务中心发生灾难时，远程备份中心子系统中数据将安然无恙，而且经过备用主机连接而确保数据可用。自动存放子系统故障恢复和故障返回功效许可在线操作继续进行，只需要将用户端和远程子系统重新连接即可恢复业务运作。经过建立额外镜像，该方案可实现并行操作。 LanderCluster是联鼎十几年技术积累结晶旗舰产品，和复制产品完美集成，能够使容灾布署愈加方便、科学、可靠。 Ø 容灾考量关键指标： RPO（Recovery Point Objective）：即数据恢复点目标，关键指是关键业务系统所能容忍数据丢失量。 RTO（Recovery Time Objective）：即恢复时间目标，关键指是所能容忍业务停止服务最长时间，也就是从灾难发生到业务系统恢复服务功效所需要最短时间周期。 这两个指标值越低，容灾质量越高，需要依据实际情况选择布署策略。 2.4. 数据库容灾多个实现方法 因为绝大多数用户关键业务是基于数据库环境，而数据库容灾是容灾环境中关键。现在数据库容灾关键有以下三种方法实现： 基于存放I/O复制实现，比如本方案包含到LanderReplicator这种方法是经过底层驱动截获I/O改变，将该改变写成日志，存放在单独目录中，将日志传输到备机后，经过底层驱动将日志写入到备机，这种方法能够和LanderCluster有效相结合，实时确保了数据一致性和业务不间断性。 基于数据库可回滚容灾方法，比如本方案包含到LanderDisaster，这种方法是经过底层驱动截获I/O改变，将改变写入日志，生成控制文件，将日志传输到备机后日志会保留设置时间轴长度时间，能够在备机进行容灾演练，回滚时间轴上任意时间点数据，无限次回滚，会打开备机数据库，方便管理员查询，能够将确定回退好 数据同时到主机，这种方法有效处理了数据完整，可回退，备机可查询。 基于日志挖掘数据库逻辑复制方法，比如本方案包含到联鼎AliveDB，这种方法是经过对本机数据库日志挖掘，分离出数据库具体内部操作指令，并将过滤过操作传输到异地数据库上。能够跨越不一样操作系统平台，跨越不能Oracle版本，同时对网络带宽依靠较低，支持数据表、过程、触发器等关键数据对象，是标准数据库双活，容灾端能够提供实时数据查询及报表业务等，在生产机出现故障时容灾机能够立即接管，稳定性极高，这种方法充足利用了容灾端计算能力，提升数据同时效率，降低带宽使用率，高效提升系统整体业务处理能力。 2.5. 有效容灾方案应有特点 正如我们前面提到，新需求需要我们换种新思绪来考虑。在讨论怎样以创新思维来建立一个容灾项目之前，让我们先看一下理想容灾项目要标准是什么： l 灾难备份中心运行在远地环境，而且能够在灾难发生后，在很短时间内上线（分钟等级）； l 应该尽可能避免数据丢失，或数据丢失在最小状态； l 应用系统切换工作必需尽可能降低人工操作，以提升效率 ； l 数据一致性必需有保障； l 对生产服务器影响应该最小，或不组成任何影响。 2.6. 容灾系统设计指标 要建设容灾工程必需提出容灾系统设计指标，作为衡量和选择容灾处理方案参数。现在，国际上通用容灾系统评审标准为Share78： l 备份/恢复范围 l 灾难恢复计划状态 l 业务中心和容灾中心之间距离 l 业务中心和容灾中心之间怎样相互连接 l 数据是怎样在两个中心之间传送 l 许可有多少数据被丢失 l 怎样确保更新数据在容灾中心被更新 l 容灾中心能够开始容灾进程能力 Share78只是建立容灾系统一个评审标准，在设计容灾系统时，还需要提供愈加具体设计指标。建立容灾系统最终目标，是为了在灾难发生后能够以最快速度恢复数据服务，所以，容灾中心设计指标关键和容灾系统数据恢复能力相关。最常见设计指标有：RTO 和RPO。 多种容灾处理方案RTO有较大差异，基于光通道技术同时数据复制，配合异地备用业务系统和跨业务中心和备份中心高可用管理，这种容灾处理方案含有最小RTO。容灾系统为取得最小RTO，一样需要投入大量资金。 RPO反应恢复数据完整性指标，在同时数据复制方法下，RPO等于数据传输时延时间，在异步数据复制方法下，RPO基础为异步传输数据排队时间。实际应用中，考虑到数据传输原因，业务数据库和容灾备份数据库一致性（SCN）是不相同，RPO表示业务数据库和容灾备份数据库SCN时间差。发生灾难后，开启容灾系统完成数据恢复，RPO就是新恢复业务系统数据损失量。 从经济角度考虑，最好容灾处理方案不一定是性能最好容灾处理方案，容灾系统总体投入TCO和投资回报ROI，对于很多用户来说是十分关键设计指标。TCO包含建立系统、维护系统和扩充系统总投入，因为容灾系统启用概率很低，新技术发展和新产品性能价格比提升，肯定造成容灾设备贬值。所以，对于容灾系统TCO越高，ROI越低。我们见解是对于系统规模不大情况下，容灾系统建设投入，应该控制在主系统投入30%左右，假如超出将得到很差RIO。 因为业务不一样模式IT系统在升级过程中，会采取新技术和新产品，业务系统任何变动全部会引发容灾系统对应改变，势必加大系统升级投入。要想把这种改变影响降低到最小，容灾系统灵活性和兼容性也应该是十分关键指标。 总而言之，进行容灾系统设计时，必需依据企事业业务系统使用情况，综合考虑地理环境、网络条件、投资规模、业务系统长远发展计划等多种原因，制订合理可行容灾系统设计指标。 3. 方案设计 3.1. 设计概述 综合考虑“技术、成本、融合、发展”原因，利用成熟、可靠、优异、安全技术和产品，既能适应该前对技术及管理特定需要，又能满足未来业务扩张、技术产品升级发展要求。 合理控制总体拥有成本（TCO），有效提升工作效率和服务质量、显著降低维护成本和管理复杂度，实现最大投资回报（ROI）。 3.2. 设计思想 数据安全体系架构是一项系统工程，包含系统连续提供服务能力、数据当地安全、数据异地保护和应用级容灾。 我们在架构数据安全体系时候，必需从基础架构做起，建立一套含有高度伸缩性、稳固性、可管理性、最优化TCO和服务保障系统。大多数用户在系统建立早期，因为多种限制，造成系统建设存在多种安全隐患，资源不能有效利用、管理难度大、扩展性不佳等系列问题，使得IT管理者疲于奔命。 依据我们多年行业经验，在虚拟化和云计算大潮延伸到各行业今天，我们有更多手段和理由来建立一个科学架构数据安全体系，应关键从以下多个层面入手。 Ø 系统连续服务能力 系统连续服务能力是计算机系统运行基础要求，单纯依靠服务器本身可靠性极难达成预期，通常做法是采取集群技术。集群技术实现了应用虚拟化，软件监视程序监视群集中每一个节点状态，而且对出现故障很快地做出反应，使应用程序不会因为任何单点故障而停止服务，确保整个系统在任何服务器故障情况下，灵活切换到其它服务器上运行。而且能够灵活增加服务器节点。 联鼎集群产品LanderCluster是LanderVault V4.0家族中旗舰模块，凝聚了联鼎十五年技术积累，是现在市场上最优异集群软件产品之一。 Ø 数据当地安全 数据当地安全关键是经过备份手段，将关键业务数据、系统数据，备份到备份介质上，而且在数据丢失或不可恢复情况下，快速进行数据恢复。当地数据安全关注关键在备份恢复速度、备份可靠性上。 假如能够建立一个能够按需分配、自我管理云备份模式，将更适应未来发展。这么体系下，能够任意增加备份用户端，用户端包含桌面用户和服务器应用。 现在常见处理方案仍然是经过布署备份软件达成当地数据安全目标，常见备份软件全部能达成当地数据备份要求，当然，还有一中软硬件一体化处理方案，因为其高性价比特点，被越来越多采取。 联鼎推出智能鼎设备就是一款很有特点产品，在很多大型用户环境中得到使用。具体设备信息请参考附件。 当地数据保护内容是本方案要讨论关键之一。 Ø 数据异地保护 也称为异地数据容灾，是在当地数据保护基础之上，在异地机房布署一个备份策略，实现当地数据直接传输到异地机房，在当地应用系统故障情况下，能够直接切换到异地容灾节点使业务正常使用，这个是实现异地容灾必需手段，是在当地备份系统已经相当完善情况下，更高级数据安全手段。 Ø 应用级容灾 应用级容灾是数据保护最高等级，是针对关键业务系统灾难情况下异地保护手段。通常这些方案在金融、证券等包含民生、国家安全行业中采取。但伴随计算机技术发展，现在大多数用户在完成前面几步数据安全体系建设后，开始考虑建立应用容灾系统。 Ø 云存放体系 容灾中心存放架构合理性是整个灾备中心安全型和伸缩性基础保障。云存放云一体化方案布署需要含有以下特点： n 采取云平台作为灾备中心提供一体化平台，满足虚拟化数据中心对容灾环境云主机和云存放应用需求； n 采取分布式存放系统含有高吞吐、海量空间、极易扩展等优势，满足云平台提供弹性、安全高可用存放需求； n 基础架构清楚合理；既满足虚拟化、文件等非结构化数据存放大容量和方便布署管理，又能满足关键数据库性能业务需求； n 弹性布署，管理便捷；依据业务规模和需求，灵活扩展计算资源和存放资源。 因为现在有更多优异处理方案，我们把容灾系统建设做为关键讨论问题之一。 下图为云存放架构容灾中心平台逻辑图： 3.3. 设计标准 此次项目，我们在具体设计方案时，制订了以下方案设计标准。这些标准也本身全部是从用户实际需求出发，并着眼于配合以后业务发展所必需数据中心建设要求。 Ø 一是开放性标准 系统开放性必需建立在标准化基础之上，依据目前信息化建设国际标准、国家标准、卫生标准组织实施。开放性表现选择产品方面，经过将市场上最好各类产品组合起来，来构建完整系统框架。 Ø 二是优异性标准 在选择关键技术时，充足考虑采取目前最前沿技术和产品，以确保系统优异性。同时，优异技术应用还必需充足考虑到相关技术成熟性，方便确保整个系统建成后长久稳定、正常运转。 Ø 三是可靠性标准 系统各个架构层不仅是整体组成部分，同时也是一个相对独立工作过程，在系统设计时应该充足考虑到各架构层在运转过程中产生故障对系统整体效能影响，尽力避免系统瘫痪情况发生。 Ø 四是扩展性标准 因为医院业务在实际工作中还将不停发展，具体业务需求不可能经过一次整理就全部完成，所以系统设计、开发和相关技术选择必需含有比较强大扩展能力，为以后系统局部调整或升级留有余地，并能够满足不一样系统需要，以适应业务工作可持性发展。 Ø 五是安全性标准 采取适宜技术和方案加强数据安全防护，尽力避免因遭攻击而受到破坏。同时在出现故障时，能在较短时间内实现数据恢复。 以上几点是构建数据安全体系多个关键点，根据本方案思绪，能够做到有计划、有步骤实施，最终达成建立包含应用级容灾完整数据安全体系。因为联鼎是一家专业提供完整自主研发一体化软件产品处理方案厂商，只需要在同一个管理平台下，就能够完成对整个数据安全体系架构和管理操作，真正实现一体化数据安全体系。 3.4. 方案说明 3.4.1. 方案综述 结合XXXXXX医院实际环境，综合对医院现有系统环境进行分析，为保障业务连续不间断运行，数据安全可靠，当地灾难发生时业务不间断等设计目标，我们推荐以下方案，确保XXXXXX医院整体业务系统安全高效运行。 结合现在当地数据中心环境，分别布署了以下多个方面策略： 1、 在灾备中心布署云存放平台，建立高度可靠、可伸缩存放体系，做到存放冗余，可存放虚拟化容灾节点在线数据、虚拟机容灾数据、备份数据和其它必需应用。 2、 采取智能鼎备份一体机实现当地数据备份，对关键业务系统数据文件和数据库进行当地数据保护。作为多层次数据保护体系最终一层保护是必需含有手段。 3、 采取智能鼎容灾一体机作为异地容灾平台，和云存放形成高度可靠和可扩展容灾系统，对当地数据中心关键业务服务器进行灵活容灾布署。针对不一样类型应用能够采取不一样容灾策略。 l 采取LanderDisaster容灾模块，对数据库服务器、应用服务器等当地关键业务进行异地应用级容灾保护，确保当地灾难，该业务能够在容灾中心开启，实现准双活容灾； l 采取AliveDB模块，实现对关键业务数据库ORACLE双活容灾，容灾中心对应服务器ORACLE数据库能够实时访问。 4、 采取LanderCluster集群模块对应用服务器、WEB服务器等关键业务进行高可用性保护，确保任何一台服务器宕机，全部不会影响业务运行。 集群模块用于对整个数据中心、灾备中心服务器及应用状态监控、实时应用切换。能够在统一平台上，对整个数据中心业务系统进行管理，并能够制订自定义事件。 经过这么布署，实现了当地和异地整体安全保障，使医院信息系统达成相当高安全等级。 该安全平台均在联鼎一体化管理平台LanderVault下进行布署和管理，是真正一体化数据安全平台和体系。 本方案架构对当地数据中心不造成任何影响，不需要改变现有架构，不需要在当地数据中心增加任何硬件设备，是现在最轻易布署容灾备份处理方案。 总体设计方案以下表： 序号 系统名称 应用名称 RTO RPO 容灾方法 1 数据库服务器 关键数据库 小于10分钟 秒级 逻辑复制双活容灾 1 应用服务器1 中间件 小于10分钟 秒级 CDP双活容灾 2 应用服务器2 中间件 小于10分钟 秒级 CDP双活容灾 3 WEB服务器1 网站服务 小于10分钟 秒级 CDP双活容灾 1 WEB服务器2 网站服务 小于10分钟 秒级 CDP双活容灾 1 其它虚拟机服务器1-N 审计、OA等 小于10分钟 秒级 CDP双活容灾（依据系统关键程度进行选择性容灾 3.4.2. 数据库服务器容灾 数据库服务器安装Oracle ，经过冗余SAN交换机将数据存放在生产存放上，为了愈加好保护数据，经过联鼎AliveDB逻辑复制技术将当地数据中心Oracle 直接捕捉源数据库交易，将数据库改变经过逻辑复制到异地容灾中心对应虚拟容灾节点数据库中,同时容灾中心数据库处于活动状态，实现双活容灾。 AliveDB能够实现跨操作系统平台、跨数据库版本容灾布署，同时在布署时，不需要停止生产数据库，数据初始同时能够在线完成，是同类软件不含有功效特点。 Ø 逻辑复制管理界面： 联鼎AliveDB逻辑复制用户端布署在当地数据中心两台PC服务器上，当地生产端进程对Oracle Redo日志进行实时监控和分析，然后将这些交易指令和交易数据经过格式转化后实时经过网络传输到容灾机中，容灾端经过校验码检验确定，确定是正确数据库包后，调用Oracle函数安装交易前后次序在容灾机系统中实施交易，能够立即对容灾端数据库进行更新。同时当地和异地Oracle数据库全部是打开状态，是标准数据库双活，容灾端能够提供实时数据查询及报表业务等 Ø 日志抓取 AliveDB对数据抓取是经过安装在Data Source端Agent模块定时分析Oracle Redo Log来获取Data Source端交易类型及数据。 AliveDB Agent在判定Data Source端Oracle系统是否有新交易产生时是经过定时检验Oracle Controlefile中统计目前SCN号来判定，这么避免每次检全部经过读取log文件来判定否有新交易产生时造成系统影响。 在Controle file中确定有新交易产生时，能够同时取得目前Redo Log 组，和最新日志在日志文件最新位置。 AliveDB Agent模块依据这些信息将上次抓取时统计日志位置和此次读取最新位置之间Log读取并加以分析。然后将这些数据保留在Online Log Cache文件中，等候下一步作交易合成处理。 Ø 日志分析 Oracle数据库全部更改全部统计在日志中，其中统计了对数据库中每一个改变。 当我们候需要需要了解数据库中所作交易时，一个最有效实用而又低成本方法就是分析Oracle数据库日志文件。 AliveDB Agent中集成了优异日志分析功效，该功效完全不一样于oracle提供Logminer日志分析工具，在性能和功效上全部大大提升，关键表现在系统性能优化上，大幅度提升日志分析速度，使得对于高并发业务系统复制成为可能。根据AliveDB日志分析设计目标，每秒能够分析日志量达成10M/s。 AliveDB经过对日志分析，得到该数据库中每个SQL指令，并将这些SQL指令生成专有格式表示方法，从而在分析和转载时需要最小转化，提升分析和装载速度，降低资源占用、丰富能够表示多种数据类型。 Ø 事务合成 经过ORACLE REDO LOG分析交易指令存在以下多个特点： （1）这些指令是交叉出现，属于一个交易（Transaction）多条SQL指令是非连续存放，多个交易SQL之间是相互穿插； （2）Redo log中统计了全部commit交易和没有commit交易； 所以，为了提升系统可控制性、确保逻辑完整性、避免数据丢失，最好将复制最小单位为一个交易（Transaction），而不是以单个SQL指令为复制单位，这么在Data Target端交易装载愈加轻易控制。 同时，对于复制数据而言，只有那些Commit数据对于Data Target端系统是有意义，而对于那些Rollback数据无需复制到Data target系统上。 所以AliveDB在复制过程中不是复制每个SQL语句，而是对抓取数据进行交易整合后以交易（Transaction）为单位进行复制，同时只复制COMMIT交易。 在Online Log Cache文件中，包含Commit交易，没有Commit交易和Rollback交易。交易合成模块首先根据交易序号对SOL语句进行划分，每个交易包含多条SOL语句。然后，以交易为单位进行处理，将已经Commit交易，传至传输处理模块；将未提交交易保留在当地，一旦经过日志得悉保留未提交交易已提交，立即将该交易发送到传输处理模块；对Rollback交易作丢弃处理。 Ø 布署说明 序号 系统名称 主机机型 操作系统 所在机房 说明 1 关键数据库 PC服务器 Windows 当地数据中心 放置当地数据中心，安装Oracle 2 关键数据库 PC服务器 Windows 当地数据中心 3 虚拟容灾节点 智能鼎平台 异地容灾中心 放置在异地容灾中心，和当地数据中心Oracle 实现逻辑复制 布署AliveDB模块 3.4.3. 应用及虚拟机应用容灾 当地数据中心应用服务器经过LanderCluster实现当地集群，同时经过LanderDisaster实现异地应用容灾。当地业务系统产生数据经过LanderDisaster CDP容灾技术将数据传输到异地容灾中心，医院管理员能够经过容灾演练查看时间轴上任意时间点上数据，不影响数据传输，当当地数据中心数据出现问题时，能够经过LanderDisaster技术将异地容灾中心数据回滚到放生事故时间点，经过容灾恢复将数据恢复到当地数据中心数据库服务器上，实现了异地数据可查询，容灾演练，故障恢复和数据零丢失。 Ø LanderDisaster工作原理 如上图所表示：LanderDisaster CDP灾软件分别布署在当地数据中心应用服务器和异地容灾中心应用服务器上，每当生产节点产生数据时，LanderDisaster CDP容灾软件经过底层驱动捕捉I/O改变，将改变事务经过驱动写入到日志目录中，同时生成控制文件，将日志传输到异地容灾中心对应应用服务器上，在经过底层驱动转化后将数据改变写入到容灾节点对应目录中。当业务系统正常运行时，能够在容灾节点上打开容灾演练模式进行查询，若发觉当地数据中心应用服务器出现故障，造成了数据丢失或丢失，能够在容灾演练模式下时间轴上任意时间点数据进行回滚，当确定某一时间数据我们想要，能够将对数据进行导出或是经过容灾恢复将该时间点数据恢复到当地数据中心服务器中，确保数据安全，零丢失。 l 操作系统底层I/O数据截获，仅复制改变数据，网络通畅情况下，RPO\RTO靠近0 在进行数据同时时，LanderDisaster仅仅复制被更新数据从而使被传输数据量最小。它利用LanderSoft独创“Data Push”技术不间断地将改变数据愈加快地“推送”到当地或远程一个多或多个站点上，当您信息发生系统和站点故障或灾难性数据损毁时，LanderDisaster能够从备援站点中将数据恢复到故障发生前任意时刻。 l 存放、服务器硬件环境无关性 完全WIN 32/64bit平台兼容性 磁盘无关性，支持IDE, SCSI, SAN,ATA,SATA,SAS l 不需对系统做任何改变即可布署 LanderDisaster容灾模块为XXXXXX医院提供网格化数据同时、异步复制及数据可实时回放CDP功效，无需购入任何其它设备, LanderDisaster 就能够在现有系统中使用，可为您系统环境提供数据复制、恢复和保护，从而最大程度提升关键业务系统实时数据安全，并有效为您节省管理成本。 l 传输数据自动压缩，降低带宽占用 LanderDisaster容灾处理方案能为您数据中心提供容灾及数据移植能力。在拥有足够带宽情况下，LanderDisaster能够实现同时复制。在广域网环境中，可实现超远距离数据事实传输，并应用强大加密及数据压缩功效，保障数据传输高安全。和LanderCluster集群管理模块集成，可实现当地及异地自动故障切换，达成应用级容灾目标，从而增加可用性。 l 支持不停机容灾演练 传统CDP容灾方案极难验证数据是否可回滚并完整可操作，联鼎CDP支持容灾数据实时演练，而且可在不中止CDP运行基础上实现，处理了容灾演练时业务系统必需临时中止运行来配合演练停机风险，使实例性演练可实际进行并随时操作，极大提升了容灾数据本身可靠度，常常性演练也可增强在灾难发生时处理正确性和立即性。联鼎CDP容灾采取和生产运行系统分离技术，能够在完全不影响生产系统运行情况下，进行完整数据回滚演练及验证，保障每一个回滚时间点数据均是可用。 l 可自定义恢复时间轴 联鼎CDP技术经过可自定义恢复时间轴为用户提供了一个可自由操控数据恢复点连续体，时间轴可按用户本身对关键数据保障可承受范围自主定义其回滚时限，在时间轴内全部数据改变将可完全追溯，正确到秒级。自定义时间轴有效平衡了用户存放开销和数据回复量，令用户可最大化并最经济连续保护数据。让恢复做到完整、快速,节省存放空间。 l 独创快速回滚技术 传统CDP技术实现较远期数据回滚需要占用大量时间，所以RTO往往无法满足用户需求，而联鼎CDP经过结合Smart Snapshoot技术，能够实现任意时间点数据回滚速度一致，极大降低了回滚数据所需RTO开销。联鼎CDP为用户关键业务应用服务器及相关数据卷提供快速恢复和接管能力，提供快速数据回滚，相较一般CDP产品要节省2/3左右数据恢复时间。 TURE CDP技术保障数据可恢复到任意时间点：联鼎独特CDP技术经过捕捉磁盘块级数据或元数据改变事件（如创建、修改、删除等），并对每一个改变数据块以毫秒等级标识时间戳并形成日志，同时实时将改变数据块同时至容灾节点，在发生人为误操作或各类逻辑错误时，容灾节点即可实现秒级数据回滚和恢复，RPO≈0，而且确保恢复数据实时可用，保障关键数据不丢失。 Ø LanderCluster工作原理 应用服务器服务器是医院关键业务系统，为用户直接提供服务，不许可出现业务中止，预防单点故障。这里我们采取LanderCluster集群技术实时监控业务系统服务器运行情况，对关键业务进行定制监控，在满足触发条件后自动切换到备用服务器或容灾节点上，实现