我院雙活數(shù)據(jù)中心的設計與實現(xiàn)

1、    我院雙活數(shù)據(jù)中心的設計與實現(xiàn)    郭英杰 錢朝陽摘要：為了應對醫(yī)院信息系統(tǒng)停機、業(yè)務中斷等風險，我院建設了雙活數(shù)據(jù)中心。當其中任一個數(shù)據(jù)中心的網(wǎng)絡交換機、服務器、存儲、san交換機等出現(xiàn)故障時，應用可以在數(shù)秒內自動切換本數(shù)據(jù)中心其它冗余設備上或者另一個數(shù)據(jù)中心，保證了醫(yī)院業(yè)務系統(tǒng)的持續(xù)運行；為了解決誤刪除 、數(shù)據(jù)庫、病毒入侵等邏輯錯誤，部署了虛擬化環(huán)境下的持續(xù)數(shù)據(jù)保軟件，保證數(shù)據(jù)恢復rto達到分鐘到級別、rpo達到秒級別，為我院his、emr等應用系統(tǒng)不間斷的運行提供了堅實的保障；雙活數(shù)據(jù)中心還解決了傳統(tǒng)的容災機房網(wǎng)絡設備長期處于active-

2、standby狀態(tài)并耗費大量能源的問題、提高醫(yī)院的經(jīng)濟效益。關鍵詞：雙活數(shù)據(jù)中心；虛擬化；持續(xù)數(shù)據(jù)保護；rto；rpo：tp308 ：a ：1007-9416（2018）06-0182-021 活數(shù)據(jù)中心實現(xiàn)的功能一個完善的雙活數(shù)據(jù)中心架構必須具有如下的功能：（1）前端應用服務器可以從兩個數(shù)據(jù)中心均能對同一份數(shù)據(jù)進行正常訪問；（2）同一個應用的服務器可以根據(jù)實際需要部署在兩個中心當中的任何一個或同時部署在兩個中心；（3）部署在兩個中心的應用服務器均可以處于服務提供狀態(tài)，任何一個數(shù)據(jù)中心的存儲整體宕機不會影響該中心應用系統(tǒng)的正常數(shù)據(jù)訪問；（4）在兩個中心均提供足夠的數(shù)據(jù)訪問性能和擴展能力。在實現(xiàn)

3、雙活數(shù)據(jù)中心架構的基礎上，兩個數(shù)據(jù)中心之間能實現(xiàn)業(yè)務數(shù)據(jù)的相互保護，并且實現(xiàn)智能化的故障檢測和災難切換，從而避免傳統(tǒng)容災技術的復雜且冗長的災難切換的過程。2 雙活數(shù)據(jù)中心核心技術體現(xiàn)在以下幾方面：2.1 以太網(wǎng)絡層面在數(shù)據(jù)中心之間建設一張?zhí)摂M的大二層網(wǎng)絡是實現(xiàn)網(wǎng)絡雙活的基礎。使用大二層網(wǎng)絡的irf（intelligent resilient framework）技術一是將多臺網(wǎng)絡設備虛擬化為一臺網(wǎng)絡設備（虛擬設備），并將這些設備作為單一設備管理和使用。其優(yōu)點是：（1）簡化組網(wǎng)拓撲結構，簡化管理，減少了設備數(shù)量少量；（2）多臺設備合并后不存環(huán)路寬，可有效的提高數(shù)據(jù)包轉發(fā)性能；（3）多臺設備之間可

4、以實現(xiàn)無縫切換，有效提高網(wǎng)絡ha性能；（4）通過交換機的負載均衡技術，可以實現(xiàn)流量在不同數(shù)據(jù)中心間的調度以及在單數(shù)據(jù)中心內多服務器的負載分擔；服務器部署在兩個數(shù)據(jù)中心機房里，每個數(shù)據(jù)中心均各配置兩臺網(wǎng)絡交換機；可以是兩臺核心交換機。如果節(jié)省成本，可以是一臺核心加一臺二層匯聚交換機；通過兩個數(shù)據(jù)中心預埋的單模光纖連接，現(xiàn)兩個數(shù)據(jù)中心交換機的互聯(lián)互通。對于醫(yī)院各個樓層的匯聚交換機，均通過預埋的光纖分別連接到兩個數(shù)據(jù)中心的核心交換機上，實現(xiàn)鏈路冗余連接，任何一條光纖或核心交換機發(fā)生故障，不影響樓層科室業(yè)務系統(tǒng)對數(shù)據(jù)中心的訪問。2.2 服務器虛擬化層面采用服務器虛擬化架構解決方案在兩個數(shù)據(jù)中心之間構建

5、一個計算資源池，每個數(shù)據(jù)中心分別部署若干臺物理服務器，安裝vmware虛擬化軟件，將兩個數(shù)據(jù)中心的服務器配置成為一個vmware ha集群，有效的利用服務器資源，節(jié)省采購和運維成本，降低管理復雜度。同時在構建的vmware ha集群中，任何一臺物理服務器發(fā)生故障，該服務器上的虛擬機會平滑遷移到其他的物理服務器上，保障了醫(yī)院業(yè)務系統(tǒng)的穩(wěn)定運行。對于醫(yī)院最重要的his等業(yè)務系統(tǒng)，還可以在2個虛擬機之間采用微軟的mscs技術，保證應用高可用；利用natapp的存儲技術，實現(xiàn)跨數(shù)據(jù)中心的服務器集群，任何一臺數(shù)據(jù)庫服務器或數(shù)據(jù)中心發(fā)生故障，醫(yī)院的his數(shù)據(jù)庫仍然能夠從另外一臺數(shù)據(jù)庫服務器繼續(xù)訪問醫(yī)院的h

6、is等數(shù)據(jù)庫，確保醫(yī)院業(yè)務的穩(wěn)定運行，實現(xiàn)業(yè)務連續(xù)性。2.3 san網(wǎng)絡層面在每個數(shù)據(jù)中心各部署2臺san交換機，光纖交換機之間互為冗余，所以的服務器通過hba卡與兩臺冗余的交換機進行連接，san交換機再與本地的存儲的控制器連接。2.4 存儲架構層面為了實現(xiàn)醫(yī)院的雙活數(shù)據(jù)中心建設，必須能夠將兩個數(shù)據(jù)中心的存儲進行整合并虛擬成為一個存儲系統(tǒng)，將多個存儲虛擬成為一臺存儲對外服務有如下優(yōu)點：（1）存儲系統(tǒng)能夠實現(xiàn)對跨數(shù)據(jù)中心兩臺存儲系統(tǒng)的“雙寫”，任何一個業(yè)務系統(tǒng)對數(shù)據(jù)的讀寫都是通過兩條鏈路對兩臺存儲進行操作，任何一臺存儲發(fā)生故障，數(shù)據(jù)都不會丟失；（2）任何一個數(shù)據(jù)中心的存儲發(fā)生宕機，可以通過另一個

7、院區(qū)數(shù)據(jù)中心的存儲繼續(xù)訪問，應用系統(tǒng)不會中斷，仍然能夠保障醫(yī)院正常業(yè)務的開展。在由存儲系統(tǒng)構建的雙活數(shù)據(jù)中心中，為了判斷數(shù)據(jù)中心的運行狀態(tài)，在兩個數(shù)據(jù)中心外的任何一個樓層配置一個第三點仲裁，該第三點仲裁通過網(wǎng)絡與兩個數(shù)據(jù)中心的存儲系統(tǒng)互相通信，傳遞心跳信息，能夠實現(xiàn)存儲之間的故障自動檢測和故障自動切換。3 我院雙活數(shù)據(jù)中心具體實現(xiàn)使用以上技術同時結合我院的實際情況，提出如下雙活數(shù)據(jù)中心解決方案：3.1 網(wǎng)絡雙活目前我院雙活數(shù)據(jù)中心為兩臺h3c核心交換機，設備位于南區(qū)核心機房，部署虛擬化服務，南區(qū)服務器、存儲通過匯聚光纖交換機接入南區(qū)一臺核心交換機，北區(qū)服務器、存儲通過匯聚光纖交換機經(jīng)物理萬兆鏈

8、路接入南區(qū)另一臺核心交換機，保證兩個院區(qū)之間的網(wǎng)絡設備都互相連接，互相冗余，南區(qū)和北區(qū)的為大二層網(wǎng)絡，保證院區(qū)設備在同一局域網(wǎng)下。虛擬化云計算資源主要通過12臺高性能4路x86服務器（南區(qū)有8臺、北區(qū)南區(qū)有4臺）及2套netapp存儲（南區(qū)、北區(qū)各有1套）能夠支持3050個醫(yī)院應用系統(tǒng)的正常運行。3.2 存儲和應用的雙活目前的我院南、北區(qū)各部署了一套2節(jié)點netapp存儲，每個節(jié)點都有一個控制器、磁盤柜。netapp的metrocluster是結合了netapp數(shù)據(jù)鏡像、快照、控制器雙活和故障切換并能遠距離實現(xiàn)（最遠100公里）的一項雙活架構技術。每套節(jié)點的數(shù)據(jù)通過synmirror實時復制到

9、另一個節(jié)點中，中間的線路會保證兩臺存儲實時進行數(shù)據(jù)同步，保證數(shù)據(jù)的一致性。所有數(shù)據(jù)會保證存放兩份，各區(qū)的存儲分別上聯(lián)兩個存儲光纖交換機，兩個存儲交換機之間互聯(lián)，保證冗余性。無論的南、北區(qū)數(shù)據(jù)中心其中任何一存儲節(jié)點發(fā)生故障，這個區(qū)的另一個節(jié)點會自動接管；如果兩個存儲節(jié)點都發(fā)生故障，那么醫(yī)院的業(yè)務會找自動切換到另一區(qū)的存儲上。借助于vmware vmotion功能可以實現(xiàn)虛擬機在不同物理服務器之間的無中斷移動。vmware 負責業(yè)務應用漂移，netapp存儲負責數(shù)據(jù)的漂移，整個過程對用戶透明，大大增加業(yè)務系統(tǒng)的可用性以及系統(tǒng)資源的利用率，對于基于vmware ha和netapp metroclus

10、te 的雙活數(shù)據(jù)中心架構來說，如果在其中一個數(shù)據(jù)中心發(fā)生了導致服務中斷的計劃外事件，則中斷的服務可以在容災站點上重啟，最大限度地縮短了rto。4 邏輯數(shù)據(jù)保護如前所述，核心交換機、存儲等采用雙活部署，兩臺存儲數(shù)據(jù)鏡像寫入，可以較好的避免存儲的物理故障，但是核心數(shù)據(jù)在邏輯上只有一份，如果虛擬化系統(tǒng)或是核心數(shù)據(jù)發(fā)生人為誤刪除、系統(tǒng)崩潰、病毒入侵，邏輯錯誤或是丟失，將會導致不可預料的后果。因此對于虛擬化平臺的安全和邏輯數(shù)據(jù)保護是此次項目建設考慮的另外一個重點。傳統(tǒng)的數(shù)據(jù)備份、容災手段需要專業(yè)的存儲管理員和應用管理員配合才能執(zhí)行操作，對于醫(yī)院信息中心來說是無法完成的，然而由于醫(yī)院業(yè)務需要，又要求能夠快

11、速恢復；針對這樣的矛盾，此次方案選型應考慮管理簡單，可以由應用管理員自行進行恢復。對于醫(yī)院來說一方面系統(tǒng)不能停機，另一方面不能丟失數(shù)據(jù)，對于rto和rpo的需求都是極高的。針對醫(yī)療行業(yè)的特殊需求，結合目前在業(yè)界最先進的數(shù)據(jù)保護手段，要求重要業(yè)務系統(tǒng)rto和rpo如下：rto20分鐘；rpo1分鐘；由于業(yè)務系統(tǒng)目前已經(jīng)全面虛擬化，要求恢復的單位應該以虛擬機為單位，包括操作系統(tǒng)，應用程序和數(shù)據(jù)庫。我院采用emc業(yè)界領先的虛擬機連續(xù)數(shù)據(jù)保護解決方案（recoverpoint for vms）。其特點：（1）提供vcenter plug-in管理和vcenter無縫對接，和vmware深度整合，可通過

12、vsphere client發(fā)起對任意虛機的保護和恢復管理，無需安裝任何代理和管理軟件，簡單易用自動化程度 和存儲無關。（2）無需專門的管理界面能夠對vmware的虛擬機系統(tǒng)和數(shù)據(jù)自動監(jiān)控，連續(xù)捕獲和備份數(shù)據(jù)變化，只要保護虛機的數(shù)據(jù)發(fā)生變化，便實時、準確的備份下來。（3）內置自動化流程，只需選擇要恢復的時間點，先在測試環(huán)境恢復測試，確認數(shù)據(jù)沒有問題后再在原存儲上進行數(shù)據(jù)恢復，即可將數(shù)據(jù)恢復至故障發(fā)生前的任意時間點，大大縮了故障恢復時間，避免了因發(fā)生邏輯性數(shù)據(jù)錯誤時帶來的數(shù)據(jù)丟失。5 結語我院雙活數(shù)據(jù)中心現(xiàn)在能夠達到以下效果：（1）服務器故障，能夠利用服務器vmwareha技術自動切換，恢復時間

13、：數(shù)秒鐘，據(jù)損失：0；（2）san交換機、hba卡、光纖鏈路故障，醫(yī)院應用不會造中短，恢復時間：0，數(shù)據(jù)損失：0；（3）南、北區(qū)數(shù)據(jù)中心其中任一存儲節(jié)點發(fā)生故障，本區(qū)另一存儲節(jié)點自動接管應用，醫(yī)院應用不會造成停頓，恢復時間：小于10秒，數(shù)據(jù)損失：0；（4）主中心數(shù)據(jù)中出現(xiàn)災難性故障，另一數(shù)據(jù)中心的交換機、服務器、存儲會自動接管應用，恢復時間：小于5秒，數(shù)據(jù)損失：0；（5）邏輯數(shù)據(jù)錯誤，利用持續(xù)數(shù)據(jù)保護回滾（回滾到故障時間點前，主要針對數(shù)據(jù)庫類應用），恢復時間：數(shù)分鐘，數(shù)據(jù)損失：小于3秒。雙活數(shù)據(jù)中心建好了只是第一步，信息中心每過3個月或者半年就必須進行一次數(shù)據(jù)中心的切換實戰(zhàn)演練，模擬數(shù)據(jù)中心可

14、能發(fā)生的各種軟硬件故障；及時發(fā)現(xiàn)模擬切換中存在的問題并加以解決。這樣才能為醫(yī)院的應用系統(tǒng)不間斷的運行提供了堅實保障。參考文獻1李彬，蘇悅，麥了銘，任忠敏，何彩升.醫(yī)院雙活數(shù)據(jù)中心設計和應用j.醫(yī)學信息學雜志，2017，38（2）：33-37.2陸偉，費家忠.醫(yī)院his網(wǎng)絡安全隱患與防范j.數(shù)字技術與應用，2011，（3）：128-129.abstract：in order to deal with the risk of hospital information system downtime and business interruption， our hospital has built

15、a double live data center. when any of the network switches， servers， storage， and san switches in any data center failed， the application can automatically switch to other redundant devices or another data center in a few seconds to ensure the continuous operation of the hospital business system. i

16、n order to solve the logical errors such as deleting database and virus intrusion， the continuous data guarantee software under the virtualization environment is deployed to ensure that the data recovery rto reaches the level of minutes to the second level of rpo， and provides a solid guarantee for the uninterrupted operation of his and emr applications in our hospital.the double live data center also solves the problem that the traditional network equipme