HIT专家网
来源:HIT专家网 作者:孙婧
当前医院信息系统建设规模不断增加、数据价值日趋凸显,保障系统业务连续性与网络安全,成为医院信息部门的头等大事。备份容灾系统建设观念、方法也在实践中发生变化,从原来备份、容灾相对分离,到系统性构建灾备体系,正在成为越来越多医院的选择。如何统筹规划医院信息系统的备份容灾解决方案,以提升数据资产的安全性和利用效率?
2023年12月12日,由HIT专家网主办、联想集团协办的“医院信息系统备份容灾一体化方案”在线研讨会上,多位医院CIO及联想集团技术专家就上述问题分享了各自经验,解放军总医院大数据研究中心原主任薛万国做专家点评。会议由HIT专家网创始人、总编辑朱小兵主持。
厘清备份与容灾的边界与关系,建设中要二者兼顾
本次研讨,专家们纷纷强调,医院信息化同行首先要认识到,备份和容灾是两个不同的概念,各有其定位、特点和局限。
华中科技大学同济医学院附属协和医院(以下简称:武汉协和医院)骨科教授、协和医院信息与数据中心主任郜勇介绍,备份主要解决数据的可用性问题,容灾侧重保障业务的连续性。如果只有备份,业务无法快速恢复,数据恢复需要时间,这段时间对某些行业带来的损失是无法估量的。如果只有容灾,业务可以快速恢复,数据也可以被保护,但是生产端有错误的操作,或者系统升级失败之类的,也会被同步到容灾端,从而造成业务的中断。
医院应综合考虑以下三方面因素:首先,按照业务应用的重要程度划分应用等级,并明确需要防范的灾难类型,匹配相对应的灾备恢复等级来设计技术方案。其次,满足允许的RTO和RPO指标值。再次,把控好投资成本。备份系统一般需几百万元,而一套容灾系统往往至少需要上千万元。“没有最好,只有最合适”,要在灾备效果和投入之间找到平衡点。
综合考虑后,武汉协和医院决定采用“备份系统+异地容灾系统”一体化方案。在管理层,实现整个业务系统的统一监控,一旦发现业务故障,可自动切换到容灾中心。在应用层,通过应用系统分级分类定义,优先保障核心应用软件,实现分布式部署双活或主备。在计算层,用操作系统复制的容灾技术,配合应用层实现双活和主备。在数据库层,实行主备部署,采用数据库容灾技术保证数据同步。在数据备份层,先在主院区备份,再将数据复制备份到金银湖院区。优先从主院区进行数据和业务恢复。在网络层,配合负载均衡和路由策略,实现网络层容灾。
因地制宜,把握备份容灾条件与需求间的平衡
与会专家们认为,备份容灾是一项系统性工程,需在医院现实条件与需求,提高安全性能与投入产出比之间做好平衡。
南昌大学第一附属医院信息处处长、江西省临床医学科学研究院医疗信息化研究所所长曹磊介绍,常见灾备架构包括“单中心架构”“同城容灾架构”“同城双活架构”“两地三中心架构”等。单院区灾备规划难以真正“容灾”,因为容灾机房缺乏公网、专网等网络出口,会导致部分重要业务无法开展。多院区灾备则相对稍好一些;此外,院区之间的长距离也会影响数据同步。
南昌大学第一附属医院也面临多院区灾备的问题。最初设想为建设跨站点的私有云,各数据中心看作私有云下的不同站点。但该设想面临三个问题。第一,需在短时间内完成跨院区业务切换。第二,两个院区间隔30多公里,如何减少长距离数据复制对生产的影响。第三,业务分布在多个机房,如何解决数据备份问题。
最终决定,不同级别业务采用不同的容灾部署方案。首先,核心系统双活。最初方案为“跨院区RAC集群”,即存储层通过超融合延伸集群实现跨院区双活共享存储,数据库通过Extended RAC实现跨院区并行数据库。但实测发现,双实例间交互查询较多、距离过远,极端情况下会导致链路拥塞。最终决定采用“跨院区单实例数据库”方案。存储层通过超融合延伸集群实现跨院区双活共享存储,数据库通过虚拟化集群自动漂移至另一站点,通过高性能全闪减弱距离带来的影响。实测显示,服务恢复时间约需5分钟,在可接受范围内。
其次,重要业务连续数据保护。该技术方案也面临同步、异步的选择。鉴于长距离可能导致性能大幅降低,最终选择异步数据复制的方式。生产端写完即确认,同时将IO发向容灾端。实测显示,RPO约等于零,且生产性能基本不受链路抖动影响。
第三,所有业务应备尽备。最初方案为两个院区的数据保存在同一备份系统,但备份时间、数据恢复时间较长。为此,改为建设两套备份系统,两个院区数据分别备份。实测显示,备份时间几何级数减少,整体从5~6小时减到1小时左右。
联想救急1110:融合备份与容灾,实现备份快速恢复的灾备一体化
在各地医院灾备一体化探索中,仍面临一个普遍性问题:即目前医院生产系统和灾备系统相互独立,如因勒索病毒等原因导致数据逻辑错误,备份系统遭破坏,业务将很难快速恢复。
本次研讨会会前调查显示,针对问题“如果勒索病毒同时加密了生产数据、备份数据、容灾数据,您医院现在是否有解决方案恢复业务系统?”,参与调查的医院超过半数尚无相关解决方案。
为解决这一难题,联想集团研发了“救急1110备份容灾一体化解决方案”,将备份和容灾结合起来,实现快速备份和系统快速恢复。
联想集团医疗行业解决方案架构师娄辛研介绍,该方案的基础是一套全闪存存储,将数据的容灾系统直接接入存储,再将变化的数据通过快速备份的方式,连续写入内部的备份项上。由此保障发生勒索病毒时,可快速恢复备份数据和业务系统。
部署救急1110解决方案,医院只需建设应用容灾系统,将核心系统在应用容灾机房完整部署实施。通过应用层或存储层,将数据复制到应用容灾平台。应用容灾平台使用全闪存企业级存储,内置存储备份软件,将备份插件推送到应用容灾平台的前端服务器,实现业务系统和生产存储硬件的联动,从而在不更改现有生产系统硬件架构、不移动数据的情况下,实现1分钟1次数据全备份、1分钟数据全恢复、10 分钟数据库应用容灾。
该方案还针对数据库提供CDP持续数据保护功能。利用CDP功能,基于数据库的日志重演,可将数据恢复到任何时间点上。除数据库外,对于医疗影像等非结构化数据,亦可纳入该方案。
方案具备AI勒索病毒防护功能,内置3000多种已知勒索病毒的行为模型,并可学习医院业务系统的读写模型,主动监测系统读写模式。一旦发现异常,立即触发存储快照,保护当前数据。继而让数据落盘,同时给管理员发邮件,发挥主动防御的功效。
当前,灾备演练机制在部分医院形同虚设,成为安全防护的“盲点”。“不能保护服务器内存数据的备份不是完整的备份,用户不能自主完成灾备演练的容灾不是完整的容灾。备份是确保数据安全的最后一道防线,灾备演练是确保备份安全的最后一道防线。”娄辛研说。
灾备演练机制欠缺,原因之一是灾备演练流程过于复杂。如何简化灾备演练流程?救急1110解决方案可扩展支持所有提供备份接口的业务系统。利用存储虚拟克隆技术,数分钟内从备份数据快速创建多个可读写的虚拟数据副本,可用于灾备演练、灾难恢复、存储容灾、数据分析等业务场景,践行“变数据备份为数据管理,从数据管理挖掘数据价值”的理念。
娄辛研举例:近期,某省级医院运用救急1110解决方案,进行 Caché 数据灾备演练的时间节点为:17:10:00发起灾备演练,17:11:38灾备演练环境准备完成,17:13:27完成数据恢复,完成容灾数据库的启动和校验,17:21:26清理灾备演练环境并恢复数据库镜像复制,做到了灾备演练的快捷、高效。
备份容灾建设要坚持系统性原则
薛万国对各位专家的经验分享进行了点评,并提出三点看法。
第一,厘清备份、容灾的关系确有必要。薛万国认为,三位专家讲得各有侧重、各具特点,将观点汇集起来,可对医院备份容灾的关系、发展规律有更为清晰的认识。备份和容灾存在渐次发展的顺序,首先要通过备份保证数据安全,在此基础上,再通过容灾技术保护业务连续性。数据完整性和业务连续性相比,前者更为基础也更为重要。不能单纯追求新技术的应用,而忽视了更为根本性的数据备份需求。
第二,无论是备份还是容灾,一定要把握系统性。要综合考虑各种因素,比如做异地备份,要考虑带宽可行性、异地备份的管理等。如果做双活,还要考虑数据库系统、应用系统是否支持,也还要考虑各配套的系统是否支持(比如用户身份认证系统)。资源投入也同样需要系统思维,当发生自然灾害时,异地备份才起作用,但这一灾害发生概率有多大?医院需要投入多少资源?需多方权衡。
第三,备份容灾的话题既传统又有新意。传统,指医院信息化建设一直以来重视备份容灾技术;新意,指无论是信息化发展对备份容灾需求还是备份容灾的技术产品,都在不断发展创新。颇具联想特点的“救急1110解决方案”,使业界又添了新的经验和选择。
精彩不容错过!
我们将尽快与您联系!
【责任编辑:晓青】
评论前必须登录!
注册