通用備份容災方案模板

年4月19日通用備份容災方案模板文檔僅供參考，不當之處，請聯(lián)系改正。方案模板（適合政府、公安、醫(yī)院等）XXXXX用戶信息系統(tǒng)數(shù)據(jù)安全方案建議書上海聯(lián)鼎軟件股份有限公司方案制作：張成方上海10月目錄15531.需求說明 4301651.1.項目背景 442911.2.實現(xiàn)目標 4323121.3.環(huán)境概述 6174801.4.待解決問題 7110682.容災概述 8239702.1.概述 863022.2.災難恢復和業(yè)務持續(xù)性的區(qū)別 864832.3.我們對災難恢復的認識 9188522.4.數(shù)據(jù)庫容災的幾種實現(xiàn)方式 1128372.5.有效的容災方案應有特點 12211262.6.容災系統(tǒng)的設(shè)計指標 1341203.方案設(shè)計 15138623.1.設(shè)計概述 1562393.2.設(shè)計思想 15252113.3.設(shè)計原則 18102383.4.方案說明 19187793.4.1.方案綜述 19141463.4.2.數(shù)據(jù)庫服務器容災 20165183.4.3.應用及虛擬機應用容災 2343543.4.4.本地備份 29274263.5.容災系統(tǒng)拓撲圖 3222313.6.配置清單 34163943.7.方案總結(jié) 34281684.實施方案 3570695.產(chǎn)品概要 3545795.1.LanderVault簡述 352375.2.功能模塊介紹 3644625.2.1.統(tǒng)一集中管理平臺：LanderVault 3634535.2.2.Cluster高可用集群系統(tǒng) 37320715.2.3.Replicator網(wǎng)格化數(shù)據(jù)復制系統(tǒng) 37317365.2.4.Backup數(shù)據(jù)備份系統(tǒng) 37265995.2.5.Disaster應用級容災系統(tǒng) 38136965.2.6.備份一體化平臺 38317995.2.7.容災一體化平臺 39119055.2.8.分布式存儲 3914155.2.9.ORACLE邏輯復制AliveDB 40294956.公司簡介 42

需求說明項目背景（根據(jù)項目情況，簡單描述用戶情況，能夠網(wǎng)上摘錄，最好貼近用戶實際信息系統(tǒng)現(xiàn)狀和發(fā)展規(guī)劃）XXXXXX醫(yī)院經(jīng)過幾十年，幾代兒醫(yī)人的艱苦奮斗、無私奉獻，從稚嫩一步一步走向成熟?，F(xiàn)在醫(yī)院已成為一所學科齊全，擁有大量專業(yè)人才和先進醫(yī)療設(shè)備，技術(shù)先進的綜合性醫(yī)院。聯(lián)鼎做為醫(yī)療行業(yè)用戶的IT解決方案提供商,我們?yōu)榇笮偷姆沼脩簦峁┑囊环N增值數(shù)據(jù)安全保障服務，一般高級別的數(shù)據(jù)安全體系建設(shè)需要大量的資金投入，針對不同系統(tǒng)規(guī)模，投入可能從幾十萬到幾百萬。聯(lián)鼎十幾年積累的技術(shù)和產(chǎn)品，具有穩(wěn)定可靠、架構(gòu)伸縮靈活、高性價比的特點，能夠根據(jù)不同規(guī)模用戶環(huán)境和不同等級保護要求進行靈活部署，滿足廣泛的需求，并能節(jié)省大量IT投入。本方案正是經(jīng)過對醫(yī)院用戶的軟、硬件產(chǎn)品及網(wǎng)絡環(huán)境的綜合考察，結(jié)合實際環(huán)境的情況提出的。我們力圖提供一套完備、基于容災技術(shù)、智能化、易管理的數(shù)據(jù)安全環(huán)境，而且盡我們的力量來充分體現(xiàn)我們在存儲軟件領(lǐng)域中的扎實功底和及時到位的技術(shù)支持服務，為醫(yī)院用戶信息系統(tǒng)數(shù)據(jù)安全保障建設(shè)提出合理的解決方案。我們?yōu)獒t(yī)院用戶提出建立一套基于云存儲架構(gòu)的數(shù)據(jù)安全體系，能夠?qū)崿F(xiàn)從本地高可用、本地容災，到異地應用級容災。能夠?qū)崿F(xiàn)雙活容災、兩第三中心數(shù)據(jù)保護平臺建設(shè)。信息系統(tǒng)中數(shù)據(jù)安全是本方案關(guān)注的核心。實現(xiàn)目標本建議方案針對醫(yī)院信息系統(tǒng)中數(shù)據(jù)及應用部分滿足國家信息安全等級保護制度的第三級要求而制定的。三級等保在數(shù)據(jù)安全及備份恢復包括數(shù)據(jù)完整性（S3）、數(shù)據(jù)保密性（S3）、備份和恢復（A3）幾個方面。數(shù)據(jù)完整性(S3)應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在傳輸過程中完整性受到破壞,并在檢測到完整性錯誤時采取必要的恢復措施；應能夠檢測到系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)在存儲過程中完整性受到破壞,并在檢測到完整性錯誤時采取必要的恢復措施。數(shù)據(jù)保密性(S3)應采用加密或其它有效措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)傳輸保密性；應采用加密或其它保護措施實現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務數(shù)據(jù)存儲保密性。備份和恢復(A3)應提供本地數(shù)據(jù)備份與恢復功能,完全數(shù)據(jù)備份至少每天一次,備份介質(zhì)場外存放；應提供異地數(shù)據(jù)備份功能,利用通信網(wǎng)絡將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地；應采用冗余技術(shù)設(shè)計網(wǎng)絡拓撲結(jié)構(gòu),避免關(guān)鍵節(jié)點存在單點故障；應提供主要網(wǎng)絡設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,保證系統(tǒng)的高可用性。我們提出的方案實現(xiàn)的安全級別要高出三級等保要求許多，比如能夠應用或系統(tǒng)故障實現(xiàn)秒級切換，數(shù)據(jù)邏輯錯誤能夠?qū)崟r回滾，而且核心業(yè)務系統(tǒng)能夠做到雙活容災。還能夠經(jīng)過部署備份系統(tǒng)，實現(xiàn)多層次的本地、異地數(shù)據(jù)及應用的保護。一般醫(yī)院的數(shù)據(jù)中心擁有相當數(shù)量的核心業(yè)務服務器、存儲、網(wǎng)絡系統(tǒng)，當前基本上還沒有完整的數(shù)據(jù)安全體系，任何人為的操作錯誤、軟件缺陷、硬件故障、電腦病毒、駭客攻擊、自然災難等諸多因素，均有可能造成數(shù)據(jù)的丟失和業(yè)務的停止，從而給業(yè)務系統(tǒng)造成無法估量的損失。信息系統(tǒng)架構(gòu)的合理性，系統(tǒng)的安全性、可靠性和最優(yōu)TCO是本方案的總體目標。需要逐步建立一個能夠滿足業(yè)務持續(xù)發(fā)展需要、具有一定先進性、易于管理維護、擴展性強的數(shù)據(jù)安全體系。環(huán)境概述醫(yī)院現(xiàn)規(guī)劃有本地數(shù)據(jù)中心和異地容災中心兩個機房，其中本地數(shù)據(jù)中心有數(shù)據(jù)庫級應用服務器共4臺，和虛擬機環(huán)境上的近30個應用，異地容災中心設(shè)計規(guī)劃包含服務期、存儲及相應網(wǎng)絡環(huán)境（這部分內(nèi)容方案匯總方能夠根據(jù)實際情況調(diào)整，但規(guī)劃的應用容災實實現(xiàn)上，現(xiàn)僅需在異地機房部署與本地業(yè)務系統(tǒng)相對應的物理服務器或者虛擬機，配置上不需要數(shù)量與本地數(shù)據(jù)中心一致）。本地數(shù)據(jù)中心環(huán)境：數(shù)據(jù)庫服務器為PC服務器，經(jīng)過冗余SAN區(qū)域存儲網(wǎng)絡連接到核心存儲設(shè)備，Windows操作系統(tǒng)和ORACLE數(shù)據(jù)庫應用服務器為PC服務器，擁有強勁的CPU和足夠的內(nèi)存空間WEB服務器為PC服務器，足夠的內(nèi)存空間病毒服務器主審計服務器其它服務器等核心存儲設(shè)備網(wǎng)絡系統(tǒng)網(wǎng)絡安全設(shè)備（或者以列表方式描述環(huán)境，參考列表如下）：編號品牌型號操作系統(tǒng)軟件應用數(shù)據(jù)庫RPORTO說明1HPRx4640HP-UX工商業(yè)務ORACLE10G0<10分鐘MCServiceGuard存儲EVA80002HPRx4640HP-UX12315ORACLE10G0<10分鐘MCServiceGuard存儲EVA8000參考拓撲圖如下：（完成現(xiàn)有環(huán)境架構(gòu)圖，下圖為參考）待解決問題本地業(yè)務持續(xù)性保護當任何服務器或應用由于人為或者意外原因造成宕機，都會影響到用戶正常訪問服務器業(yè)務，需要有針對整個系統(tǒng)各個核心業(yè)務系統(tǒng)的高可用保護手段，同時應避免高可用短板。本地數(shù)據(jù)保護本地服務器上擁有大量的各類業(yè)務數(shù)據(jù)，比如HIS、PACS等，這些數(shù)據(jù)在意外丟失時，必須要有一個快速本地數(shù)據(jù)恢復的手段，確保在任何意外情況下能夠進行本地數(shù)據(jù)恢復。災難恢復服務器的數(shù)據(jù)庫和應用即使有本地備份手段，依然無法避免本地機房發(fā)生災難的情況下的業(yè)務和數(shù)據(jù)保障，而異地數(shù)據(jù)和業(yè)務的保護手段就是容災，本方案討論的就是異地應用級雙活容災。容災能夠分為多個級別，本方案實現(xiàn)的是最高級別的應用級容災。容災概述本章節(jié)內(nèi)容能夠根據(jù)項目情況刪減，或者不用。概述數(shù)據(jù)是整個系統(tǒng)運作的核心。人為的操作錯誤，軟件缺陷，硬件故障，電腦病毒，駭客攻擊，自然災難等諸多因素，均有可能造成數(shù)據(jù)的丟失，從而給整個系統(tǒng)造成無法估量的損失。一般容災系統(tǒng)能夠簡單的分為數(shù)據(jù)容災和應用級容災，對于醫(yī)院這樣的業(yè)務環(huán)境，按照國家規(guī)定，需要滿足等級保護要求，需要建立一個達到應用級容災的多層次數(shù)據(jù)保護體系，達到或超過衛(wèi)生部要求全國衛(wèi)生行業(yè)各單位信息安全等級保護工作的標準。災難恢復和業(yè)務持續(xù)性的區(qū)別很多人認為災難恢復（DisasterRecovery）和業(yè)務持續(xù)性（BusinessContinuity）是同一個概念。實際上它們并不完全一樣，當然，它們共同的目標是IT建設(shè)中，為了最壞的情況發(fā)生而作的準備。業(yè)務持續(xù)性（BusinessContinuity）是針對潛在的包括停電這樣能夠造成系統(tǒng)停止運行的風險而提出的概念。針對業(yè)務持續(xù)性的問題包括：業(yè)務系統(tǒng)持續(xù)性的實施計劃是什么？在問題出現(xiàn)時，誰負責在最短的時間內(nèi)按照流程將系統(tǒng)恢復工作？在特殊情況下，比如災難的發(fā)生需要做什么？多長時間能夠使系統(tǒng)重新啟動工作？諸如此類的問題。比如：集群就是業(yè)務持續(xù)性保護手段的一種。而災難恢復（DisasterRecovery)是更高級別的安全保護手段，是針對更加嚴重的情況發(fā)生，如何保證系統(tǒng)持續(xù)提供服務，而且有完整的數(shù)據(jù)存在。那么我們必須知道：IT系統(tǒng)怎樣從災難發(fā)生后，進行數(shù)據(jù)的恢復？采用什么樣的技術(shù)來達到這樣的目標？什么樣的應用需要在災難發(fā)生時，進行切換，如何切換？用戶如何訪問容災中心的系統(tǒng)？諸如此類的問題。而災難恢復的實現(xiàn)，則主要經(jīng)過遠程數(shù)據(jù)復制和應用切換來實現(xiàn)。我們看到，災難恢復部分包含了業(yè)務持續(xù)性，比如應用級容災就包括了業(yè)務持續(xù)性概念，它除了強調(diào)系統(tǒng)的遠端冗余，更要求能夠有完整的數(shù)據(jù)可供服務。而業(yè)務持續(xù)性更加強調(diào)系統(tǒng)持續(xù)提供服務的能力。二者都需要對系統(tǒng)運行環(huán)境存在的風險進行分析，做出投資決策。我們對災難恢復的認識我們對災難恢復有多年的積累，包括用于在災難發(fā)生情況下減少宕機時間計劃和技術(shù)手段。一個災難恢復系統(tǒng)從結(jié)構(gòu)上主要包括遠端容災中心，它能夠在本地系統(tǒng)發(fā)生問題時，在最短的時間內(nèi)接管本地的關(guān)鍵業(yè)務。從業(yè)務規(guī)劃角度，遠端的容災中心應該足夠的遠，越遠越安全。系統(tǒng)在一公里、幾公里范圍內(nèi)是無法達到容災要求的，比如區(qū)域停電怎么辦？那么長期的全局數(shù)據(jù)安全規(guī)劃怎么實現(xiàn)呢，真正容災的保護需要跨區(qū)、跨省、甚至跨越國家來實現(xiàn)。很多全球化企業(yè)就是這么做的。因此災難恢復環(huán)境的實現(xiàn)，需要做到數(shù)據(jù)復制和應用切換兩個環(huán)節(jié)：數(shù)據(jù)復制：指在異地保證各個系統(tǒng)關(guān)鍵數(shù)據(jù)和狀態(tài)參數(shù)的一致，根據(jù)其實現(xiàn)的方法來分能夠是軟件的方式，也能夠是硬件的方式。軟件方式是在主系統(tǒng)和容災系統(tǒng)的主機上，安裝專用的數(shù)據(jù)復制軟件。這種方式的特點是成本較低。可是存在需要占用一定系統(tǒng)資源的問題，隨著系統(tǒng)硬件處理能力的提升，這些已經(jīng)不是問題，因此，這種高性價比的解決方案正在成為大多用戶的首選。硬件方式的數(shù)據(jù)復制，是數(shù)據(jù)經(jīng)過存儲陣列控制器直接在存儲設(shè)備之間傳輸，由于數(shù)據(jù)復制是由光纖通道存儲陣列控制器完成，因此不占用服務器內(nèi)存等的硬件資源，也不須由操作系統(tǒng)進行管理和控制，對操作系統(tǒng)資源不會造成占用，對系統(tǒng)效率也不會造成影響，但這種方式無法確保數(shù)據(jù)庫的一致性，并在有些異常情況下，數(shù)據(jù)庫無法正常打開。同時根據(jù)實現(xiàn)的步驟，也能夠分為同步復制（實時容災）和異步復制（異步容災）。同步復制是安全級別最高的工作方式，工作時主系統(tǒng)主機向本地的存儲設(shè)備發(fā)送一個I/O請求時，這個請求同時被傳送到容災系統(tǒng)的存儲設(shè)備中，等到2個存儲設(shè)備都處理完成后，才向主系統(tǒng)主機返回確認信號。這一機制確保在兩個存儲設(shè)備中的數(shù)據(jù)在數(shù)據(jù)塊級別的高度一致。而異步復制的工作機制是主系統(tǒng)內(nèi)主機與存儲設(shè)備間的I/O處理與數(shù)據(jù)復制過程無關(guān)，也就是說，主機無須等待遠端存儲設(shè)備完成I/O處理，只要本地主系統(tǒng)存儲設(shè)備完成I/O處理后，即向主系統(tǒng)主機發(fā)送確認信號。這樣，雖然主系統(tǒng)與容災系統(tǒng)之間數(shù)據(jù)復制的通訊效率會提高，可是2個存儲設(shè)備中的數(shù)據(jù)就可能存在不一致，這也就是采用異步復制機制的代價。軟件方式對傳輸控制更加靈活，方案采用的聯(lián)鼎LanderDisaster能夠?qū)崿F(xiàn)同步傳-同步寫、同步傳、異步寫、異步傳-同步寫、異步傳-異步寫，滿足各種網(wǎng)絡環(huán)境的需求，比如，網(wǎng)絡在工作時間段內(nèi)繁忙，則能夠定義在網(wǎng)絡空閑情況下進行傳遞，而在備機，由于引入了時間漏斗概念，能夠靈活定義時間漏斗大小，確保在漏斗內(nèi)的數(shù)據(jù)能夠靈活恢復，滿足了在邏輯錯誤發(fā)生時，能夠靈活恢復到指定時間點。LanderDisaster同時提供了多種容災實現(xiàn)手段，包括：基于文件I/O變化捕捉的LanderDisaster復制方式，這種方式完全與應用、數(shù)據(jù)庫無關(guān)，實現(xiàn)通用環(huán)境的軟件容災，適用于各類數(shù)據(jù)庫和文件環(huán)境?；跀?shù)據(jù)庫日志傳遞、控制，而實現(xiàn)的高靈活性數(shù)據(jù)庫容災軟件LanderDisaster,嵌入了傳輸加密、壓縮、CDP功能，適用于ORACLE、SQLServer數(shù)據(jù)庫環(huán)境的容災。應用切換：即當某個具體應用在一個系統(tǒng)中失效之后，能夠在另外一個系統(tǒng)中啟動切換并接管該網(wǎng)絡服務。每次進行事務處理時，數(shù)據(jù)均同步更新。當主業(yè)務中心發(fā)生災難時，遠程備份中心子系統(tǒng)中的數(shù)據(jù)將安然無恙，而且經(jīng)過備用主機連接而保證數(shù)據(jù)的可用。自動的存儲子系統(tǒng)故障恢復和故障返回功能允許在線操作繼續(xù)進行，只需要將客戶端與遠程子系統(tǒng)重新連接即可恢復業(yè)務運作。經(jīng)過建立額外的鏡像，該方案可實現(xiàn)并行操作。LanderCluster是聯(lián)鼎十幾年技術(shù)積累結(jié)晶的旗艦產(chǎn)品，與復制產(chǎn)品完美集成，能夠使容災部署更加方便、科學、可靠。容災考量重要指標：RPO（RecoveryPointObjective）：即數(shù)據(jù)恢復點目標，主要指的是核心業(yè)務系統(tǒng)所能容忍的數(shù)據(jù)丟失量。RTO（RecoveryTimeObjective）：即恢復時間目標，主要指的是所能容忍的業(yè)務停止服務的最長時間，也就是從災難發(fā)生到業(yè)務系統(tǒng)恢復服務功能所需要的最短時間周期。這兩個指標值越低，容災質(zhì)量越高，需要根據(jù)實際情況選擇部署策略。數(shù)據(jù)庫容災的幾種實現(xiàn)方式由于絕大多數(shù)用戶核心業(yè)務是基于數(shù)據(jù)庫環(huán)境的，而數(shù)據(jù)庫容災是容災環(huán)境中的關(guān)鍵。當前數(shù)據(jù)庫容災主要有以下三種方式實現(xiàn)：基于存儲I/O復制實現(xiàn)，比如本方案涉及到的LanderReplicator這種方式是經(jīng)過底層驅(qū)動截獲I/O變化，將該變化寫成日志，存放在單獨的目錄中，將日志傳輸?shù)絺錂C后，經(jīng)過底層驅(qū)動將日志寫入到備機，這種方式能夠和LanderCluster有效的相結(jié)合，實時的保證了數(shù)據(jù)的一致性和業(yè)務的不間斷性。基于數(shù)據(jù)庫可回滾的容災方式，比如本方案涉及到的LanderDisaster，這種方式是經(jīng)過底層驅(qū)動截獲I/O變化，將變化寫入日志，生成控制文件，將日志傳輸?shù)絺錂C后日志會保留設(shè)置時間軸長度時間，能夠在備機進行容災演練，回滾時間軸上任意時間點數(shù)據(jù)，無限次回滾，會打開備機數(shù)據(jù)庫，方便管理員查詢，能夠?qū)⒋_認回退好的數(shù)據(jù)同步到主機，這種方式有效的解決了數(shù)據(jù)的完整，可回退，備機可查詢?；谌罩就诰虻臄?shù)據(jù)庫邏輯復制方式，比如本方案涉及到的聯(lián)鼎AliveDB，這種方式是經(jīng)過對本機數(shù)據(jù)庫日志挖掘，分離出數(shù)據(jù)庫具體的內(nèi)部操作指令，并將過濾過的操作傳遞到異地數(shù)據(jù)庫上。能夠跨越不同的操作系統(tǒng)平臺，跨越不能的Oracle版本，同時對網(wǎng)絡帶寬依賴較低，支持數(shù)據(jù)表、過程、觸發(fā)器等關(guān)鍵的數(shù)據(jù)對象，是標準的數(shù)據(jù)庫雙活，容災端能夠提供實時的數(shù)據(jù)查詢及報表業(yè)務等，在生產(chǎn)機出現(xiàn)故障時容災機能夠立即接管，穩(wěn)定性極高，這種方式充分的利用了容災端的計算能力，提高數(shù)據(jù)同步的效率，減少帶寬的使用率，高效的提升系統(tǒng)整體的業(yè)務處理能力。有效的容災方案應有特點正如我們前面提到的，新的需求需要我們換種新的思路來考慮。在討論如何以創(chuàng)新的思維來建立一個容災項目之前，讓我們先看一下理想容災項目要的標準是什么：災難備份中心運行在遠地環(huán)境，而且能夠在災難發(fā)生后，在很短的時間內(nèi)上線（分鐘級別）；應該盡量避免數(shù)據(jù)丟失，或者數(shù)據(jù)丟失在最小狀態(tài)；應用系統(tǒng)切換工作必須盡量減少人工操作，以提高效率；數(shù)據(jù)一致性必須有保障；對生產(chǎn)服務器的影響應該最小，或不構(gòu)成任何影響。容災系統(tǒng)的設(shè)計指標要建設(shè)容災工程必須提出容災系統(tǒng)設(shè)計指標，作為衡量和選擇容災解決方案的參數(shù)。當前，國際上通用的容災系統(tǒng)的評審標準為Share78：備份/恢復的范圍災難恢復計劃的狀態(tài)業(yè)務中心與容災中心之間的距離業(yè)務中心與容災中心之間如何相互連接數(shù)據(jù)是怎樣在兩個中心之間傳送的允許有多少數(shù)據(jù)被丟失怎樣保證更新的數(shù)據(jù)在容災中心被更新容災中心能夠開始容災進程的能力Share78只是建立容災系統(tǒng)的一種評審標準，在設(shè)計容災系統(tǒng)時，還需要提供更加具體的設(shè)計指標。建立容災系統(tǒng)的最終目的，是為了在災難發(fā)生后能夠以最快的速度恢復數(shù)據(jù)服務，因此，容災中心的設(shè)計指標主要與容災系統(tǒng)的數(shù)據(jù)恢復能力有關(guān)。最常見的設(shè)計指標有：RTO和RPO。各種容災解決方案的RTO有較大差別，基于光通道技術(shù)的同步數(shù)據(jù)復制，配合異地備用的業(yè)務系統(tǒng)和跨業(yè)務中心與備份中心的高可用管理，這種容災解決方案具有最小的RTO。容災系統(tǒng)為獲得最小的RTO，同樣需要投入大量資金。RPO反映恢復數(shù)據(jù)完整性的指標，在同步數(shù)據(jù)復制方式下，RPO等于數(shù)據(jù)傳輸時延的時間，在異步數(shù)據(jù)復制方式下，RPO基本為異步傳輸數(shù)據(jù)排隊的時間。實際應用中，考慮到數(shù)據(jù)傳輸因素，業(yè)務數(shù)據(jù)庫與容災備份數(shù)據(jù)庫的一致性（SCN）是不相同的，RPO表示業(yè)務數(shù)據(jù)庫與容災備份數(shù)據(jù)庫的SCN的時間差。發(fā)生災難后，啟動容災系統(tǒng)完成數(shù)據(jù)恢復，RPO就是新恢復業(yè)務系統(tǒng)的數(shù)據(jù)損失量。從經(jīng)濟角度考慮，最佳的容災解決方案不一定是性能最好的容災解決方案，容災系統(tǒng)的總體投入TCO和投資回報ROI，對于許多用戶來說是十分重要的設(shè)計指標。TCO包括建立系統(tǒng)、維護系統(tǒng)和擴充系統(tǒng)的總投入，由于容災系統(tǒng)的啟用概率很低，新技術(shù)的發(fā)展和新產(chǎn)品的性能價格比的提高，必定造成容災設(shè)備的貶值。因此，對于容災系統(tǒng)TCO越高，ROI越低。我們的觀點是對于系統(tǒng)規(guī)模不大的情況下，容災系統(tǒng)建設(shè)投入，應該控制在主系統(tǒng)投入的30%左右，如果超過將得到非常差的RIO。由于業(yè)務不同模式的IT系統(tǒng)在升級過程中，會采用新技術(shù)和新產(chǎn)品，業(yè)務系統(tǒng)任何變動都會引起容災系統(tǒng)相應的變化，勢必加大系統(tǒng)升級的投入。要想把這種變化的影響降低到最小，容災系統(tǒng)的靈活性和兼容性也應該是十分重要的指標。綜上所述，進行容災系統(tǒng)設(shè)計時，必須根據(jù)企事業(yè)的業(yè)務系統(tǒng)的使用情況，綜合考慮地理環(huán)境、網(wǎng)絡條件、投資規(guī)模、業(yè)務系統(tǒng)長遠發(fā)展規(guī)劃等各種因素，制定合理的可行的容災系統(tǒng)設(shè)計指標。方案設(shè)計設(shè)計概述綜合考慮“技術(shù)、成本、融合、發(fā)展”因素，運用成熟、可靠、先進、安全的技術(shù)和產(chǎn)品，既能適應當前對技術(shù)及管理的特定需要，又能滿足未來業(yè)務擴張、技術(shù)產(chǎn)品升級的發(fā)展要求。合理控制總體擁有成本（TCO），有效提高工作效率和服務質(zhì)量、顯著降低維護成本和管理復雜度，實現(xiàn)最大投資回報（ROI）。設(shè)計思想數(shù)據(jù)安全體系架構(gòu)是一項系統(tǒng)工程，包括系統(tǒng)持續(xù)提供服務能力、數(shù)據(jù)本地安全、數(shù)據(jù)異地保護以及應用級容災。我們在架構(gòu)數(shù)據(jù)安全體系的時候，必須從基礎(chǔ)架構(gòu)做起，建立一套具有高度伸縮性、穩(wěn)固性、可管理性、最優(yōu)化TCO和服務保障的系統(tǒng)。大多數(shù)用戶在系統(tǒng)建立初期，由于各種限制，導致系統(tǒng)建設(shè)存在各種安全隱患，資源不能有效利用、管理難度大、擴展性不佳等系列問題，使得IT管理者疲于奔命。根據(jù)我們多年的行業(yè)經(jīng)驗，在虛擬化和云計算大潮延伸到各行業(yè)的今天，我們有更多的手段和理由來建立一個科學架構(gòu)的數(shù)據(jù)安全體系，應主要從以下幾個層面入手。系統(tǒng)持續(xù)服務能力系統(tǒng)持續(xù)服務能力是計算機系統(tǒng)運行的基本要求，單純依靠服務器本身的可靠性很難達到預期，一般的做法是采用集群技術(shù)。集群技術(shù)實現(xiàn)了應用的虛擬化，軟件的監(jiān)視程序監(jiān)視群集中每一個節(jié)點狀態(tài)，而且對出現(xiàn)的故障很快地做出反應，使應用程序不會因為任何單點故障而停止服務，確保整個系統(tǒng)在任何服務器故障的情況下，靈活切換到其它服務器上運行。而且能夠靈活增加服務器節(jié)點。聯(lián)鼎集群產(chǎn)品LanderCluster是LanderVaultV4.0家族中的旗艦模塊，凝聚了聯(lián)鼎十五年的技術(shù)積累，是當前市場上最優(yōu)秀的集群軟件產(chǎn)品之一。數(shù)據(jù)本地安全數(shù)據(jù)本地安全主要是經(jīng)過備份手段，將關(guān)鍵的業(yè)務數(shù)據(jù)、系統(tǒng)數(shù)據(jù)，備份到備份介質(zhì)上，而且在數(shù)據(jù)丟失或者不可恢復的情況下，快速進行數(shù)據(jù)恢復。本地數(shù)據(jù)安全關(guān)注的重點在備份恢復速度、備份可靠性上。如果能夠建立一個能夠按需分配、自我管理的云備份模式，將更適應未來的發(fā)展。這樣的體系下，能夠任意增加備份客戶端，客戶端包括桌面用戶和服務器應用。當前常見的解決方案依然是經(jīng)過部署備份軟件達到本地數(shù)據(jù)安全目的，常見的備份軟件都能達到本地數(shù)據(jù)備份的要求，當然，還有一中軟硬件一體化解決方案，由于其高性價比的特點，被越來越多的采用。聯(lián)鼎推出的智能鼎設(shè)備就是一款非常有特點的產(chǎn)品，在諸多的大型用戶環(huán)境中得到使用。詳細設(shè)備信息請參考附件。本地數(shù)據(jù)保護的內(nèi)容是本方案要討論的核心之一。數(shù)據(jù)異地保護也稱為異地數(shù)據(jù)容災，是在本地數(shù)據(jù)保護的基礎(chǔ)之上，在異地機房部署一個備份策略，實現(xiàn)本地數(shù)據(jù)直接傳輸?shù)疆惖貦C房，在本地應用系統(tǒng)故障的情況下，能夠直接切換到異地容災節(jié)點使業(yè)務正常使用，這個是實現(xiàn)異地容災的必要手段，是在本地備份系統(tǒng)已經(jīng)相當完善的情況下，更高級的數(shù)據(jù)安全手段。應用級容災應用級容災是數(shù)據(jù)保護的最高級別，是針對關(guān)鍵業(yè)務系統(tǒng)災難情況下的異地保護手段。一般這些方案在金融、證券等涉及民生、國家安全的行業(yè)中采用。但隨著計算機技術(shù)的發(fā)展，當前大多數(shù)的用戶在完成前面幾步數(shù)據(jù)安全體系建設(shè)后，開始考慮建立應用容災系統(tǒng)。云存儲體系容災中心的存儲架構(gòu)的合理性是整個災備中心安全型和伸縮性的基礎(chǔ)保障。云存儲云一體化方案部署需要具有以下特點：采用云平臺作為災備中心提供一體化平臺，滿足虛擬化數(shù)據(jù)中心對容災環(huán)境云主機和云存儲的應用需求；采用分布式存儲系統(tǒng)具有高吞吐、海量空間、極易擴展等優(yōu)勢，滿足云平臺提供彈性、安全的高可用存儲需求；基礎(chǔ)架構(gòu)清晰合理；既滿足虛擬化、文件等非結(jié)構(gòu)化數(shù)據(jù)存儲的大容量和方便部署管理，又能滿足核心數(shù)據(jù)庫的性能業(yè)務需求；彈性部署，管理便捷；根據(jù)業(yè)務規(guī)模與需求，靈活擴展計算資源與存儲資源。由于現(xiàn)在有更多的優(yōu)秀解決方案，我們把容災系統(tǒng)建設(shè)做為重點討論問題之一。下圖為云存儲架構(gòu)容災中心平臺邏輯圖：設(shè)計原則+++本章節(jié)內(nèi)容能夠根據(jù)項目情況刪除+++本次項目，我們在具體設(shè)計方案時，制定了如下的方案設(shè)計原則。這些原則也本身都是從用戶實際需求出發(fā)，并著眼于配合今后業(yè)務發(fā)展所必須的數(shù)據(jù)中心的建設(shè)要求。一是開放性原則系統(tǒng)的開放性必須建立在標準化基礎(chǔ)之上，依據(jù)當前信息化建設(shè)的國際標準、國家標準、衛(wèi)生標準組織實施。開放性體現(xiàn)選用產(chǎn)品方面，經(jīng)過將市場上最好的各類產(chǎn)品組合起來，來構(gòu)建完整的系統(tǒng)框架。二是先進性原則在選擇核心技術(shù)時，充分考慮采用當前最前沿的技術(shù)和產(chǎn)品，以確保系統(tǒng)的先進性。同時，先進技術(shù)的應用還必須充分考慮到相關(guān)技術(shù)的成熟性，以便確保整個系統(tǒng)建成后的長期穩(wěn)定、正常運轉(zhuǎn)。三是可靠性原則系統(tǒng)的各個架構(gòu)層不但是整體的組成部分，同時也是一個相對獨立的工作過程，在系統(tǒng)設(shè)計時應當充分考慮到各架構(gòu)層在運轉(zhuǎn)過程中產(chǎn)生的故障對系統(tǒng)整體效能的影響，盡力避免系統(tǒng)癱瘓情況的發(fā)生。四是擴展性原則由于醫(yī)院業(yè)務在實際工作中還將不斷發(fā)展，具體業(yè)務需求不可能經(jīng)過一次整理就全部完成，因此系統(tǒng)設(shè)計、開發(fā)和相關(guān)技術(shù)的選擇必須具有比較強大的擴展能力，為今后系統(tǒng)局部調(diào)整或升級留有余地，并能夠滿足不同系統(tǒng)的需要，以適應業(yè)務工作的可持性發(fā)展。五是安全性原則采用合適的技術(shù)和方案加強數(shù)據(jù)的安全防護，盡力避免因遭攻擊而受到破壞。同時在出現(xiàn)故障時，能在較短時間內(nèi)實現(xiàn)數(shù)據(jù)恢復。以上幾點是構(gòu)建數(shù)據(jù)安全體系的幾個要點，按照本方案的思路，能夠做到有計劃、有步驟的實施，最后達到建立包括應用級容災的完整數(shù)據(jù)安全體系。因為聯(lián)鼎是一家專業(yè)提供完整的自主研發(fā)的一體化軟件產(chǎn)品解決方案廠商，只需要在同一個管理平臺下，就能夠完成對整個數(shù)據(jù)安全體系的架構(gòu)和管理操作，真正實現(xiàn)一體化的數(shù)據(jù)安全體系。方案說明方案綜述++針對用戶環(huán)境對方案思路進行綜合闡述++結(jié)合XXXXXX醫(yī)院實際環(huán)境，綜合對醫(yī)院現(xiàn)有系統(tǒng)環(huán)境進行分析，為保障業(yè)務持續(xù)不間斷的運行，數(shù)據(jù)的安全可靠，本地災難發(fā)生時業(yè)務不間斷等設(shè)計目標，我們推薦以下方案，確保XXXXXX醫(yī)院整體業(yè)務系統(tǒng)安全高效的運行。結(jié)合現(xiàn)在本地數(shù)據(jù)中心的環(huán)境，分別部署了以下幾個方面的策略：在災備中心部署云存儲平臺，建立高度可靠、可伸縮的存儲體系，做到存儲冗余，可存放虛擬化容災節(jié)點在線數(shù)據(jù)、虛擬機容災數(shù)據(jù)、備份數(shù)據(jù)和其它必要的應用。采用智能鼎備份一體機實現(xiàn)本地數(shù)據(jù)備份，對關(guān)鍵業(yè)務系統(tǒng)數(shù)據(jù)文件和數(shù)據(jù)庫進行本地數(shù)據(jù)保護。作為多層次數(shù)據(jù)保護體系的最后一層保護是必須具備的手段。采用智能鼎容災一體機作為異地容災平臺，與云存儲形成高度可靠和可擴展的容災系統(tǒng)，對本地數(shù)據(jù)中心的核心業(yè)務服務器進行靈活容災部署。針對不同類型應用能夠采用不同的容災策略。采用LanderDisaster容災模塊，對數(shù)據(jù)庫服務器、應用服務器等本地關(guān)鍵業(yè)務進行異地應用級容災保護，確保本地災難，該業(yè)務能夠在容災中心啟動，實現(xiàn)準雙活容災；采用AliveDB模塊，實現(xiàn)對核心業(yè)務數(shù)據(jù)庫ORACLE的雙活容災，容災中心的對應服務器ORACLE數(shù)據(jù)庫能夠?qū)崟r訪問。采用LanderCluster集群模塊對應用服務器、WEB服務器等關(guān)鍵業(yè)務進行高可用性保護，確保任何一臺服務器宕機，都不會影響業(yè)務的運行。集群模塊用于對整個數(shù)據(jù)中心、災備中心服務器及應用的狀態(tài)監(jiān)控、實時應用切換。能夠在統(tǒng)一平臺上，對整個數(shù)據(jù)中心業(yè)務系統(tǒng)進行管理，并能夠制定自定義事件。經(jīng)過這樣部署，實現(xiàn)了本地和異地的整體安全保障，使醫(yī)院信息系統(tǒng)達到相當高的安全級別。該安全平臺均在聯(lián)鼎一體化管理平臺LanderVault下進行部署和管理，是真正的一體化數(shù)據(jù)安全平臺和體系。本方案架構(gòu)對本地數(shù)據(jù)中心不造成任何影響，不需要改變現(xiàn)有架構(gòu)，不需要在本地數(shù)據(jù)中心增加任何硬件設(shè)備，是當前最容易部署的容災備份解決方案。總體設(shè)計方案如下表：序號系統(tǒng)名稱應用名稱RTORPO容災方式1數(shù)據(jù)庫服務器核心數(shù)據(jù)庫小于10分鐘秒級邏輯復制雙活容災1應用服務器1中間件小于10分鐘秒級CDP雙活容災2應用服務器2中間件小于10分鐘秒級CDP雙活容災3WEB服務器1網(wǎng)站服務小于10分鐘秒級CDP雙活容災1WEB服務器2網(wǎng)站服務小于10分鐘秒級CDP雙活容災1其它虛擬機服務器1-N審計、OA等小于10分鐘秒級CDP雙活容災（根據(jù)系統(tǒng)重要程度進行選擇性容災數(shù)據(jù)庫服務器容災數(shù)據(jù)庫服務器安裝Oracle，經(jīng)過冗余的SAN交換機將數(shù)據(jù)存放在生產(chǎn)存儲上，為了更好的保護數(shù)據(jù)，經(jīng)過聯(lián)鼎AliveDB邏輯復制技術(shù)將本地數(shù)據(jù)中心Oracle直接捕獲源數(shù)據(jù)庫的交易，將數(shù)據(jù)庫的改變經(jīng)過邏輯復制到異地容災中心對應虛擬容災節(jié)點數(shù)據(jù)庫中,同時容災中心數(shù)據(jù)庫處于活動狀態(tài)，實現(xiàn)雙活容災。AliveDB能夠?qū)崿F(xiàn)跨操作系統(tǒng)平臺、跨數(shù)據(jù)庫版本容災部署，同時在部署時，不需要停止生產(chǎn)數(shù)據(jù)庫，數(shù)據(jù)初始同步能夠在線完成，是同類軟件不具備的功能特點。邏輯復制管理界面：聯(lián)鼎AliveDB邏輯復制客戶端部署在本地數(shù)據(jù)中心的兩臺PC服務器上，本地生產(chǎn)端的進程對OracleRedo日志進行實時監(jiān)控和分析，然后將這些交易指令和交易數(shù)據(jù)經(jīng)過格式轉(zhuǎn)化后實時經(jīng)過網(wǎng)絡傳輸?shù)饺轂臋C中，容災端經(jīng)過校驗碼檢查確認，確認是正確的數(shù)據(jù)庫包后，調(diào)用Oracle函數(shù)安裝交易的先后順序在容災機系統(tǒng)中執(zhí)行交易，能夠及時對容災端數(shù)據(jù)庫進行更新。同時本地和異地的Oracle數(shù)據(jù)庫都是打開狀態(tài)，是標準的數(shù)據(jù)庫雙活，容災端能夠提供實時的數(shù)據(jù)查詢及報表業(yè)務等日志抓取AliveDB對數(shù)據(jù)的抓取是經(jīng)過安裝在DataSource端的Agent模塊定時分析OracleRedoLog來獲取DataSource端的交易類型及數(shù)據(jù)的。AliveDBAgent在判斷DataSource端的Oracle系統(tǒng)是否有新的交易產(chǎn)生時是經(jīng)過定期檢查OracleControlefile中記錄的當前SCN號來判斷的，這樣避免每次檢都經(jīng)過讀取log文件來判斷否有新的交易產(chǎn)生時造成的系統(tǒng)影響。在Controlefile中確認有新的交易產(chǎn)生時，能夠同時獲得當前的RedoLog組，以及最新日志在日志文件的最新位置。AliveDBAgent模塊根據(jù)這些信息將上次抓取時記錄的日志位置與本次讀取的最新位置之間的Log讀取并加以分析。然后將這些數(shù)據(jù)保存在OnlineLogCache文件中，等待下一步作交易合成處理。日志分析Oracle數(shù)據(jù)庫的所有更改都記錄在日志中，其中記錄了對數(shù)據(jù)庫中的每一個變化。當我們候需要需要了解數(shù)據(jù)庫中所作的交易時，一個最有效實用而又低成本的方法就是分析Oracle數(shù)據(jù)庫的日志文件。AliveDBAgent中集成了優(yōu)秀的日志分析功能，該功能完全不同于oracle提供的Logminer日志分析工具，在性能和功能上都大大提高，主要體現(xiàn)在系統(tǒng)性能的優(yōu)化上，大幅度提高日志分析的速度，使得對于高并發(fā)業(yè)務系統(tǒng)的復制成為可能。按照AliveDB的日志分析設(shè)計目標，每秒能夠分析的日志量達到10M/s。AliveDB經(jīng)過對日志的分析，得到該數(shù)據(jù)庫中的每個SQL指令，并將這些SQL指令生成專有格式的表示方式，從而在分析和轉(zhuǎn)載時需要最小的轉(zhuǎn)化，提高分析和裝載速度，減少資源占用、豐富能夠表示的各種數(shù)據(jù)類型。事務合成經(jīng)過ORACLEREDOLOG分析的交易指令存在如下的幾個特點：（1）這些指令是交叉出現(xiàn)的，屬于一個交易（Transaction）的多條SQL指令是非連續(xù)存儲的，多個交易的SQL之間是相互穿插的；（2）Redolog中記錄了所有的commit的交易以及沒有commit的交易；因此，為了提高系統(tǒng)的可控制性、保證邏輯完整性、避免數(shù)據(jù)丟失，最好將復制的最小單位為一個交易（Transaction），而不是以單個SQL指令為復制單位，這樣在DataTarget端的交易裝載更加容易控制。同時，對于復制的數(shù)據(jù)而言，只有那些Commit的數(shù)據(jù)對于DataTarget端系統(tǒng)是有意義的，而對于那些Rollback的數(shù)據(jù)無需復制到Datatarget系統(tǒng)上。因此AliveDB在復制過程中不是復制每個SQL語句，而是對抓取的數(shù)據(jù)進行交易整合后以交易（Transaction）為單位進行復制，同時只復制COMMIT的交易。在OnlineLogCache文件中，包括Commit的交易，沒有Commit的交易和Rollback的交易。交易合成模塊首先按照交易序號對SOL語句進行劃分，每個交易包含多條SOL語句。然后，以交易為單位進行處理，將已經(jīng)Commit的交易，傳至傳輸處理模塊；將未提交的交易保存在本地，一旦經(jīng)過日志得知保存的未提交交易已提交，立即將該交易發(fā)送到傳輸處理模塊；對Rollback的交易作丟棄處理。產(chǎn)品部署序號系統(tǒng)名稱主機機型操作系統(tǒng)所在機房說明1核心數(shù)據(jù)庫PC服務器Windows本地數(shù)據(jù)中心放置本地數(shù)據(jù)中心，安裝Oracle2核心數(shù)據(jù)庫PC服務器Windows本地數(shù)據(jù)中心3虛擬容災節(jié)點智能鼎平臺異地容災中心放置在異地容災中心，與本地數(shù)據(jù)中心的Oracle實現(xiàn)邏輯復制部署AliveDB模塊應用及虛擬機應用容災本地數(shù)據(jù)中心應用服務器經(jīng)過LanderCluster實現(xiàn)本地集群，同時經(jīng)過LanderDisaster實現(xiàn)異地應用容災。本地業(yè)務系統(tǒng)產(chǎn)生的數(shù)據(jù)經(jīng)過LanderDisasterCDP容災技術(shù)將數(shù)據(jù)傳輸?shù)疆惖厝轂闹行?，醫(yī)院管理員能夠經(jīng)過容災演練查看時間軸上任意時間點上的數(shù)據(jù)，不影響數(shù)據(jù)的傳輸，當本地數(shù)據(jù)中心數(shù)據(jù)出現(xiàn)問題時，能夠經(jīng)過LanderDisaster技術(shù)將異地容災中心的數(shù)據(jù)回滾到放生事故的時間點，經(jīng)過容災恢復將數(shù)據(jù)恢復到本地數(shù)據(jù)中心數(shù)據(jù)庫服務器上，實現(xiàn)了異地數(shù)據(jù)可查詢，容災演練，故障恢復和數(shù)據(jù)的零丟失。LanderDisaster工作原理如上圖所示：LanderDisasterCDP災軟件分別部署在本地數(shù)據(jù)中心應用服務器和異地容災中心應用服務器上，每當生產(chǎn)節(jié)點產(chǎn)生數(shù)據(jù)時，LanderDisasterCDP容災軟件經(jīng)過底層驅(qū)動捕獲I/O變化，將變化的事務經(jīng)過驅(qū)動寫入到日志目錄中，同時生成控制文件，將日志傳輸?shù)疆惖厝轂闹行膶膽梅掌魃?，在?jīng)過底層驅(qū)動的轉(zhuǎn)化后將數(shù)據(jù)變化寫入到容災節(jié)點相應的目錄中。當業(yè)務系統(tǒng)正常運行時，能夠在容災節(jié)點上打開容災演練模式進行查詢，若發(fā)現(xiàn)本地數(shù)據(jù)中心的應用服務器出現(xiàn)故障，造成了數(shù)據(jù)的丟失或丟失，能夠在容災演練模式下時間軸上任意時間點的數(shù)據(jù)進行回滾，當確定某一時間的數(shù)據(jù)的我們想要的，能夠?qū)?shù)據(jù)進行導出或是經(jīng)過容災恢復將該時間點的數(shù)據(jù)恢復到本地數(shù)據(jù)中心的服務器中，確保數(shù)據(jù)的安全，零丟失。技術(shù)特點：1、操作系統(tǒng)底層I/O數(shù)據(jù)截獲，僅復制變化數(shù)據(jù)，RPO\RTO接近0在進行數(shù)據(jù)同步時，LanderDisaster僅僅復制被更新的數(shù)據(jù)從而使被傳輸?shù)臄?shù)據(jù)量最小。它利用LanderSoft獨創(chuàng)的“DataPush”技術(shù)不間斷地將變化數(shù)據(jù)更快地“推送”到本地或遠程的一個多或多個站點上，當您的信息發(fā)生系統(tǒng)和站點故障或災難性數(shù)據(jù)損毀時，LanderDisaster能夠從備援站點中將數(shù)據(jù)恢復到故障發(fā)生前的任意時刻。2、存儲、服務器硬件環(huán)境無關(guān)性完全的WIN32/64bit平臺兼容性磁盤無關(guān)性，支持IDE,SCSI,SAN,ATA,SATA,SAS3、不需對系統(tǒng)做任何改變即可部署LanderDisaster容災模塊為XXXXXX醫(yī)院提供網(wǎng)格化的數(shù)據(jù)同步、異步復制及數(shù)據(jù)可實時回放的CDP功能，無需購入任何其它設(shè)備,LanderDisaster就能夠在現(xiàn)有系統(tǒng)中使用，可為您的系統(tǒng)環(huán)境提供數(shù)據(jù)復制、恢復和保護，從而最大限度的提高核心業(yè)務系統(tǒng)實時數(shù)據(jù)安全，并有效為您節(jié)省管理成本。4、傳輸數(shù)據(jù)的自動壓縮，降低帶寬占用LanderDisaster容災解決方案能為您的數(shù)據(jù)中心提供容災及數(shù)據(jù)移植的能力。在擁有足夠帶寬的情況下，LanderDisaster能夠?qū)崿F(xiàn)同步的復制。在廣域網(wǎng)環(huán)境中，可實現(xiàn)超遠距離的數(shù)據(jù)事實傳遞，并應用強大加密及數(shù)據(jù)壓縮功能，保障數(shù)據(jù)傳輸?shù)母甙踩?。與LanderCluster集群管理模塊集成，可實現(xiàn)本地及異地自動故障切換，達到應用級容災目的，從而增加可用性。5、支持不停機容災演練傳統(tǒng)CDP容災方案很難驗證數(shù)據(jù)是否可回滾并完整可操作，聯(lián)鼎CDP支持容災數(shù)據(jù)的實時演練，而且可在不中斷CDP運行的基礎(chǔ)上實現(xiàn)，解決了容災演練時業(yè)務系統(tǒng)必須暫時中斷運行來配合演練的停機風險，使實例性演練可實際進行并隨時操作，極大的提升了容災數(shù)據(jù)本身的可靠度，經(jīng)常性的演練也可增強在災難發(fā)生時處理的準確性和及時性。聯(lián)鼎CDP容災采用與生產(chǎn)運行系統(tǒng)分離的技術(shù)，能夠在完全不影響生產(chǎn)系統(tǒng)運行的情況下，進行完整的數(shù)據(jù)回滾演練及驗證，保障每一個回滾時間點的數(shù)據(jù)均是可用的。6、可自定義的恢復時間軸聯(lián)鼎CDP技術(shù)經(jīng)過可自定義的恢復時間軸為用戶提供了一個可自由操控的數(shù)據(jù)恢復點的連續(xù)體，時間軸可按用戶本身對核心數(shù)據(jù)保障可承受的范圍自主定義其回滾時限，在時間軸內(nèi)的所有數(shù)據(jù)變化將可完全追溯，精確到秒級。自定義的時間軸有效的平衡了用戶的存儲開銷與數(shù)據(jù)回復量，令用戶可最大化并最經(jīng)濟的持續(xù)保護數(shù)據(jù)。讓恢復做到完整、快速,節(jié)約存儲空間。7、獨創(chuàng)快速回滾技術(shù)傳統(tǒng)CDP技術(shù)實現(xiàn)較遠期的數(shù)據(jù)回滾需要占用大量時間，因此RTO往往無法滿足用戶需求，而聯(lián)鼎CDP經(jīng)過結(jié)合SmartSnapshoot技術(shù)，能夠?qū)崿F(xiàn)任意時間點數(shù)據(jù)回滾速度一致，極大的降低了回滾數(shù)據(jù)所需的RTO開銷。聯(lián)鼎CDP為用戶的關(guān)鍵業(yè)務應用服務器及相關(guān)的數(shù)據(jù)卷提供快速恢復與接管能力，提供快速的數(shù)據(jù)回滾，相較普通CDP產(chǎn)品要節(jié)約2/3左右的數(shù)據(jù)恢復時間。TURECDP技術(shù)保障數(shù)據(jù)可恢復到任意時間點：聯(lián)鼎獨特的CDP技術(shù)經(jīng)過捕捉磁盤塊級數(shù)據(jù)或元數(shù)據(jù)的變化事件（如創(chuàng)立、修改、刪除等），并對每一個變化的數(shù)據(jù)塊以毫秒級別標記時間戳并形成日志，同時實時將變化的數(shù)據(jù)塊同步至容災節(jié)點，在發(fā)生人為誤操作或各類邏輯錯誤時，容災節(jié)點即可實現(xiàn)秒級數(shù)據(jù)回滾與恢復，RPO≈0，而且保證恢復的數(shù)據(jù)實時可用，保障關(guān)鍵數(shù)據(jù)的不丟失。+++如果沒有集群，下面內(nèi)容能夠刪除。+++LanderCluster工作原理應用服務器服務器是醫(yī)院核心業(yè)務系統(tǒng)，為用戶直接提供服務，不允許出現(xiàn)業(yè)務中斷，防止單點故障。這里我們采用LanderCluster集群技術(shù)實時監(jiān)控業(yè)務系統(tǒng)服務器的運行情況，對核心業(yè)務進行定制監(jiān)控，在滿足觸發(fā)條件后自動切換到備用服務器或容災節(jié)點上，實現(xiàn)了業(yè)務的零中斷。如上圖：在XXXXXX醫(yī)院本地數(shù)據(jù)中心應用服務器上分別部署LanderCluster，實時監(jiān)控服務器狀態(tài)，核心應用狀態(tài)，當觸發(fā)任意監(jiān)控事件后，LanderCluster會自動將故障節(jié)點的業(yè)務流程切換到備用服務器上，實現(xiàn)業(yè)務不間斷運行，與LanderDisaster的無縫銜接保障醫(yī)院正常工作。技術(shù)特點：1、全新體系架構(gòu)創(chuàng)新的LanderCluster的體系結(jié)構(gòu)，以面向“對象”為核心，對象包括：IPAddress，Alias，Volume，Process，Service，CPU，Memory，Network等，每個對象都有自己的屬性、方法、事件。集群容器（Container）是一個大的接口池，集群負責管理這些對象的生命周期，為每一個對象提供接口服務。2、深度應用偵測代理高可用集群保護下的核心業(yè)務經(jīng)過代理（Agent）實時采集應用的運行態(tài)數(shù)據(jù)，結(jié)合“評價體系”來診斷系統(tǒng)可用性的?？捎眯灾笜朔譃閮深悾阂活愂墙Y(jié)果類，即模擬客戶端訪問是否成功，是否獲得期望的響應；另一類是風險類，體現(xiàn)的是系統(tǒng)當前運行態(tài)的風險指數(shù)，如應用的連接數(shù)、數(shù)據(jù)庫的存儲空間使用率、Web的訪問遲延、網(wǎng)絡的流量、CPU的負載、系統(tǒng)內(nèi)存的余量等等，這些因素都是系統(tǒng)能否正常工作的潛在風險，是進行故障預警的重要預測依據(jù)。3、強大的故障分級處理高可用集群模塊獨特的故障分級處理系統(tǒng)能夠滿足用戶自定義故障閥值，建立不同的故障評價標準，并對每一類故障進行自定義操作，提供最大的靈活性。同時系統(tǒng)提供豐富插件，為用戶提供精準的故障分析。4、增強的跨平臺集群系統(tǒng)集中管理LanderVault應用JAVA技術(shù)，實現(xiàn)全面的跨平臺管理，允許用戶在不同的平臺中統(tǒng)一的管理整個集群，在不同平臺中擁有統(tǒng)一界面，經(jīng)過增強的LanderVault集中管理平臺，用戶能夠全面集中監(jiān)控及管理資源組內(nèi)各臺服務器的存儲資源，網(wǎng)絡負載，系統(tǒng)進程，系統(tǒng)服務，并可對目標服務器的進程及服務進行操作，從而極大簡化集中管理的復雜度，實現(xiàn)合理資源配置。管理界面產(chǎn)品部署序號系統(tǒng)名稱主機機型操作系統(tǒng)所在機房說明1應用服務器1PC服務器本地數(shù)據(jù)中心放置本地數(shù)據(jù)中心，使用LanderCluster實現(xiàn)高可用集群2應用服務器2PC服務器本地數(shù)據(jù)中心3應用服務器虛擬容災節(jié)點智能鼎平臺異地容災中心放置在異地容災中心，與本地數(shù)據(jù)中心的LanderCluster集成CDP實現(xiàn)異地容災7虛擬機虛擬容災節(jié)點智能鼎平臺異地容災中心放置在異地容災中心，與本地數(shù)據(jù)中心的LanderCluster集成CDP實現(xiàn)異地容災注：方案列出應用服務器與虛擬及服務器的容災和高可用解決方案，其它系統(tǒng)也能夠按照同樣模式進行部署，實現(xiàn)本地高可用和異地應用容災效果。本地備份本地備份采用了一體機備份設(shè)備，部署存儲容量超過20TB，結(jié)合固化在系統(tǒng)內(nèi)的備份模塊，實現(xiàn)對本地核心業(yè)務數(shù)據(jù)庫、應用服務、WEB、PACS等醫(yī)院核心業(yè)務系統(tǒng)和虛擬機環(huán)境下各類應用的本地數(shù)據(jù)備份。該設(shè)備也能夠部署到異地容災機房，并接入云存儲平臺，實現(xiàn)異地數(shù)據(jù)備份功能。相關(guān)關(guān)鍵指標如下：設(shè)備配置描述：2U機架，雙路Intel至強四核處理器；32G內(nèi)存；120GB固態(tài)硬盤，2個千兆網(wǎng)絡接口，冗余熱插拔電源，內(nèi)置20TB存儲空間。設(shè)備包含主備份核心管理模塊，20個Windows/Linux環(huán)境的數(shù)據(jù)庫、文件備份客戶端（數(shù)據(jù)庫包括SQL、ORACLE、等）,滿足現(xiàn)有業(yè)務環(huán)境的需求。設(shè)備圖：備份策略規(guī)劃對于系統(tǒng)的備份能夠?qū)⒁獋浞莸臄?shù)據(jù)劃分成兩部分，一部分是基于文件系統(tǒng)的備份,包括純操作系統(tǒng)數(shù)據(jù)及基于文件的應用系統(tǒng)數(shù)據(jù)，另一部分是系統(tǒng)中基于數(shù)據(jù)庫的應用數(shù)據(jù)。對于上述兩部分數(shù)據(jù)基本的備份原則如下：第一部分數(shù)據(jù)中操作系統(tǒng)數(shù)據(jù)只有安裝系統(tǒng)軟件包或改變一些系統(tǒng)配置時才會改變，對于它的備份能夠比較靈活，只需要在系統(tǒng)變更后經(jīng)過LanderBackup選件進行一次操作系統(tǒng)全備份即可。對于基于文件的應用數(shù)據(jù)，它與應用密切相關(guān)，相對而言，它的數(shù)據(jù)變化也會頻繁。在這里，建議第一次做一次全備份，每天做增量備份，每周三在系統(tǒng)后臺自動做合并式增量備份。第二部分數(shù)據(jù)，其數(shù)據(jù)管理及格式與數(shù)據(jù)庫平臺密切相關(guān)，而且數(shù)據(jù)變化較頻繁，建議每周做一次全備份，每天做增量備份。自動備份策略當備份服務器和預定程序設(shè)置完成后，客戶機能夠選擇以下三種方式中的任何一種進行備份：在預定的時間啟動預定備份(自動備份模式)；在任何時間，經(jīng)過備份服務器端的WEB管理程序或命令行人工進行立即備份；客戶機上的用戶經(jīng)過客戶端程序連接備份服務器，并經(jīng)過安全認證啟動面向用戶的備份。在以上三種情況中，客戶機經(jīng)過TCP/IP將產(chǎn)生的備份數(shù)據(jù)傳送到智能鼎。備份類型選擇在備份類型選擇時，一般的規(guī)則是：對于一些日常數(shù)據(jù)更新量大，但總體數(shù)據(jù)量不是非常大的關(guān)鍵應用數(shù)據(jù)，可每天在用戶使用量較小的時候安排完全備份；對于日常更新量相對于總體數(shù)據(jù)量較小，而總體數(shù)據(jù)量非常大的關(guān)鍵應用數(shù)據(jù)，可每隔一個月或一周安排一次全備份，再此基礎(chǔ)上，每隔一個較短的時間間隔做增量備份。備份策略設(shè)計在進行數(shù)據(jù)備份時，聯(lián)鼎LIT備份服務器可根據(jù)用戶設(shè)置好的備份策略自動執(zhí)行數(shù)據(jù)備份。在進行數(shù)據(jù)備份策略的設(shè)計時，能夠?qū)I(yè)務數(shù)據(jù)每天、每周進行不同級別的增量備份，每個月、每個季度、每年進行一次數(shù)據(jù)的完全備份。由于系統(tǒng)中要做備份的服務器，每天都有一定量的信息數(shù)據(jù)產(chǎn)生，那么做每日增量備份，記錄每日系統(tǒng)的最新信息是必要的；對系統(tǒng)做每月、每季度、每年的完全備份是出于恢復方便考慮，恢復數(shù)據(jù)時，首先恢復最近的一次數(shù)據(jù)全備份，數(shù)據(jù)全備份會在每個月和每個星期的末尾進行。然后，依次恢復之后的增量備份，直至故障發(fā)生時為止。系統(tǒng)管理員不必使用任何其它歷史資料，就能夠?qū)ο到y(tǒng)進行完全恢復，簡單便捷。另外，在執(zhí)行一段時間的增量備份后，可考慮定期執(zhí)行差分備份。容災配合LanderBackup與LanderDisaster之間相互配合，使用LanderBackup能夠恢復幾周或幾個月以前固定時間點的數(shù)據(jù)，再經(jīng)過LanderDisaster恢復當天任意時間點的數(shù)據(jù)，保障XXXXXX醫(yī)院實現(xiàn)零丟失。產(chǎn)品部署由于當前沒有部署完整本地數(shù)據(jù)備份系統(tǒng)，因此，建議將智能鼎設(shè)備部署在本地數(shù)據(jù)中心樓機房內(nèi)。經(jīng)過千兆網(wǎng)絡鏈路，將本地重要數(shù)據(jù)，包括ORACLE數(shù)據(jù)庫數(shù)據(jù)、重要系統(tǒng)文件，備份到智能鼎，本地不需要部署額外的服務器、網(wǎng)絡設(shè)備、存儲設(shè)備及備份軟件。這樣架構(gòu)上，是一個性價比非常好的解決方案，在不需要單獨購買備份服務器和備份存儲設(shè)備，直接經(jīng)過聯(lián)鼎一體化的數(shù)據(jù)安全策略，實現(xiàn)了數(shù)據(jù)保護的安全策略。備份部署參考下表：序號系統(tǒng)名稱應用名稱操作系統(tǒng)數(shù)據(jù)庫備份方式1數(shù)據(jù)庫服務器PC服務器WindowsORACLE數(shù)據(jù)庫備份1應用服務器1PC服務器N/A文件備份2應用服務器2PC服務器N/A文件備份3WEB服務器1PC服務器N/A文件備份1WEB服務器2PC服務器N/A文件備份1其它服務器1PC服務器N/A文件備份1其它服務器2PC服務器N/A文件備份容災系統(tǒng)拓撲圖++根據(jù)方案畫出整體拓撲圖，特別重要。++配置清單編號產(chǎn)品數(shù)量說明1萬兆網(wǎng)絡交換機2云存儲數(shù)據(jù)鏈路2云存儲平臺1云存儲設(shè)備組，包括1個管理節(jié)點和2個數(shù)據(jù)節(jié)點3容災智能鼎平臺2容災管理平臺，每個設(shè)備能夠部署多個虛擬容災節(jié)點，實現(xiàn)對業(yè)務系統(tǒng)的雙活容災4備份智能鼎平臺1備份管理平臺，配置一個完成對業(yè)務系統(tǒng)、虛擬機環(huán)境的數(shù)據(jù)備份方案總結(jié)本方案是一個高度集成化的容災系統(tǒng)建設(shè)方案，具有可靠性高、部署維護容易、投資成本低、擴展性強等諸多優(yōu)點。在不影響現(xiàn)有業(yè)務系統(tǒng)的情況下，能夠完成容災中心建設(shè)，整個容災平臺是由可堆疊的一組設(shè)備組成，不需要單獨部署軟件和其它設(shè)備。主要體現(xiàn)在以下幾個方面：低TCO和投資保護：本建議方案架構(gòu)能夠在保證靈活性和擴展性的前提下，為用戶節(jié)省大量投資，用戶不需要額外購買軟件、硬件。相對于采用其它解決方案建立同樣性能的災備系統(tǒng)，費用可節(jié)省30%左右；可靠性高：整個容災系統(tǒng)架構(gòu)在云存儲平臺之上，容災節(jié)點和存儲節(jié)點均可冗余部署，平臺的硬件故障不會對整個體系構(gòu)成影響；擴展性強：方案建立的是一個通用容災平臺，能夠非常容易的在在該平臺上增加新的容災服務，而不需要額外購買設(shè)備；部署容易：方案做到對現(xiàn)有業(yè)務系統(tǒng)影響最小，整個容災平臺建設(shè)大部分主機環(huán)境能夠經(jīng)過集成P2V工具、在線數(shù)據(jù)遷移工具完成容災環(huán)境搭建，不需要改變現(xiàn)有系統(tǒng)架構(gòu)，也不需要額外購買設(shè)備。管理容易：平臺建設(shè)完成后，用戶能夠經(jīng)過一個統(tǒng)一管理界面，對整個容災環(huán)境，甚至本地數(shù)據(jù)中心系統(tǒng)進行統(tǒng)一管理監(jiān)控。實施方案略產(chǎn)品概要++根據(jù)方案產(chǎn)品進行組織++LanderVault簡述LanderVault系列產(chǎn)品，定位于保障企業(yè)級核心應用與數(shù)據(jù)安全，經(jīng)過最大程度縮短企業(yè)核心業(yè)務停頓及全面保護企業(yè)重要數(shù)據(jù)安全，達到減小企業(yè)重要信息資產(chǎn)損失的目的。LanderVault是一款集合高可用集群、數(shù)據(jù)復制、備份和系統(tǒng)容災功能于一體的數(shù)據(jù)安產(chǎn)品集，是先進的一體化智能安全管理平臺綜合性解決方案。數(shù)據(jù)安全系列產(chǎn)品包括如下體系：LanderVault：統(tǒng)一集中管理平臺Cluster高可用集群系統(tǒng)Replicator數(shù)據(jù)實時復制系統(tǒng)Backup數(shù)據(jù)備份系統(tǒng)Disaster應用級容災系統(tǒng)功能模塊介紹統(tǒng)一集中管理平臺：LanderVaultLanderVault管理平臺是一個基于Java虛擬機的跨平臺管理端，它將用戶的關(guān)鍵業(yè)務按照業(yè)務邏輯分組（BusinessGroup）管理，在一個控制臺上，能方便地部署數(shù)據(jù)安全產(chǎn)品，能夠隨時監(jiān)控主機系統(tǒng)信息、網(wǎng)絡信息、存儲信息、進程信息和服務等信息，能夠?qū)?shù)據(jù)安全產(chǎn)品進行管理及控制。LanderVault是聯(lián)鼎軟件數(shù)據(jù)安全產(chǎn)品的管理平臺，主要實現(xiàn)如下功能：集中管理遠程管理跨平臺管理管理和監(jiān)控服務器管理和配置集群系統(tǒng)管理和配置復制系統(tǒng)管理和配置備份系統(tǒng)管理和配置容災系統(tǒng)管理事務日志管理系統(tǒng)告警（郵件，聲音，短消息）管理許可證Cluster高可用集群系統(tǒng)全新的landercluster高可用集群系統(tǒng)在LanderVault體系中負責全面監(jiān)控及保障用戶核心應用，應用創(chuàng)造性的“故障分級”概念，獨特的“故障預警”功能在核心系統(tǒng)處于危險的狀態(tài)下及時發(fā)出“警告”，并在必要的情況下自動執(zhí)行精確而迅速的故障隔離及應用轉(zhuǎn)移，保障用戶核心應用7×24小時持續(xù)可靠運作，可支持多達256個節(jié)點的應用。Replicator網(wǎng)格化數(shù)據(jù)復制系統(tǒng)Replicator網(wǎng)格化數(shù)據(jù)復制系統(tǒng)在LanderVault體系中負責為您提供基于網(wǎng)格化的數(shù)據(jù)同步復制及數(shù)據(jù)可實時回放的CDP功能，無需購入任何其它設(shè)備,Replicator就能夠在現(xiàn)有系統(tǒng)中使用，從而為您節(jié)省成本。Replicator數(shù)據(jù)復制系統(tǒng)解決方案能為您的數(shù)據(jù)中心提供容災及數(shù)據(jù)移植的能力。在擁有足夠帶寬的情況下，Replicator系統(tǒng)能夠?qū)崿F(xiàn)同步的復制。與landercluster集群管理系統(tǒng)集成，可自動將故障切換到鏡像的熱備服務器，從而增加可用性。在進行同步時，Replicator系統(tǒng)僅僅復制被更新的數(shù)據(jù)從而使被傳輸?shù)臄?shù)據(jù)量最小。Backup數(shù)據(jù)備份系統(tǒng)Backup數(shù)據(jù)備份系統(tǒng)在LanderVault體系中負責為企業(yè)備份和恢復數(shù)據(jù)提供了一個高性價比的解決方案，Backup系統(tǒng)能夠適應復雜的Linux、Windows環(huán)境提供安全的數(shù)據(jù)保護，直觀靈活的圖形用戶界面能夠幫助企業(yè)管理備份和恢復的方方面面，能夠安全的保護企業(yè)最重要的信息資產(chǎn)，確保數(shù)據(jù)的完整性與高可用性。Disaster應用級容災系統(tǒng)Disaster應用級容災系統(tǒng)在LanderVault體系中負責為企業(yè)提供了一個全面的，安全的，更高效而易于使用的容災解決方案，為企業(yè)在遠程數(shù)據(jù)保護，核心應用保障，虛擬環(huán)境下的業(yè)務安全提供可靠而廣泛的支持。Disaster應用級容災系統(tǒng)使用了獨創(chuàng)的“時間漏斗”功能，能夠支持更快