通用备份容灾方案模板

年4月19日通用备份容灾方案模板文档仅供参考，不当之处，请联系改正。方案模板（适合政府、公安、医院等）XXXXX用户信息系统数据安全方案建议书上海联鼎软件股份有限公司方案制作：张成方上海10月目录15531.需求说明 4301651.1.项目背景 442911.2.实现目标 4323121.3.环境概述 6174801.4.待解决问题 7110682.容灾概述 8239702.1.概述 863022.2.灾难恢复和业务持续性的区别 864832.3.我们对灾难恢复的认识 9188522.4.数据库容灾的几种实现方式 1128372.5.有效的容灾方案应有特点 12211262.6.容灾系统的设计指标 1341203.方案设计 15138623.1.设计概述 1562393.2.设计思想 15252113.3.设计原则 18102383.4.方案说明 19187793.4.1.方案综述 19141463.4.2.数据库服务器容灾 20165183.4.3.应用及虚拟机应用容灾 2343543.4.4.本地备份 29274263.5.容灾系统拓扑图 3222313.6.配置清单 34163943.7.方案总结 34281684.实施方案 3570695.产品概要 3545795.1.LanderVault简述 352375.2.功能模块介绍 3644625.2.1.统一集中管理平台：LanderVault 3634535.2.2.Cluster高可用集群系统 37320715.2.3.Replicator网格化数据复制系统 37317365.2.4.Backup数据备份系统 37265995.2.5.Disaster应用级容灾系统 38136965.2.6.备份一体化平台 38317995.2.7.容灾一体化平台 39119055.2.8.分布式存储 3914155.2.9.ORACLE逻辑复制AliveDB 40294956.公司简介 42

需求说明项目背景（根据项目情况，简单描述用户情况，能够网上摘录，最好贴近用户实际信息系统现状和发展规划）XXXXXX医院经过几十年，几代儿医人的艰苦奋斗、无私奉献，从稚嫩一步一步走向成熟。现在医院已成为一所学科齐全，拥有大量专业人才和先进医疗设备，技术先进的综合性医院。联鼎做为医疗行业用户的IT解决方案提供商,我们为大型的服务用户，提供的一种增值数据安全保障服务，一般高级别的数据安全体系建设需要大量的资金投入，针对不同系统规模，投入可能从几十万到几百万。联鼎十几年积累的技术和产品，具有稳定可靠、架构伸缩灵活、高性价比的特点，能够根据不同规模用户环境和不同等级保护要求进行灵活部署，满足广泛的需求，并能节省大量IT投入。本方案正是经过对医院用户的软、硬件产品及网络环境的综合考察，结合实际环境的情况提出的。我们力图提供一套完备、基于容灾技术、智能化、易管理的数据安全环境，而且尽我们的力量来充分体现我们在存储软件领域中的扎实功底和及时到位的技术支持服务，为医院用户信息系统数据安全保障建设提出合理的解决方案。我们为医院用户提出建立一套基于云存储架构的数据安全体系，能够实现从本地高可用、本地容灾，到异地应用级容灾。能够实现双活容灾、两第三中心数据保护平台建设。信息系统中数据安全是本方案关注的核心。实现目标本建议方案针对医院信息系统中数据及应用部分满足国家信息安全等级保护制度的第三级要求而制定的。三级等保在数据安全及备份恢复包括数据完整性（S3）、数据保密性（S3）、备份和恢复（A3）几个方面。数据完整性(S3)应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施；应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。数据保密性(S3)应采用加密或其它有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；应采用加密或其它保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。备份和恢复(A3)应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放；应提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地；应采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障；应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。我们提出的方案实现的安全级别要高出三级等保要求许多，比如能够应用或系统故障实现秒级切换，数据逻辑错误能够实时回滚，而且核心业务系统能够做到双活容灾。还能够经过部署备份系统，实现多层次的本地、异地数据及应用的保护。一般医院的数据中心拥有相当数量的核心业务服务器、存储、网络系统，当前基本上还没有完整的数据安全体系，任何人为的操作错误、软件缺陷、硬件故障、电脑病毒、骇客攻击、自然灾难等诸多因素，均有可能造成数据的丢失和业务的停止，从而给业务系统造成无法估量的损失。信息系统架构的合理性，系统的安全性、可靠性和最优TCO是本方案的总体目标。需要逐步建立一个能够满足业务持续发展需要、具有一定先进性、易于管理维护、扩展性强的数据安全体系。环境概述医院现规划有本地数据中心和异地容灾中心两个机房，其中本地数据中心有数据库级应用服务器共4台，和虚拟机环境上的近30个应用，异地容灾中心设计规划包含服务期、存储及相应网络环境（这部分内容方案汇总方能够根据实际情况调整，但规划的应用容灾实实现上，现仅需在异地机房部署与本地业务系统相对应的物理服务器或者虚拟机，配置上不需要数量与本地数据中心一致）。本地数据中心环境：数据库服务器为PC服务器，经过冗余SAN区域存储网络连接到核心存储设备，Windows操作系统和ORACLE数据库应用服务器为PC服务器，拥有强劲的CPU和足够的内存空间WEB服务器为PC服务器，足够的内存空间病毒服务器主审计服务器其它服务器等核心存储设备网络系统网络安全设备（或者以列表方式描述环境，参考列表如下）：编号品牌型号操作系统软件应用数据库RPORTO说明1HPRx4640HP-UX工商业务ORACLE10G0<10分钟MCServiceGuard存储EVA80002HPRx4640HP-UX12315ORACLE10G0<10分钟MCServiceGuard存储EVA8000参考拓扑图如下：（完成现有环境架构图，下图为参考）待解决问题本地业务持续性保护当任何服务器或应用由于人为或者意外原因造成宕机，都会影响到用户正常访问服务器业务，需要有针对整个系统各个核心业务系统的高可用保护手段，同时应避免高可用短板。本地数据保护本地服务器上拥有大量的各类业务数据，比如HIS、PACS等，这些数据在意外丢失时，必须要有一个快速本地数据恢复的手段，确保在任何意外情况下能够进行本地数据恢复。灾难恢复服务器的数据库和应用即使有本地备份手段，依然无法避免本地机房发生灾难的情况下的业务和数据保障，而异地数据和业务的保护手段就是容灾，本方案讨论的就是异地应用级双活容灾。容灾能够分为多个级别，本方案实现的是最高级别的应用级容灾。容灾概述本章节内容能够根据项目情况删减，或者不用。概述数据是整个系统运作的核心。人为的操作错误，软件缺陷，硬件故障，电脑病毒，骇客攻击，自然灾难等诸多因素，均有可能造成数据的丢失，从而给整个系统造成无法估量的损失。一般容灾系统能够简单的分为数据容灾和应用级容灾，对于医院这样的业务环境，按照国家规定，需要满足等级保护要求，需要建立一个达到应用级容灾的多层次数据保护体系，达到或超过卫生部要求全国卫生行业各单位信息安全等级保护工作的标准。灾难恢复和业务持续性的区别很多人认为灾难恢复（DisasterRecovery）和业务持续性（BusinessContinuity）是同一个概念。实际上它们并不完全一样，当然，它们共同的目标是IT建设中，为了最坏的情况发生而作的准备。业务持续性（BusinessContinuity）是针对潜在的包括停电这样能够造成系统停止运行的风险而提出的概念。针对业务持续性的问题包括：业务系统持续性的实施计划是什么？在问题出现时，谁负责在最短的时间内按照流程将系统恢复工作？在特殊情况下，比如灾难的发生需要做什么？多长时间能够使系统重新启动工作？诸如此类的问题。比如：集群就是业务持续性保护手段的一种。而灾难恢复（DisasterRecovery)是更高级别的安全保护手段，是针对更加严重的情况发生，如何保证系统持续提供服务，而且有完整的数据存在。那么我们必须知道：IT系统怎样从灾难发生后，进行数据的恢复？采用什么样的技术来达到这样的目标？什么样的应用需要在灾难发生时，进行切换，如何切换？用户如何访问容灾中心的系统？诸如此类的问题。而灾难恢复的实现，则主要经过远程数据复制和应用切换来实现。我们看到，灾难恢复部分包含了业务持续性，比如应用级容灾就包括了业务持续性概念，它除了强调系统的远端冗余，更要求能够有完整的数据可供服务。而业务持续性更加强调系统持续提供服务的能力。二者都需要对系统运行环境存在的风险进行分析，做出投资决策。我们对灾难恢复的认识我们对灾难恢复有多年的积累，包括用于在灾难发生情况下减少宕机时间计划和技术手段。一个灾难恢复系统从结构上主要包括远端容灾中心，它能够在本地系统发生问题时，在最短的时间内接管本地的关键业务。从业务规划角度，远端的容灾中心应该足够的远，越远越安全。系统在一公里、几公里范围内是无法达到容灾要求的，比如区域停电怎么办？那么长期的全局数据安全规划怎么实现呢，真正容灾的保护需要跨区、跨省、甚至跨越国家来实现。很多全球化企业就是这么做的。因此灾难恢复环境的实现，需要做到数据复制和应用切换两个环节：数据复制：指在异地保证各个系统关键数据和状态参数的一致，根据其实现的方法来分能够是软件的方式，也能够是硬件的方式。软件方式是在主系统和容灾系统的主机上，安装专用的数据复制软件。这种方式的特点是成本较低。可是存在需要占用一定系统资源的问题，随着系统硬件处理能力的提升，这些已经不是问题，因此，这种高性价比的解决方案正在成为大多用户的首选。硬件方式的数据复制，是数据经过存储阵列控制器直接在存储设备之间传输，由于数据复制是由光纤通道存储阵列控制器完成，因此不占用服务器内存等的硬件资源，也不须由操作系统进行管理和控制，对操作系统资源不会造成占用，对系统效率也不会造成影响，但这种方式无法确保数据库的一致性，并在有些异常情况下，数据库无法正常打开。同时根据实现的步骤，也能够分为同步复制（实时容灾）和异步复制（异步容灾）。同步复制是安全级别最高的工作方式，工作时主系统主机向本地的存储设备发送一个I/O请求时，这个请求同时被传送到容灾系统的存储设备中，等到2个存储设备都处理完成后，才向主系统主机返回确认信号。这一机制确保在两个存储设备中的数据在数据块级别的高度一致。而异步复制的工作机制是主系统内主机与存储设备间的I/O处理与数据复制过程无关，也就是说，主机无须等待远端存储设备完成I/O处理，只要本地主系统存储设备完成I/O处理后，即向主系统主机发送确认信号。这样，虽然主系统与容灾系统之间数据复制的通讯效率会提高，可是2个存储设备中的数据就可能存在不一致，这也就是采用异步复制机制的代价。软件方式对传输控制更加灵活，方案采用的联鼎LanderDisaster能够实现同步传-同步写、同步传、异步写、异步传-同步写、异步传-异步写，满足各种网络环境的需求，比如，网络在工作时间段内繁忙，则能够定义在网络空闲情况下进行传递，而在备机，由于引入了时间漏斗概念，能够灵活定义时间漏斗大小，确保在漏斗内的数据能够灵活恢复，满足了在逻辑错误发生时，能够灵活恢复到指定时间点。LanderDisaster同时提供了多种容灾实现手段，包括：基于文件I/O变化捕捉的LanderDisaster复制方式，这种方式完全与应用、数据库无关，实现通用环境的软件容灾，适用于各类数据库和文件环境。基于数据库日志传递、控制，而实现的高灵活性数据库容灾软件LanderDisaster,嵌入了传输加密、压缩、CDP功能，适用于ORACLE、SQLServer数据库环境的容灾。应用切换：即当某个具体应用在一个系统中失效之后，能够在另外一个系统中启动切换并接管该网络服务。每次进行事务处理时，数据均同步更新。当主业务中心发生灾难时，远程备份中心子系统中的数据将安然无恙，而且经过备用主机连接而保证数据的可用。自动的存储子系统故障恢复和故障返回功能允许在线操作继续进行，只需要将客户端与远程子系统重新连接即可恢复业务运作。经过建立额外的镜像，该方案可实现并行操作。LanderCluster是联鼎十几年技术积累结晶的旗舰产品，与复制产品完美集成，能够使容灾部署更加方便、科学、可靠。容灾考量重要指标：RPO（RecoveryPointObjective）：即数据恢复点目标，主要指的是核心业务系统所能容忍的数据丢失量。RTO（RecoveryTimeObjective）：即恢复时间目标，主要指的是所能容忍的业务停止服务的最长时间，也就是从灾难发生到业务系统恢复服务功能所需要的最短时间周期。这两个指标值越低，容灾质量越高，需要根据实际情况选择部署策略。数据库容灾的几种实现方式由于绝大多数用户核心业务是基于数据库环境的，而数据库容灾是容灾环境中的关键。当前数据库容灾主要有以下三种方式实现：基于存储I/O复制实现，比如本方案涉及到的LanderReplicator这种方式是经过底层驱动截获I/O变化，将该变化写成日志，存放在单独的目录中，将日志传输到备机后，经过底层驱动将日志写入到备机，这种方式能够和LanderCluster有效的相结合，实时的保证了数据的一致性和业务的不间断性。基于数据库可回滚的容灾方式，比如本方案涉及到的LanderDisaster，这种方式是经过底层驱动截获I/O变化，将变化写入日志，生成控制文件，将日志传输到备机后日志会保留设置时间轴长度时间，能够在备机进行容灾演练，回滚时间轴上任意时间点数据，无限次回滚，会打开备机数据库，方便管理员查询，能够将确认回退好的数据同步到主机，这种方式有效的解决了数据的完整，可回退，备机可查询。基于日志挖掘的数据库逻辑复制方式，比如本方案涉及到的联鼎AliveDB，这种方式是经过对本机数据库日志挖掘，分离出数据库具体的内部操作指令，并将过滤过的操作传递到异地数据库上。能够跨越不同的操作系统平台，跨越不能的Oracle版本，同时对网络带宽依赖较低，支持数据表、过程、触发器等关键的数据对象，是标准的数据库双活，容灾端能够提供实时的数据查询及报表业务等，在生产机出现故障时容灾机能够立即接管，稳定性极高，这种方式充分的利用了容灾端的计算能力，提高数据同步的效率，减少带宽的使用率，高效的提升系统整体的业务处理能力。有效的容灾方案应有特点正如我们前面提到的，新的需求需要我们换种新的思路来考虑。在讨论如何以创新的思维来建立一个容灾项目之前，让我们先看一下理想容灾项目要的标准是什么：灾难备份中心运行在远地环境，而且能够在灾难发生后，在很短的时间内上线（分钟级别）；应该尽量避免数据丢失，或者数据丢失在最小状态；应用系统切换工作必须尽量减少人工操作，以提高效率；数据一致性必须有保障；对生产服务器的影响应该最小，或不构成任何影响。容灾系统的设计指标要建设容灾工程必须提出容灾系统设计指标，作为衡量和选择容灾解决方案的参数。当前，国际上通用的容灾系统的评审标准为Share78：备份/恢复的范围灾难恢复计划的状态业务中心与容灾中心之间的距离业务中心与容灾中心之间如何相互连接数据是怎样在两个中心之间传送的允许有多少数据被丢失怎样保证更新的数据在容灾中心被更新容灾中心能够开始容灾进程的能力Share78只是建立容灾系统的一种评审标准，在设计容灾系统时，还需要提供更加具体的设计指标。建立容灾系统的最终目的，是为了在灾难发生后能够以最快的速度恢复数据服务，因此，容灾中心的设计指标主要与容灾系统的数据恢复能力有关。最常见的设计指标有：RTO和RPO。各种容灾解决方案的RTO有较大差别，基于光通道技术的同步数据复制，配合异地备用的业务系统和跨业务中心与备份中心的高可用管理，这种容灾解决方案具有最小的RTO。容灾系统为获得最小的RTO，同样需要投入大量资金。RPO反映恢复数据完整性的指标，在同步数据复制方式下，RPO等于数据传输时延的时间，在异步数据复制方式下，RPO基本为异步传输数据排队的时间。实际应用中，考虑到数据传输因素，业务数据库与容灾备份数据库的一致性（SCN）是不相同的，RPO表示业务数据库与容灾备份数据库的SCN的时间差。发生灾难后，启动容灾系统完成数据恢复，RPO就是新恢复业务系统的数据损失量。从经济角度考虑，最佳的容灾解决方案不一定是性能最好的容灾解决方案，容灾系统的总体投入TCO和投资回报ROI，对于许多用户来说是十分重要的设计指标。TCO包括建立系统、维护系统和扩充系统的总投入，由于容灾系统的启用概率很低，新技术的发展和新产品的性能价格比的提高，必定造成容灾设备的贬值。因此，对于容灾系统TCO越高，ROI越低。我们的观点是对于系统规模不大的情况下，容灾系统建设投入，应该控制在主系统投入的30%左右，如果超过将得到非常差的RIO。由于业务不同模式的IT系统在升级过程中，会采用新技术和新产品，业务系统任何变动都会引起容灾系统相应的变化，势必加大系统升级的投入。要想把这种变化的影响降低到最小，容灾系统的灵活性和兼容性也应该是十分重要的指标。综上所述，进行容灾系统设计时，必须根据企事业的业务系统的使用情况，综合考虑地理环境、网络条件、投资规模、业务系统长远发展规划等各种因素，制定合理的可行的容灾系统设计指标。方案设计设计概述综合考虑“技术、成本、融合、发展”因素，运用成熟、可靠、先进、安全的技术和产品，既能适应当前对技术及管理的特定需要，又能满足未来业务扩张、技术产品升级的发展要求。合理控制总体拥有成本（TCO），有效提高工作效率和服务质量、显著降低维护成本和管理复杂度，实现最大投资回报（ROI）。设计思想数据安全体系架构是一项系统工程，包括系统持续提供服务能力、数据本地安全、数据异地保护以及应用级容灾。我们在架构数据安全体系的时候，必须从基础架构做起，建立一套具有高度伸缩性、稳固性、可管理性、最优化TCO和服务保障的系统。大多数用户在系统建立初期，由于各种限制，导致系统建设存在各种安全隐患，资源不能有效利用、管理难度大、扩展性不佳等系列问题，使得IT管理者疲于奔命。根据我们多年的行业经验，在虚拟化和云计算大潮延伸到各行业的今天，我们有更多的手段和理由来建立一个科学架构的数据安全体系，应主要从以下几个层面入手。系统持续服务能力系统持续服务能力是计算机系统运行的基本要求，单纯依靠服务器本身的可靠性很难达到预期，一般的做法是采用集群技术。集群技术实现了应用的虚拟化，软件的监视程序监视群集中每一个节点状态，而且对出现的故障很快地做出反应，使应用程序不会因为任何单点故障而停止服务，确保整个系统在任何服务器故障的情况下，灵活切换到其它服务器上运行。而且能够灵活增加服务器节点。联鼎集群产品LanderCluster是LanderVaultV4.0家族中的旗舰模块，凝聚了联鼎十五年的技术积累，是当前市场上最优秀的集群软件产品之一。数据本地安全数据本地安全主要是经过备份手段，将关键的业务数据、系统数据，备份到备份介质上，而且在数据丢失或者不可恢复的情况下，快速进行数据恢复。本地数据安全关注的重点在备份恢复速度、备份可靠性上。如果能够建立一个能够按需分配、自我管理的云备份模式，将更适应未来的发展。这样的体系下，能够任意增加备份客户端，客户端包括桌面用户和服务器应用。当前常见的解决方案依然是经过部署备份软件达到本地数据安全目的，常见的备份软件都能达到本地数据备份的要求，当然，还有一中软硬件一体化解决方案，由于其高性价比的特点，被越来越多的采用。联鼎推出的智能鼎设备就是一款非常有特点的产品，在诸多的大型用户环境中得到使用。详细设备信息请参考附件。本地数据保护的内容是本方案要讨论的核心之一。数据异地保护也称为异地数据容灾，是在本地数据保护的基础之上，在异地机房部署一个备份策略，实现本地数据直接传输到异地机房，在本地应用系统故障的情况下，能够直接切换到异地容灾节点使业务正常使用，这个是实现异地容灾的必要手段，是在本地备份系统已经相当完善的情况下，更高级的数据安全手段。应用级容灾应用级容灾是数据保护的最高级别，是针对关键业务系统灾难情况下的异地保护手段。一般这些方案在金融、证券等涉及民生、国家安全的行业中采用。但随着计算机技术的发展，当前大多数的用户在完成前面几步数据安全体系建设后，开始考虑建立应用容灾系统。云存储体系容灾中心的存储架构的合理性是整个灾备中心安全型和伸缩性的基础保障。云存储云一体化方案部署需要具有以下特点：采用云平台作为灾备中心提供一体化平台，满足虚拟化数据中心对容灾环境云主机和云存储的应用需求；采用分布式存储系统具有高吞吐、海量空间、极易扩展等优势，满足云平台提供弹性、安全的高可用存储需求；基础架构清晰合理；既满足虚拟化、文件等非结构化数据存储的大容量和方便部署管理，又能满足核心数据库的性能业务需求；弹性部署，管理便捷；根据业务规模与需求，灵活扩展计算资源与存储资源。由于现在有更多的优秀解决方案，我们把容灾系统建设做为重点讨论问题之一。下图为云存储架构容灾中心平台逻辑图：设计原则+++本章节内容能够根据项目情况删除+++本次项目，我们在具体设计方案时，制定了如下的方案设计原则。这些原则也本身都是从用户实际需求出发，并着眼于配合今后业务发展所必须的数据中心的建设要求。一是开放性原则系统的开放性必须建立在标准化基础之上，依据当前信息化建设的国际标准、国家标准、卫生标准组织实施。开放性体现选用产品方面，经过将市场上最好的各类产品组合起来，来构建完整的系统框架。二是先进性原则在选择核心技术时，充分考虑采用当前最前沿的技术和产品，以确保系统的先进性。同时，先进技术的应用还必须充分考虑到相关技术的成熟性，以便确保整个系统建成后的长期稳定、正常运转。三是可靠性原则系统的各个架构层不但是整体的组成部分，同时也是一个相对独立的工作过程，在系统设计时应当充分考虑到各架构层在运转过程中产生的故障对系统整体效能的影响，尽力避免系统瘫痪情况的发生。四是扩展性原则由于医院业务在实际工作中还将不断发展，具体业务需求不可能经过一次整理就全部完成，因此系统设计、开发和相关技术的选择必须具有比较强大的扩展能力，为今后系统局部调整或升级留有余地，并能够满足不同系统的需要，以适应业务工作的可持性发展。五是安全性原则采用合适的技术和方案加强数据的安全防护，尽力避免因遭攻击而受到破坏。同时在出现故障时，能在较短时间内实现数据恢复。以上几点是构建数据安全体系的几个要点，按照本方案的思路，能够做到有计划、有步骤的实施，最后达到建立包括应用级容灾的完整数据安全体系。因为联鼎是一家专业提供完整的自主研发的一体化软件产品解决方案厂商，只需要在同一个管理平台下，就能够完成对整个数据安全体系的架构和管理操作，真正实现一体化的数据安全体系。方案说明方案综述++针对用户环境对方案思路进行综合阐述++结合XXXXXX医院实际环境，综合对医院现有系统环境进行分析，为保障业务持续不间断的运行，数据的安全可靠，本地灾难发生时业务不间断等设计目标，我们推荐以下方案，确保XXXXXX医院整体业务系统安全高效的运行。结合现在本地数据中心的环境，分别部署了以下几个方面的策略：在灾备中心部署云存储平台，建立高度可靠、可伸缩的存储体系，做到存储冗余，可存放虚拟化容灾节点在线数据、虚拟机容灾数据、备份数据和其它必要的应用。采用智能鼎备份一体机实现本地数据备份，对关键业务系统数据文件和数据库进行本地数据保护。作为多层次数据保护体系的最后一层保护是必须具备的手段。采用智能鼎容灾一体机作为异地容灾平台，与云存储形成高度可靠和可扩展的容灾系统，对本地数据中心的核心业务服务器进行灵活容灾部署。针对不同类型应用能够采用不同的容灾策略。采用LanderDisaster容灾模块，对数据库服务器、应用服务器等本地关键业务进行异地应用级容灾保护，确保本地灾难，该业务能够在容灾中心启动，实现准双活容灾；采用AliveDB模块，实现对核心业务数据库ORACLE的双活容灾，容灾中心的对应服务器ORACLE数据库能够实时访问。采用LanderCluster集群模块对应用服务器、WEB服务器等关键业务进行高可用性保护，确保任何一台服务器宕机，都不会影响业务的运行。集群模块用于对整个数据中心、灾备中心服务器及应用的状态监控、实时应用切换。能够在统一平台上，对整个数据中心业务系统进行管理，并能够制定自定义事件。经过这样部署，实现了本地和异地的整体安全保障，使医院信息系统达到相当高的安全级别。该安全平台均在联鼎一体化管理平台LanderVault下进行部署和管理，是真正的一体化数据安全平台和体系。本方案架构对本地数据中心不造成任何影响，不需要改变现有架构，不需要在本地数据中心增加任何硬件设备，是当前最容易部署的容灾备份解决方案。总体设计方案如下表：序号系统名称应用名称RTORPO容灾方式1数据库服务器核心数据库小于10分钟秒级逻辑复制双活容灾1应用服务器1中间件小于10分钟秒级CDP双活容灾2应用服务器2中间件小于10分钟秒级CDP双活容灾3WEB服务器1网站服务小于10分钟秒级CDP双活容灾1WEB服务器2网站服务小于10分钟秒级CDP双活容灾1其它虚拟机服务器1-N审计、OA等小于10分钟秒级CDP双活容灾（根据系统重要程度进行选择性容灾数据库服务器容灾数据库服务器安装Oracle，经过冗余的SAN交换机将数据存放在生产存储上，为了更好的保护数据，经过联鼎AliveDB逻辑复制技术将本地数据中心Oracle直接捕获源数据库的交易，将数据库的改变经过逻辑复制到异地容灾中心对应虚拟容灾节点数据库中,同时容灾中心数据库处于活动状态，实现双活容灾。AliveDB能够实现跨操作系统平台、跨数据库版本容灾部署，同时在部署时，不需要停止生产数据库，数据初始同步能够在线完成，是同类软件不具备的功能特点。逻辑复制管理界面：联鼎AliveDB逻辑复制客户端部署在本地数据中心的两台PC服务器上，本地生产端的进程对OracleRedo日志进行实时监控和分析，然后将这些交易指令和交易数据经过格式转化后实时经过网络传输到容灾机中，容灾端经过校验码检查确认，确认是正确的数据库包后，调用Oracle函数安装交易的先后顺序在容灾机系统中执行交易，能够及时对容灾端数据库进行更新。同时本地和异地的Oracle数据库都是打开状态，是标准的数据库双活，容灾端能够提供实时的数据查询及报表业务等日志抓取AliveDB对数据的抓取是经过安装在DataSource端的Agent模块定时分析OracleRedoLog来获取DataSource端的交易类型及数据的。AliveDBAgent在判断DataSource端的Oracle系统是否有新的交易产生时是经过定期检查OracleControlefile中记录的当前SCN号来判断的，这样避免每次检都经过读取log文件来判断否有新的交易产生时造成的系统影响。在Controlefile中确认有新的交易产生时，能够同时获得当前的RedoLog组，以及最新日志在日志文件的最新位置。AliveDBAgent模块根据这些信息将上次抓取时记录的日志位置与本次读取的最新位置之间的Log读取并加以分析。然后将这些数据保存在OnlineLogCache文件中，等待下一步作交易合成处理。日志分析Oracle数据库的所有更改都记录在日志中，其中记录了对数据库中的每一个变化。当我们候需要需要了解数据库中所作的交易时，一个最有效实用而又低成本的方法就是分析Oracle数据库的日志文件。AliveDBAgent中集成了优秀的日志分析功能，该功能完全不同于oracle提供的Logminer日志分析工具，在性能和功能上都大大提高，主要体现在系统性能的优化上，大幅度提高日志分析的速度，使得对于高并发业务系统的复制成为可能。按照AliveDB的日志分析设计目标，每秒能够分析的日志量达到10M/s。AliveDB经过对日志的分析，得到该数据库中的每个SQL指令，并将这些SQL指令生成专有格式的表示方式，从而在分析和转载时需要最小的转化，提高分析和装载速度，减少资源占用、丰富能够表示的各种数据类型。事务合成经过ORACLEREDOLOG分析的交易指令存在如下的几个特点：（1）这些指令是交叉出现的，属于一个交易（Transaction）的多条SQL指令是非连续存储的，多个交易的SQL之间是相互穿插的；（2）Redolog中记录了所有的commit的交易以及没有commit的交易；因此，为了提高系统的可控制性、保证逻辑完整性、避免数据丢失，最好将复制的最小单位为一个交易（Transaction），而不是以单个SQL指令为复制单位，这样在DataTarget端的交易装载更加容易控制。同时，对于复制的数据而言，只有那些Commit的数据对于DataTarget端系统是有意义的，而对于那些Rollback的数据无需复制到Datatarget系统上。因此AliveDB在复制过程中不是复制每个SQL语句，而是对抓取的数据进行交易整合后以交易（Transaction）为单位进行复制，同时只复制COMMIT的交易。在OnlineLogCache文件中，包括Commit的交易，没有Commit的交易和Rollback的交易。交易合成模块首先按照交易序号对SOL语句进行划分，每个交易包含多条SOL语句。然后，以交易为单位进行处理，将已经Commit的交易，传至传输处理模块；将未提交的交易保存在本地，一旦经过日志得知保存的未提交交易已提交，立即将该交易发送到传输处理模块；对Rollback的交易作丢弃处理。产品部署序号系统名称主机机型操作系统所在机房说明1核心数据库PC服务器Windows本地数据中心放置本地数据中心，安装Oracle2核心数据库PC服务器Windows本地数据中心3虚拟容灾节点智能鼎平台异地容灾中心放置在异地容灾中心，与本地数据中心的Oracle实现逻辑复制部署AliveDB模块应用及虚拟机应用容灾本地数据中心应用服务器经过LanderCluster实现本地集群，同时经过LanderDisaster实现异地应用容灾。本地业务系统产生的数据经过LanderDisasterCDP容灾技术将数据传输到异地容灾中心，医院管理员能够经过容灾演练查看时间轴上任意时间点上的数据，不影响数据的传输，当本地数据中心数据出现问题时，能够经过LanderDisaster技术将异地容灾中心的数据回滚到放生事故的时间点，经过容灾恢复将数据恢复到本地数据中心数据库服务器上，实现了异地数据可查询，容灾演练，故障恢复和数据的零丢失。LanderDisaster工作原理如上图所示：LanderDisasterCDP灾软件分别部署在本地数据中心应用服务器和异地容灾中心应用服务器上，每当生产节点产生数据时，LanderDisasterCDP容灾软件经过底层驱动捕获I/O变化，将变化的事务经过驱动写入到日志目录中，同时生成控制文件，将日志传输到异地容灾中心对应的应用服务器上，在经过底层驱动的转化后将数据变化写入到容灾节点相应的目录中。当业务系统正常运行时，能够在容灾节点上打开容灾演练模式进行查询，若发现本地数据中心的应用服务器出现故障，造成了数据的丢失或丢失，能够在容灾演练模式下时间轴上任意时间点的数据进行回滚，当确定某一时间的数据的我们想要的，能够将对数据进行导出或是经过容灾恢复将该时间点的数据恢复到本地数据中心的服务器中，确保数据的安全，零丢失。技术特点：1、操作系统底层I/O数据截获，仅复制变化数据，RPO\RTO接近0在进行数据同步时，LanderDisaster仅仅复制被更新的数据从而使被传输的数据量最小。它利用LanderSoft独创的“DataPush”技术不间断地将变化数据更快地“推送”到本地或远程的一个多或多个站点上，当您的信息发生系统和站点故障或灾难性数据损毁时，LanderDisaster能够从备援站点中将数据恢复到故障发生前的任意时刻。2、存储、服务器硬件环境无关性完全的WIN32/64bit平台兼容性磁盘无关性，支持IDE,SCSI,SAN,ATA,SATA,SAS3、不需对系统做任何改变即可部署LanderDisaster容灾模块为XXXXXX医院提供网格化的数据同步、异步复制及数据可实时回放的CDP功能，无需购入任何其它设备,LanderDisaster就能够在现有系统中使用，可为您的系统环境提供数据复制、恢复和保护，从而最大限度的提高核心业务系统实时数据安全，并有效为您节省管理成本。4、传输数据的自动压缩，降低带宽占用LanderDisaster容灾解决方案能为您的数据中心提供容灾及数据移植的能力。在拥有足够带宽的情况下，LanderDisaster能够实现同步的复制。在广域网环境中，可实现超远距离的数据事实传递，并应用强大加密及数据压缩功能，保障数据传输的高安全。与LanderCluster集群管理模块集成，可实现本地及异地自动故障切换，达到应用级容灾目的，从而增加可用性。5、支持不停机容灾演练传统CDP容灾方案很难验证数据是否可回滚并完整可操作，联鼎CDP支持容灾数据的实时演练，而且可在不中断CDP运行的基础上实现，解决了容灾演练时业务系统必须暂时中断运行来配合演练的停机风险，使实例性演练可实际进行并随时操作，极大的提升了容灾数据本身的可靠度，经常性的演练也可增强在灾难发生时处理的准确性和及时性。联鼎CDP容灾采用与生产运行系统分离的技术，能够在完全不影响生产系统运行的情况下，进行完整的数据回滚演练及验证，保障每一个回滚时间点的数据均是可用的。6、可自定义的恢复时间轴联鼎CDP技术经过可自定义的恢复时间轴为用户提供了一个可自由操控的数据恢复点的连续体，时间轴可按用户本身对核心数据保障可承受的范围自主定义其回滚时限，在时间轴内的所有数据变化将可完全追溯，精确到秒级。自定义的时间轴有效的平衡了用户的存储开销与数据回复量，令用户可最大化并最经济的持续保护数据。让恢复做到完整、快速,节约存储空间。7、独创快速回滚技术传统CDP技术实现较远期的数据回滚需要占用大量时间，因此RTO往往无法满足用户需求，而联鼎CDP经过结合SmartSnapshoot技术，能够实现任意时间点数据回滚速度一致，极大的降低了回滚数据所需的RTO开销。联鼎CDP为用户的关键业务应用服务器及相关的数据卷提供快速恢复与接管能力，提供快速的数据回滚，相较普通CDP产品要节约2/3左右的数据恢复时间。TURECDP技术保障数据可恢复到任意时间点：联鼎独特的CDP技术经过捕捉磁盘块级数据或元数据的变化事件（如创立、修改、删除等），并对每一个变化的数据块以毫秒级别标记时间戳并形成日志，同时实时将变化的数据块同步至容灾节点，在发生人为误操作或各类逻辑错误时，容灾节点即可实现秒级数据回滚与恢复，RPO≈0，而且保证恢复的数据实时可用，保障关键数据的不丢失。+++如果没有集群，下面内容能够删除。+++LanderCluster工作原理应用服务器服务器是医院核心业务系统，为用户直接提供服务，不允许出现业务中断，防止单点故障。这里我们采用LanderCluster集群技术实时监控业务系统服务器的运行情况，对核心业务进行定制监控，在满足触发条件后自动切换到备用服务器或容灾节点上，实现了业务的零中断。如上图：在XXXXXX医院本地数据中心应用服务器上分别部署LanderCluster，实时监控服务器状态，核心应用状态，当触发任意监控事件后，LanderCluster会自动将故障节点的业务流程切换到备用服务器上，实现业务不间断运行，与LanderDisaster的无缝衔接保障医院正常工作。技术特点：1、全新体系架构创新的LanderCluster的体系结构，以面向“对象”为核心，对象包括：IPAddress，Alias，Volume，Process，Service，CPU，Memory，Network等，每个对象都有自己的属性、方法、事件。集群容器（Container）是一个大的接口池，集群负责管理这些对象的生命周期，为每一个对象提供接口服务。2、深度应用侦测代理高可用集群保护下的核心业务经过代理（Agent）实时采集应用的运行态数据，结合“评价体系”来诊断系统可用性的。可用性指标分为两类：一类是结果类，即模拟客户端访问是否成功，是否获得期望的响应；另一类是风险类，体现的是系统当前运行态的风险指数，如应用的连接数、数据库的存储空间使用率、Web的访问迟延、网络的流量、CPU的负载、系统内存的余量等等，这些因素都是系统能否正常工作的潜在风险，是进行故障预警的重要预测依据。3、强大的故障分级处理高可用集群模块独特的故障分级处理系统能够满足用户自定义故障阀值，建立不同的故障评价标准，并对每一类故障进行自定义操作，提供最大的灵活性。同时系统提供丰富插件，为用户提供精准的故障分析。4、增强的跨平台集群系统集中管理LanderVault应用JAVA技术，实现全面的跨平台管理，允许用户在不同的平台中统一的管理整个集群，在不同平台中拥有统一界面，经过增强的LanderVault集中管理平台，用户能够全面集中监控及管理资源组内各台服务器的存储资源，网络负载，系统进程，系统服务，并可对目标服务器的进程及服务进行操作，从而极大简化集中管理的复杂度，实现合理资源配置。管理界面产品部署序号系统名称主机机型操作系统所在机房说明1应用服务器1PC服务器本地数据中心放置本地数据中心，使用LanderCluster实现高可用集群2应用服务器2PC服务器本地数据中心3应用服务器虚拟容灾节点智能鼎平台异地容灾中心放置在异地容灾中心，与本地数据中心的LanderCluster集成CDP实现异地容灾7虚拟机虚拟容灾节点智能鼎平台异地容灾中心放置在异地容灾中心，与本地数据中心的LanderCluster集成CDP实现异地容灾注：方案列出应用服务器与虚拟及服务器的容灾和高可用解决方案，其它系统也能够按照同样模式进行部署，实现本地高可用和异地应用容灾效果。本地备份本地备份采用了一体机备份设备，部署存储容量超过20TB，结合固化在系统内的备份模块，实现对本地核心业务数据库、应用服务、WEB、PACS等医院核心业务系统和虚拟机环境下各类应用的本地数据备份。该设备也能够部署到异地容灾机房，并接入云存储平台，实现异地数据备份功能。相关关键指标如下：设备配置描述：2U机架，双路Intel至强四核处理器；32G内存；120GB固态硬盘，2个千兆网络接口，冗余热插拔电源，内置20TB存储空间。设备包含主备份核心管理模块，20个Windows/Linux环境的数据库、文件备份客户端（数据库包括SQL、ORACLE、等）,满足现有业务环境的需求。设备图：备份策略规划对于系统的备份能够将要备份的数据划分成两部分，一部分是基于文件系统的备份,包括纯操作系统数据及基于文件的应用系统数据，另一部分是系统中基于数据库的应用数据。对于上述两部分数据基本的备份原则如下：第一部分数据中操作系统数据只有安装系统软件包或改变一些系统配置时才会改变，对于它的备份能够比较灵活，只需要在系统变更后经过LanderBackup选件进行一次操作系统全备份即可。对于基于文件的应用数据，它与应用密切相关，相对而言，它的数据变化也会频繁。在这里，建议第一次做一次全备份，每天做增量备份，每周三在系统后台自动做合并式增量备份。第二部分数据，其数据管理及格式与数据库平台密切相关，而且数据变化较频繁，建议每周做一次全备份，每天做增量备份。自动备份策略当备份服务器和预定程序设置完成后，客户机能够选择以下三种方式中的任何一种进行备份：在预定的时间启动预定备份(自动备份模式)；在任何时间，经过备份服务器端的WEB管理程序或命令行人工进行立即备份；客户机上的用户经过客户端程序连接备份服务器，并经过安全认证启动面向用户的备份。在以上三种情况中，客户机经过TCP/IP将产生的备份数据传送到智能鼎。备份类型选择在备份类型选择时，一般的规则是：对于一些日常数据更新量大，但总体数据量不是非常大的关键应用数据，可每天在用户使用量较小的时候安排完全备份；对于日常更新量相对于总体数据量较小，而总体数据量非常大的关键应用数据，可每隔一个月或一周安排一次全备份，再此基础上，每隔一个较短的时间间隔做增量备份。备份策略设计在进行数据备份时，联鼎LIT备份服务器可根据用户设置好的备份策略自动执行数据备份。在进行数据备份策略的设计时，能够对业务数据每天、每周进行不同级别的增量备份，每个月、每个季度、每年进行一次数据的完全备份。由于系统中要做备份的服务器，每天都有一定量的信息数据产生，那么做每日增量备份，记录每日系统的最新信息是必要的；对系统做每月、每季度、每年的完全备份是出于恢复方便考虑，恢复数据时，首先恢复最近的一次数据全备份，数据全备份会在每个月和每个星期的末尾进行。然后，依次恢复之后的增量备份，直至故障发生时为止。系统管理员不必使用任何其它历史资料，就能够对系统进行完全恢复，简单便捷。另外，在执行一段时间的增量备份后，可考虑定期执行差分备份。容灾配合LanderBackup与LanderDisaster之间相互配合，使用LanderBackup能够恢复几周或几个月以前固定时间点的数据，再经过LanderDisaster恢复当天任意时间点的数据，保障XXXXXX医院实现零丢失。产品部署由于当前没有部署完整本地数据备份系统，因此，建议将智能鼎设备部署在本地数据中心楼机房内。经过千兆网络链路，将本地重要数据，包括ORACLE数据库数据、重要系统文件，备份到智能鼎，本地不需要部署额外的服务器、网络设备、存储设备及备份软件。这样架构上，是一个性价比非常好的解决方案，在不需要单独购买备份服务器和备份存储设备，直接经过联鼎一体化的数据安全策略，实现了数据保护的安全策略。备份部署参考下表：序号系统名称应用名称操作系统数据库备份方式1数据库服务器PC服务器WindowsORACLE数据库备份1应用服务器1PC服务器N/A文件备份2应用服务器2PC服务器N/A文件备份3WEB服务器1PC服务器N/A文件备份1WEB服务器2PC服务器N/A文件备份1其它服务器1PC服务器N/A文件备份1其它服务器2PC服务器N/A文件备份容灾系统拓扑图++根据方案画出整体拓扑图，特别重要。++配置清单编号产品数量说明1万兆网络交换机2云存储数据链路2云存储平台1云存储设备组，包括1个管理节点和2个数据节点3容灾智能鼎平台2容灾管理平台，每个设备能够部署多个虚拟容灾节点，实现对业务系统的双活容灾4备份智能鼎平台1备份管理平台，配置一个完成对业务系统、虚拟机环境的数据备份方案总结本方案是一个高度集成化的容灾系统建设方案，具有可靠性高、部署维护容易、投资成本低、扩展性强等诸多优点。在不影响现有业务系统的情况下，能够完成容灾中心建设，整个容灾平台是由可堆叠的一组设备组成，不需要单独部署软件和其它设备。主要体现在以下几个方面：低TCO和投资保护：本建议方案架构能够在保证灵活性和扩展性的前提下，为用户节省大量投资，用户不需要额外购买软件、硬件。相对于采用其它解决方案建立同样性能的灾备系统，费用可节省30%左右；可靠性高：整个容灾系统架构在云存储平台之上，容灾节点和存储节点均可冗余部署，平台的硬件故障不会对整个体系构成影响；扩展性强：方案建立的是一个通用容灾平台，能够非常容易的在在该平台上增加新的容灾服务，而不需要额外购买设备；部署容易：方案做到对现有业务系统影响最小，整个容灾平台建设大部分主机环境能够经过集成P2V工具、在线数据迁移工具完成容灾环境搭建，不需要改变现有系统架构，也不需要额外购买设备。管理容易：平台建设完成后，用户能够经过一个统一管理界面，对整个容灾环境，甚至本地数据中心系统进行统一管理监控。实施方案略产品概要++根据方案产品进行组织++LanderVault简述LanderVault系列产品，定位于保障企业级核心应用与数据安全，经过最大程度缩短企业核心业务停顿及全面保护企业重要数据安全，达到减小企业重要信息资产损失的目的。LanderVault是一款集合高可用集群、数据复制、备份和系统容灾功能于一体的数据安产品集，是先进的一体化智能安全管理平台综合性解决方案。数据安全系列产品包括如下体系：LanderVault：统一集中管理平台Cluster高可用集群系统Replicator数据实时复制系统Backup数据备份系统Disaster应用级容灾系统功能模块介绍统一集中管理平台：LanderVaultLanderVault管理平台是一个基于Java虚拟机的跨平台管理端，它将用户的关键业务按照业务逻辑分组（BusinessGroup）管理，在一个控制台上，能方便地部署数据安全产品，能够随时监控主机系统信息、网络信息、存储信息、进程信息和服务等信息，能够对数据安全产品进行管理及控制。LanderVault是联鼎软件数据安全产品的管理平台，主要实现如下功能：集中管理远程管理跨平台管理管理和监控服务器管理和配置集群系统管理和配置复制系统管理和配置备份系统管理和配置容灾系统管理事务日志管理系统告警（邮件，声音，短消息）管理许可证Cluster高可用集群系统全新的landercluster高可用集群系统在LanderVault体系中负责全面监控及保障用户核心应用，应用创造性的“故障分级”概念，独特的“故障预警”功能在核心系统处于危险的状态下及时发出“警告”，并在必要的情况下自动执行精确而迅速的故障隔离及应用转移，保障用户核心应用7×24小时持续可靠运作，可支持多达256个节点的应用。Replicator网格化数据复制系统Replicator网格化数据复制系统在LanderVault体系中负责为您提供基于网格化的数据同步复制及数据可实时回放的CDP功能，无需购入任何其它设备,Replicator就能够在现有系统中使用，从而为您节省成本。Replicator数据复制系统解决方案能为您的数据中心提供容灾及数据移植的能力。在拥有足够带宽的情况下，Replicator系统能够实现同步的复制。与landercluster集群管理系统集成，可自动将故障切换到镜像的热备服务器，从而增加可用性。在进行同步时，Replicator系统仅仅复制被更新的数据从而使被传输的数据量最小。Backup数据备份系统Backup数据备份系统在LanderVault体系中负责为企业备份和恢复数据提供了一个高性价比的解决方案，Backup系统能够适应复杂的Linux、Windows环境提供安全的数据保护，直观灵活的图形用户界面能够帮助企业管理备份和恢复的方方面面，能够安全的保护企业最重要的信息资产，确保数据的完整性与高可用性。Disaster应用级容灾系统Disaster应用级容灾系统在LanderVault体系中负责为企业提供了一个全面的，安全的，更高效而易于使用的容灾解决方案，为企业在远程数据保护，核心应用保障，虚拟环境下的业务安全提供可靠而广泛的支持。Disaster应用级容灾系统使用了独创的“时间漏斗”功能，能够支持更快