一、项目概述

峨眉山市中医医院双活数据中心容灾系统(一期)交换机、服务器采购

1.         建设原则

医院信息化建设极其复杂,两地三中心的建设,不仅仅涉及应用系统技术、架构和部署,而且涉及到基础设施如网路、存储、数据库等,投资规模大、建设周期长、投资回报不明显特征,因此根据医院实际需求和公司建设该类项目的经验,建设本项目应当遵循:

1.1.             安全可靠

建设两地三中心的首要目的,就是满足信息化系统能在极端条件下能保证数据安全可靠、应用能提供持续的业务服务,因此,在该项目建设上,应当选择安全可靠的建设方案和产品予以支持项目建设;

1.2.             实用先进

两地三中心项目建设主要涉及到软件架构、网络设施完善、存储系统完善,目前信通公司产品从技术架构已经支持多中心运行模式,但网络和存储的多中心架构需要购买硬件设施,高端网络设备和存储设备价值昂贵,在安全可靠的前提下,本着节约投资、减少浪费的原则,选择实用先进、稳定可靠的网络设施和存储设备,是项目建设需要遵循的原则。

1.3.             统一运维

两地三中心项目建成后,日常的运行维护日益重要,建成在极端情况下能发挥功能的灾备中心需要持续的运维,避免出现需要用时才发现灾备中心已经失效的情形出现,因此,主中心、灾备中心需要统一管理和监控,出现故障后,需要进行修复和维护。

1.4.             分期建设

两地三中心项目投资大,建议分两期进行建设。

 

2.         需求分析

2.1.             用户现状

2.1.1.                 网络方面

峨眉中医院当前核心交换机既处于核心层面又处于汇聚层面,而且网络节点之间未做任何冗余设计。网络架构并非合理的核心层、汇聚层、接入层的三层架构,网络架构不清晰、合理,汇聚层和核心层界限模糊,单点故障隐患多,任意一点故障,就会波及全院网络。

目前,医院内部业务系统和外部网络交互多,如(健康养生平台、微信挂号缴费等),未实现有效的内外网隔离机制。

内部数据防护显得尤为重要。医院目前使用了防火墙和***检测,安全防护功能单薄,不能阻断大部分***。

2.1.2.                 存储方面

                         

医院现在有一套存储设备用于HISLISPACS等生产系统的数据库存储,并兼具PACS的影像文件存储。

该架构下,存储稳定性、SAN交换机或HBA卡是整个信息化的单点故障,一旦磁盘阵列出现故障,则全院业务系统也会中断,而且恢复时间长。对医院造成非常大的损失。

 

2.1.3.                 应用方面

数据库

如上图所示,医院核心业务系统采用了Oracle RAC技术,两台服务器同时工作,提供了数据库的高可用,即使一台服务器出现故障,另一台服务器也能提供服务,为业务持续性提供了保障。

应用软件

医院生产环境采用了3HP38X系列构建了虚拟化环境,基于XenServer技术实现了服务器虚拟化,在整个虚拟化环境中,建立了11个虚拟机,构成了为HISLISEMR、物流、OA等提供服务的应用集群。为医院节省大量资源,不会应为单台物理机宕机而造成业务中断。

2.2.             用户需求

医院信息化目前存在的主要问题,归纳如下:

1.      网络上缺乏层次,核心、汇聚和接入角色未分清楚,且未做到冗余;

2.      存储上,生产中心存在存储单点故障问题;

3.      未在同城建立实时容灾中心,未在异地建立容灾中心。

其实,上述问题归纳到一点就是系统冗余问题,即未建立多套同样或能力相当的冗余系统。

为解决以上问题,医院拟采用“两地三中心”的数据中心解决方案,即同城的两个数据中心与异地的第三个数据中心之间进行“3站点”的数据容灾,如下图所示:

两地三中心的逻辑架构

两地三中心的数据中心工作要点:

a)       平常主数据中心提供主要的业务处理,同城容灾中心提供数据查询、报表统计类业务,因此也叫双活数据中心。

b)       主数据中心实时地将数据变化同步到同城容灾中心,保持主中心和同城容灾中心的数据一致性,并在主数据中心不能工作的时候,能快速接管并承担主数据中心的职责,为全院提供业务服务,切换操作在数分钟内完成。

c)       主数据中心或同城容灾中心定时将数据以全量或增量方式同步到异地容灾中心,使得发生区域性事故时,数据仍然可用、安全。有条件的情况下,也可以将异地容灾中心做成实时异地容灾中心,不过投资大。建议异地容灾中心做成定时全量或增量备份。

d)       主数据中心和同城实时容灾中心,除部署数据库服务保证数据服务的高可用外,还部署应用服务集群,以及前端负载均衡服务器来实现业务分流。

3.         建设内容

基于上述需求分析,需要建设如下内容:

1.      上层应用层面以及底层存储的双活系统,保障医院主要业务系统如HISLISPACSRISEMR的可靠性。

2.      按三层架构组网,且实现院内双核心网络连接生产中心和同城实时容灾中心,以改善现有网络环境。

3.      让具有冗余架构的高性能交换机保障全院网络的高可靠性。

4.      高性能负载均衡集群,部署在生产中心与同城实时容灾中心。

4.         网络建设方案

4.1.             总体建设目标

基于医院目前网络现状和未来业务发展的要求,在本次网络设计构建中,拟建成:

1.       具有高度可靠、稳定运行、性能优良、开放标准、分层接入的网络架构。

2.       最大限度地支持医院各业务系统的正常运行。必须满足7×24×365小时连续运行的要求。在故障发生时,网络设备可以快速自动地切换到备份设备上;

4.2.             详细建设目标

根据峨眉山中医院网络现况,提出以下建设目标:

1.       整网使用三层架构组网,分核心层、汇聚层和接入层;

2.       核心网络采用万兆骨干、千兆接入的连接方式;

3.       内网部署双核心以及设备虚拟化技术保障整网系统的可靠性;

4.       内网部署双汇聚以及设备虚拟化技术保障整网系统的可靠性;

5.       核心层以及汇聚层使用高性能交换机承载业务;

6.       增加网闸设备保障内外网互联的安全性;

4.3.             网络改造方案

整网使用三层组网架构,即接入层、汇聚层、核心层。接入层放置医院楼层弱电井用于接入各终端;汇聚层使用高性能交换机收敛端口,减轻核心层负担。并使用虚拟化技术提供设备可靠性。核心层采用高性能双引擎交换机,同时采用虚拟化技术保障核心数据转发的高可靠性。同时针对医院内外网物理隔离的环境,使用网闸(考虑冗余)设备保障内网外联的环境。

l       内网核心层

核心交换机采用三层插卡式网络核心交换机,支持独立的控制引擎和接口业务板等,用户可以根据需求选择单引擎或双引擎,单交换网板或多交换网板,根据业务系统需求选择不同类型的千兆或万兆或40G100G、光端口或电端口等。根据不同的业务场景不同的业务需求可以选择不同类型的配置,同时后期扩展方便无忧,采用多引擎、多交换网板的方式还可以极大的保证网络设备工作的可靠性。极大提升了系统带宽和演进能力,整机容量可平滑扩展。核心交换机必须采用无单点故障设计,所有关键部件,如主控板、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;核心交换机可以在恶劣的环境下长时间稳定运行,达到99.999%的电信级可靠性。

支持横向虚拟化技术将多台高端设备虚拟化为一台逻辑设备,在可靠性、分布性和易管理性方面具有强大的优势,主要体现在三个方面:

     可靠性:通过专利的路由热备份技术,在整个虚拟架构内实现控制平面和数据平面所有信息的冗余备份和无间断的三层转发,极大的增强了虚拟架构的可靠性和高性能,同时消除了单点故障,避免了业务中断;

     分布性:通过分布式跨设备链路聚合技术,实现多条上行链路的负载分担和互为备份,从而提高整个网络架构的冗余性和链路资源的利用率;

     易管理性:整个弹性架构共用一个IP管理,简化网络设备管理,简化网络拓扑管理,提高运营效率,降低维护成本。

通过横向虚拟化技术可以将核心交换机虚拟为一台设备,提供网络系统的可靠性和简化网络管理。

支持一虚多虚拟化技术,可以通过MDC技术实现正真的1N个虚拟化,即把一台交换机虚拟成N台互相独立的虚拟交换机,不同于传统的交换机虚拟化技术,MDC虚拟出的每台交换机之间物理隔离、安全隔离,拥有独立的硬件资源和管理权限,满足多业务客户共享核心交换机的需求,这样,一方面可以充分利用核心交换机的能力达到隔离复用的作用,另一方面也降低了用户的投资成本,一举两得。

l       内网汇聚层

汇聚层采用多端口、三层、高性能的千兆以太网交换机交换机,具备高性能、高端口密度且易于安装的网络环境而设计的智能型可网管交换机。产品基于强大的统一交换平台,实现有线无线的无缝融合。集成无线控制功能,实现接入层无线/有线本地转发,消除无线控制带宽瓶颈,扩大无线部署规模,节省用户投资成本。

交换机提供10/100/1000Base-T自适应以太网端口或10GE SFP+光口,并通过子卡可支持10GE电口、40GE QSFP+光口。在企业网中,可以作为接入设备提供千兆到桌面应用,或作为中小企业的核心;在城域网或者行业用户中,向下可以提供千兆接入最终用户或汇接低端交换机,向上可以通过万兆或40GE光纤或者链路聚合汇聚到核心交换,支持创新的VxLAN技术,可以同时支持VxLAN二三层网关。

l       出口安全设计

内网外互联区域部署网闸安全产品抵御来自外部的***威胁;对外网用户WEB上网行为管理和控制。

随着IT建设的不断深化发展,很多组织的内部网络与外部网络之间需要交换的信息越来越多,传统的方式很难兼顾安全隔离与信息交换两者的需求,更缺乏对信息安全的严格审查,极易导致***代码的流入和重要信息的泄漏。

网闸产品在确保用户内外网TCP/IP协议彻底阻断的情况下,提供HTTPSMTPPOP3FTPORACLEFileSync等应用级检测通道。在屏蔽会话层以下网络威胁的前提下,对内外网交互数据进行严格的访问控制和日志审计。

5.         应用双活建设方案

 

5.1.             生产中心双机双存储

数据库高可用

目前生产中心由于是双SAN交换机单存储架构,因此生产中心采用双存储架构,形成生产中心双机双SAN交换机双存储——即三双架构。

应用软件高可用

目前已经通过3380服务器(单CPU64G内存)提供虚拟化物理设施,为了能高效支持全院业务,建议加强、增配应用服务器虚拟化环境,搭建高可用虚拟化平台,完善应用服务器集群和负载均衡集群。在应用服务器、数据库服务器、负载均衡服务器上,完全消除单点故障。

架构特点

通过ORACLE数据库软件自带的功能,生产中心实现数据在2SAN存储上的相同存储(两个存储具有相同的内容)。

□负载均衡、应用服务器、数据库服务器、数据存储均无单点故障。

5.2.             同城灾备中心双机单存储

数据库高可用

考虑到医院投资问题,建议同城灾备中心建成实时灾备中心。通过ORACLE数据库带的Active DataGuard功能实现生产中心和同城实时灾备中心间的数据实时同步。同城灾备中心满足如下的架构:

特别说明:如果医院投资足够的前提下,可按照生产中心的三双架构进行建设。

应用软件高可用

为了能完全接管生产中心的业务,建议建设应用服务器虚拟化集群环境,搭建虚拟化平台,建设应用服务器集群和负载均衡集群。当生产中心完全失效后,客户端通过指向本容灾中心的负载均衡集群上,访问灾备中心提供的数据服务,实现业务快速恢复。

架构特点

□本灾备中心通过ORACLE Active DataGuard与生产中心实现数据实时同步,生产中心已经实现了高可用,即使发生生产中心完全宕机的情况下,本灾备中心同样能接管全院的业务需求,保持业务连续性;

与生产中心数据实时保持同步,要求两中心间网络带宽、存储IO性能接近。

5.3.             异地灾备中心

如果投资预算足够,建议考虑租用电信或移动公司的云平台,用以存储医院定时做的增量备份和全备份文件。

 

5.4.             服务器虚拟化技术特点

部署服务器虚拟化管理平台,用作实现对硬件资源的虚拟化,以及对虚拟资源、业务资源、用户资源的集中管理。同时为上层云管理平台提供统一的接口,支持不同业务调度与应用部署。可使虚拟机能在数据中心漂移,保障业务连续性。应用双活平台支持以下功能:

5.4.1.                 虚拟化资源池

服务器虚拟化使计算资源池化后形成云主机资源池,虚拟化系统基于KVM架构,通过云主机承载XXX业务系统应用。服务器虚拟化系统实现了各子系统的计算资源和存储资源的动态伸缩和分配管理,便于按上层业务应用系统需求灵活分配资源。规划部署计算资源池时,要参考安全保护要求,使整个虚拟化系统需具有以下特点:

   通过虚拟机HA、虚机热迁移、存储热迁移功能,能够有效减少设备故障时间,确保核心业务的连续性,避免传统IT,单点故障导致的业务不可用。

   易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。

   便于业务的快速发放, 缩短业务上线周期,高度灵活性与平滑可扩展性,提高管理维护效率。

   利用云计算虚拟化技术可自动化并简化资源调配,实现分布式动态资源优化,智能地根据应用负载进行资源的弹性伸缩,从而大大提升系统的运作效率,使 IT 资源与业务优先事务能够更好地协调。

5.4.2.                 虚拟化安全隔离

为了满足各个租户之间的相互独立,互相不影响。通过虚拟化隔离、VLAN/VxLan网络划分、安全组隔离手段保障计算、存储、管理、接入等域的安全隔离。按照安全等级不同划分逻辑隔离的主机资源池,对应相同级别的业务系统可通过虚拟机部署于同一级别资源池,业务虚拟机仅能在相同级别主机池内迁移。虚拟化平台提供包括CPU调度、内存、内部网络隔离和磁盘I/O、虚机存储的安全隔离。

图  租户虚拟化安全隔离

5.4.3.                 虚拟机/存储热迁移

提供基于共享存储的迁移以便满足数据中心虚拟化项目的业务连续性要求。虚拟机热迁移特性是指在使用同一共享存储的主机之间将处于运行态的虚拟机由当前所在的主机迁移到另一台主机上,在迁移的过程中不影响用户对虚拟机的使用。

在对主机进行维护操作前将该主机上的虚拟机迁移到其他主机上,然后再作维护,可以降低因主机维护造成的用户业务中断。通过将繁忙的主机上的虚拟机迁移到空闲的主机上,可以提升虚拟机用户的感受,并使全局业务均衡。通过将空闲主机上的虚拟机聚拢到几台主机上,然后将没有负载的主机关闭,可以降低数据中心的电能消耗。

在虚拟机正常运行时,通过管理员手动操作,将虚拟机的卷迁移至其他存储单元中,可以在虚拟化平台下的同一个存储设备内、或不同存储设备间进行在线迁移。存储迁移带宽可控,避免对正常业务产生影响,支持跨集群迁移。存储热迁移技术便于对现有存储系统的扩容,减容,便于存储系统的更新换代。

5.4.4.                 虚拟机高可靠HA

图  虚拟机高可靠HA

虚拟化平台提供故障自动迁移(虚拟机HA(HighAvailable))机制,可提升虚拟机的可用度,允许虚拟机出现故障后能够重新在资源池中自动启动虚拟机。

系统周期检测虚拟机状态,当物理服务器宕机、系统软件故障等引起虚拟机故障时,系统可以将虚拟机迁移到其他物理服务器重新启动,保证虚拟机能够快速恢复。系统能够检测到的引起虚拟机故障的原因包括物理硬件故障、系统软件故障。

5.4.5.                 虚拟机规格动态调整

虚拟机根据应用系统的性能需求,虚拟化平台可以灵活调整虚拟机的配置规格,包括调整vCPU个数,内存大小,网卡个数、磁盘卷个数,调整虚拟卷的大小, 纵向扩展有效保证单个虚拟机QoS。虚拟机快照备份技术。

虚拟化平台自带虚拟机快照备份系统,不需要与第三方的备份软件结合,也不需要额外费用,备份系统就可以对虚机卷(包括系统卷和/或数据卷)数据进行备份。备份过程不需要终端用户参与,也不需要在VM里安装代理,且不影响生产系统的运行。当生产系统由于意外丢失VM卷数据时,系统管理员可以通过本地备份系统恢复VM卷数据,以保证VM能继续正常工作。

管理员接入备份管理系统可以进行选择虚拟机、或虚拟机的某个卷进行备份,灵活设置备份策略,备份起始时间、配置全量备份和增量备份的周期。管理员可以根据备份文件恢复虚机,可以从存储读取快照文件恢复虚拟机。管理员可以选择恢复到原有虚机、或者新虚机、或者其它虚机。

5.4.6.                 自动化弹性调度

为了便于后续数据中心的人员运维,虚拟化平台需要提供丰富的自动化运维技术。虚拟化平台提供资源弹性统一调度,支持设置集群资源的调度策略,根据管理员设置的调度策略,可根据应用系统的负载进行自动化调度运维,大大地减少了运维人员的工作量。根据应用场景,提供三种策略类型:弹性资源扩展策略、动态资源调度策略、动态电源管理策略。

⑴弹性资源扩展策略

针对单独的应用而言,应用根据应用的当前负载动态的调整应用实际使用的资源,当一个应用资源负载较高时,自动添加虚拟机并且安装应用软件;当应用的资源负载很低时,自动释放相应的资源。

⑵动态资源调度

当单一宿主服务器不足的情况下,系统可以根据策略调整本物理主机虚拟机承载数量,通过自动化动态迁移的方式调度部分虚机到较空闲的物理主机上,保证主机池所有物理服务器都工作在比较健康的状态。

⑶动态电源管理策略

时间计划策略允许用户对于不同的应用实现资源的分时复用。用户可以设置计划策略,使得不同的应用分时段的使用系统资源,比如说白天让办公用户的虚拟机使用系统资源,到了晚间可以让一些公共的虚拟机占用资源。

虚拟化平台提供多种自动化调试策略,包括节能策略、负载均衡策略。便于用户合理利用资源。可以实现节能降耗,实现轻载合并下电,重载分离上电。系统负荷不大时,各VM占用CPU较低,部分VM关机了,可以将某些服务器上的虚拟机自动迁移到其他节点,对这个服务器进行休眠或下电,实施系统节能策略。系统重载时,再让部分物理机上电,并迁移VM到新物理机,保证用户感受。系统需分析并选择合适的物理机上下电,减小迁移的VM数目。