3 基础设施

3.1 整体设计

传统医院数据中心的建设,以满足医院传统业务正常运转为基本要求,随着医院业务的拓展,新业务需求的增加,比如互联网+、大数据及人工智能等技术的应用,以及区域医疗协同、医保快速结算等多种医疗业务的接入,新业务对传统医院基础设施下的数据中心提出了针对运维管理、资源利用及多业务场景下资源调配的灵活性、扩展性方面更多新的要求。

新一代医院数据中心的建设,需要解决的问题,如:由于医院信息系统功能的复杂,包括医疗管理、护理管理、医技管理、质控管理、科研管理、运营管理等各种应用需求;信息系统业务连续性高,通常24小时不间断工作;系统稳定性要求高,基本没有停机维护的机会,容错要求较低,故障恢复时间要求短。因此,在新一代医院数据中心建设整体规划思路上,需要充分考虑数据中心的高拓展性、高可靠性和易管理性。数据中心在发展过程中,应充分利用原有投资,合理使用原有设备,避免造成资源浪费;同时,能够较好地兼容各种主流软硬件,满足未来几年的发展需求。在数据中心设计中充分使用各种保障技术来确保系统稳定运行,如线路冗余、设备冗余、数据灾备等;数据中心的信息体系设计,需要具备严密地监控和易维护的特点,以确保系统能够及时发现隐患,快速排除故障。

在新一代医院数据中心建设时,应充分考虑业务系统对有效性、可用性、可扩展性、安全性等方面的要求,以软件定义的理念将基础设施由基础资源发展为资源池,进而成为资源服务,最终形成基础设施服务层。如图3-1所示。

基础资源主要为服务器设备、网络设备、存储设备、安全设备等物理设施。

资源池主要由各类基础设施通过软件定义技术对应融合形成计算、存储、网络、安全的逻辑资源池。通过云操作系统,对这些物理设施进行统一资源管理和任务调度,为用户提供基础设施的服务能力。

资源服务是以软件定义计算、软件定义存储、软件定义网络和软件定义安全为特征的分布式基础设施与资源服务,为应用系统建设提供通用的资源服务、软件工具和通用的应用功能,用于构建应用系统的开发、测试及生产运行时环境,为应用系统开发提供通用中间件、数据库和通用功能的API。

图3-1 医院基础设施服务层

为了保障医院业务的整体安全,实现医院业务的可连续性服务,后续整体建设中需要对产品层、系统层、技术层、服务层分层分阶段地实现安全可控。

3.1.1 计算资源池

医院数据中心需要支撑各种各样不同类型的负载,这些负载在计算力、内存和I/O方面有不同的需求,它们对硬件基础设施的需求也不同,可按照软件定义的理念将数据中心内CPU、GPU、现场可编程门阵列(field-programmable gate array,FPGA)、内存、I/O适配器等各类计算硬件以资源池的形式提供给用户,并根据应用的需要灵活地进行计算资源调配,对相应的基础设施进行优化以满足这些负载的需求。

对于性能、稳定性要求高的核心业务系统,可以使用裸金属计算资源保障业务系统的稳定运行;对于性能要求稍低的业务系统,可从私有云的计算资源池中为各类应用分配合适的计算资源,实现应用的快速交付和资源的弹性伸缩,并结合高可用的技术保障业务系统的可靠性。

大数据、人工智能类平台以及影像判读、辅助诊断等应用,可以采用标准服务器,通过部署集群管理系统,将各服务器资源按照集群的方式进行管理,对外提供统一的服务;如果涉及对CT影像等图片视频的分析、模型训练等需求,可结合GPU、FPGA等异构加速设备提高运算的性能。大数据应用系统相对比较轻量化,同时需要具有高度灵活性以适应业务的开发及动态调整,可从资源池中划分虚拟机或者容器承载业务的方式来运行。

3.1.2 存储资源池

存储资源池为医院业务系统提供高性能、高可靠、弹性的存储资源,基于云平台提供存储资源统一管理与服务。存储资源池包含双活存储局域网络(storage area network,SAN)、分布式/SDS、容灾、备份以及交换机等存储设备;对于核心数据库及业务系统,建议使用双活、复制、备份等技术保障业务及数据的可靠性,并充分利用SSD介质的特性来提高业务系统的性能。影像归档和通信系统(picture archiving and communication systems,PACS)影像、病理影像、病历文书等系统以及大数据平台中海量的非/半结构化数据,建议使用分布式存储,基于分布式存储架构提供文件、块、对象等协议的支持,以满足医院内复杂多样的业务场景。

相对于传统的医疗业务,需要更高的性能和灵活性。同时对于数据存储,建议采用多样化的数据形式保存,实现对于在线数据、近线数据、离线数据等数据存储,最大限度保证院内数据资源池的高可靠性。

3.1.3 网络资源池

网络资源池在设计时需要考虑到配合云技术的使用,建议将传统的三层架构网络,改变为两层架构网络,同时利用设备“多合一”的虚拟化技术支持设备间的冗余,利用“一分多”的虚拟化技术简化网络运维。在数据中心网络内,可使用虚拟可扩展局域网(virtual extensiable local area network,VxLan)技术和SDN技术将网络的控制层和数据转发层进行分离,实现网络快速部署,流量可视化,快速定位故障点,配合使用虚拟化端口组技术可以解决网络内由于生成树机制导致冗余链路利用率低的问题。

在多数据中心的场景下,新一代医院数据中心利用叠加网络虚拟化技术,实现多数据中心互联的两层网络架构,在跨越数据中心的传输中,利用“MAC in IP”技术,通过两个数据中心之间的网络传递媒体访问控制地址(media access control address,MAC)可达性信息,并使用叠加(overlay)网络,能够在分散的二层域之间实现二层连接,同时保持每个站点的独立性以及容错域,降低网络传输延迟,提高数据传输效率。

3.1.4 安全资源池

安全资源池基于软件定义技术将医院业务系统所需要的各项安全能力统一集成到通用的硬件基础设施上,目前来看是以传统专业的安全设备构建数据中心的统一安全资源池,最终可能会进化到以虚拟安全产品形式为业务系统提供安全服务,包括访问控制、入侵防御、Web应用防护、网页防篡改、安全审计、漏洞扫描与基线核查、负载均衡、加密传输VPN和SSL卸载等。

安全资源池可以根据医院各个业务系统的特征,生成不同的安全产品组合,实现个性化安全防护。另外,通过灵活配置最终交付的安全产品类型和比例,提高基础资源利用率。医院业务系统的安全管理员也可以按需通过服务自助申请、开通流程快速获得对应的安全资源,安全资源池完成相应虚拟安全产品的自动创建、生命周期管理、网络的自动化部署,以及安全策略的统一部署。