峨眉山市中醫醫院雙活數據中心容災系統

1、項目概述

峨眉山市中醫醫院雙活數據中心容災系統（一期）交換機、服務器採購

1.         建設原則

醫院信息化建設極其複雜，兩地三中心的建設，不只僅涉及應用系統技術、架構和部署，並且涉及到基礎設施如網路、存儲、數據庫等，投資規模大、建設週期長、投資回報不明顯特徵，所以根據醫院實際需求和公司建設該類項目的經驗，建設本項目應當遵循：

1.1.             安全可靠

建設兩地三中心的首要目的，就是知足信息化系統能在極端條件下能保證數據安全可靠、應用能提供持續的業務服務，所以，在該項目建設上，應當選擇安全可靠的建設方案和產品予以支持項目建設；

1.2.             實用先進

兩地三中心項目建設主要涉及到軟件架構、網絡設施完善、存儲系統完善，目前信通公司產品從技術架構已經支持多中心運行模式，但網絡和存儲的多中心架構須要購買硬件設施，高端網絡設備和存儲設備價值昂貴，在安全可靠的前提下，本着節約投資、減小浪費的原則，選擇實用先進、穩定可靠的網絡設施和存儲設備，是項目建設須要遵循的原則。

1.3.             統一運維

兩地三中心項目建成後，平常的運行維護日益重要，建成在極端狀況下能發揮功能的災備中心須要持續的運維，避免出現須要用時才發現災備中心已經失效的情形出現，所以，主中心、災備中心須要統一管理和監控，出現故障後，須要進行修復和維護。

1.4.             分期建設

兩地三中心項目投資大，建議分兩期進行建設。

 

2.         需求分析

2.1.             用戶現狀

2.1.1.                 網絡方面

峨眉中醫院當前核心交換機既處於核心層面又處於匯聚層面，並且網絡節點之間未作任何冗餘設計。網絡架構並不是合理的核心層、匯聚層、接入層的三層架構，網絡架構不清晰、合理，匯聚層和核心層界限模糊，單點故障隱患多，任意一點故障，就會波及全院網絡。

目前，醫院內部業務系統和外部網絡交互多，如（健康養平生臺、微信掛號繳費等），未實現有效的內外網隔離機制。

內部數據防禦顯得尤其重要。醫院目前使用了防火牆和***檢測，安全防禦功能單薄，不能阻斷大部分***。

2.1.2.                 存儲方面

                         

醫院如今有一套存儲設備用於HIS、LIS、PACS等生產系統的數據庫存儲，併兼具PACS的影像文件存儲。

該架構下，存儲穩定性、SAN交換機或HBA卡是整個信息化的單點故障，一旦磁盤陣列出現故障，則全院業務系統也會中斷，並且恢復時間長。對醫院形成很是大的損失。

 

2.1.3.                 應用方面

數據庫

如上圖所示，醫院核心業務系統採用了Oracle RAC技術，兩臺服務器同時工做，提供了數據庫的高可用，即便一臺服務器出現故障，另外一臺服務器也能提供服務，爲業務持續性提供了保障。

應用軟件

醫院生產環境採用了3臺HP38X系列構建了虛擬化環境，基於XenServer技術實現了服務器虛擬化，在整個虛擬化環境中，創建了11個虛擬機，構成了爲HIS、LIS、EMR、物流、OA等提供服務的應用集羣。爲醫院節省大量資源，不會應爲單臺物理機宕機而形成業務中斷。

2.2.             用戶需求

醫院信息化目前存在的主要問題，概括以下：

1.      網絡上缺少層次，核心、匯聚和接入角色未分清楚，且未作到冗餘；

2.      存儲上，生產中心存在存儲單點故障問題；

3.      未在同城創建實時容災中心，未在異地創建容災中心。

其實，上述問題概括到一點就是系統冗餘問題，即未創建多套一樣或能力至關的冗餘系統。

爲解決以上問題，醫院擬採用「兩地三中心」的數據中心解決方案，即同城的兩個數據中心與異地的第三個數據中心之間進行「3站點」的數據容災，以下圖所示：

兩地三中心的邏輯架構

兩地三中心的數據中心工做要點：

a)       日常主數據中心提供主要的業務處理，同城容災中心提供數據查詢、報表統計類業務，所以也叫雙活數據中心。

b)       主數據中心實時地將數據變化同步到同城容災中心，保持主中心和同城容災中心的數據一致性，並在主數據中心不能工做的時候，能快速接管並承擔主數據中心的職責，爲全院提供業務服務，切換操做在數分鐘內完成。

c)       主數據中心或同城容災中心定時將數據以全量或增量方式同步到異地容災中心，使得發生區域性事故時，數據仍然可用、安全。有條件的狀況下，也能夠將異地容災中心作成實時異地容災中心，不過投資大。建議異地容災中心作成定時全量或增量備份。

d)       主數據中心和同城實時容災中心，除部署數據庫服務保證數據服務的高可用外，還部署應用服務集羣，以及前端負載均衡服務器來實現業務分流。

3.         建設內容

基於上述需求分析，須要建設以下內容：

1.      上層應用層面以及底層存儲的雙活系統，保障醫院主要業務系統如HIS、LIS、PACS、RIS、EMR的可靠性。

2.      按三層架構組網，且實現院內雙核心網絡鏈接生產中心和同城實時容災中心，以改善現有網絡環境。

3.      讓具備冗餘架構的高性能交換機保障全院網絡的高可靠性。

4.      高性能負載均衡集羣，部署在生產中心與同城實時容災中心。

4.         網絡建設方案

4.1.             整體建設目標

基於醫院目前網絡現狀和將來業務發展的要求，在本次網絡設計構建中，擬建成：

1.       具備高度可靠、穩定運行、性能優良、開放標準、分層接入的網絡架構。

2.       最大限度地支持醫院各業務系統的正常運行。必須知足7×24×365小時連續運行的要求。在故障發生時，網絡設備能夠快速自動地切換到備份設備上；

4.2.             詳細建設目標

根據峨眉山中醫院網絡現況，提出如下建設目標：

1.       整網使用三層架構組網，分核心層、匯聚層和接入層；

2.       核心網絡採用萬兆骨幹、千兆接入的鏈接方式；

3.       內網部署雙核心以及設備虛擬化技術保障整網系統的可靠性；

4.       內網部署雙匯聚以及設備虛擬化技術保障整網系統的可靠性；

5.       核心層以及匯聚層使用高性能交換機承載業務；

6.       增長網閘設備保障內外網互聯的安全性；

4.3.             網絡改造方案

整網使用三層組網架構，即接入層、匯聚層、核心層。接入層放置醫院樓層弱電井用於接入各終端；匯聚層使用高性能交換機收斂端口，減輕核心層負擔。並使用虛擬化技術提供設備可靠性。核心層採用高性能雙引擎交換機，同時採用虛擬化技術保障核心數據轉發的高可靠性。同時針對醫院內外網物理隔離的環境，使用網閘（考慮冗餘）設備保障內網外聯的環境。

l       內網核心層

核心交換機採用三層插卡式網絡核心交換機，支持獨立的控制引擎和接口業務板等，用戶能夠根據需求選擇單引擎或雙引擎，單交換網板或多交換網板，根據業務系統需求選擇不一樣類型的千兆或萬兆或40G或100G、光端口或電端口等。根據不一樣的業務場景不一樣的業務需求能夠選擇不一樣類型的配置，同時後期擴展方便無憂，採用多引擎、多交換網板的方式還能夠極大的保證網絡設備工做的可靠性。極大提高了系統帶寬和演進能力，整機容量可平滑擴展。核心交換機必須採用無單點故障設計，全部關鍵部件，如主控板、電源和風扇等採用冗餘設計；無源背板避免了機箱出現單點故障；全部單板和電源模塊支持熱插拔功能；核心交換機能夠在惡劣的環境下長時間穩定運行，達到99.999%的電信級可靠性。

支持橫向虛擬化技術將多臺高端設備虛擬化爲一臺邏輯設備，在可靠性、分佈性和易管理性方面具備強大的優點，主要體如今三個方面：

     可靠性：經過專利的路由熱備份技術，在整個虛擬架構內實現控制平面和數據平面全部信息的冗餘備份和無間斷的三層轉發，極大的加強了虛擬架構的可靠性和高性能，同時消除了單點故障，避免了業務中斷；

     分佈性：經過分佈式跨設備鏈路聚合技術，實現多條上行鏈路的負載分擔和互爲備份，從而提升整個網絡架構的冗餘性和鏈路資源的利用率；

     易管理性：整個彈性架構共用一個IP管理，簡化網絡設備管理，簡化網絡拓撲管理，提升運營效率，下降維護成本。

經過橫向虛擬化技術能夠將核心交換機虛擬爲一臺設備，提供網絡系統的可靠性和簡化網絡管理。

支持一虛多虛擬化技術，能夠經過MDC技術實現正真的1：N個虛擬化，即把一臺交換機虛擬成N臺互相獨立的虛擬交換機，不一樣於傳統的交換機虛擬化技術，MDC虛擬出的每臺交換機之間物理隔離、安全隔離，擁有獨立的硬件資源和管理權限，知足多業務客戶共享核心交換機的需求，這樣，一方面能夠充分利用核心交換機的能力達到隔離複用的做用，另外一方面也下降了用戶的投資成本，一箭雙鵰。

l       內網匯聚層

匯聚層採用多端口、三層、高性能的千兆以太網交換機交換機，具有高性能、高端口密度且易於安裝的網絡環境而設計的智能型可網管交換機。產品基於強大的統一交換平臺，實現有線無線的無縫融合。集成無線控制功能，實現接入層無線/有線本地轉發，消除無線控制帶寬瓶頸，擴大無線部署規模，節省用戶投資成本。

交換機提供10/100/1000Base-T自適應以太網端口或10GE SFP+光口，並經過子卡可支持10GE電口、40GE QSFP+光口。在企業網中，能夠做爲接入設備提供千兆到桌面應用，或做爲中小企業的核心；在城域網或者行業用戶中，向下能夠提供千兆接入最終用戶或匯接低端交換機，向上能夠經過萬兆或40GE光纖或者鏈路聚合匯聚到核心交換，支持創新的VxLAN技術，能夠同時支持VxLAN二三層網關。

l       出口安全設計

內網外互聯區域部署網閘安全產品抵禦來自外部的***威脅；對外網用戶WEB上網行爲管理和控制。

隨着IT建設的不斷深化發展，不少組織的內部網絡與外部網絡之間須要交換的信息愈來愈多，傳統的方式很難兼顧安全隔離與信息交換二者的需求，更缺少對信息安全的嚴格審查，極易致使***代碼的流入和重要信息的泄漏。

網閘產品在確保用戶內外網TCP/IP協議完全阻斷的狀況下，提供HTTP、SMTP、POP3、FTP、ORACLE、FileSync等應用級檢測通道。在屏蔽會話層如下網絡威脅的前提下，對內外網交互數據進行嚴格的訪問控制和日誌審計。

5.         應用雙活建設方案

 

5.1.             生產中心雙機雙存儲

數據庫高可用

目前生產中心因爲是雙SAN交換機單存儲架構，所以生產中心採用雙存儲架構，造成生產中心雙機雙SAN交換機雙存儲——即三雙架構。

應用軟件高可用

目前已經經過3臺380服務器（單CPU，64G內存）提供虛擬化物理設施，爲了能高效支持全院業務，建議增強、增配應用服務器虛擬化環境，搭建高可用虛擬化平臺，完善應用服務器集羣和負載均衡集羣。在應用服務器、數據庫服務器、負載均衡服務器上，徹底消除單點故障。

架構特色

□經過ORACLE數據庫軟件自帶的功能，生產中心實現數據在2個SAN存儲上的相同存儲（兩個存儲具備相同的內容）。

□負載均衡、應用服務器、數據庫服務器、數據存儲均無單點故障。

5.2.             同城災備中心雙機單存儲

數據庫高可用

考慮到醫院投資問題，建議同城災備中心建成實時災備中心。經過ORACLE數據庫帶的Active DataGuard功能實現生產中心和同城實時災備中心間的數據實時同步。同城災備中心知足以下的架構：

特別說明：若是醫院投資足夠的前提下，可按照生產中心的「三雙架構」進行建設。

應用軟件高可用

爲了能徹底接管生產中心的業務，建議建設應用服務器虛擬化集羣環境，搭建虛擬化平臺，建設應用服務器集羣和負載均衡集羣。當生產中心徹底失效後，客戶端經過指向本容災中心的負載均衡集羣上，訪問災備中心提供的數據服務，實現業務快速恢復。

架構特色

□本災備中心經過ORACLE Active DataGuard與生產中心實現數據實時同步，生產中心已經實現了高可用，即便發生生產中心徹底宕機的狀況下，本災備中心一樣能接管全院的業務需求，保持業務連續性；

□與生產中心數據實時保持同步，要求兩中心間網絡帶寬、存儲IO性能接近。

5.3.             異地災備中心

若是投資預算足夠，建議考慮租用電信或移動公司的雲平臺，用以存儲醫院定時作的增量備份和全備份文件。

 

5.4.             服務器虛擬化技術特色

部署服務器虛擬化管理平臺，用做實現對硬件資源的虛擬化，以及對虛擬資源、業務資源、用戶資源的集中管理。同時爲上層雲管理平臺提供統一的接口，支持不一樣業務調度與應用部署。可以使虛擬機能在數據中心漂移，保障業務連續性。應用雙活平臺支持如下功能：

5.4.1.                 虛擬化資源池

服務器虛擬化使計算資源池化後造成雲主機資源池，虛擬化系統基於KVM架構，經過雲主機承載XXX業務系統應用。服務器虛擬化系統實現了各子系統的計算資源和存儲資源的動態伸縮和分配管理，便於按上層業務應用系統需求靈活分配資源。規劃部署計算資源池時，要參考安全保護要求，使整個虛擬化系統需具備如下特色：

   經過虛擬機HA、虛機熱遷移、存儲熱遷移功能，可以有效減小設備故障時間，確保核心業務的連續性，避免傳統IT，單點故障致使的業務不可用。

   易實現物理設備、虛擬設備、應用系統的集中監控、管理維護自動化與動態化。

   便於業務的快速發放, 縮短業務上線週期，高度靈活性與平滑可擴展性，提升管理維護效率。

   利用雲計算虛擬化技術可自動化並簡化資源調配，實現分佈式動態資源優化，智能地根據應用負載進行資源的彈性伸縮，從而大大提高系統的運做效率，使 IT 資源與業務優先事務可以更好地協調。

5.4.2.                 虛擬化安全隔離

爲了知足各個租戶之間的相互獨立，互相不影響。經過虛擬化隔離、VLAN/VxLan網絡劃分、安全組隔離手段保障計算、存儲、管理、接入等域的安全隔離。按照安全等級不一樣劃分邏輯隔離的主機資源池，對應相同級別的業務系統可經過虛擬機部署於同一級別資源池，業務虛擬機僅能在相同級別主機池內遷移。虛擬化平臺提供包括CPU調度、內存、內部網絡隔離和磁盤I/O、虛機存儲的安全隔離。

圖  租戶虛擬化安全隔離

5.4.3.                 虛擬機/存儲熱遷移

提供基於共享存儲的遷移以便知足數據中心虛擬化項目的業務連續性要求。虛擬機熱遷移特性是指在使用同一共享存儲的主機之間將處於運行態的虛擬機由當前所在的主機遷移到另外一臺主機上，在遷移的過程當中不影響用戶對虛擬機的使用。

在對主機進行維護操做前將該主機上的虛擬機遷移到其餘主機上，而後再做維護，能夠下降因主機維護形成的用戶業務中斷。經過將繁忙的主機上的虛擬機遷移到空閒的主機上，能夠提高虛擬機用戶的感覺，並使全局業務均衡。經過將空閒主機上的虛擬機聚攏到幾臺主機上，而後將沒有負載的主機關閉，能夠下降數據中心的電能消耗。

在虛擬機正常運行時，經過管理員手動操做，將虛擬機的卷遷移至其餘存儲單元中，能夠在虛擬化平臺下的同一個存儲設備內、或不一樣存儲設備間進行在線遷移。存儲遷移帶寬可控，避免對正常業務產生影響，支持跨集羣遷移。存儲熱遷移技術便於對現有存儲系統的擴容，減容，便於存儲系統的更新換代。

5.4.4.                 虛擬機高可靠HA

圖  虛擬機高可靠HA

虛擬化平臺提供故障自動遷移（虛擬機HA(HighAvailable)）機制，可提高虛擬機的可用度，容許虛擬機出現故障後可以從新在資源池中自動啓動虛擬機。

系統週期檢測虛擬機狀態，當物理服務器宕機、系統軟件故障等引發虛擬機故障時，系統能夠將虛擬機遷移到其餘物理服務器從新啓動，保證虛擬機可以快速恢復。系統可以檢測到的引發虛擬機故障的緣由包括物理硬件故障、系統軟件故障。

5.4.5.                 虛擬機規格動態調整

虛擬機根據應用系統的性能需求，虛擬化平臺能夠靈活調整虛擬機的配置規格，包括調整vCPU個數，內存大小，網卡個數、磁盤卷個數，調整虛擬卷的大小， 縱向擴展有效保證單個虛擬機QoS。虛擬機快照備份技術。

虛擬化平臺自帶虛擬機快照備份系統，不須要與第三方的備份軟件結合，也不須要額外費用，備份系統就能夠對虛機卷（包括系統卷和/或數據卷）數據進行備份。備份過程不須要終端用戶參與，也不須要在VM裏安裝代理，且不影響生產系統的運行。當生產系統因爲意外丟失VM卷數據時，系統管理員能夠經過本地備份系統恢復VM卷數據，以保證VM能繼續正常工做。

管理員接入備份管理系統能夠進行選擇虛擬機、或虛擬機的某個捲進行備份，靈活設置備份策略，備份起始時間、配置全量備份和增量備份的週期。管理員能夠根據備份文件恢復虛機，能夠從存儲讀取快照文件恢復虛擬機。管理員能夠選擇恢復到原有虛機、或者新虛機、或者其它虛機。

5.4.6.                 自動化彈性調度

爲了便於後續數據中心的人員運維，虛擬化平臺須要提供豐富的自動化運維技術。虛擬化平臺提供資源彈性統一調度，支持設置集羣資源的調度策略，根據管理員設置的調度策略，可根據應用系統的負載進行自動化調度運維，大大地減小了運維人員的工做量。根據應用場景，提供三種策略類型：彈性資源擴展策略、動態資源調度策略、動態電源管理策略。

⑴彈性資源擴展策略

針對單獨的應用而言，應用根據應用的當前負載動態的調整應用實際使用的資源，當一個應用資源負載較高時，自動添加虛擬機而且安裝應用軟件；當應用的資源負載很低時，自動釋放相應的資源。

⑵動態資源調度

當單一宿主服務器不足的狀況下，系統能夠根據策略調整本物理主機虛擬機承載數量，經過自動化動態遷移的方式調度部分虛機到較空閒的物理主機上，保證主機池全部物理服務器都工做在比較健康的狀態。

⑶動態電源管理策略

時間計劃策略容許用戶對於不一樣的應用實現資源的分時複用。用戶能夠設置計劃策略，使得不一樣的應用分時段的使用系統資源，好比說白天讓辦公用戶的虛擬機使用系統資源，到了晚間可讓一些公共的虛擬機佔用資源。

虛擬化平臺提供多種自動化調試策略，包括節能策略、負載均衡策略。便於用戶合理利用資源。能夠實現節能降耗，實現輕載合併下電，重載分離上電。系統負荷不大時，各VM佔用CPU較低，部分VM關機了，能夠將某些服務器上的虛擬機自動遷移到其餘節點，對這個服務器進行休眠或下電，實施系統節能策略。系統重載時，再讓部分物理機上電，並遷移VM到新物理機，保證用戶感覺。系統需分析並選擇合適的物理機上下電，減少遷移的VM數目。