袁靜，吳海燕，劉長興

1.濟南軍區(qū)總醫(yī)院 信息科，山東 濟南250031；

2.濟寧醫(yī)學院附院 器械科，山東 濟寧272000

基于云平臺的智能數據中心的構建

袁靜1，吳海燕2，劉長興1

1.濟南軍區(qū)總醫(yī)院 信息科，山東 濟南250031；

2.濟寧醫(yī)學院附院 器械科，山東 濟寧272000

根據醫(yī)院信息化發(fā)展需求，利用虛擬化技術構建基于云平臺的智能數據中心。智能數據中心通過集成化、虛擬化、自動化管理的模式和低成本的高容災級別來構建，以改變傳統(tǒng)的離散應用。對數據進行集中處理，保障數據的安全和穩(wěn)定，從而大幅度地降低數據中心運營成本和總體擁有成本。

云平臺；智能數據中心；虛擬機；醫(yī)院信息系統(tǒng)

0 前言

在數字化醫(yī)院的建設過程中，醫(yī)院信息系統(tǒng)（HIS）、影像歸檔和通訊系統(tǒng)（PACS）、實驗室信息管理系統(tǒng)（LIS）、放射信息系統(tǒng)（RIS）、電子病歷系統(tǒng)、醫(yī)保系統(tǒng)、新農合系統(tǒng)、合理用藥系統(tǒng)等是在不同時期分批建成的，各系統(tǒng)均屬于單一部署，數據的存儲方式與存儲介質也各不相同。這種“一個應用一臺服務器”的分散部署模式，使機房內服務器機柜數量眾多，硬件采購以及運營維護成本增高，也不利于節(jié)能減排。當增加應用時，新服務器的部署和升級擴容需要停機進行，易造成應用中斷；部分服務器長時間處于低負荷運行狀態(tài)，資源利用率低。單機配置的各服務器形成系統(tǒng)孤島使得數據難以共享[1-3]。如何適應醫(yī)院業(yè)務需求的迅速增長，實現應用的靈活可靠配置并最大限度地縮短部署新應用的時間成為異常棘手的問題。

針對這些問題，根據醫(yī)院信息化發(fā)展需求，利用虛擬化技術構筑基于云平臺的新一代智能數據中心成為目前數字化醫(yī)院建設的首要任務[4-6]。新一代的智能數據中心的構建重點在于改變傳統(tǒng)的離散應用，對數據進行集中處理，緊密圍繞著數據量大、數據類型豐富、實時性強、精度高、安全性強等要求，設計集中化、虛擬化和自動化管理的架構，并具有低成本的高容災級別，既有利于數據安全和系統(tǒng)穩(wěn)定，又能大幅度地降低數據中心運營成本和總體擁有成本，從而提高應用的可靠性[7-8]。

1 解決方案

通過Vmware虛擬化技術構筑能夠自我優(yōu)化的動態(tài)智能數據中心。在不添加新計算能力的前提下有效提高現有IT基礎設施的利用率，降低對物理主機數量的需求，進而降低對機房容量和電力制冷的需求，解決傳統(tǒng)IT架構下醫(yī)院內部計算力分布不均衡導致不同應用在不同時段對計算力的波動問題。根據目前機房的現狀，將20余臺服務器整合到4臺高性能服務器上，整合后的平臺拓撲結構，見圖1。

由圖1可知，各個業(yè)務系統(tǒng)獨立運行于虛擬層之上，相互隔離，互不影響，并實現統(tǒng)一管理，集中控制，以提高資源的整體利用率。

智能數據中心構建包括以下4部分內容。數據生產中心、備份容災、運維監(jiān)控、安全防護。

1.1 數據生產中心

數據生產中心的核心是利用虛擬化技術將服務器物理資源抽象成邏輯資源，讓一臺服務器變成幾臺甚至上百臺相互隔離的虛擬服務器，實現服務器整合，構建出智能數據中心，提高資源的利用率和對業(yè)務變化的適應力。通過虛擬對稱式多重處理（SMP）技術構建安裝在物理服務器裸機上的強健虛擬層，形成虛擬機；單個虛擬機能夠同時使用多個物理處理器，增強虛擬機性能；在單個服務器虛擬化基礎上，通過虛擬化管理中心（VCenter）將多臺服務器、存儲硬件基礎資源進行整合，構建可以動態(tài)管理的硬件（CPU、內存、硬盤、I/O）資源池，實現數據中心整體硬件資源的按需分配。

根據機房的現狀，選擇4臺高性能服務器構建基礎架構平臺，這4臺服務器均安裝配置Vmware虛擬化底層軟件ESXI SERVER系統(tǒng)。存儲層采用業(yè)界先進的FC-SAN架構形式，雙光交換機冗余交叉設計保證服務器到存儲鏈路的安全性。并分別依照業(yè)務系統(tǒng)的級別對4臺機器劃分合理的HA和DRS集群；根據實際情況，將醫(yī)院應用各業(yè)務信息系統(tǒng)及文件服務器等部署在虛擬化集群服務器資源池之上，構建數據生產中心，見圖2。這樣就能保證全部的業(yè)務系統(tǒng)處在一個高可用和負載均衡的應用環(huán)境之中。在中心機房部署Vmware管理中心（VCenter server）實現整個系統(tǒng)的集中監(jiān)管、資源的自動調配、虛擬機的自動遷移和核心業(yè)務的高可用、不間斷運行。

1.2 數據備份容災系統(tǒng)

隨著數據量的增加、數據類型的多樣性和虛擬化的逐步應用，虛擬機及數據的安全至關重要，操作失誤或數據丟失會對各部門乃至整個醫(yī)院都會造成不可估量的損失，因此需要構建一個完整的備份容災系統(tǒng)，將整個平臺中的所有關鍵業(yè)務數據建立統(tǒng)一的備份策略，進行集中備份。

傳統(tǒng)數據大多是保存在服務器內置RAID硬盤上或者將獨立磁盤陣列直接連接到物理服務器上，該存儲架構的易用性、容余能力和擴展能力都很差。數據生產中心的存儲與備份層單獨形成一個存儲區(qū)域網絡，提供數據的查詢和共享?？紤]到保護現有投資和資源的原則，我們利用機房內現有的HP DL580G5 DL580G7 、IBM3650 M4等服務器組成虛擬化集群，通過合理擴展現有機器配置來滿足容災集群的需求；后端采用FC-SAN存儲架構相連，將生產端數據通過VReplicate定時同步復制到容災中心端的服務器之上，在一定程度上能夠避免硬件錯誤的發(fā)生，如1個硬盤的損壞并不會導致數據的丟失。

在合理存儲數據的基礎上，還需對備份進行統(tǒng)一管理，否則仍將會對數據安全造成隱患。針對中心機房的現狀，我們建議采用業(yè)界領先的Avamar技術制定針對Vmware虛擬架構的企業(yè)級備份和恢復方案。

1.2.1 高效備份與恢復

Avamar源端采用重復數據消除技術進行虛機備份，通過在每個虛機內部消除冗余數據，減少備份的實際執(zhí)行時間；Avamar虛機備份還支持CBT改變塊跟蹤技術，經過首次備份之后，第二次以后的備份時間將只傳送改變的塊，這樣虛機的備份時間將進一步縮短，通常備份一臺幾十GB的虛擬機僅需幾分鐘。Avamar的每次備份均為全備份，這樣在恢復時，只需要一次恢復操作就可以實現即時恢復。而傳統(tǒng)的恢復要求先進行一次全備份的恢復，然后逐次進行后續(xù)的增量恢復，過程相當耗時；另外，Avamar對虛機的恢復支持采用CBT改變塊技術，從而大大加快恢復速度，幾分鐘即可恢復一臺虛擬機。

1.2.2 兩種備份模式

Avamar提供了VMDK映像和客戶機兩種備份模式。對于大多數沒有數據庫應用的虛機，要避免備份時對資源的爭用，可采用VMware vStorage API對虛機的VMDK文件快照進行備份，備份通過一臺或多臺虛擬代理服務器（Proxy）進行，多個Proxy VM之間可以實現自動負載均衡備份。Proxy VM可以部署在生產ESX服務器，也可以部署在專門的ESX服務器上，Proxy只作為備份代理，不對外提供應用服務。通過vStorage API在代理服務器Proxy上執(zhí)行備份，不需要在每臺虛擬機上安裝備份客戶端，大大降低了資源消耗；提供裸機恢復，可以對每個虛機實現整機恢復，既可以恢復到源虛擬機，也可以實現異機恢復。

對于有數據庫應用的虛擬機，由于這類業(yè)務需24 h運行，VMDK映像備份方式無法確保數據庫事務的一致性，針對這類虛擬機則采用客戶機備份模式，在虛擬機的操作系統(tǒng)之上安裝Avamar客戶端和數據庫代理軟件，再備份到AvamarDatastore，實現數據的一致性保護。AvamarDatastore集成了備份軟件、備份服務器和備份設備硬件，分為單節(jié)點（專用的ABE設備）、雙節(jié)點和多節(jié)點等幾種使用方式。每個節(jié)點均自帶存儲空間。單節(jié)點內部采用RAID6，雙節(jié)點和多節(jié)點設備的內部采用RAID1，多節(jié)點模式是在節(jié)點級別做了冗余架構（RAIN）保護，充分保證了備份數據的安全性。

1.2.3 物理結構層的容災

通過采用VReplicate容災技術在虛擬層解決過多設備的問題。VReplicate提供了一種獨特的復制方法，允許在沒有代理的情況下，對虛擬機進行選擇性復制。VReplicate使整個虛擬機包括配置設置、操作系統(tǒng)補丁、應用程序本身、數據以及所有其他操作系統(tǒng)層級的更改，都能夠進行整個映像的復制。VReplicate可以從多臺主機復制到一臺主機，而且可以復制到和源主機不同的硬件平臺。Vreplicate用數據庫記錄并管理工作任務和消息，具有可靠的性能，管理員可以通過GUI、Windows事件瀏覽器和警告的方式收到有關任務的穩(wěn)定數據流。通過數據庫智能引擎進行異常處理，以消除可能存在的復制沖突。

1.3 運維監(jiān)控設計

合理的備份容災方案保證了數據的安全，但整個應用平臺的運行情況及基礎設施的資源使用情況也需要及時掌握、調配管理。我們選擇使用VcenterOperations Management監(jiān)控系統(tǒng)對每個虛擬機中的進程運行狀況進行全方位監(jiān)控，同時針對關鍵應用進程，通過后臺龐大的專家?guī)煸\斷，給出最合理的優(yōu)化建議，使管理人員能夠合理分配資源； 該系統(tǒng)可以與Vmware虛擬環(huán)境進行無縫集成（圖3），無需在虛擬機中安裝代理即可對整個環(huán)境進行全面的監(jiān)控、規(guī)劃、預警、事件分析和報表。

該平臺的特性主要有：

（1）能夠主動管理數據中心的環(huán)境并提高其可用性。可以直觀地提供虛擬機、集群和服務器的運行狀況監(jiān)控和性能分析；通過使用自動化容量分析和“假設”容量建模功能適當回收虛擬機和調整虛擬機規(guī)模來優(yōu)化容量，確保容量消耗的規(guī)模適當并不過度調配資源，從而最高效地利用虛擬化資源。通過自學式分析方法和高度自動化的集成來進行性能、容量和配置管理，并提供異構和混合云環(huán)境的全面視圖。

（2）可以從 VMware和第三方監(jiān)控系統(tǒng)聚合數據，幫助預測性能瓶頸。通過對虛擬基礎架構和操作系統(tǒng)的自動化配置管理和審核，利用動態(tài)閾值和主動式智能警報來通知維護人員，對系統(tǒng)發(fā)生的性能下降或其他問題進行維護，以便在終端用戶受到影響之前采取行動。

1.4 網絡安全及云殺毒設計

面對日益復雜的醫(yī)療信息應用以及日益增長的互聯網業(yè)務，醫(yī)院在信息防護方面已經從基本的網絡層安全（通過防火墻、防黑客等產品來實現）上升到對應用層安全的要求。特別是醫(yī)院與醫(yī)保、新農合的即時結算要求使醫(yī)院網絡與Internet網絡通道上的應用信息安全越來越成為醫(yī)院網絡的安全瓶頸。對于醫(yī)院互聯網網關而言，信息防護的安全需求包括對信息訪問控制、病毒防御、內容監(jiān)控等方面，我們主要采用趨勢科技的Deep Security虛擬化安全解決方案，集成了防病毒、防火墻、入侵防護、日志審計及文件監(jiān)控等安全技術。做為一臺虛擬機與虛擬環(huán)境無縫集成，實現無代理的虛擬環(huán)境安全防護模式，見圖4。

Deep Security產品由管理控制平臺（DSM）、安全虛擬機（DSVA）、安全代理程序（DSA）三部分組成。DSM是管理員用來配置及管理安全策略的集中式管理組件，所有的DSVA及DSA都會注冊到DSM，接受統(tǒng)一的管理。DSVA是針對VMware vSphere環(huán)境構建的安全虛擬計算機，通過vshield endpoint提供的實時掃描、預設掃描、清除修復等數據接口，對虛擬機中的數據進行病毒代碼的掃描和判斷，并結合防火墻、IDS策略實時對進出虛擬機的數據進行安全過濾；通過vshield manager和vcenter的支持，提供防惡意軟件、IDS/IPS（入侵檢測和阻止）、防火墻、Web應用程序防護和控制防護、數據完整性監(jiān)控等安全功能。DSA是安全客戶端，直接部署在操作系統(tǒng)中，提供對數據中心（范圍遍及虛擬桌面到物理、虛擬或云服務器）的高級保護，實現IDS/IPS、防火墻、應用程序防護與控制、完整性監(jiān)控和日志審查等安全功能。

2 優(yōu)勢分析

相對于傳統(tǒng)單臺服務器單一部署應用的方式，虛擬化技術能根據系統(tǒng)總體負荷靈活實現對系統(tǒng)資源的啟停，使多用戶共享資源成為現實，有效避免現有數據中心初期投入過大而造成的計算資源浪費，在不影響業(yè)務應用的前提條件下，有效地實現數據中心的節(jié)能環(huán)保。其優(yōu)勢主要體現在：

2.1 高計算力與低成本

虛擬化技術通過簡單的配置，無需花費大量的時間搭建計算環(huán)境，以服務的方式使用計算及存儲資源，按需取用，服務器的平均利用率可提高至60%～80%，數量可以減少3/4，相應也減少了耗電量、發(fā)熱量以及未來服務器購置成本。

2.2 高擴展性

虛擬云平臺配置方案靈活，為將來更多地系統(tǒng)遷移至云平臺留下了足夠的資源空間，保證了平臺的可伸展性。新應用可以直接在虛擬化平臺上直接進行部署。做到有需求不必等，提交即可達的效果。

2.3 高安全性

虛擬服務器的備份與恢復高效簡便。一旦服務器出現故障，管理人員利用虛擬系統(tǒng)將會在最短的時間內（1 h之內，一般可控制在10 min以內）進行系統(tǒng)恢復工作。系統(tǒng)中任意硬件出現重大故障時，如服務器、交換機網絡、存儲突發(fā)故障、虛擬機內部邏輯故障、計劃內的開關機操作等，均可通過虛擬技術實現自動實時遷移，保障業(yè)務的連續(xù)性。

2.4 高容錯性

傳統(tǒng)的IT架構模式對業(yè)務系統(tǒng)的高可用保障通常都是通過基于本業(yè)務系統(tǒng)的高可用機制（雙機HA、備份等）來實現容錯，沒有從全局的角度考慮，造成了大量的物理計算力的冗余?；谔摂M化云技術的方案使得容錯機制部署在虛擬機級別，大大減少了容錯代價。

2.5 統(tǒng)一管理

通過云計算的統(tǒng)一整合，轉變了原來IT管理一對多的手工管理模式，實現了把物理資源池化的機制，通過云平臺的統(tǒng)一引擎調度，從而實現了統(tǒng)一的管理入口。虛擬化不僅節(jié)約了醫(yī)院現有系統(tǒng)資源和運維投入，也有效地將IT系統(tǒng)和業(yè)務人員從繁雜的管理工作中釋放出來，以更好地部署新的業(yè)務應用，提升醫(yī)療服務水平。

[1] 劉芳,管新,袁飛.醫(yī)療信息系統(tǒng)私有云建設方案探討[J].中國醫(yī)療設備,2012,27(10):85-89.

[2] 戴聲,艾育華,陳芳炯.服務器虛擬化技術在醫(yī)院信息系統(tǒng)中的應用[J].中國數字醫(yī)學,2012,7(10):101-103.

[3] 馬錫坤,楊國斌,于京杰.基于虛擬化的云計算數據中心整體解決方案[J].中國醫(yī)療設備,2012,27(12):62-64．

[4] 鄒福榮,張麗,潘素麗.用虛擬服務器技術保證醫(yī)院網絡安全發(fā)展[J].醫(yī)療裝備,2011,(9):17-18.

[5] 劉麗,申麗君,陸銳云.云計算及其在醫(yī)療信息服務中的應用[J].中國數字醫(yī)學,2011,6(9):53-57.

[6] 錢旦敏,譚鬢鬢,梁博,等.數字化醫(yī)院云計算應用模式研究[J].中國數字醫(yī)學,2012,7(10):28-31.

[7] 周渝霞,郝玉清,顧鳳軍.虛擬服務器技術實現醫(yī)院信息系統(tǒng)安全可靠[J].醫(yī)療衛(wèi)生裝備,2010,31(9):50-51,64．

[8] 陳一君,韓雄,沈曉明,等.南京軍區(qū)“醫(yī)云工程”數據中心建設解決方案[J].中國數字醫(yī)學,2013,8(7):11-14.

Construction of Intelligent Data Center Based on Cloud Platform

YUAN Jing1, WU Hai-yan2, LIU Chang-xing1
1.Department of Medical Information, The General Hospital of Jinan Military Command, Jinan Shandong 250031, China; 2.Department of Equipment, Affiliated Hospital of Jining Medical University, Jining Shandong 272000, China

According to the development requirements of hospital informatization, virtualization technologies are used to construct the new generation of intelligent data center based on cloud platform. The intelligent data center which is constructed with centralization, virtualization and automation management architecture as well as low-cost and high level disaster tolerant center can change the traditional discrete application and process data intensively to ensure the security and stability of system data. Thus the operating costs and total costs of the data center can be reduced greatly.

cloud platform; intelligent data center; virtual machine; HIS

TP393.01

A

10.3969/j.issn.1674-1633.2014.11.017

1674-1633(2014)11-0058-04

2014-05-05

2014-10-09

劉長興，副主任技師。

作者郵箱：yuanjing0520@163.com