医院双中心机房虚拟化网络设计及实施.docVIP

医院双中心机房虚拟化网络设计及实施 　　摘 要 随着医疗改革的持续深入，信息系统已经成为医院最重要的基本建设项目，由于医院业务的连续性，要求信息系统能提供365*24小时的不间断服务。本文以我院建设双机房网络系统为例，详细介绍了虚拟化网络系统的设计原则和实施要点 【关键词】双中心机房 虚拟化网络 1 系统实施背景 随着医院信息化进程的不断推进，医疗业务的开展对信息系统的依赖程度的逐步加深，这就要求医院网络系统必须提供不间断的高可用性服务。对于医疗行业而言，时间就是生命，医院网络的核心部署要求实现的效果是在信息网络系统灾难发生时，信息网络系统的灾难恢复体系要提供快速无感知的切换，从而保障业务系统永不停歇。目前多数三甲医院一般都设有网络交换冗余和数据级的容灾备份机制，而对整个网络进行实时双活配置的并不多，并且大多数医院的信息中心机房只有一个，当真正的灾难来临之时业务系统立即会陷入瘫痪状态，虽然这是一个极小概率的事件，但对医院的影响是灾难性的。因此如果在医院的不同地理位置（最好是不同院区或楼宇）建立灾备机房，并且基于双机房利用网络虚拟化技术建立起实时的网络互备系统是根本解决网灾隐患比较可行的方式。在进行网络虚拟化改造前，我院的网络架构如图1所示 因为受当时网络技术所限以及实施成本的影响，这样的核心网络架构在我院已经运行约7年，虽未出现过较大的灾难性故障，但存在非常大的风险，一旦出现哪怕是单点的核心故障，都会导致长时间的大面积网瘫，其不足之处体现在以下几个方面： （1）内网核心网络设备采用两台华三S7506E交换机作为全院核心交换设备，两台设备通过VRRP协议互为备份，但由于核心层与汇聚层、接入层存在单链路的情况，两台核心设备只能实现核心冷备的方式，这种冷备的方式在切换时需要很长的切换时间，无法满足医院持续化服务能力 （2）内网接入层设备品牌和型号比较多，并且存在一些不可网管交换机，在管理和安全保障上存在很大的问题，由于接入层设备直接互联医疗终端、直接面对医疗信息化应用，因此其可靠性、稳定性也相当重要，较多的品牌和型号容易导致兼容方面的问题 （3）内网生产数据集中存在在单台存储设备中，虽然存储设备具备比较高的安全性和可靠性，但生产数据的存储介质硬盘存在一定的故障率，在硬盘故障率比较高时，存在数据丢失的风险。由于这一问题涉及的是存储灾备系统的问题，不在本文讨论范围之内，在此不做赘述 2 系统方案规划 针对实施背景所述，如何通过网络改造实现全冗余可以实时切换的核心网络系统已经成为我院非常急迫的任务。从2016年初开始，我们通过多次与网络服务公司沟通和论证，确立了基于双中心机房采用网络虚拟化技术构建双活分布式网络系统的方案，该方案通过对三层网络架构的全面改造和升级，构建了我院全新的双活核心网络系统，依照功能区分，各层网络详细规划如下： 2.1 核心层部署 如图2所示，在现有机房和新门诊楼机房分别部署 1 台高性能、高可靠性的核心交换机，作为整个院区数据交换主核心，2 台核心交换机通过机房之间的多条单模光纤链路互联，采用虚拟化技术将 2 台物理核心交换机虚拟为一台逻辑核心设备，实现核心的高可靠性、高分布性和高管理性。在现有机房和新门诊楼机房分别部署 2 台高性能、高可靠性的服务器汇聚交换机，作为两个机房 HIS、LIS、PACS 等服务器的接入设备，2 台本机房的交换机通过高速堆叠线缆互联，采用虚拟化技术虚拟为一台逻辑交换机，两个机房之间的 2 组逻辑交换机通过多条单模光纤链路，采用虚拟化技术虚拟为一个跨中心的逻辑交换机，实现服务器接入的高可靠性、高分布性和高管理性，在核心层虚拟化后，成倍提升了核心层的交换性能和骨干带宽的处理性能，并且设备之间的切换时间少于 50MS，可以保障业务无感知快速切换。核心交换机与数据中心交换机之间通过链路聚合协议，在实现链路冗余的同时，提升了传输带宽。在核心层虚拟化后，可以在虚拟交换机上规划一个或者几个二层 VLAN，作为两个数据中心服务器的专用 VLAN，通过 VLAN 网关终结在核心虚拟交换机上实现跨中心的大二层 VLAN互联，来满足虚拟机的迁移和服务器的集群切换。在两个机房核心交换机上分别旁挂 1 台负载均衡设备，通过启用服务器均衡功能，实现对来自客户端的合理请求调度。为了实现对服务器等核心设备的安全防护，在两台核心交换机上分别配置 1 块 20G 吞吐量的防火墙板卡，此防火墙可采用虚拟化技术虚拟化为一台逻辑防火墙，在简化管理的同时提高了整体性能；同时防火墙支持 1：N 的虚拟化，可以将一台防火墙虚拟化为多台虚拟防火墙，来实现对多个应用系统的差异化安全防护 2.2 汇聚层部署 如图3所示，在第一、二、三住院部和原门诊楼分别部署 1 台高性能和