某省级综合三甲医院信息系统云端迁移技术问题解决思路.doc

? ? ? ? ? ? ? ? 某省级综合三甲医院信息系统云端迁移技术问题解决思路 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 某省级综合三甲医院，开放床位 3092 张，开设住院病区 78 个，设有 38 个临床科室， 15 个医技科室。 2019 年，医院完成年门急诊量 250.7 余万人次，出院 11.9 余万人次，完成手术 3.5 万台，平均住院日 8.8 天，属于中等规模的大型三甲医院。医院建设有 2 个机房，分别位于两栋不同的大楼中通过光纤相连接，院内共有 45 个各类信息系统，共有实体服务器及虚拟化服务器 200 余台。 2019 年，根据省卫建委要求，所有医疗机构不建议新建机房，所有服务都应迁移至云端，至此医院决定将院内所有系统迁移至云端。经过调研分析后，选择国内大型 ISP 商，距医院 15 公里外的核心机房中构建一个私有云，共需约 8 架 4KW 机柜，含 9 台计算节点服务器和 10 台存储节点服务器、 4 台管理监控服务器、 4 台数据库物理服务器、 1 台灾备前置机服务器、 2 台集中式双活存储、 2 台光纤交换机，配套网络设备 2 台四槽位核心交换机，万兆交换机 4 台、千兆交换机 3 台，并附有等保涉及的安全设备一并规划，安全设备将按照等保三标准统一建设。项目在建设过程中面临的技术问题和解决方案如下。 一、 网络问题： 1） 端口管控：医院计划与云机房用 40G 带宽 4 路光纤专线连接。出于安全考虑，与云端的所有连接都要经过端口管控。医院经过十几年信息化的发展，也有着自己原本的网络构架，因为做了内外网隔离，所有院内系统都是在内网中传输，只需要设定好 IP 地址就不需要考虑端口的问题。经过云端的端口管控，所有的信息系统都要对端口进行整体测试。私有云的底层架构中网卡的所有配置需要在底层运维人员的修改处理，所有网卡地址的修改都伴随着端口的统一管理，迁移后要与开发厂商共同协调各类端口。对于这个复杂的工作，整个迁移项目中采用初期调研，详细记录好所有系统及设备的端口使用情况，在云端先建立测试机，与厂商协同测试好相应网卡及端口配置，在系统测试成功后再进行迁移。 问题总结：该问题说明在一个单位将整个系统迁移到云端时一个微小的网络变动可能会带来巨大的工作量，由于端口管控符合三级等保要求，且医院未来的安全管理有赖于端口管控的实施，只能由前期充分的调研工作来减轻后期迁移的工作压力。 2）防火墙设置：信息系统上云后，所有数据将通过医院内的防火墙和云端的防火墙，防火墙的型号、支持的功能都有不同。医院内部因为历史原因，造成的复杂的网络构架，医院内网 190.1.240.0/20 网段的地址分布在 vlan1 与 vlan80 内，由于内网启用了 mux-vlan ，功能院内内网 vlan1 与 vlan80 的 190.1.240.0/20 网段内可以二层互通。随着业务逐步迁移至云端（ vlan80 的部分业务），造成院内 vlan1 中的 IP 地址无法与云端 vlan80 的地址进行二层通信，给正常业务造成影响。解决方案是医院内 vlan1 发起的流量访问至云端 vlan80 主机时，在云端核心交换机与防火墙对接链路的入接口上，配置基于源、目标 mac 地址的 vlan 映射。根据访问源、目 mac 地址，将 vlan1 内源主机的 mac 与访问到目的业务的虚机的 mac 进行匹配，并将该流量进行 vlan tag 映射，将 vlan1 转换 vlan80 ，达到 vlan1 与 vlan80 互通需求。 __ 问题总结：在将信息系统迁移到云端时，如果是新建私有云，那么最好尽量保证网络设备能够使用同厂家、型号，以免在后期工作因网络问题延缓工作进度。 二、 服务器 1）服务器的配置：项目开始初期，云端厂商做了大量的前期调研。整理了医院现有系统使用的 CPU 、内存、存储和数据库等相关信息。医院原有的无论实体机还是虚拟机都是按照 CPU 核数 1 ： 1 比例的配置，迁移至云端后，因为云计算资源调配的灵活性， CPU 核数并非按照 1 ： 1 比例配置。初期云端厂商使用 6 台服务器做虚拟化计算资源，院方认为医院内的信息系统比较复杂，有些应用系统对资源的需求量很高，云端如果按照 1 ： 3 的虚拟 CPU 核数将无法达到院内需求，甚至影响医院未来信息化发展。通过与云端厂商的讨论研究，最终云端厂商同意将计算节点服务器由 6 台增至 9 台，并把虚拟 CPU 核数的虚拟比例由 1 ： 3 降低至 1 ： 2 ，为此扩容工作将工期多拖延 2 个月。 __ 问题总结：在做私有云规划时一定与云端厂商做好充分沟通，做好需求定位的工作，大型厂商的采购流程繁琐，临时扩容就会拖延工期甚至影响