集团网络改造虚拟化数据中心系统项目建设方案模板

集团网络改造虚拟化数据中心系统项目建设方案资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。信息化建设项目报告——网络改造、虚拟化数据中心系统设计单位:市立医疗集团信息中心二〇一三年七月目录31235第一章项目概况 1184161.1项目名称 1233551.2项目单位 1318931.3可行性研究报告编制单位 1203601.4可行性研究报告编制依据 160451.5项目的建设内容、目标和投资规模 127561.5.1建设内容 1257381.5.2建设目标 2156681.5.3建设规模 3169481.6经济及社会效益 38741.7结论与建议 46035第二章现状 5149552.1项目单位概况 5163492.1.1单位职责、内设及下属机构、人员编制和业务情况 54582.1.2拟建项目与项目单位职责、业务的关系 6124532.2信息化现状 6173702.2.1本单位或本事域信息化建设的整体框架规划或设想 6291492.2.2现有应用系统的情况 671992.2.3拟建项目与已有系统的关系 832483第三章项目的需求分析 11303813.1项目建议的背景 1184503.2业务现状、存在的具体问题和业务目标 11222923.3技术数据分析 1359153.3.1传统方式与虚拟方式应用的差异性 13276503.3.2单台物理服务器配置多个虚拟服务器的性能依据 15151703.3.3存储虚拟化 19319583.3.4双活数据中心 1978283.3.5连续数据保护 19267823.3.6虚拟化安全防护 2052793.3.7传统架构与虚拟化架构投入费用对比表 23272443.3.8集团网络带宽需求测算 247827第四章项目建设方案 31193064.1建设目标 31148974.2建设方案 31278824.2.1网络改造方案 31314274.2.2虚拟化双活数据中心总体架构设计 36137274.3项目建设预期目标与现状对比 3952534.4技术要求 4121332第五章项目实施进度和组织安排 5198705.1项目建设周期 51223615.2实施进度计划 51310375.3责任人和组织保障 517093第六章项目风险及控制措施 53279266.1项目实施的外部风险及控制措施 5369206.2项目实施的内部风险及控制措施 5314396.3项目长期运行风险及控制措施 556279第七章总体设备概算清单 56第一章项目概况项目名称市立医疗集团信息化建设项目项目单位马鞍山市市立医疗集团可行性研究报告编制单位马鞍山市市立医疗集团信息中心可行性研究报告编制依据卫生部印发的《医院信息平台技术解决方案(试行)》卫生部印发的《卫生部电子病历基本架构与数据标准(试行)》卫生部印发的《综合卫生管理信息平台建设指南(试行)》卫生部印发的《电子病历系统功能应用水平分级评价方法及标准(试行)》《马鞍山市市立医疗集团十二五信息规划报告》项目的建设内容、目标和投资规模建设内容1、网络改造2、服务器、存储虚拟化及虚拟化安全建设目标一、网络改造整体内网架构建设实现星型网络三层架构,核心层、汇聚层、接入层。内网实现万兆主干,千兆到桌面,部分影像楼宇实现万兆接入上行;外网利旧内网设备实现千兆主干,千/百兆到桌面。内网核心层、汇聚层、接入层设备均实现线路设备冗余,主干设备实现冗余虚拟化技术。在集团数据中心实现全面的网络虚拟化,做到计算、存储、网络的融合。各分支机构内部统一光纤规划建设:实现集团各分支机构内部线路统一部署。各分支机构、特殊部门(医疗器械等)网络实现VLAN划分:根据医疗集团实际情况及信息化管理需求进行合理、有效划分。二、虚拟化数据中心应用虚拟化技术进行现有服务器、存储、网络等设备的整合,实现虚拟化数据中心智能集中式管理,提高设备利用率,降低设备购置和运维成本,降低设备单点故障率;实现业务系统动态冗余管理和应用负载均衡,提高业务系统可用性;建立虚拟化数据中心资源池,实现计算、存储等资源动态分配,建立双活数据中心,实现同城范围的容灾,消除计划内和计划外停机,实现无停机机房迁移;实现持续数据保护,提升逻辑数据的保护能力,在一定时间范围内,能做到恢复到任意时间点,出现逻辑数据损坏时,能够及时恢复,并做到数据损失为0;经过虚拟化安全防护软件的防火墙、病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系统的全面防护;使用第三方的ApplicationHA软件,经过监视和控制虚拟环境中的应用程序,实现关键业务应用程序的高可用性。建设规模项目涉及市立医疗集团下属人民医院(三级甲等)、妇幼保健院(二级甲等)、市中医院(二级甲等)、传染病医院及集团南部诊疗园区五个医院和市立医疗集团托管的八个社区服务中心。网络改造:采购高性能数据中心核心交换机冗余系统、高性能数据中心汇聚交换机冗余系统1套,交要负责服务器及存储的万兆双活上连,千兆/万兆接入;根据实际需求增加汇聚及接入层交换机,实现万兆主干,千兆/万兆到楼层,千兆到桌面,双链路建设。虚拟化数据中心:经过采购24颗CPU或12台物理服务器授权的服务器虚拟化软件、虚拟化安全防护软件,20套ApplicationHA软件,2台存储虚拟化设备,1台连续数据保护设备并增购一台高性能存储设备,综合运用虚拟化技术在信息中心主机房和南园灾备机房实现双活数据中心,使用12台高性能物理服务器最多虚拟出90台逻辑服务器。经济及社会效益一、经济效益本项目的实施对于马鞍山市将直接和间接产生巨大的经济效益。集中化的管控中心能够完成绝大部分的IT管理职能,大大减少了琐碎的管理事务,提高管理人员的生产效率;降低总体拥有成本、提高投资回报率;提高服务器、存储和网络等的资源利用率,从而降低硬件成本,降低运营和维护成本,陈旧硬件和应用系统的投资保护,提高了业务系统的可用性,移动性和灵活性。二、社会效益从绿色环保角度看,本项目的建设能够做到”节能减排”,提高运营效率,增强系统安全性,提升医院整体服务水平,更好的为社会提供医疗服务。结论与建议本项目建设规划目标明确,建设步骤方案合理实用,前期准备工作考虑充分,资金来源有保障,各方面的建设条件都很成熟。本项目建成后不但社会效益明显(主要体现在提高医院效率,提升为民服务水平两个方面),还能够带来间接的经济效益。因此,该项目建设不但必要,而且可行,应当尽快规划建设。建议:(1)本项目建设中应加强系统规划、管理培训和技术维护人员的培训,保证系统建成后的正常运营和维护。(2)该项目建设应按照本市的有关规定,严格进行工程项目的管理。(3)该项目建设要加强成本控制,有关项目建设的发包、分包应经过公开招标、择优选用。同时要积极运用技术经济的方法,努力降低成本。第二章现状2.1项目单位概况2.1.1单位职责、内设及下属机构、人员编制和业务情况马鞍山市市立医疗集团(以下称市立医疗集团)为市政府直属正处(县)级事业单位,为社会公益类事业法人单位,承担市政府办医职能,并由市政府授权,负责市级公立医疗机构国有资产的投资、管理、运营。市立医疗集团设立管理机关,根据职责和工作任务,管理机关内设7个职能机构,分别为办公室、人力资源部、财务部、规划发展部、质量与科技管理部、党群工作部、干部保健办公室。市立医疗集团下辖市人民医院(三级甲等)、市妇幼保健院(二级甲等)、市中医院(二级甲等)、开发区南部诊疗园区、市传染病医院、八个社区卫生服务站、临床检验中心、药品器械采购管理中心和信息中心等分支机构。现有职工总人数2100余人,拥有开放病床总数1600余张。人民医院现有临床科室30个,保健院现有临床科室8个,中医院现有临床科室5个,传染病医院现有临床科室3个,开发区南部诊疗园区开设临床科室6个。组织结构图如图1所示:总院长、副总院长总院长、副总院长市人民医院市妇幼保健院市中医院市传染病医院临床检验中心药品器械采购管理中心信息中心财务部人力资源部办公室质量与科技管理部办公室党群工作部规划发展部乡镇卫生院社区卫生服务中心总院长、副总院长市人民医院市妇幼保健院市中医院市传染病医院临床检验中心药品器械采购管理中心信息中心财务部人力资源部办公室质量与科技管理部总院长、副总院长市人民医院市妇幼保健院市中医院市传染病医院临床检验中心药品器械采购管理中心信息中心财务部人力资源部办公室质量与科技管理部办公室党群工作部规划发展部乡镇卫生院社区卫生服务中心图1市立医疗集团组织架构2.1.2拟建项目与项目单位职责、业务的关系马鞍山市市国家公立医院改革的试点城市之一,既是机遇也是责任,既肯定了既有的改革工作,也对未来发展提出了更高的要求。为了保证已取得的改革成果持续有效并满足以信息化手段助力医改的要求,市立医疗集团紧紧围绕”打造集团化数字医院平台”这一目标,积极开展”以病人为中心”的各项信息化项目建设。为进一步贯彻国家”十二五”期间卫生信息化建设规划,今年集团将继续推进信息化基础设施建设,完善集团网络架构体系,重点建设以云技术为基础架构的虚拟化数据中心,进一步提升公立医院的竞争力和可持续发展能力,为人民群众提供优质就医服务,推动医疗卫生事业快速健康发展。2.2信息化现状本单位或本事域信息化建设的整体框架规划或设想市立医疗集团卫生信息化建设工作总的指导思想是,以服务和服从于”管办分开、政事分开”及”区域医疗资源重组”为核心内容的”马鞍山模式”的医疗卫生体制改革与发展为宗旨,以思路创新、机制创新、工作创新为动力,以促进医疗卫生服务能力和管理水平的提高为目标,以病人为中心,以”服务患者、服务临床”为宗旨,以建立智能型数字化医院为方向,整合信息资源,综合运用现代信息技术,稳步实效地推进集团信息化建设。充分利用信息技术提高集团现代化管理水平和竞争实力,提升医疗服务质量,为集团科学化、规范化发展及各项工作的正常运转提供信息化方面的有力保障,全面推进卫生信息化建设健康、可持续发展。2.2.2现有应用系统的情况市立医疗集团现有信息系统30多个,使用了40多台物理服务器,6台性能各异的存储设备,随着应用系统的不断增多和应用集成的要求,还需要近20台的服务器,具体情况见表1。表1市立医疗集团信息系统一览表序号项目名称实施时间服务器及容灾情况1集团HIS系统现使用10台服务器实现双机热备、双存储,未实现异地备份,如需实现异地备份机制还需2台服务器。集团LIS系统门诊电子病历系统.09门诊排队叫号系统.12集团”一站式服务”平台.11集团”一卡通”系统.12集团临床路径管理系统.62病案管理系统.08使用1台服务器,2台低端存储。历史病案翻拍查阅系统.103集团住院电子病历(EMR).09使用了3台服务器,实现双机热备,共享一台vnx5100存储。电子病历质控服务器.94集团数据集成平台(SOA).3使用了6台服务器,实现了双机热备,共享一台vnx5100存储。集团运营管理系统(HRP).3集团药品配送管理系统.9财务管理软件.35集团影像存档与传输系统(PACS).10使用了8台服务器,实现了双机热备,共享一台vnx5100存储。6集团合理用药管理系统.91台单独服务器7健康体检管理系统.052台服务器,1台独立低端存储。8门诊移动输液管理系统.111台单独服务器9集团住院医师规范化培训管理系统.051台单独服务器10干部保健管理系统.031台单独服务器11百信源内网管理软件.61台单独服务器12网络版杀毒软件.111台单独服务器内网及时通讯软件.113手术麻醉与ＩＣＵ系统在建项目需服务器６台,无存储空间。14机房及网络IT运维系统.111台单独服务器15各业务系统所需应用服务器预计需5台,当前均与其它业务系统共用。16HQMS医疗数据上报系统筹建项目需1台单独服务器17医疗信息发布平台.31台单独服务器18医学数字图书馆.111台单独服务器,内置大容量硬盘19办公OA系统.121台单独服务器20集团网站.81台单独服务器21社区综合信息管理系统筹建项目预计需要3台服务器22测试服务器急需3台以上服务器。2.2.3拟建项目与已有系统的关系当前集团在用的业务系统有三十多个,只有少数几个核心系统实现了双机热备,数据异地容灾还没有有效的建立起来,许多重要的业务系统还是单机运行模式,有着很大的安全隐患;业务系统的管理也面临着很大的压力,由于部分服务器使用已达5年,服务器硬件的稳定性越来越差,故障恢复时间也比较长。当前使用的服务器数量40多台,存储6台,没有形成有效的集中管理机制,造成大量的服务器作为备机闲置,同时少数核心服务器负载过重,存储空间整体上不够用而局部存储空间大量闲置的问题等,按照原有的方式还需要20台以上服务器才能基本满足业务发展需求。根据集团实际情况和业务发展的需要,拟建立虚拟化数据中心,构建基于云技术的虚拟化平台,经过简化业务基础架构创立更动态、更灵活的虚拟化双活数据中心,提高业务敏捷性,消除计划内和计划外停机;应用虚拟化技术进行服务器、存储、网络的整合从而实现业务系统灾备、高效的管理和成本的节约。2.2.4现有网络、设备以及其它信息资源情况网络从上面整理的网络拓扑图中能够看出,当前医疗集团网络分为四个层次:边界接入层,核心层,汇聚层,接入层。主干均采用光纤线路,实现千兆主干,百兆到桌面。集团内各分支机构经过光纤专线连接,实现了互联互通、独立的物理内、外网络。边界接入层:边界接入层主要功能为对外提供安全的数据访问,如与农合、医保、银行、医药公司等的数据交换;核心层:核心交换机采用一台模块化交换机,经过千兆光纤连接到汇聚交换机;汇聚层:汇聚层设备采用的是千兆系列交换机;接入层:接入层设备采用的是百兆端口接入交换机。远程连接在内部网上,暂时未提供任何外部远程连接,因此院内业务均需在院内完成;在集团层面,能够直接访问外部网;服务器、存储及网络设备集团的服务器主要以PC服务器为主,主要作用是作为各应用系统的中央数据服务器,集团内的很多小型信息系统采用普通PC机作为服务器;核心交换机:1台汇聚交换机:12接入交换机:100服务器:40台存储6台:EMC-51001台、EMC-2402台、EMC-1201台、HP低端存储2台操作系统集团内使用的电脑主要使用Windows操作系统。在内网,主要使用北信源内网管理软件来对所有的内网机器进行管理,同时使用金山毒霸杀毒软件来完成内网系统的杀毒。数据库使用了DB2、Oracle、MSSQLServer、MySQL数据库管理系统。桌面系统集团内主要采用Windows系统作为桌面操作系统。信息安全完整的信息安全机制应该从技术手段和行政手段两个角度入手:在技术手段上,集团采用内外网物理隔离的方法来保证内部诊疗信息的安全,同时在内网使用了网络管理软件,以防止不合法的访问。容灾备份系统HIS、LIS实现了完整的双机热备机制,EMR、PACS、SOA、HRP实现了双机热备,可是数据都运行在一台EMC5100存储上,没有实现数据备份机制。所有系统尚未实现异地容灾。项目的需求分析3.1项目建议的背景卫生部等五部委颁布的《关于公立医院改革试点的指导意见》,在全国范围内确定了17个试点城市,马鞍山市位列其中。特别要指出的是,此次《指导意见》明确提出了信息化建设对于医疗改革的重要性,要求研究制订医疗机构内部信息管理的规定和标准,充分利用现有资源逐步建立医疗机构之间的互联互通机制,构建便捷、高效的集团医院信息平台,与区域卫生信息平台连接、以电子病历和医院管理为重点的集团医院信息化网络,支持马鞍山市推进公立医院改革工作,促进公立医院改革目标的实现。依据《中共中央国务院关于深化医药卫生体制改革的意见》和《基于健康档案的区域卫生信息平台建设指南》,配合卫生部印发的《电子病历基本规范(试行)》和《医院信息平台技术解决方案(试行)》,结合马鞍山市卫生事业发展实际情况,构建”健康马鞍山”的发展需要,在”十二五”期间,利用五年时间,以市民健康管理为核心,加快建设市立医疗集团信息化建设,经过网络改造、虚拟化数据中心和移动医护应用临床信息系统等项目的上线,实现各医疗机构临床工作效率的提升,医政管理能力的提升,实现集团内医疗卫生行政部门、医疗卫生服务机构的互联互通、资源共享;促进集团内卫生资源在信息化条件下的优化组合,实现各类医疗数据更好的对接,做到共享卫生和信息资源,增强防疫监控、慢病管理、应急处理和救治能力。3.2业务现状、存在的具体问题和业务目标3.2.1业务现状市立医疗集团使用电信运营商的裸光纤将几家医院的网络连接在一起,在整个集团层面形成统一的内部网以及统一的外部网,所有的医院信息化业务如HIS、LIS等均在内部网使用,同时为了保证内部网的数据安全,内部网与外部网之间采用物理隔离;中心机房内网一台千兆核心交换机,接入层交换机为低端产品,不支持三层交换,单链路,单点故障风险突出;无网络分析软件;内网在一个B类网段内,没有进行VLAN划分。内外网数据交换主要经过移动硬盘、U盘等移动存储设备进行,效率和安全性较差,无网闸设备;医保、农合、银行等系统接入设置了硬件防火墙,无防病毒网关,外网WEB应用软件无WEB应用防护设备。市立医疗集团数据中心当前以X86服务器为主,运行着三十多个应用系统。当前x86服务器数量四十余台,其中大部分服务器负载非常小,没有达到充分利用的状态。不同服务器之间配置、性能和负载差别较大,还有些设备已十分陈旧,可靠性低,性能较差,急需更新。存储系统,包括1台EMCVNX5100存储、2台EMCCX4-210用StorageFoundation做2+2集群;1台EMCCX4-120存储部署在备份机房,用BackupExec做远程备份。随着系统的不断增多,信息系统的维护工作给信息中心带来了很大的压力;随着应用的深入,新系统不断地增多,如果采用购买新机器的方式支撑应用系统发展,必然造成极大的运算资源和资金的浪费;原有的一些系统由于负载的增加和系统优化的需要,必须进行负载均衡和容灾备份,而采用购买新设备的方式,显然有些耗费过大。基于上述情况,决定采用以虚拟方式实现IT系统的简化。3.2.2存在的具体问题集团各医院间的网络连接为单链路,中心机房只有一台千兆核心交换机,接入层交换机为低端产品,不支持三层交换和客户端绑定,单点故障风险十分突出;缺少网络监控和分析软件,排除网络故障困难;内网在一个B类网段内,没有进行VLAN划分,网络风暴和管理难度大。服务器性能低下,部分服务器都是很久以前采购的服务器,服务器已经过保,且很多业务开始并未考虑双机热备,服务器的性能和稳定性已经得不到保障。利用效率低下,由于每种业务运行都有高峰和低谷的周期,服务器不得不分别按照峰值配备,大量时间运行空闲,再加上可靠性考虑分别配置双机,不得不牺牲更多的计算资源。运维成本居高不下,由于服务器数量越来越多,对数据中心的空间、网络、耗电、制冷等消耗越来越大,成本越来越高。由于多个系统用多台存储这种分散式结构要求在单个系统层次上频繁地进行性能调节和资源调节。在维护和支持上会造成额外的财务、运营和业务费用。同时,分散式结构也难以实现容灾和可用性。管理复杂,响应速度滞后,每个业务系统的服务器的安装、升级、维护,以及高可用性和灾难备份没有统一的管理手段,只能因系统而异,管理难度大,无法响应业务系统的要求。随着医院信息化的发展,HIS系统,LIS系统,PACS系统等重要系统对安全性,可靠性的要求越来越高。硬件设备数量越来越多、硬件设备利用率越来越低、维护与运营成本越来越高、设备占用空间越来越大。面对上述问题,我们必须采取措施对现有IT系统进行全面改造。3.2.3业务目标基于上述情况,必须采取措施对现有网络和信息系统进行全面改造,采用虚拟化技术实现信息系统的简化,以达到以下业务目标:全面的网络虚拟化,计算、存储、网络的融合,实现万兆主干,千兆到楼层,百兆/千兆到桌面,实现内网物理链路热备份,节点交换机采用双链路;现全路由组网模式,内网所有交换机均支持三层交换,在接入层实现VLAN划分,三层交换、端口控制和访问控制等放入接入层交换机上实现。应用虚拟化技术进行现有服务器、存储、网络等设备的整合,降低设备单点故障率,提高设备利用率;建立虚拟化数据中心资源池,实现资源动态分配,提高数据中心的可扩展性,使用虚拟化技术对现有IT资源进行整合,使用12台双路服务器虚拟出90台逻辑服务器,确保今后一段时间内不需要购置新的服务器;结合第三方HA软件,采用虚拟化架构实现业务系统的高可用性、系统容错、灾难恢复等;实现业务系统动态冗余管理和应用负载均衡;实现数据集中备份与还原,提高数据安全水平;应用虚拟化技术实现异地容灾,消除计划内和计划外停机;实现无停机机房迁移;实现虚拟化数据中心智能集中式管理,降低设备购置和运维成本。3.3技术数据分析3.3.1传统方式与虚拟方式应用的差异性序号分项传统架构虚拟架构1管理节点90台12台2故障节点90台12台3承载应用如果按照每台服务器承载一种应用,则为90种,考虑到一台服务器上适当部署多个应用,能够到承载150种应用按照每台服务器虚拟6~8台虚拟机的话,能够实现90台以上的逻辑服务器,能够轻松实现独立承载150种应用。4可扩展性传统架构不具备可扩展性,如果需要扩展,必须对硬件设备进行升级。而根据ITC的统计报告,具有较强扩展性,能够根据系统检测的日志记录,分析所有设备的负载状况,并根据负载状况进行调整,及时调整每台虚拟机(对应于传统架构的每台服务器)的资源配置(CPU、内存、磁盘容量等)5动态资源分配不能进行动态的资源调配,每台物理服务器实际配置如何,则其资源就固定为多少,不能及时的更改,必须重新购买。虚拟架构能够实现动态的资源分配,实现用户按照应用来规划IT架构而不是按照硬件来规划IT6可用性传统架构如果不单独购买第三方容灾软件,是无法实现高可用的功能的,而且容灾软件是按照容灾的节点来计算费用,维护起来,技术人员的培养成本较高虚拟架构本身就具有高可用的功能,不需要额外购买第三方的容灾软件,能够直接上线服务器之间的集群,任何一台服务器出现故障,其上的应用均可被其它集群内里面的服务器接管7安全性传统方式需要借助安全管理软件才能实现安全的防护采用虚拟架构的部署,在整个架构的部署上就具有安全性,管理IP与应用IP分层,同时虚拟架构本身带有内置防火墙,用户的权限也具有分级控制的功能,能够实现多个层面的安全控制,也不需要增加额外的成本8可管理性传统架构需要管理员到达机房进行单个节点的维护和管理,如果要在控制台集中控制,则必须购买KVM系统,会产生额外的费用,而且,在进行人员权限控制时,无法根据不同的人进行分级别管理虚拟架构能够做到统一管理中心对所有的虚拟机管理,用户架构好系统后永远不需要再进机房直接对硬件设备进行操作,用户只需要在本机经过管理中心加密传输进行管理,能够实现传统方式的所有操作9应用负载传统方式实现应用负载是借助第三方的负载软件加上服务器来实现虚拟架构同样能够实现传统方式的应用负载,而且更加方便,每一台虚拟机就对应原来的一台物理服务器,在传统方式上可实现的应用负载架构同样能够在虚拟架构上部署,同时虚拟架构还能够讲所有的虚拟机变成模板部署,处于静态方式,如果任何虚拟机出现问题,能够及时用备用机器代替,实现的时间也就是一份钟,而传统的方式则需要重新调试机器上的有关设置,至少需要半天的时间。3.3.2单台物理服务器配置多个虚拟服务器的性能依据根据统计,对于传统的服务器应用方式,一般服务器的平均利用率在5-15%之间,而采用虚拟架构整合后,服务器的平均利用率可达到60%-80%。我们以此统计数据为基础,来估算一下一台高配置的服务器能够支持的虚拟机的数量。为了有一个可比较的参考性能值,我们选定SPECCPU的CINTRates值做为性能参考依据,SPECCPU的CINTRates考察的是服务器多CPU情况下的整数运算能力。首先,如果采用传统的单台物理服务器部署应用的方式,假定全部使用一台双路双核IntelXeon3.16(X5460)GHzCPU的服务器,从SPEC官方网站上,可查得其CINTRates的结果为12.5。按照一般服务器的利用率情况,假定平均单台服务器利用率在10%左右,则一个应用环境实际消耗掉12.5*10%=1.25个CINTRates值。为了进行服务器虚拟化整合,我们假设配置3台IBM3650M3服务器,从SPEC官方网站上,可查得其CINTRates的结果为33。服务器采用虚拟化整合后,利用率可达到60%-80%,我们按照保守的60%来计算,则整合后的服务器共消耗掉33*60%=19.8个CINTRates值。于是,我们能够计算出,一台IBM的两路服务器,能够配置出19.8/1.25=15个相当于双路双核的服务器效率能力的虚拟机,而这已经是很保守的计算了。在实际应用中,很多时候,完全能够按照一个CPU能够配置6~8台相同CPU处理能力的虚拟机来计算。经过上面的计算,我们完全能够经过在12台两路服务器上创立多达90个的虚拟服务器的方式,来完成传统方式需要90台双路双核服务器才能完成的工作,用户在降低成本的方式,还大大减少了环境的复杂性,降低了对机房环境的需求,同时具有更灵活稳定的管理特性。采用虚拟架构相比于传统单台服务器部署单一应用方式的另外一个好处是,能够充分满足不同应用对系统资源的不同要求,如有的应用只需要一个3.0GHzCPU,512MB的内存就能够很好的运行,而有的高访问率、高吞吐量的应用则需要2个甚至是4个双核的CPU,16GB的内存才能保证稳定的运行,在传统方式下,往往不可能针对每一种应用来采购服务器,而是用一种或几种标准配置的服务器来统一采购,这样,势必会造成某些应用资源富裕,而另一些应用面临资源紧张的情况,且应用之间不能互相调配资源。采用虚拟架构后,由于每个虚拟机所需使用的系统资源都是由虚拟架构软件统一调配,这种调配能够在虚拟机运行过程中在线的发挥作用,使得任何一个应用都能够有充分保证的资源来稳定运行,同时,该应用在此时用不到的资源又能够被其它更需要资源的应用临时借用过去,最大限度的提高了整体系统的资源利用率。3.3.3虚拟化HA集群功能存在的不足如上图所示,上图中左边是生产服务器,右边是备用服务器。当左边生产服务器硬件故障后,虚拟化HA集群功能能快速的将该主机上虚拟机迅速的切换到备用主机。分析虚拟化HA集群功能集群存在以下问题:1、所有虚拟化HA集群构架内的切换都不能防止虚拟机OS的不可还原故障。由于虚拟化HA集群功能有别于传统HA构架,在传统HA构架内永远有多余1个OS实例运行,而在虚拟化HA集群功能内永远只有1个OS实例。若虚拟机OS发生不可还原的故障,则在虚拟机HA构架内,无论如何切换皆无法启动此虚拟主机,也就造成应用无限期中断。2、单纯的虚拟化HA软件仅考虑ESX/ESXi物理机停机或者虚拟机停机,并未考虑虚拟机内应用的故障或者构成虚拟机内应用的关键部件故障。同时,虚拟化HA也未对于中大型虚拟环境系统的容灾切换。容灾切换一般牵涉到多个虚拟环境的切换关联。如下表业务可持续需求业务可持续需求发生频率VMware自有集群管理功能应用程序故障切换最高不支持同一系统内应用程序的有序启动最高不支持管理人员误操作导致的故障高不支持配置变更高不支持系统当机高满足网卡故障切换高不支持存储故障切换中不支持虚拟机故障切换中满足物理主机故障切换高满足数据中心灾难低部分满足经过上面的表格,我们能够看到虚拟化HA主要是对ESX所在地物理主机故障进行监控,而对每个虚拟机内部应用是无法监控的。在实际生产中数据中心管理人员也发现大量的应用故障虚拟化软件根本不去切换,将小故障变成了长时间无法恢复业务的大故障。从上述的对比能够看出,虚拟机HA只能满足基本的系统当机切换要求,虚拟化数据中心迫切需要一种针对”端到端”的高可用解决方案,来弥补虚拟机HA的不足。3、第三方的应用程序HA解决方案,经过前文所述,虚机HA的缺陷就是无法监控虚拟机内部应用,而应用故障是发生频率最高的故障,经过与虚机HA进行集成解决这一缺陷。ApplicationHA负责监控虚拟机内部应用然后与虚机HA进行联动。3.3.3存储虚拟化市立医疗集团数据增长速度非常之快,而管理数据能力的提高速度总是远远落在后面。经过存储的虚拟化,屏蔽硬件差异性,实现后端存储可靠性和可用性,实现跨异构阵列的数据迁移,能够简化频繁迁移的难度、复杂程度。支持跨站点数据迁移和定位,能够实现站点阵列和虚拟数据的迁移,提升双数据中心或多数据中心的可用性及灵活性。将存储资源虚拟成一个”存储池”,把许多零散的存储资源整合起来,从而提高整体利用率,同时降低系统管理成本。能够对整合起来的存储池进行划分,以最高的效率、最低的成原来满足各类不同应用在性能和容量等方面的需求。3.3.4双活数据中心结合虚拟服务器和虚拟存储技术,实现双活数据中心。两个数据中心均运行日常应用,一方面,某一数据中心在出现灾难时,不需要进行切换,另一个数据中心自动接管应用,不会造成停顿,消除RTO,免除切换的各项复杂操作,不会因为切换而造成各种风险,另一方面,也完全消除了计划性停机。利用存储虚拟化技术实现分布式联合,跨数据中心透明地移动和共享工作负载(包括整个虚拟机)、整合数据中心,以及优化资源利用率。把应用、数据从物理资源中解放出来,所有的资源变成按需分配可付资源,应用加数据是按需求来挑选需要使用的资源并可实现跨地域的流转,实现两个数据中心的数据整合。3.3.5连续数据保护传统的备份手段一般备份时间间隔长,数据丢失量大,恢复速度也很慢,这些问题无法满足医院HIS、LIS等在线系统的要求。而连续数据保护将注意力从备份转向了恢复。连续数据保护是数据保护领域的一项重大突破。在过去,各种数据保护解决方案都将主要精力放在定期的数据备份上。可是,在定期备份状态下却又会产生像备份时间窗口、打开的文件及数据库的保护以及备份操作过程对业务系统的影响等问题。今天,CDP已经使数据保护全面改观,而且将注意力的焦点从备份转向了恢复。CDP能够为重要数据中的变化提供连续的保护,IT管理员根本不需要考虑备份的问题。当灾难发生时,基于CDP的解决方案能够迅速恢复到任何一个需要的还原点,从而为用户提供更大的灵活性。利用CDP技术在主机房及灾备机房之间建立镜像卷,这样即使主机房出现灾难状况,容灾机房依然能够保证数据的安全;CDP除镜像卷外,还有日志卷,这样,如果出现诸如病毒、误操作、非法篡改等造成的逻辑数据,利用CDP方式,能够回滚到任意时间点(在日志空间许可范围内),避免了传统的备份每天只能够备份一次,数据损失量大的问题。这样就解决了本地的高可用,又解决了逻辑数据保护问题。3.3.6虚拟化安全防护虚拟服务器基础架构除了具有传统物理服务器的风险之外,同时也会带来其虚拟系统自身的安全问题。新安全威胁的出现自然就需要新方法来处理。虚拟化环境内存在的几点安全隐患:1、虚拟机之间的互相攻击由于当前使用传统的防护模式,导致主要的防护边界还是位于物理主机的边缘,从而忽视了同一物理主机上不同虚拟机之间的互相攻击和互相入侵的安全隐患。2、随时启动的防护间歇由于将大量使用服务器虚拟化技术,让IT服务具备更高的灵活性和负载均衡。但同时,这些随时由于资源动态调整关闭或开启虚拟机会导致防护间歇问题。如,某台一直处于关闭状态的虚拟机在业务需要时会自动启动,成为后台服务器组的一部分,但在这台虚拟机启动时,其包括防病毒在内的所有安全状态都较其它一直在线运行的服务器处于滞后和脱节的地位。3、系统安全补丁安装当前虚拟化环境内仍会定期采用传统方式对阶段性发布的系统补丁进行测试和手工安装。虽然虚拟化服务器本身有一定状态恢复的功能机制。但此种做法仍有一定安全风险。无法确保系统在测试后发生的变化是否会因为安装补丁导致异常。集中的安装系统补丁,前中后期需要大量人力,物力和技术支撑,部署成本较大。4、防病毒软件对资源的占用冲突导致AV(Anti-Virus)风暴传统杀毒软件在防护效果上能够达到安全标准,但如从资源占用方面考虑存在一定安全风险。由于每个防病毒客户端都会在同一个物理主机上产生资源消耗,而且当发生客户端同时扫描和同时更新时,资源消耗的问题会愈创造显。严重时可能导致ESX服务器宕机。经过以上的分析是我们了解到虽然传统安全设备能够物理网络层和操作系统提供安全防护,可是虚拟环境中新的安全威胁,例如:虚拟主机之间通讯的访问控制问题,病毒经过虚拟交换机传播问题等,传统的安全设备无法提供相关的防护,针对虚拟环境需要全新的信息安全防护方案,经过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系统的全面防护,并满足信息系统合规性审计要求,采用基于虚拟化的安全解决方案,构建虚拟化平台的基础架构多层次的综合防护。5、病毒防护防护传统的病毒针防护解决方案都是经过安装Agent代理程序到虚拟主机的操作系统中,在整合服务器虚拟化后,要实现针对病毒的实时防护,同样需要在虚拟主机的操作系统中安装防病毒Agent程序,可是服务器虚拟化的目的是整合资源,最大化的发挥服务器资源的利用率,而传统的防病毒技术需要在每个虚拟主机中安装程序,例如:一台服务器虚拟6台主机,传统方法将Agent需要安装6套,而且在制定扫描任务就需要消耗虚拟主机的计算资源,这种方式并没有达到节约计算资源的效果,反而增加了计算资源的消耗,而且在病毒库更新是带来更多的网络资源消耗。针对虚拟化环境提供创新的方法解决防病毒程序带来的资源消耗问题,经过使用虚拟化层相关的API接口实现全面的病毒防护。具体如下:6、针对虚拟系统,实现底层无代理病毒防护针对虚拟系统中经过接口实现针对虚拟系统和虚拟主机之间的全面防护,无需在虚拟主机的操作系统中安装Agent程序,即虚拟主机系统无代理方式实现实时的病毒防护,这样无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗,最大化利用计算资源的同时提供全面病毒的实时防护。7、访问控制传统技术的防火墙技术常常以硬件形式存在,用于经过访问控制和安全区域间的划分,计算资源虚拟化后导致边界模糊,很多的信息交换在虚拟系统内部就实现了,而传统防火墙在物理网络层提供访问控制,如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。基于虚拟技术的防火墙提供全面基于状态检测细粒度的访问控制功能,能够实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离,同时支持各种泛洪攻击的识别和拦截。8、入侵检测/防护同时在主机和网络层面进行入侵监测和预防,是当今信息安全基础设施建设的主要内容。然而,随着虚拟化技术的出现,传统的入侵监测工具可能没法融入或运行在虚拟化的网络或系统中,像它们在传统企业网络系统中所做的那样。需要对虚拟交换机允许交换机或端口组运行在”混杂模式”,这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。除了提供传统IDS/IPS系统功能外,还提供虚拟环境中基于政策的(policy-based)监控和分析工具,使流量监控、分析和访问控制更精确,还能分析网络行为,为虚拟网络提供更高的安全性。9、虚拟补丁防护随着新的漏洞不断出现,为系统打补丁上疲于应付,等待安装重要安全补丁的维护时段可能是一段艰难的时期。另外,操作系统及应用厂商针对一些版本不提供漏洞的补丁,或者发布补丁的时间严重滞后,还有最重要的是,如果IT人员的配备不足,时间又不充裕,那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。经过虚拟补丁技术完全能够解决由于补丁导致的问题,经过在虚拟系统的接口对虚拟主机系统进行评估,并能够自动对每个虚拟主机提供全面的漏洞修补功能,在操作系统没有安装补丁程序之前,提供针对漏洞攻击的拦截。虚拟补丁功能既不需要停机安装,也不需要进行广泛的应用程序测试。虽然此集成包能够为IT人员节省大量时间。10、完整性审计针对系统支持依据基线的文件、目录、注册表等关键文件监控和审计功能,当这些关键位置为恶意篡改或感染病毒时,能够提供为管理员提供告警和记录功能,从而提供系统的安全性。11、日志审计和报表功能提供全面的系统日志和详尽的报告功能,除了记录自身的各功能日志外,还能够将虚拟主机操作系统日志结合自身日志进行统一的统计和分析,日志系统还能够生成符合国际相关安全规范的报表。经过对日志进行分析能够让管理员跟踪IT基础设施的活动,评估服务器数据泄密事件是否发生、如何发生、何时发生、在何处发生的有效方法。3.3.7传统架构与虚拟化架构投入费用对比表传统架构与虚拟化架构投入成本对比表首次购买硬件成本:按80台中档次双路服务器计算传统方式虚拟化方式虚拟化方式节约资金增加40台物理服务器(按HP380计算)3*40=120万现有12台高性能服务器扩内存+虚拟化软件可实现90台逻辑服务器。90万30万40台服务器需要增配2个48口千兆电口交换机插板,增配4个24口san交换机以及光模块和光纤跳线等。25万现有设备可满足025万40台服务器需要2台KVM20万无需KVM020万增加的用电费用(按照1年计算)40台1000瓦:40台*1.0千瓦*24小时*365天*1年*0.56元/度≈20万020万空调费用(空调耗电费用为服务器耗电的40%)20*40%=8万08万合计:19390103总结:虚拟化方式第一年比传统方式节约:100万元,以后每年电费及管理维护费用至少能够节约30万元以上。3.3.8集团网络带宽需求测算1、人民医院PACS系统对带宽与设备的需求分析1)此部分主要分析人民医院中各影像设备同时向PACS服务器存储数据时对网络带宽的占用情况。需要接入PACS网络的设备见下表:人民医院各影像系统中不同设备次/人传输的数据量统计表设备名称型号DICOM接口标准(是否支持worklist)数量检查人次/天日数据量数据量(次/人)西门子Avanto1.5TDICOM3.0(支持)1804-5GByte512Mbit(按5G计算)GE64排LIGHTVCTDICOM3.0(支持)1404GByte819Mbit双排CTHISPEEDNX/IDICOM3.0(不支持)11002GByte164Mbit血管造影系统FD20DICOM3.0(支持)142GByte4096Mbit共计:5591Mbit数据量(次/人)计算方法:数据量(次/人)＝日数据量×1024×8÷(检查人次/天)。若在影像中心部署万兆上行,千兆下行接入层交换机,网络延迟如下表所示:千兆带宽到影像设备/万兆上行的网络延迟统计表设备名称型号DICOM接口标准(是否支持worklist)数量检查人次/天数据量(次/人)工作站宽延迟(秒)西门子Avanto1.5TDICOM3.0(支持)180512Mbit0.73秒GE64排LIGHTVCTDICOM3.0(支持)140819Mbit1.17秒双排CTHISPEEDNX/IDICOM3.0(不支持)1100164Mbit0.23秒血管造影系统FD20DICOM3.0(支持)144096Mbit5.85秒万兆上行的传输的延迟:5591Mbit0.80秒延迟计算方法:工作站(到接入交换机数据传输的)延迟为:数据量(次/人)÷千兆带宽的实际传输能力;万兆上行数据传输延迟为:总数据量÷万兆带宽的实际传输能力。分析如下:考虑在影像中心配置一台千兆下行,万兆上行的接入交换机,现有的H3C1526百兆下行的交换机已不能满足数据转发的要求,H3CS1526在同时传输数据时,将达到近8秒的延迟,并会出现网络拥塞现象,网络会产生流量停滞、延迟、丢包,TCP全局同步等,将严重影响网络的正常业务开展。假设在未来的3－5年内数据量增加2倍,传输的数据达到11182Mbit,万兆上行的延迟达到1.6秒的情况下。建议现在至少部署两条万兆上行链路,这样即解决了网络中可能出现的延迟、拥塞现象,又考虑到链路的可靠性和可扩展性以及其它应用系统对带宽的使用。人民医院住院病房调用PACS图像时的分析,此部分主要考虑住院楼工作站在调取影像时,PACS系统对带宽,网络延迟的影响。医院名称住院楼层数西门子Avanto1.5TGE64排LIGHTVCT双排CTHISPEEDNX/I血管造影系统FD20带宽(Mbit)延迟(秒)带宽(Mbit)延迟(秒)带宽(Mbit)延迟(秒)带宽(Mbit)延迟(秒)人民医院住院病房楼18层184322.63294844.2159040.8414745621.072号病房楼4层40960.5965520.9413120.19327684.68老干部病房楼5层51200.7381901.1716400.23409605.85共计276483.9544226.006.328856.001.2722118431.60平均带宽75479Mbit平均延迟10.79秒带宽计算方法:各设备影像数据量×(楼层数×工作站数),各设备影像数据量:见表1中数据量(次/人);楼层数:见表1.3中层数;工作站数:按2个计算;例:以住院病房楼采用西门子Avanto1.5T为例,其数据量在调取时数据量大小是:512×18×2=18432Mbit。延迟计算方法:带宽÷实际传输带宽,实际传输带宽:万兆按7000Mbit计算。分析:带宽占用最大的是血管造影系统FD20,最小的是双排CT。到极端情况下,当各住院病房楼同时调用血管造影系统,将占用221.184Gbit带宽;各住院楼同时调用流量最小的双排CT,将占用近9G带宽。同时调用PACS系统时的平均带宽为75.479Gbit。PACS各系统对带宽的占用超过万兆10G的2－22倍,在设计带宽时,如果带宽比传输的数据量小,将导致网络堵塞。考虑到实际情况下,同时调用数据的可能性非常小,因此建议在汇聚层到核心层链路部署4－8条万兆链路。汇聚交换机到接入交换机采用万兆/千兆带宽网络延迟(秒)见下表:西门子Avanto1.5TGE64排LIGHTVCT双排CTHISPEEDNX/I血管造影系统FD20数据量(次/人)512Mbit819Mbit168Mbit4096Mbit万兆0.59秒0.93秒0.19秒4.68秒千兆5.85秒9.33秒1.92秒46.81秒计算方法:(设备影像数据量×工作站数)÷实际传输带宽;各设备影像数据量:数据量(次/人);工作站数:按8个计算(按每个交换机负责4个楼层计算);实际传输带宽:万兆按7000Mbit计算,千兆按700Mbit计算。分析:汇聚交换机到接入交换机建议采用两条万兆,在保证带宽的同时,又保证链路的可靠性。接入交换机采用千兆到工作站,双万兆到汇聚交换机。接入交换机采用千兆/百兆带宽网络延迟(秒)见下表:西门子Avanto1.5TGE64排LIGHTVCT双排CTHISPEEDNX/I血管造影系统FD20数据量(次/人)512Mbit816Mbit164Mbit4096Mbit千兆带宽延迟0.73秒1.17秒0.24秒5.85秒百兆带宽延迟7.31秒11.66秒2.40秒58.51秒计算方法:设备影像数据量÷实际传输带宽;各设备影像数据量:见表中数据量(次/人);实际传输带宽:千兆按700Mbit计算,百兆按70Mbit计算。2)人民医院网络设备选型:汇聚交换机的选型:应具备足够多的万兆接口,以满足汇聚交换机与接入交换机、核心交换机万兆连接,汇聚交换机可经过插卡方便扩展千兆、万兆、存储等业务接口。如考虑到网络设备的可靠性和带宽的利用率,建议配置两台汇聚交换机,经过虚拟化技术将两台汇聚交换机虚拟成一台交换机,并将多条物理链路经过链路捆绑技术虚拟成一条逻辑链路;接入交换机的选择:满足千兆到桌面,万兆上行,线速转发,支持安全认证功能,全SNMP功能等;2、妇幼保健院PACS系统带宽与设备的需求分析1)此部分主要分析妇幼保健院中各影像设备同时向PACS服务器存储数据时对网络带宽的占用情况。需要接入PACS网络的设备见下表:设备名称型号DICOM接口标准(是否支持worklist)数量检查人次/天日数据量数据量(次/人)(放)CR富士CR-IR356DICOM3.0;支持worklist160120MB/日16Mbit(放)乳腺钼靶AlphaRT独立仪器设备12550MB/日16Mbit(放)床边南京普朗独立仪器设备124MB/日16Mbit(内)电子胃肠奥林巴斯V70DICOM3.0;支持worklist12次/周5人/次10MB/次80Mbit彩超、B超(黑白)西门子G20DICOM3.0;支持worklist1100400MB/月1.07Mbit(彩)百胜DU4DICOM3.0;支持worklist130150MB/月1.33Mbit(彩)GELG3DICOM3.0;支持worklist240550MB/台/月3.67Mbit(彩)泰胜3000系列DICOM3.0;支持worklist110便携式不统计(彩)飞利浦HD7DICOM3.0;支持worklist140500MB/月3.33Mbit(彩)飞利浦HD9DICOM3.0;支持worklist1401G/月6.83Mbit(彩)飞利浦IU22DICOM3.0;支持worklist1151G/月18.20Mbit共计:162.43Mbit计算方法:数据量(次/人)＝日数据量÷(检查人次/天)×8或数据量(次/人)＝月数据量÷30÷(检查人次/天)×8分析:千兆上行链路,百兆下行已能满足当前业务要求。假设未来在妇幼保健院影像中心引入其它数据量较大影像设备,如血管造影系统等,将极大的增加数据量的传输,建议部署全千兆,可扩展万兆上行的交换机,并考虑接入交换机的认证、安全、管理等特性,以满足未来业务发展的需求。2)妇幼保健院住院病房调用PACS图像时的分析妇幼保健院住院楼房楼8层,儿童医学中心房楼3层,共计11层,按每层2个工作站同时调用PACS系统中数据量最大的(内)电子胃肠设备,共传输的数据量为80×11×2=1760Mbit。当前一条千兆链路无法满足PACS系统要求,至少应部署两条链路实现负载均衡。若在未来数据量增加2倍或引入其它数据量较大影像设备,建议汇聚交换机到核心交换机采用一至两条万兆链路,汇聚交换机到接入交换机可部署千兆链路,以后可扩展为万兆链路。妇幼保健院网络设备选型汇聚交换机的选型:应具备足够多的万兆接口,以满足汇聚交换机与接入交换机、核心交换机万兆连接,汇聚交换机可经过插卡方便扩展千兆、万兆、存储等业务接口。如考虑到网络设备的可靠性和带宽的利用率,建议配置两台汇聚交换机,经过虚拟化技术将两台汇聚交换机虚拟成一台交换机,并将多条物理链路经过链路捆绑技术虚拟成一条逻辑链路;接入交换机的选择:满足千兆到桌面,万兆上行,线速转发,支持安全认证功能,全SNMP功能等;3、中医院PACS系统带宽与设备的需求分析1)中医院影像中心存储PACS图像时的分析此部分主要分析中医院各影像设备同时向PACS服务器存储数据时对网络带宽的占用情况。需要接入PACS网络的设备见下表:设备名称型号数量检查人次/天日数据量数据量(次/人)CRAGFA5146/1001200.2GB10.24Mbit数字胃肠NAX500RF120.1GB51.20MbitCTCT/e190.2GB22.76Mbit共计:84.20Mbit计算方法:数据量(次/人)＝日数据量÷(检查人次÷天)×8,千兆上行链路,百兆下行已能满足当前业务要求。分析:假设未来在中医院影像中心引入其它数据量较大影像设备,如血管造影系统等,将极大的增加数据量的传输,建议部署全千兆,可扩展万兆上行的交换机,并考虑接入交换机的认证、安全、管理等特性,以满足未来业务发展的需求。2)中医院住院病房调用PACS图像时的分析中医院住院楼房楼共计7层,按每层2个工作站同时调用PACS系统中数据量最大的数字胃肠NAX500RF,共传输的数据量为51.20×7×2=716.8Mbit。当前一条千兆链路勉强满足PACS系统要求,建议至少应部署两条链路实现负载均衡。若在未来数据量增加2倍或引入其它数据量较大影像设备,建议汇聚交换机到核心交换机采用一至两条万兆链路,汇聚交换机到接入交换机可部署千兆链路,以后可扩展为万兆链路。4、南部园医院PACS系统带宽与设备的需求分析1)南部园区医院影像中心存储PACS图像时的分析设备情况:医院现有数字放射医学成像设备共4台,年检查量约1.8万人次。年数据生产量:医院年影像数据量约为0.5TB。放射科医师情况:现有医师人数共5人,共需放射科医生工作站约4台。根据设备情况,可计算出平均每台设备每天的传输数据量是(0.5×1024×1024÷4÷365)×8=2873Mbit。放射科医生工作站经过千兆连接到接入交换机,传输2873Mbit需要延迟约4.2秒。假设接入交换机经过千兆连接到汇聚交换机,同时传输4份2873Mbit大小的数据量需要延迟16.8秒。假设接入交换机经过万兆连接到汇聚交换机,同样的数据需要1.68秒。因此建议开发区医院影像中心部署万兆上行,千兆下行接入交换机。2)南部园区医院住院病房调用PACS图像时的分析开发区康复中心房楼2层,住院房楼6层,共计8层,按每层2个工作站同时调用PACS系统中数据2873Mbit,共传输的数据量为2873×8×2=45968Mbit=45.968Gbit。考虑到实际同时调用图像的可能性非常小,建议部署2－4条万兆链路实现负载均衡。5、传染病医院PACS系统带宽与设备的需求分析1)传染病医院影像中心存储PACS图像时的分析此部分主要分析中医院各影像设备同时向PACS服务器存储数据时对网络带宽的占用情况。需要接入PACS网络的设备见下表:设备名称型号DICOM接口标准(是否支持worklist)数量检查人次/天日数据量数据量(次/人)CRFUJIFILMDRYPIX4000支持DICOM接口12060M24Mbit脑血流图ElicaEMS-9111M8Mbit彩超、B超仪器:PhilipsHD11支持DICOM接口12525M8Mbit电脑:DELLOPTIPLEX210L其它设备心电图:GEMAC500012060M24Mbit计算方法:数据量(次/人)＝日数据量÷(检查人次÷天)×8,千兆上行链路,百兆下行已能满足当前业务要求。分析:假设未来在中医院影像中心引入其它数据量较大影像设备,如血管造影系统等,将极大的增加数据量的传输,建议部署全千兆,可扩展万兆上行的交换机,并考虑接入交换机的认证、安全、管理等特性,以满足未来业务发展的需求。2)传染病住院病房调用PACS图像时的分析中医院住院楼房楼共计5层,按每层2个工作站同时调用PACS系统中数据量最大的CRFUJIFILMDRYPIX4000,共传输的数据量为24×5×2=240Mbit。当前一条千兆链路即可满足PACS系统要求,建议至少应部署两条链路实现负载均衡。若在未来数据量增加2倍或引入其它数据量较大影像设备,建议汇聚交换机到核心交换机采用两条千兆链路,汇聚交换机到接入交换机可部署千兆链路,以后可扩展为万兆链路。第四章项目建设方案4.1建设目标经过本项目的实施,应用虚拟化技术对现有服务器、存储、网络等设备的整合,实现万兆主干,千兆到楼层,百兆/千兆到桌面;经过内网核心设备、汇聚设备;实现全集团内网所有物理链路热备份,节点交换机采用双链路。建立虚拟化双活数据中心,实现业务系统的高可用性和可扩展性,提高数据安全水平。实现数据中心智能集中式管理,进行资源按需分配,降低设备购置和运维成本。实现系统容错、灾难恢复等,消除计划内和计划外停机,实现无停机机房迁移等。满足集团下属五个医院和八个社区的业务需求的同时,屏蔽底层的复杂性,把更多精力投入到IT资源的优化应用上去。4.2建设方案4.2.1网络改造方案网络升级改造主要经过数据中心交换机实现全面的网络虚拟化,计算、存储、网络的融合;实现万兆主干,千兆到楼层,百兆/千兆到桌面;实现全集团内网所有物理链路热备份,节点交换机采用双链路。要求内网核心设备、汇聚设备支持FC模块功能。实现一个网络平台融合以太网和存储两个网络。整个网络采用模块化的架构设计方法,清晰定义和区分不同的功能区域,使网架构具有可扩展性、灵活性、高可用性和高安全性。在整个架构设计中,采用核心边缘设计,以核心区为中心,其它作为边缘处理。在网络中设计一个核心交换区,这个区域作为其它区域的交换中心。为了保证更好的网络性能,核心交换区只提供实现高速转发功能,安全控制在各边缘区域中实现。这样的架构设计有很好的伸缩性(扩展性),例如,根据将来业务发展的需要,能够非常容易的增加新的区域或者新的交换机,而不需要对整个架构进行大的修改。具备更好的可管理性,因为每个区域的安全功能和详细的路由能够根据每个区域的功能进行定义,能够在不影响其它应用或者整个区域的情况下进行网络的增强或强化。模块化分区设计的另一个好处是将整个网络的失效域进行隔离,单个边缘区域失效,不影响其它区域,有利于故障的快速定位和排除。在核心层部署支持DCB(数据中心以太网协议)国际标准的数据中心交换机,在不改变传统设计的网络物理拓扑、保证现有布线方式的前提下,以弹性化扩展的技术实现网络各层的横向整合,即将交换网络每一层的两台、多台物理设备使用虚拟化技术形成一个统一的交换架构,两台数据中心核心交换机能够使用虚拟交换机技术,节省汇聚交换机的数量,为数据中心设备的统一管理、稳定性、毫秒级切换、虚拟机迁移等提供保证。另外为了便于数据中心虚拟机之间无缝迁移,需数据中心内部经过采用VPC(虚拟端口捆绑技术)技术构建大型的二层透明交换网络,具有网络结构简单、保持高性能与高可靠、避免环路的好处。在数据中心内部,构建端到端的二层透明网络,实现内部虚拟化计算的透明交互。让整个网络就像是一台交换机一样运行,形成一个交换矩阵。适应云计算和大规模数据中心流量猛增、虚拟机动态迁移不中断的业务需求。VPC协议互联,实现整网二层环境下的互联互通,同时适应云计算跨地域的服务器大规模虚拟化。针对核心和汇聚的数据中心特性,保证虚拟机易管理和易维护的特点,为了实现虚拟主机全网范围内自由迁移时对应安全控制策略的同步迁移,消除服务器虚拟化环境中网络安全漏洞,减少网络维护工作量,需要数据中心支持虚拟机感知及安全策略自动迁移,有效实现大规模服务器虚拟化应用环境中虚拟机流量的安全控制策略统一部署。同时支持IEEE802.1qbg或者IEEE802.1qbh标准定义的虚拟以太网端口聚合,能够将服务器虚拟机产生的数据流牵引到物理网络设备上进行”硬交换”,让虚拟机交换功能重新回归到网络设备,既解决了虚拟机流量无法监管、访问控制策略无法统一部署等问题,又消除传统”软交换”对服务器资源的占用,使下一代数据中心网络解决方案更好适应虚拟化计算环境。同时为了消除二层网络架构中的环路,增加网络的稳定性,提升用户业务部署的灵活性,而且扩大虚拟机的迁移范围,且不堵塞任何端口将带宽利用率提升至100%,网络的核心和汇聚数据中心交换机必须配置TRILL功能。1、内网改造规划设计1)网络结构采用三层分层分区设计,共分为核心层、汇聚层、接入层。核心层、汇聚层、接入层,其骨干采用万兆(10/40GE)链路连接,千兆接入。核心交换机和汇聚交换机之间经过vPC(虚拟端口捆绑技术)技术实现跨交换机链路捆绑,而无需采用STP,彻底解决了二层环路的困扰。在接入层,采用全千兆医院级交换机,万兆、千兆上行,并支持三层功能,如端口安全、防ARP功能、可网管、线速转发等。在服务器区,配置2台数据级交换机,配置虚拟化技术做为服务器区接入交换机,2台服务器接入交换机和核心交换机采用2*10GE互联。在汇聚层,考虑到今后会有服务器存储设备会接入到网络中,因此要求汇聚交换机能够配置足够带宽,能够和服务器存储设备直接互联互通。实现计算、网络、存储三种资源的融合。2)IP地址、VLAN规划当前网络采用的是B类IP地址,所有终端均在一个子网内。各院之间的PC同处于一个广播域内。广播域内所有的设备都必须监听所有的广播包,广播域太大了,用户的带宽就小了,而且需要处理更多的广播,网络响应时间将会变得非常慢。我们可经过合理的VLAN规划与IP地址规划解决广播域较大问题,同时在IP地址的可扩展性、管理性、VLAN安全性方面有所提高。根据市立医疗集团的网络特性,划分VLAN采用如下原则:区域分开,把医疗集团所管辖的医院和机构按照物理区域划分,把市人民医院(三级甲等)、市妇幼保健院(二级甲等)、市中医院(二级甲等)、开发区南部诊疗园区、市传染病医院分别划分成一个区域。在区域内部按照楼宇弱电间划分VLAN,VLAN可有效隔离广播域,提高网络的安全。当前常见的VLAN技术有基于端口的VLAN、基于协议的VLAN、基于MAC的VLAN、基于用户的VLAN。此次建议选择基于端口的VLAN和基于用户的VLAN相结合。如没有经过安全认证的用户划