脑科医院数据中心建设方案

********医院智慧医疗数据中心建设方案2015年12月第一章. 方案概述 31.1 必要性分析 41.2 可行性分析 51.3 需求分析 61.4 预期效果 8第二章. 建设目标 102.1 整体目标 102.2 建设原则 102.3 系统特点 11第三章. 建设内容 133.1 体系结构 133.2 数据中心装修设计 14（1）系统概述 14（2）系统设计 15（3）功能特点 273.3 计算资源池功能设计 31（1）系统软件 32（2）硬件选型 34（3）业务网络 36（4）功能特点 373.4 桌面资源池功能设计 37（1）系统软件 38（2）硬件选型 39（3）桌面网络 40（3）功能特点 403.5 存储资源池功能设计 41（1）系统软件 42（2）基础硬件 45（3）存储网络 47（4）功能特点 483.6 应用安全防护系统功能设计 49（1）系统软件 49（2）边界防护 51（3）功能特点 54第四章. 实施计划 554.1 人员组织 554.2 进度安排 554.3 用户培训 57方案概述****省脑科医院又称****省神经精神病医院、****省第三人民医院，始建于1949年10月1日，位于四平市中央西路98号。医院占地72812平方米，拥有众多国内外先进、省内一流的医疗设备，开设：临床心理科、抑郁专病科、精神科、药物依赖治疗科、神经内科、神经外科、神经康复科、司法精神医学鉴定科、内科、外科、口腔科等科室，是****省卫生和计划生育委员会直属的三级甲等专科医院，****省精神卫生中心。随着信息技术的发展，为提升医疗服务水平，智慧医疗受到越来越多的关注。《物联网“十二五”发展规划》要求重点支持医疗卫生的物联网应用即智慧医疗领域，再加上各省市智慧城市的规划与落实，智慧医疗正被物联网和智慧城市建设的牵引力拉着高歌猛进。为了促进智慧医疗的发展，云计算技术已经成为建设智慧医疗的一个必备手段，通过****省脑科医院智慧医疗数据中心（应用支撑平台）的建设，必将为医院整体信息化提供基础资源支撑，为各种物联网设备的发挥，提供用武之地。****省脑科医院智慧医疗建成后的应用支撑平台是医院信息化的核心平台，平台采用具有动态架构的云计算技术或产品，保证平台的先进性、安全性、开放性、兼容性、共享性、可升级、可扩充，确保系统实施和服务的效率和弹性。平台创新性地综合利用云计算数据中心关键技术，通过构建可统一管理和动态扩展的云存储系统，云计算系统，云桌面系统和云安全系统四个子系统，为医院内其它核心业务系统等应用，提供统一的存储、计算、桌面和安全信息化基础资源服务。项目建成之后，****省脑科医院将会成为****省智慧医疗标杆医院，作为新时代的智慧医院，****省脑科医院利用最先进的物联网、云计算技术，实现患者与医务人员、医疗机构、医疗设备之间的互动信息化。在不久的将来医疗行业将融入更多人工智慧、传感技术等高科技，使医疗服务走向真正意义的智能化，推动医疗事业的繁荣发展。必要性分析随着多元化医疗信息化应用的普及和发展，医疗部门日常工作对信息系统的依赖程度越来越高，存在日益突出的数据中心新建、升级扩容、业务迁移及整合需求。传统数据中心的环境中对每一个新的应用需要重新部署一套新的系统，由此造成了服务器、存储设备部署数量过多，物理位置分散，不仅系统的灵活性、数据的完整性和可用性差，而且增加了整个IT基础设施的总拥有成本与管理成本以及复杂性。云计算为传统的数据中心建设提供了新的思路，是信息技术基础架构发展的重大转折。以云计算理念为核心的信息资源基础架构既提供了当前数据中心的可控性和安全性，又提供了业务创新所要求的敏捷性和弹性化，而且大幅降低成本。利用云计算技术搭建****省脑科医院智慧医疗数据中心（应用支撑平台），其必要性主要体现在如下三个方面。首先是对信息资源建设模式的转变。以往根据信息化应用项目需求采购设备、安装并部署应用的方法，耗时费力，已经不能满足高速变化和多元化的业务要求。通过对整个平台的信息化基础架构进行整体规划并统筹实施，实现物理设备、业务应用和基础数据的有效集中，不仅兼顾设备集中和资源整合，还能适应不断增加的应用需求，提高平台的灵活性和效率。其次是对信息资源应用模式的转变。分散的信息化资源体系架构，经常导致有些设备空置的同时，另外一些设备却超过负荷；虽然各类信息化设备满布机房，遇到突发的项目请求时，却不能及时调配出相应的计算资源予以满足。因此平台建设需要借助新技术的应用，实现资源的高度虚拟化和架构优化。网络带宽、计算能力和存储空间作为一种可以动态分配和调整的资源进行管理，提升资源响应和交付能力，实现信息资源共用共享，主动服务和动态扩展。第三是对信息资源管理模式的转变。信息化的需求不断增加和变化，使得应用系统依托的物理设备规模不断膨胀，面对越发复杂的异构的数据中心基础设施架构，维护人员工作负担大，工作效率低。所以数据中心需要利用统一化、自动化、智能化技术实现集中管理，提高运维效率，显著提高信息基础架构运维管理水平、资源利用率、系统安全性和数据安全性，把数据中心从被动响应的状态向主动服务的角色进行转型。可行性分析云计算是虚拟化、效能计算、IaaS、PaaS、SaaS等技术混合演进并跃升的结果，是并行计算、分布式计算和网格计算的发展及商业实现。它既包含应用服务，也包含提供这些服务的软硬件设施。近年来，以服务器虚拟化为代表的云数据中心关键技术不断成熟，从而可以支持构建标准化，虚拟化和高度自动化的数据中心基础架构，即开放灵活，又安全可靠。虚拟化是一种经过验证的软件技术，从根本上改变了业务应用的计算方式，现在已经有越来越多的企业和用户将其关键应用迁移部署到云数据中心基础架构之上。以往具有强大处理能力的基于x86体系结构的计算及存储物理设备仅仅运行单个操作系统或存储单个应用程序的数据。这使得大多数计算能力和存储容量远未得到充分利用。利用虚拟化技术，可以在一台物理设备上运行多个虚拟机或存储多种类型的数据，因而得以在多种业务应用之间共享资源。云数据中心通过对其底层计算服务器、存储系统、交换设备和安全设备的抽象与整合，将其转化为可以集中运行、按需调度和动态扩展的计算能力、存储容量、网络带宽和安全服务，从而让用户将更多的精力投入到其本身业务的优化和管理中，而不必过多关注信息资源的运转细节。系统控制实现自动化，能够根据各个业务系统对资源的需求变化，以更为优化的方式动态调整资源供给。需求分析****省脑科医院智慧医疗数据中心（应用支撑平台）以承载医院医疗服务应用为核心内容，其业务需求归纳为应用需求、计算需求、存储需求、网络需求、安全需求、容灾需求和管理需求七个方面。（1）应用需求不同类型的应用系统对支撑系统的资源供给提出了不同的需求，根据智慧医疗应用支撑平台业务场景可以分为如下三类应用。高并发访问类应用系统，如挂号系统和检索引擎等，对于这类计算密集型应用系统，推荐采用更高的CPU主频、更多的内核数量和更大的内存。另一类是大数据流量类应用系统，如核心数据库、病历查询系统和流媒体服务等，这类应用不仅要提供一定的计算资源，还对存储的带宽、IOPS和延迟等提出更高的要求。普通业务类或基础管理类应用系统，如门户网站，信息发布及DNS、DHCP及域控等网络服务，对计算资源和存储资源没有过高需要，但往往要求能够支持快速部署。（2）计算需求****省脑科医院智慧医疗应用支撑平台要求具备良好的兼容性，在基础硬件方面能够整合双路、四路等类型X86服务器，支持异构的计算、存储以及虚拟化平台，以虚拟机为基本逻辑单位实现处理器、内存、磁盘和网卡的池化管理，具备业务连续性保障能力，硬件设备故障不影响业务应用正常运行，支持通过热添加处理器、内存、磁盘和网卡方式动态扩充虚拟机的计算能力，支持通过动态添加节点方式横向扩展计算能力，并支持对计算资源的动态调度。要求能够支持面向多租户的资源自助化交付，具备分级及分区资源管控能力。（3）存储需求****省脑科医院智慧医疗应用支撑平台根据业务应用的不同特点，如高I/O访问、高并发访问、大文件共享访问、小文件随机读写等，选择相应的存储架构，以及相应的网络或存储连接技术。要求具备数据高可靠性保障措施，硬盘损坏情况下数据不丢失。支持通过对存储设备进行适当的配置以满足应用对存储的个性化需求。支持将不同品牌、不同型号、不同架构的存储设备整合为统一的存储资源池，支持构建具有无限扩展能力的海量存储解决方案，能够实现包括结构化、半结构化和非结构化在内的多元化医疗基础数据存储、检索和交换，并提供数据本地容灾和动态迁移能力。（4）网络需求****省脑科医院智慧医疗应用支撑平台的交换网络具备快速收敛、易维护和易管理特性，并支持完整的策略控制体系。从业务角度，网络要按功能划分区域，各个功能区之间在保证正常的业务流量与效率的同时，严格进行访问控制。网络内部和外部应实现安全隔离，不同业务服务区之间应实现安全隔离，保障业务系统的安全性。网络设计能有效的避免单点故障，在设备的选择和关键设备的互联时，应提供充分的关键设备冗余、重要业务模块冗余和链路冗余。交换网络需要具备可扩展性，拓扑设计不仅要满足当前需求，也能满足未来业务扩展需求。（5）安全需求****省脑科医院智慧医疗应用支撑平台的安全管理至少应该包括边界防护和应用防护两个层次，并需针对数据中心内部网络进行安全域划分，对于安全域边界进行网络隔离，定义网络访问控制策略。边界防护是指数据中心外部网络边界的综合安全防护能力，防范来自互联网的各类安全威胁。应用防护提供云计算平台内虚拟化基础设施的安全保护能力，要能够确保虚拟机的隔离，特定虚拟机间通讯的监控以及虚拟机自身系统的安全性，及时发现所存在的安全弱点并进行纠正。（6）容灾需求****省脑科医院智慧医疗应用支撑平台包含大量业务应用、数据库和配置信息。需要有支持集中化、自动化和远程化的容灾管理机制。要能够根据业务的重要性等级决定灾备策略，用户数量大，影响范围广的核心业务要采用应用级别灾备。相对低级别业务可以采用数据级别灾备。要支持在规定的时间窗口实现对系统的数据的自动备份。在出现灾难性故障时，支持根据应用重要程度进行快速恢复。（7）管理需求为了维护设备和应用的平稳、高效运行，****省脑科医院智慧医疗应用支撑平台的运维管理应当支持统一的基础设施操作和管理服务，实现对虚拟化环境和物理环境的集中管理，需要支持对异构虚拟化环境的统一管理，需要实现云数据中心业务的快速部署，提高业务的上线速度；需要具备报表系统，实现对各种动态信息和历史数据的分析和呈现。应当具有良好的扩展性和开放性，支持定制开发和二次开发。预期效果通过建设****省脑科医院智慧医疗应用支撑平台，其作用首先是优化资源利用，逐步实现各级医疗单位公共服务类业务应用和数据资源的集中，降低设备闲置率，提高资源复用率，有效减少重复投资。其次是降低能源消耗，云计算通过动态资源调度、负载均衡以及分布式电源管理等技术实现业务应用的资源需求与物理设备的动态联动，按需调度，降低能耗，有效节约运维费用。第三是利于信息共享，通过构建统一的信息资源共享平台，既可以综合运用多种技术手段切实保证数据存储安全性和业务运行连续性，也为业务数据的进一步互联互通和信息资源的共建共享创造可能条件。第四是加快交付速度，通过软硬件设备标准化技术支持业务应用快速部署，按需扩展和动态扩容，加快资源交付速度，提升资源响应能力。最后是简化运营管理，通过构建支持集中运维和自助交付的运维管理平台，简化系统管理复杂度，显著提高信息化基础设施运维管理效率和质量。建设目标整体目标****省脑科医院智慧医疗应用支撑平台的建设目标是充分考虑医院医疗信息化应用体系建设发展需要，按照“技术先进，功能稳定，性能可靠，按需扩展,有效整合，统一运维”的原则进行规划和设计，综合利用云数据中心关键技术和成熟产品，通过构建可统一管理和动态扩展的计算资源池，存储资源池和应用安全防护体系，打破服务器、存储、网络、数据和应用中的物理设备障碍，实现信息资源共用共享，主动服务和在线扩展，提升资源响应和资源交付能力，系统规模支持动态升级与按需扩充。并通过统一的运维管理系统提高资源利用率、系统安全性和数据安全性，实现资源分配，应用部署及资源回收自动化，实现运维管理的规范化，流程化和标准化，显著提升信息基础架构运维管理水平。建设原则****省脑科医院智慧医疗应用支撑平台建设以“统一规划、顶层设计、应用为先、分步推进”的思路为核心原则，体现先进性、实用性、可靠性、安全性、可管理性、灵活性及可扩展性的有机结合。支撑平台设计采用先进成熟的技术和设备，构建合理的适当超前的技术体系架构，既能够满足当前的应用需求，又能够具有良好的发展潜力，以适应未来业务的发展和技术升级的需要，用以确保较长时期的技术领先地位。同时加强先进性与实用性结合的综合分析，可保障投资的合理效力。支撑平台设计把安全可靠放在各个建设阶段的首位。对于各系统应采用高可靠性设计标准，具备合理的容余能力及容错能力，为计算机应用系统的高可靠性目标要求提供匹配的基础环境设施条件。支撑平台设计具有完整的安全策略和切实可靠的安全手段来保障业务系统基础环境的安全，从边界安全性、区域逻辑管理安全性、运行管理安全性、数据交换安全性等各角度进行总体规划。支撑平台设计具有较强的集中式管理加分布式实施的可管理性逻辑，并为分布式实施调整提供清晰的管理逻辑。系统建设具有一定复杂性，随着业务的不断发展，管理的任务必定会日益繁重。所以在设计中，充分考虑建立全面、完善、智能化的基础架构管理和资源监控系统。所选用的软硬件设备具有智能化、可管理特点，有助于迅速确定故障，提高运行性能、可靠性，并简化管理维护工作。支撑平台设计具有符合总体建设目标的可持续发展的能力，具有便于管理扩展的系统接口，达到经济、技术、功能三者的有机结合。能够根据今后业务不断深入发展的需要，扩大设备容量和提高计算性能，提供技术升级、设备更新的灵活性。系统特点****省脑科医院智慧医疗应用支撑平台的特点主要体现在资源池化，弹性扩展，安全可控和智能管理四个方面，通过建立软硬一体化云数据中心，实现信息化基础架构的池化管理，能够做到“设备故障业务不中断，磁盘损坏数据不丢失”。资源池化是将存储资源通过分布式文件系统技术，计算资源通过服务器虚拟化技术，将众多物理设备组合成一个整体，形成可以灵活管理的存储资源池和计算资源池，提供给业务应用使用。弹性扩展是指实现存储资源和计算资源的动态管理和按需调整，包括资源的纵向扩展和横向扩展两种基本模式，纵向扩展支持通过增加单一应用的计算能力和存储空间方式以获得性能和容量的增长，横向扩展支持通过增加可以协同工作的计算节点和存储节点的方式提高业务计算可用性和数据存储可靠性，同时结合智能资源监控技术，提供根据磁盘使用容量、读写负载、设备利用率、网络吞吐量等性能指标进行资源调度的能力。安全可控是指对业务应用和存储数据提供多类型、多层面的实时应用安全和数据安全保护机制，应用安全主要通过面向虚拟机的底层无代理安全防护机制实现，数据安全主要通过整合节点级数据保护和集中式数据备份等技术手段实现。智能管理主要体现在针对资源构成更加复杂、规模更加庞大的基础设施采用一体化综合运维管理方式，以虚拟机作为主体，将系统中的存储资源、计算资源、网络资源及其安全状态视为整体系统实施统一管理，有利于优化整体性能，高效精确定位存在问题。建设内容体系结构****省脑科医院智慧医疗应用支撑平台整体架构以软硬件资源虚拟化技术为基础，集数据存储、业务应用和安全防护于一体，采用全新的管理模型和灵活的功能架构，分为计算资源池，桌面资源池，存储资源池和应用安全防护四个子系统，整体架构如下图所示。图3-1体系结构示意图计算资源池用于实现物理设备与业务应用集中运行，快速部署，按需调度及其资源的弹性供应，可满足不同类型政务服务和事务管理应用系统资源需求。初期设计新增2U双路机架式业务应用服务器12台，4U四路机架式数据库服务器2台，利旧5台现有双路机架式IBMX3650M4服务器，合计提供42颗物理CPU计算能力，支持并发运行不少于110台业务虚拟机，并保留平均不低于20%计算资源冗余。新增2台1U双路机架式服务器用于构建单独的管理资源池。通过软件技术实现针对基础架构的统一配置和综合监控，支持面向应用集中需求提供自助式资源交付服务。计算资源池业务网络按照千兆以太网标准建设，配置48口千兆交换机两台，设计传输速率1Gb/s，支持万兆堆叠和上联，交换设备和数据链路均采取冗余设计。存储资源池用于满足前端各类业务应用数据存储需求，新增高可靠性存储服务器2套共8个存储节点，配置高性能SAS硬盘和大容量SATA硬盘，存储裸容量合计80TB，满足虚拟机系统文件，数据库数据文件，用户资源文件和本地容灾备份文件存储需求。通过将系统数据和业务数据从单个物理主机中抽离出来，实现系统数据与业务数据的集中存储和本地容灾，通过集中备份技术实现对操作系统、中间件、数据库及资源文件的数据备份，支持未来根据应用需求跨数据中心进行存储整合实现异地容灾。存储网络按照万兆以太网标准建设，配置48口千兆交换机两台，设计传输速率10Gb/s，支持40Gb堆叠，交换设备和数据链路均采取冗余设计。应用安全防护体系利用底层无代理安全引擎，建立面向物理设备和虚拟资源的多层次自动化应用安全和信息安全防护机制，保障计算资源池中运行的所有虚拟机的安全。应用安全防护体系与综合安全网关设备协同工作，共同构建多层次的基础架构综合防护体系，满足信息系统合规性审计要求。数据中心装修设计（1）系统概述数据中心机房地理位置设置在****省脑科医院大楼内，数据中心机房建筑面积为70㎡，中心主机房建设内容包括机房装修系统、UPS系统、精密空调系统、强弱电等系统，共包含14个子系统。（2）系统设计机柜系统机柜主体具有以下特征:前后门通风面积不小于5355cm2，满足主要服务器生产商规定的通风要求。满足通风面积要求的机柜前门。垂直安装立柱能够进行方便的调节，以满足不同安装深度设备的要求。所有符合EIA-310-D标准的设备均能够进行正确安装。集成的后部线缆管理专用通道，使用户可以方便地对大量的数据线缆进行敷设、管理和操作，即使在机柜中已安装机架设备或已并柜安装的情况下也可以轻松完成。通过后部电源分配通道，用户可以方便将多种型号的垂直安装电源分配器(PDU)进行安装，同时无需占用宝贵的机柜有效安装空间。专用的电源分配通道，方便了电源分配操作，同时为机柜安装设备提供了更大数量的电源插座，在机柜一侧的电源分配通道中可以提供不少于21个IEC电源插座。电源线和数据线既可来自于机柜顶部线缆桥架，也可来自于架空地板的下部空间，因此机柜的柜顶和机柜底部需要提供充足的线缆进入通道口。在一些使用环境下，电源线或数据线可能需要从并排安装的一个机柜中敷设到相邻的另一个机柜，在机柜后部的布线通道上需要提供侧面线缆通道口，以满足这种使用需要。机柜的垂直安装立柱上标示出了每个"U"的准确位置，免除了用户反复查找安装位置的烦恼，大大方便用户的安装工作。前门、后门及侧板均可锁定，并只能用提供的钥匙打开。经过验证的框架设计、坚固的标准安装杆以及重载轮脚提供不小于900kg的静态和动态负载级别。设置多个接地螺栓，为机柜内安装的设备及所有独立的金属部件提供充足的接地点。可快速拆卸的前、后门和侧板设计。在进行设备安装及日常维护时，拆掉机柜门或侧板能够带来意想不到的方便。本期工程服务器需占用机柜4台，存储及存储网交换机需占用机柜2台，核心交换机、服务器区交换机、出口安全网关、防火墙等设备需占用机柜2台，视频监控需占用机柜1台，合计需使用9台机柜，考虑适当冗余，本期工程需在中心机房内安装机柜14台，单台机柜设计功率为6KW。UPS系统UPS即不间断电源，是将蓄电池（多为铅酸免维护蓄电池）与主机相连接，通过主机逆变器等模块电路将直流电转换成市电的系统设备。主要用于给计算机、存储、网络设备等提供稳定、不间断的电力供应。当市电输入正常时，UPS将市电稳压后供应给负载使用，此时的UPS就是一台交流市电稳压器，同时它还向机内电池充电；当市电中断时，UPS立即将电池的直流电能，通过逆变零切换转换的方法向负载继续供应220V交流电，使负载维持正常工作并保护负载软、硬件不受损坏。UPS设备通常对电压过高或电压过低都能提供保护。机房共设计14台机柜，每台机柜设计的满配功耗为6KW，设备机房服务器负荷：6KW*14/0.8=84KW/0.8=105KVA，因此建议安装160KVA的模块化UPS，20KVA为一个模块，105KVA需要6个模块，其他2个模块可以作为UPS的备用。精密空调系统计算机、服务器、网络设备等为重要＋的电子设备，对机房内有严格的温、湿度要求，机房内按国标GB50174-93《电子计算机机房设计规范》的规定配置空调设备：级别项目A级夏季冬季温度232C202C相对湿度45%~65%温度变化率5C/h并不得结露同时，主机房区的噪声声压级小于65分贝，主机房内要维持正压，与室外压差大于9.8帕，在表态条件下，主机房内大于0.5微米的尘埃不大于18000粒/升。图示：机房空调送风示意图机房内专用空调区的负荷包括网络及配电设备散热量、机房照明散热、围护结构负荷和配电系统设备散热等。机房共设计14台机柜，每台机柜设计的满配功耗为6KW，但由于本项目的实际应用功耗比较低，每台机柜的实际使用率为满配设计的40%-80%，按照每台机柜实际使用率80%计算，14台机柜的总发热量为：6*80%*14=67.2KW根据总发热量并考虑空调的制冷效率（0.93）及机房内其他设备（如配电设备、照明设备）散热的问题，本项目需选用1台100KW制冷量的机房专用空调。机房强、弱电配电系统机房进线电源使用三相五线制；机房内用电设备供电电源均为三相五线制及单相三线制，走线方式为上走线；机房用电设备、配电线路铺设过流过载两端保护，同时配电系统各级之间有选择性的配合，配电以放射式向用电设备供电。（1）、设备机房服务器负荷：PS1=6*80%*14=67.2KW（2）、设备机房精密空调负荷：PS2=40KW（3）、照明及其他设备符合：PS3=5KW总结：各类用电容量总和为112.2KW，最大单相电流=112.2*1000/1.732/380=170A。上口总开关选用200A/3P开关总入线线径约4*70mm2+1*35mm2。依据以上建设内容，数据中心主机房平面图设计如下：图示：机房平面示意图图示：机房整体效果示意图机房装修机房的装修既要与现代化的计算机通讯设备相匹配，又能通过精良、独特的设计构思，在确保该机房的安全性、可靠性和管理性的前提下，本着经济实用的原则，使机房建设成一流的计算机机房。同时装修材料根据消防要求，选用非燃或难燃、气密性好、隔热、不起尘、易清洁、在温、湿度变化作用下变形小、抗静电的材料。机房的色彩设计，大部分以白和淡灰为主色调，搭配以黄色反光。力求明快、现代感。以下是针对本项目机房装修部分的详细设计：吊顶工程吊顶是机房中重要的组成部分,在吊顶面层上安装着嵌入式灯具、报警探测器、温湿度传感器等。考虑本项目需求，结合机房的特点和设计风格，本项目选用100*100的黑格栅吊顶。在机房环境中，我们通常设计成“整体天花”形式的吊顶。之所以称为整体天花设计，是因为我们有机的把吊顶天花中灯具、设备探头等布置在一条线上。这样一来未来日常维修的时候，更加方便，且增强了顶板的装饰效果。铝合金微孔板产品特点是：开透式空间、优质铝合金板、有利于通风设施和各种探测的布置和安排而不影响整体视觉效果、可与明架系统配合、色泽均匀一致，户内使用，质保10年不变颜色、连接牢固，每件可重复多次装拆、易于各种灯具和装置相配和方便设备维修。为保证吊顶上部防火、洁净无尘，需在结构真顶下面、黑格栅吊顶上方及墙侧面涂刷防火涂料2-3遍。吊顶吊杆均用胀栓固定于结构真顶上，吊杆表面均刷涂防锈漆。（1）机房内的吊顶主要作用：布置通风管道；安装固定各类探测设备；安装固定照明灯具及走线；（2）机房内的吊顶规格：本机房内选用吊顶规格为100*100mm黑格栅吊顶。图示：格栅吊顶效果示意图（3）选用铝合金格栅吊顶具有以下优点：不燃烧性、防火性佳，通风性、防腐性佳无辐射、无有害物质排放，对人体无害具有抗紫外线、优异的耐酸、耐碱性能漆面坚固、经久耐用、外观历久如新连接牢固，每件可重复多次装拆安装简单、结构精巧、层次丰富、有开阔的立体效果图示：机房整体效果图照明系统工程机房照明质量的好坏，不仅会影响工作人员的工作效率和身心健康，而且还会影响计算机的可靠运行。根据机房的有关要求，照明要求无频闪、无眩光、流明度大、光线分布均匀、不直接照射光面，特别是显示设备和控制板离地面0.8m处机房均布照度应不低于400勒克斯。主要包括普通市电照明、应急、疏散照明和安全出口标识灯等。机房区选用格栅荧光灯具，照度≥400lx。应急、疏散照明和安全出口标志灯的作用是保证人员更好的做好应急处理或安全快捷地沿通道向出口或应急出口疏散。应急照明电源取自UPS设备，照度按一般照明的1/10设计，采用配电末端切换方式来实现。并可在无需照明情况下仅开启应急照明部分提供50lx光源即可。墙面工程机房内各功能间墙、柱面装修目的是为了保证室内环境使用条件，创造一个舒适美观而整洁的环境，其材料选择应满足不易吸附尘、防火、防潮为宜。墙面装修通常包括墙面处理、抹灰饰面及隔音屏蔽处理。墙面处理是指采用在机房建筑物的墙面、柱面上进行防尘、防潮、防水、保温处理，抹灰饰面是指采用砂浆涂抹在建筑物的墙面、柱面上的一种装饰技术，使房屋内部平整、光滑，清洁美观，增强保温、隔热、隔音、防尘等性能。工程采用净化板墙面，彩涂钢板为EPS净化夹芯板，即平时所说的净化板或金属壁板，它以其外形美观，色泽鲜美、结构新颖、轻质高强、安装快捷、应用广泛等优点，已被世界公认为性能最好的建筑材料。地面工程在中心机房的工程技术设施中，活动地板是一个很重要的组成部分，活动地板铺设在机房的建筑地面上，活动地板上安装着计算机设备及其他电子设备,而在活动地板与建筑地面之间可以敷设连接设备的各种管线,活动地板具有可拆卸的特点，因此所有设备的导线电缆的连接、管路的连接及检修更换都很方便。敷设路线距离最短，因而可减少信号在传输过程中的损耗。机房全部房间采用抗静电钢质活动地板抬升系统，活动地板下空间作为空调循环冷气静压风库。施工标准依据国家标准《计算机机房用活动地板技术条件》（GB6650-86）。抗静电钢质活动地板具体技术指标如下：尺寸：600*600mm阻燃性：60REI抗静电性：105-109隔音：大于32DB集中承受力2000-7000N地板抬升高度400mm分散承受力15000-35000N/m2活动地板主要构件是地板、可调支撑、桁梁和缓冲垫。由于活动地板整体敷设，对地面平整度要求较高，因此所有地面均用水泥砂浆找平抹光处理，在所有地面均刷防尘漆两遍做洁净处理，可起到提高机房洁净度。机房地板下保温计算机机房的冬季保温、夏季隔热以及防凝露等技术问题是机房设计的重要考虑因素。尤其在冬夏季，室外温度较高，空气相对湿度大，机房内外存在较大的温差，这时如果机房的保温处理不当，会造成机房区域两个相邻界面产生凝露，更重要的是下层天花的凝露会给相邻部分设施造成损坏而影响工作，同时也会使机房区域的精密空调的负荷加大，造成能源的浪费。在冬季，由于机房的温湿度是恒定值，此时相对湿度高于室外，机房的内立面墙及天地平面产生凝露，使机房受潮，造成墙立面及天地平面建筑结构损坏，而影响机房的洁净度。由于地板下的凝结水蒸发，造成局布区域空气含湿增大，给计算机及微电子设备的元器件和线缆插件造成损坏。因此，为了节约能源，减少日后的运行费用，根据以上分析计算机机房相邻界面凝露应按其起因而采取相应的措施来控制平面、立面隔热及热量的散失。

地板下面做保温层既能保持机房的温度恒定，又不至于使下一层楼顶结冷凝水，同时地板的灰尘又不至于被风吹进机器内。

楼地面的保温隔热采用橡塑保温板。机房承重加固（散力架）由于建筑的使用功能改变，实际荷载发生变化，需要对原建筑的结构荷载进行计算，然后根据计算结果设计出合理的加固方案，以满足机房使用需求，具体方案需在实地工勘后才能进行绘制。接地系统工程根据计算机系统的要求，应提供计算机专用直流工作地，其接地电阻<1Ω。机房的静电电压<1KV。镀锌钢管、金属软管、金属接线盒外壳等均进行了可靠接地。机柜外壳、金属管道及支架等均接地。（1）计算机系统的直流工作地：计算机以及一切微电子设备，大部分采用中、大规模集成电路，工作于较低的直流电压下，为使工作通路具有同一“电位”参考点，将所有设备的“零”电位点接于一接地装置，它可以稳定电路的电位，防止外来干扰，为直流工作接地。计算机直流工作接地电阻的大小、接法以及诸地之间的关系，应依不同计算机系统要求而定。该电阻不大于1Ω，接地电阻越小越好。（2）交流工作地：交流工作地的作用是为确保人身安全和保障设备的安全。在计算机系统的交流设备中其交流工作地的实施是将其中性点用绝缘导线串联起来接到配电柜的中线上，然后用接地母线将其接地。交流工作地的接地电阻应不大于4Ω。（3）安全保护地：安全保护地的作用为在绝缘被击穿时保护人身和设备的安全和在绝缘未被击穿时也有保护人身安全的作用。计算机机房内的安全保护地是将所有机柜的机壳，用数根绝缘导线串联起来，再用接地母线与大地相连。安全保护地的接地电阻应不大于4Ω。（4）计算机系统的防雷保护地计算机系统的防雷接地其目的就是要避免雷电的发生，从而保护建筑物、计算机设备和人员的安全。为防止感应雷沿机房电源线进入，损坏机房内设备，在各配电柜进线处均设置避雷器。防雷地阻小于10Ω。（5）等电位接地在重要区域和工作人员经常走动的地方设置相对的抗高频干扰接地组。本机房在主机室地面采用4X40紫铜带做均压等电位接地，使活动地板支架、设备外壳等均良好的接地。以上接地系统均可接入大厦总等电位接地点。如大厦没有可靠的接地极，机房可自行施工小于1Ω的接地极。机房设有四种接地形式，即：计算机系统直流逻辑地、配电系统交流工作地、安全保护地、防雷保护地。本次设计考虑直流逻辑地、交流工作地、安全保护地、防雷接地均利用建筑服务本体综合接地体。在机房配电室设一台等电位接地端子箱，等电位接地端子箱与大楼综合接地体采用接地母线可靠连接。容易产生静电的活动地板、不锈钢玻璃隔墙均采用铜箔布成泄露网在地板下交叉排成1800mm*1800mm的方格，交点处压接在一起。并用绝缘接地线引至等电位接地端子箱。铜箔与地板支腿紧密连接，做成网格状；不锈钢玻璃隔断的金属框架同样用经典泄露线连接，并且每一连续金属框架的静电泄露连接点不小于两处。直流工作地网在机房内的布局是；用40x4mm铜排铺设在活动地板下依据计算机设备布局，综合组成网格状，配有专用的接地端子，用BVR10mm2软铜线以最短的长度与计算机设备相连。并用16mm2于等电位接地端子箱连接。为防止感应雷、侧击雷沿电源线进入机房损坏机房内的重要设备，在电源配电柜电源进线处安装浪涌防雷器。机房防雷系统本项目主要考虑机房的电源防雷系统，机房电源系统的防雷须满足《建筑物防雷设计规范》的要求，根据设备被保护的重要程度，需要采用主级防雷或主次级两级防雷。我们根据本项目实际情况，原有的防雷系统已经不能胜任新的机房建设需求，所以要对原有防雷设备进行拆除并设计安装新的防雷系统。因此，根据实际需求，建设项目中选用三级防雷系统：第一级，在UPS主机的前级加装B类电涌吸收器；第二级，在UPS配电箱进线开关处设置C类电涌吸收器；第三级，为UPS与精密空调自带的防雷保护系统。机房动力环境监控系统在机房整体系统中，动力环境监控子系统的前端设备负责采集各种采控模块和智能设备的数据，并上传至串口服务器，串口服务器将采集到的数据汇总传送给嵌入式主机。嵌入式主机负责各区域的现场监控，将现场设备的各种信息进行存储、实时处理、分析和输出，或将控制命令发往前端智能模块，同时将信息上传至现场服务器。系统的集中管理平台负责各子系统的统一管理，并对数据进行分析，完成各种统计报表，并在平台上实现各种高端管理应用，如数据管理、信息查询管理、报表管理、报警管理、日志管理、联动控制管理、安全管理等功能。用户可在该平台上通过客户端轻松地了解数据中心的运行状况。（3）功能特点UPS监控实时显示并保存各UPS通讯协议所提供的能远程监测的运行参数和各部件状态。能用直观的图形来指示UPS的运行状态。实时判断UPS的部件是否发生报警，当UPS的某部件发生故障或越限时，监控主系统发出报警。易事特EA660基本参数UPS类型在线式额定功率160KVA额定电压380Vac整机效率≥93%输入输出参数输入参数负载≤50%：204～520Vac50%<负载≤70%：242～520Vac70%<负载≤100%：277～520Vac输入方式：三相五线输入功率因素：≥0.99总谐波失真：≤3%额定频率：50Hz/60Hz自适应

AC市电输入：40～70Hz旁路电压范围：380Vac×（1±20%）可设置输出参数额定电压：380Vac稳定电压精度：±1%动态电压瞬变范围：±5%（0～100%负载变化）总谐波失真：≤1%（阻性负载），≤3%（非线性负载）输出电压直流分量：≤100mv输出电流峰值系数：3:1输出频率：市电模式：与市电同步；电池模式：50Hz/60Hz频率跟踪速率：≤1Hz/s锁相精度：1°（稳态下）市电模式↔旁路模式：0ms旁路模式↔旁路模式：0ms通信和管理接口端口USB，RS232，RS485，干接点（标配）面板显示5.7英寸多功能LCD触摸宽屏报警功能电池模式报警，电池电量极低时报警，风扇故障报警等过载能力逆变过载能力：110%<负载≤130%，10分钟后传旁路，130%<负载≤150%，1分钟后转旁路，负载>150%，0.5秒转旁路旁路过载能力：≤150%，长时间运行，>150%，持续10秒电池和运行时间电压电流60A电池容量12V40节（正负两组电池，每组20节）环境工作环境工作温度：0-40℃，工作湿度：0-95%存储温度：-25-55℃操作高度<1500m（超过此高度减额使用）噪音值(dBA)<60dB其它参数外观尺寸UPS模块：482x590x131mm机柜：600x1000x2000mm

安全：EN62040-1-1静电释放：IEC61000-4-2level3持续电磁敏感性：IEC61000-4-3level3电压瞬闪兼容性：IEC61000-4-4level3浪涌干扰：IEC61000-4-5level4电磁干扰：EN62040-2（>25A）classA精密空调监控监测空调机运行状态，用图形和颜色变化来显示空调的工作情况，故障时要报警。空调的制冷器运行状态、压缩机高压故障、过滤网阻塞等的监测与报警，检测空调的运行状态。可以通过本监控系统在远端监控室内控制空调机的启、停，及改变温度与湿度的设定值。实时显示并保存各空调通讯协议所提供的能远程监测的运行参数、各部件状态及报警情况。图示：STULZASD1072A空调参数配电柜监控

能实时显示并保存配电柜总进线的各监测参数的数值，及主要开关的工作状态。系统管理员和操作员可以通过历史曲线图中查看每天的电压、频率、有功、无功的最大值、最小值、当前值及电压、电流峰值，能清楚地知道三相电压、电流是否均衡。漏水报警监控配置漏水报警监测系统，安装在机房适当位置，对机房内的空调及其进出水管沿线的漏水监测报警。其工作原理为：采用耐腐蚀，强度高的感应线缆与控制器及其他附件，将有水源的地方围起来，一旦有液体泄漏碰到感应绳，感应绳通过控制器将信号传输到监控主机，及时通知有关人员排除故障。温湿度监控环境温湿度的监控包括以下步骤：感应环境温湿度；判断感应到的温湿度是否异常；若感应到的温湿度异常，判断异常是否超过预设时间；若异常超过预设时间，则输出异常信号至主控机；异常报警；判断异常是否处理完毕；以及若异常处理完毕，解除报警。并可以利用控制器和主控机来达到机房温湿度的远程控制，从而实现环境温湿度管理的实时性和有效性。烟雾报警监控

烟雾报警器就是通过监测烟雾的浓度来实现火灾防范的，本项目选用的烟雾报警器内部采用离子式烟雾传感，它是一种技术先进，工作稳定可靠的传感器，被广泛运用到各种消防报警系统中，性能远优于气敏电阻类的火灾报警器。计算资源池功能设计实现计算能力统一池化管理，支持业务应用的快速部署及其计算资源的弹性供应、按需调度和动态扩展，由云平台系统软件，业务应用服务器，数据库服务器，管理服务器和业务网络接入交换设备共同组成，能够提供42颗物理CPU计算能力。图3-2计算资源池功能设计（1）系统软件业务应用服务器和数据库服务器采用云平台系统软件构成统一的计算资源池。原有独立分散的烟囱式架构数据中心平滑升级到统一聚合的框架式服务平台，所有硬件资源共同构建成统一的计算资源池，计算资源和计算性能可以按照需求进行动态分配和动态伸缩。云平台系统软件由服务器虚拟化软件和云平台管理软件共同构成。以云平台系统软件为核心，整合计算、存储、安全和网络管理功能，提供一体化运维管理和自助式资源交付特性，实现基础信息资源的精细化管理和调度。图：汉柏云平台系统软件体系结构示意图计算资源池选用汉柏OPV-IaaSV2.0云平台系统软件实现计算资源池化整合，软件授权规模合计为42颗物理CPU。通过云平台系统软件，原有独立分散的烟囱式架构数据中心平滑升级到统一聚合的框架式服务平台，所有硬件资源共同构建成统一的计算资源池，计算资源和计算性能可以按照需求进行动态分配和动态伸缩。云平台系统软件由服务器虚拟化软件和云平台管理软件共同构成。以云平台系统软件为核心，整合计算、存储、安全和网络管理功能，提供一体化运维管理和自助式资源交付特性，实现基础信息资源的精细化管理和调度。汉柏OPV-IaaS云平台管理软件具备完整的虚拟机生命周期管理功能，能够将原本静态管理的计算设备抽象为按需分配、集中调度、便于扩展和易于管理的动态资源，提供快速部署、弹性计算、动态迁移、故障容错、集中备份、动态存储迁移、自助交付等一系列业务高可用特性。在其中一个计算节点出现故障或需要维护时，可以通过软件所提供的故障容错、动态迁移和计算资源动态调整等功能，将离线计算节点上的虚拟机迁移到可用计算节点上运行，充分提高设备利用率，避免原有双机热备模式下的资源闲置问题。服务器需要维护时，可在不停止虚拟机业务应用的前提下实现计算节点间的动态迁移。汉柏OPV-IaaS云平台管理软件具备整合的虚拟网络管理功能，实现对用于业务数据交换的虚拟网络和物理网络的统一管理。虚拟网络在物理上借助可管理三层智能网络交换机和计算节点上的网卡共同实现，由虚拟路由器和虚拟交换机两部分组成。虚拟路由器以云平台系统虚拟机方式运行，用于实现面向多租户的资源隔离。虚拟交换机使用虚拟化软件技术仿真出二层交换机，通过虚拟交换机可以创建虚拟的网络接口供该台物理主机上的虚拟机使用。计算资源池中的虚拟机的数据传输通过虚拟交换机和虚拟路由器组成的虚拟网络级联至业务网络汇聚交换机。汉柏OPV-IaaS云平台管理软件具备整合的运维管理和资源交付功能。以云平台系统软件为核心，对物理资源和虚拟资源进行统一的监控和调度，实现对存储资源和安全服务的集成控制与配置管理，支持虚拟机数据迁移功能和自动周期性快照，支持虚拟机安全策略配置与安全事件告警功能，支持用户权限和资源类型分级管理。提供计算资源交付门户，用户可通过Web方式自助创建和管理自己的虚拟机。汉柏OPV-IaaS云平台管理软件提供兼容主流虚拟化管理软件的能力，支持Intel和AMD异构CPU的统一池化管理。对各种Linux发行版有广泛地支持，同样能够非常好地支持微软Windows平台及其上面的各种服务器应用。存储兼容性方面支持IDE、SATA、SCSI和SAS本地存储和iSCSI、光纤通道和NFS等共享存储。现有应用可以通过P2V方式逐一迁移到计算资源池中，迁移过程保持原有业务连续性和数据一致性。（2）硬件选型目前主流服务器可选类型包括有普通机架式，刀片式和高密度机架式三大类。刀片服务器相比普通机架式服务器提供更高的计算密度，由于采取集中式背板设计有效减少线缆数量，便于管理和维护。高密度机架式服务器通过配置共享的冗余电源、散热等部件，兼顾计算密度，并提供一定的扩展性。普通机架式服务器主板插槽数量较多，具备更好的扩展性，并对机房环境具备更好的适应性。考虑应用特点，选用两路机架式服务器结合四路机架式服务器作为构建计算资源池的基础硬件。图：汉柏科技C640G3业务应用服务器初期新增12台汉柏科技C640G32U双路机架式服务器用于业务应用，每台服务器配置不低于IntelXeonE5-2630v3系列八核处理器两颗，16GBDDR41866ECC内存8根，合计32颗物理CPU计算能力。医院现有5台IBMX3650M42U双路机架式服务器，每台配置IntelXeonE5-2620v2系列处理器两颗，8GBDDR3ECC内存2根。本次项目建设将对服务器内存进行升级扩容，将原有16GB内存扩容至64GB。扩容后，5台利旧服务器合计提供10颗物理CPU和320GB内存计算能力。扩容后的5台IBMX3650M4服务器将与新增12台汉柏C640G3服务器纳入统一计算资源池，进行统一管理。按照每台虚拟机4C/16GB标准，能够支持稳定运行不少于110台业务应用虚拟机，并保留平均不低于20%计算资源冗余。图：汉柏科技C860G3数据库服务器初期配置2台汉柏科技C860G3四路机架式服务器用于数据库应用，每台服务器配置4颗IntelE7-4809v3系列八核处理器，8根16GBDDR41866ECC内存，合计8颗物理CPU计算能力。构建数据库群集，以多实例方式集中运行数据库管理系统，满足基础信息库建设需求。数据库集群依靠其高可靠性，高稳定性的点，承载了大量的关键业务应用，对于高等级的业务应用应至少启用应用级别灾备策略，本次项目建设将利旧医院现有一台IBMX3850四路服务器作为数据库备份机，为系统关键业务应用及数据提供容灾备份服务。初期新增2台汉柏科技C620G31U双路机架式服务器用于基础架构管理节点。每台服务器配置2颗IntelE5-2630v3系列八核处理器，2根16GBDDR41866ECC内存。2台服务器通过服务器虚拟化软件构建单独的管理资源池，采用虚拟机方式运行计算资源池、存储资源池和应用安全防护体系管理系统。通过故障容错确保系统虚拟机的高可用性，单台物理服务器出现故障不影响基础架构管理功能的正常运行。（3）业务网络计算资源池中的服务器采用多路绑定千兆以太网构建业务网络，配置汉柏科技PT-3750E-52T业务网络接入交换机两台，采用堆叠连接。每个计算节点均配置不少于两个1Gb以太网端口进行互联。图：汉柏科技PT-3750E-52T业务网络接入交换机PT-3750E-52T交换机固化48个千兆端口，并提供2个固化万兆SFP+端口用于堆叠。设备支持IPv4/IPv6静态路由、RIP/RIPng、OSPFv2/v3，同时还支持芯片级的安全可靠转发能力和多样化的业务。该交换机具备高性能、大容量和多层交换特点。PT-3750E-52T交换机将万兆核心交换机的先进架构和技术应用在盒式交换机上，实现满端口数据包全线速转发转发的同时，可实现灵活的性能扩展，从而大幅度提高了固定式交换机的性能和功能。PT-3750E-52T交换机支持大容量路由表项的同时还支持先进的TCAM扩展技术，能够进行高速路由查找，采用最长匹配、逐包转发等方式进行数据转发，还极大地提升了交换机的转发性能和扩充能力。能够极好地满足大型网络的组网需求。支持链路级的多种可靠性保障，如支持生成树协议(802.1d、802.1w、802.1s等)、快速环网保障技术、负载均衡、LLDP、VRRP等多重保障，满足存储心跳网络数据转发可靠性需求。（4）功能特点借助于云平台系统软件，可以构建易于管理、动态高效、灵活扩展、稳定可靠、按需使用的新一代云数据中心。云平台具备硬件无关性特点，支持主流的标准硬件。采用开放云平台技术，不会通过技术锁定用户，提高用户可选择性。具备广泛的软件兼容性，不必采用第三方管理工具软件进行配合。提供开放的API，可以为用户或由用户根据实际需要进行定制开发。可充分发挥网络扩展性，具体包括以下3个方面的功能特性。第一是提供个性化资源定制能力，管理员可有效管理各个资源域的资源，按用户所需去定制化用户所需的服务，如可以提供各种可供用户定制化的虚拟机计算服务、存储服务、网络服务以满足不同用户不同应用业务的需求。第二是提供异构化平台管理能力，能够支持异构虚拟机，可同时管理VMWarevSphere和KVM等多种虚拟机环境下的虚拟机并提供统一的管理界面。云平台应允许这三种不同的虚拟软件系统可以同时在一个资源池中存在，而且这种异构模式对用户是透明的。用户在使用他们的虚拟机时并不需要关心是在哪一种虚拟系统上创建的。第三是提供动态化资源扩展能力，可在不影响当前系统及应用的前提下进行顺利扩展或者平滑升级，满足长期发展的要求。共享资源池可根据用户的需求在线增加或减少物理服务器节点，满足用户对于资源的动态调配，实现根据需要灵活地供给和恢复IT资源，并根据使用量进行计量。桌面资源池功能设计****省脑科医院智慧医疗应用支撑平台桌面资源池由云桌面系统软件，云桌面服务器和一体化云终端设备共同构成。运行过程中，桌面服务器上的计算资源被虚拟成多个虚拟桌面，满足医学实验、电子阅览室等类型桌面应用需求。每个用户都拥有一台属于自己的在桌面服务器上运行的虚拟机。按照每个桌面虚拟机1C/4GB标准，支持运行不少于120个并发用户虚拟桌面。

（1）系统软件汉柏OPV-wareHorizonViewV6.0云桌面系统软件为终端用户提供了一个安全高效的远程桌面解决方案，提供企业级桌面虚拟化功能。虚拟的用户桌面具有在线迁移、HA、数据备份等高级特性，可保证整合后平台的稳定可靠运行。用户数据与终端设备隔离，桌面系统和用户数据集中存储在存储资源池中。图：汉柏云桌面系统软件体系结构示意图汉柏OPV-wareHorizonView云桌面系统软件通过统一的管理平台实现对桌面资源池物理设备和虚拟资源的配置和管理。用户仅需要使用价格低廉的云终端或精简PC就可以连接到运行在数据中心中的Windows或Linux桌面，并获得类本地PC的使用体验。云桌面管理系统要求能够提供持久化和非持久化两种桌面交付方式，远程传输协议支持云终端、PC、平板电脑和手机等多种类型终端设备接入，提供面向高延迟网络的性能优化和自适应传输功能；具备针对桌面虚机、物理主机、存储设备和网络资源的监控能力。汉柏OPV-wareHorizonView云桌面系统软件支持采用活动目录实现用户权限管理。活动目录（AD）是Windows网络体系结构中一个基本且不可分割的部分，提供了一套为分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。目录服务在桌面云安全方面扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。汉柏OPV-wareHorizonView云桌面系统软件提供基于Web的桌面访问门户系统，可以通过创建Web站点和Services站点这两种方式实现用户登陆虚拟桌面的入口，用户可以通过Web浏览器或客户端使用各种终端设备访问桌面资源。支持在大量用户同时登陆系统的情况下增加额外的设备进行负载均衡以扩展系统的支撑能力。汉柏OPV-wareHorizonView云桌面系统软件具备广泛的外设支持能力。用户虚拟桌面可以访问一体化云终端设备连接上的外设，提供本地化用户体验。系统支持串口、并口和USB等不同类型的外设接口，提供良好的重定向能力。支持调用本地麦克风和扬声器，打印机，读写器，密码小键盘，条码扫描枪，扫描仪和USB身份认证设备，支持外设兼容性定制化功能。（2）硬件选型图：汉柏科技T560G3服务器初期新增2套汉柏科技T560G3双路高密度机架式服务器用于构建桌面资源池，每台服务器包含4个1U半宽双路节点，共8个计算节点。每节点配置不低于IntelE5-2630v3系列八核处理器两颗，4根16GBDDR41866ECC内存，合计16颗物理CPU计算能力。按照每个桌面1C/4GB标准，能够支持运行不少于120个并发用户虚拟桌面。（3）桌面网络桌面网络采用计算资源池业务网络交换机块作为接入交换设备，每个桌面节点均配置不少于两个1GbE端口进行互联。支持桌面的统一交付，所有用户通过访问单一的IP地址即可根据身份凭证登陆到自己的虚拟桌面，降低网络IP资源和端口需求量，减少管理员NAT配置工作量和复杂度。支持安全桌面访问，用户通过封装在SSL通道内的加密连接访问虚拟桌面。（3）功能特点通过构建桌面资源池，可达到如下方面的功能特性。首先提供更强的按需动态扩展能力。改变传统信息系统建设按周期规划和一次性投入的方式，实现长期规划、按需投入、逐步扩展，大幅提升应用灵活及扩展性，避免投资失误风险。其次是提供更好的分布式支持。通过高性能远程显示协议，使办公用户都能获得卓越的体验，让办公摆脱地理位置限制，实现分布式办公应用。第三是提供更高的稳定可用性。将服务器的稳定可靠特性延伸到座席桌面，利用动态迁移、负载平衡、备份和恢复机制及云终端的长寿命、低故障率等特性，使桌面更稳定，有效保证业务连续性。第四是提供更高的系统可管理性和桌面部署速度。依托云桌面解决方案集中管理托管在数据中心的虚拟桌面，依托云终端设备管理系统实现对云终端、虚拟桌面的管理自动化，使桌面与应用部署更灵活、快速、有弹性，桌面部署时间从天/小时级缩短到分钟级。第五是提供更高的资源利用率。通过将桌面集中托管在数据中心并在桌面部署云终端，可将资源利用率从不到15%提高到60-80%。存储资源池功能设计存储资源池为运行的业务应用提供统一的数据存储和本地容灾备份，由云存储系统软件、基础硬件和存储网络交换设备三部分组成。初期配置存储裸容量合计不少于80TB。存储资源池可以按应用需求进行划分和调整，满足虚拟机系统文件，数据库文件，用户资源文件和本地容灾备份文件存储要求。图3-8存储资源池功能设计（1）系统软件相比传统的集中式磁盘阵列存储方式，高可靠性云存储系统更适应虚拟化条件下多元化数据存储需求，存储资源能够根据前端应用需求灵活进行分配，能够进行大规模横向扩展，不存在磁盘阵列纵向扩展性能瓶颈。通过将多个存储服务器构成统一的存储资源池，实现块存储与对象存储的统一管理，同时具备结构化和非结构化数据存储能力。虚拟机系统文件、数据库数据文件和业务应用资源文件从单个物理主机中抽离出来，在数据存储方面从硬盘级别可靠性提高到节点级别可靠性。提供节点级数据安全保护机制，单个节点发生故障或需要进行设备升级时不影响业务应用，确保业务应用的连续性，系统具备如下高级功能特性：图：汉柏科技OPV-Storage云存储系统软件体系架构示意图统一存储：同一体系结构支持基于数据块和基于文件对象的数据存储服务，同时满足结构化数据与非结构化数据多元化存储需求，具备全局统一的系统映像命名空间，允许前端应用从单一系统获得整合的数据存储服务，简化系统复杂度，提高资源利用率。数据管理：支持在存储资源池中按需划分、启用和删除存储服务，支持基于数据卷的复制和快照功能。复制功能支持在已有数据卷基础上创建出克隆映像并挂载到前端应用；快照功能支持对使用中的数据卷创建即时的逻辑拷贝，并支持基于时间点的快照恢复。智能分区：支持对各个存储节点SATA、SAS和SSD固态硬盘的统一调配，支持分区存储配置管理功能，创建数据卷时可根据配置策略和读写性能要求智能分配或指定数据存储的物理位置。数据映射：支持创建基于IP网络的多重逻辑映射关系，创建数据卷时可根据前端应用需求配置挂载点的映射位置，不同映射关系间实现逻辑隔离，映射关系数量无限制。数据保护：具备节点级数据保护特性，提供可配置的数据安全性策略管理功能，能够针对大文件存储、海量小文件存储、服务器虚拟化系统卷存储在内的多种应用环境进行优化；提供可调整的数据存储冗余副本数量管理功能，多副本数据支持负载均衡运行模式；具备针对数据卷的存储优先级别管理功能，存储节点利用率过高和存储容量不足时可确保优先级别高的数据卷的读写带宽和存储空间。故障切换：具备存储服务容错能力，在系统正常时控制器以负载均衡模式工作，在某个控制器发生故障时具备自动故障切换功能，其它控制器能够自动接管故障控制器的工作。切换过程数据不丢失，业务不中断。控制器数量要求可以在线动态扩展。数据迁移：具备数据在线迁移功能，支持对运行中的存储服务执行无中断的维护操作，迁移过程前端业务应用不中断，无需关机或停止存储服务便可以实现存储数据在不同存储节点之间的移动。数据删重：具备面向对象文件类型存储服务的重复数据删除功能，实现可配置的重复数据对象自动识别与处理策略。当检测到重复数据时，系统自动进行删除，并使用链接方式引用已存储在系统里的数据对象的位置，有效提供存储系统可用容量。横向扩展：支持在线添加、移除或替换数据硬盘，支持在线增减存储节点。扩容过程中前端客户端无需停止对存储系统的使用，扩充的存储容量即扩即用，支持动态在线扩展单卷存储容量。本地容灾：提供数据本地容灾备份与恢复功能，支持以虚拟机为单位通过周期性快照方式进行集中备份。异地容灾：提供数据异地容灾备份与恢复功能，支持通过远程同步或异步复制方式进行数据推送。可建立跨数据中心数据卷，实现多数据中心存储服务融合，使分散在异地数据中心不同存储系统的资源联合起来，构成统一的全局文件系统。便捷管理：全中文管理界面，支持集成部署模式，不需要单独配置服务器或虚拟机作为管理节点，不存在单点故障隐患。提供统一的物理设备和存储服务逻辑视图查看功能。支持存储节点、数据磁盘和存储池的实时在线监控和管理。具备云存储系统运行日志、异常信息和历史数据查看功能。具备云存储系统授权在线导入及容量扩展功能。应用集成：通过第三方管理API接口可实现对云存储系统物理设备和存储服务的完全控制，提供定制开发服务，可实现与云平台等运维管理系统的功能集成。系统同时具备良好的兼容性和扩展性，支持CIFS,NFS,HTTP,FTP等传输协议，支持Linux客户端，支持FUSE接口访问协议，同时支持专有的文件传输协议；能够兼容Windows/Linux/Solaris/Mac等操作系统。无需网关兼容VMware、Xen、Hyper-V、KVM等虚拟化管理软件。（2）基础硬件本次新增汉柏科技S840系列高密度机架式云存储服务器2套，共8个存储节点。其中一套每节点配置8块2TB7200RPMSATA接口大容量数据硬盘，可充分满足前端虚拟化系统文件及其它通用类型数据存储需求。另一套每节点配置8块600GB10KRPMSAS接口高性能数据硬盘，主要用于满足数据库等类型应用对存储资源的高并发IOPS性能要求。图3-10汉柏科技S840高可靠性存储服务器汉柏科技S840高可靠性存储服务器是为了高密度数据中心环境需求而优化的双路存储服务器产品，采用英特尔全新一代IvyBridgeE5-2600系列处理器作为存储控制芯片，满足系统在高负载状态下对IO读写的极端需求，轻松应对多种存储应用需求所带来的挑战。汉柏科技S840高可靠性存储服务器在4U机箱中提供48个3.5英寸硬盘盘位，支持SAS/SATA/SDD固体硬盘混插。提供节点热插拔特性，可以在系统不间断运行的状况下进行磁盘扩展，大大提高产品灵活度，可以按照业务发展需求配置不同的存储级别，为不同的应用创建最理想的存储解决方案。汉柏科技S840高可靠性存储服务器的电源和风扇等关键部件均支持热插拔，提升了系统整体的可靠性。提供符合IPMI2.0协议的远程管理功能，对主机运行状态及硬件信息进行实时监控，使得后期维护管理更加便捷。医院现有两台近期采购的IBMStorwizeV3500存储系统，本次项目建设规划将两台存储系统通过挂载到前置机的方式纳入到存储资源池进行统一管理，两台存储系统分别通过HBA卡挂载到现有的一台IBMX3650M4和一台HPProLiantDL80Gen9服务器上，然后通过存储网络和云存储系统的定制开发后，纳入到新增存储资源池内，实现统一管理、状态监控、空间配置。（3）存储网络存储资源池前端网络采用全万兆互联设计，通过两台堆叠的汉柏科技CT-6800-64XG48口全万兆存储网络交换机与计算资源池中的计算节点连接。设计采用一台汉柏科技PT-3750E-52T存储网络管理交换机构建存储节点间的内部心跳网络。新增存储节点、利旧存储服务器和计算节点均配置两个10GbSFP+端口用于构建独立的存储网络。图:汉柏科技CT-6800-64XG存储网络交换机CT-6800-64XG是汉柏科技有限公司为数据中心高密度应用环境专门设计开发的全万兆盒式交换机，作为面向下一代数据中心的高性能、高安全性、高可靠性的交换产品，产品整机交换能力高达1.28Tbps，包转发率960Mpps，所有端口全线速转发。CT-6800-64XG交换机整机高度只有1U，充分体现了数据中心产品高性能、小型化、灵活的趋势。关键硬件部件采用了冗余备份的设计方案。支持内置冗余电源模块和模块化风扇组件，电源模块以及风扇模块均可以热插拔而不影响设备的正常运行。具备企业级安全特性以及无阻塞性能，能够满足数据中心存储网络高并发汇聚交换应用需求。CT-6800-64XG支持基本二层、三层协议规范，提供完善的QOS功能，提供WRR/SP/SWRR/DWRR/SDWRR等多种灵活的调度机制。可扩展的硬件ACL功能：支持L2~L7包过滤功能，可基于IP、MAC、IP+MAC、协议、二端口、三层VLAN接口、时间段等设置安全策略，在不同的时间段自动切换为不同的策略。CT-6800-64XG全面支持下一代数据中心应用特性。支持TRILL协议，有效简化网络设计，提高网络可扩展性。为用户建立大规模以太网和以太网光纤通道数据中心网络奠定了基础。支持VEPA虚拟以太网端口聚合标准，将虚拟机之间的交换行为从服务器内部移出到交换机上，解决了服务器内部软件交换机功能弱效率低的问题。支持MLAG，通过跨设备的链路聚合，多台物理交换机可以虚拟成一个整体的逻辑单元。CT-6800-64XG具有丰富的管理功能，在对用户进行身份认证或对用户的MAC、IP的绑定等多种安全方式的情况下，可通过100/1000M管理端口、RS-232串行控制端口、WEB、SNMP、SSH、SYSLOG、TELNET等多种方式来对设备进行管理、配置、访问、监测，并可根据不同的用户权限进行不同的操作。这样即可拒绝了恶意用户的非法攻击，也避免了非信任用户随意修改设备的问题。（4）功能特点通过构建存储资源池，可达到如下五个方面的功能特性。首先是能够提供高性能的存储服务，在虚拟化环境下满足硬盘持续高带宽、高吞吐量存储需求，为虚拟机运行提供良好的性能保证。其次是能够提供具备高可靠性的存储服务，防止因设备、部件等故障而导致停机或数据丢失。数据安全已经成为了业务连续性的基本保障，但传统的RAID技术只能从硬盘级别提供数据保护，随着磁盘数量的增多，硬盘故障的几率增加，RAID技术数据恢复时间长、保护范围有限等缺陷使其越来越不能满足实际应用的需求，需要更高可靠性的设计。第三是提供存储动态扩展能力，支持未来灵活在线扩展，无论是硬件还是软件的扩充，均需要满足不断变化的业务需求。对于存储设备和空间支持在线扩容，能够满足未来海量数据的爆炸式增长。第四是简化了存储管理的复杂度，便于存储系统相关资源管理及媒体资源一体化管理，使IT管理员更加简洁有效地监控、管理和分配资源。第五是提高存储容灾能力，存储系统提供跨广域网的远程异地备份和恢复功能，能够实现对本地存储数据的异地容灾保护，消除安全策略的地域限制，从而构建全面的、完整的数据安全策略。应用安全防护系统功能设计基于虚拟化技术构建的数据中心需要采用全新的信息安全防护机制，建立面向应用的全面完整的安全防护体系。应用安全防护子系统和用于边界防护的网络安全设备共同实现整体安全防护。图：应用安全防护体系功能设计（1）系统软件计算资源池中运行的所有虚拟机采用面向服务且无状态的汉柏科技OPV-Security云安全系统软件进行管理。相比传统网络安全管理模式，提供跨越物理机和虚拟机的无代理安全防护功能，能够实现更高的资源利用率，虚拟机密度和防护深度。云安全系统软件通过在计算资源池和桌面资源池中每台物理主机虚拟化软件底层运行安全管理引擎的方式，实现面向虚拟主机和虚拟系统的包括访问控制、系统防护、行为管理和虚拟补丁等功能于一体的安全防护，并满足信息系统合规性审计要求。云安全系统软件具备主流服务器虚拟化管理软件兼容能力。通过云安全子系统，可有效规避虚拟机之间的恶意攻击，虚拟机启动时的防护间歇等虚拟化环境独有的安全威胁，并提升服务器可用率。图3-12汉柏科技OPV-Security云安全系统软件功能特性汉柏科技OPV-Security云安全系统软件具备如下四方面功能特性。首先是具备系统防护功能，通过隔离已阻止的恶意软件防止虚拟环境中的复杂攻击问题，无需占用任何客户虚拟机资源即可保护虚拟机，防止其受到病毒、间谍软件、木马和其他恶意软件的侵害。能够对并发的虚拟机全盘扫描和病毒库更新进行优化，避免产生大量的资源消耗，云安全系统软件支持访问控制功能。传统技术的防火墙技术常常以硬件形式存在，用于通过访问控制和安全区域间的划分，计算资源虚拟化后导致边界模糊，很多的信息交换在虚拟系统内部就实现了，而传统防火墙在物理网络层提供访问控制，如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。虚拟机安全引擎可以提供基于状态检测的细粒度访问控制功能，可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离，同时支持各种泛洪攻击的识别和拦截。云安全系统软件具备行为管理功能，虚拟机安全引擎能够同时在主机和网络层面进行监测和预防。随着虚拟化技术的出现，传统的行为管理工具可能没法融入或运行在虚拟化的网络或系统中。云安全系统软件可以对系统交换机或端口进行管理，这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。除了提供传统IDS/IPS系统功能外，还提供虚拟环境中基于政策的（policy-based）监控和分析工具，使云安全管理系统能够更精确的进行流量监控、分析和访问控制，还能分析网络行为，为虚拟网络提供更高的安全性。云安全系统软件提供虚拟补丁防护功能。随着新的漏洞不断出现，传统数据中心管理员在为系统打补丁上疲于应付，等待安装重要安全补丁的维护时段可能是一段艰难的时期。另外，操作系统及应用厂商针对一些版本不提供漏洞的补丁，或者发布补丁的时间严重滞后，还有最重要的是，如果IT人员的配备不足，时间又不充裕，那么系统在审查、测试和安装官方补丁更新期间很容易陷入风险。云安全管理系统通过虚拟补丁技术完全可以解决由于补丁导致的问题，通过在虚拟系统的接口对虚拟机系统进行评估，并可以自动对每个虚拟主机提供全面的漏洞修补功能，在操作系统在没有安装补丁程序之前，提供针对漏洞攻击的拦截。云安全管理系统的虚拟补丁功能既不需要停机安装，也不需要进行广泛的应用程序测试，提高防护效率，简化安全管理。（2）边界防护配置汉柏科技PA-5500-NF50E安全网关产品两台，按主从模式部署。通过该设备集成的防火墙、VPN、入侵防御、抗DDoS攻击、病毒过滤以及流量控制在内的多种安全功能，在不与安全问题妥协和满足用户便利性的前提下，实现云数据中心网络边界的访问控制、地址转换、远程接入以及入侵防御管理。图3-13汉柏科技PA-5500系列安全网关汉柏安全网关采用了控制平面、数据平面严格分离的系统架构，采用基于多核硬件完成防火墙的所有