医疗信息化项目投标方案（技术方案）

医疗信息化项目方案投标文件（技术方案）投标方案投标人名称：****有限责任公司地址：****号二楼联系人：****投标日期：****报告说明声明：本文内容信息来源于公开渠道，对文中内容的准确性、完整性、及时性或可靠性不作任何保证。本文内容仅供参考与学习交流使用，不构成相关领域的建议和依据. 5 9 9 92.1.2.建设目标 2.1.3.建设原则 2.2.1.技术需求分析 2.2.2.安全需求分析 2.3.总体设计方案 2.3.1.整体概述 2.4.1.云平台设计 2.4.2.计算资源池设计 2.4.6.业务迁移实施方案 2.5.1.需求分析 2.5.2.总体设计 2.5.4.身份认证管理 2.5.5.安全管理方案 2.5.6.系统运维管控 2.6.项目实施方案 2.6.1.项目工期承诺书 2.6.2.项目实施内容 2.6.4.项目团队 2.6.5.项目实施方法论 2.7.3.培训对象 2.7.4.培训计划 2.7.5.培训内容 2.8.6.运维服务体系 2.8.8.备件服务 2.8.9.应急服务 2.8.12.运维管理制度 2.8.13.运维服务组织 2.8.1.运维服务评价 针对比选文件中的技术评分细则，我公司响应如下：序号具体内容评标标准对应页码1技术方案整体技术方案、施工方案科学合理、可行性强得2.6-4分；整体技术方案、施工方案一般得0.1-1未提供不得分；2售后服务评审委员会依据参选单位承诺的服务横向对比后评比：优得2.6-4分；良得1.1-2.5分；一般得0.1-1分。未提供承3云安全解决方案参选人根据安全资源需求，提供云安全台安全、虚拟数据中心安全、虚拟机安6日志、监控、告警、事件审计等运维管控服务；参选人针对上述要求提供云安全解决方案得3分，未按要求提供或者未提供均不得分。4实施运维团队参选人为本项目实施运维团队人员包①高级软件工程师或者通信技术专业高级工程师，每提供1名得1分，最高得2每提供1名得1分，最高得2分；(需提供职称证书复印件及身份证复印件，否则不得分)5培训人员参选人为本项目提供的专职培训人员在1人(含)至5人(含)得1分，6人(含)至10人(含)得2分，11人(含)至15人(含)得3分，16人(含)以上得4分，(列表提供专职培训人员姓名、联系方式及身份证复印件，同时提供满足本项要求的承诺书),未提供或未按要6建设工期承诺参选人承诺5月15日交付的得0分，在此基础上承诺交付日期每提前1天加1分，最高得5分，需提供承诺书，承诺7培训方案参选人满足技术规范书中培训要求得0分，在此基础上，为采购方提供的与本最高得4分。(注：增加的课程需单独否则不得分。)8标书制作投标文件编制目录、文字、图片清晰、页码齐全、附件完整、资格审查及技术上述全部满足的，得2分。一项不合格扣0.5分，最低得0分。2.签署要求：应加盖应答方单位公章(多页的需逐页盖章或加盖骑缝章),或由法定代表人(负责人)或其委托代理人逐页手签。2.技术规范书中明确要求应答方提供的其他相关文件本章将针对本项目的详细投标技术服务方案，投标详细参数、指标描述，技术应答承诺及说明等进行具体介绍。2.1.项目概述将在LTXX市机房内建设同城双活私有医疗云平台，满足医疗云用户现有业务系统逐步迁移到云平台的需求，满足相关业务对T计算、数据存储、网络安全等各方面需求。XXX将提供正版数据库、操作系R2中文企业版，SQLServer2008R2等，实现双活物理机房容灾备份保障，满足核心业务系统及网络安全达到信息系统安全等级保护第三级(以下简称“三级等保”)要求。2.1.1.建设背景随着以计算机和网络通信为核心的信息化技术的发展飞速发展，信息化浪潮势不可挡，迅速地延伸到人类生活和社会的各个方面，也不可避免地改变着医疗技术和医疗模式。信息技术与医疗的结合已经成为当今世界医疗改革和发展的有机组成部分。近年来，随着卫生行业信息化建设的逐步深入，IT技术的应用越来越成为医疗行业前进必不可少的助推器。各相关技术企业及服务运营方正在积极拥抱变化，通过云计算、互联网等前沿技术，向医疗卫生机构提供医疗信息化相关服务，帮助医疗机构加快医疗信息化转型，提高管理水平，改善服务及医疗质量，从各个环节上优化患者就诊流程、合理利用医疗资源，减轻门诊收费、医技科室、药房等位置的拥堵现象，提升患者就医体验，从而促进医疗质量和服务水平的提高。2.1.2.建设目标XX市LT计划通过私有医疗云平台的建设，打造本地医疗信息化服务能力，探索医疗云服务模式，以满足本地医疗云用户的医疗信息化需求。本项目所建设的医疗云平台除可为医疗云用户提供IT计算、数据存储、网络安全的服务能力外，并将承载医疗云用户的部分关键业务系统，包括医院信息系统(HIS)、医学图像处理系统(PACS)、手术室信息系统、医疗保险信息系统等信息化系统，以及卫生信息标准化、电子病历、数据仓库、数据挖掘及临床决策在医院信息化中的应用等等。本项目所建设的医疗云平台，将实现双物理机房容灾备份保障，建设双活数据中心，并实现核心业务系统及网络安全达到三级等保的要求，以满足医疗云用户未来5年的相关信息化IT计算、数据存储、网络安全等各方面需求。2.1.3.建设原则XXX医疗信息化项目用于承载医院HIS,PACS等关键业务系统，必须采用成熟技术和产品，总体建设原则遵循先进性、安全性、高效性和可靠性等原则。1、开放性医疗云设计符合国际通用标准，符合开放设计原则，具备优良的可扩展性，延伸性和灵活性，遵循标准化、开放化的要求。2、实用性医疗云计算、网络和存储等性能指标需满足医疗业务系统的要求，能够节约建设成本，降低能耗，最大限度的满足实际工作的要求，采用集中管理控制的模式，易于管理维护。3、先进性医疗云采用成熟先进的云计算、虚拟化技术和开放的体系结构，满足医疗信息化的专业需求，在国内三到五年内保持领先的水平，并具有长足的发展能力，以适应未来的发展。医疗云采用双活数据中心方式部署，同时需充分考虑租用机房网络、消防、电力和UPS等配套条件的高稳定性，服务器、存储和网络设备等需选择经过实践证明可靠的网络产品，以提高可靠性。医疗云可灵活扩展计算、网络和存储等资源，满足医疗信息化可持续发展的需求；实现对计算资源的灵活调配，满足医疗业务系统不同阶段的运行需求。医疗云既要考虑资源的充分共享，也要注意信息的保护、隔离和可靠存储技术，承建方提供项目专用的医疗云平台，满足国家等保三级认证的安全要求。7、可管理性医疗云平台采用成熟先进的云管理软件，管理和维护工作高度自动化，简便快捷的实现对资源和业务系统的监控和计量。2.2.项目需求分析2.2.1.技术需求分析.医疗云资源需求本次XXX医疗信息化项目，XXX将向LT交付提供以下计算资源及(1)虚拟化计算资源需求：需提供CPU1328核，内存6336GB。(2)物理计算资源需求：小型机3台，四路服务器7台，两路服务器10台。(3)存储及备份资源需求：内网存储资源730TB,外网存储资源20TB,近线备份存储72TB,离线备份存储120TB。(4)第三方正版软件需求：提供以下正版软件，Oracle数据库 (8C授权)RAC+GoldenGate1套，含五年的维保服务；提供相应资源池的正版虚拟化软件及售后服务，提供正版SQLServer数据库、WindowsServerRedHatEnterpriseLinux操作系统、容灾备份软件、网络版杀毒等软件。.医疗云双活需求本项目提供的医疗云服务部署在XX市LT本地的两个IDC机房内，按照同城异地双活设计方案并进行实施，保证业务连续性，要求根据不同故障级别，制定系统可行的故障恢复、容灾应急解决方案。包含但不限于医疗云平台软件、硬件、云平台网络链路等方面的大小故障，要求故障恢复时间最长不超过30分钟。2.2.2.安全需求分析医疗云将承载医疗系统关键业务，因此医疗云的基础安全性非常重要。XXX在全面体现GB17859-1999的等级化标准思想的基础上，以公安部《信息系统安全保护等级定级指南》和《信息系统安全等级保护测评准则》为主要指导；充分吸收近年来安全领域出现的信息系统安全保障理论模型和技术框架(如IATF等)、信息安全管理标准ISO/IEC17799:2000和ISO/IECTR13335系列标准；根据我国的信息化发展现状和我国特有的行政管理模式，提出了安全等级保护的整体框架和设计方案，为指导信息系统的建设和改进，从安全等级保护技术体系和安全等级保护管理体系两个方面分别给出了等级化的解决建议。XXX将提供物理安全、网络安全、主机安全、数据安全、应用安全、虚拟化安全等安全服务；提供云安全解决方案，包括云安全架构(云系统平台安全、虚拟数据中心安全、虚拟机安全),身份认证管理，安全管理，提供日志、监控、告警、事件审计等运维管控服务，满足客户现有及未来3-5年业务系统迁移上云的使用要求。此项目中，医疗云平台建设将按照“三级等保”规格进行建设，建设完成后进行“三级等保”测评，并根据国家要求进行一年一次测2.2.3.应用迁移上云需求分析XXX作为服务供给方，将联合各方共同为医疗云平台用户提供技术支撑服务，设计上云方案、测试、部署、验证总结、运维保障、效果评估等。目前计划迁移上云的业务系统如下表所示，同时XXX承诺，服务期内免费提供新建业务系统云上部署服务。1域控合理用药镇痛系统(外)2集成平台3院感远程心电系统4传染病上报外网网站5自助发药人力资源6SPD药品物流系财务奖金上报7生殖科电子病历系统8输血护理管理(内)病案室扫描存档服务9静配中心满意度评价省市医保服务(专线)手麻系统智能网管卫计委大数据平台上重症监护镇痛系统(内)市卫生局门诊健康信血透系统金蝶微信前置移动护理健康河北前置移动查房不良事件上报体检系统护理管理(外)(1)设备专用，医疗云平台配置的所有软硬件设备为XXX全新采购，并归属本项目专用，未经许可不得提供给其他方使用。(2)数据专用，迁移上云的所有业务系统所产生的生产数据及备份数据均归业务系统所有人所有，未经业务系统所有人许可不得擅自自行使用或提供给其他方使用或进行以商业为目的使用。(3)技术队伍专用，XXX将专门为此项目配备专业的技术人员组成技术团队当发生系统故障时，该团队人员需与LT指定的技术人员进行密切合作，共同排查解决问题。(4)管理专用，XXX将严格遵守医疗云平台管理制度，未经授权，不随意开通账户，使用医疗云资源提供各类云服务。2.3.总体设计方案2.3.1.整体概述医疗云平台，作为本项目底层的重要集成平台，在IT基础设施、应用环境、业务管理等层面为上层的数据业务、用户资源需求等方面提供资源保障。通过医疗云平台的建设可实现平台的平滑扩容，满足医疗云用户不断增长的计算能力、存储能力、网络能力需求，实现医院信息化系统的平滑扩展；通过医疗云平台的建设为医疗大数据和医舞解据后庭基服务舞解据后庭基服务门户平台服免2.3.2.总体架构.逻辑总体架构平台包含几个层次，分别是：基础设施层、在务应用商店持珍集成蓝出盥蓝出盥资源池通即金存即勇桌即库安全应用应用治理习哲理应用监控应用适意能群目理自动化测试用户包理权生命周励育理EQ\*jc3\*hps12\o\al(\s\up5(大),管)EQ\*jc3\*hps12\o\al(\s\up5(据),理)计算资源池网精资源池存储资酒池安全资游池基础设施服务门户平台服务酸铺韶器部器塑籍务●基础设施服务层 Glance(镜像)等核心组件进行大量深度地优化和开发，实现对底层实现统一纳管，并对计算、存储、网络、安全资源池化。面向上层PaaS、业务等需求提供IT基础设施服务。●平台服务层平台服务层，即PaaS平台，包含两部分：应用环境引擎、容器引擎。应用环境引擎基于Cloudify服务编排框架，为医疗云平台提供一个可运营，兼容性高，易扩展的开放性应用环境引擎，为各类业务系统以及用户提供应用蓝本、中间件、数据库、大数据等云化服务。容器引擎基于kubetnetes加docker实现，能够为各类业务需求提供容器服务，包含有状态容器服务。同时，应用环境引擎与容器引擎的融合，实现应用环境自动化编排能力，同时面向用户提供应用商店。●服务门户层服务门户层，为用户提供各类云服务申请、管理的门户，基于服务门户用户能够自助申请各类IT基础设施服务、应用环境服务、大数据服务、容器服务等。.网络总体架构医疗云平台按照双活数据中心网络设计方案，整个平台包括配置相同的两个云数据中心，数据中心采用大二层网络架构，具备高扩展性，核心设备采用冗余设计，网络设备和链路按照双备份要求设计，在网络连接上消除单点故障，提供关键设备的故障切换。关键网络设备之间的物理链路采用双路冗余连接，按照负载均衡方式工作。数据中心的核心交换机采用虚拟化技术，提高链路的带宽。铜mM计算登画地在储区云计算贷断放在锰区Acs饭置.双活数据中心整体设计云计禁贷源地入文例T中N有储区行联通IDC机房1计算贷配浊Ma如上图所示，医疗云双活数据中心整体基本采用1:1方案设计，两个数据中心的网络、安全、计算(除小型机外)、存储资源均采用相同的配置方式。在整体方案的架构设计上，分为云计算资源池(包含小型机、物理机、虚拟化资源池等)、存储备份资源池、网络安全资源池、广域网区、云运维管理区及各个院区的门诊应急六大部分。.1.云计算资源池云计算资源池承载医疗云所有业务系统的运行，根据业务的需求不同，又分为小型机资源池、四路资源池一、四路资源池二、两路资源池、外网虚拟化资源池和EMR服务器：小型机资源池●用于运行HIS系统和集成平台系统的Oracle数据库，主中心的两台小型机采用OracleRAC的方式部署，备中心的小型机部署OracleDategard实现数据库数据的同步。●每台小型机均采用物理的硬件电气隔离分区，将小型机分割为两个逻辑上的设备，分别运行两个系统的数据库，实现高可靠性。●根据电子病历系统要求，采用物理机方式部署EMR数据库的服务器，每中心的两台四路服务器服务器根据业务需求做主备或负载分担。四路资源池一●用于运行医疗云内网中关键业务和对性能要求较高的业务系统，每中心各采用5台四路服务器做计算虚拟化后承载，采用CPMCCAS虚拟化操作系统；●两个中心业务系统采用1:1方式部署，主中心业务系统出现故障后，由备中心业务接替，数据同步由存储备份实现。●主要承载的业务系统有域控、集成平台前端系统、HIS前端系统、BI、LIS、输血、静配中心、手麻系统、重症监护、血透系统、合理用药、满意度评价。四路资源池二●用于运行医疗云新建的PACS系统，每中心各采用四台四路服务器做计算虚拟化后承载，虚拟化软件采用VMwarevSphere,满足国内外主流PACS系统(例如GE、富士、金仕达卫宁、海纳医信等),两个中心业务系统采用1:1方式部署，主中心业务系统出现故障后，由备中心业务接替，数据同步由存储两路资源池●用于运行医疗云内网中非关键业务且对性能要求较低的业务系统，根据医疗云实际业务情况，部分两路资源池设备用于外网虚拟化资源池(具体见下);●两个中心各配置8台两路服务器，并采用CPMCCAS虚拟化系统，两个中心业务系统采用1:1方式部署，主中心业务系统出现故障后，由备中心业务接替，数据同步由存储备份实现。●主要承载的业务系统包括移动护理、移动查房、体检系统、HRP系统、院感、传染病上报、自助发药、SPD药品物流系统、银医通自助机服务、护理管理(内)、智能网管、镇痛系统外网虚拟化资源池●用于运行医疗云广域网业务系统，包括省市医保前置机、互联网支付前置机及WEB网站等对外业务；●计算资源由两路虚拟化资源池设备提供，服务器独立部署，并通过超融合的方式实现外网业务计算、存储一体化部署，简化维护难度，通过与内网业务系统的隔离，实现内外网业务的安全防护。●两个中心业务系统采用1:1方式部署，主中心业务系统出现故障后，由备中心业务接替，数据同步由存储备份实现。●主要承载的业务系统包括金蝶微信前置、健康河北前置、不良事件上报、护理管理(外)、镇痛系统(外)、HQMS上报、远程心电系统、外网网站、人力资源、财务奖金上报、生殖科电子病历系统(外网私网)、病案室扫描存档服务、省市医保服务(专线)、卫计委大数据平台上报服务(新农合、外网)、市卫生局门诊健康信息档案上报等。.2.存储备份资源池存储备份资源池用于承载医院各个业务系统的业务数据，包括但不限于业务操作系统、中间件、数据库、业务数据、医疗影像、视频等结构化、半结构化和非结构化数据。同时两个数据中心业务的数据同步、备份也是通过这个资源池来进行完成的。存储备份资源池主要包括存储双活资源池、近线备份资源池、离线备份资源池三部分。存储双活资源池(实时备份):●采用两台存储设备分别部署到两个数据中心，通过实时备份软件实现两个数据中心数据的同步，满足业务系统对实时备份的要求，保证每个业务系统在两个数据中心存储上获取的数据完●每个业务服务器在指定存储空间时，将主备地址分别指定为两个数据中心的存储设备，在一台存储故障的情况下，主机I/0访问可以无缝切换到另外一台阵列而不会中断业务，在故障恢复后，可根据业务需求将业务再迁回原有数据中心。●每台存储均配置四个高性能的控制器，总共384GB缓存，任意控制器故障都不会导致性能大幅下降，单控制器故障最大●控制器内建高速交换芯片通过简单连线实现多节点网状互联群集，控制器上采用专用ASIC芯片负责数据I/0处理，该芯片具备RAID运算、在线去零和在线去重的功能。在开启这些功能的情况下，对存储性能无影响，提高存储空间利用率。●通过存储的自适应存储优化技术，可以智能、自动的根据主机的需求将热点数据调整到SSD固态硬盘；将活动数据调整到FC磁盘上；将不活跃的数据存放在SATA磁盘上。通过这种方式实现了存储设备的智能分层存储，使存储空间需求和性能需求都达到很好的满足。●根据磁盘的不同类型，可以将存储小块统一放入不同的资源池进行统一管理，所有的逻辑卷是由存储资源池中的数个逻辑存储单元组成。通过这种方式可以使逻辑卷的存储空间管理更灵活，扩容更方便简单，此外还能使逻辑卷的存储空间均匀分布在存储后端的各块磁盘上，极大的提升性能，提高整个存储的性能利用率。近线备份资源池：●根据医疗云各个业务的要求及特性，对于业务中的数据进行备份，近线备份系统部署在数据中心B,采用异步备份的方式每天对现网关键业务数据进行保存，防止勒索病毒、木马等攻击。●近线备份的主要备份数据为各个业务系统的数据库数据，及各个业务的操作系统，备份的存储时限初期规划为5年，数据超过5年后会存储到离线备份资源池。每天数据备份时间窗口为凌晨12:00到15:00.离线备份资源池：●离线备份资源池用于存储需要长期保存的数据，例如根据国家卫计委医疗机构管理条例实施细则第五十三条的要求，医疗机构的门诊病历的保存期不得少于十五年；住院病历的保存期不得少于三十年。●离线备份数据在备份前进行压缩和重删，提高数据空间的利用率。.3.网络安全资源池网络安全资源池包括网络资源池及流量调度，安全资源池包括三级等保要求的各个安全设备及虚拟化安全防护系统、杀毒软件等。●两个数据中心在网络设计上采用1:1完全一致的方式部署，每个中心部署两台核心的高端S12508X-AF交换机，两个中心的核心交换机采用四框虚拟化的方式进行部署，实现两个数据中心的统一网关设计。●核心交换机部署在核心安全区，该区域作为数据中心的核心枢纽，同时连接到了计算资源池、云运维管理区、广域网区、各个院区核心及对向数据中心，各个连接链路均采用40GE光纤链路、万兆、千兆光纤链路，本次方案中所配置的所有链路均采用冗余方式部署，并通过链路聚合的方式保证链路的高可靠性。●核心交换机通过出口路由器连接至各个院区，交换机与路由器间采用多条万兆光纤链路进行互联，出口路由器到各个院区也采用冗余的万兆光纤链路进行互联●核心交换机通过两个万兆链路连接至运维管理区万兆交换机，通过多个千兆光链路连接至广域网区网闸。●核心交换机连接至计算资源池采用四条冗余的40GE链路，分别连接至两台计算资源池接入交换机；●计算资源池接入交换机采用冗余方式部署，并通过万兆冗余链路分别连接至小型机、虚拟化资源池、EMR物理机，虚拟化资源池间的数据互联采用独立的万兆交换机，也采用冗余方式部署。●本网所有交换设备均采用SDN+VxLAN的技术部署，实现通过云平台对数据中心业务流量的灵活调度。安全资源池：●根据三级等保的要求，对医疗云关键业务进行安全防护；●网络安全：部署M9K下一代防火墙、负载均衡等设备，防火墙开启IPS、防病毒等功能，通过流量调度对各个虚拟机间链路进行安全防护。部署堡垒机对运维人员的操作进行审计；部署态势感知设备，实现全网IT资产安全状况及健康状况、关键业务风险评分、攻击态势展示、用户行为展示、全网拓扑展示等功能。●主机安全：每台服务器上配置杀毒软件，物理机采用Windows/Liux专用杀毒软件，虚拟化服务器采用无代理的虚拟化杀毒软件，通过统一的杀毒软件管理中心进行管控。配置终端管控管理软件，实现对每个终端的认证管理和权限下发。部署漏洞扫描系统，对现网中各个操作系统、数据库进行漏洞扫描。●数据安全及备份：部署数据库审计系统，对现网中各个业务访问数据库的行为进行记录，并可协助分析数据库的读写效率，改善业务系统效率；●广域网安全防护见广域区描述；在区域边界的安全防护上，主要考虑广域网区与核心业务区的连●医疗云对外的广域网连接只要分为专网连接和互联网连接两部分，广域网区连接至医疗云间的数据主要为数据库类型数据，采用四台高性能的网闸实现数据的安全传送，保证广域网区的●专网主要是银行的前置机、省市医保等，通过专线链路连接至医疗云的链路，该种类型的业务在医疗云均会部署前置机，前置机部署到虚拟化集群里，虚拟化集群通过部署无代理防病毒系统，实现虚拟资源池的安全防护。●互联网主要是医院开展的支付宝支付、微信支付、网上挂号等业务，由于这些业务均需要与互联网进行连接，在本次方案设计中，采用下一代防火墙同时开启IPS和防病毒功能，实现对互联网攻击的安全防护；同时，这些系统的前置机也部署到虚拟化集群里，虚拟化集群通过部署无代理防病毒系统，实现虚拟资源池的安全防护。●广域网区的网站、前置机等系统，均部署在外网虚拟化资源池，具体描述见云计算部分。.5.云运维管理区云运维管理区，用于部署对医疗云各个业务系统的运维所需的支撑系统，例如云管理平台、态势感知系统、云运维平台、漏洞扫描、数据库审计、堡垒机等，具体设计如下：●云管理平台、云运维平台等关键管理系统在两个数据中心都有部署，单中心的故障不影响对设备的管理和运维。●部署云管理平台，在云平台上实现对医疗云业务支撑系统的申请、审批和自动创建，包括云主机、虚拟防火墙、虚拟LB、虚拟存储等。●部署堡垒机、数据库审计、漏洞扫描、安全态势感知等安全监控检测类系统，提高整网的安全防护，满足等保要求。●部署终端认证系统，对访问医疗云的用户进行认证，并对终端安全防护级别进行检查，提高访问的安全性，满足等保要求。门诊应急服务器主要用于在双数据中心都联系不上时，开启门诊应急服务器，临时提供最关键的业务系统服务，使医院信息化系统能最低运行起来，在本次方案中共部署三台门诊应急服务器，分别部署到各个院区。每台门诊应急服务器采用四路服务器，配置4颗5118处理器，256GB内存，4块1.2TB的10KSAS盘用于数据存储，并配置oracleGoldengate,实现与医疗云HIS数据库的数据同步。2.4.项目技术方案2.4.1.云平台设计本项目医疗云平台采用CPMC的CPMCCloudOS3.0云操作系统。CPMCCloudOS云操作系统是业界领先的全融合云管理平台，将OpenStack与Cloudify、kubetnetes、Docker技术融合，在此之上进行了大量地开发，定制出符合国内用户实际的需求的功能。通过CPMCCloudOS云操作系统能够实现将传统IT资源以云服务的方式向用户提供，用户通过统一的Portal即可以完成云资源的申请、使用、CloudOS云操作系统支持SDN,能通过SDN控制器实现对物理网络设.云平台架构设计本项目中，针对双活数据中心A和B分别部署一套云计算平台，第三方云管理平台第三方云管理平台应用服务超大规模高可用、弹性伸缩、高井发容器智能服务平台EiMicrosoftPowerPoint演示文稿基础构建门户平台基础组件容器Cloudify本项目云计算平台以IaaS层作为基础架构的平台，向上提供标同时管理应用的部署和扩展等生命周期。本项目云平台PaaS层集成了Cloudify服务编排框架，为医疗云平台提供一个可运营，兼容性高，易扩展的开放性PaaS云平台。医疗云平台在云计算平台部分，逻辑架构主要分为以下几层：基础构建层、容器平台层、基础组件层、应用服务层、门户。>基础构建层底层物理设施，包括网络和安全设备，服务器，存储，以及各种虚拟化软件。虚拟化软件。虚拟化软件与底层物理设施对接，屏蔽物理设施的差异；通过VCFController接口管理网络和安全设备，通过CVM提供的Cinderplugin控制CVM管理的存储设备，通过Openstack适配各种虚拟化软件。>基础组件层为应用服务层提供数据存储、数据交互等方面的支持。基础组件层的组件均通过容器平台层的高可用特性为应用服务层提供更好的高可靠性能力。>应用服务层核心业务层，提供资源池化、统一管理、业务编排、服务目录、计费管理等运营、运维支撑能力。服务层具备两个主要能力，首先，面向医疗云用户提供各类云服务，能够将数据中心中IT资源以云服务的方式向用户提供，CPMCCloudOS云操作系统可以将传统数据中心中计算、网络、存储、安全、应用等资源作为云资源向用户发布，可以向用户提供的云主机、云硬盘、云防火墙、云负载均衡、云网络、云数据库、公网IP等云资源服务，这些云资源使用起来和物理设备没有差别；其次为第三方提供通过API的集成，扩展能力。为租户直接提供自助服务，Openstack作为协议适配层的中间件存在于CPMCCloudOS云操作系统的整个体系架构中。Openstack最核心价值是基于开放API和完全解耦的模块化系统架构设计思路，使得OpenStack系统架构具有良好的开放性与兼容性。.云平台设备组件本项目中，用于提供服务的云平台设备清单如下所示。类型说明CPMCUIS-Cell3010G38SFF超融合一体机8CPMCUIS-Cell6000G3超融合一体3机CPMCUIS-Cell3010G38SFF超融合一体机CPMCUIS-Cell3010G38SFF超融合一体机CPMCUIS-Cell6000G3超融合一体机4机8机1VMwarevSphere6标准版for1CPMCCAS-CAS云计算管理平台1CPMCCAS企业版&亚信安全安全软件2CPMCSecPathSysScan-V系统功能授权函1CPMCSecPathW2000-V100WEB应用防火墙系统授权函5CPMCSecPathM9006多业务安全网关，含主控和交换网板22CPMCSecPathF1030防火墙4CPMCSecPathD2050-G数据库审计系统2CPMCSecPathA2020-G运维审计系统2网闸CPMCSecPathGAP2000-S安全隔离与信息交换系统设备8CPMCSecCenterCSAP网络安全态势感知14CPMCS5130S-28P-EIL2以太网交换机6CPMCCR19000-8路由器机箱44CPMCS6520X-30QC-EIL3以机4认证平台1CPMCVCF控制器2运维平台CPMCUCenter-智能运维平台软件1亚信亚信安全防毒墙服务器Windows版143鼎甲灾备一体机DK21101鼎甲灾备一体机DK41101四控在线存储2除以上设备外，XXX还将提供正版数据库、操作系统、虚拟化软件、容灾备份软件、网络版杀毒等第三方软件(包含但不限于上述内容),并承担由此涉及的知识产权问题。根据云平台用户HIS系统及数据集成平台对数据库的要求，XXX将在医疗云平台上交付Oracle数据库，数据库部署在Unix小型机上，数据库按Oracle+RAC+GoldenGate(8CPU授权、11GR2企业版及以上)配置，并提供五年维保服务；提供相应资源池的正版虚拟化软件及售后服务；提供正版SQLServer2008R2企业版及以上数据EnterpriseLinux6.8版本及以上操作系统，容灾备份软件、网络版杀毒等软件。以上所有相关软件于项目交付时提供给云平台用户。序号名称版本数量12RedHatEnterpriseLinux7.1及以上满足业务系统需要3满足业务系统需要4满足业务系统需要.1.产品彩页n树 s3新华三集团2gw产品，也代表十年关建业务计的愿T给施，并料墙汉快速住伤道.刷，可实程高9摘有应本，级-thanurS700每变肺八，在理开产品性的同时，到间户时大溶能计值查需求EQ\*jc3\*hps10\o\al(\s\up5(08),o)EQ\*jc3\*hps10\o\al(\s\up5(r),r)**电.一·7EmH17r·主要稳定性功能包括.以英特尔安腾LH3CSecPathF1000系列防火墙是新华三技术有限公司伴随Web2.0时代的到来并结合当前安全与网络深入融合的技术趋势，针对中小型企业、园区网互联网出口以及广域网分支市场推出的下一代高性能防火墙产品。H3CSecPathF1000系列防火墙支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，能够有效的保证网络的安全：支持多种VPN业务，如L2TPVPN、GREVPN、IPSeeVPN和SSLVPN等，与智能终端对接实现移动办公：提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用与LRL的策略路由：支持IPV4/IPv6双协议栈同时，可实现针对IPV6的状态防护和攻击防范。H3CSecPathF1000系列防火墙采用互为冗余备份的双电源(1+1备份),同时支持双机集群化部署的SCF技术，充分满足高性能网络的可靠性要求：同时F1000产品在1U高的设备上可提供最大24个千兆接口、2个万兆的固定接口。F1020/F1030/F1050/F产品彩页高性能的软硬件处理平台电信级设备高可靠性强大的安全防护功能●支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息特征进行匹配，可以精确的识别P2P流量，以达到对P2P流量进行管理的目的，同时可提供不同的控制策略，实现灵活的P2P●高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST(FullInspectionwithRigorousStateTest,基于精确状态的全面检测)引擎。FIRST引擎集成了多项检测技术，实现了基于精确状态的全面检测，具有极高的入侵检测精度：●实时的病毒防护：采用流引擎查毒技术，可迅速、准确查杀网络流量中的病毒等恶意代码。●海量LRL分类过滤：支持本地+云端方式，139个分类库，超2000万条URL规则。●全面、及时的安全特征库。通过多年经营与积累，H3C公司拥有业界资深的攻击特征库团队，同时配备有专业的攻防实验室，紧跟网络安全领域的最新动态，从而保证特征库的及时准确更新。业界领先的IPv6●支持IPv6状态防火墙，真正意义上实现IPv6条件下的防火墙功能，同时完成IPv6的攻击防范。●支持IPv4/IPv6双协议栈，并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能。●支持IPv6ACL、Radius等下一代多业务特性●集成链路负载均衡特性，通过链路状态检测、链路繁忙保护等技术，有效实现企业互联网出口的多链路自动均衡和自动切换。一体化集成SSLVPN特性，满足移动办公、员工出差的安全访问需求，不仅可结合USB-Key、短信进行移动用户的身份认证，还可与企业原有认证系统相结合、实现一体化的认证接入。●数据防泄漏(DLP),支持邮件过滤，提供SMIP邮件地址、标题、附件和内容过滤：支持网页过滤，提供HTPLRL和内容过滤：支持网络传输协议的文件过滤：支持应用层过滤，提供Java/ActiveXBlocking和SQL注入攻击防范。●入侵防御(IPS),支持Web攻击识别和防护，如跨站脚本攻击、SQL注入攻击等。●防病毒(AV),高性能病毒引擎，可防护500万种以上的病毒和木马，病毒特征库每日更新。●未知威胁防御，借助态势感知平台，NGFW可以快速发现攻击、定位问题，确保一旦单点受到攻击，全网实施策略升级及综合预警、响应。专业的智能管理●支持智能安全策略：实现策略冗余检测、策略匹配优化建议、动态检测内网业务动态生成安全策略并推荐。●支持标准网管SNMPv3,并且兼容SNMPv1和v2.●提供图形化界面，简单易用的Web管理。●可通过命令行界面进行设备管理与防火墙功能配置，满足专业管理和大批量配置需求。●通过H3CIMCSSM安全管理中心实现统一管理，集安全信息与事件收集、分析、响应等功能为一体，解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题，使IT及安全管理员脱离繁琐的管理工作，极大提高工作效率，能够集中精力关注核心业务。●基于先进的深度挖掘及分析技术，采用主动收集、被动接收等方式，为用户提供集中化的日志管理功能，并对不同类型格式(Syslog、二进制流日志等)的日志进行归一化处理。同时，采用高聚合压缩技术对海量事件进行存储，并可通过自动压缩、●提供丰富的报表，主要包括基于应用的报表、基于网流的分析报表等。●支持以PDF、HTM、WORD和TXT等多种格式●可通过Web界面进行报告定制，定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等。接口8电1个配置口(CON)主机自带8千兆电1个配置口(CON)主机自带8个千兆光口+16个千兆电口1个配置口(CON)主机自带8个千兆光口+16个千兆电口+2个万兆光口2(F1020一个扩展槽)存储介质盘工作：0~45℃非工作：40~70℃Portal认证、RADIUS认证、HWTACACS认证、PKI/CA(X509格式)认证、防火墙SOP虚拟防火墙技术，支持CPU、内存、存储等硬件资源报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法超大I扫描、端口扫描、SYNFlood、UPDFlood、ICMPFlood、DNSFl击MAC和IP绑定功能支持缓冲区溢出、SQL注入、IDS/IPS支持攻击特征库的分类(根据攻击类型、目标机系统进行分类)、分级(分高、中、低、提示四级)支持攻击特征库的手动和自动升级(TFTP和HTTP)邮件/网页/应用层过滤邮件过滤邮件标题过滤邮件内容过滤邮件附件过滤网页过滤SQL注入攻击防范可配置支持地址转换的有效时间支持多种NATALG,包括DNS、FTP、H.323、ILS、MSN、NBT、PL2TPVPN、IPSecVPN、GREVPN、SSIPv6路由：RIPng、OSPFv3、BGP4+、静态路由、策略路由、PIM-SM、PIM-DM等IPv6连接数限制等支持双机状态热备(Active/Active和Active/Ba易维护性支持Web方式进行远程配置管理典型组网网管区域)产品彩页项目“必配”表示所描述项目是设备正常运行的最小配置。“选配”表示所描述项目是用户根据实际使用需要可选择配置。新华三技术有限公司hip/wwwhecomcn编：31C053北京分部编：1002料的内不在技水gmeni.城HSCH本放料8的程科H3CSecPathL5000系列是H3C公司面向运营商、企业出口、行业中小型数据中心开发的业界领先的负载均衡产品。H3CSecPathL5000系列提供完善的负载均衡功能，具备服务器负载均衡、链路负载均衡等功能。部署在数据中心，基于特定的负载均衡算法将客户端对数据中心服务的访问请求合理地分发到数据中心的各台服务器上，以保证数据中心的响应速度和业务连续性。部署在多ISP链路的出口(如电信、联通等),为了提高链路利用率，通过对链路状态的检测，采用对应的调度算法将数据合理、动态地分发到不同链路上。H3CSecPathL5000系列开创性地实现了负载分担、安全与网络的深度融合，具有强大的路由、交换、负载均衡、2~7层安全防护等功能。H3CSecPathL5000系列具有强大的接口扩展能力，用户可以根据自己的需要灵活选择接口模块，保护用户投资，可以适应复杂的组网环境。●提高网络业务的应用访问速度●提高网络业务的业务连续性●提高网络业务的应用访问总容量●提高网络业务的安全性●提高网络业务出口的链路使用率通过部署H3C负载均衡产品，能够大大降低网络的采购成本和运维成本，同时增加了网络的灵活性和可扩展性。H3CSecPathL5000系列共有L5000-C、L5000-5、L5030、L5060、L5080、L5000-E六款产品。11产品彩页22强大的硬件平台H3CSecPathL5000负载均衡产品采用先进的多核多线程硬件平台，能够并行处理健康检测、负载均衡调度以及安全、路由等功能，并利用快转技术，做到一次运算多次转发，实现了高性能的负载均衡及安全防护功能。H3CSecPathL5000负载均衡产品本身自带有丰富的接口以及扩展槽位，可适应用户针对现网部署设备硬件端口的所有要求。高效的健康检测算法H3CSecPathL5000系列支持丰富的健康检测算法，可从网络层、应用层全方位的探测、检查服务器及应用的运行状态。在进行健康检测时，采用H3C公司专利NQA(NetworkQualityAnalyzer,网络质量分析)技术，确保健康检测占用最小的系统资源开销，从而保证应用交付业务的性能。健康检测算法适用于4~7层服务器负载均衡。灵活的链路负载均衡调度能力H3CSecPathL5000系列负载均衡产品支持出站、入站链路负载均衡，结合内置的全球ISPIP地址库进行出、入站流量的智能调实现基于不同运营商、链路健康度、链路带宽大小等多要素的链路负载均衡。最终达成内、外网访问用户整体访问体验的提升以及多链路带宽资源的互为备份与合理利用。丰富的服务器负载均衡调度算法H3CSecPathL5000系列支持丰富的负载均衡调度算法，可根据具体的应用场景，采用不同的算法。支持的算法包括：轮询、加权轮询、最小连接、加权最小连接、随机、源地址HASH、目的地址HASH、源地址端口HASH等算法。以上负载均衡算法适用于4~7层服务器负载均衡，同时，对于7层服务器负载均衡还支持基于应用特征的分发，例如基于HTTP头域、内容等。H3CSecPathL5000系列支持L4和L7的服务器负载均衡。4~7层服务器负载均衡4层服务器负载均衡：基于TCP、UDP、IP的各种业务应用，依据报文的L4层特征(IP、端口)进行负载均衡。7层服务器负载均衡：基于L7内容的负载均衡，通过对报文承载的内容进行深度解析，根据应用层的分析结果对报文进行处理或者分发。支持基于HTTPheader、HTTPURL、HTTPcookie以及HTTPcontent的解析，并在此基础上，配置所需要的L7策略，对HTTP报文进行分发和会话的持续性保持。SSL卸载和加速H3CSecPathL5000系列支持SSL卸载功能，将访问内网服务器中的SSL加解密过程由应用交付设备承担，H3CSecPathL5000系列与服务器之间可采用非加密或者弱加密的SSL进行通讯，极大的减小了服务器端对SSL处理的压力，从而将服务器的CPU处理连接复用H3CSecPathL5000系列支持TCP的连接复用功能，使用连接池技术，可以将前端大量的客户的HTTP请求复用到后端与服务器建立的少量的TCP长连接上，大大减小服务器的性能负载，减小与服务器之间新建TCP连接所带来的延时，并最大限度减少后端服务器的并发连接数，降低服务器的资源占用。应用优化H3CSecPathL5000系列采用了全代理的模式，H3CSecPathL5000系列全面接管客户端和服务端的应用流量，支持任何层次的协议字段的解析和优化。H3CSecPathL5000系列支持IP/TCP/HTTP等多个参数模板设置，通过对应用参数模板的设置，可以优化应用交付的功能，提升应用交付的性能。IP参数模板，提供了SetIPToS功能。通过设置IPToS来对各种类型的传输协议优化处理，从而提高关键应用传输的性能。TCP参数模板提供了设置发送和接收缓冲区的大小等选项。通过设置TCP缓冲区的大小来调节链路传输的质量，达到优化TCP数据传输的目的。maxparse-length(最大解析头长度)、secondary-cookie(secondary-析长度)等选项或参数设置，根据用户需求，满足对HTTP应用交付的优化需求和性能提升。全面的安全防护H3CSecPathL5000系列负载均衡产品具备全面的安全防护能力，支持对各种DoS/DDoS攻击、ARP欺骗攻击、超大ICMP报文攻击、地址/端口扫描等各种攻击的防范，是业界安全功能极为强大的负载均衡产品。高可靠性采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到企业用户，经历了多年的市场考验。口支持千兆以太网光口、千兆以太网电口、万兆以太网光口支持千兆以太网光口、千兆以太网电口、万兆以太网光口支持干兆以太网光口、千兆以太网电口、万兆以太网光口、40G以太网光口支持千兆以太网光口、千兆以太网电口、万兆以太网光口、40G以太网光口支持千兆以太网光口、千兆以太网电口、万兆以太网光口、40G以太网光口支持千兆以太网光口、千兆以太网电口、万兆以太网光口、40G以太网光口接口1个配置口1个外置USBhost接口12个千兆以太电口12个千兆以太光口1个配置口1个外置USBhost接口12个千兆以太电口12个千兆以太光口1个配置口1个外置USBhost接口8个千兆以太电口8个万兆以太口1个配置口1个外置USBhost接口8个千兆以太电口1个配置口1个外置USBhost接口8个千兆以太电口1个配置口1个外置USBhost接口44HPE提供了广泛的HPEStoreFabric光纤通道和多功能/改进的性能和功能、更快的I/O处理、服务器级别的数据融合、更大的聚合网络管道、更长的解决方案寿命、更少的中断升级以及更多的扩展空间一无论您的公司规模如何，这些都是您希然而，您是否发现难以应对持续的数据增长、更严格的法规要求、虚拟化和不断增长的数据检索需求?您是否感到需要一款易于管理、面向未来和可扩展的解决方案，以满足成本、安全性、性能和向后兼容要求，同时又保留现有系统和操作?此外，您的存储区域网络(SAN)带宽和预算是否在阻碍您将展望中的存储网络环境变为现实?倘若如此，HPE为您的SAN和LAN提供了理想的光纤通道(FO)和多协议/融合协议交换机系列，可交付您关键业务数据和应用程序所需的可扩展性、性能和广泛的互操作性。这些交换机HPE8/8SAN交换机HPESN6000可堆叠8Gb12端口单电源光纤通道交换机展到超过500个设备端口。HPE8/20q光纤通道交换机与8Gb简单SAN连接套件场SAN部署。随8/20q交换机提供的HPESCM企业软件提供了HPEHBA、H系列交换机HPESN6000B16Gb光纤通道交换机从24个扩展到48个端口，并支持4、8、10或16Gbps速度，从而提供各种远程连接性能。Pack+型号不仅包括一套可监控网络状态和性能的工具，而且还包括FabricWatch、3Hrusocansarxamsns,mreeW7anusssH3CUIS6.0超触合整体架构usomamces,n下Srcincuconc.namntarw000s,manam制 上 上页+产术·企业级产品：安姓产品特点产品特点0组网应用进配信息相关手册相关软件十甲科技解决方案合作伙伴支持中心关于微甲中文/Engah鼎甲鼎甲首页、产品都据保护InfoKist备份容灾一体机一体化"+"分布式”“多、快、好、省”wmEQ\*jc3\*hps13\o\al(\s\up8(效的),o能n性9)严品代后十甲建计AE。MEQ\*jc3\*hps13\o\al(\s\up5(大),m)EQ\*jc3\*hps13\o\al(\s\up5(文),u)EQ\*jc3\*hps13\o\al(\s\up5(小TS),wua)EQ\*jc3\*hps13\o\al(\s\up5(SsS),co)》始终保持稳定性nm700sEQ\*jc3\*hps13\o\al(\s\up4(先),n)理解决方案),其中7E的**tmau2i4在本项目的云计算平台系统中，IT服务的自助式提供和IT环境管理，可以将云计算平台中各功能模块有机的结合起来。从而实现云计算平台业务快速和自动化开展实施。服务门户分为用户服务门户和服务管理门户。用户服务门户主要用户对服务目录申请的登入入口，用户能够自助式进行服务申请；管理门户主要用于组织架构的管理、用户权限的分配、后台资源的管理和监控。云管理平台支持运营统计，支持查看云资源配额使用统计信应用相关的统计图表。CPMCCloudOS云操作系统登陆界面给计算与存信网络与安全防火墙1关系配教据库非关系型数据库HSaseHDPSoukHeHDFSMapfedice2服务目录McosotPowerPoitM示文编I◎元a抓CPMCCloudOS云操作系统服务界面H3CLOUD页服务工租户基计润图程uCPMCCloudOS云操作系统统计分析云业务工作流作为一个公共基础系统贯穿了云平台业务过程，最终实现云服务的对业务部门的自助式交付。医疗云平台基于Web全中文页面提供了完整的端到端云业务工作流程管理。其业务工作流程如下图所示：编排编排①身份认证及权蜜②③启动工作流审批通过⑤⑥状态更新虚拟机正存储资源署虚拟机部④下发业务云资源管理云虚拟资游邮署皇妈婴服务擦送用户访间1)用户访问自助门户完成身份认证和权鉴，云平台集成认证EIA认证系统，能够实现与LDAP、MSAD对接。实现单点登入。2)服务目录根据用户身份(所属部门)组织对应的服务目录，并推送到用户自助门户3)用户在自己对应的服务目录中选择申请所需的云服务，从而启动工作流4)管理员审批用户的服务自助申请。审批通过后，启动业务开启流程，将服务申请下发到编排系统5)编排系统根据用户所选的服务获取对应的资源属性，自动调用云资源管理平台接口开通所需的计算、网络、存储资源，创建出用户所申请的虚拟机6)虚拟机创建成功后，编排系统通知用户自助门户更新状态7)用户正常使用虚拟机资源(删除虚拟机亦参照此流程)。自助式服务管理为用户提供了一个安全的、多租户的、可自助服务的IaaS,是一种全新的基础架构交付和使用模式。通过自助式服务，用户能够在线自助云资源申请、使用、修改、销毁等操作。运维管理部门通过云平台调用虚拟化计算、存储和网络资源，以消费单元 (即组织或虚拟数据中心)的形式对外提供服务。运维管理部门能够通过完全自动化的自助服务访问，为用户提供这些消费单元以及其它包括虚拟机和操作系统镜像等在内的基础架构和应用服务模板。这种自助式的服务真正实现了云计算的敏捷性、可控性和高效性，并极大程度地提高了业务的响应能力。根据数据中心云业务划分需求，可以将管理员划分为多级进行管理，不同的级别具有不同的管理权限和访问权限。的最终用户系统管理员最终用户用户分级管理云管理员负责整个云平台的管理，进行全局资源配置，计费策略、资源规格定义，划分组织和配额，分配组织管理员，统一监控全局资源的使用情况、计费统计、运维健康状态等(Admin账号是默认的云组织管理员通过租户服务台操作，可以创建下属组织，为下属组织分配资源配额，创建本组织的普通用户以及下级组织的管理员和普通用户；为本组织申请网络、防火墙等资源；查看组织及下属组织的资源使用状况、费用统计等；普通用户通过租户服务台操作，可以申请云主机、云硬盘等资源服务，并对已申请的资源进行监控和管理；可以查看自己的资源使用状况、费用信息等；审计员可以查看云平台中审计信息，包括各类管理人员和用户的身份鉴别记录、操作记录、以及访问受保护资源的行为记录等；自定义权限分组支持基于上述四种角色，进一步定制用户权限，可以控制到操作菜单粒度；通过自定义角色分组，可以实现定制服务DatacenterCom子分组子分组子分组子分组子分组子分组子分组不同分组/子分组的操作员登录到CPMCCloudoS云管理平台之后，默认只能查看和操作本分组/子分组内的资源。子分组子分组.服务目录设计为保证医疗云平台能够支撑各类业务需求，CPMCCloud云管理平台具有丰富的云服务目录，其中具有强大的资源抽象和提供能力，能够将数据中心中IT资源以云服务的方式向用户提供，CPMCCloud云管理平台可以将传统数据中心中计算、网络、存储、安全、应用等资源作为云资源向用户发布，可以向用户提供的云主机、小型机、云硬盘、云防火墙、云负载均衡、云网络、云数据库、公网IP等云资源服务，,可根据业务申请完成资源配置工作，这些云资源使用起来和物理设备没有差别。其中云主机服务和小型机服务通过自助服务门户申请所需操作系统、CPU核数、内存、硬盘、网卡个数以及相应网络IP等信息。应拟数据中心应拟数据中心m云应用云网三云云主机n错云负粒均衡s0云网络城CPMCCloudOS云操作系统云服务目录云主机和云硬盘服务医疗云平台能够支持主流的虚拟化平台云主机服务，支持VMware、KVM、CitrixXenServer、Hyper-V、PowerVM、HP小机等。云主机功SUSE、Ubuntu、FreeBSD、MacOS、中标红旗、中标麒麟、中标普华、深度、一铭、凝思等，支持在线交付、在线管理、远程登陆、快照管理、在线迁移等功能。云主机根据业务系统的负载量可提供不同的配置模板，如基础型云主机(1个vCPU,2G内存)可部署桌面级应用及基础架构类应用，如Word、浏览器、DNS、MSAD等；标准型机(2个vCPU,4G内存)可部署WebServer,文件服务等；大内存型(4个vCPU,8G或12G内存)云主机可部署邮件系统、应用服务器、轻量级数据库应用等；高计算型云主机(8个vCPU,16G内存)可部署高性能数据库、数据仓库等。除了以上标准配置以外，还支持用户根据业务性能要求自定制配置。用户能够采用密钥对方式登录云主机，保证用户登陆安全。云主机通过集群技术保障高可用，当云主机所在的物理服务器故障时，可快速切换到其他状态正常的服务器上。通过动态资源调度技术自动进行负载均衡，云主机可在线自动迁移到其他物理服务器上，期间应用不会产生任何影响。医疗云平台需提供虚拟主机的新建、操作、续用和销毁等功能，支持主机加载和卸载硬盘，支持打开主机控制台，创建主机快照和更云存储服务本项目在云存储方面支持集群技术和分布式文件系统，提供对象存储服务。对于对象存储来讲，不光是解决了数据存储的问题，同时它还解决了数据安全性的问题。存储通常已经依赖于客户端和私有网络的认证来保护系统的安全性，不管在文件服务器内用的是FCSAN或SCSI阵列。对象存储体系结构在每一个级别上都提供了安全性：存储系统对存储设备的认证；存储系统对计算节点的认证；存储系统对计算节点命令的认证；所有命令都经CRC的完整性检查；数据和命令经由IP的私有性。这样的安全水平使得租户可以用更经济高效，可管理并容易访问的IP网络，作为存储的传输王具，同时还提高了整个存储体系的安全性。虚拟路由器服务本项目所提供的虚拟路由器服务与物理路由器在功能上是一致的，均采用CPMC成熟的ComwareV7网络系统平台，运行在标准服务器的虚拟机上，提供与物理路由器相同的功能和体验，包括路由、防火墙、VPN、QoS和配置管理等。虚拟路由器运行在虚拟机上面，应用于虚拟私有云，作为虚拟私有云网关，实现虚拟私有云与企业租户在医疗云平台上，虚拟路由器能够作为用户延伸到云端的网关设备，部署在云数据中心的服务器或者虚拟机上，为用户VPC和总部/分支之间提供VPN,以保证租户的安全。虚拟路由器能够将企业VPC网络作为企业网络的一部分进行管理，确保一致的网络配置、安全策略、管理策略和IP地址规划等，实现统一的企业网络管理。和企业分支一样，实施统一的流量控制、部署一致的网络业务(如：QoS、防火墙、负载均衡、WAN优化等),提供一致的网络业务体验。云网络服务医疗云平台的云网络支持虚拟交换网络，支持子网划分，支持通过专线或者虚拟专网连接，提供配置管理界面。虚拟交换网络能够监控云主机的流量、针对云主机下发网络策略，且云主机迁移时网络策略能够自动化同步跟随。云平台能够基于主机地址、网段和子网进行私有网络或公共网络中IP地址的预留和预留地址的释放。医疗云平台数据中心内的物理网络资源(核心交换机、接入交换机等),以及通过主机虚拟化软件的0VS均可以提供SDN、VxLAN功能，组成虚拟网络资源池。不同租户可通过基于Openstack的云平台来调度云数据中心内的网络资源池、计算资源池、存储资源池以及安全资源池的资源，组成自己的虚拟网络(VPC)。VPC内的安全防控，通过使用ServiceChain的方式调用安全资源池的虚拟化安全组件(NFV)来实现，为不同用户提供2～7层的安全云平台能够以公网IP资源池形式提供多个公网IP地址资源，针对需要对外提供服务的云主机，用户可以基于云平台申请公网IP,并将此IP与云主机绑定，外部用户就可以通过公网IP访问云主机。公公.sa口nnm作S安全组服务安全组服务是CPMCCloudOS云操作系统中用于为租户提供主机间安全防护功能的云服务。普通用户通过安全组管理功能可以对本系统中的所有安全组进行统一管理以满足云用户的实际需求。CPMCCloudOS云操作系统基于虚拟交换机为用户提供安全组资源及对资源的全生命周期管理功能，通过安全组为主机提供安全控制服务，用户通过自助服务门户申请安全组服务，并能够进行图形化配置，支持针对TCP、UDP、ICMP不同网络协议进行安全规则配置。用户通过配置安全组规则可实现对主机络的东西向防护。云负载均衡服务云负载均衡支持将网络请求动态分流到多个云服务器上，支持四层、七层负载均衡，支持对云主机的健康检查，支持用户自行申请开通配置。云负载均衡能够为每个租户提供提供独立的vLB功能，实现租户业务的安全隔离，vLB资源独享也能够保证租户负载均衡服务的性能。同时，vLB能够支持针对虚机的负载均衡，满足医疗云平台云网络资源负载均衡的需要。用户在申请云服务时，可以根据需求在业务申请界面上选择申请云LB服务。在申请云LB时，可以根据自身需要，配置vLB的指标参数，如vLB数量、吞吐量、服务IP地址等，满足用户vPC自定义的需求。租户申请完负载均衡服务后，会有申请流程提交到管理员处，管理在评估用户的业务需求、费用等信息后，批准/驳回用户的云负载均衡服务的申请。云负载均衡器墙PμP用用云负载均衡服务申请界面均n0招标参数配置云防火墙服务本项目云平台提供云防火墙功能