張新龍，丁雪乾，王艷，王建林

（蘭州大學(xué)第一醫(yī)院 信息中心，甘肅 蘭州 730050）

0 引言

隨著電子電器設(shè)備的廣泛普及和互聯(lián)網(wǎng)的快速發(fā)展，云計(jì)算等新一代技術(shù)正在極大地改變著人們的生活方式，作為與民生緊密聯(lián)系的醫(yī)療行業(yè)也從中受益?！盎ヂ?lián)網(wǎng)+健康醫(yī)療”的提出已然使得醫(yī)療行業(yè)開始逐步改變傳統(tǒng)醫(yī)療系統(tǒng)的單一服務(wù)模式，正在朝著大容量、高共享、高安全的方向發(fā)展。同時(shí)，伴隨著電子設(shè)備的廣泛普及和醫(yī)療信息的爆發(fā)式增長，解除當(dāng)前“信息孤島”模式，實(shí)現(xiàn)醫(yī)療信息的高效、安全共享問題亟待解決[1]。健康醫(yī)療云以充分利用云計(jì)算并行的、分布式的特征，可將計(jì)算資源虛擬化，根據(jù)健康醫(yī)療信息服務(wù)提供者與用戶事先商定好的服務(wù)協(xié)議提供動(dòng)態(tài)服務(wù)，是“互聯(lián)網(wǎng)+健康醫(yī)療”發(fā)展的重要推動(dòng)力量[2]。通過構(gòu)建基于“互聯(lián)網(wǎng)+健康醫(yī)療”的醫(yī)療云平臺(tái)，建設(shè)區(qū)域醫(yī)療數(shù)據(jù)中心，創(chuàng)新服務(wù)模式。按需提供計(jì)算和存儲(chǔ)服務(wù)以及提供快速部署能力可以使得平臺(tái)具有極大的靈活性和可擴(kuò)展性[3-4]，進(jìn)而實(shí)現(xiàn)大型醫(yī)院醫(yī)療衛(wèi)生資源與醫(yī)療信息服務(wù)的整合統(tǒng)一、共享互聯(lián)，將大大提高醫(yī)院的衛(wèi)勤保障服務(wù)水平。

1 云平臺(tái)設(shè)計(jì)方案和技術(shù)路線

云醫(yī)療平臺(tái)依托于已經(jīng)發(fā)展穩(wěn)定的“互聯(lián)網(wǎng)+健康醫(yī)療”云計(jì)算技術(shù)，主要實(shí)現(xiàn)統(tǒng)一云管理平臺(tái)，使服務(wù)發(fā)放和云平臺(tái)運(yùn)維均在統(tǒng)一云管理平臺(tái)完成。可以通過虛擬化的“云”計(jì)算平臺(tái)，將各個(gè)醫(yī)療機(jī)構(gòu)已經(jīng)實(shí)施的實(shí)驗(yàn)信息管理系統(tǒng)（LIS）、影像歸檔和通信系統(tǒng)（PACS）等系統(tǒng)作為軟件服務(wù)向外開放[5]。在單數(shù)據(jù)中心中根據(jù)業(yè)務(wù)類型不同，區(qū)分為兩個(gè)資源區(qū)，每個(gè)資源區(qū)包括虛擬化資源池和大數(shù)據(jù)資源池。每個(gè)資源區(qū)采用單一租戶管理，根據(jù)應(yīng)用部署網(wǎng)絡(luò)隔離要求劃分2級VDC管理業(yè)務(wù)，同時(shí)，每個(gè)資源群的業(yè)務(wù)按容器應(yīng)用和云主機(jī)應(yīng)用劃分兩個(gè)VDC，醫(yī)療云平臺(tái)整體方案架構(gòu)如圖1所示。

1.1 資源池設(shè)計(jì)方案

醫(yī)療云平臺(tái)構(gòu)建需要考慮云需求和移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展以及傳統(tǒng)業(yè)務(wù)系統(tǒng)擴(kuò)容流程環(huán)節(jié)眾多、擴(kuò)容周期長等因素。資源池化不僅能大幅度提高IT資源的利用率，還可以增強(qiáng)業(yè)務(wù)部署的靈活性[6]。在云平臺(tái)搭建過程中，根據(jù)業(yè)務(wù)應(yīng)用的不同特點(diǎn)和規(guī)模規(guī)劃資源池，比如根據(jù)業(yè)務(wù)應(yīng)用對計(jì)算性能和安全等級保護(hù)的要求對服務(wù)器進(jìn)行分區(qū)配置，滿足應(yīng)用的不同需求。

設(shè)計(jì)資源池由區(qū)域（region）組成，Region之間數(shù)據(jù)資源完全隔離，以實(shí)現(xiàn)最大程度的容錯(cuò)能力和穩(wěn)定性，而Region之間通過低速率時(shí)延的網(wǎng)絡(luò)實(shí)現(xiàn)聯(lián)通。同一個(gè)區(qū)域內(nèi)共享對象存儲(chǔ)、VPC網(wǎng)絡(luò)、彈性IP、鏡像等公共服務(wù)。Region內(nèi)用戶收到的服務(wù)延遲應(yīng)該小于接入延遲，且由于各區(qū)域處于不同的地理位置，而具有不同的地理容災(zāi)等級。一個(gè)Region內(nèi)可以包括一組數(shù)據(jù)中心（date centre，DC），DC間應(yīng)規(guī)劃足夠大帶寬和最小延遲，實(shí)現(xiàn)互通。每一個(gè)Region管控多個(gè)可用分區(qū)（available zone，AZ）。AZ是一個(gè)物理資源的分區(qū)，保障計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)的基本功能?？捎梅謪^(qū)內(nèi)的物理資源共享了可靠性故障點(diǎn)，如共享相同的電源供應(yīng)、磁盤陣列和交換機(jī)。在工程方面，可用分區(qū)的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源是完全互通的。

資源池的總體架構(gòu)設(shè)計(jì)原則是以資源組合的方式實(shí)現(xiàn)，分為物理數(shù)據(jù)中心層、統(tǒng)一資源層、業(yè)務(wù)層。云平臺(tái)通常包括多個(gè)物理地域分布的數(shù)據(jù)中心，單個(gè)物理數(shù)據(jù)中心的形態(tài)和傳統(tǒng)云數(shù)據(jù)中心基本一致，分為物理基礎(chǔ)設(shè)施和物理基礎(chǔ)架構(gòu)，采用扁平化二層網(wǎng)絡(luò)設(shè)計(jì)，將數(shù)據(jù)中心IT設(shè)備高速連接到一起。統(tǒng)一資源池層包括統(tǒng)一的計(jì)算資源池、存儲(chǔ)資源池和網(wǎng)絡(luò)資源池。業(yè)務(wù)層即資源池的應(yīng)用計(jì)算環(huán)境，包括醫(yī)院和運(yùn)營商的業(yè)務(wù)部署以及根據(jù)業(yè)務(wù)需求而劃分的相應(yīng)VDC，資源池總體部署概覽如圖2所示。

圖2 資源池總體概覽

1.2 計(jì)算服務(wù)方案

醫(yī)療云平臺(tái)的計(jì)算服務(wù)方案與多個(gè)影響因子相關(guān)，具體計(jì)算過程如下式所示：

單個(gè)目標(biāo)服務(wù)器的可供虛擬機(jī)使用的CPU線程數(shù)=（物理服務(wù)器總超線程數(shù)-虛擬化軟件開銷超線程總數(shù)-連接分布式存儲(chǔ)消耗的資源占用（非必選）-DPDK消耗資源占用（非必選））×目標(biāo)服務(wù)器的CPU使用率

1.3 存儲(chǔ)服務(wù)方案

醫(yī)療云平臺(tái)存儲(chǔ)分為塊存儲(chǔ)服務(wù)、文件存儲(chǔ)和對象存儲(chǔ)服務(wù)[7]。

資源池管理系統(tǒng)能夠?qū)崿F(xiàn)邏輯層面的塊存儲(chǔ)資源虛擬化。塊存儲(chǔ)資源虛擬化是將不同型號的存儲(chǔ)設(shè)備接入系統(tǒng)中，對存儲(chǔ)設(shè)備上的存儲(chǔ)池按照一定規(guī)則（性能/保護(hù)能力）進(jìn)行分組，組成不同的塊存儲(chǔ)資源池。進(jìn)行資源分配時(shí)，只需要在這些塊存儲(chǔ)資源池中申請塊存儲(chǔ)服務(wù)，不同存儲(chǔ)設(shè)備上的操作差異不會(huì)對此產(chǎn)生影響。

文件存儲(chǔ)服務(wù)僅支持視頻云應(yīng)用場景，視頻云監(jiān)控場景為卡口圖片、視頻監(jiān)控圖像等可提供橫向擴(kuò)展的存儲(chǔ)空間，為高帶寬、海量數(shù)據(jù)視頻云場景的應(yīng)用提供文件存儲(chǔ)。

對象存儲(chǔ)服務(wù)采用微服務(wù)架構(gòu)，將系統(tǒng)分為多個(gè)Layer，保證系統(tǒng)的極致彈性和擴(kuò)容能力。

1.4 網(wǎng)絡(luò)服務(wù)方案

醫(yī)療云平臺(tái)的網(wǎng)絡(luò)服務(wù)設(shè)計(jì)包括三個(gè)方面，分別為管理平面的網(wǎng)段IP資源用量評估、業(yè)務(wù)平面的地址規(guī)劃和網(wǎng)元部署及擴(kuò)容原則。

各個(gè)網(wǎng)段所需要的地址數(shù)量和資源規(guī)模相關(guān)。通常對網(wǎng)段數(shù)量影響最大的是計(jì)算資源池的節(jié)點(diǎn)數(shù)量，由于在每個(gè)計(jì)算節(jié)點(diǎn)上需要對不同管理、業(yè)務(wù)、存儲(chǔ)流量做有效的安全隔離，所以在不同的VLAN平面上分配IP地址。系統(tǒng)有效地規(guī)劃IP和網(wǎng)段，用于復(fù)雜的分布式云平臺(tái)系統(tǒng)內(nèi)部的管理交互、心跳監(jiān)控、運(yùn)行維護(hù)、業(yè)務(wù)網(wǎng)絡(luò)和存儲(chǔ)網(wǎng)絡(luò)的高可用，對于系統(tǒng)的穩(wěn)定性高可靠性具有重要作用。

面向業(yè)務(wù)平面的IP地址規(guī)劃屬于云平臺(tái)的內(nèi)部地址管理范圍。大多數(shù)的云平臺(tái)由于采用了隧道封裝技術(shù)，內(nèi)部地址被外層隧道隔離，具備可重疊的能力。而對于公有云和面向租戶的B2B模式運(yùn)營，地址可重疊是一個(gè)必須的要求。不同的業(yè)務(wù)部門之間無需統(tǒng)一管控即可自助申請和發(fā)放業(yè)務(wù)，沒有地址段的約束，靈活方便。目前新的IT設(shè)備、架構(gòu)和應(yīng)用層出不窮，“私有云”“公有云”“混合云”正在逐漸改變著醫(yī)療信息化的傳統(tǒng)架構(gòu)[8]。對于醫(yī)院的私有云，地址規(guī)劃可以由管理員全局統(tǒng)籌規(guī)劃，保證業(yè)務(wù)內(nèi)部地址不重疊，便于醫(yī)院進(jìn)行更有效的管理控制，內(nèi)部的IP地址將很容易定位到具體的業(yè)務(wù)計(jì)算資源，方便維護(hù)和故障時(shí)的快速處理。

醫(yī)療云平臺(tái)設(shè)計(jì)下的網(wǎng)元以虛擬機(jī)形式部署在網(wǎng)絡(luò)節(jié)點(diǎn)上，每種網(wǎng)元都是集群部署，至少每個(gè)網(wǎng)元集群部署兩個(gè)網(wǎng)元保證可靠性。系統(tǒng)中網(wǎng)元集群最多支持16個(gè)網(wǎng)元，當(dāng)超過設(shè)定的最大數(shù)值時(shí)，只能通過擴(kuò)容網(wǎng)元集群提高轉(zhuǎn)發(fā)能力。每個(gè)網(wǎng)元最多支持5個(gè)集群，不同集群的網(wǎng)元可以在同一臺(tái)網(wǎng)絡(luò)節(jié)點(diǎn)上。平臺(tái)初始設(shè)定每種網(wǎng)元安裝2個(gè)虛擬機(jī)，且只支持一對一擴(kuò)容。網(wǎng)絡(luò)節(jié)點(diǎn)需要6個(gè)網(wǎng)口，同一region下的計(jì)算節(jié)點(diǎn)可以為2/4/6網(wǎng)口，不同計(jì)算節(jié)點(diǎn)的網(wǎng)口必須相同。

1.5 云安全服務(wù)

根據(jù)整體云數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計(jì)，為了提高網(wǎng)絡(luò)的安全性和可靠性，在規(guī)劃網(wǎng)絡(luò)安全建設(shè)時(shí)采用安全域的規(guī)劃概念[9]。安全域（security domain）是指具有相同的安全保護(hù)需求，并相互信任的區(qū)域或網(wǎng)絡(luò)實(shí)體的集合。一個(gè)安全域可以劃分為若干安全子域，安全子域可繼續(xù)依次劃分為次級安全域、三級安全域等。安全域的劃分可以將系統(tǒng)劃分為不同的區(qū)域，以便于不同等級數(shù)據(jù)的對應(yīng)防護(hù)。在建設(shè)醫(yī)療云平臺(tái)的過程中，首先考慮“運(yùn)行環(huán)境相似”原則，將云平臺(tái)上運(yùn)行的業(yè)務(wù)系統(tǒng)集中保護(hù)，其次考慮“運(yùn)行策略一致”原則，將面向不同網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)分開。在云平臺(tái)建設(shè)的整體網(wǎng)絡(luò)規(guī)劃中，利用一個(gè)中心三重防護(hù)的思想結(jié)合業(yè)務(wù)功能和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將數(shù)據(jù)中心劃分為多個(gè)安全區(qū)域，實(shí)現(xiàn)物理和邏輯控制并用的隔離手段，提升網(wǎng)絡(luò)面對入侵和內(nèi)鬼的分區(qū)自我保護(hù)和容錯(cuò)恢復(fù)能力。

1.6 云平臺(tái)管理方案

醫(yī)療云平臺(tái)的建設(shè)需要保證有效的管理。在建設(shè)云平臺(tái)管理過程中，包括運(yùn)營指揮中心、運(yùn)維中心、云服務(wù)中心和云系統(tǒng)中心。運(yùn)營指揮中心建設(shè)包括作戰(zhàn)室、分析師、值班室和制作室等功能組件[10]。運(yùn)營指揮中心聚焦醫(yī)院成本、效率、質(zhì)量和風(fēng)險(xiǎn)需求，構(gòu)建靈活開放的數(shù)字化運(yùn)營平臺(tái)，并匹配醫(yī)院運(yùn)營作戰(zhàn)組織，提供專業(yè)的作戰(zhàn)指揮室，從而提高運(yùn)營效率和服務(wù)質(zhì)量。云運(yùn)維管理包含集中告警、統(tǒng)一監(jiān)控、運(yùn)維可視化、操作運(yùn)維組中心和日志中心等功能模塊，支撐日常運(yùn)維、系統(tǒng)變更、運(yùn)營分析等運(yùn)維業(yè)務(wù)場景，實(shí)現(xiàn)多個(gè)數(shù)據(jù)中心與混合云的集中運(yùn)維管理。云服務(wù)中心包括產(chǎn)品目錄管理、訂單管理、用戶/角色管理、配額管理、計(jì)量計(jì)價(jià)管理和流程審批等功能模塊，支撐運(yùn)營管理員的管理操作，實(shí)現(xiàn)多個(gè)數(shù)據(jù)中心、多類型資源池、多類型云服務(wù)的集中運(yùn)營管理。云系統(tǒng)運(yùn)維支撐EI服務(wù)、數(shù)據(jù)庫服務(wù)、應(yīng)用平臺(tái)服務(wù)、安全等服務(wù)安裝部署和升級操作。

2 醫(yī)療云平臺(tái)可靠性分析

云計(jì)算的可靠性是醫(yī)療云平臺(tái)能否得到廣泛應(yīng)用的關(guān)鍵因素[11]。所設(shè)計(jì)的醫(yī)療云平臺(tái)在業(yè)務(wù)辦理、平臺(tái)管理和資源池均具有較高的可靠性。下面對云平臺(tái)從管理和資源池兩方面進(jìn)行可靠性分析。

2.1 管理服務(wù)平臺(tái)可靠性分析

管理服務(wù)平臺(tái)的可靠性從管理服務(wù)節(jié)點(diǎn)、數(shù)據(jù)庫以及故障檢測上報(bào)角度提高。管理服務(wù)節(jié)點(diǎn)的可靠性通過多節(jié)點(diǎn)冗余以及服務(wù)節(jié)點(diǎn)的反親和性，使服務(wù)節(jié)點(diǎn)分布到不同的主機(jī)上，在服務(wù)節(jié)點(diǎn)、服務(wù)插件和硬件服務(wù)器出現(xiàn)故障的情況下，服務(wù)通過自身冗余的設(shè)計(jì)完成節(jié)點(diǎn)倒換，保障業(yè)務(wù)處理的連續(xù)性。平臺(tái)管理的數(shù)據(jù)均放在管理面的數(shù)據(jù)庫中，通過熱冗余、數(shù)據(jù)庫備份、流量控制技術(shù)保證數(shù)據(jù)庫的可用性和連續(xù)性。

2.2 資源池可靠性分析

資源池的可靠性主要體現(xiàn)在計(jì)算資源池、網(wǎng)絡(luò)資源池和存儲(chǔ)資源池[12]。計(jì)算高可靠是為應(yīng)對客戶計(jì)算資源池出現(xiàn)故障后，通過計(jì)算高可靠的能力將客戶的計(jì)算業(yè)務(wù)虛擬機(jī)自動(dòng)或手動(dòng)遷移到其他主機(jī)上，減少客戶業(yè)務(wù)的中斷時(shí)間，提升業(yè)務(wù)連續(xù)性。系統(tǒng)的通信平面分為四類：管理平面、存儲(chǔ)平面、業(yè)務(wù)平面和IPMI平面。為了保證各種網(wǎng)絡(luò)平面的數(shù)據(jù)可靠性和安全性，采用網(wǎng)絡(luò)平面的架構(gòu)方案，不同平面間采用VLAN進(jìn)行隔離，已實(shí)現(xiàn)單平面的故障不對其他網(wǎng)絡(luò)平面造成影響。網(wǎng)口路徑的冗余設(shè)計(jì)進(jìn)一步提升數(shù)據(jù)傳輸可靠性，通過采用多網(wǎng)卡綁定，避免單個(gè)網(wǎng)卡故障引發(fā)業(yè)務(wù)中斷，不僅可以擴(kuò)大服務(wù)器網(wǎng)絡(luò)進(jìn)出口帶寬，還可以有效實(shí)現(xiàn)負(fù)載均衡，提高可靠性。醫(yī)療云平臺(tái)采用VRRP（virtual router redundancy protocol: 虛擬路由冗余協(xié)議），將局域網(wǎng)的一組路由設(shè)備構(gòu)成VRRP備份組，當(dāng)前設(shè)備出現(xiàn)故障時(shí)，就可以采用冗余組設(shè)備接替業(yè)務(wù)傳輸工作。云平臺(tái)的存儲(chǔ)可靠性由多路徑訪問、數(shù)據(jù)冗余存儲(chǔ)和數(shù)據(jù)強(qiáng)一致性提供保障。計(jì)算節(jié)點(diǎn)和存儲(chǔ)節(jié)點(diǎn)使用協(xié)議通信時(shí)的多路徑訪問流程，任意一個(gè)虛擬機(jī)對所掛載的任意一個(gè)虛擬卷，都將至少有兩個(gè)完全冗余的路徑來實(shí)現(xiàn)卷的多路徑訪問，并通過多路徑軟件實(shí)現(xiàn)訪問多路徑的控制和故障切換，從而避免單點(diǎn)故障。平臺(tái)采用強(qiáng)一致性復(fù)制協(xié)議來保證多個(gè)副本數(shù)據(jù)的一致性，只有當(dāng)所有副本都寫成功，才返回寫入磁盤成功。

3 結(jié)語

隨著信息技術(shù)的快速發(fā)展以及“互聯(lián)網(wǎng)+健康醫(yī)療”醫(yī)療平臺(tái)的廣泛應(yīng)用，如何高效且安全地將醫(yī)療數(shù)據(jù)向多用戶開放并使用成為急需解決的問題。因此，本文開展醫(yī)療云平臺(tái)技術(shù)設(shè)計(jì)與研究，并結(jié)合醫(yī)療行業(yè)信息共享的特殊性，從租戶應(yīng)用、信息運(yùn)維、網(wǎng)絡(luò)安全角度進(jìn)行全方位的規(guī)劃設(shè)計(jì)，強(qiáng)化實(shí)現(xiàn)服務(wù)資源集中管理，使醫(yī)療資源最高效共享和最優(yōu)化調(diào)配，以期為相關(guān)工作提供參考。