医院双中心机房虚拟化网络的设计和实施

2017-03-27 11:20孔明军
电子技术与软件工程 2017年4期
关键词:网络系统交换机虚拟化

孔明军

摘 要 随着医疗改革的持续深入,信息系统已经成为医院最重要的基本建设项目,由于医院业务的连续性,要求信息系统能提供365*24小时的不间断服务。本文以我院建设双机房网络系统为例,详细介绍了虚拟化网络系统的设计原则和实施要点。

【关键词】双中心机房 虚拟化网络

1 系统实施背景

随着医院信息化进程的不断推进,医疗业务的开展对信息系统的依赖程度的逐步加深,这就要求医院网络系统必须提供不间断的高可用性服务。对于医疗行业而言,时间就是生命,医院网络的核心部署要求实现的效果是在信息网络系统灾难发生时,信息网络系统的灾难恢复体系要提供快速无感知的切换,从而保障业务系统永不停歇。目前多数三甲医院一般都设有网络交换冗余和数据级的容灾备份机制,而对整个网络进行实时双活配置的并不多,并且大多数医院的信息中心机房只有一个,当真正的灾难来临之时业务系统立即会陷入瘫痪状态,虽然这是一个极小概率的事件,但对医院的影响是灾难性的。因此如果在医院的不同地理位置(最好是不同院区或楼宇)建立灾备机房,并且基于双机房利用网络虚拟化技术建立起实时的网络互备系统是根本解决网灾隐患比较可行的方式。在进行网络虚拟化改造前,我院的网络架构如图1所示。

因为受当时网络技术所限以及实施成本的影响,这样的核心网络架构在我院已经运行约7年,虽未出现过较大的灾难性故障,但存在非常大的风险,一旦出现哪怕是单点的核心故障,都会导致长时间的大面积网瘫,其不足之处体现在以下几个方面:

(1)内网核心网络设备采用两台华三S7506E交换机作为全院核心交换设备,两台设备通过VRRP协议互为备份,但由于核心层与汇聚层、接入层存在单链路的情况,两台核心设备只能实现核心冷备的方式,这种冷备的方式在切换时需要很长的切换时间,无法满足医院持续化服务能力。

(2)内网接入层设备品牌和型号比较多,并且存在一些不可网管交换机,在管理和安全保障上存在很大的问题,由于接入层设备直接互联医疗终端、直接面对医疗信息化应用,因此其可靠性、稳定性也相当重要,较多的品牌和型号容易导致兼容方面的问题。

(3)内网生产数据集中存在在单台存储设备中,虽然存储设备具备比较高的安全性和可靠性,但生产数据的存储介质硬盘存在一定的故障率,在硬盘故障率比较高时,存在数据丢失的风险。由于这一问题涉及的是存储灾备系统的问题,不在本文讨论范围之内,在此不做赘述。

2 系统方案规划

针对实施背景所述,如何通过网络改造实现全冗余可以实时切换的核心网络系统已经成为我院非常急迫的任务。从2016年初开始,我们通过多次与网络服务公司沟通和论证,确立了基于双中心机房采用网络虚拟化技术构建双活分布式网络系统的方案,该方案通过对三层网络架构的全面改造和升级,构建了我院全新的双活核心网络系统,依照功能区分,各层网络详细规划如下:

2.1 核心层部署

如图2所示,在现有机房和新门诊楼机房分别部署 1 台高性能、高可靠性的核心交换机,作为整个院区数据交换主核心,2 台核心交换机通过机房之间的多条单模光纤链路互联,采用虚拟化技术将 2 台物理核心交换机虚拟为一台逻辑核心设备,实现核心的高可靠性、高分布性和高管理性。在现有机房和新门诊楼机房分别部署 2 台高性能、高可靠性的服务器汇聚交换机,作为两个机房 HIS、LIS、PACS 等服务器的接入设备,2 台本机房的交换机通过高速堆叠线缆互联,采用虚拟化技术虚拟为一台逻辑交换机,两个机房之间的 2 组逻辑交换机通过多条单模光纤链路,采用虚拟化技术虚拟为一个跨中心的逻辑交换机,实现服务器接入的高可靠性、高分布性和高管理性,在核心层虚拟化后,成倍提升了核心层的交换性能和骨干带宽的处理性能,并且设备之间的切换时间少于 50MS,可以保障业务无感知快速切换。核心交换机与数据中心交换机之间通过链路聚合协议,在实现链路冗余的同时,提升了传输带宽。在核心层虚拟化后,可以在虚拟交换机上规划一个或者几个二层 VLAN,作为两个数据中心服务器的专用 VLAN,通过 VLAN 网关终结在核心虚拟交换机上实现跨中心的大二层 VLAN互联,来满足虚拟机的迁移和服务器的集群切换。在两个机房核心交换机上分别旁挂 1 台负载均衡设备,通过启用服务器均衡功能,实现对来自客户端的合理请求调度。为了实现对服务器等核心设备的安全防护,在两台核心交换机上分别配置 1 块 20G 吞吐量的防火墙板卡,此防火墙可采用虚拟化技术虚拟化为一台逻辑防火墙,在简化管理的同时提高了整体性能;同时防火墙支持 1:N 的虚拟化,可以将一台防火墙虚拟化为多台虚拟防火墙,来实现对多个应用系统的差异化安全防护。

2.2 汇聚层部署

如图3所示,在第一、二、三住院部和原门诊楼分别部署 1 台高性能和高可靠性汇聚交换机,此交换机上行通过万兆光纤链路分别互联两个数据中心的核心交换机,下行通过千兆光纤链路互联本楼宇的接入交换机,为了提高上行链路的可靠性和高性能,此交换机的两个上行万兆端口采用链路聚合的技术与两台核心交换机实现高速对接。考虑到门诊楼业务的重要性,同时为保护原有投资,借助原有 2 台光纤交换机作为门诊楼的汇聚交换设备,两台交换机之间采用虚拟化技术虚拟为一台逻辑交换机,上行通过两条万兆光纤链路互联两个数据中心的核心交换机,下行通过多条千兆光纤链路互联本楼宇的接入交换机,为了提高链路的可靠性和高性能,两台交换机的两个上行万兆端口和下行千兆端口采用链路聚合的技术与两台核心交换机和楼层接入交换机实现高速对接。

2.3 接入层部署

考虑到各楼宇有若干台不同品牌和不可网管交换机,为提高接入可靠性、高安全性,采用若干台高安全性接入交换机作为各楼宇医疗终端的接入设备,除新门诊楼接入交换机采用双链路捆绑上行外,其他楼宇采用单链路上行到汇聚交换机。这种接入部署方式把实时要求最高的门诊接入层进行全冗余部署,把单点故障分散在各住院分部接入的最后一层,虽不能保证网络系统交换机的全冗余,但大大简化了网络结构的复杂性,同时有效降低了实施成本。

3 系统设计特点

3.1 技術先进性

在保证满足基本业务应用的同时,把先进的技术与现有的成熟技术和标准结合起来,充分考虑到信息化应用的现状和未来发展趋势。

3.2 高可靠性

系统的稳定可靠是应用系统正常运行的关键,方案设计选用高可靠性的产品设备,充分考虑冗余、容错和备份能力,同时合理设计信息化架构,系统具有故障自愈的能力,最大限度地支持各应用系统的可靠运行。

3.3 高性能

系统的性能是整个应用系统良好运行的基础,该方案保障了网络的高带宽和设备的高处理能力,保证了应用系统各种信息(数据、语音、图象)的高质量传输、处理和存储。

3.4 可扩展性

根据未来业务的增长和变化,系统可以平滑地扩充和升级,最大程度的减少对系统架构和现有设备的调整。

3.5 可管理性

选用先进的运维管理平台,具有对设备、端口等的管理及流量统计分析,并可提供故障自动报警。

3.6 安全性

具有统一的安全策略,整体考虑信息化平台的安全性。做到业务数据的安全 传递和不受黑客攻击。

3.7 经济性

在充分利用现有资源的情况下,最大限度地降低系统的总体投资,有计划、 有步骤地实施,在保证整体性能的前提下,充分利用现有的设备或做必要的升级。

4 系统实施效果

该方案自2016年初开始规划,经过多次修改确认,至2016年底已在我院顺利实施完成,目前网络运行状态良好,我们经过几次模拟断网测试均验证了系统的安全和高效性。由于技术的复杂性和各医院网络系统的差别,方案必然也具有一定的局限性,虽然不能保证适合所有的同级医院,但它是我们积极探索医院网络安全道路上的心血结晶,希望能帮助到有同样需求的同行,起到积极的参考作用。

参考文献

[1]江逸茗.网络虚拟化技术综述[J].网络新媒体技术,2016(05).

[2]李小庆.双活数据中心的构建及运维[J].金融科技时代,2016(01).

作者单位

山东省泰安市中心医院信息中心 山东省泰安市 271000

猜你喜欢
网络系统交换机虚拟化
基于OpenStack虚拟化网络管理平台的设计与实现
修复损坏的交换机NOS
对基于Docker的虚拟化技术的几点探讨
虚拟化技术在计算机技术创造中的应用
使用链路聚合进行交换机互联
基于DEMATEL-ISM的军事通信网络系统结构分析
高速公路网络系统配置浅析
存储虚拟化还有优势吗?
时滞复杂网络系统的保性能控制
PoE交换机雷击浪涌防护设计