张新龙，丁雪乾，王艳，王建林

（兰州大学第一医院 信息中心，甘肃 兰州 730050）

0 引言

随着电子电器设备的广泛普及和互联网的快速发展，云计算等新一代技术正在极大地改变着人们的生活方式，作为与民生紧密联系的医疗行业也从中受益。“互联网+健康医疗”的提出已然使得医疗行业开始逐步改变传统医疗系统的单一服务模式，正在朝着大容量、高共享、高安全的方向发展。同时，伴随着电子设备的广泛普及和医疗信息的爆发式增长，解除当前“信息孤岛”模式，实现医疗信息的高效、安全共享问题亟待解决[1]。健康医疗云以充分利用云计算并行的、分布式的特征，可将计算资源虚拟化，根据健康医疗信息服务提供者与用户事先商定好的服务协议提供动态服务，是“互联网+健康医疗”发展的重要推动力量[2]。通过构建基于“互联网+健康医疗”的医疗云平台，建设区域医疗数据中心，创新服务模式。按需提供计算和存储服务以及提供快速部署能力可以使得平台具有极大的灵活性和可扩展性[3-4]，进而实现大型医院医疗卫生资源与医疗信息服务的整合统一、共享互联，将大大提高医院的卫勤保障服务水平。

1 云平台设计方案和技术路线

云医疗平台依托于已经发展稳定的“互联网+健康医疗”云计算技术，主要实现统一云管理平台，使服务发放和云平台运维均在统一云管理平台完成。可以通过虚拟化的“云”计算平台，将各个医疗机构已经实施的实验信息管理系统（LIS）、影像归档和通信系统（PACS）等系统作为软件服务向外开放[5]。在单数据中心中根据业务类型不同，区分为两个资源区，每个资源区包括虚拟化资源池和大数据资源池。每个资源区采用单一租户管理，根据应用部署网络隔离要求划分2级VDC管理业务，同时，每个资源群的业务按容器应用和云主机应用划分两个VDC，医疗云平台整体方案架构如图1所示。

1.1 资源池设计方案

医疗云平台构建需要考虑云需求和移动互联网的快速发展以及传统业务系统扩容流程环节众多、扩容周期长等因素。资源池化不仅能大幅度提高IT资源的利用率，还可以增强业务部署的灵活性[6]。在云平台搭建过程中，根据业务应用的不同特点和规模规划资源池，比如根据业务应用对计算性能和安全等级保护的要求对服务器进行分区配置，满足应用的不同需求。

设计资源池由区域（region）组成，Region之间数据资源完全隔离，以实现最大程度的容错能力和稳定性，而Region之间通过低速率时延的网络实现联通。同一个区域内共享对象存储、VPC网络、弹性IP、镜像等公共服务。Region内用户收到的服务延迟应该小于接入延迟，且由于各区域处于不同的地理位置，而具有不同的地理容灾等级。一个Region内可以包括一组数据中心（date centre，DC），DC间应规划足够大带宽和最小延迟，实现互通。每一个Region管控多个可用分区（available zone，AZ）。AZ是一个物理资源的分区，保障计算、存储和网络的基本功能。可用分区内的物理资源共享了可靠性故障点，如共享相同的电源供应、磁盘阵列和交换机。在工程方面，可用分区的计算、存储和网络资源是完全互通的。

资源池的总体架构设计原则是以资源组合的方式实现，分为物理数据中心层、统一资源层、业务层。云平台通常包括多个物理地域分布的数据中心，单个物理数据中心的形态和传统云数据中心基本一致，分为物理基础设施和物理基础架构，采用扁平化二层网络设计，将数据中心IT设备高速连接到一起。统一资源池层包括统一的计算资源池、存储资源池和网络资源池。业务层即资源池的应用计算环境，包括医院和运营商的业务部署以及根据业务需求而划分的相应VDC，资源池总体部署概览如图2所示。

图2 资源池总体概览

1.2 计算服务方案

医疗云平台的计算服务方案与多个影响因子相关，具体计算过程如下式所示：

单个目标服务器的可供虚拟机使用的CPU线程数=（物理服务器总超线程数-虚拟化软件开销超线程总数-连接分布式存储消耗的资源占用（非必选）-DPDK消耗资源占用（非必选））×目标服务器的CPU使用率

1.3 存储服务方案

医疗云平台存储分为块存储服务、文件存储和对象存储服务[7]。

资源池管理系统能够实现逻辑层面的块存储资源虚拟化。块存储资源虚拟化是将不同型号的存储设备接入系统中，对存储设备上的存储池按照一定规则（性能/保护能力）进行分组，组成不同的块存储资源池。进行资源分配时，只需要在这些块存储资源池中申请块存储服务，不同存储设备上的操作差异不会对此产生影响。

文件存储服务仅支持视频云应用场景，视频云监控场景为卡口图片、视频监控图像等可提供横向扩展的存储空间，为高带宽、海量数据视频云场景的应用提供文件存储。

对象存储服务采用微服务架构，将系统分为多个Layer，保证系统的极致弹性和扩容能力。

1.4 网络服务方案

医疗云平台的网络服务设计包括三个方面，分别为管理平面的网段IP资源用量评估、业务平面的地址规划和网元部署及扩容原则。

各个网段所需要的地址数量和资源规模相关。通常对网段数量影响最大的是计算资源池的节点数量，由于在每个计算节点上需要对不同管理、业务、存储流量做有效的安全隔离，所以在不同的VLAN平面上分配IP地址。系统有效地规划IP和网段，用于复杂的分布式云平台系统内部的管理交互、心跳监控、运行维护、业务网络和存储网络的高可用，对于系统的稳定性高可靠性具有重要作用。

面向业务平面的IP地址规划属于云平台的内部地址管理范围。大多数的云平台由于采用了隧道封装技术，内部地址被外层隧道隔离，具备可重叠的能力。而对于公有云和面向租户的B2B模式运营，地址可重叠是一个必须的要求。不同的业务部门之间无需统一管控即可自助申请和发放业务，没有地址段的约束，灵活方便。目前新的IT设备、架构和应用层出不穷，“私有云”“公有云”“混合云”正在逐渐改变着医疗信息化的传统架构[8]。对于医院的私有云，地址规划可以由管理员全局统筹规划，保证业务内部地址不重叠，便于医院进行更有效的管理控制，内部的IP地址将很容易定位到具体的业务计算资源，方便维护和故障时的快速处理。

医疗云平台设计下的网元以虚拟机形式部署在网络节点上，每种网元都是集群部署，至少每个网元集群部署两个网元保证可靠性。系统中网元集群最多支持16个网元，当超过设定的最大数值时，只能通过扩容网元集群提高转发能力。每个网元最多支持5个集群，不同集群的网元可以在同一台网络节点上。平台初始设定每种网元安装2个虚拟机，且只支持一对一扩容。网络节点需要6个网口，同一region下的计算节点可以为2/4/6网口，不同计算节点的网口必须相同。

1.5 云安全服务

根据整体云数据中心的网络设计，为了提高网络的安全性和可靠性，在规划网络安全建设时采用安全域的规划概念[9]。安全域（security domain）是指具有相同的安全保护需求，并相互信任的区域或网络实体的集合。一个安全域可以划分为若干安全子域，安全子域可继续依次划分为次级安全域、三级安全域等。安全域的划分可以将系统划分为不同的区域，以便于不同等级数据的对应防护。在建设医疗云平台的过程中，首先考虑“运行环境相似”原则，将云平台上运行的业务系统集中保护，其次考虑“运行策略一致”原则，将面向不同网络的业务系统分开。在云平台建设的整体网络规划中，利用一个中心三重防护的思想结合业务功能和网络安全风险将数据中心划分为多个安全区域，实现物理和逻辑控制并用的隔离手段，提升网络面对入侵和内鬼的分区自我保护和容错恢复能力。

1.6 云平台管理方案

医疗云平台的建设需要保证有效的管理。在建设云平台管理过程中，包括运营指挥中心、运维中心、云服务中心和云系统中心。运营指挥中心建设包括作战室、分析师、值班室和制作室等功能组件[10]。运营指挥中心聚焦医院成本、效率、质量和风险需求，构建灵活开放的数字化运营平台，并匹配医院运营作战组织，提供专业的作战指挥室，从而提高运营效率和服务质量。云运维管理包含集中告警、统一监控、运维可视化、操作运维组中心和日志中心等功能模块，支撑日常运维、系统变更、运营分析等运维业务场景，实现多个数据中心与混合云的集中运维管理。云服务中心包括产品目录管理、订单管理、用户/角色管理、配额管理、计量计价管理和流程审批等功能模块，支撑运营管理员的管理操作，实现多个数据中心、多类型资源池、多类型云服务的集中运营管理。云系统运维支撑EI服务、数据库服务、应用平台服务、安全等服务安装部署和升级操作。

2 医疗云平台可靠性分析

云计算的可靠性是医疗云平台能否得到广泛应用的关键因素[11]。所设计的医疗云平台在业务办理、平台管理和资源池均具有较高的可靠性。下面对云平台从管理和资源池两方面进行可靠性分析。

2.1 管理服务平台可靠性分析

管理服务平台的可靠性从管理服务节点、数据库以及故障检测上报角度提高。管理服务节点的可靠性通过多节点冗余以及服务节点的反亲和性，使服务节点分布到不同的主机上，在服务节点、服务插件和硬件服务器出现故障的情况下，服务通过自身冗余的设计完成节点倒换，保障业务处理的连续性。平台管理的数据均放在管理面的数据库中，通过热冗余、数据库备份、流量控制技术保证数据库的可用性和连续性。

2.2 资源池可靠性分析

资源池的可靠性主要体现在计算资源池、网络资源池和存储资源池[12]。计算高可靠是为应对客户计算资源池出现故障后，通过计算高可靠的能力将客户的计算业务虚拟机自动或手动迁移到其他主机上，减少客户业务的中断时间，提升业务连续性。系统的通信平面分为四类：管理平面、存储平面、业务平面和IPMI平面。为了保证各种网络平面的数据可靠性和安全性，采用网络平面的架构方案，不同平面间采用VLAN进行隔离，已实现单平面的故障不对其他网络平面造成影响。网口路径的冗余设计进一步提升数据传输可靠性，通过采用多网卡绑定，避免单个网卡故障引发业务中断，不仅可以扩大服务器网络进出口带宽，还可以有效实现负载均衡，提高可靠性。医疗云平台采用VRRP（virtual router redundancy protocol: 虚拟路由冗余协议），将局域网的一组路由设备构成VRRP备份组，当前设备出现故障时，就可以采用冗余组设备接替业务传输工作。云平台的存储可靠性由多路径访问、数据冗余存储和数据强一致性提供保障。计算节点和存储节点使用协议通信时的多路径访问流程，任意一个虚拟机对所挂载的任意一个虚拟卷，都将至少有两个完全冗余的路径来实现卷的多路径访问，并通过多路径软件实现访问多路径的控制和故障切换，从而避免单点故障。平台采用强一致性复制协议来保证多个副本数据的一致性，只有当所有副本都写成功，才返回写入磁盘成功。

3 结语

随着信息技术的快速发展以及“互联网+健康医疗”医疗平台的广泛应用，如何高效且安全地将医疗数据向多用户开放并使用成为急需解决的问题。因此，本文开展医疗云平台技术设计与研究，并结合医疗行业信息共享的特殊性，从租户应用、信息运维、网络安全角度进行全方位的规划设计，强化实现服务资源集中管理，使医疗资源最高效共享和最优化调配，以期为相关工作提供参考。