【正文】 對技術管理和系統(tǒng)維護人員的現(xiàn)場培訓，在現(xiàn)場從項目實施準備開始，要求客戶的技術管理人員、系統(tǒng)運維維護人員與技術工程師一起，對整個項目的實施規(guī)劃、軟件安裝、策略初始配置、軟件參數(shù)調試、安裝調試過程中的故障診斷與排除等技能進行同步培訓，使其在項目實施完畢，便能過對整個項目的各類技術、技能進行初步的掌握和了解，并能實地對系統(tǒng)進行簡單的安裝、配置、調試和簡單故障的排除，在項目實施完畢后，培訓工程師將對整個項目總結性回顧培訓，鞏固培訓技能知識，完成知識轉移。 服務器虛擬化產(chǎn)品的整體結構、設計思路、所用技術具有全面的了解216。在線遷移過程不會破壞源數(shù)據(jù)庫服務器的任何數(shù)據(jù)，即使遷移失敗，源數(shù)據(jù)庫服務器仍然可以繼續(xù)提供服務，故數(shù)據(jù)遷移沒有風險。重新搭建環(huán)境，把磁盤柜相應的分區(qū)掛載到虛擬機上，格式化成相關的文件系統(tǒng)，然后進行數(shù)據(jù)恢復。一般情況下，共享存儲上的數(shù)據(jù)量會非常大，所以這種應用遷移時間會比較長。此外，生產(chǎn)環(huán)境中以2002008系統(tǒng)居多。日志審計事件保存在管理中心中，可以對其進行配置，以生成警報。防火墻規(guī)則是完全可配置的，以每個網(wǎng)絡接口為基礎允許或拒絕網(wǎng)絡通信，以及限制對允許的 IP 或 MAC 地址的通信。 此外，DPI 規(guī)則通過一組 Web 應用程序防護規(guī)則來保護 Web 應用程序中的漏洞（如跨站點腳本 (XSS) 和 SQL 注入）。 日志審計VMware 虛擬機的惡意軟件防護 防惡意軟件模塊可提供趨勢科技防惡意軟件防護，包括實時掃描、預設掃描及手動掃描功能，處理措施包含清除、刪除、拒絕訪問或隔離惡意軟件。 入侵檢測和阻止 (IDS/IPS) 216。 Deep Security通過vshield endpoint提供的實時掃描、預設掃描、清除修復等數(shù)據(jù)接口，對虛擬機中的數(shù)據(jù)進行病毒代碼的掃描和判斷，并結合防火墻、IDS策略實時對進出虛擬機的數(shù)據(jù)進行安全過濾；在管理上需要vshield manager和vcenter的支持。Deep Security產(chǎn)品由三部分組成，管理控制平臺（以下簡稱DSM）；安全虛擬機（以下簡稱DSVA）；安全代理程序（以下簡稱DSA）。這種安全虛擬機是一種在虛擬環(huán)境中實現(xiàn)安全控制的新型方法。基于網(wǎng)絡的IDS/IPS，也無法監(jiān)測到同一臺ESX服務器上的虛擬機之間的通訊；由于虛擬機能夠迅速地恢復到之前的狀態(tài)，利用VMware VMotion?易于在物理服務器之間移動，所以難以獲得并維持整體一致的安全性?？梢宰畲笙薅缺ＷC管理的靈活性和安全性。建議用戶使用萬兆網(wǎng)絡互聯(lián)物理節(jié)點，當發(fā)生密集的寫IO時，萬兆網(wǎng)絡能保證提供足夠帶寬滿足節(jié)點之間的IO同步流量。VXLAN網(wǎng)絡可以跨越物理邊界，從而跨不連續(xù)的數(shù)據(jù)中心和集群來優(yōu)化計算資源利用率。在計算虛擬化資源池中的每臺虛擬化Hypervisor節(jié)點上會運行多臺虛擬機，多臺虛擬機之間共享網(wǎng)絡，為了方便管理建議采用虛擬交換機來配置和管理網(wǎng)絡，虛擬交換機可在數(shù)據(jù)中心級別提供集中和聚合的虛擬網(wǎng)絡，從而簡化并增強虛擬機網(wǎng)絡。并且還可以使用集群內所有其他節(jié)點的SSD，因為SSD層總是能提供最好的讀寫性能，并且在混合存儲環(huán)境中尤為重要。它的目標是使得所有節(jié)點的磁盤利用率大致相等。圖8 分布式存儲系統(tǒng)邏輯架構NDFS被設計成為非常動態(tài)的平臺，可以適用于不同工作負載的應用，并且允許混合節(jié)點類型：例如將計算密集型節(jié)點和存儲密集型節(jié)點混合在一個集群中。NDFS對于x86虛擬化平臺軟件而言就是一個集中的共享式存儲，與任何其他集中式存儲陣列一樣工作，且提供更為簡單便捷的存儲管理，無需像傳統(tǒng)集中存儲那樣再配置LUN、卷、或者Raid組。圖5：超融合市場領導者計算資源層面：超融合系統(tǒng)的計算資源池是通過x86服務器虛擬化來實現(xiàn)的，可以支持VMware vSphere和Nutanix Acropolis平臺提供的KVM等Hypervisor，如圖6。超融合架構在數(shù)據(jù)中心中承擔著計算資源池和分布式存儲資源池的作用，極大地簡化了數(shù)據(jù)中心的基礎架構，而且通過軟件定義的計算資源虛擬化和分布式存儲架構實現(xiàn)無單點故障、無單點瓶頸、彈性擴展、性能線性增長等能力；在虛擬化層可以自由選擇Hypervisor的品牌，包括VMware vSphere、MicroSoft Hyperv和KVM；而且通過簡單、方便的管理界面，實現(xiàn)對數(shù)據(jù)中心基礎架構層的計算、存儲、虛擬化等資源進行統(tǒng)一的監(jiān)控、管理和運維。使用計算存儲超融合的一體化平臺，替代了傳統(tǒng)的服務器加集中存儲的架構，使得整個架構更清晰簡單。模板編號模板名稱操作系統(tǒng)密碼應用程序根據(jù)預先定義好的業(yè)務系統(tǒng)的關鍵級別，可以基于超融合系統(tǒng)continer級別實現(xiàn)可選兩副本或三副本的數(shù)據(jù)安全保護。必須在虛擬機和數(shù)據(jù)存儲上授予其他特權以允許置備新虛擬機數(shù)據(jù)存儲用戶允許用戶消耗數(shù)據(jù)存儲上的空間的一組特權，數(shù)據(jù)存儲上授予了此角色。216。沒有文件夾、數(shù)據(jù)中心、數(shù)據(jù)存儲、網(wǎng)絡、主機、資源、警報、會話、性能和權限特權組的特權資源池管理員允許用戶創(chuàng)建子資源池、修改子資源池的配置但無法修改在其上授予了角色的池或群集的資源配置的一組特權。授予的特權包括：216。216。授予的特權包括：216。根據(jù)VMware vSphere技術白皮書的建議，由于本虛擬化服務器平臺vCenter Server監(jiān)控的主機的個數(shù)是三臺，所以配置vCenter Server的規(guī)格如下。群集是虛擬基礎架構管理中的一個新概念，它不僅具有多個主機服務器的強大功能，還可以方便地管理單個實體。對于虛擬化平臺，時鐘同步是容易被忽略的一個問題，嚴重的可能會影響業(yè)務系統(tǒng)操作系統(tǒng)及數(shù)據(jù)層面的一致性，因此建議在此次項目中配置時鐘服務器，一般有兩種做法，第一種是在超融合系統(tǒng)或集群之外部署一套基于Redhat linux的NTP服務器，作為整個集群的時間源，第二種是部署單獨的NTP網(wǎng)絡服務器設備。具備跨地域的遠程數(shù)據(jù)容災能力。方案超融合節(jié)點配置如下：Lenovo HX 5510超融合系統(tǒng)，軟硬件一體出廠預裝，三年原廠服務，每節(jié)點配置2顆 E5 2630 V4處理器，256 GB DDR4內存，可擴展到768GB，配置1塊64GB SSD作為虛擬化層安裝部署空間，2塊480GB SSD硬盤作為讀寫緩存及熱點數(shù)據(jù)存儲空間，6塊2TB熱插拔硬盤，8個節(jié)點可用容量48TB（兩份副本存儲），12Gb SAS RAID卡，2塊雙端口萬兆光口，冗余電源；支持數(shù)據(jù)本地化、熱點數(shù)據(jù)自動分層、在線重刪、壓縮、快照、克隆、支持多種虛擬化平臺。超融合基礎架構形成的計算資源池和存儲資源池直接可以被云計算平臺進行調配，服務于OpenStack、Cloud Foundry、Docker、Hadoop等IAAS、PAAS平臺，對上層的業(yè)務系統(tǒng)等進行支撐。同時東區(qū)機房的業(yè)務系統(tǒng)也遷移至中心機房超融合平臺上，由于東區(qū)機房系統(tǒng)體量較小，因此不需額外添加超融合節(jié)點。建議數(shù)據(jù)中心所有服務器分區(qū)分域部署，并在用戶網(wǎng)絡和數(shù)據(jù)中心網(wǎng)絡中間實施合理的安全防護，例如部署硬件的防火墻并設置相應的安全策略。資源擴展要體現(xiàn)在計算資源和存儲資源的同時擴展。、建設超融合架構數(shù)據(jù)中心設計原則在方案設計中我們將遵循以下總體原則：以業(yè)務需求為導向技術架構最終是為業(yè)務服務的，因此技術架構的設計一定要以業(yè)務的需求為導向，充分考慮非功能需求，例如系統(tǒng)的重要程度、安全要求、業(yè)務連續(xù)性等。2）進行業(yè)務系統(tǒng)集中整合，目前XXX人民醫(yī)院核心HIS數(shù)據(jù)庫仍然運行在安騰架構的rx9800小型機環(huán)境中，并使用Oracle 10g的RAC方案，由于Oracle和Redhat早已停止了對安騰架構的支持，現(xiàn)有的核心HIS數(shù)據(jù)庫面臨極大的隱患，同時不同機房中的HIS系統(tǒng)采用不同的軟件解決方案，因此建議新數(shù)據(jù)中心的建設規(guī)劃中，將HIS系統(tǒng)進行整合遷移測試，此部分工作量比較大，可以分階段實施。建議XXX人民醫(yī)院的數(shù)據(jù)中心建設采用三步走的設計建設思路，數(shù)據(jù)中心第一期建設超融合架構數(shù)據(jù)中心，進行業(yè)務系統(tǒng)的整合，并對核心業(yè)務的應用系統(tǒng)也進行整合，可選同時搭建災備系統(tǒng)平臺。構建統(tǒng)一、合理的、高可擴展的基礎架構。n 醫(yī)院新的數(shù)據(jù)中心將在一年后開始建設，存在統(tǒng)一規(guī)劃分步分批建設的需求。 n 由于在系統(tǒng)層面現(xiàn)有數(shù)據(jù)采用豎井式架構，在存儲層面，采用統(tǒng)一存儲架構，系統(tǒng)橫向擴展性已經(jīng)快接近瓶頸，隨著新業(yè)務的上線，系統(tǒng)復雜度大幅增加。三個機房中設備啟用時間在20072013年左右，大部分已經(jīng)不在質保期，并且除關鍵業(yè)務外，其余業(yè)務系統(tǒng)無本地高可用和容災保護。中心機房已經(jīng)建立了比較完整的數(shù)據(jù)中心基礎架構支撐平臺，HIS核心數(shù)據(jù)庫部署在中心機房，采用東軟的解決方案，數(shù)據(jù)庫運行環(huán)境是Oracle 10g，運行在安騰架構的Rx9800上，中心機房其他服務器設備以HP 388和580，以及Lenovo RD 630為主。一、 需求分析在“互聯(lián)網(wǎng)+”時代，傳統(tǒng)行業(yè)模式被極大顛覆，極致、高效的客戶體驗成為各行業(yè)關注的焦點；堅持以人為本，全面提升醫(yī)療信息化水平，增強醫(yī)院綜合就醫(yī)能力，建立以患者為中心的醫(yī)院診療服務系統(tǒng)和管理系統(tǒng)，成為開展智慧醫(yī)療和智慧醫(yī)院建設的重大挑戰(zhàn)！隨著XXX市人民醫(yī)院業(yè)務的增長，對于IT信息系統(tǒng)的要求不僅僅是滿足業(yè)務系統(tǒng)的正常要求。也希望憑借自身多年在各個行業(yè)的云平臺建設以及容災項目實施中的項目管理、基礎架構咨詢、技術實現(xiàn)的經(jīng)驗，協(xié)助XXX人民醫(yī)院建設高效可靠的IT基礎架構系統(tǒng)，成功地完成新建數(shù)據(jù)中心的咨詢和實施，降低XXX人民醫(yī)院業(yè)務系統(tǒng)的運營風險。其中中心機房規(guī)模最大，共有45臺服務器設備，東區(qū)機房共有7臺設備，腦科機房共有11臺設備。腦科機房是較為獨立的系統(tǒng)，擁有獨立的HIS系統(tǒng)，采用東華的解決方案，以HP DL388G7和DL580G7為主。n 數(shù)據(jù)中心各業(yè)務系統(tǒng)相互獨立，當系統(tǒng)規(guī)模大時，一旦出現(xiàn)業(yè)務系統(tǒng)需要更新的情況，每個業(yè)務系統(tǒng)均需要進行更新操作，中心機房現(xiàn)有40多個業(yè)務系統(tǒng)，將會產(chǎn)生大量的操作，給運維人員帶來巨大的壓力，增加系統(tǒng)風險，因此存在系統(tǒng)加快業(yè)務更新響應速度的需求。n 現(xiàn)有中心機房和腦科機房的HIS系統(tǒng)存在整合需求。n 本地分級存儲：實現(xiàn)數(shù)據(jù)分級管理，使存儲資源得到最有效的利用，不同級別不同成本的資源為不同價值和要求的數(shù)據(jù)服務，提高資源的利用率。二、 數(shù)據(jù)中心建設規(guī)劃技術方案綜合以上現(xiàn)狀分析，結合數(shù)據(jù)中心建設方法論及最佳實踐，建議采用分步分批的建設方式，使用擴展能力強，功能豐富的超融合基礎架構方案，來滿足醫(yī)院業(yè)務系統(tǒng)高可靠性、高可用性、業(yè)務連續(xù)性、數(shù)據(jù)安全、數(shù)據(jù)備份、數(shù)據(jù)及應用容災需求。第一階段數(shù)據(jù)中心建設基礎架構規(guī)劃本次數(shù)據(jù)中心建設基礎架構規(guī)劃如下：圖1：基礎架構規(guī)劃拓撲1）建設超融合基礎架構平臺，在中心機房建設一套超融合集群，并對現(xiàn)有系統(tǒng)進行評估，將除HIS、PACS等核心業(yè)務系統(tǒng)外的其他系統(tǒng)都遷移至超融合平臺，打破原有豎井式架構的束縛，并將原來運行這些業(yè)務系統(tǒng)的設備進行淘汰，解決現(xiàn)有機房設備達到使用壽命而存在的潛在隱患，降低整體能耗成本。以下分別闡述各部分的技術方案。使IT基礎架構成為一個動態(tài)、靈活、具有彈性的IT基礎架構，同時在IT實時地運營過程可進行靈活的資源動態(tài)調整。在架構中需要考慮到虛擬化架構內外部的安全，包括數(shù)據(jù)安全等問題，以保證整個系統(tǒng)長期安全穩(wěn)定的運行。目前中心機房現(xiàn)有系統(tǒng)共45個，除核心HIS數(shù)據(jù)庫和PACS外，其他業(yè)務系統(tǒng)共有37個左右，為提高系統(tǒng)可用性，設計45個業(yè)務系統(tǒng)運行在一臺超融合節(jié)點上，因此如果所有非核心業(yè)務系統(tǒng)遷移，建議配置8個超融合節(jié)點滿足需求。超融合架構在數(shù)據(jù)中心中承擔著計算資源池和分布式存儲資源池的作用，極大地簡化了數(shù)據(jù)中心的基礎架構，而且通過軟件定義的計算資源虛擬化和分布式存儲架構實現(xiàn)無單點故障、無單點瓶頸、彈性擴展、性能線性增長等能力；在虛擬化層可以自由選擇Hypervisor的品牌，包括VMware vSphere、MicroSoft Hyperv和KVM；而且通過簡單、方便的管理界面，實現(xiàn)對數(shù)據(jù)中心基礎架構層的計算、存儲、虛擬化等資源進行統(tǒng)一的監(jiān)控、管理和運維。新的中心機房拓撲圖如下所示：圖3：超融合基礎架構圖基于超融合技術搭建虛擬化集群，用于承載核心業(yè)務系統(tǒng)和支撐系統(tǒng)。提供內存、SSD、SATA不同性能層面的重復數(shù)據(jù)刪除功能，并且使用幾k到十幾k的粒度保證重復數(shù)據(jù)刪除的效率和效果。每個機柜雙路供電，實現(xiàn)真正的供電冗余。數(shù)據(jù)中心群集ESXi主機虛擬機備注LcrmDataCenterHCIcluster1vCenterServeer..........VMware vCenter 可以將所有 VMware ESX 主機及其虛擬機組織到群集和資源池中，從而大大簡化了資源管理工作。vCenter 可以為虛擬機選擇最適合的主機，并可以在情況發(fā)生變化時在群集內部移動虛擬機。建議將虛擬平臺的管理員分為以下幾個等級：類別權限人員管理員為所有 vCenter Server 用戶和 vSphere 環(huán)境中的所有虛擬對象添加、移除和設置訪問權限和特權用作青島報業(yè)傳媒集團虛擬服務器系統(tǒng)總管理員虛擬機超級用戶允許用戶與虛擬機進行交互、更改虛擬機硬件和執(zhí)行快照操作的一組特權。 全局項目、數(shù)據(jù)存儲和虛擬機特權組的選定特權。不要授予允許更改虛擬機的虛擬硬件的特權。 全局項目和虛擬機特權組的選定特權。 文件夾、虛擬機、警報和已調度任務特權組的所有特權。 沒有數(shù)據(jù)中心、網(wǎng)絡、主機、會話或性能特權組的特權。由于虛擬機數(shù)量多，為提供運維的效率，建議醫(yī)院對所有虛擬機進行統(tǒng)一管理，包括虛擬機名稱，CPU、內存資源，磁盤容量，網(wǎng)絡標簽等信息，建議如下：業(yè)務名VM名稱主機名稱CPU內存磁盤網(wǎng)絡說明XX業(yè)務Ip地址系統(tǒng)業(yè)務名稱LCRMHX012*24GBx GBVlan x