基于“互聯(lián)網+健康醫(yī)療”的醫(yī)療云平臺設計與實踐

張新龍，丁雪乾，王艷，王建林

（蘭州大學第一醫(yī)院 信息中心，甘肅 蘭州 730050）

0 引言

隨著電子電器設備的廣泛普及和互聯(lián)網的快速發(fā)展，云計算等新一代技術正在極大地改變著人們的生活方式，作為與民生緊密聯(lián)系的醫(yī)療行業(yè)也從中受益。“互聯(lián)網+健康醫(yī)療”的提出已然使得醫(yī)療行業(yè)開始逐步改變傳統(tǒng)醫(yī)療系統(tǒng)的單一服務模式，正在朝著大容量、高共享、高安全的方向發(fā)展。同時，伴隨著電子設備的廣泛普及和醫(yī)療信息的爆發(fā)式增長，解除當前“信息孤島”模式，實現(xiàn)醫(yī)療信息的高效、安全共享問題亟待解決[1]。健康醫(yī)療云以充分利用云計算并行的、分布式的特征，可將計算資源虛擬化，根據健康醫(yī)療信息服務提供者與用戶事先商定好的服務協(xié)議提供動態(tài)服務，是“互聯(lián)網+健康醫(yī)療”發(fā)展的重要推動力量[2]。通過構建基于“互聯(lián)網+健康醫(yī)療”的醫(yī)療云平臺，建設區(qū)域醫(yī)療數據中心，創(chuàng)新服務模式。按需提供計算和存儲服務以及提供快速部署能力可以使得平臺具有極大的靈活性和可擴展性[3-4]，進而實現(xiàn)大型醫(yī)院醫(yī)療衛(wèi)生資源與醫(yī)療信息服務的整合統(tǒng)一、共享互聯(lián)，將大大提高醫(yī)院的衛(wèi)勤保障服務水平。

1 云平臺設計方案和技術路線

云醫(yī)療平臺依托于已經發(fā)展穩(wěn)定的“互聯(lián)網+健康醫(yī)療”云計算技術，主要實現(xiàn)統(tǒng)一云管理平臺，使服務發(fā)放和云平臺運維均在統(tǒng)一云管理平臺完成。可以通過虛擬化的“云”計算平臺，將各個醫(yī)療機構已經實施的實驗信息管理系統(tǒng)（LIS）、影像歸檔和通信系統(tǒng)（PACS）等系統(tǒng)作為軟件服務向外開放[5]。在單數據中心中根據業(yè)務類型不同，區(qū)分為兩個資源區(qū)，每個資源區(qū)包括虛擬化資源池和大數據資源池。每個資源區(qū)采用單一租戶管理，根據應用部署網絡隔離要求劃分2級VDC管理業(yè)務，同時，每個資源群的業(yè)務按容器應用和云主機應用劃分兩個VDC，醫(yī)療云平臺整體方案架構如圖1所示。

1.1 資源池設計方案

醫(yī)療云平臺構建需要考慮云需求和移動互聯(lián)網的快速發(fā)展以及傳統(tǒng)業(yè)務系統(tǒng)擴容流程環(huán)節(jié)眾多、擴容周期長等因素。資源池化不僅能大幅度提高IT資源的利用率，還可以增強業(yè)務部署的靈活性[6]。在云平臺搭建過程中，根據業(yè)務應用的不同特點和規(guī)模規(guī)劃資源池，比如根據業(yè)務應用對計算性能和安全等級保護的要求對服務器進行分區(qū)配置，滿足應用的不同需求。

設計資源池由區(qū)域（region）組成，Region之間數據資源完全隔離，以實現(xiàn)最大程度的容錯能力和穩(wěn)定性，而Region之間通過低速率時延的網絡實現(xiàn)聯(lián)通。同一個區(qū)域內共享對象存儲、VPC網絡、彈性IP、鏡像等公共服務。Region內用戶收到的服務延遲應該小于接入延遲，且由于各區(qū)域處于不同的地理位置，而具有不同的地理容災等級。一個Region內可以包括一組數據中心（date centre，DC），DC間應規(guī)劃足夠大帶寬和最小延遲，實現(xiàn)互通。每一個Region管控多個可用分區(qū)（available zone，AZ）。AZ是一個物理資源的分區(qū)，保障計算、存儲和網絡的基本功能。可用分區(qū)內的物理資源共享了可靠性故障點，如共享相同的電源供應、磁盤陣列和交換機。在工程方面，可用分區(qū)的計算、存儲和網絡資源是完全互通的。

資源池的總體架構設計原則是以資源組合的方式實現(xiàn)，分為物理數據中心層、統(tǒng)一資源層、業(yè)務層。云平臺通常包括多個物理地域分布的數據中心，單個物理數據中心的形態(tài)和傳統(tǒng)云數據中心基本一致，分為物理基礎設施和物理基礎架構，采用扁平化二層網絡設計，將數據中心IT設備高速連接到一起。統(tǒng)一資源池層包括統(tǒng)一的計算資源池、存儲資源池和網絡資源池。業(yè)務層即資源池的應用計算環(huán)境，包括醫(yī)院和運營商的業(yè)務部署以及根據業(yè)務需求而劃分的相應VDC，資源池總體部署概覽如圖2所示。

圖2 資源池總體概覽

1.2 計算服務方案

醫(yī)療云平臺的計算服務方案與多個影響因子相關，具體計算過程如下式所示：

單個目標服務器的可供虛擬機使用的CPU線程數=（物理服務器總超線程數-虛擬化軟件開銷超線程總數-連接分布式存儲消耗的資源占用（非必選）-DPDK消耗資源占用（非必選））×目標服務器的CPU使用率

1.3 存儲服務方案

醫(yī)療云平臺存儲分為塊存儲服務、文件存儲和對象存儲服務[7]。

資源池管理系統(tǒng)能夠實現(xiàn)邏輯層面的塊存儲資源虛擬化。塊存儲資源虛擬化是將不同型號的存儲設備接入系統(tǒng)中，對存儲設備上的存儲池按照一定規(guī)則（性能/保護能力）進行分組，組成不同的塊存儲資源池。進行資源分配時，只需要在這些塊存儲資源池中申請塊存儲服務，不同存儲設備上的操作差異不會對此產生影響。

文件存儲服務僅支持視頻云應用場景，視頻云監(jiān)控場景為卡口圖片、視頻監(jiān)控圖像等可提供橫向擴展的存儲空間，為高帶寬、海量數據視頻云場景的應用提供文件存儲。

對象存儲服務采用微服務架構，將系統(tǒng)分為多個Layer，保證系統(tǒng)的極致彈性和擴容能力。

1.4 網絡服務方案

醫(yī)療云平臺的網絡服務設計包括三個方面，分別為管理平面的網段IP資源用量評估、業(yè)務平面的地址規(guī)劃和網元部署及擴容原則。

各個網段所需要的地址數量和資源規(guī)模相關。通常對網段數量影響最大的是計算資源池的節(jié)點數量，由于在每個計算節(jié)點上需要對不同管理、業(yè)務、存儲流量做有效的安全隔離，所以在不同的VLAN平面上分配IP地址。系統(tǒng)有效地規(guī)劃IP和網段，用于復雜的分布式云平臺系統(tǒng)內部的管理交互、心跳監(jiān)控、運行維護、業(yè)務網絡和存儲網絡的高可用，對于系統(tǒng)的穩(wěn)定性高可靠性具有重要作用。

面向業(yè)務平面的IP地址規(guī)劃屬于云平臺的內部地址管理范圍。大多數的云平臺由于采用了隧道封裝技術，內部地址被外層隧道隔離，具備可重疊的能力。而對于公有云和面向租戶的B2B模式運營，地址可重疊是一個必須的要求。不同的業(yè)務部門之間無需統(tǒng)一管控即可自助申請和發(fā)放業(yè)務，沒有地址段的約束，靈活方便。目前新的IT設備、架構和應用層出不窮，“私有云”“公有云”“混合云”正在逐漸改變著醫(yī)療信息化的傳統(tǒng)架構[8]。對于醫(yī)院的私有云，地址規(guī)劃可以由管理員全局統(tǒng)籌規(guī)劃，保證業(yè)務內部地址不重疊，便于醫(yī)院進行更有效的管理控制，內部的IP地址將很容易定位到具體的業(yè)務計算資源，方便維護和故障時的快速處理。

醫(yī)療云平臺設計下的網元以虛擬機形式部署在網絡節(jié)點上，每種網元都是集群部署，至少每個網元集群部署兩個網元保證可靠性。系統(tǒng)中網元集群最多支持16個網元，當超過設定的最大數值時，只能通過擴容網元集群提高轉發(fā)能力。每個網元最多支持5個集群，不同集群的網元可以在同一臺網絡節(jié)點上。平臺初始設定每種網元安裝2個虛擬機，且只支持一對一擴容。網絡節(jié)點需要6個網口，同一region下的計算節(jié)點可以為2/4/6網口，不同計算節(jié)點的網口必須相同。

1.5 云安全服務

根據整體云數據中心的網絡設計，為了提高網絡的安全性和可靠性，在規(guī)劃網絡安全建設時采用安全域的規(guī)劃概念[9]。安全域（security domain）是指具有相同的安全保護需求，并相互信任的區(qū)域或網絡實體的集合。一個安全域可以劃分為若干安全子域，安全子域可繼續(xù)依次劃分為次級安全域、三級安全域等。安全域的劃分可以將系統(tǒng)劃分為不同的區(qū)域，以便于不同等級數據的對應防護。在建設醫(yī)療云平臺的過程中，首先考慮“運行環(huán)境相似”原則，將云平臺上運行的業(yè)務系統(tǒng)集中保護，其次考慮“運行策略一致”原則，將面向不同網絡的業(yè)務系統(tǒng)分開。在云平臺建設的整體網絡規(guī)劃中，利用一個中心三重防護的思想結合業(yè)務功能和網絡安全風險將數據中心劃分為多個安全區(qū)域，實現(xiàn)物理和邏輯控制并用的隔離手段，提升網絡面對入侵和內鬼的分區(qū)自我保護和容錯恢復能力。

1.6 云平臺管理方案

醫(yī)療云平臺的建設需要保證有效的管理。在建設云平臺管理過程中，包括運營指揮中心、運維中心、云服務中心和云系統(tǒng)中心。運營指揮中心建設包括作戰(zhàn)室、分析師、值班室和制作室等功能組件[10]。運營指揮中心聚焦醫(yī)院成本、效率、質量和風險需求，構建靈活開放的數字化運營平臺，并匹配醫(yī)院運營作戰(zhàn)組織，提供專業(yè)的作戰(zhàn)指揮室，從而提高運營效率和服務質量。云運維管理包含集中告警、統(tǒng)一監(jiān)控、運維可視化、操作運維組中心和日志中心等功能模塊，支撐日常運維、系統(tǒng)變更、運營分析等運維業(yè)務場景，實現(xiàn)多個數據中心與混合云的集中運維管理。云服務中心包括產品目錄管理、訂單管理、用戶/角色管理、配額管理、計量計價管理和流程審批等功能模塊，支撐運營管理員的管理操作，實現(xiàn)多個數據中心、多類型資源池、多類型云服務的集中運營管理。云系統(tǒng)運維支撐EI服務、數據庫服務、應用平臺服務、安全等服務安裝部署和升級操作。

2 醫(yī)療云平臺可靠性分析

云計算的可靠性是醫(yī)療云平臺能否得到廣泛應用的關鍵因素[11]。所設計的醫(yī)療云平臺在業(yè)務辦理、平臺管理和資源池均具有較高的可靠性。下面對云平臺從管理和資源池兩方面進行可靠性分析。

2.1 管理服務平臺可靠性分析

管理服務平臺的可靠性從管理服務節(jié)點、數據庫以及故障檢測上報角度提高。管理服務節(jié)點的可靠性通過多節(jié)點冗余以及服務節(jié)點的反親和性，使服務節(jié)點分布到不同的主機上，在服務節(jié)點、服務插件和硬件服務器出現(xiàn)故障的情況下，服務通過自身冗余的設計完成節(jié)點倒換，保障業(yè)務處理的連續(xù)性。平臺管理的數據均放在管理面的數據庫中，通過熱冗余、數據庫備份、流量控制技術保證數據庫的可用性和連續(xù)性。

2.2 資源池可靠性分析

資源池的可靠性主要體現(xiàn)在計算資源池、網絡資源池和存儲資源池[12]。計算高可靠是為應對客戶計算資源池出現(xiàn)故障后，通過計算高可靠的能力將客戶的計算業(yè)務虛擬機自動或手動遷移到其他主機上，減少客戶業(yè)務的中斷時間，提升業(yè)務連續(xù)性。系統(tǒng)的通信平面分為四類：管理平面、存儲平面、業(yè)務平面和IPMI平面。為了保證各種網絡平面的數據可靠性和安全性，采用網絡平面的架構方案，不同平面間采用VLAN進行隔離，已實現(xiàn)單平面的故障不對其他網絡平面造成影響。網口路徑的冗余設計進一步提升數據傳輸可靠性，通過采用多網卡綁定，避免單個網卡故障引發(fā)業(yè)務中斷，不僅可以擴大服務器網絡進出口帶寬，還可以有效實現(xiàn)負載均衡，提高可靠性。醫(yī)療云平臺采用VRRP（virtual router redundancy protocol: 虛擬路由冗余協(xié)議），將局域網的一組路由設備構成VRRP備份組，當前設備出現(xiàn)故障時，就可以采用冗余組設備接替業(yè)務傳輸工作。云平臺的存儲可靠性由多路徑訪問、數據冗余存儲和數據強一致性提供保障。計算節(jié)點和存儲節(jié)點使用協(xié)議通信時的多路徑訪問流程，任意一個虛擬機對所掛載的任意一個虛擬卷，都將至少有兩個完全冗余的路徑來實現(xiàn)卷的多路徑訪問，并通過多路徑軟件實現(xiàn)訪問多路徑的控制和故障切換，從而避免單點故障。平臺采用強一致性復制協(xié)議來保證多個副本數據的一致性，只有當所有副本都寫成功，才返回寫入磁盤成功。

3 結語

隨著信息技術的快速發(fā)展以及“互聯(lián)網+健康醫(yī)療”醫(yī)療平臺的廣泛應用，如何高效且安全地將醫(yī)療數據向多用戶開放并使用成為急需解決的問題。因此，本文開展醫(yī)療云平臺技術設計與研究，并結合醫(yī)療行業(yè)信息共享的特殊性，從租戶應用、信息運維、網絡安全角度進行全方位的規(guī)劃設計，強化實現(xiàn)服務資源集中管理，使醫(yī)療資源最高效共享和最優(yōu)化調配，以期為相關工作提供參考。