苏大附一院是思科在中国医疗行业的首个SDN(软件定义网络)案例。
多院区信息基础设施扩张带来挑战:苏大附一院“尝鲜”SDN
“我们新院区还在不断完善中,我们不追求全国领先,但鼓励尽早使用业内更多新技术。同时,网络安全特别重要,如果网络基础设施和硬件设备跟不上,一旦出了大问题会很麻烦。”苏州大学附属第一医院(简称:苏大附一院)影像科副主任、信息处处长谢道海说。
2015年,苏大附一院新建的总院区正式运营后,形成了一院两区的运行模式,并以此为契机,下大功夫进行了新一轮信息化建设。据了解,苏大一附院新院区二期工程以及未来更多的新院区将投入运营。在此形势下,多院区、多数据中心,以及不断增加的硬件终端和网络设备,给该院网络基础设施管理带来了新的挑战,特别是在信息处网络管理人员岗位没有新增的情况下。
2017年,苏大附一院总体规划、小心求证,选择与思科公司合作,使用了思科最新的SDN(软件定义网络)解决方案并进行创新性应用。双方将全院物理网络与逻辑网络层面的管理进行了全面梳理,逐步实现了跨院区多数据中心网络的统一管理和资源、策略的统一配置。
苏大附一院影像科副主任、信息处处长谢道海
跨院区多中心催生SDN需求
据了解,基于“一院两区”的整体策略,苏大附一院的信息化建设采取了“两地多中心”的思路。整体规划是在总院(新建院区)新建两个以上数据中心,同时对老院区中心机房进行改造,建立多中心互备模式。其中,网络架构是两个院区使用两套物理网络,院区间通过光纤互联互通。总院建立业务、办公和设备三套网络,从而实现物理层面隔离。
“院区的增加和医院规模的扩大,使得医院信息部门在人力和技术上都出现了瓶颈。因此我们希望在网络运维方面能够有更高的运维自动化以及运维的智能化,同时也希望在网络层面能对安全有更精细化的安全保障,在数据中心能够将多数据中心统一管理,实现平滑切换和整体运维。”苏大附一院信息处副处长程思民表示,该院选择SDN方案主要基于三个方面的考虑:
首先是提高效率、减低成本。除了大量终端设备外,目前苏大附一院共有近2000台新老网络设备,需要提高解决网络运维问题的效率和应对业务变化的效率,以及降低硬件设备成本和长期的人力成本。
其次应对数据中心的集中化管理需求。随着机房数量越来越多,需要管理的设备也越来越多。机房之间要求互联互通,也要实现所有服务器在不同机房自由迁移和部署。同时,为了保障医院业务的正常运行,需要将数据中心网络在园区网中剥离出来。
第三,重新规划和升级基础设施的需要。目前在建设集成平台和全院数据中心的过程中,需要进行很多硬件建设。同时,再加上老旧网络设备的强制淘汰,需要重新梳理医院网络逻辑。
苏大附一院信息处副处长程思民
“我们在2017年引进了ITIL(信息技术基础架构库)理念,同时业内主流的声音也都在讲软件定义网络、软件定义数据中心、软件定义存储等概念,这使我们对IT管理的认识有了一些变化。在这个过程中,我们一直在关注SDN,希望借助平台去搭建一个能够自动化运维的系统。”程思民表示,该院之前已逐步将两个院区机房里的所有业务的服务器和数据库应用完成了虚拟化部署,这给管理和应用容灾都带来了很大方便。在尝到服务器虚拟化“甜头”后,再加上新出现的多个网络建设需求,该院最终选择SDN方案进行医院网络基础设施建设。
集中管控,提升网络基础设施运维效率
2017年,苏大附一院开始与思科公司接触合作。据苏大附一院信息处工程师刘亚军介绍,在SDN选型过程中,该院进行了广泛调研和对比,最终选择了思科方案。主要有两个方面的考虑:一方面,思科之前一直是该院网络设备供应商,双方有超过20年的合作历史,对其产品的性能和稳定性较为肯定;另一方面,思科所提供的方案也和该院整体发展规划相匹配。
由于是业内前瞻的创新性项目,双方前期进行了一系列坦诚交流和周密的准备步骤。“经过方案宣讲、模拟环境培训、实际场景演练,并确定了实施的A、B方案后,我们才开始确定了供应商和方案。”刘亚军表示,该院在园区网和数据中心网络都采用了SDN网络技术架构。其中,园区业务网使用的是思科DNA(全数字化网络架构)解决方案,数据中心网采用的是思科ACI(以应用为中心的基础架构)解决方案。
据了解,该院园区网采用的思科DNA(全数字化网络架构)主要基于业内通常定义的广义SDN技术、大数据分析技术和全流程开放可编程的编排系统技术,能实现自动化部署,提高交换机等设备的运维效率。思科DNA解决方案除了能做到集中统一管理外,还能做到精细化管理,管控力度可以细化至终端,比如可以将勒索病毒进行隔离。
在具体应用效果方面,苏大附一院对于思科DNA在网络故障排查方面的表现感受颇深。比如,当发生网络故障时,原来可能按照网管人员的经验去逐台排查交换机以判断问题所在。思科DNA则会自动提示一条排查路径,并提供一些自动化工具对故障进行初步排查,有效提升了网络管理的效率。实际上,思科DNA能通过大数据建模的手段,不断积累运维数据,在机器学习层面帮助实现智能化运维。
“我们目前在两个院区有三个机房,未来还会更多,这在管理上越来越麻烦。我们希望打造一个统一的控制平面层,能从管理意图和实际操作意图层面进行一体化操作。”刘亚军表示,为了保障多院区数据中心的关键业务正常运行和数据安全,该院通过思科ACI解决方案实现了跨多院区多机房数据中心网络的统一管理和资源池化部署。
“其实我们碰到的很多问题都能解决,但关键是需要判断往哪个方向去寻找原因,相当于专家的建议是最难给出的。”刘亚军认为,思科DNA和ACI解决方案最吸引人的地方就是,它多年来不断积累的资源库和知识库共享,能在很大程度上帮助医院提高自动化和智能化的网络运维水平。
保障网络安全,全面向SDN架构转型
近两年,医疗行业的网络安全事件频发。尤其是在开展多院区网络建设的过程中,更要采取有效措施保障网络安全。刘亚军认为,传统的网络安全主要解决方案是在边界添加安全设备,例如防火墙、IPS、WAF等安全设备,但已经跟不上现在的安全形势。
“安全是一个全体系、多层次的安全架构,需要各个层面都建立安全防护策略,这方面可以参考国家安全等级保护的标准实施。当然我们也在不断探索一些新的方法和技术,比如各种安全设备的软件化和服务化。”刘亚军表示,可以根据业务需求制定业务流程,将各种安全服务和策略潜入到业务流程中。比如,思科的DNA和ACI解决方案的微分段技术就解决了传统二层网络在同一个VLAN(虚拟局域网)内的安全防护无法解决的问题。
据了解,目前苏大附一院所有数据库和应用服务器已经实现云化部署,SDN网络架构的基本框架已经搭建完成,并已将部分网络和业务切换到了新模式上,应用效果符合预期。在谈到下一阶段该院在网络建设方面的计划时,刘亚军表示,下一阶段该院主要有三个工作重点:一是逐步把一期现有的服务业务切换到ACI架构上;二是改造老院区以及新院二期数据中心建设,分别建立POD(数据中心基本物理设计单元),纳入到ACI架构中来;三是园区网对现有业务网络(有线、无线)改造,逐步纳入到DNA架构中来。
实际上,现阶段在新的业务需求背景下,越来越多医院的新建院区或整体迁建都对网络基础设施提出了更高要求。尤其是在业务连续性和安全性方面,已经与传统意义上的医院信息化建设发生了天翻地覆的变化,而以SDN方案为核心的网络基础设施建设方案正在为更多医疗机构所采纳。
不过,SDN是一个新的技术解决方案,其本身也在不断迭代改进。甚至对于思科公司而言,作为其在中国医疗行业的首个SDN案例,苏大附一院也可能是思科在全球医疗行业的最大规模应用。因此,需要结合医院的特殊环境和业务模式进行落地,整合出最适合中国医院的实践样本。“在这个过程中,需要公司和我们精诚协作、脚踏实地,分阶段、分步骤实施。”刘亚军说。
【相关链接】
苏大附一院规划了 “多活多中心”的架构模式。思科通过提供ACI Multipod解决方案,帮助苏大附一实现了跨多院区多机房数据中心网络的统一矩阵、统一管理和保持策略的一致性,真正可以做到多数据中心网络集约化管理、资源池化部署。全网基于一个Application Profile提供了端到端统一的应用部署策略,基于EPG+Contract的技术实现资源的互通与安全隔离,不再需要部署大量物理防火墙即可实现在交换机层面的分布式安全访问策略,且几乎不存在性能上的瓶颈。另外,ACI Multipod天然支持大二层技术,可以直接将应用在多机房多院区之间同时部署,这意味着应用的连续性和多活得到保障,同时,ACI 架构具有无与伦比的 “开放性”,由于整个系统具有开放API 接口,能够支持VMware、Hyper-V、Docker和物理机等多平台同时接入,同时可与现有第三方硬件防火墙和负载均衡设备进行集成,灵活定义业务之间L4-7 层的服务链实现资源访问。
基于上述ACI的软件定义特性,使得苏大附一院只需要在一个ACI 平台上就能对双活数据中心的应用进行所有网络策略的快速下发和配置,配置效率提升至少30%;不仅如此,在故障排查的问题上,ACI 图形化的操作面板通过链路监控、健康状态和故障诊断快速溯源响应,故障排查时间至少缩短50%。
HIT专家网∣致力推进中国卫生信息化
想加入HIT专家网专业交流群吗?
请扫码添加“HIT专家网”小助手微信好友后提交你的申请哦!(请注明姓名、单位名称、职务、主管技术或产品领域,以便有针对性加群)
微信订阅号:HIT180com
微信服务号:chinaHIT
投稿:tan_xiao@hit180.com
商务合作:(010)82373062