基于安徽省食品藥品檢驗研究院信息化建設(shè)中關(guān)鍵技術(shù)的探析與實現(xiàn)

張明安

關(guān)鍵詞：網(wǎng)絡(luò)虛擬化設(shè)計；網(wǎng)絡(luò)安全；云網(wǎng)融合設(shè)計；雙活存儲

中圖分類號：TP319 文獻標識碼：A

文章編號：1009-3044（2023）21-0085-03

0 引言

隨著信息技術(shù)的不斷發(fā)展，信息技術(shù)的應(yīng)用不斷深入，信息技術(shù)對經(jīng)濟、社會和文化的影響更加深刻。正確地引導(dǎo)和發(fā)展信息技術(shù)和信息產(chǎn)業(yè)來推進社會發(fā)展、方便人民生活變得尤為重要[1]。

信息化建設(shè)在給系統(tǒng)帶來管理效益和經(jīng)濟效益的同時，也使系統(tǒng)的正常運作更加依賴信息化。與此同時，信息化建設(shè)也帶來了一些新的問題，如系統(tǒng)故障、電源故障、硬盤的損毀、電腦病毒、人為破壞、誤操作、自然災(zāi)難等，這些問題直接影響信息系統(tǒng)的正常運行，已嚴重困擾信息主管部門。如何有效地避免這些問題的出現(xiàn)，如何保證信息系統(tǒng)的安全、核心數(shù)據(jù)的安全，提供業(yè)務(wù)系統(tǒng)的持續(xù)運行能力，如何利用現(xiàn)有資源進行整合，改善原有陳舊設(shè)備，以最小的投入成本獲得更高的回報，保證服務(wù)器應(yīng)用系統(tǒng)的高可用性，已成為人們關(guān)注的焦點話題。

1 信息化系統(tǒng)建設(shè)具體要求及實現(xiàn)目標

1.1 網(wǎng)絡(luò)建設(shè)要求

采用二層網(wǎng)絡(luò)架構(gòu)（即：核心-接入）方式，采用扁平化組網(wǎng)模式，核心到數(shù)據(jù)中心、核心到樓層全部為萬兆數(shù)據(jù)網(wǎng)絡(luò)，樓層采用萬兆交換機接入，出口到終端為千兆。出口鏈路采用雙冗余鏈路；核心層采用兩臺高端核心交換機并通過虛擬化方式將核心交換虛擬為一臺邏輯交換機，保證核心層的高可用，下聯(lián)交換有各樓層交換和服務(wù)器數(shù)據(jù)交換，均采用雙萬兆冗余鏈路。

1.2 計算中心建設(shè)要求

配置兩臺8路服務(wù)器承載核心數(shù)據(jù)業(yè)務(wù)，一套刀片服務(wù)器部署應(yīng)用虛擬化服務(wù)器。后端存儲配置2臺SAN交換機和一套高端雙活存儲保證后臺數(shù)據(jù)高可用性。

1.3 實現(xiàn)目標

通過在安徽省食品藥品檢驗研究院建設(shè)云計算中心，為安徽省食品藥品檢驗研究院系統(tǒng)提供云計算、大數(shù)據(jù)服務(wù)。設(shè)計建設(shè)將達到以下目標：

1） 技術(shù)先進性：采用先進的組網(wǎng)及數(shù)據(jù)中心設(shè)計技術(shù)。

2） 高性能性：云平臺建設(shè)后，服務(wù)器的性能將大幅提升，具有更高的性價比。

3） 高可用性：云平臺及存儲設(shè)備都有硬件級別的冗余。

4） 數(shù)據(jù)安全：將采用容災(zāi)設(shè)備對核心數(shù)據(jù)及系統(tǒng)進行有效實時保護。

5） 高擴展性：搭建云存儲平臺，提供云平臺的數(shù)據(jù)擴展及容災(zāi)存儲空間。

6） 一體化管理：采用圖形化一體化管理界面，有效管理服務(wù)器及數(shù)據(jù)。

2 關(guān)鍵技術(shù)分析及整體設(shè)計與實現(xiàn)

2.1 網(wǎng)絡(luò)系統(tǒng)架構(gòu)設(shè)計

根據(jù)安徽省食品藥品檢驗研究院現(xiàn)有網(wǎng)絡(luò)實際情況以及用戶需求，對基礎(chǔ)網(wǎng)絡(luò)和網(wǎng)絡(luò)統(tǒng)一管理平臺進行如圖1所示的規(guī)劃。 安徽省食品藥品檢驗研究院網(wǎng)絡(luò)主要用來查閱、讀取互聯(lián)網(wǎng)數(shù)據(jù)，本次安徽省食品藥品檢驗研究院網(wǎng)絡(luò)建設(shè)從綜合布線開始就重視網(wǎng)絡(luò)速度，從機房到兩棟大樓都采用64芯萬兆骨干網(wǎng)光纖互聯(lián)。各樓層配置兩臺上行萬兆接入交換機，直接接入至機房核心交換。

整個網(wǎng)絡(luò)采用“核心、接入”的二層扁平構(gòu)架，有效防止因單點故障影響整體網(wǎng)絡(luò)，實現(xiàn)網(wǎng)絡(luò)穩(wěn)定可靠運行，達到萬兆到桌面，各層分別實現(xiàn)不同的業(yè)務(wù)功能。

整網(wǎng)具備入侵防御能力，網(wǎng)絡(luò)出口部署防火墻、IPS等設(shè)備，并配有網(wǎng)絡(luò)安全管理平臺，實現(xiàn)監(jiān)測和管理同步進行。

2.1.1 核心層設(shè)計

安徽省食品藥品檢驗研究院核心交換機需要能提供快速的數(shù)據(jù)交換和極高的永續(xù)性，選用國產(chǎn)華三路由器，較好地滿足了實際需求。

在設(shè)備的選擇上，采用高性能模塊化核心S10500 系列交換機，考慮到本次網(wǎng)絡(luò)的經(jīng)濟、安全、實用性并要實現(xiàn)新老兩棟樓間的網(wǎng)絡(luò)區(qū)域隔離，在核心交換機上配備防火墻板塊，通過虛擬防火墻技術(shù)實現(xiàn)不同區(qū)域間的邊界安全防護，對不同區(qū)域間的訪問進行安全檢查和控制，為用戶提供全面的安全防護。同時，在后期無線網(wǎng)絡(luò)大規(guī)模對員工、訪客開放Internet訪問時，可通過較高性能的防火墻業(yè)務(wù)板實現(xiàn)與核心交換機的安全互聯(lián)，在安全穩(wěn)定的基礎(chǔ)上解決一套無線網(wǎng)絡(luò)即可實現(xiàn)內(nèi)外網(wǎng)同時訪問的醫(yī)療信息化發(fā)展需求。

2.1.2 接入層設(shè)計

接入層是網(wǎng)絡(luò)的前沿設(shè)備、終端設(shè)備等接入網(wǎng)絡(luò)的第一層。在設(shè)備的選擇上，直接影響用戶使用滿意程度，本次設(shè)計采用H3C S5130EI交換機。

2.2 網(wǎng)絡(luò)虛擬化設(shè)計

2.2.1 橫向虛擬化——IRF2

將兩臺核心交換機組合為一臺虛擬化的邏輯交換機，從而提高運營效率、增強不間斷通信，并將系統(tǒng)帶寬容量擴展一倍。

兩臺核心交換機之間通過萬兆鏈路連接起來，利用核心交換機支持的IRF2技術(shù)，將兩臺設(shè)備虛擬化為一臺邏輯設(shè)備。這樣，核心層在可靠性、分布性和易管理性方面具有強大的優(yōu)勢，同時滿足和實現(xiàn)管理運營的簡化，為整體設(shè)計提供了靈活的部署能力。

2.2.2 縱向虛擬化設(shè)計

隨著信息化的發(fā)展，業(yè)務(wù)對網(wǎng)絡(luò)傳輸能力和穩(wěn)定性的需求日益增長，要求具有更高的帶寬、更強大的性能、更高密度的接入能力，同時又要兼?zhèn)淇煽啃院鸵坠芾硇浴＞W(wǎng)絡(luò)節(jié)點的大量增加無疑提升了網(wǎng)絡(luò)復(fù)雜度和管理難度。

在后期改造中建議使用縱向虛擬化技術(shù)，可以將整個園區(qū)網(wǎng)絡(luò)設(shè)備虛擬為一臺設(shè)備，在網(wǎng)絡(luò)中以單一管理節(jié)點的形式存在，原有層級之間的連接全部變?yōu)閮?nèi)部鏈路，維護簡單便捷，適應(yīng)未來業(yè)務(wù)發(fā)展的需求。

2.3 網(wǎng)絡(luò)安全設(shè)計

2.3.1 云網(wǎng)融合設(shè)計

部署獨立的安全設(shè)備無疑將增加安徽省食品藥品檢驗研究院網(wǎng)絡(luò)建設(shè)的成本，同時也增加了網(wǎng)絡(luò)安全部署的復(fù)雜度及網(wǎng)絡(luò)管理的難度，首先需要考慮安全部件簡單化地融入網(wǎng)絡(luò)中以及設(shè)備的易部署性需要在將防火墻部署在WEB 訪問服務(wù)器及路由器之間，這樣可以增強核心交換機抗擊網(wǎng)絡(luò)風(fēng)險的能力，提升安全機能，保障內(nèi)部網(wǎng)絡(luò)變成安全網(wǎng)絡(luò)，將安全轉(zhuǎn)發(fā)技術(shù)和網(wǎng)絡(luò)技術(shù)有機融合在一起。

2.3.2 WEB服務(wù)安全防護

當下，伴隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各種WEB應(yīng)用系統(tǒng)越來越多，系統(tǒng)的增多也預(yù)示著外界針對性網(wǎng)絡(luò)攻擊也越來越多。

本次在服務(wù)器端劃分DMZ區(qū)，所有對外服務(wù)都部署在DMZ區(qū)，DMZ區(qū)部署WAF防護墻，部署在核心交換機與服務(wù)器接入交換機之間，連接方式采用串聯(lián)方式。并在WAF上啟用策略路由方式，能有效防范外部對DMZ區(qū)發(fā)起的攻擊，同時保證其他業(yè)務(wù)非訪問WEB 服務(wù)流量的高速轉(zhuǎn)發(fā)。WAF設(shè)備能有效防范各類SQL 注入、掃描器掃描、跨站、掛馬、盜鏈行為等攻擊行為。

2.4 主機存儲設(shè)計

2.4.1 系統(tǒng)拓撲

本次系統(tǒng)設(shè)計選用先進的H3C UIS刀片服務(wù)器系統(tǒng)，結(jié)合宏杉科技MS5520雙活存儲和曙光DBstor100數(shù)據(jù)庫備份一體機，對整個應(yīng)用系統(tǒng)和數(shù)據(jù)安全進行有效保護，構(gòu)建安徽省食品藥品檢驗研究院數(shù)據(jù)中心。核心數(shù)據(jù)庫服務(wù)器采用2臺曙光I980-G10 8 路服務(wù)器承載核心數(shù)據(jù)庫業(yè)務(wù)，本次系統(tǒng)設(shè)計充分考慮靈活性和可擴展性，既要滿足現(xiàn)在的應(yīng)用需求又能適應(yīng)未來一定時間內(nèi)的業(yè)務(wù)增長需求，建設(shè)方案拓撲如圖4所示。

2.4.2 雙活存儲設(shè)計

雙活存儲組網(wǎng)如圖5所示。

如圖5所示，安徽省食品藥品檢驗研究院存儲設(shè)備采用雙活技術(shù)，兩臺存儲設(shè)備之間使用雙活網(wǎng)絡(luò)互連，任一臺存儲設(shè)備出現(xiàn)雙點故障時，另一臺存儲設(shè)備能繼續(xù)提供存儲服務(wù)，服務(wù)器上業(yè)務(wù)可無縫調(diào)取存儲中的數(shù)據(jù)，從而保證業(yè)務(wù)連續(xù)性[2]，同時又可保證雙活鏡像對的兩個LUN中數(shù)據(jù)完全一致。

在故障處理方面，在配置SDAS后，如果任一引擎中任一控制器發(fā)生故障，業(yè)務(wù)將通過雙控故障切換機制切換到該引擎中另外一個控制器上；如果任一引擎中兩個控制器同時發(fā)生故障，將通過SDAS的引擎故障檢測機制觸發(fā)引擎間切換，業(yè)務(wù)切換到另外一個引擎上。同時，針對計劃內(nèi)維護需求，當任一引擎中兩個控制器需要同時重啟或關(guān)機時，也會觸發(fā)引擎間切換，業(yè)務(wù)切換到另外一個引擎上。

3 結(jié)束語

安徽省食品藥品檢驗研究院信息化建設(shè)分別從網(wǎng)絡(luò)虛擬化設(shè)計、網(wǎng)絡(luò)安全性考慮、主機系統(tǒng)好的靈活性和可擴展性設(shè)計以及雙活存儲的設(shè)計實現(xiàn)等方面考慮，保證了單位網(wǎng)絡(luò)系統(tǒng)的高性能、高可靠和數(shù)據(jù)中心的高安全。

高性能方面，網(wǎng)絡(luò)上采用“核心、接入”的二層扁平構(gòu)架，有效防止因單點故障影響整體網(wǎng)絡(luò)，實現(xiàn)網(wǎng)絡(luò)穩(wěn)定可靠運行，實現(xiàn)并達到萬兆網(wǎng)絡(luò)到桌面。

高可靠性方面，實現(xiàn)了網(wǎng)絡(luò)的虛擬化部署，服務(wù)器也采用虛擬化技術(shù)進行資源整合，通過CAS虛擬化平臺管理各虛擬機，保證業(yè)務(wù)不中斷。存儲采用宏杉雙活存儲系統(tǒng)，最大限度地保障系統(tǒng)及網(wǎng)絡(luò)的高可靠性[3]。

高擴展性方面，從系統(tǒng)構(gòu)建之初就充分考慮擴展需求，無論是在服務(wù)器、存儲還是在網(wǎng)絡(luò)資源的擴展上都可以做到靈活擴展。

高安全性方面，硬件設(shè)備上采用一系列安全設(shè)備來保障系統(tǒng)的安全性，利用虛擬化保障虛擬主機的安全。在數(shù)據(jù)存儲方面，通過雙活存儲以及曙光備份柜來實現(xiàn)業(yè)務(wù)數(shù)據(jù)的實時保護，從各個方面保證系統(tǒng)的安全性[4]。