吳俊，陳燕

南通市腫瘤醫(yī)院 信息科，江蘇 南通 226361

醫(yī)院數(shù)據(jù)中心虛擬化應(yīng)注意的問題

吳俊，陳燕

南通市腫瘤醫(yī)院 信息科，江蘇 南通 226361

1 醫(yī)院數(shù)據(jù)中心虛擬化的目的

為構(gòu)建基于統(tǒng)一開放架構(gòu)、易管理、模塊化、以服務(wù)為最終目的信息技術(shù)服務(wù)平臺，醫(yī)院數(shù)據(jù)中心通過服務(wù)器虛擬化、存儲虛擬化、網(wǎng)絡(luò)虛擬化、桌面終端虛擬化等多種手段將醫(yī)院資源進(jìn)行整合和優(yōu)化[1]，實(shí)現(xiàn)近乎零宕機(jī)的硬件維護(hù)和升級，減少數(shù)據(jù)安全隱患[2]，確保軟件的高可用性和硬件的高擴(kuò)展性，降低終端的維護(hù)強(qiáng)度，提高運(yùn)維效率，降低信息設(shè)備的總功耗，降低運(yùn)營成本。

2 醫(yī)院數(shù)據(jù)中心虛擬化的主要內(nèi)容

（1）通過服務(wù)器虛擬化，減少服務(wù)器主機(jī)物理臺數(shù)，提高主機(jī)利用率。

（2）建立存儲池集中存儲、異地備份，根據(jù)不同類型數(shù)據(jù)文件使用頻率自動分層管理數(shù)據(jù)，保證數(shù)據(jù)安全。

（3）通過虛擬交換機(jī)，整合網(wǎng)絡(luò)資源，解決統(tǒng)一管理與接口擴(kuò)展的需求。

（4）桌面虛擬化，僅將操作系統(tǒng)桌面呈現(xiàn)在用戶面前，核心系統(tǒng)由服務(wù)器端統(tǒng)一運(yùn)算管理，既利于移動辦公與醫(yī)療，又增加客戶端安全性。

（5）集中統(tǒng)一安全管理，在虛擬平臺的Hypervisor層通過與安全軟件廠商的相關(guān)組件結(jié)合，實(shí)現(xiàn)防病毒統(tǒng)一管理和部署。

3 數(shù)據(jù)中心虛擬化中應(yīng)當(dāng)注意的問題

3.1 服務(wù)器虛擬化不等于網(wǎng)絡(luò)系統(tǒng)應(yīng)用集成

雖然服務(wù)器虛擬化技術(shù)將硬件層抽象化[3]，在主機(jī)上同時(shí)運(yùn)行多個(gè)虛擬機(jī)，將分散的應(yīng)用系統(tǒng)在硬件層面進(jìn)行整合，但并未改變各業(yè)務(wù)平臺在獨(dú)立系統(tǒng)環(huán)境中運(yùn)行的狀態(tài)。虛擬機(jī)將整個(gè)系統(tǒng)，包括硬件配置、操作系統(tǒng)及應(yīng)用程序等封裝成1個(gè)文件，每1個(gè)虛擬機(jī)都與在同1臺主機(jī)上的其他虛擬機(jī)隔離。虛擬環(huán)境下的各個(gè)業(yè)務(wù)系統(tǒng)對應(yīng)獨(dú)立的虛擬硬件資源環(huán)境，各系統(tǒng)仍然保留原有的應(yīng)用架構(gòu)[4]。因此，從實(shí)際應(yīng)用的角度來看，業(yè)務(wù)應(yīng)用系統(tǒng)仍然保持分散部署、分散運(yùn)行的狀態(tài)，并未改變技術(shù)架構(gòu)標(biāo)準(zhǔn)不統(tǒng)一、運(yùn)行環(huán)境復(fù)雜、系統(tǒng)間信息“孤島”明顯的現(xiàn)象，并非完全意義上的應(yīng)用系統(tǒng)整合。

3.2 虛擬化后物理主機(jī)的安全問題更加突出

虛擬化之后，多個(gè)虛擬機(jī)運(yùn)行在同一臺服務(wù)器主機(jī)上，意味著“多個(gè)雞蛋放在同一個(gè)籃子里”，雖然提高了服務(wù)器資源的利用效率，但同時(shí)也增加了因單臺服務(wù)器故障而導(dǎo)致更大損失的可能性。一旦物理主機(jī)存在漏洞或者受到攻擊，所有運(yùn)行在這臺主機(jī)上的虛擬機(jī)都將面臨安全威脅。由此可見，單一的只將應(yīng)用遷移到該平臺并不能一勞永逸，需要在VMware的vCenter上做諸如VMotion零停機(jī)實(shí)時(shí)虛擬機(jī)遷移、高可用性（High Availability，HA）、容錯(cuò)（Fault Tolerance，F(xiàn)T）等更高安全的策略配置，以便實(shí)現(xiàn)多臺物理機(jī)間的遷移切換[5-6]。

虛擬化后每臺物理主機(jī)上都會運(yùn)行多個(gè)應(yīng)用程序來對外提供服務(wù)。這些應(yīng)用程序?qū)帄Z同一臺硬件服務(wù)器的處理器、內(nèi)存、帶寬和存儲等資源，關(guān)鍵的應(yīng)用程序可能會遇到網(wǎng)絡(luò)瓶頸或性能問題，嚴(yán)重時(shí)會因服務(wù)器負(fù)載過重而導(dǎo)致系統(tǒng)崩潰。所以，在實(shí)施數(shù)據(jù)中心虛擬化前，需要了解主要業(yè)務(wù)應(yīng)用和一般應(yīng)用所占有的資源比例，并且在實(shí)施過程中，通過計(jì)算資源的優(yōu)先級定義、網(wǎng)絡(luò)自定義、存儲資源優(yōu)先級設(shè)定，確保在資源出現(xiàn)瓶頸或性能問題時(shí)，優(yōu)先保證關(guān)鍵業(yè)務(wù)的穩(wěn)定運(yùn)行。此外，在虛擬化平臺額外配置如vSphere Operations專用組件，專門對集群中的物理服務(wù)器或虛擬機(jī)進(jìn)行健康監(jiān)控、預(yù)警分析、故障定位等[2]。

3.3 服務(wù)器對網(wǎng)絡(luò)傳輸?shù)囊?/p>

雖然服務(wù)器虛擬化提升了服務(wù)器利用率，從總體上降低了成本、減少了能源消耗，實(shí)現(xiàn)了服務(wù)器資源的高效應(yīng)用。但是，同時(shí)運(yùn)行多個(gè)虛擬機(jī)的物理主機(jī)，其業(yè)務(wù)吞吐量會大幅增加，使得單位區(qū)域網(wǎng)絡(luò)的帶寬需求可能比非虛擬化條件下增長10多倍甚至數(shù)10倍。虛擬化之前的服務(wù)器由于利用率低下，吞吐帶寬很低，業(yè)務(wù)流量經(jīng)過不斷匯聚后只有在網(wǎng)絡(luò)核心有一定的帶寬需求；而服務(wù)器虛擬化之后使得單臺服務(wù)器吞吐量大幅上升，在網(wǎng)絡(luò)接入層的帶寬需求已經(jīng)接近傳統(tǒng)網(wǎng)絡(luò)環(huán)境的骨干網(wǎng)絡(luò)帶寬消耗，同時(shí)由于密集流量對網(wǎng)絡(luò)的沖擊，使得網(wǎng)絡(luò)在滿足高速數(shù)據(jù)流轉(zhuǎn)的同時(shí)還要能夠應(yīng)對不確定的流量突發(fā)，因此在實(shí)現(xiàn)服務(wù)器虛擬化時(shí)應(yīng)充分考慮網(wǎng)絡(luò)的承受能力。

3.4 虛擬機(jī)泛濫容易引發(fā)新的安全問題

虛擬化技術(shù)大大降低了部署服務(wù)器的技術(shù)門檻，之前需要多個(gè)步驟的操作被簡化到只需點(diǎn)擊幾下鼠標(biāo)即可。

一站式、向?qū)健⑸倒匣牟僮鞣绞椒奖懔朔?wù)器的架設(shè)，但同時(shí)也隱藏著一些問題，例如會導(dǎo)致創(chuàng)建更多不必要但需要管理的虛擬機(jī)，或者部署1個(gè)虛擬機(jī)進(jìn)行1項(xiàng)應(yīng)用測試后忘記撤銷，從而在網(wǎng)絡(luò)中產(chǎn)生無人照看的有安全漏洞的系統(tǒng)。同一網(wǎng)絡(luò)中虛擬機(jī)的數(shù)量越多，面臨的安全風(fēng)險(xiǎn)越大。如果某臺存在漏洞的虛擬機(jī)被攻陷，該機(jī)就可能成為進(jìn)一步被攻擊的平臺，威脅到其他虛擬機(jī)甚至整個(gè)網(wǎng)絡(luò)環(huán)境的安全[7-9]。因此需要通過制定嚴(yán)格的分級管理平臺，角色定義。管理員可以擁有所有資源控制能力，將虛擬機(jī)的創(chuàng)建進(jìn)行分級化管理，這樣可以有效避免范圍內(nèi)出現(xiàn)的不安全性向其他區(qū)域擴(kuò)散。同時(shí)，需要制定醫(yī)院信息管理制度，禁止隨意創(chuàng)建模板或新虛擬機(jī)等操作。

[1] 周渝霞,郝玉清,顧鳳軍．虛擬服務(wù)器技術(shù)實(shí)現(xiàn)醫(yī)院信息系統(tǒng)安全可靠[J]．醫(yī)療衛(wèi)生裝備,2010,31(9):50-51,64．

[2] 孟群,屈曉暉．虛擬化技術(shù)在醫(yī)院信息平臺服務(wù)器整合中的應(yīng)用[J]．中國數(shù)字醫(yī)學(xué),2011,6(7):8-12．

[3] 丁佐杉,滿喜東,許新房．服務(wù)器虛擬化部署研究與分析[J]．計(jì)算機(jī)光盤軟件與應(yīng)用,2012,(5):43-44．

[4] 戴聲,艾育華,陳芳炯．服務(wù)器虛擬化技術(shù)在醫(yī)院信息系統(tǒng)中的應(yīng)用[J]．中國數(shù)字醫(yī)學(xué),2012,7(10):101-103．

[5] 石磊．服務(wù)器虛擬化技術(shù)在數(shù)據(jù)中心建設(shè)中的應(yīng)用[J]．醫(yī)學(xué)信息學(xué)雜志,2012,33(12):28-32．

[6] 馬錫坤,張穩(wěn)．服務(wù)器虛擬化技術(shù)及其在醫(yī)院的應(yīng)用[J]．中國醫(yī)療設(shè)備,2013,28(5):60-62．

[7] 王月紅．?dāng)?shù)據(jù)中心虛擬化環(huán)境的安全挑戰(zhàn)[J]．信息安全與通信保密,2013,(8):22-23．

[8] 李躍．虛擬化數(shù)據(jù)中心網(wǎng)絡(luò)安全探析[J]．中國信息化,2013, (14):89-90．

[9] 吳邦華,李玉明,金暉,等．虛擬技術(shù)在醫(yī)院信息系統(tǒng)中的應(yīng)用[J]．中國數(shù)字醫(yī)學(xué),2012,7(7):55-57．

Noticed Problems of Implementing Virtualization of Hospital Data Center

WU Jun, CHEN Yan

Department of Information, Nantong Tumour Hospital, Nantong Jiangsu 226361, China

通過虛擬化技術(shù)構(gòu)建醫(yī)院信息技術(shù)服務(wù)平臺，使各信息系統(tǒng)統(tǒng)一部署和運(yùn)行，做到各系統(tǒng)間相互獨(dú)立、共享硬件資源，靈活、動態(tài)地滿足業(yè)務(wù)發(fā)展的需要。本文對此平臺構(gòu)建過程中遇到的幾個(gè)關(guān)鍵問題進(jìn)行分析并提出相應(yīng)對策。

虛擬化 VMware；數(shù)據(jù)中心；網(wǎng)絡(luò)安全；醫(yī)院信息化

Through constructing hospital information technology service platform by virtualization technology, unifed deployment and operation of information systems can be realized, thus, each system is independent, and the hardware resources can be shared. The key problems and corresponding solutions are discussed in this paper.

virtualization VMware; data center; network security; hospital informatization

TP274；R197.324

C

10.3969/j.issn.1674-1633.2014.06.029

1674-1633(2014)06-0086-02

2013-10-25

2013-12-20

南通市科技局計(jì)劃項(xiàng)目（HS13925）。

作者郵箱：32617800@qq．com