基于安徽省食品藥品檢驗研究院信息化建設(shè)中關(guān)鍵技術(shù)的探析與實現(xiàn)

張明安

關(guān)鍵詞：網(wǎng)絡(luò)虛擬化設(shè)計；網(wǎng)絡(luò)安全；云網(wǎng)融合設(shè)計；雙活存儲

中圖分類號：TP319 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2023）21-0085-03

0 引言

隨著信息技術(shù)的不斷發(fā)展，信息技術(shù)的應(yīng)用不斷深入，信息技術(shù)對經(jīng)濟(jì)、社會和文化的影響更加深刻。正確地引導(dǎo)和發(fā)展信息技術(shù)和信息產(chǎn)業(yè)來推進(jìn)社會發(fā)展、方便人民生活變得尤為重要[1]。

信息化建設(shè)在給系統(tǒng)帶來管理效益和經(jīng)濟(jì)效益的同時，也使系統(tǒng)的正常運作更加依賴信息化。與此同時，信息化建設(shè)也帶來了一些新的問題，如系統(tǒng)故障、電源故障、硬盤的損毀、電腦病毒、人為破壞、誤操作、自然災(zāi)難等，這些問題直接影響信息系統(tǒng)的正常運行，已嚴(yán)重困擾信息主管部門。如何有效地避免這些問題的出現(xiàn)，如何保證信息系統(tǒng)的安全、核心數(shù)據(jù)的安全，提供業(yè)務(wù)系統(tǒng)的持續(xù)運行能力，如何利用現(xiàn)有資源進(jìn)行整合，改善原有陳舊設(shè)備，以最小的投入成本獲得更高的回報，保證服務(wù)器應(yīng)用系統(tǒng)的高可用性，已成為人們關(guān)注的焦點話題。

1 信息化系統(tǒng)建設(shè)具體要求及實現(xiàn)目標(biāo)

1.1 網(wǎng)絡(luò)建設(shè)要求

采用二層網(wǎng)絡(luò)架構(gòu)（即：核心-接入）方式，采用扁平化組網(wǎng)模式，核心到數(shù)據(jù)中心、核心到樓層全部為萬兆數(shù)據(jù)網(wǎng)絡(luò)，樓層采用萬兆交換機(jī)接入，出口到終端為千兆。出口鏈路采用雙冗余鏈路；核心層采用兩臺高端核心交換機(jī)并通過虛擬化方式將核心交換虛擬為一臺邏輯交換機(jī)，保證核心層的高可用，下聯(lián)交換有各樓層交換和服務(wù)器數(shù)據(jù)交換，均采用雙萬兆冗余鏈路。

1.2 計算中心建設(shè)要求

配置兩臺8路服務(wù)器承載核心數(shù)據(jù)業(yè)務(wù)，一套刀片服務(wù)器部署應(yīng)用虛擬化服務(wù)器。后端存儲配置2臺SAN交換機(jī)和一套高端雙活存儲保證后臺數(shù)據(jù)高可用性。

1.3 實現(xiàn)目標(biāo)

通過在安徽省食品藥品檢驗研究院建設(shè)云計算中心，為安徽省食品藥品檢驗研究院系統(tǒng)提供云計算、大數(shù)據(jù)服務(wù)。設(shè)計建設(shè)將達(dá)到以下目標(biāo)：

1） 技術(shù)先進(jìn)性：采用先進(jìn)的組網(wǎng)及數(shù)據(jù)中心設(shè)計技術(shù)。

2） 高性能性：云平臺建設(shè)后，服務(wù)器的性能將大幅提升，具有更高的性價比。

3） 高可用性：云平臺及存儲設(shè)備都有硬件級別的冗余。

4） 數(shù)據(jù)安全：將采用容災(zāi)設(shè)備對核心數(shù)據(jù)及系統(tǒng)進(jìn)行有效實時保護(hù)。

5） 高擴(kuò)展性：搭建云存儲平臺，提供云平臺的數(shù)據(jù)擴(kuò)展及容災(zāi)存儲空間。

6） 一體化管理：采用圖形化一體化管理界面，有效管理服務(wù)器及數(shù)據(jù)。

2 關(guān)鍵技術(shù)分析及整體設(shè)計與實現(xiàn)

2.1 網(wǎng)絡(luò)系統(tǒng)架構(gòu)設(shè)計

根據(jù)安徽省食品藥品檢驗研究院現(xiàn)有網(wǎng)絡(luò)實際情況以及用戶需求，對基礎(chǔ)網(wǎng)絡(luò)和網(wǎng)絡(luò)統(tǒng)一管理平臺進(jìn)行如圖1所示的規(guī)劃。 安徽省食品藥品檢驗研究院網(wǎng)絡(luò)主要用來查閱、讀取互聯(lián)網(wǎng)數(shù)據(jù)，本次安徽省食品藥品檢驗研究院網(wǎng)絡(luò)建設(shè)從綜合布線開始就重視網(wǎng)絡(luò)速度，從機(jī)房到兩棟大樓都采用64芯萬兆骨干網(wǎng)光纖互聯(lián)。各樓層配置兩臺上行萬兆接入交換機(jī)，直接接入至機(jī)房核心交換。

整個網(wǎng)絡(luò)采用“核心、接入”的二層扁平構(gòu)架，有效防止因單點故障影響整體網(wǎng)絡(luò)，實現(xiàn)網(wǎng)絡(luò)穩(wěn)定可靠運行，達(dá)到萬兆到桌面，各層分別實現(xiàn)不同的業(yè)務(wù)功能。

整網(wǎng)具備入侵防御能力，網(wǎng)絡(luò)出口部署防火墻、IPS等設(shè)備，并配有網(wǎng)絡(luò)安全管理平臺，實現(xiàn)監(jiān)測和管理同步進(jìn)行。

2.1.1 核心層設(shè)計

安徽省食品藥品檢驗研究院核心交換機(jī)需要能提供快速的數(shù)據(jù)交換和極高的永續(xù)性，選用國產(chǎn)華三路由器，較好地滿足了實際需求。

在設(shè)備的選擇上，采用高性能模塊化核心S10500 系列交換機(jī)，考慮到本次網(wǎng)絡(luò)的經(jīng)濟(jì)、安全、實用性并要實現(xiàn)新老兩棟樓間的網(wǎng)絡(luò)區(qū)域隔離，在核心交換機(jī)上配備防火墻板塊，通過虛擬防火墻技術(shù)實現(xiàn)不同區(qū)域間的邊界安全防護(hù)，對不同區(qū)域間的訪問進(jìn)行安全檢查和控制，為用戶提供全面的安全防護(hù)。同時，在后期無線網(wǎng)絡(luò)大規(guī)模對員工、訪客開放Internet訪問時，可通過較高性能的防火墻業(yè)務(wù)板實現(xiàn)與核心交換機(jī)的安全互聯(lián)，在安全穩(wěn)定的基礎(chǔ)上解決一套無線網(wǎng)絡(luò)即可實現(xiàn)內(nèi)外網(wǎng)同時訪問的醫(yī)療信息化發(fā)展需求。

2.1.2 接入層設(shè)計

接入層是網(wǎng)絡(luò)的前沿設(shè)備、終端設(shè)備等接入網(wǎng)絡(luò)的第一層。在設(shè)備的選擇上，直接影響用戶使用滿意程度，本次設(shè)計采用H3C S5130EI交換機(jī)。

2.2 網(wǎng)絡(luò)虛擬化設(shè)計

2.2.1 橫向虛擬化——IRF2

將兩臺核心交換機(jī)組合為一臺虛擬化的邏輯交換機(jī)，從而提高運營效率、增強(qiáng)不間斷通信，并將系統(tǒng)帶寬容量擴(kuò)展一倍。

兩臺核心交換機(jī)之間通過萬兆鏈路連接起來，利用核心交換機(jī)支持的IRF2技術(shù)，將兩臺設(shè)備虛擬化為一臺邏輯設(shè)備。這樣，核心層在可靠性、分布性和易管理性方面具有強(qiáng)大的優(yōu)勢，同時滿足和實現(xiàn)管理運營的簡化，為整體設(shè)計提供了靈活的部署能力。

2.2.2 縱向虛擬化設(shè)計

隨著信息化的發(fā)展，業(yè)務(wù)對網(wǎng)絡(luò)傳輸能力和穩(wěn)定性的需求日益增長，要求具有更高的帶寬、更強(qiáng)大的性能、更高密度的接入能力，同時又要兼?zhèn)淇煽啃院鸵坠芾硇?。網(wǎng)絡(luò)節(jié)點的大量增加無疑提升了網(wǎng)絡(luò)復(fù)雜度和管理難度。

在后期改造中建議使用縱向虛擬化技術(shù)，可以將整個園區(qū)網(wǎng)絡(luò)設(shè)備虛擬為一臺設(shè)備，在網(wǎng)絡(luò)中以單一管理節(jié)點的形式存在，原有層級之間的連接全部變?yōu)閮?nèi)部鏈路，維護(hù)簡單便捷，適應(yīng)未來業(yè)務(wù)發(fā)展的需求。

2.3 網(wǎng)絡(luò)安全設(shè)計

2.3.1 云網(wǎng)融合設(shè)計

部署獨立的安全設(shè)備無疑將增加安徽省食品藥品檢驗研究院網(wǎng)絡(luò)建設(shè)的成本，同時也增加了網(wǎng)絡(luò)安全部署的復(fù)雜度及網(wǎng)絡(luò)管理的難度，首先需要考慮安全部件簡單化地融入網(wǎng)絡(luò)中以及設(shè)備的易部署性需要在將防火墻部署在WEB 訪問服務(wù)器及路由器之間，這樣可以增強(qiáng)核心交換機(jī)抗擊網(wǎng)絡(luò)風(fēng)險的能力，提升安全機(jī)能，保障內(nèi)部網(wǎng)絡(luò)變成安全網(wǎng)絡(luò)，將安全轉(zhuǎn)發(fā)技術(shù)和網(wǎng)絡(luò)技術(shù)有機(jī)融合在一起。

2.3.2 WEB服務(wù)安全防護(hù)

當(dāng)下，伴隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各種WEB應(yīng)用系統(tǒng)越來越多，系統(tǒng)的增多也預(yù)示著外界針對性網(wǎng)絡(luò)攻擊也越來越多。

本次在服務(wù)器端劃分DMZ區(qū)，所有對外服務(wù)都部署在DMZ區(qū)，DMZ區(qū)部署WAF防護(hù)墻，部署在核心交換機(jī)與服務(wù)器接入交換機(jī)之間，連接方式采用串聯(lián)方式。并在WAF上啟用策略路由方式，能有效防范外部對DMZ區(qū)發(fā)起的攻擊，同時保證其他業(yè)務(wù)非訪問WEB 服務(wù)流量的高速轉(zhuǎn)發(fā)。WAF設(shè)備能有效防范各類SQL 注入、掃描器掃描、跨站、掛馬、盜鏈行為等攻擊行為。

2.4 主機(jī)存儲設(shè)計

2.4.1 系統(tǒng)拓?fù)?/p>

本次系統(tǒng)設(shè)計選用先進(jìn)的H3C UIS刀片服務(wù)器系統(tǒng)，結(jié)合宏杉科技MS5520雙活存儲和曙光DBstor100數(shù)據(jù)庫備份一體機(jī)，對整個應(yīng)用系統(tǒng)和數(shù)據(jù)安全進(jìn)行有效保護(hù)，構(gòu)建安徽省食品藥品檢驗研究院數(shù)據(jù)中心。核心數(shù)據(jù)庫服務(wù)器采用2臺曙光I980-G10 8 路服務(wù)器承載核心數(shù)據(jù)庫業(yè)務(wù)，本次系統(tǒng)設(shè)計充分考慮靈活性和可擴(kuò)展性，既要滿足現(xiàn)在的應(yīng)用需求又能適應(yīng)未來一定時間內(nèi)的業(yè)務(wù)增長需求，建設(shè)方案拓?fù)淙鐖D4所示。

2.4.2 雙活存儲設(shè)計

雙活存儲組網(wǎng)如圖5所示。

如圖5所示，安徽省食品藥品檢驗研究院存儲設(shè)備采用雙活技術(shù)，兩臺存儲設(shè)備之間使用雙活網(wǎng)絡(luò)互連，任一臺存儲設(shè)備出現(xiàn)雙點故障時，另一臺存儲設(shè)備能繼續(xù)提供存儲服務(wù)，服務(wù)器上業(yè)務(wù)可無縫調(diào)取存儲中的數(shù)據(jù)，從而保證業(yè)務(wù)連續(xù)性[2]，同時又可保證雙活鏡像對的兩個LUN中數(shù)據(jù)完全一致。

在故障處理方面，在配置SDAS后，如果任一引擎中任一控制器發(fā)生故障，業(yè)務(wù)將通過雙控故障切換機(jī)制切換到該引擎中另外一個控制器上；如果任一引擎中兩個控制器同時發(fā)生故障，將通過SDAS的引擎故障檢測機(jī)制觸發(fā)引擎間切換，業(yè)務(wù)切換到另外一個引擎上。同時，針對計劃內(nèi)維護(hù)需求，當(dāng)任一引擎中兩個控制器需要同時重啟或關(guān)機(jī)時，也會觸發(fā)引擎間切換，業(yè)務(wù)切換到另外一個引擎上。

3 結(jié)束語

安徽省食品藥品檢驗研究院信息化建設(shè)分別從網(wǎng)絡(luò)虛擬化設(shè)計、網(wǎng)絡(luò)安全性考慮、主機(jī)系統(tǒng)好的靈活性和可擴(kuò)展性設(shè)計以及雙活存儲的設(shè)計實現(xiàn)等方面考慮，保證了單位網(wǎng)絡(luò)系統(tǒng)的高性能、高可靠和數(shù)據(jù)中心的高安全。

高性能方面，網(wǎng)絡(luò)上采用“核心、接入”的二層扁平構(gòu)架，有效防止因單點故障影響整體網(wǎng)絡(luò)，實現(xiàn)網(wǎng)絡(luò)穩(wěn)定可靠運行，實現(xiàn)并達(dá)到萬兆網(wǎng)絡(luò)到桌面。

高可靠性方面，實現(xiàn)了網(wǎng)絡(luò)的虛擬化部署，服務(wù)器也采用虛擬化技術(shù)進(jìn)行資源整合，通過CAS虛擬化平臺管理各虛擬機(jī)，保證業(yè)務(wù)不中斷。存儲采用宏杉雙活存儲系統(tǒng)，最大限度地保障系統(tǒng)及網(wǎng)絡(luò)的高可靠性[3]。

高擴(kuò)展性方面，從系統(tǒng)構(gòu)建之初就充分考慮擴(kuò)展需求，無論是在服務(wù)器、存儲還是在網(wǎng)絡(luò)資源的擴(kuò)展上都可以做到靈活擴(kuò)展。

高安全性方面，硬件設(shè)備上采用一系列安全設(shè)備來保障系統(tǒng)的安全性，利用虛擬化保障虛擬主機(jī)的安全。在數(shù)據(jù)存儲方面，通過雙活存儲以及曙光備份柜來實現(xiàn)業(yè)務(wù)數(shù)據(jù)的實時保護(hù)，從各個方面保證系統(tǒng)的安全性[4]。