天津市武清區第二人民醫院（下稱“武清二院”）始建于1956年，是一所集醫療、教學、科研、預防、保健、康復于一體的二級綜合醫院，也是武清城區內醫院唯一一所城鄉醫保門診報銷的公立醫院。

武清二院是深信服超融合老用戶。最初，由于醫院信息科老舊硬件持續故障及人力不足，武清二院選擇深信服超融合進行數字化升級。隨著數字化升級的深入，也因深信服持續高效的運維服務，武清二院決定采用托管云模式建設其IT基礎設施，將HIS、PACS、EMR、LIS及集成平臺等全部核心業務遷上托管云。

武清二院原有機房現狀

存在的痛點與挑戰

武清二院原機房為典型的三級醫院拓撲，劃分內外網兩個區域，中間通過網閘進行隔離，外網區域承載DMZ業務與外網辦公區。內網區域承載核心業務與內網辦公區，同時衛健委的衛生專線和醫保專線、銀聯結算專線都需要拉到內網。但存在以下痛點：

• 運維層面：業務繁多，且大量物理設備運維難度大。此外，服務器設備大量過保，已無原廠服務。出現過院內運維人員不足，運維故障處置不及時，造成設備宕機，HIS癱瘓，導致P1級別重大事故。在事故后，深信服協助醫院排查拉通各方廠商，及時處置兜底，運維能力獲得用戶認可。但用戶認為在目前的環境與運維體系下，很難避免再次出現類似問題。

• 成本層面：機房運維投入、設備維保投入、超融合資源擴容投入、安全建設投入、老舊設備換新投入等等，平均每年170萬+。按醫院當前的經費預算，很難一次性投入整體機房改造建設。

原有組網拓撲

原有設備清單

安全設備清單

主要業務情況

深信服線上線下一朵云解決方案

本次方案采用專屬托管私有云模式，資源集群獨享，采用產品+服務的方式進行建設。同時支持按年訂閱彈性計費，若后期需求變動可對資源以年為周期按照節點數進行動態彈性伸縮，以靈活應對醫院后續業務需求。

基于同架構混合云統一管理能力，線下機房利舊作為容災機房，主站點全業務上托管云，滿足線上線下資源及業務的統一管理、統一監控訴求，也滿足用戶對業務連續性及合規性的要求。

同時，針對醫院的合規需求，托管云線上一站式提供等保三級所需的安全組件及配套的安全運營服務。

網絡架構規劃

為保證最小化醫院的網絡拓撲改造帶來的不必要業務影響，醫院機房現有網絡架構保持不變，規劃二層專線網絡打通（下圖綠色部分），將現有內網與專屬云平臺聯通（網關放在醫院本地內網核心交換機上），專線采購中國電信專線，共2條，每條200Mbits，專線類型為OTN（專線兩端的交換機模塊均為千兆單模，由運營商負責提供；運營商網絡接入設備安裝在托管云機柜內），專線距離40km。

專線接入

在專線高可靠保障上，運營商的接入采用了主備鏈路聚合方案，通過確保當主鏈路出現故障時，被鏈路可以自動接管流量。在這種模式下，只有一條主鏈路是活躍的，所有流量都會通過主鏈路傳輸。備鏈路處于待命狀態，僅在主鏈路故障時才會激活。因此，在專線選型時，也要確保單根專線帶寬可以滿足醫院業務需求。

在做專線接入建設時，首先需要調研用戶現網環境，需要提前確認以下幾個問題：

1. 與用戶確認云上使用的網段、VLAN-ID、VLANIF網關，并和網絡組確認是否存在VLAN-ID沖突情況。

2. 確認與專線互聯的本地交換機上可以使用的兩個物理端口，并確定好可用的ETrunk編號。

3. 配置過程中，核對需要做聚合的口，并放通對應的VLAN號，確保云上云下的網絡互通。

專線建設流程如下：

VPC網絡規劃

由于醫院本地的業務網絡為172.31.1.x的網段，解決方案團隊在調研用戶環境時識別到了這一問題，并提出風險：托管云NFV中的防火墻與本地網段存在沖突問題。

VPC上AF和路由器管理IP用的是業界通用的私有保留網段172.31.1.x和172.31.2.x，所以產品上后臺為防止路由器直接限制了 172.31.X.X的創建限制，因此無法在VPC內創建和本地同網段的業務進行互通。同時桌面云所使用的172.31.45.x需要在VPC內創建，后臺也限制了，實際用不上那么多保留地址。

擺在面前有三種方案：

1. 用戶線下網段整體進行修改，但對信息科來講工作量較大，且影響到現有業務。

2. 修改過后臺強行修改AF與路由器管理IP地址，但這種方式只是臨時性，一旦后續組件或平臺升級，還是會恢復成172.31.1.x網段，此時必然會影響到業務。

3. 從云上入手，云上業務需要能整體將網段改為與線下一致。

最后與用戶對方案反復論證，解決方案團隊決定在云上重新進行網絡規劃設計，提非標部署，最終方案為云上業務均采用經典網絡部署，通過VLANID直接透進來，避免以上的風險，也保證云上業務與線下業務同網段，減少線下網段改造成本。僅桌面云采用VPC網絡的方式進行部署。

醫院線上線下網絡規劃

由于內網業務上云，因此托管云上不設計公網出口，線下內網核心交換機通過專線的方式連到托管云機房打通大二層，將托管云節點作為武清二院本地數據中心的延伸。

原有的衛健委的衛生專線、政務外網、政務內網與運營商專線從外部連到內網核心，中間經過防火墻和IDS檢測，此處無需更改機房原有網絡拓撲，減少業務變更影響。

醫院線上業務分為幾個區域，除了桌面云VPC外，經典網絡通過VLAN劃分安全子網區、業務運維區、生產業務區（新建和遷移業務也做隔離）、測試業務區，不同VLAN之間通信則通過三層互通。

醫院原有線下內網防護區的的等保設備可以復用，保障線下辦公區和部分邊緣業務安全；同時線上經典網絡與線下網絡用VLAN隔開，線上部分同時劃分一個VLAN作為安全區域部署云上安全組件，專門負責線上業務安全防護。

資源規劃

本次項目共計規劃4節點的托管私有云，型號均為aServer-R-2305。一共提供350TB的混閃存儲。

由于醫院規模相對三級醫院較小，且ISV廈門智業HIS對當前醫院業務存儲性能無性能要求，因此采用混閃卷承載。最后由院方和ISV驗證效果即可。

原先超融合上運行的業務虛機，由于線上線下同構，虛機配置基本不用修改。部分線下虛擬機CPU、內存的使用率已大于50%，考慮到未來的增量，規劃對應的資源進行擴大1.5倍。當虛擬機的存儲容量小于60%時，則保持對應的規格不變，如果大于60%，則將對應的存儲容量進行擴容1.5倍。

容災規劃

規劃的醫院業務上云后，原有承載業務的兩套超融合也相應閑置。因此，線下的超融合可利舊構建線下業務容災集群，極端情況下業務也可恢復到本地災備站點，保障業務正常運轉。其余的超融合可以承載部分非核心業務，包括院內一卡通、智慧食堂業務等。

當前武清二院主數據中心部署在托管云上，承載醫院的核心業務系統（如HIS、PACS、EMR等）。災備中心通過利舊的形式部署在原有的線下機房，作為主數據中心的備份容災節點，實現數據中心與災備中心之間的異步數據傳輸。容災的業務包括：HIS、EMR、內鏡、血糖監測等核心業務，確保在發生主數據中心故障時，災備中心能夠迅速接管業務，醫院的核心業務不受影響。

在容災策略上，院方基于資源和實際業務需要考慮，對重要需容災業務本地備份每小時備份一次，將RPO定在2小時，每2小時線上受保護業務會向線下容災站點傳輸數據。從而實現兼具效果和高資源利用率的一朵云容災。

DaaS規劃

由于院內各部門科室的辦公電腦老舊、型號不一，運維管理難度也隨之增大。借助此次上云機會，院方也希望通過云桌面統一管理院內終端，同時實現更好的安全管控。此次項目也規劃了托管云DaaS方案。

DaaS單獨劃分了一個VPC，醫院各科室辦公PC替換成瘦終端、或以PC上登錄VDI客戶端的方式接入到醫院外網或內網辦公區，再經過專線到達托管云節點，通過專線連接的業務口、VLAN網關，走三層路由進入承載桌面云虛機的業務運維區子網，從而實現數據不落地，全留在數據中心內網的安全防護效果。院內的桌面云虛擬機也由托管云節點內管理集群的VDC統一管理，從而實現辦公業務與內網業務統一運維。

業務落地

網絡架構規劃

在本次業務遷移上，院方著重考慮兩個方面的事情：

• 業務遷移后IP地址是否需要重新規劃，如何保障業務之間互訪正常？

• 業務系統遷移過程中，如何保障整體遷移的效果和遷移的速度？

關于第一個問題，如前文所述，由于線上經典網絡和線下直接大二層打通，且劃分到同個VLAN中，因此無需再更改業務IP。

針對第二個問題，我司與醫院從遷移的計劃，切割窗口的安排，各方協調驗證，兜底等也做了詳細的評估：

院內全業務遷移分多批次遷移，整體歷時3個月。為保證預留足夠的時間檢驗業務遷移效果，每次只遷移1-2個業務系統。遷移時所有數據傳輸通過熱備的形式，不影響業務，數據傳輸完成后等待切割，等待切割階段有增量數據也會持續傳輸。因為醫院本身屬于二級醫院，周末晚上業務較少，因此切割窗口定在周末的晚上8-9點，中斷時間控制在30分鐘以內。切割完成后，由信息科協調好的ISV廠商會進行上線前與上線后的應用驗證。最后院方夜間值班的醫護人員和住院部會驗證已上線業務的使用情況。整個流程持續4-5個小時。

上云業務主機共計34臺業務，同時配合用戶側新開云主機17臺，后續按用戶需求持續進行部署添加。

業務運行情況

當前業務通過經典網絡的方式和線下互通，線上拓撲如下：

當前業務已穩定運行在托管云上，各項業務運行正常。

容災演練

業務整體遷移完成后，除了業務驗證外，用戶也十分看重容災的效果。我們的服務團隊也制定了對應的容災演練方案。此次容災演練選取了HIS中的血糖監測服務器和內鏡服務器，屬于核心但相對影響面不是特別大的業務。雖然血糖和內鏡服務器沒有關聯性，但用戶認為不止需要驗證單機拉起的容災效果，也需要驗證業務組拉起的效果，因此將兩者綁定為受保護業務組，可做到一次容災，即可按規劃的順序拉起指定業務。容災時間也安排在晚上。

容災演練流程記錄如下：

方案價值

• 專屬托管私有云支持按年彈性計費，若后期需求變動可對資源以年為周期按照節點數進行動態彈性伸縮，以靈活應對醫院后續業務需求。

• 基于同架構混合云統一管理能力，滿足線上線下資源及業務統一管理、統一監控訴求

• 方案設計過程中，專屬運維團隊為用戶提供一客一案的架構優化設計服務，根據用戶實際業務情況，及時調整網絡規劃解決線上線下IP沖突問題。

• 通過雙專線提供高SLA的鏈路質量，實現分鐘級自動恢復，同時保證線上線下業務低時延。

• 為醫院提供混合云容災方案，同時提供包括信息收集、規劃設計、建設實施、驗證移交的全流程容災服務，在醫院可控的晚間時間完成了關鍵業務容災演練，整體方案及演練效果均可滿足用戶對業務連續性及合規性要求。

• DaaS建設保障院內數據不落地，統一終端運維，減輕用戶運維和安全管理壓力。

• 上線即等保，免去復雜的等保合規改造（含：日志審計系統、漏洞掃描系統、數據庫安全審計系統、運維安全管理系統、安全態勢感知系統、SSL VPN）及配套的安全運營服務，同時等保測評整改不用用戶操心。相比之前0安全團隊，現在有7*24小時的安全服務，還有安全兜底勒索賠付服務。

• 高SLA的基礎設施，機房環境更好，減少故障發生，及時出現問題也能實現最快1分鐘發現，5分鐘內響應，且7*24小時均有專人值守服務。運維人員更專業，能釋放信息科人員精力，讓醫院信息科更專注在業務上。

深信服托管云持續關注用戶的真實需求，以貼心服務、安全有效、專屬可控、靈活開放為核心，為各行業用戶打造更全面的云底座，以創新技術與完善方案支撐用戶業務發展。