underbilag 2a-1 - arkitekturbeskrivelseregionsjaelland.dk/downloads/sporbarhed/documents... · web...
TRANSCRIPT
UnderbilagArkitekturbeskrivelseVejledning til tilbudsgiver:
Underbilag indeholder en beskrivelse af Kundens it-arkitektur.
Leverandøren skal ikke udfylde bilaget.
1
Underbilag: Arkitekturbeskrivelse
Indholdsfortegnelse
1. Indledning.............................................................................................41.1. Formål..............................................................................................4
2. Terminologi...........................................................................................52.1. Strategiske.......................................................................................52.2. Forvaltede........................................................................................52.3. Under afvikling................................................................................52.4. Individuelle......................................................................................5
3. Netværk................................................................................................73.1. Driftslokationer................................................................................73.2. Netværk...........................................................................................7
3.2.1. WAN forbindelser.......................................................................73.2.2. LAN............................................................................................83.2.3. Trådløst netværk........................................................................93.2.4. VLAN..........................................................................................93.2.5. Firewall......................................................................................93.2.6. VPN adgange.............................................................................93.2.7. Protokoller...............................................................................10
4. Servere................................................................................................114.1. Virtuelle servere............................................................................114.2. Fysiske servere..............................................................................114.3. Operativsystemer...........................................................................114.4. Databaser.......................................................................................114.5. Antivirus.........................................................................................124.6. Backup...........................................................................................124.7. Overvågning...................................................................................12
4.7.1. Netværksovervågning..............................................................124.7.2. Serverovervågning...................................................................124.7.3. SW Distribution server.............................................................12
4.8. Mailsystem.....................................................................................134.9. Domæne.........................................................................................134.10. SAN.............................................................................................13
5. Platforme.............................................................................................145.1. WEB...............................................................................................145.2. Datawarehus..................................................................................145.3. Integrationer..................................................................................14
6. Arbejdsstationer..................................................................................156.1. Hardware.......................................................................................156.2. Basissoftware.................................................................................15
6.2.1. Operativsystem........................................................................156.2.2. Browser....................................................................................156.2.3. Officepakke..............................................................................15
2
Underbilag: Arkitekturbeskrivelse
6.2.4. Fjernkontrol af arbejdspladser................................................166.2.5. SW distribution........................................................................166.2.6. Mailsystem...............................................................................166.2.7. Antivirus...................................................................................17
6.3. Den Kliniske arbejdsplads.............................................................177. Print....................................................................................................188. Brugerhåndtering/SingleSignon.........................................................19
8.1. Domænestruktur............................................................................198.2. Brugerstyring.................................................................................198.3. Logon metoder...............................................................................19
8.3.1. Windows Logon........................................................................198.3.2. Fælles Logon............................................................................20
3
Underbilag: Arkitekturbeskrivelse
1. Indledning
I dette underbilag er beskrevet Region Sjællands it-arkitektur.
1.1. Formål
Formålet med nærværende underbilag er at beskrive Region Sjællands eksisterende IT-miljø med henblik på at sikre, at Leverancen kan driftes, vedligeholdes og forvaltes hensigtsmæssigt i Kundens IT-miljø, herunder at Leverancen integreres, implementeres og tilpasses korrekt til Kundens IT-miljø.
4
Underbilag: Arkitekturbeskrivelse
2. Netværk
Følgende afsnit beskriver den tekniske infrastruktur som er til stede i Region Sjælland.
2.1. Driftslokationer
Der findes i dag 2 driftscentre:- Ringsted (Primært datacenter)- Slagelse (backup datacenter)
Derudover står der, af hensyn til redundans eller pga. lokale fysiske forhold, enkelte systemer/servere rundt om på de større sygehuse.Region Sjælland drifter I dag ca. 900 servere, hvoraf ca. 720 er virtuelle servere.Serverne er placeret primært i Ringsted.For kritiske systemer etableres så vidt muligt redundante serverløsninger på disse lokationer.
2.2. Netværk
Region Sjælland har i dag et velfungerende netværk – både LAN og WAN.
2.2.1. WAN forbindelser
I det følgende beskrives den nuværende beskrivelse for WAN strukturen i Region Sjælland. Region Sjælland er i gang med omlægning af hele WAN strukturen, hvorfor der kan forventes ændringer til den nuværende beskrivelse.
5
Underbilag: Arkitekturbeskrivelse
Det er dog ikke på nuværende tidspunkt muligt at beskrive den kommende strutkur.
Den nuværende WAN er etableret med en dubleret backbone ring baseret på redundante 2x1 Gbit forbindelser mellem:Slagelse - Næstved - Nykøbing Falster - Køge - Roskilde - Sorø – Holbæk - SlagelseFra Ringsted som er det primære datacenter, er der ydermere etableret 10gb forbindelser til:- Slagelse- Nykøbing Falster- RoskildeStørre lokationer er tilsluttet enten i Nykøbing Falster, Roskilde eller Slagelse via 1gb eller 100mb forbindelser. Der er for mindre lokationer varierende tilslutninger ned til 2 Mbit.
6
Underbilag: Arkitekturbeskrivelse
Oversigtsbillede over større lokationer og netværksforbindelser i Region Sjælland
2.2.2. LAN
Hastighederne fra en arbejdsstation til netværket vil typisk være 100mb-full-duplex, dog kan man nogle steder køre 1gb-full-duplex ud til arbejdsstationerne – hvis udstyr har et ældre ethernet-snit, kan hastigheden godt sættes ned til 10mb-half eller full-duplex.De hastigheder som køres mellem krydsfelterne er primært 1gb forbindelser baseret på fiber, og nogle steder op til 10gb, dog er der enkelte steder kun 100mb-FX mellem krydsfelterne.Der anvendes udelukkende Ethernet på HP, Cisco samt Foundry udstyr.Der er redundant Powersupply i udstyret.
2.2.3. Trådløst netværk
Region Sjællands trådløse netværk baserer sig på B&G standarden dvs. vi primært kører 300/54 Mbit med 802.1x N og G, og sekundært 11Mbit, hvis enheden kun kan køre med B standarden.Der er primært dækning af trådløst netværk på visse sengeafsnit på sygehusene, på apotekerne og i Regionshuset, og der kan dog godt være dækning andre steder også.Der er igangsat udbredning af trådløst netværk generelt, så der vil være trådløs netverk på alle større lokationer.
2.2.4. VLAN
For at adskille netværkstrafik, benyttes relativt mange VLAN.Blandt andet er der VLAN til printertrafik, medicotekniknisk udtstyr, management, pc VLAN mm.Oprettelse af nye VLAN skal være velbegrundet
7
Underbilag: Arkitekturbeskrivelse
2.2.5. Firewall
Der er generelt åbent for alt udgående trafik på port 80, 21, 443, derudover åbnes efter behov med mindre det konflikter med vores sikkerhedspolitik.Vi har endvidere en ISA server, som kan bruges til at publicere WEB servere og vores MOSS2007 miljø.
2.2.6. VPN adgange
Leverandører kan tilbydes en VPN forbindelse til de relevante systemer de skal kunne yde support på.Region Sjælland tilbyder RSA Token- og SMS baserede løsninger, samt Site2Site VPN forbindelser.
2.2.7. Protokoller
Kommunikationen er baseret på TCP/IP.
8
Underbilag: Arkitekturbeskrivelse
3. Servere
3.1. Virtuelle servere
Regionens Strategi er at anvende Virtuelle servere og store dele af serverparken er allerede virtualiseret.Det virtuelle miljø er baseret på VMWare ESX 4.1. Miljøet er installeret på en række bladeservere placeret i hhv. Ringsted og Slagelse. Der anvendes VMWare HA (High Availability), så går en host ned, vil virtuelle servere kunne genstartes på en anden host.Der er implementeret VMWare Site Recovery Management, så det er muligt at bygge et Disaster/Recovery miljø op for applikationer i Slagelse baseret på servere i Ringsted.
3.2. Fysiske servere
Som udgangspunkt installerer vi ikke fysiske servere som applikationsservere, med mindre der er et velargumenteret specificeret krav.Der anvendes 64bit HP blade servere tilsluttet SAN, eller med faste diske.
3.3. Operativsystemer
Region Sjællands strategiske operativsystem er:• Microsoft Windows Server 2003 R2 – 32/64 bit• Microsoft Windows Server 2008 64 bitDerudover anvendes SUN Solaris og Linux som Individuel (Se afsnit 6.4) platform.
9
Underbilag: Arkitekturbeskrivelse
3.4. Databaser
Primær strategisk platform er MS SQL server 2008.
3.5. Antivirus
Serverne har Symantec Endpoint Protection version 11.x. Opdatering og overvågning sker fra en central Windows 2003 Endpoint master server.
3.6. Backup
Til backup af alle data, der er omfattet af normal backup, anvendes Commvault Simpana v. 9.0. Backup udføres til disk, som efter en periode flyttes til tape.Backup er delt i følgende type: Data, SQL, Exchange og VMware.- Almindelig data: der udføres normal Filbackup- SQL/Databaser og Exchange: backup via Backup Agent,- VMWare: Der udføres Image backup til brug ved hurtig restore af hele servere.
3.7. Overvågning
3.7.1. Netværksovervågning
Der anvendes Solarwinds Network Performance Monitor til monitorering afNetværkskomponenter i hele Regionen.
3.7.2. Serverovervågning
Solarwinds Application Performance Monitor anvendes til overvågning af servere, applikationer mm.
10
Underbilag: Arkitekturbeskrivelse
Typiske overvåges CPU load, belastning af netværkskort, memoryload og diskforbrug, men der er mulighed for overvågning af andet, f.eks. processer og logfiler
3.7.3. SW Distribution server
Servere patches vha. Microsoft VSUS, almindelig SW distribution på servere er planlagt skal foretages med Alteris SW distribution, men er endnu ikke implementeret.
3.8. Mailsystem
Mail er baseret på Exchange 2010, med en Outlook 2007 Klient, eller Outlook Web Access som Webmail.Der er kun et stort fælles Exchange 2010 postsystem, hvor alle ca. 18.000 ansatte har en mailkonto, [email protected]. Derudover er der enkelte selvstændige institutioner der har eget domænenavn, f.eks. filadelfia.dk, svanevig.dk, men det er undtagelsen at der oprettet specielle domænenavne.
3.9. Domæne
Region Sjællands Domænestruktur er baseret på Microsoft Active Directory 2003.Der er et domæne med i alt 12 domæne kontrollere, fordelt Ringsted – Slagelse. Nogle er fysiske og andre virtuelle.Alle er baseret på Windows 2003R2/64 bit Enterprise Edition
3.10. SAN
Der er flere forskellige SAN i Region Sjælland:- HP, EMC og IBM SAN.Strategien er at basere så meget som muligt på SAN, og undgå lokale harddiske.
11
Underbilag: Arkitekturbeskrivelse
4. PlatformeRegion Sjælland baserer sig på følgende udviklingsmæssige platforme
4.1. WEBWebløsninger skal baseres på regionens Sharepoint platform. Alle systemer skal følge regionens governancemodel.
4.2. DatawarehusLedelsesinformation sker i regionens Koncern datawarehus, som er baseret på Microsoft Business Intelligence og SQL Server 2008. Alle systemer skal følge regionens datawarehusstrategi.
4.3. IntegrationerRegionen anvender BizTalk til integrationsløsninger. Alle systemer skal følge regionens retningslinjer for udvikling og implementering af integrationsløsninger som beskrevet i underbilag.
12
Underbilag: Arkitekturbeskrivelse
5. Arbejdsstationer
5.1. Hardware
Arbejdsstationer i Region Sjælland er standard pc baserede.Der anvendes HP og Lenovo stationære og bærbare, max 4 år gamle, udskiftning sker løbende.Pc’erne er bestykket, så de kan afvikle Windows XP, som er standardoperativsystemetoveralt. Dvs. Pc'er generelt har CPU kapacitet på minimum 1 GHz og 512 MB RAM.Der er ikke installeret specielle lyd eller grafikkort på Pc’erne ud over standardudstyr.
5.2. Basissoftware
5.2.1. Operativsystem
Der anvendes Windows 7 som primært operativsystem, men der eksisterer stadigvæk flere maskiner med Windows XP. Det forventes at alle maskiner senest i 2015 benytter Windows 7.
5.2.2. Browser
Standard browser i Region Sjælland er Internet Explorer 8.x for Windows 7 og Internet Explorer 7.x på Windows XP.
5.2.3. Officepakke
13
Underbilag: Arkitekturbeskrivelse
Der anvendes primært MS Office 2003, men med Outlook 2007.Det forventes at der opgraderes til MS Office 2010 i løbet af 2012.
5.2.4. Fjernkontrol af arbejdspladser.
I forbindelse med support af klienter, anvendes Netop Remote Control v. 10.x til fjernstyring af arbejdspladser.
5.2.5. SW distribution
Al software på den enkelte PC styres centralt af Koncern IT. Alle applikationer skal understøtte Full Unattended (silent) klient installation, afinstallation, konfiguration, opgradering og nedgradering (fall back)..
Leverandøren skal levere dokumentation til installationen herunder evt. licensnummer eller serienummer der skal benyttes ved installationen.Installation og afinstallation skal kunne ske i hht. Microsofts retningslinjer for deployment til Windows XP/Vista/7, via en SYSTEM-konto. Installationen må derfor ikke kun fungere ved installation via en USER-konto, svarende til en manuel installation.Installationen skal understøtte samtidige installationer til flere maskiner fra et eller flere netværk shares og installationen skal kunne ske fra UNC stier.Software ønskes primært leveret med en MSI installer. Wise installer, Installshield eller anden installer, der overholder ovenstående krav kan accepteres.I fbm. installation skal der kunne genereres log-filer til fejlfinding af fejlbehæftede installationer.Hvis installationer ikke kan afvikles automatiseret, skal der foreligge en udførlig vejledning for manuel installation af softwaren på arbejdspladsen.Installation skal efterfølgende fungere for alle brugere på maskinen, og ikke kun den account der er logget på
Hvis der er et ønske om flere miljøer (eks. Produktion, Undervisning eller Test) også kaldet multiple instanser, skal det aftales med REGSJ hvordan opdatering og fall back
14
Underbilag: Arkitekturbeskrivelse
scenarier skal foregå.F.eks.: Skal softwaren kunne være tilgængelig, i forskellige versioner, på samme maskine i forskellige miljøer via samme USER-konto?Er der tale om en WEB-applikation eller en lign. simpel genvej, ønskes information om den URL eller LNK der skal oprettes og distribueres, samt levering af et ikon der skal bruges til at identificere genvejen (Krav)
5.2.6. Mailsystem
Mail er baseret på Exchange 2010, med en Outlook 2007 Klient, eller Outlook Web Access som Webmail, og mail/kalender anvendes også på Mobiltelefoner/PDA.
5.2.7. Antivirus
Pc’ere har Symantec Endpoint Protection version 11.x. Opdatering og overvågning sker fra en central Windows 2003 Endpoint master server.Alt lokalt PC-programmel skal være foreneligt med aktivt antivirusprogrammel
5.3. Den Kliniske arbejdsplads
Den kliniske arbejdsplads stiller en række krav til flere brugere på få pc’ere, hurtige logontider, stor integration mellem kliniske arbejdspladser, både i form af overførsel af data ved skift mellem kliniske applikationer, men også ved at minimere antallet af Logons.Den generelle kliniske arbejdsplads implementeret som en er browserbaseret (.Net) løsning, og omfatter CSC Opus-portal, Opus Medicin, Opus Notat og visningsmoduler for laboratoriesystemer, røntgenbilleder m.v.På afdelingsniveau findes mange forskelligartede klientprogrammer på varierende teknologier fra terminalemulering over ældre Windows-klienter til nyere browserapplikationer.
15
Underbilag: Arkitekturbeskrivelse
Den generelle sekretærarbejdsplads har typisk adgang til 3270-terminalemulering og forskellige windowsprogrammer for patientadministrationer i GS/GSÅben/Opus Patient samt andre systemer.Alle arbejdsstationer bruges til flere applikationer, dvs. nyanskaffede systemer vil skulle fungere sammen med andre og deles om arbejdsstationens ressourcer.På de kliniske afsnit af sygehusene er personalet meget mobilt og vil bruge flere forskellige arbejdsstationer i løbet af en arbejdsdag. I mere administrative områder er der tale om mere faste personlige arbejdspladser.
16
Underbilag: Arkitekturbeskrivelse
6. Print
Regionens Strategi er at anvende netværkprintere. I enkelte tilfælde tilladeskontorprintere.Alle netværksprintere er installeret på Windows 2008 serverer. Alle print serverne er meldt ind i domænet regsj.intern. Alle netværksprintere ca. 2700 stk. publiceres i Active Directory.Der benyttes printdrivere, som er certificeret til printerne. Der er flere typer af printere. Der er både fysiske printservere og VMware print serverer.Print fra de forskellige applikationer sker via de allerede eksisterende Windows 2008 printserverer. Der er ikke flere servere som peger på den samme netværksprinter, dette hindre blanding af print. En spool kø pr. IP.
17
Underbilag: Arkitekturbeskrivelse
7. Brugerhåndtering/SingleSignonI dette afsnit beskrives kort de forskellige forhold omkring brugerhåndtering i Region Sjælland. For yderligere beskrivelse, henvises til underbilaget om brugerstyring.
7.1. Domænestruktur
Alle brugere i Region Sjælland er meldt ind i det samme Domæne, REGSJ, langt de fleste ressourcer er oprettet i Region Sjælland Domænet, men der er stadig gamle systemer der kører RA (Roskilde Amt), STAM (Storstrøms Amt) samt ISIS og VSA fra Vestsjællands Amt.
7.2. Brugerstyring
Brugerstyring opdeles i 2 forskellige områder:- Autentifikation: omhandlende identificering af hvem brugeren er og mulighederne for single signon (SSO).- Autorisation: omhandlende identifikation af, hvilke ressourcer brugeren må tilgå, og hvilke rettigheder brugeren har i det enkelte system, samt giver mulighed for at styre brugerens roller fra centralt hold via grupper i Active Directory.
7.3. Logon metoder.
Der er grundlæggende 2 modeller for logon:- Almindeligt Windows Logon- Fælles Logon (FLOGON)
18
Underbilag: Arkitekturbeskrivelse
7.3.1. Windows Logon
Dette er den almindelige logon for brugere, der har behov for et individuelt tilpasset skrivebord, samt adgang til fællesdrev, og almindelige Windows ressourcer. Typisk personale der har en pc per bruger.Brugeren logger på Windows med personligt bruger ID og password fra Microsoft Active Directory. Maskinen afvikler logonscript og der er bl.a. fri adgang til internettet og en vifte af applikationer. Der er Single Signon til en række applikationer, så brugeren ikke skal indtaste brugerID og password for at tilgå andre systemer.
7.3.2. Fælles Logon
Behovet for Fælles Logon er opstået på pc’ere hvor der er flere brugere der skal logge på i løbet af dagen, typisk de kliniske brugere.Brugeren logger på Windows med fælles brugeren "flogon", hvorefter maskinen alene kan åbne Opus Arbejdsplads.Opus Arbejdsplads beder om bruger ID og brugeren taster personligt bruger ID og password fra Microsoft Active Directory ( DNS navn regsj.intern ) som maskinerne og brugerne er oprettet i. Opus Arbejdsplads trækker via LDAP, oplysninger om brugeren ud af regsj.intern domænet, og er brugeren medlem af en godkendt Active Directory gruppe, starter OpusArbejdsplads.OpusArbejdsplads vil efterfølgende have samme virkemåde, uanset om metode 1 eller 2 er benyttet til logon.
IT DirektørNord
19