Download - Clase04 Arquitectura PACS
1
Arquitectura PACS
Componentes y Terminología
• Servidor de Base de Datos• Mantiene y gestiona la base de datos del sistema. • Puede estar basada en la plataforma Wintel con SQL
Server 2010 o en la plataforma SUN/Solaris con Oracle 11g.
• Network Gateway• Gestiona las comunicaciones del sistema con los demás equipos
participantes en el flujo de trabajo del departamento de imagenología.
• Mantiene y gestiona los almacenamientos caché del sistema.• Verifica los estudios que recibe contra el HIS/RIS/CM.• Enruta los estudios a diferentes localizaciones o archivos.
Impax Image Cache
• Caché Online de Imágenes• Almacena temporalmente las imágenes.• Tamaño del almacenamiento se mide en meses online.• Puede ser: Almacenamiento propio del servidor, DAS, NAS o
SAN.
Componentes y Terminología
• Archive Server• El Archive Server gestiona el almacenamiento de
imágenes a mediano y largo plazo. Administra el almacenamiento long-term.
• Almacena los estudios en su caché local antes de traspasarlos al medio de archivo a largo plazo.
Impax
Archive Storage
• Archive Storage• Dispositivo físico para almacenar los estudios a largo
plazo, como CAS, SAN, DVD Jukebox, DLT, UDO o MOD.
• Cliente (interno)• Despliega los estudios, combinando información de
órdenes, reportes e imágenes.• Provee las herramientas necesarias para realizar el
diagnóstico del estudio.
Componentes y Terminología
Impax Web Cache
• Web Cache• Almacenamiento temporal, donde se guardan las
imágenes comprimidas.
• Application Server(s)• Servidor de aplicaciones que hace de intermediario entre el
Cliente y los servidores de núcleo del sistema.• Provee servicios de conexión de LDAP, Autentificación,
Encriptación, Administración de Licencias, Documentación y Servicios Web de Soporte para la integración de los elementos del sistema.
Impax
Application
Server(s)
• Curator Server• Aplica algoritmos para comprimir las imágenes, y de
este modo, poder realizar transmisiones más livianas para clientes remotos o para referencia.
Componentes y Terminología• Cliente Externo
• Utiliza el mismo software del cliente interno, pero estáconfigurado para mostrar las imágenes Wavelet, paraconexión remota o referencia.
• Load Balancer• Elemento de red, que distribuye la carga entre
diferentes Application Servers, cuando la instalaciónes muy grande.
• Connectivity Manager• Intermediario en la integración de RIS, PACS y otros
departamentos de imagenología de la institución.• Provee lista de trabajo DICOM a las modalidades.
Componentes y Terminología – Externos
HIS
• HIS (Hospital Information System )• Base de datos institucional que administra datos
demográficos y clínicos de los pacientes.
• RIS (Radiology Information System )• Responsible de las órdenes, agendamiento, reportes
y gestión del flujo de trabajo del departamento de radiología.
• Modalidad• Cualquier dispositivo que tenga la capacidad de
generar imágenes médicas y transmitirlas en formato DICOM..
2
Arquitectura de 3 CapasUnified Client
Nuevo Servicio
(n)
Business Logic
Adapter
CapaMedia
CapaMedia
...
Servicios Compartidos (seguridad, auditoría, licencimiento etc.)
NetworkGateway
ServidorBase de Datos
ConnectivityManager
Quadrat
RIS
Servidorde Auditoría
Sistema deCardiología
CapaNúcleo
CapaNúcleo
CapaAplicación
CapaAplicación
Serviciode
Imágenes
Serviciode
Reportes
Serviciode
Lista de Trabajo
Business Logic
Adapter
Business Logic
Adapter
Business Logic
Adapter
Application Server� Corre sobre Internet Information
Server (IIS) en Windows 2003 Server.
� Mantiene varios servicios disponiblespara que los clientes puedan accedera los servidores de núcleo.
� ADAM almacena la información deusuario, permisos, preferencias ylicencias.
� Provee seguridad y encriptación al sistema.
Application Server
Radiólogo dentro
del la Institución.
Radiólogo
en Casa
Application Server
Pacs1 1 1 1 1 1 11 1
Los Servicios de Datos acceden a la Base de Datos
del PACS, así como a la Base de Datos del RIS y al
Connectivity Manager para proveer los servicios.
Los Servicios de Imágenes acceden al Caché de
Imágenes y al Caché Web para proveer los
serrvicios.
Servicios de
Configuración
Servicios de
Lista de
Trabajo
Servicios de
MetadataServicios de
Image Pixel
Servicios de
Workflow
Servicios de
Impresión
Servicios de
Teaching Files
Servicios de
Seguridad
Servicios de
Text Area
Servicios de
CD Burning
Servicios
PACS
Servicios de
Licencias
Servicios de
NotificaciónOtros Servicios
Serv. CompartidosServ. de ImágenesServicios de Datos
Application Server� Reemplaza la conexión directa del cliente a los
servidores de núcleo, actuando como un proxy y proveyendo servicios como autentificación de usuarios, encriptación de comunicaciones, distribución de imágenes, reportes, etc.
� La capa intermedia, o Application Server, es un lugar ideal para enfocar los esfuerzos en seguridad, puesto que hace las veces de frontera entre los clientes y los servidores de núcleo.
Escalabilidad� El sistema está diseñado modularmente, por lo
que puede crecer junto con la institución.
� Se puede agregar Network Gateways, Archive Servers, Curators y Application Servers a medida que sea necesario.
� La arquitectura de base de datos determina si es un sistema Básico o Enterprise.
• SUN/Solaris con Oracle es Enterprise• Windows con SQL Server es Básico
Soluciones de Almacenamiento
3
Introducción
�¿Qué es el almacenamiento en IT ?
Es un dispositivo que nos permite guardar archivos(datos).
En el contexto de PACS, un almacenamiento nos permite
guardar archivos de imágenes, bases de datos, etc.
Concepto
�¿Qué es el medio de almacenamiento?
Es el dispositivo físico donde se alojan los archivos
Muchos medios de almacenamiento... Muchas Agrupaciones
La diferencia entre uno y otro es...
�El tiempo de acceso a la información
� El costo por GB almacenado US$/GB
� Su escalabilidad
� Su confiabilidad
� La versatilidad en su administración
Introducción: Conceptos
�¿Qué es un FileSystem?
Una forma de dar una estructura al almacenamiento, y así
permitir SO realizar operaciones sobre los datos
Usualmente es una jerarquía
de carpetas
Todo medio de almacenamiento tiene un FS
4
Filesystems para Discos Duros
�WINTEL: FAT32, NTFS
� Linux: EXT2, EXT3, Reiser FS
� Solaris: UFS
� MacOS: HFS
Arreglo de discos
�Es un disco lógico que está formado por2 o más discos físicos
Concepto: Alto nivel / Bajo Nivel
�Bajo Nivel: Operaciones de Read/Write a nivel de disco (físico)
�Alto Nivel: Operaciones de Read/Write a nivel de File System
Ejemplo
�Bajo nivel:Sector, cilindro, Data Block
� Alto nivel: Directorios
y archivos
Ciclo de Vida de la Imagen
Online (Cache)
Nearline(LongTerm)
Offline
Copy
Autopilot
El tiempo de vida de la imagen en Nearline y Cacheestá dado por el tamaño delalmacenamiento usado y del flujo del Hospital
Online (Cache)
� Costo de almacenamiento elevado US$/GB.
� Tiempos de acceso a la información muy bajos(ms)
� Muy robustos a errores en el medio de almacenamiento
5
Nearline (Long Term)
� Costo por GB muy reducido (US$ 0.2 - US$ 4)� En general, el medio de almacenamiento es Write Once-
Read Many
� Tiempos de acceso a la información mucho mayores quecache (10 seg- varios minutos)
� En algunos casos los medios de almacenamiento son removibles.
� Para disminuir riesgos es posible duplicar los archivosnearline.
Offline Storage
� El estado offline es cuando un medio de almacenamientodel Nearline es extraído y guardado para futurareferencia.
ARREGLOS DE DISCOS (RAID)
� RAID: Redundant Array of Independent Disks
� Mejora la confiabilidad por medio de la redundancia
� Mejora la tasa de transferencia de datos pormedio del paralelismo
� Existen varios métodos para lograr este objetivo
RAID 0 (Stripping)
� Datos son cortados en bloques y cada bloque se almacena en un disco diferente
� Esto permite mejorar el tiempo de acceso a disco
� No provee redundancia, si un disco falla, se pierde la información del disco.
RAID 1 (Mirroring)
� Un disco esta copiado en otro (espejo)
� Si un disco físico falla, el disco lógico sigue operando. La reconstrucción del disco con falla no degradaperformance
� Un 50% del espacio se ocupa para el mirror. Costoso
RAID 5 (Parity)
� Utiliza el método de la Paridad para detectar errores
� Provee redundancia en caso de falla de un disco.
� El disco dañado se reconstruye usando la paridad.
� Es intensivo en CPUy puede tomar variashoras
� Se requieren almenos 3 discos
6
Concepto: HotSpare
� Es un disco que está listo para reemplazar unodañado en un arreglo.
ActivosHotSpare
Falla undisco Activo
ActivosFallado
Almacenamiento Interno: Arreglos internos
� A nivel de servidores es lo máspopular
� Almacenamiento desde146 GB a 1TB
� Escalabilidad muy limitada.Para crecerse requiere colocar un DAS o cambiar la máquina
� Conectividad SCSI (Hasta 320 Mbps)
DAS: Direct Attached Storage
� Fácil de Implementar
� Costo efectivo para solucionespequeñas ( < 1TB)
� Escalabilidad limitada.
� Se ocupa tiempo de CPU del Server en administrar el arreglo DAS
� Conexión SCSI (Hasta 320 Mbps)
DAS: Arquitectura en PACS
SCSI
Red IP
DAS
NAS: Network Attached Storage
� Dispositivo 100% dedicado a servirarchivos sobre la red
� Transferencia de archivos a alto nivel
� Válido para soluciones pequeñas y medianas
� Conectar almacenamiento a la red IP produce unadegradación de la performance, comparado con SAN
� Puesta en marcha es muy fácil.
NAS
� En el fondo, es un computador con un sistemaoperativo especial que ofrece servicio NFS paraUNIX y servicio CIFS para Windows
� A nivel de FS se ve como una carpeta de red
7
Arquitectura NASAlmacenamiento NearlineSAN (Storage Area Network)
� Alta capacidad 1 TB hasta 100+ TB.
� Administración Centralizada
� Rápido, confiable, y altamente escalable.
� Se identifica por su arquitectura de conexión basada en una estructura (fabric) de Fiber Channel (FC)
� Se caracteriza por uno o más servidores conectados a uno o más dispositivos de almacenamiento por medio de FC Switch, FC bridges.
Arquitectura Típica SAN SAN: Permite Compartir
SAN = Escalabilidad
SAN
SAN FC=Tiempos de Acceso Óptimos
� Como medio físico se usa Fibre Channel
� Bus de Datos de hasta 8 Gbps
� Permite distancias hasta 500 metros
8
SAN=Alta disponibilidad
SAN
SAN FC: Componentes
� HUBs
� Switches
� Bridges
� Host Bus Adapters (HBA)
SAN
FC Switches
1
2
SAN: Arquitectura FC Centera Hardware Architecture
•Redundant Array of Independent Nodes (RAIN)
•Fuente de poder redundante
•Redundant, self managed network (Gbit)
•Redundant Nodes
•Redundant TCP/IP connections to applications
A Centera Node:
•2.8GHZ “pizza box”
•1024MB RAM
•4 SATA Drives
•3 GBit Ethernet
•Dual Power Supplies
Centera Hardware Architecture
•Arquitectura Escalable
•A medida que se desea mantenermás información se agregan gruposde nodos, aumentando la capacidadde almacenamiento near line.
Networking
9
¿Qué es una Red de Datos?
Conjunto de computadores interconectados
•Dos computadores están interconectados si estos son capaces de intercambiar información
•La red de datos es el conjunto de dispositivos, protocolos y programas que en su conjunto permiten la comunicación entre una o más aplicaciones.
La red de datos permite la comunicación entre 1 o más computadores
¿Qué es una Red de Datos?
Introducción
•TCP/IP es un conjunto de protocolos, de los cuales los más importantes son TCP e IP
•TCP permite la comunicación entre aplicaciones
•IP permite la comunicación entre computadores
Protocolos de comunicación necesarios
Introducción
TCP
IP
Puerto origen
3456
Puerto destino
1521
Mensaje:BuscarPetición
Seq
345
DB Server Oracle esperando solicitudes en puerto 1521
10.2.2.203 : 1521 Socket
Puerto origen
3456
Puerto destino
1521
Mensaje:Buscar
Petición
IP Origen
10.1.1.4
IP destino
10.2.2.203
Seq
345
Datagrama
Paquete
Puerto origen
3456
Puerto destino
1521
Mensaje:BuscarPetición
IP Origen
10.1.1.4
IP destino
10.2.2.203
Seq
345
Puerto origen
3456
Puerto destino
1521
Mensaje:Buscar
Petición
Seq
345
10.1.1.4 : 3456
¿Qué es TCP/IP?. Ejemplo
Qdoc
Red de Datos
Introducción
TCP
IP
Puerto origen
1521
Puerto destino
3456
Mensaje:Petición
#
Seq
564
DB Server Oracle responde a solicitud “Buscar Petición”
10.2.2.203 : 1521
Puerto origen
1521
Puerto destino
3456
Mensaje:Petición
#
IP Origen
10.2.2.203
IP destino
10.1.1.4
Seq
564
Datagrama
Paquete
Puerto origen
1521
Puerto destino
3456
Mensaje: Petición
#
IP Origen
10.2.2.203
IP destino
10.1.1.4
Seq
564
Puerto origen
1521
Puerto destino
3456
Mensaje:Petición
#
Seq
564
10.1.1.4 : 3456
¿Qué es TCP/IP?. Ejemplo
Qdoc
Red de Datos
•Para todo proyecto Intranet y Extranet, se deben usar direcciones del RFC1918
Grupo de Direcciones IP
Introducción
10
Equipos de red típicamente usados
Introducción
HUB
•comunica todos con todos
Switch
•comunica a quienes corresponde
Router
•interconecta grupos diferentes, redes diferentes
Red 10.1.1.0Mascara 255.255.255.0
RIS
Host 1
Host 4Host 3
Host 2
Red 10.2.2.0Mascara 255.255.255.0
IMPAX
Host 200
Host 203Host 202
Host 201
Switch Router Switch
Hospital Services
Resumen de dispositivos de Red
Introducción
PACS
•Tecnologías Inalámbricas
•WIFI
•Enlaces satelitales
IntroducciónLa transmisión IP puede ocupar diferentes medios físicos
•Par trenzado (100 metros, diferentes categorías)
•Ethernet
•Fast Ethernet
•Gigabit Ethernet
•DSL (varios Km)
•ADSL
•XDSL
•ADSL2
IntroducciónLa transmisión IP puede ocupar diferentes medios físicos
•Fibra Óptica
•Monomodo (> 10 Km.)
•Multimodo (< 2 Km)
IntroducciónLa transmisión IP puede ocupar diferentes medios físicos
Aplicación
Transporte
Red
Enlace
Física
RIS / PACS
TCP, UDP
IP, ICMP, ARP,OSPF,RIP
Ethernet, IEEE802.11g, ADSL
Modelo OSI Ejemplo
IntroducciónModelo de Referencia y arquitectura de capas
11
Diseño de Redes¿Qué queremos traficar por la red?
RIS
PACS
Diseño de RedesEs un sistema integrado
RIS
PACSHospital Services
Diseño de Redes
•Separar servicios sin desasociarlos - Segmentar
•Deben definirse los anchos de banda necesarios
•Proyectar el crecimiento del proyecto
RIS
PACS
Hospital Services
Aspectos a considerar
Diseño de Redes
•Vlans
•Ris
•Impax
•Hospital
•Trunking
•Transporte
•Routing
•Interacción
RIS
PACS
Hospital Services
1.- Segmentación
Diseño de Redes
•Velocidad
•10 Mbit/s
•100 Mbit/s
•1000 Mbit/s
•Flujo
•Half Duplex
•Full Duplex
•Medio
•Fibra
•Cobre
RIS
PACS
Hospital Services
2.- Anchos de Banda
Diseño de Redes
Evaluar los dos conceptos anteriores en función de la proyección del crecimiento futuro del proyecto
Es el mejor momento para introducir modificaciones que permitan escalabilidad futura
RIS
PACS
Hospital Services
3.- Proyección
12
Diseño de Redes
•Si bien el tráfico de red dependerá de la cantidad de entes presentes en el proyecto, un site principal no deberá usar un ancho de banda menor a 100Mbit/s
•El flujo será ambivalente (Full Duplex)
•El medio utilzazo dependerá de la infraestructura actual del sitio
•La segmentación debe considerar una red para RIS y otra para PACS, las cuales serán disímiles a la red del Hospital
Bottom Line!!!
Ejemplo DiseñoRed original Hospital Base
10 B
aseF
C 10 B
aseF
C
Ejemplo de DiseñoRed definitiva Hospital Base
Vlan Anchos de Banda
Diseño de Redes
•Separar servicios sin desasociarlos – Segmentar
•Vlan, routing, trunking
•Deben definirse los anchos de banda necesarios
•10-100-1000 Mbit/s, duplex
•Proyectar el crecimiento del proyecto
RIS
PACS
Hospital Services
Recordemos
Diseño de Redes¿Que pasa si hay algún sitio remoto?
RIS
PACS
Hospital Services
Remote Site
Diseño de Redes1.- ¿Que servicios y equipos se tendrán en el sitio remoto?
13
Diseño de Redes2.- ¿Cuáles de estos servicios se comunicarán con el site principal?
RIS
PACS
Hospital Services
Worklist Modalidades
Despliegue (web, Dicom)
Peticiones
Envío de Imágenes
Remote Site
Diseño de Redes3.- ¿Cuál será el trafico de datos generado desde y hacia el sitio remoto?
•Datos por unidad de tiempo, Gb/dia.
•Desde el sitio remoto
•Hacia el sitio remoto
•Tipos de datos transmitidos
•¿Segmentación?
Enlaces
¿Qué enlace ocupar?
¿Qué tasa de transmisión?
¿ENLACE?
Diseño de Redes Diseño de Redes
Enlaces
•Internet
•Tráfico libre por Internet
•Tráfico vía canal seguro
•Enlaces dedicados
•Fibra Dedicada
•Medios compartido
•Etc…
Diseño de RedesEnlaces por Internet sin VPN – Canal no Seguro
RIS
PACS
Hospital Services
Site Remoto
Internet
Diseño de RedesEnlaces por Internet mediante VPN – Canal Seguro
RIS
PACS
Hospital Services
Site Remoto
Internet
14
Diseño de RedesEnlaces dedicados
RIS
PACS
Hospital Services
Site Remoto
Diseño de Redes
Tasas de transmisión
•Cantidad de datos transmitidos por unidad de tiempo
•Los datos se cuantizan utilizando la unidad BIT
•Se usa el segundo [s] como unidad de tiempo
•Siempre se define una tasa de envío y otra de recepción
•Se utiliza la terminología “Ancho de Banda” de subida o de bajada.
Segundo
Bits=Tasa
Uplink
Downlink
tricoEnlaceSiméDownlink=Uplink
étricoEnlaceAsimDownlinkUplink
⇒
⇒≠
Pregunta: Para enviar imagenes a un Site Central.¿Que requerimos?
( )( ) UplinkDownlinkb
DownlinkUplinka
≥≥
Respuesta: (a)
Diseño de Redes
Anchos de Banda
En general, en los enlaces asimétricos, la tasa de transmisión que usa el proveedor para ofrecer su producto es la de downlink.
Debemos preguntar por ambas tasas
Diseño de Redes
Anchos de Banda
¿Cómo calculo los anchos de banda necesarios?
Diseño de Redes
tdemora=Pesoimagen
Velocidadenlaceuplink
Diseño de Redes
Tamaños y peso estándar para imágenes DICOM
15
Para un estudio de CT de 75 Mb sobre enlace de 64 kbps
( ) ( )minutoshoras=seg=
seg
kbits
kbits=
seg
kbits
kbits=t demora 4029600
64
614400
64
8102475
∗∗
Bytes KB MB GB TB
1024÷x 1024÷x1024÷x1024÷x
1024∗x1024∗x1024∗x 1024∗x
Diseño de Redes
Caso de estudio
Para enlace de 512 kbps
Para enlace de 1Mbps
( ) ( )minutos=seg=
segkbits
kbits=
seg.kbits
kbits=t demora 201200
512
614400
512
8102475
∗∗
minutosseg===t demora 116141000
614400
1000
8102475 ≈∗∗
Diseño de Redes
Caso de estudio
Diseño de RedesEnlaces dedicados – Ejemplo vía Internet sin canal seguro
RIS
PACS
Hospital Services
Internet
Diseño de RedesEnlaces dedicados
RIS
IMPAX
Hospital Services
Site 1
Enlace Dedicado
Site 2
Seguridad de Redes
Amenazas Externas Amenazas Internas
Amenazas no estructuradas
Gusanos, Virus, Troyanos, Adware
Amenazas Estructuradas
Hacker, Crackers
Tipos de incidentes de seguridad
Seguridad de Redes
INTERNETIntranet
IDS
Firewall
INSIDE OUTSIDE
RIS ServerAmenaza Interna Amenaza
Externa
!
!
Firewalls e IDS permiten detectar y bloquear incidentes de seguridad
16
Seguridad de Redes
•Velocidad de creación de un virus es menor a la creación del parche respectivo.
•Los antivirus, como cualquier otro programa, ocupan recursos de las computadoras (CPU, Memoria, etc.)
•De todas formas hay que instalarlos siempre, ya que agregan un nivel más de seguridad a nuestra red!
Los antivirus son cada vez menos efectivos... pero necesarios.
Seguridad de Redes
•Microsoft Windows crea parches a su sistema cuando se ha detectado un vulnerabilidad que compromete la seguridad (Security Fixes)
•En las estaciones de diangóstico, deben ser “bajadas” e instaladas siempre.
•En servidores Ris - PACS sólo deben ser aplicados los parches autorizados.
Parchar los PC corrientes con Windows Update....con cuidado!
Seguridad de Redes
NO
user: administrator
Pass:
User: admin
Pass:admin
User: carola
Pass: carola
User:web1000
Pass:web1000
SI
User: administrator
Pass: p3p1t04ckk
Las claves de acceso a los sistemas deben ser largas con letras y números
Seguridad de Redes
•No tener acceso a Internet desde equipos de la plataforma.
•No ejecutar programas que no estén autorizados (Posibilidad de Troyanos)
•Prohibir el acceso a servidores de correo. (Posibilidad de Virus)
•Prohibir que médicos conecten sus Notebooks a la red RIS o Impax.
•Los Pendrives son actualmente los Diskettes en cuanto a propagación de virus.
•No usar los servidores (Ej. RIS) para ejecutar aplicaciones Internet como Messenger
•Si no educamos a nuestros usuarios, NINGÚN método es efectivo
80 % de los casos corresponden a incidentes de seguridad internos
Seguridad de Redes
•La seguridad de la Red es responsabilidad del cliente.
•Es nuestra responsabilidad el forzar al sitio a tener personal dedicado a esta labor.
Debe haber un claro responsable por parte del sitio encargado de la seguridad
Acceso Remoto
•Acceso Remoto es la tecnología que permite entrar a las máquinas del Sistema RIS/PACS desde cualquier lugar que me encuentre
Ris/PACS
Internet
PSTN
¿Qué es Acceso Remoto?
17
Acceso Remoto
•Tiempos de Respuesta más breves.
•Permite efectuar un diagnóstico rápido de la situación.
•En muchos casos, evita tener que ir al sitio.
Implementar el Acceso Remoto aumenta la productividad
Acceso Remoto
•La manera más económica es implementar una VPN (Virtual Private Network).
•Una VPN crea un canal privado de comunicación por medio de la encriptación de la información.
Internet
VPN
Concentrador
VPN
Ris/PACS
Acceso Remoto
•Permite una segunda vía de acceso en caso de que el acceso Internet falle.
•Su desventaja es que la conexión es lenta (máx. 56kbps)
PSTNMódem Módem
Ris/PACS
Acceso Remoto
•SRSS
Secure Remote Service System
Acceso Remoto
•LogMeIn
•www.logmein.com
•Teamviewer
•www.teamviewer.com
•VNC u otro software via port forwarding (Acceso directo desde Internet)
•www.realvnc.com
•www.symantec.com
•Alternativas completamente inseguras
•No cumplen las características requeridas
Si los procesos humanos no están sólidamente definidos… ningún sistema podrá resolver sus problemas….
18
Muchas Gracias.