IBM Cloud Docs
IBM Cloud 的医疗保健用例

IBM Cloud 的医疗保健用例

这些用例着重说明了 Red Hat® OpenShift® on IBM Cloud® 上的工作负载如何受益于公共云。 它们在隔离的裸机上采用安全计算,可轻松启动集群以实现更快开发,从虚拟机进行迁移,以及共享云数据库中的数据。

医疗保健提供者将工作负载从效率低下的 VM 迁移到操作友好型容器,以用于报告和患者系统

医疗保健提供者的 IT 主管拥有内部部署的业务报告和患者系统。 这些系统的功能增强周期长,因而导致患者服务水平停滞不前。

为了改善对患者的服务,医疗服务提供商希望通过“Red Hat OpenShift on IBM Cloud和”IBM Cloud® Continuous Delivery来减少 IT 费用,加快开发速度,而这一切都在一个安全的平台上进行。 提供者的 SaaS 系统用于支持患者记录系统和业务报告应用程序,使用频率高,需要频繁更新。 然而,提供者的开发者却因独自管理硬件、网络甚至是 Kubernetes 堆栈而焦头烂额。 提供者还希望能应对不断上升的员工成本,并降低预算。

首先,他们对自己的 SaaS 系统容器化,然后将其放入云中。 从第一步开始,他们从专用数据中心内构建过度的硬件转向可定制计算,从而减少了 IT 运营、维护和能源成本。 为了托管 SaaS 应用程序,他们轻松地将 Kubernetes 集群设计为适应自己的 CPU、RAM 和存储器需求。 他们使用 IBM Cloud Pak for Data 在其内部部署环境中提供熟悉的分析工具。 降低员工成本的另一个因素是由 IBM 来管理 Kubernetes,这样提供者就可以集中精力交付更好的客户服务。

加快开发速度是 IT 主管的制胜关键所在。 通过移至公共云,开发者可以使用 Node.js SDK 轻松进行试验,将更改推送到开发和测试系统,使系统在不同集群上横向扩展。 这些推送通过开放式工具链和 IBM Cloud® Continuous Delivery 自动执行。 对 SaaS 系统的更新不用再受困于速度慢、易出错的构建过程。 开发者可以每天甚至更频繁地向其用户交付增量更新。 此外,SaaS 系统的日志记录和监视功能(尤其是患者前端和后端报告交互方式)可快速集成到系统中。 开发者不必浪费时间构建复杂的日志记录系统,只需要有能力对实时系统进行故障诊断即可。

安全第一:通过 Red Hat OpenShift on IBM Cloud 的裸机,敏感患者工作负载现在可采用熟悉的隔离方法,但仍不脱离公共云的灵活性范围内。 通过该核心,Vulnerability Advisor 会提供以下扫描:

  • 映像漏洞扫描
  • 基于 ISO 27000 的政策扫描

患者数据安全会使患者体验更愉快。

上下文

  • 技术债务和发布周期长这两个因素,阻碍了提供者的业务关键型患者管理和报告系统改进。
  • 提供者的后台和前台定制应用程序以单体虚拟机映像形式在内部部署中交付。
  • 他们需要对其过程、方法和工具进行彻底大修,但却不知道该从何着手。
  • 由于无力发布高质量软件来满足市场需求,公司的技术债务非但没有缩减,反而不断增长。
  • 安全性成为首要关注的问题,但是此问题加重了交付负担,甚至导致了更多延迟问题。
  • 资本开支预算受到严格控制,但 IT 人员认为他们没有预算也没有人手,无法利用其内部系统来创建所需的测试和编译打包环境。

解决方案

计算、存储和 I/O 服务在公共云中运行,并可安全访问企业内部资产。 实施 CI/CD 过程以及 IBM Garage Method 的其他部件可大幅缩短交付周期。

步骤 1:确保计算平台安全

  • Vulnerability Advisor从这一核心提供图像、策略、容器和包装扫描漏洞扫描。
  • 通过简单的 Ingress 注释,以一致的方式对服务和 API 强制实施策略驱动的认证。 通过使用 App ID 和声明式安全性,可以确保用户认证和令牌验证。

步骤 2:提升和移位

  • 将虚拟机映像迁移到在公共云的 Red Hat OpenShift on IBM Cloud 中运行的容器映像。
  • 部署 IBM Cloud Pak for Data,以便开发者在云中使用自己熟悉的分析工具。
  • 通过 Kubernetes 提供标准化的 DevOps 仪表板和实践。
  • 为不经常运行的批处理和其他后台工作负载扩展计算资源。
  • 使用 IBM® Secure Gateway for IBM Cloud® 来维护与内部部署 DBMS 的安全连接。
  • 专用数据中心/内部部署资本成本大幅减少,取而代之的是基于工作负载需求进行缩放的实用工具计算模型。

步骤 3:微服务和车库方法

  • 将应用程序重新配置为一组合作的微服务。 该组协作微服务基于应用程序具有最多质量问题的功能性区域在 Red Hat OpenShift on IBM Cloud 中运行。
  • 将 IBM Cloudant 与客户提供的密钥配合使用,以在云中高速缓存数据。
  • 采用持续集成和交付 (CI/CD) 实践,以便开发者根据需要按自己的时间表对微服务进行版本和发布。IBM Cloud® Continuous Delivery 提供 CI/CD 流程的工作流程工具链以及容器映像的映像创建和漏洞扫描。
  • 采用 IBM Garage Method 中敏捷的迭代开发实践,以支持在不停机的情况下频繁发布新的功能、补丁和修订。

技术解决方案

  • Red Hat OpenShift on IBM Cloud
  • IBM Cloud Pak for Data
  • IBM Cloudant
  • IBM® Secure Gateway for IBM Cloud®
  • App ID

对于敏感工作负载,可将集群托管在Red Hat OpenShift on IBM Cloud的裸金属中。 通过使用行业标准的容器技术,应用程序最初可以快速重新托管到Red Hat OpenShift on IBM Cloud上,而无需进行重大的架构更改。 此更改即时提供了可扩展性的优点。

他们可以使用定义的规则和自动化的 Kubernetes 编排器来复制和扩展应用程序。Red Hat OpenShift on IBM Cloud 提供可扩展的计算资源和关联的 DevOps 仪表板,用于创建,缩放和删除应用程序和服务。 通过使用 Kubernetes 的部署和运行时对象,提供者可以可靠地监视和管理应用程序升级。

IBM® Secure Gateway for IBM Cloud®用于为重新托管到 "Red Hat OpenShift on IBM Cloud中运行的应用程序创建通向内部数据库和文档的安全管道。

IBM Cloudant 是一种现代 NoSQL 数据库,适用于一系列数据驱动的用例,从键/值到复杂的面向文档的数据存储和查询。 为了最大限度地减少对后台 RDBMS 的查询,IBM Cloudant 用于对应用程序中用户的会话数据进行高速缓存。 这些选项改进了 Red Hat OpenShift on IBM Cloud 上各应用程序中的前端应用程序易用性和性能。

仅仅将计算工作负载移至 IBM Cloud 是不够的。 提供商也需要进行方法转型。 通过采用 IBM Garage Method 的实践,提供者可以实施敏捷的迭代交付过程,支持 CI/CD 等现代 DevOps 实践。

CI/CD 过程本身的大部分内容通过云中的 IBM Continuous Delivery 服务自动执行。 提供者可以定义工作流程工具链,以准备容器映像,检查是否有漏洞,然后将其部署到 Kubernetes 集群。

结果

  • 通过将现有单体 VM 提升到云托管的容器,迈出了支持提供者节省资本成本和开始学习现代 DevOps 实践的第一步。
  • 通过部署的 Cloud Pak,提供者将其数据分析工具的完整堆栈支持卸载到 IBM,甚至包括这些工具的生命周期管理。 随后,其开发者不用再承担操作任务,而可以专注于新功能和更新。
  • 将关键的单体应用程序重新配置为一组细粒度的微服务,大大缩短了补丁、错误修复和新功能的交付时间。
  • 同时,提供者实施了简单的限定时间迭代,以弄明白现有技术债务。

随着越来越多地与合作伙伴一起进行研究,非盈利研究机构需要安全地托管敏感数据

非盈利性疾病研究机构的开发主管手下有学术和行业研究人员,但他们无法轻松分享研究数据。 他们的工作因区域合规性和集中式数据库的影响,而在全球范围内各自为政。

Red Hat OpenShift on IBM Cloud提供安全计算,可在开放平台上托管敏感数据和数据处理。 该全球平台在就近区域中进行托管。 因此,它与当地法规密切相关,可帮助树立患者和研究人员的信心,让他们相信自己的数据在本地受到保护,并且对改进医疗成效能起到重要作用。

上下文

为非营利研究机构安全托管和共享疾病数据

  • 来自各种机构的不同研究者群体没有统一的方法来共享数据,因而减缓了协作速度。
  • 安全问题加重了协作负担,甚至导致共享研究减少。
  • 开发者和研究人员遍布全球,分别属于不同的组织,这使得 PaaS 和 SaaS 成为每个用户组的最佳选择。
  • 健康法规中的区域差异要求某些数据和数据处理工作始终保留在该区域内。

解决方案

为非营利研究机构安全托管和共享疾病数据。

该非盈利性研究机构希望聚集全球的癌症研究数据。 因此,他们成立了一个部门,专门为研究人员提供解决方案。

  • 数据获取 - 此应用程序用于获取研究数据。 目前研究人员是使用电子表格、文档、商业产品以及专有或内部数据库来记录研究成果。 这种情况不太可能随着该非盈利性机构尝试集中化数据分析而改变。
  • 匿名化 - 此应用程序用于对数据匿名化。 必须除去 SPI 才符合区域健康法规的要求。
  • 分析 - 此应用程序用于分析数据。 基本模式是以常规格式存储数据,然后使用 AI 和机器学习 (ML) 技术、简单回归等来查询和处理数据。

研究人员需要与区域集群建立联系,并使用应用程序对数据进行摄取、转换和匿名处理。

  1. 在区域集群之间同步匿名化数据,或将其发送到集中式数据存储
  2. 通过在提供 GPU 的裸机工作程序节点上使用 ML(如 PyTorch)来处理数据
摄入 (ingest)

IBM Cloudant 在每个存储研究人员丰富数据文档的区域集群中使用,并可根据需要进行查询和处理。IBM Cloudant 对静态和传输中的数据进行加密,这符合区域数据隐私法。

IBM Cloud® Functions 用于创建用于采集研究数据并将其作为结构化数据文档存储在 IBM Cloudant中的处理函数。IBM® Secure Gateway for IBM Cloud® 为 IBM Cloud® Functions 提供了一种以安全的方式访问本地数据的简单方法。

区域集群中的 Web 应用程序是在 nodeJS 中开发的,用于手动输入结果、模式定义和研究组织从属关系的数据。 IBM Key Protect 用于帮助保护对 IBM Cloudant 数据的访问,IBM Vulnerability Advisor 用于扫描应用程序容器和映像以查找安全漏洞。

匿名化

每当IBM Cloudant中存储了新的数据文档,就会触发一个事件,云函数就会对数据进行匿名处理,并删除数据文档中的 SPI。 这些匿名化数据文档与所获取的“原始”数据分开存储,并且这些文档是在各区域之间共享以供分析的唯一文档。

分析

机器学习框架是高度计算密集型的,因此非营利组织建立了一个由裸机工作节点组成的全球处理集群。 与此全局处理集群相关联的是存储匿名化数据的聚集的 IBM Cloudant 数据库。 定时作业会定期触发 Cloud Function,以将匿名化数据文档从区域中心推送到全局处理集群的 IBM Cloudant 实例。

计算集群运行的是 PyTorch ML 框架,而机器学习应用程序是使用 Python 编写的,用于分析聚集的数据。 除了 ML 应用程序外,集体中的研究人员还可开发自己的应用程序,这些应用程序可在全局集群上发布并运行。

该非盈利机构还提供了在全局集群的非裸机节点上运行的应用程序。 这些应用程序可查看并抽取聚集的数据和 ML 应用程序输出。 这些应用程序可通过公共端点进行访问,公共端点由面向全球的 API 网关进行保护。 随后,各地的研究人员和数据分析人员可以下载数据集并执行自己的分析。

开发者首先通过 Red Hat OpenShift on IBM Cloud 在容器中部署自己的研究共享 SaaS 应用程序。 接着,他们为开发环境创建了集群,以支持全球范围的开发者快速以协作方式部署应用程序改进。

安全第一:开发主管选择了裸机来托管研究集群。 通过 Red Hat OpenShift on IBM Cloud 的裸机,敏感研究工作负载现在可采用熟悉的隔离方法,但仍不脱离公共云的灵活性范围内。 由于此非盈利机构还与制药公司建立了合作伙伴关系,因此应用程序安全性至关重要。 市场竞争十分激烈,还可能有企业间谍活动。 Vulnerability Advisor可从该安全核心进行扫描。

  • 映像漏洞扫描
  • 基于 ISO 27000 的政策扫描

通过受保护的研究应用程序,提高了临床试验的参与度。

为了实现全球可用性,在全球多个数据中心部署了开发、测试和生产系统。 为了实现 HA,他们使用了多个地理区域的多个集群的组合以及多专区集群。 他们可以轻松地将研究应用程序部署到法兰克福集群,以遵守当地的欧洲法规。 他们还在美国集群中部署了应用程序,以确保本地可用性和恢复能力。 他们还将研究工作负载分布在法兰克福的各个多专区集群中,以确保欧洲应用程序可用,并同时对工作负载进行高效均衡。 由于研究人员将使用研究共享应用程序来上传敏感数据,因此应用程序的集群在法规限制更严格的区域中进行托管。

开发者使用现有工具专注于解决领域问题:开发者不用再编写独特的 ML 代码,他们可改为通过将 IBM Cloud 服务绑定到集群,从而使 ML 逻辑融入到应用程序中。 此外,由于 IBM 负责照管 Kubernetes 和基础架构的升级、安全性等,因此开发者得以从基础架构管理任务中解放出来。

计算、存储和应用程序在公共云中运行,可根据需要在全球范围内安全访问研究数据。 集群中的计算是防篡改的,并与裸机相隔离。

技术解决方案:

  • Red Hat OpenShift on IBM Cloud
  • IBM Cloud® Functions
  • IBM Cloudant
  • IBM® Secure Gateway for IBM Cloud®

步骤 1:使用微服务将应用程序容器化

  • 创建 Node.js 应用程序或部署示例。
  • 基于应用程序的功能性区域及其依赖关系,将应用程序构造成 Red Hat OpenShift on IBM Cloud 中的一组协作微服务。
  • 将研究应用程序部署到 Red Hat OpenShift on IBM Cloud 中的容器。
  • 通过 Kubernetes 提供标准化的 DevOps 仪表板。
  • 为不经常运行的批处理和其他研究工作负载提供可扩展的计算资源。
  • 使用 IBM® Secure Gateway for IBM Cloud® 来维护与现有内部部署数据库的安全连接。

步骤 2:使用安全和性能驱动型计算

  • 需要更高性能计算的 ML 应用程序在裸机上的 Red Hat OpenShift on IBM Cloud 中进行托管。 此 ML 集群是集中式集群,因此每个区域集群都没有裸机工作程序的费用;而且 Kubernetes 部署也更轻松。
  • Vulnerability Advisor提供图像、策略、容器和包装扫描漏洞扫描功能。

步骤 3:确保全球可用性

  • 开发者在其开发和测试集群中构建并测试应用程序后,可使用 IBM CI/CD 工具链将应用程序部署到全球范围的集群中。
  • Red Hat OpenShift on IBM Cloud 中的内置 HA 工具对每个地理区域内的工作负载进行均衡,包括自我复原和负载均衡。
  • 通过工具链和 Helm 部署工具,应用程序还可部署到全球范围的集群,使工作负载和数据满足区域法规要求。

步骤 4: 数据共享

  • IBM Cloudant 是一种现代 NoSQL 数据库,适用于一系列数据驱动的用例,从键/值到复杂的面向文档的数据存储和查询。
  • 为了最大限度地减少对区域数据库的查询,IBM Cloudant 用于对应用程序中用户的会话数据进行高速缓存。
  • 此选择改进了 Red Hat OpenShift on IBM Cloud 上各应用程序中的前端应用程序易用性和性能。
  • Red Hat OpenShift on IBM Cloud 中的工作程序应用程序分析内部部署数据,并将结果存储在 IBM Cloudant 中时,IBM Cloud® Functions 会对更改做出反应,并自动对传入数据订阅源上的数据进行清理。
  • 与此类似,可以通过数据上传来触发一个区域中的研究突破通知,以便所有研究人员都可以利用新数据。

结果

  • 微服务大大缩短了补丁、错误修订和新功能的交付时间。 初始开发速度很快,并且更新频繁。
  • 研究人员在遵守当地法规的情况下,有权访问临床数据并可共享临床数据。
  • 参与疾病研究的患者相信,自己的数据与大型研究团队共享时是安全的,能起到重要作用。