在 Oracle Cloud Infrastructure 上導入雲端原生 DICOM 商店
在現代醫學中,有效管理和交換醫療影像和中繼資料對病患照護至關重要。
醫學數位影像與通訊 (DICOM) 是儲存、傳輸及處理醫療影像資料的全球標準。DICOM 商店是集中式數位儲存庫,可儲存醫療影像,例如 X 光、CT 掃描、磁振造影和超聲波影像,以及相關的中繼資料,例如病患 ID、影像模態和掃描日期。
雲端 DICOM 商店是現代化的解決方案,用於在符合 DICOM 標準的雲端中儲存和管理醫療影像資料。它可讓健康照護組織使用可擴展、安全且高可用性的雲端基礎架構,上傳、封存、存取及共用 DICOM 映像檔和描述資料。
與傳統的內部部署系統不同,雲端型 DICOM 商店提供更大的彈性、遠端存取、更輕鬆地與 AI 和分析工具整合,以及減少基礎架構管理。這些解決方案結合了 DICOMweb API,能夠透過 Web 和行動應用程式順暢地與影像資料互動,並支援現代醫療保健需求,例如遠程醫療、多站點協同合作和長期影像保留。
DICOM 商店的核心功能就像是專門的醫療影像資料庫。它可讓醫療照護系統、無線電記錄器和醫療軟體:
- 以標準化格式儲存影像資料
- 擷取影像以供檢視與分析
- 在系統、設施或臨床醫師之間共用資料
- 與 PACS (圖片歸檔與通訊系統) 及電子健康記錄 (EHR) 整合
傳統上,DICOM 存放區會部署在內部,因而造成多個挑戰:
高基礎架構成本
- 醫療影像很大,尤其是 CT 和 MRI 影像,且隨著時間的推移,數量會快速成長。
- 對伺服器、儲存陣列、散熱冷卻系統和實體安全進行基礎架構投資是一項持續的費用。
- 調整需要執行昂貴且緩慢的實體升級。
維護與支持
- 專屬 IT 人員需要管理硬體、軟體更新、備份和合規要求。
- 硬體故障所導致的停機風險,特別是在災難復原計畫不穩的情況下。
安全性與規範風險
- 若未正確維護,內部部署系統便容易遭受勒索軟體攻擊和未授權的存取。
- 必須遵循 HIPAA、GDPR 和其他法規,才能提供強大的存取控制、稽核及加密功能。
互通性與共用限制
- 與其他醫院、專家或系統共用 DICOM 影像較難,因為內部部署的儲存體較為孤立。
- 需要自訂 VPN 或安全傳輸設定,這些設定速度很慢,而且容易發生相容性問題。
對 AI 和雲端工作流程的有限支援
- 現代 AI 工具和雲端診斷服務通常需要與雲端 DICOM 存放區或 API 整合。
- 內部部署系統可能會封鎖或減緩創新,因為創新缺乏雲端原生相容性。
架構
此架構在 Oracle Cloud Infrastructure 上實作 DICOM 存放區。
下圖說明此參照架構。
此架構具有下列元件:
- Oracle Cloud Infrastructure
Oracle Cloud Infrastructure (OCI) 是 Oracle 的雲端運算平台,提供全面的服務套件來建置、部署及管理雲端應用程式。OCI 專為企業效能和安全性而設計,提供基礎架構即服務 (IaaS)、平台即服務 (PaaS),以及其他雲端服務,例如 AI、機器學習、網路、儲存和資料庫解決方案。
OCI 提供高效能、可擴展性和成本效益,支援從傳統企業應用程式到雲端原生服務的各種工作負載。對於尋求強大雲端功能並支援混合雲和多雲架構的企業來說,這是理想的選擇。
- 雲端資料科學平台
Oracle Cloud Infrastructure Data Science 是一個完全託管的平台,可讓資料科學家大規模建置、訓練、部署和管理機器學習模型。它為整個資料科學生命週期提供整合式工具,包括筆記型電腦、自動化模型訓練、模型評估及部署,以提供協同合作的安全環境。
Data Science 支援常見的開放原始碼架構,例如 TensorFlow、scikit-learn、PyTorch 和 XGBoost,並提供與其他 OCI 服務 (例如物件儲存、資料流程和 AI 服務) 的緊密整合。資料科學以廣泛的 CPU 和 GPU 資源配置為後盾,可協助組織加速 AI 開發、簡化跨團隊的協同合作,以及在雲端有效率地將機器學習模型作業。
- AI 模型訓練和推論
AI 訓練和推論是人工智慧模型生命週期中的兩個核心階段:
- 訓練是模型透過調整內部參數來辨識模式、進行預測或執行特定任務,從大型資料集學習的過程。此階段的運算密集型,需要強大的硬體 (例如 GPU 或 TPU),以及高傳輸量儲存與網路。
- 推論是訓練模型根據全新未見資料進行預測或決策的階段。推論通常需要快速且可擴展,尤其是在醫療影像、詐騙偵測或虛擬助理等即時應用程式中。
OCI Generative AI 基礎架構被全球頂尖的 AI 公司 (例如 OpenAI 和 xAI) 選為頂尖的 AI 模型訓練和推論平台,提供獨特的效能、擴展性及成本效益組合。
- 安全性和合規性
OCI 提供一組全方位的安全性與規範功能,旨在保護整個雲端環境的資料、應用程式及工作負載。OCI 為每一層提供內建安全性,包括網路安全性、身分識別與存取管理 (IAM)、資料加密、威脅偵測及監控。
主要功能包括隔離的網路虛擬化、由客戶控制的加密金鑰、安全區域,以及用於持續監控和自動威脅回應的 Oracle Cloud Guard 。OCI 也支援符合 ISO、SOC、HIPAA、GDPR 和 FedRAMP 等主要產業和法規標準的規範,協助組織符合嚴格的資料保護和治理要求。
這些功能讓 OCI 成為值得信賴的平台,以安全且符合全球標準的方式執行關鍵任務工作負載。
- 正體中文
Orthanc 是一種開放原始碼的輕量型 DICOM 伺服器,專為管理、儲存及共用醫療影像資料而設計。它被廣泛用於醫院和研究實驗室,由開發人員在不依賴繁重商業 PACS (Picture Archiving and Communication Systems) 的情況下建立影像工作流程。
Orthanc 與 OCI Object Storage 和 OCI Database 與 PostgreSQL 緊密整合,提供 DICOMweb API 端點,讓使用者使用 RESTful API 儲存、擷取及查詢 DICOM 映像檔。
在此參考架構中,Orthanc 部署在 OCI 容器執行個體或 OCI 容器執行個體 (OKE) 上,消除醫療照護客戶的基礎架構管理開銷。
- OCI Object Storage
實際 DICOM 映像檔會儲存在 OCI Object Storage 儲存桶中。
OCI Object Storage 為任何類型的資料 (結構化或非結構化) 提供高持久性、無限擴展且安全的儲存。無論您是封存醫療影像、提供媒體檔案服務或備份企業工作負載, OCI Object Storage 都能提供低延遲存取、內建備援和分層定價,以最佳化成本和效能。它是專為現代雲端應用程式所設計,可與 AI、分析和 DevOps 工具原生整合,並提供無縫的資料生命週期管理,完全無需前期硬體投資。
- OCI Database with PostgreSQL
在此參考架構中,Orthanc 已與 OCI Database 與 PostgreSQL 整合,以管理與編製與 DICOM 檔案相關聯之非影像中繼資料的索引。雖然 Orthanc 可以在沒有外部資料庫的情況下執行 (使用其內建的 SQLite 引擎),但建議與受管理且功能更強大的資料庫 (例如 OCI Database 與 PostgreSQL) 整合,以實現擴展性和效能。
- OCI Kubernetes 引擎
Oracle Cloud Infrastructure Kubernetes Engine ( OCI Kubernetes Engine 或 OKE) 是完全託管的企業級 Kubernetes 服務,可簡化 Oracle Cloud 上的容器協調流程。您可以使用 OKE 自動化佈建、調整規模及更新,讓您以更少的開銷來部署、執行及管理雲端原生應用程式。
在 OKE 上執行 AI 工作負載,讓您擁有兩大優勢:容器和 Kubernetes 的靈活性,以及 OCI 高效能基礎架構的強大功能。無論您是在 GPU 節點上訓練模型,還是大規模部署推論, OKE 都能讓您使用最愛的工具 (例如 TensorFlow、PyTorch 或 Hugging Face) 輕鬆管理 AI 管線。
藉助自動化擴展、GPU 支援、整合記錄和符合成本效益的定價, OKE 讓您在安全的企業級環境中,輕鬆在生產環境中建置、執行和擴展 AI 工作負載。
- OCI FastConnect
OCI FastConnect 在客戶的內部部署設施 (例如醫院) 和 Oracle Cloud 之間提供專屬的專用網路連線,為企業工作負載提供高輸送量、低延遲和可預測的效能。它會完全略過公用網際網路,改善混合式和多雲端架構的安全性和可靠性。
但 OCI FastConnect 的組合與成本模型不同:OCI 不收取超過 Oracle Cloud 的資料傳出費用,與其他通常會收取較陡輸出資料傳輸費用的雲端供應商不同。這可為資料繁重的工作負載 (例如醫療影像) 節省大量成本。
- OCI Roving Edge 裝置
OCI Roving Edge Devices (RED) 可協助促進 DICOM 資料傳輸,並提供必要的本機推論基礎架構。他們將 Oracle Cloud 的強大功能帶到邊緣:堅固、可攜式的高效能節點,讓您能夠在離線或遠端環境中執行應用程式、處理資料及部署 AI 模型。
RED 可實現低延遲邊緣運算,並與 OCI 服務完全相容。您可以預先載入 VM、容器和資料,然後在有連線可用時與雲端同步。
建議
- 虛擬雲端網路 (VCN)
建立 VCN 時,請根據計畫要連附至 VCN 中子網路的資源數目,決定所需的 CIDR 區塊數目以及每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與您要設定專用連線的任何其他網路 (在 Oracle Cloud Infrastructure 、內部部署資料中心或其他雲端提供者中) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至相同的子網路,以作為安全界限。
使用區域子網路。
- 雲端保全
複製並自訂 Oracle 提供的預設處方,以建立自訂偵測器和回應器處方。這些處方可讓您指定哪些類型的安全違規會產生警告,以及允許對它們執行哪些動作。例如,您可能想要偵測將可見性設為公開的 OCI Object Storage 儲存桶。
在租用戶層級套用 Oracle Cloud Guard ,以涵蓋範圍最廣,並降低維護多個組態的管理負擔。
您也可以使用「受管理清單」功能,將特定組態套用至偵測器。
- 安全區域
對於需要最高安全性的資源,Oracle 建議您使用安全區域。安全區域是與 Oracle 定義的安全原則處方關聯的區間,以最佳做法為基礎。例如,安全區域中的資源不能從公用網際網路存取,而且必須使用客戶管理的金鑰加密。當您在安全區域中建立及更新資源時,OCI 會根據處方中的原則驗證作業,並防止違反任何原則的作業。
- 網路安全群組 (NSG)
您可以使用 NSG 定義一組適用於特定 VNIC 的傳入和傳出規則。我們建議您使用 NSG 而非安全清單,因為 NSG 可讓您將 VCN 的子網路架構與應用程式的安全需求分開。