医疗信创环境下东方通TongWeb部署与优化实战

1. 医疗信创环境下的东方通TongWeb部署实战

作为一名长期深耕医疗信息化领域的运维工程师，最近在统信UOS操作系统上部署东方通TongWeb应用服务器的经历让我收获颇丰。医疗信创环境对系统的安全性和稳定性有着严苛要求，而TongWeb作为国产中间件的代表产品，其部署过程与常见的Tomcat、WebLogic等有着显著差异。本文将详细记录从环境准备到应用部署的全流程，重点分享在信创体系下容易踩坑的环节和解决方案。

2. 环境准备与前置条件

2.1 系统环境确认

统信UOS作为国产操作系统的代表，其文件路径结构和权限管理与CentOS等常见Linux发行版存在差异。在开始安装前，需要确认以下基础信息：

bash复制# 查看系统版本
cat /etc/os-release
# 检查内核版本
uname -a
# 确认磁盘空间（建议至少预留10GB）
df -h

特别需要注意的是，UOS默认使用普通用户操作，而TongWeb安装需要root权限。建议通过sudo -i切换到root账户进行操作，避免后续权限问题。

2.2 Java环境配置

TongWeb 8.0对JDK有特定要求，官方推荐使用JDK 1.8版本。在信创环境下，建议采用龙芯或飞腾架构对应的JDK：

bash复制# 查看现有Java版本
java -version
# 若未安装，使用apt安装（以龙芯版为例）
apt install openjdk-8-jdk-loongson64
# 配置环境变量
echo 'export JAVA_HOME=/usr/lib/jvm/java-8-openjdk-loongarch64' >> /etc/profile
echo 'export PATH=$JAVA_HOME/bin:$PATH' >> /etc/profile
source /etc/profile

注意：医疗系统通常要求使用特定安全版本的JDK，需与医院信息科确认合规版本。我曾遇到过因JDK版本不匹配导致TongWeb控制台无法加载CSS的问题。

2.3 安装包获取与校验

从东方通官网获取的安装包通常为TongWeb8.0.x.x.tar.gz格式，需特别注意：

1. 完整包应包含授权文件（license.dat）
2. 通过MD5校验确保包完整性：

   bash复制md5sum TongWeb8.0.9.07.tar.gz
   # 对比官网提供的校验值
   

3. 信创环境下可能需要额外下载ARM/龙芯架构的适配补丁

3. 详细安装流程解析

3.1 文件解压与目录结构

执行解压命令时，建议指定安装目录而非使用默认路径：

bash复制mkdir -p /opt/tongweb
tar -zxvf TongWeb8.0.9.07.tar.gz -C /opt/tongweb

解压后的典型目录结构为：

code复制/opt/tongweb
├── bin         # 启动脚本
├── lib         # 依赖库
├── logs        # 日志文件
├── conf        # 配置文件
├── webapps     # 应用部署目录
└── license.dat # 授权文件

关键点：医疗系统通常要求将应用和数据分离，建议将webapps目录通过软链接指向独立的数据盘，如：

bash复制mv /opt/tongweb/webapps /data/tongweb_apps
ln -s /data/tongweb_apps /opt/tongweb/webapps

3.2 防火墙与SELinux配置

医疗环境虽然需要关闭防火墙进行测试，但生产环境必须采用精确的端口放行策略：

bash复制# 临时关闭防火墙（测试用）
systemctl stop firewalld
# 生产环境建议放行端口
firewall-cmd --permanent --add-port=9060/tcp  # 控制台端口
firewall-cmd --permanent --add-port=8080/tcp  # 应用端口
firewall-cmd --reload

对于SELinux，统信UOS默认处于宽松模式，但为防万一可确认状态：

bash复制getenforce
# 若为Enforcing，建议设置为Permissive
setenforce 0

3.3 服务启动与初始化

TongWeb提供两种启动方式：

bash复制cd /opt/tongweb/bin
# 前台启动（调试用）
./startserver.sh
# 后台启动（生产用）
./startd.sh

启动后可通过日志监控初始化过程：

bash复制tail -f ../logs/server.log

常见启动问题排查：

1. 端口冲突：检查conf/server.xml中的Connector配置
2. 内存不足：修改bin/setenv.sh中的JVM参数
3. 授权失效：确认license.dat文件权限为644

4. 控制台配置与安全加固

4.1 首次登录与密码修改

访问https://服务器IP:9060/console后，使用默认凭证登录：

• 用户名：thanos
• 密码：thanos123.com

必须立即修改默认密码！ 医疗系统对此有严格要求：

1. 进入"系统管理 → 用户管理"
2. 选择thanos用户点击修改
3. 设置符合等保要求的复杂密码（建议12位以上，含大小写、数字、特殊字符）

4.2 访问控制策略配置

医疗信息系统必须配置IP白名单：

1. 进入"安全 → IP访问控制"
2. 添加允许访问的IP段（如医院内网段）
3. 启用访问日志记录

典型配置示例：

code复制允许IP：192.168.1.0/24
拒绝IP：*.*.*.*

4.3 HTTPS证书配置

医疗系统必须启用HTTPS加密：

1. 准备医院认可的SSL证书（.jks或.p12格式）
2. 修改conf/server.xml：

   xml复制<Connector port="8443" protocol="HTTP/1.1"
              SSLEnabled="true"
              keystoreFile="/path/to/your.jks"
              keystorePass="password"
              scheme="https" secure="true"/>
   

3. 重启服务生效

5. 应用部署实战技巧

5.1 部署方式对比

医疗系统常见部署方式：

5.2 常见部署问题解决

问题1：控制台上传按钮不可用
解决方案：

1. 检查浏览器兼容性（建议Chrome/Firefox最新版）
2. 确认用户有部署权限
3. 修改conf/context.xml的allowLinking参数为true

问题2：应用启动报ClassNotFound
解决方法：

1. 将依赖JAR包放入lib/ext目录
2. 或在conf/catalina.properties中添加：

   properties复制shared.loader=${catalina.base}/shared/lib/*.jar
   

问题3：中文乱码
医疗系统常见病历编码问题：

1. 修改conf/server.xml的Connector添加：

   xml复制URIEncoding="UTF-8" useBodyEncodingForURI="true"
   

2. 在应用代码中统一使用UTF-8编码

6. 运维监控与日常维护

6.1 健康检查指标

医疗系统需监控的关键指标：

bash复制# 查看线程数（正常值50-200）
ps -efL | grep java | wc -l

# 检查内存使用（建议不超过70%）
jstat -gcutil <pid> 1000 5

# 监控请求耗时
tail -f ../logs/localhost_access_log.*.txt

6.2 日志管理规范

医疗等保要求日志保存6个月以上，建议配置：

1. 修改conf/logging.properties：

   properties复制handlers = 1catalina.org.apache.juli.FileHandler, \
             2localhost.org.apache.juli.FileHandler, \
             3manager.org.apache.juli.FileHandler
   

2. 配置logrotate自动归档：

   bash复制/opt/tongweb/logs/*.log {
       daily
       rotate 180
       compress
       missingok
   }
   

6.3 备份策略

医疗系统必须建立完整备份机制：

1. 配置文件备份：

   bash复制tar -zcvf tongweb_conf_$(date +%F).tar.gz /opt/tongweb/conf
   

2. 应用数据备份：

   bash复制rsync -avz /data/tongweb_apps backup01:/medical_backup/
   

3. 设置cron定时任务：

   bash复制0 2 * * * /usr/local/scripts/tongweb_backup.sh
   

7. 性能调优经验分享

7.1 JVM参数优化

医疗高峰时段参数建议（8G内存服务器）：

bash复制# 修改bin/setenv.sh
export JAVA_OPTS="-Xms4g -Xmx6g -XX:MetaspaceSize=256m \
-XX:MaxMetaspaceSize=512m -XX:+UseG1GC \
-XX:MaxGCPauseMillis=200"

关键参数说明：

• -Xms/-Xmx：堆内存初始/最大值（建议1:1.5比例）
• -XX:+UseG1GC：G1垃圾回收器适合医疗系统请求波动大的特点
• -XX:MaxGCPauseMillis：控制GC停顿时间

7.2 连接池配置

在conf/server.xml中优化：

xml复制<Resource name="jdbc/medicalDB" 
          maxTotal="100" 
          maxIdle="30"
          minIdle="10"
          maxWaitMillis="10000"
          testOnBorrow="true"
          validationQuery="SELECT 1 FROM DUAL"/>

7.3 内核参数调优

针对医疗系统高并发场景：

bash复制# 增加文件描述符限制
echo "* soft nofile 65535" >> /etc/security/limits.conf
# 优化TCP参数
echo "net.ipv4.tcp_tw_reuse = 1" >> /etc/sysctl.conf
sysctl -p

8. 医疗信创特殊注意事项

1. 等保合规要求：

   • 必须关闭TELNET等非加密协议
   • 审计日志需记录管理员操作
   • 密码策略需符合等保三级要求

2. 硬件适配问题：

   • 龙芯架构需加载特定内核模块
   • 飞腾CPU需确认GLIBC版本兼容性

3. 数据安全要点：

   • 患者数据必须加密存储
   • 禁止使用默认密钥库
   • 定期进行漏洞扫描

在最近某三甲医院HIS系统升级项目中，我们通过预装国产加密卡模块，将TongWeb的SSL性能提升了40%，同时满足等保对硬件加密的要求。这提醒我们，在医疗信创领域，软硬件协同优化往往能取得意想不到的效果。