從公有云到托管云：“500強”民企的上云選擇

某大型綜合性集團(tuán)為中國民營企業(yè)500強,主要為客戶提供 投資 、設(shè)計、建造、制造、運維、更新等,隨著數(shù)字化技術(shù)的發(fā)展,集團(tuán)也正持續(xù)建設(shè)云化基礎(chǔ)設(shè)施,以賦能業(yè)務(wù)發(fā)展。

隨著業(yè)務(wù)迅速發(fā)展,原先的云化基礎(chǔ)設(shè)施部署已面臨挑戰(zhàn)——公有云與線下混合架構(gòu)管理難、跨區(qū)域?qū)＞€延遲高且費用昂貴的問題;公有云服務(wù)門檻高、響應(yīng)慢、處理周期長;集團(tuán)對數(shù)據(jù)主權(quán)性的要求無法得到滿足。

為有效應(yīng)對這些挑戰(zhàn),滿足集團(tuán)在性能、資源、網(wǎng)絡(luò)、安全等方面的需求,集團(tuán)決定采用深信服一朵云架構(gòu)來替代當(dāng)前的IT基礎(chǔ)設(shè)施,在托管云上承載SAP HANA系統(tǒng),云下采用超融合承載本地部分業(yè)務(wù)系統(tǒng),并實現(xiàn)云上云下統(tǒng)一管理。

一、 現(xiàn)有 IT 架構(gòu)挑戰(zhàn)與云資源需求

( 一 ) 集團(tuán)現(xiàn)有 IT 基礎(chǔ)架構(gòu)面臨的挑戰(zhàn)

1. 集團(tuán)業(yè)務(wù)發(fā)展快,公有云與線下超融合混合架構(gòu)面臨管理與跨區(qū)域?qū)＞€延遲和費用高挑戰(zhàn)

集團(tuán)業(yè)務(wù)規(guī)模發(fā)展迅速,大量多元化的業(yè)務(wù)需求紛紛涌現(xiàn)。原先采用的超融合運行對內(nèi)業(yè)務(wù)、公有云運行對外業(yè)務(wù)的模式已經(jīng)無法滿足,需要進(jìn)行頻繁內(nèi)外網(wǎng)交互的業(yè)務(wù)運行。在開發(fā)業(yè)務(wù)需要從內(nèi)網(wǎng)的開發(fā)平臺部署到對外公網(wǎng)架構(gòu)時,容易導(dǎo)致部分業(yè)務(wù)在公有云和超融合之間切換時存在管理復(fù)雜問題,無法實現(xiàn)統(tǒng)一資源管理。公有云無本地機房,跨區(qū)域與本地機房建立專線成本高且延時高。

2. 公有云服務(wù)門檻高,服務(wù)響應(yīng)慢,問題處理周期長

用戶部分業(yè)務(wù)在公有云上,公有云沒有提供專屬管家對接用戶提供業(yè)務(wù)咨詢與云上配置的咨詢等。此前用戶運維人員在云服務(wù)器配置、云上安全策略配置的過程中產(chǎn)生問題需要提交工單進(jìn)行咨詢,但工單處理周期較長,對用戶的運維工作產(chǎn)生的幫助甚微。

3. 集團(tuán)對 SAP 及其他業(yè)務(wù)系統(tǒng)的數(shù)據(jù)主權(quán)性要求高,公有云無法滿足

SAP HANA是生產(chǎn)經(jīng)營類系統(tǒng),幫助某集團(tuán)構(gòu)建數(shù)據(jù)倉庫、報表和儀表盤,不僅系統(tǒng)穩(wěn)定性要求高,同時涉及到集團(tuán)核心數(shù)據(jù),需要保護(hù)數(shù)據(jù)資產(chǎn),集團(tuán)希望能自主把控IT建設(shè),既能享有公有云資源彈性又可以保障資源專屬。公有云數(shù)據(jù)出市且資源不專屬,難以保證數(shù)據(jù)主權(quán)。

( 二 ) 集團(tuán) SAP 應(yīng)用系統(tǒng)及 HANA 對云資源需求

1. 性能需求

(1)HANA生產(chǎn)環(huán)境磁盤IO性能要求單盤IPOS最低5萬,吞吐量 350MB/s。

(2)SAP生產(chǎn)環(huán)境磁盤IO性能要求單盤IPOS最低1萬,吞吐量 180MB/s。

2. 資源需求

(1)需提供獨立專屬的物理機承載,滿足集團(tuán)對數(shù)據(jù)主權(quán)的需求。

(2)提供本地機房與本地自有機房建立專線連接,實現(xiàn)就近接入。

3. 網(wǎng)絡(luò)需求

(1)要求SAP相關(guān)系統(tǒng)服務(wù)器與其他業(yè)務(wù)系統(tǒng)服務(wù)器通過VPC相互隔離。

(2)業(yè)務(wù)系統(tǒng)與業(yè)務(wù)系統(tǒng)之間除指定的端口互通需求外,其他端口相互隔離。

(3)因本地數(shù)據(jù)中心生產(chǎn)制造系統(tǒng)需要與SAP系統(tǒng)互相傳輸大量數(shù)據(jù),線下和線上通信需保障在內(nèi)網(wǎng)傳輸并且需保障數(shù)據(jù)傳輸穩(wěn)定性和高速性。

(4)集團(tuán)及子公司內(nèi)部同事只能通過辦公網(wǎng)絡(luò)專線訪問到云上SAP服務(wù)器。

4. 高可用需求

(1)生產(chǎn)環(huán)境應(yīng)用要考慮高可用,基礎(chǔ)IaaS資源要考慮單點故障。

(2)生產(chǎn)環(huán)境HANA服務(wù)器考慮雙機熱備,配置高可用實現(xiàn)故障切換。

5. 安全需求

(1)集團(tuán)及子公司內(nèi)部同事訪問云服務(wù)器均需要通過堡壘機訪問。

(2)提供云端主機網(wǎng)絡(luò)安全防護(hù)、異常行為管理、漏洞管理、防勒索、防病毒攻擊。

6. 備份需求

(1)備份數(shù)據(jù)需要盡可能選擇低成本存儲,如文件存儲或?qū)ο蟠鎯Α?/p>

(2)云服務(wù)器數(shù)據(jù)磁盤定期做快照。

7. 監(jiān)控需求

提供主機監(jiān)控和各類云產(chǎn)品監(jiān)控和報警,以及應(yīng)用分組、可用性監(jiān)控、Dashboard等功能。

二、 SAP 系統(tǒng)上云架構(gòu)設(shè)計

( 一 ) 根據(jù)用戶磁盤需求進(jìn)行業(yè)務(wù)運行前測試

測試磁盤配置:讀寫密集型SSD, 測試場景如下:

小塊4k70%隨機讀,30%隨機寫

測試結(jié)果如下: 小塊全閃最小值:單盤IPOS 10萬,吞吐量 394MB/s,符合性能需求

大塊128k70%順序讀,30%順序?qū)?/p>

測試結(jié)果如下: 大塊全閃最小值:吞吐量 687MB/s,符合性能需求

( 二 ) SAP 應(yīng)用系統(tǒng)及 HANA 云資源規(guī)劃

1. 機房區(qū)域

根據(jù)集團(tuán)當(dāng)前的SAP使用用戶分布,結(jié)合本地到云上SAP系統(tǒng)數(shù)據(jù)交換量和就近接入分析,選擇距離集團(tuán)及子公司園區(qū)最近的托管云本地機房接入以實現(xiàn)低延時、就近接入的需求。

2. 云主機配置

根據(jù)業(yè)務(wù)上線前測試結(jié)果及磁盤性能需求,選擇大規(guī)格CPU和內(nèi)存云服務(wù)器承載,專屬計算磁盤配置固態(tài)硬盤承載用于提高磁盤IO。

3. VPC 規(guī)劃

共設(shè)計3個VPC網(wǎng)絡(luò)用于承載不同業(yè)務(wù)系統(tǒng)做隔離:

集團(tuán)總部xxVPC:用于部署SAP及SAP HANA,通過專線與本地HCI互聯(lián)構(gòu)建統(tǒng)一管理平臺,設(shè)置獨立的安全規(guī)則限制訪問源IP范圍。

子公司園區(qū)數(shù)字VPC:承載智能建造等業(yè)務(wù)系統(tǒng)。

生產(chǎn)供應(yīng)VPC:承載生產(chǎn)供應(yīng)業(yè)務(wù)系統(tǒng)。

4. 安全規(guī)劃

( 1 ) 網(wǎng)絡(luò) ACL :

規(guī)劃:除源端用戶、跳板機、互訪系統(tǒng)之間指定IP地址放開外,其他一概禁止。

( 2 ) 應(yīng)用及其他:

主機安全EDR用于防護(hù)主機病毒、漏洞等,云堡壘機OSM、日志審計用于安全運維和審計、下一代防火墻vAF用于防護(hù)邊界安全。

5. 網(wǎng)絡(luò)規(guī)劃

外網(wǎng)訪問: 只允許跳板機訪問公網(wǎng),其余系統(tǒng)默認(rèn)關(guān)閉公網(wǎng)訪問。

內(nèi)網(wǎng)訪問: 配置與線下網(wǎng)絡(luò)不同的單獨網(wǎng)段。在生產(chǎn)VPC內(nèi)配置不同的子網(wǎng)用于承載生產(chǎn)業(yè)務(wù)系統(tǒng)和云安全組件服務(wù)。

考慮本地與云上需要大量傳輸數(shù)據(jù),VPN線路走公網(wǎng)不穩(wěn)定;且源某云與本地也是專線互通和用戶需要走二層通信,不能三層,于是規(guī)劃集團(tuán)兩個本地數(shù)據(jù)中心與托管云數(shù)據(jù)中心規(guī)劃采用2條移動物理線路打通,2條線路互為主備,保障高可靠。

6. 云主機配置規(guī)劃

生產(chǎn)系統(tǒng)? HANA? 服務(wù)器 ,CPU:96核;內(nèi)存:1.5TB;存儲:3.2TB

開發(fā)測試? HANA? 服務(wù)器 ,CPU:52核;內(nèi)存:768GB;存儲:2.4TB

SAP 應(yīng)用服務(wù)器 ,CPU:12核;內(nèi)存:96GB;存儲:300GB

( 三 ) SAP 應(yīng)用系統(tǒng)及 HANA 整體上云架構(gòu)設(shè)計

架構(gòu)設(shè)計描述:

1.(子公司園區(qū)、集團(tuán)總部業(yè)務(wù)系統(tǒng),需要和云上SAP進(jìn)行交互)為便于線下通過專線內(nèi)網(wǎng),可以直接訪問托管云上主機業(yè)務(wù),避免通過公網(wǎng)訪問,設(shè)計2條物理專線連通云上和云下從而保證了數(shù)據(jù)傳輸?shù)陌踩?、穩(wěn)定性和高速性。

2.子公司園區(qū)至托管云專線、集團(tuán)總部至托管云專線,兩條專線之間可以形成冗余路由,主要保障子公司園區(qū)訪問托管云上的SAP業(yè)務(wù)線路可靠性。

3.規(guī)劃三個VPC的網(wǎng)段,不同區(qū)以VPC進(jìn)行隔離,同時VPC之間使用分布式防火墻做安全策略。

4.SAP應(yīng)用和SAP HANA規(guī)劃在同一個VPC內(nèi),以減少網(wǎng)絡(luò)訪問延遲。

( 四 ) SAP 應(yīng)用系統(tǒng)及 HANA 高可用云架構(gòu)設(shè)計

SAP 應(yīng)用高可用: ASCS實例一主一備獨立部署

共享塊存儲: SBD 和應(yīng)用共享數(shù)據(jù)

共享文件服務(wù)器 ? :? SAP Kernel、Profile、共享文件、歸檔文件等

HANA 數(shù)據(jù)庫: 采用雙機熱備

( 五 ) SAP 及 HANA 系統(tǒng)云資源配置

( 六 ) 云資源配置清單

( 七 ) SAP 應(yīng)用系統(tǒng)和 HANA 云資源監(jiān)控

三、 用戶價值

1. 業(yè)務(wù)運行更穩(wěn)定: 托管云保障SAP應(yīng)用及HANA業(yè)務(wù)7*24小時穩(wěn)定運行,SAP應(yīng)用服務(wù)器及HANA服務(wù)器自上線已穩(wěn)定運行160天左右。

2. 數(shù)據(jù)中心延伸,實現(xiàn)本地低延時訪問: 云上專屬資源保障數(shù)據(jù)主權(quán)需求,通過托管云本地機房就近接入,實現(xiàn)低時延、高性能確保SAP應(yīng)用及HANA高峰期業(yè)務(wù)運行,支撐總部及子公司并發(fā)訪問。

3. 高可靠設(shè)計: 通過云上高可靠架構(gòu)設(shè)計以及多VPC模式大幅提升數(shù)據(jù)可靠性和業(yè)務(wù)安全性,幫助集團(tuán)SAP及SAP HANA系統(tǒng)規(guī)避單點故障和數(shù)據(jù)安全風(fēng)險,保障集團(tuán)生產(chǎn)業(yè)務(wù)連續(xù)性。

4. 資源彈性擴展: 新園區(qū)后續(xù)新業(yè)務(wù)可以快速部署,按需增加節(jié)點滿足容量和性能的需求。

5. 貼心服務(wù): 遷移到托管云后,管家每月出月度報告,根據(jù)月度巡檢報告和云上監(jiān)控系統(tǒng)深入分析和評估,幫助用戶優(yōu)化資源配置、提高系統(tǒng)運行效率、確保數(shù)據(jù)安全。

深信服托管云持續(xù)關(guān)注用戶的真實需求,以貼心服務(wù)、安全有效、專屬可控、靈活開放為核心,為各行業(yè)用戶打造更全面的云底座,以創(chuàng)新技術(shù)與完善方案支撐用戶業(yè)務(wù)發(fā)展。