某大型综合性集团为中国民营企业500强,主要为客户提供投资、设计、建造、制造、运维、更新等,随着数字化技术的发展,集团也正持续建设云化基础设施,以赋能业务发展。
随着业务迅速发展,原先的云化基础设施部署已面临挑战——公有云与线下混合架构管理难、跨区域专线延迟高且费用昂贵的问题;公有云服务门槛高、响应慢、处理周期长;集团对数据主权性的要求无法得到满足。
为有效应对这些挑战,满足集团在性能、资源、网络、安全等方面的需求,集团决定采用深信服一朵云架构来替代当前的IT基础设施,在托管云上承载SAP HANA系统,云下采用超融合承载本地部分业务系统,并实现云上云下统一管理。
一、现有IT架构挑战与云资源需求
(一)集团现有IT基础架构面临的挑战
1.集团业务发展快,公有云与线下超融合混合架构面临管理与跨区域专线延迟和费用高挑战
集团业务规模发展迅速,大量多元化的业务需求纷纷涌现。原先采用的超融合运行对内业务、公有云运行对外业务的模式已经无法满足,需要进行频繁内外网交互的业务运行。在开发业务需要从内网的开发平台部署到对外公网架构时,容易导致部分业务在公有云和超融合之间切换时存在管理复杂问题,无法实现统一资源管理。公有云无本地机房,跨区域与本地机房建立专线成本高且延时高。
2.公有云服务门槛高,服务响应慢,问题处理周期长
用户部分业务在公有云上,公有云没有提供专属管家对接用户提供业务咨询与云上配置的咨询等。此前用户运维人员在云服务器配置、云上安全策略配置的过程中产生问题需要提交工单进行咨询,但工单处理周期较长,对用户的运维工作产生的帮助甚微。
3.集团对SAP及其他业务系统的数据主权性要求高,公有云无法满足
SAP HANA是生产经营类系统,帮助某集团构建数据仓库、报表和仪表盘,不仅系统稳定性要求高,同时涉及到集团核心数据,需要保护数据资产,集团希望能自主把控IT建设,既能享有公有云资源弹性又可以保障资源专属。公有云数据出市且资源不专属,难以保证数据主权。
(二)集团SAP应用系统及HANA对云资源需求
1.性能需求
(1)HANA生产环境磁盘IO性能要求单盘IPOS最低5万,吞吐量 350MB/s。
(2)SAP生产环境磁盘IO性能要求单盘IPOS最低1万,吞吐量 180MB/s。
2.资源需求
(1)需提供独立专属的物理机承载,满足集团对数据主权的需求。
(2)提供本地机房与本地自有机房建立专线连接,实现就近接入。
3.网络需求
(1)要求SAP相关系统服务器与其他业务系统服务器通过VPC相互隔离。
(2)业务系统与业务系统之间除指定的端口互通需求外,其他端口相互隔离。
(3)因本地数据中心生产制造系统需要与SAP系统互相传输大量数据,线下和线上通信需保障在内网传输并且需保障数据传输稳定性和高速性。
(4)集团及子公司内部同事只能通过办公网络专线访问到云上SAP服务器。
4.高可用需求
(1)生产环境应用要考虑高可用,基础IaaS资源要考虑单点故障。
(2)生产环境HANA服务器考虑双机热备,配置高可用实现故障切换。
5.安全需求
(1)集团及子公司内部同事访问云服务器均需要通过堡垒机访问。
(2)提供云端主机网络安全防护、异常行为管理、漏洞管理、防勒索、防病毒攻击。
6.备份需求
(1)备份数据需要尽可能选择低成本存储,如文件存储或对象存储。
(2)云服务器数据磁盘定期做快照。
7.监控需求
提供主机监控和各类云产品监控和报警,以及应用分组、可用性监控、Dashboard等功能。
二、SAP系统上云架构设计
(一)根据用户磁盘需求进行业务运行前测试
测试磁盘配置:读写密集型SSD,测试场景如下:
小块4k70%随机读,30%随机写
测试结果如下:小块全闪最小值:单盘IPOS 10万,吞吐量 394MB/s,符合性能需求
大块128k70%顺序读,30%顺序写
测试结果如下:大块全闪最小值:吞吐量 687MB/s,符合性能需求
(二)SAP应用系统及HANA云资源规划
1.机房区域
根据集团当前的SAP使用用户分布,结合本地到云上SAP系统数据交换量和就近接入分析,选择距离集团及子公司园区最近的托管云本地机房接入以实现低延时、就近接入的需求。
2.云主机配置
根据业务上线前测试结果及磁盘性能需求,选择大规格CPU和内存云服务器承载,专属计算磁盘配置固态硬盘承载用于提高磁盘IO。
3.VPC规划
共设计3个VPC网络用于承载不同业务系统做隔离:
集团总部xxVPC:用于部署SAP及SAP HANA,通过专线与本地HCI互联构建统一管理平台,设置独立的安全规则限制访问源IP范围。
子公司园区数字VPC:承载智能建造等业务系统。
生产供应VPC:承载生产供应业务系统。
4.安全规划
(1)网络ACL:
规划:除源端用户、跳板机、互访系统之间指定IP地址放开外,其他一概禁止。
(2)应用及其他:
主机安全EDR用于防护主机病毒、漏洞等,云堡垒机OSM、日志审计用于安全运维和审计、下一代防火墙vAF用于防护边界安全。
5.网络规划
外网访问:只允许跳板机访问公网,其余系统默认关闭公网访问。
内网访问:配置与线下网络不同的单独网段。在生产VPC内配置不同的子网用于承载生产业务系统和云安全组件服务。
考虑本地与云上需要大量传输数据,VPN线路走公网不稳定;且源某云与本地也是专线互通和用户需要走二层通信,不能三层,于是规划集团两个本地数据中心与托管云数据中心规划采用2条移动物理线路打通,2条线路互为主备,保障高可靠。
6.云主机配置规划
生产系统HANA服务器,CPU:96核;内存:1.5TB;存储:3.2TB
开发测试HANA服务器,CPU:52核;内存:768GB;存储:2.4TB
SAP应用服务器,CPU:12核;内存:96GB;存储:300GB
(三)SAP应用系统及HANA整体上云架构设计
架构设计描述:
1.(子公司园区、集团总部业务系统,需要和云上SAP进行交互)为便于线下通过专线内网,可以直接访问托管云上主机业务,避免通过公网访问,设计2条物理专线连通云上和云下从而保证了数据传输的安全性、稳定性和高速性。
2.子公司园区至托管云专线、集团总部至托管云专线,两条专线之间可以形成冗余路由,主要保障子公司园区访问托管云上的SAP业务线路可靠性。
3.规划三个VPC的网段,不同区以VPC进行隔离,同时VPC之间使用分布式防火墙做安全策略。
4.SAP应用和SAP HANA规划在同一个VPC内,以减少网络访问延迟。
(四)SAP应用系统及HANA高可用云架构设计
SAP应用高可用:ASCS实例一主一备独立部署
共享块存储:SBD 和应用共享数据
共享文件服务器: SAP Kernel、Profile、共享文件、归档文件等
HANA数据库:采用双机热备
(五)SAP及HANA系统云资源配置
(六)云资源配置清单
(七)SAP应用系统和HANA云资源监控
三、用户价值
1.业务运行更稳定:托管云保障SAP应用及HANA业务7*24小时稳定运行,SAP应用服务器及HANA服务器自上线已稳定运行160天左右。
2.数据中心延伸,实现本地低延时访问:云上专属资源保障数据主权需求,通过托管云本地机房就近接入,实现低时延、高性能确保SAP应用及HANA高峰期业务运行,支撑总部及子公司并发访问。
3.高可靠设计:通过云上高可靠架构设计以及多VPC模式大幅提升数据可靠性和业务安全性,帮助集团SAP及SAP HANA系统规避单点故障和数据安全风险,保障集团生产业务连续性。
4.资源弹性扩展:新园区后续新业务可以快速部署,按需增加节点满足容量和性能的需求。
5.贴心服务:迁移到托管云后,管家每月出月度报告,根据月度巡检报告和云上监控系统深入分析和评估,帮助用户优化资源配置、提高系统运行效率、确保数据安全。
深信服托管云持续关注用户的真实需求,以贴心服务、安全有效、专属可控、灵活开放为核心,为各行业用户打造更全面的云底座,以创新技术与完善方案支撑用户业务发展。
编辑:rwzh4