更新时间:2025-02-24 GMT+08:00
实施步骤
需求调研
动机和驱动因素
某客户在中国使用友商云,但是友商云产品合同即将到期,且集团战略需要使用国产云来承载所有的基础设施平台,客户集团战略是将本地数据中心、友商云承载的大部分应用系统迁移到华为云上。
客户主要痛点集中在以下几个方面:
- 客户遍布全国乃至全球,需要有良好的用户接入体验。受特殊时间节点(月末、季末、年末)、活动(促销、涨价)等出现峰值波动。
- 资源不能弹性伸缩,CPU、内存、存储等资源利用不均衡。使用CDH开源版本老旧(开源社区已不维护),问题较多,不稳定,运维成本较大,难以支撑每日的报表计算。线下的大数据平台计算能力有限,只能勉强支撑当前的经营分析报表(每日批量计算时常故障),承接新增需求较为困难。
- 资源不能平滑扩展,资源扩容周期长。多地域分支机构接入访问体验无法保障。
- 核心系统对系统可靠性、安全性要求非常高。
上云总体战略:为满足客户数字化转型的业务需要,支撑应用架构和数据架构,定义集团未来数字化转型过程中上云的总体策略。上云总体策略应该遵循统一规划、分步建设、统一体系、价值导向原则。
图1 上云总体战略
迁移规划
应用迁移规划:基于客户的云化战略,未来不再新增IDC资源,并结合业务应用特点,计划关停的系统、开发测试系统等仍保留在本地机房,充分利旧,应用分批稳步迁云。
图2 应用迁移规划
分批迁移上云策略
- 面向外部用户的应用及速赢类应用第一批次迁移上云:面向渠道、终端客户等外部的营销类应用,发挥云的资源弹性优势,应对节日、促销等需求波动大的场景,提升外部用户体验;大数据平台当前故障频繁、算力有限,上云后能快速解决问题;一阶段涉及到团队磨合,流程固化,POC,原子方案论证,故周期较长。
- 面向内部办公及作业效率提升的应用第二批次迁移:OA系统面向内部办公,上云后实现员工随时随地接入体验和移动办公;电商平台上云后通过API快速对接第三方电商,客服中心利用云呼叫中心、AI语音等云能力,提升作业效率。
- 企业作业流程的核心业务系统:人财物系统最后迁移:人财物等支柱型应用,系统关联关系复杂,涉及范围广,迁移难度大,故最后一批迁移上云,迁移留有充足的时间进行迁移方案论证及POC。
- 相同领域尽量同批次迁移:相同领域系统之间交互较多,应尽量减少跨云调用,同时方便集中人力资源和项目组资源协调,利于迁移实施顺利开展。
迁移风险及应对举措:对迁移可能碰到的问题和风险进行评估。包含(但不限于):迁移方案可行性、网络环境稳定性、迁移切换时间及人工成本等。
|
挑战 |
关键举措 |
|---|---|
|
迁移方案是否可行 |
|
|
迁移网络不稳定 |
|
|
迁移切换时间窗口很小 |
|
|
如何保证上云过程中的安全防护 |
|
|
应用系统验证人员保障 |
|
|
迁移失败怎么办 |
|
云上方案架构
云上目标架构设计思路
图3 云上方案架构
华为云网络设计
- 云上VPC划分为运维监控VPC、NAT VPC、生产VPC、SAP-VPC、开发测试VPC、大数据VPC;
- 生产VPC,按照领域划分多个子网,独立中间件子网、SAP子网、数据库子网进行细粒度管控,通过安全组及ACL进行访问控制;
- 运维监控VPC放置堡垒机;
- 开发测试 VPC,用于开发测试环境;
- NAT-VPC为预留扩展用;
- 预留了大数据VPC;
- 公网流量先经过公用的Anti-Ddos、WAF,进行防护;
- 外网流量经ER引流至CFW进行边界防护;
- VPC之间采用对等连接,内网流量不经过ER;
- 云上与IDC之间通过专线连接;
华为云安全设计
图4 华为云安全设计
基于客户IDC安全现状,云上架构需要考虑构建面向全局的纵深防护体系和全局安全动态感知能力;
- 网络层:
网络侧部署DDoS云原生防护,对DDoS攻击进行四层以下的防护;
部署WAF方案,对HTTP、HTTPs流量进行攻击防护,保证web层面安全;
部署CFW云防火墙,对流量进行访问控制和IPS防护。
- 数据层:针对数据库,可考虑部署数据库安全服务对恶意删库、拖库等进行审计,并对SQL注入进行实时告警;
