某大型綜合性集團為中國民營企業500強，主要為客戶提供投資、設計、建造、制造、運維、更新等，隨著數字化技術的發展，集團也正持續建設云化基礎設施，以賦能業務發展。

隨著業務迅速發展，原先的云化基礎設施部署已面臨挑戰——公有云與線下混合架構管理難、跨區域專線延遲高且費用昂貴的問題；公有云服務門檻高、響應慢、處理周期長；集團對數據主權性的要求無法得到滿足。

為有效應對這些挑戰，滿足集團在性能、資源、網絡、安全等方面的需求，集團決定采用深信服一朵云架構來替代當前的IT基礎設施，在托管云上承載SAP HANA系統，云下采用超融合承載本地部分業務系統，并實現云上云下統一管理。

現有IT架構挑戰與云資源需求

集團現有IT基礎架構面臨的挑戰 

集團業務發展快，公有云與線下超融合混合架構面臨管理與跨區域專線延遲和費用高挑戰

集團業務規模發展迅速，大量多元化的業務需求紛紛涌現。原先采用的超融合運行對內業務、公有云運行對外業務的模式已經無法滿足，需要進行頻繁內外網交互的業務運行。在開發業務需要從內網的開發平臺部署到對外公網架構時，容易導致部分業務在公有云和超融合之間切換時存在管理復雜問題，無法實現統一資源管理。公有云無本地機房，跨區域與本地機房建立專線成本高且延時高。

公有云服務門檻高，服務響應慢，問題處理周期長

用戶部分業務在公有云上，公有云沒有提供專屬管家對接用戶提供業務咨詢與云上配置的咨詢等。此前用戶運維人員在云服務器配置、云上安全策略配置的過程中產生問題需要提交工單進行咨詢，但工單處理周期較長，對用戶的運維工作產生的幫助甚微。

集團對SAP及其他業務系統的數據主權性要求高，公有云無法滿足

SAP HANA是生產經營類系統，幫助某集團構建數據倉庫、報表和儀表盤，不僅系統穩定性要求高，同時涉及到集團核心數據，需要保護數據資產，集團希望能自主把控IT建設，既能享有公有云資源彈性又可以保障資源專屬。公有云數據出市且資源不專屬，難以保證數據主權。

集團SAP應用系統及HANA對云資源需求

性能需求

• HANA生產環境磁盤IO性能要求單盤IPOS最低5萬，吞吐量 350MB/s。
• SAP生產環境磁盤IO性能要求單盤IPOS最低1萬，吞吐量 180MB/s。

資源需求

• 需提供獨立專屬的物理機承載，滿足集團對數據主權的需求。
• 提供本地機房與本地自有機房建立專線連接，實現就近接入。

網絡需求

• 要求SAP相關系統服務器與其他業務系統服務器通過VPC相互隔離。
• 業務系統與業務系統之間除指定的端口互通需求外，其他端口相互隔離。
• 因本地數據中心生產制造系統需要與SAP系統互相傳輸大量數據，線下和線上通信需保障在內網傳輸并且需保障數據傳輸穩定性和高速性。
• 集團及子公司內部同事只能通過辦公網絡專線訪問到云上SAP服務器。

高可用需求

• 生產環境應用要考慮高可用，基礎IaaS資源要考慮單點故障。
• 生產環境HANA服務器考慮雙機熱備，配置高可用實現故障切換。

安全需求

• 集團及子公司內部同事訪問云服務器均需要通過堡壘機訪問。
• 提供云端主機網絡安全防護、異常行為管理、漏洞管理、防勒索、防病毒攻擊。

備份需求

• 備份數據需要盡可能選擇低成本存儲，如文件存儲或對象存儲。
• 云服務器數據磁盤定期做快照。

監控需求

• 提供主機監控和各類云產品監控和報警，以及應用分組、可用性監控、Dashboard等功能。

SAP系統上云架構設計

根據用戶磁盤需求進行業務運行前測試

• 測試磁盤配置：讀寫密集型SSD，測試場景如下：
• 小塊4k70%隨機讀，30%隨機寫

測試結果如下：小塊全閃最小值：單盤IPOS 10萬，吞吐量 394MB/s，符合性能需求

 

• 大塊128k70%順序讀，30%順序寫

測試結果如下：大塊全閃最小值：吞吐量 687MB/s，符合性能需求

SAP應用系統及HANA云資源規劃

機房區域

根據集團當前的SAP使用用戶分布，結合本地到云上SAP系統數據交換量和就近接入分析，選擇距離集團及子公司園區最近的托管云本地機房接入以實現低延時、就近接入的需求。

云主機配置

根據業務上線前測試結果及磁盤性能需求，選擇大規格CPU和內存云服務器承載，專屬計算磁盤配置固態硬盤承載用于提高磁盤IO。

VPC規劃

共設計3個VPC網絡用于承載不同業務系統做隔離：

• 集團總部xxVPC：用于部署SAP及SAP HANA，通過專線與本地HCI互聯構建統一管理平臺，設置獨立的安全規則限制訪問源IP范圍。
• 子公司園區數字VPC：承載智能建造等業務系統。
• 生產供應VPC：承載生產供應業務系統。

安全規劃

• 網絡ACL：

規劃：除源端用戶、跳板機、互訪系統之間指定IP地址放開外，其他一概禁止。

• 應用及其他：

主機安全EDR用于防護主機病毒、漏洞等，云堡壘機OSM、日志審計用于安全運維和審計、下一代防火墻vAF用于防護邊界安全。

網絡規劃

• 外網訪問：只允許跳板機訪問公網，其余系統默認關閉公網訪問。
• 內網訪問：配置與線下網絡不同的單獨網段。在生產VPC內配置不同的子網用于承載生產業務系統和云安全組件服務。
• 考慮本地與云上需要大量傳輸數據，VPN線路走公網不穩定；且源某云與本地也是專線互通和用戶需要走二層通信，不能三層，于是規劃集團兩個本地數據中心與托管云數據中心規劃采用2條移動物理線路打通，2條線路互為主備，保障高可靠。

云主機配置規劃

• 生產系統 HANA 服務器，CPU：96核；內存：1.5TB；存儲：3.2TB
• 開發測試 HANA 服務器，CPU：52核；內存：768GB；存儲：2.4TB
• SAP應用服務器，CPU：12核；內存：96GB；存儲：300GB

SAP應用系統及HANA整體上云架構設計

架構設計描述：

1. （子公司園區、集團總部業務系統，需要和云上SAP進行交互）為便于線下通過專線內網，可以直接訪問托管云上主機業務，避免通過公網訪問，設計2條物理專線連通云上和云下從而保證了數據傳輸的安全性、穩定性和高速性。

2. 子公司園區至托管云專線、集團總部至托管云專線，兩條專線之間可以形成冗余路由，主要保障子公司園區訪問托管云上的SAP業務線路可靠性。

3. 規劃三個VPC的網段，不同區以VPC進行隔離，同時VPC之間使用分布式防火墻做安全策略。

4. SAP應用和SAP HANA規劃在同一個VPC內，以減少網絡訪問延遲。

SAP應用系統及HANA高可用云架構設計

• SAP應用高可用：ASCS實例一主一備獨立部署

• 共享塊存儲：SBD 和應用共享數據

• 共享文件服務器 : SAP Kernel、Profile、共享文件、歸檔文件等

• HANA數據庫：采用雙機熱備

SAP及HANA系統云資源配置

云資源配置清單

SAP應用系統和HANA云資源監控

用戶價值

業務運行更穩定：托管云保障SAP應用及HANA業務7*24小時穩定運行，SAP應用服務器及HANA服務器自上線已穩定運行160天左右。

數據中心延伸，實現本地低延時訪問：云上專屬資源保障數據主權需求，通過托管云本地機房就近接入，實現低時延、高性能確保SAP應用及HANA高峰期業務運行，支撐總部及子公司并發訪問。

• 高可靠設計：通過云上高可靠架構設計以及多VPC模式大幅提升數據可靠性和業務安全性，幫助集團SAP及SAP HANA系統規避單點故障和數據安全風險，保障集團生產業務連續性。

• 資源彈性擴展：新園區后續新業務可以快速部署，按需增加節點滿足容量和性能的需求。

• 貼心服務：遷移到托管云后，管家每月出月度報告，根據月度巡檢報告和云上監控系統深入分析和評估，幫助用戶優化資源配置、提高系統運行效率、確保數據安全。

深信服托管云持續關注用戶的真實需求，以貼心服務、安全有效、專屬可控、靈活開放為核心，為各行業用戶打造更全面的云底座，以創新技術與完善方案支撐用戶業務發展。