本期焦點

瑞派寵物醫院管理股份有限公司（以下簡稱“瑞派寵物“）從2017年開始數字化轉型之路。瑞派寵物在全國有600+連鎖門店，隨著業務量增加，線下部署的財務系統存在設備老舊、機房環境差等問題，部分在公有云上的業務，安全防護問題也令人擔憂。種種因素疊加，瑞派寵物開始規劃一條創新的云化轉型之路。

瑞派寵物目前的IT基礎設備由兩部分組成，一部分是本地機房，另一部分則是采用某公有云承載的云端服務。隨著公司業務的快速發展，現有的以公有云共享區形式提供的云服務，已不能滿足醫院數據獨享可控的需要，因此需要選擇更適配的云服務模式進行業務承載。瑞派寵物面臨的主要挑戰如下：

• 線下部署的財務系統因設備老舊、機房環境差導致問題頻發，但因為涉及敏感數據，財務部門出于安全考慮，對于上公有云較為擔憂。

• 為了保障用戶的信息安全，預計在安全防護上投入會越來越大，采用市面上其他云服務的部分安全組件，價格高昂。

• 公有云模式下，只提供安全工具式的方式并不能解決傳統安全的威脅，而業務運行在公有云的共享區，使得上面任意一個虛擬機逃逸，都可能威脅到其他用戶的資產，大量的服務資源也可能因為配置錯誤導致直接暴露到公網，存在很大的安全隱患。

• 自建私有云TCO成本居高不下，建設周期和人員制度的磨合期也對業務上線與穩定運行提出了更高的挑戰。

其中，瑞派寵物對于財務系統的數字化升級尤為看重。財務系統的升級，可提高財務管理水平、優化業務流程、降低成本、支持企業決策等，并且可以通過集成的財務管理模塊，幫助用戶實現財務數據的自動化處理、數據分析和決策支持，滿足不同行業的特殊需求。

財務系統以及上下游示意圖

財務系統如果發生故障，將導致較為嚴重的問題，在對比了市面上的各類產品及方案后，瑞派寵物決定采用深信服托管云——既具備公有云的資源彈性伸縮、資源在線化、服務化交付的特點，也具備私有云一樣的專屬資源物理隔離的特點，可滿足瑞派寵物的上云需求。

托管云技術方案，支撐數字化升級

01 托管云整體方案架構

基于瑞派寵物醫院的現有資源和新建資源需求，本次方案設計采用托管私有云方式設計，機房節點選擇為天津一區節點，資源集群獨享，以產品+服務的方式進行建設。同時專屬托管私有云支持按年靈活計費，若后期需求變動可對資源以年為周期、按照節點數進行動態彈性伸縮，靈活應對醫院后續業務需求。除此之外，還一站式提供等保三級所需的安全服務組件及配套的安全運營服務。

瑞派寵物托管云整體架構圖

02 資源規劃設計

深信服從性能、接入可靠性、安全等方面對用戶財務系統進行了詳細的設計，以確保業務的安全性和性能。

針對用戶財務部門對上云安全性的擔憂與質疑，托管云提供了端到端的安全防護措施，涵蓋網絡層、主機層和數據層。通過部署豐富的安全產品，實現全流程的安全防護，確保數據的完整性和保密性。此外還提供了安全托管服務MSS（Managed Security Services），為最終的安全效果負責。

在性能優化方面，托管云根據用戶的業務負載特性，將其中WEB和WEB-API1/2作為前端接入層，負責請求的路由分發。在高峰時段，這些服務需要處理來自全國600多家連鎖門店的并發請求，對CPU和內存資源的需求極高。為了應對這一挑戰，方案配置了多種規格的虛擬機，包括4核/16GB、22核/44GB、16核/32GB和8核/16GB，以確保系統的穩定運行和響應速度。

對于財務系統業務的數據持久層，包括DB、File，它們都承擔著大量的數據存儲任務，特別是對于DB數據庫，配置2.78TB的全閃存存儲和32核/128GB的高性能虛擬機，以滿足業務對性能和存儲的嚴格要求。

經過以上設計，托管云的方案最終可支撐全國600+門店的100+業務人員同時在線操作的需求，并確保平均每4小時能處理4000至12000筆交易指令。

具體的業務規格配置如下：

這種高性能、高安全性的架構設計，大幅提升了業務的安全性和可用性，還解決了用戶原先線下部署機房空間限制和彈性擴容能力不足導致的性能瓶頸問題。

更重要的是，托管云方案解決了在公有云共享環境中部署敏感業務時遇到的安全、數據主權、資源專屬問題，確保了業務的連續性和數據的安全性，為用戶提供了一個既安全又高效的業務環境。

財務系統局部邏輯架構圖

除了提供的全閃卷以外，還配置了42T混合塊存儲，和單獨提供8192GB的外網對象存儲服務，500G的NAS文件存儲服務，4000GB的數據備份服務。

在備份策略設計上，每小時備份一次，并且保留七天。

03 網絡接入設計

托管云與瑞派寵物數據中心IPsec-VPN網絡信息

• 在財務業務網絡接入設計方面：

首先確保連接的安全性，同時兼顧網絡鏈路的高可用性和用戶使用習慣的保留。針對用戶原先通過自建IPsec-VPN方式進行訪問的使用習慣，在托管云側配置了即插即用的托管VPN安全服務，以滿足用戶的安全需求。

為了支持最多100個業務人員同時在線操作的需求，并確保平均每4小時能處理4000至12000筆交易指令，專門設計主備雙線路50MBps的帶寬，以保障業務的高效運行。

• 在高可用性設計方面：

采用多線路主備策略，確保多條線路互為備份，以維持可靠運行。若任何一條線路出現故障，深信服托管VPN服務能夠無縫切換數據至其他正常線路，不影響SSL VPN用戶的接入和訪問。斷線重播功能通過ADSL實現，確保在VPN連接中斷時能夠迅速恢復。

在VPN本身的高可用性方面，采用了主備架構，實現了主備節點之間的Session同步，確保多臺設備能夠即時同時更新用戶信息。在主節點出現故障時，3秒內即可恢復服務，并將服務中的用戶無縫遷移至其他設備，從而確保設備的意外事故不會給用戶的業務訪問帶來負面影響。

04 安全設計

本次安全建設的主要目標是等保合規建設及面向安全威脅的防護，在等保合規建設方面提供了一站式等保合規建設，包括等保組件的配置、配合用戶進行等保整改等，讓用戶的業務系統快速過等保。

用戶安全產品

首先在安全產品組合上，針對訪問層、主機層、數據層特別是面向勒索病毒等安全威脅，都配置了專業的安全產品，做到端到端的安全防護措施。

其次，通過安全托管服務MSS，以“人機共智”模式為手段，7*24小時在線值守，提前預防好所有的安全隱患，發現安全威脅最快30分鐘以內響應，保障包括財務系統在內總計1005個資產的安全兜底，為最終的安全效果負責，從而徹底消除用戶對財務數據上云的安全擔憂。

MSS安全服務運營平臺信息

05 業務遷移

在進行用戶業務上云遷移的過程中，確保IP地址變更后的互訪正常和降低停機時間是兩個核心考慮點：

• 業務互訪保障：由于業務上云涉及到IP地址的重新規劃，首要任務是確保遷移后業務系統之間的互訪不受影響。

• 降低停機時間：為了最小化業務遷移過程中的停機時間，采取將業務系統分4批進行遷移，每批遷移前進行測試和準備工作，確保盡可能快速且不影響現有業務運行。數據庫方面，利用實時數據同步DTS進行全量和增量進行遷移，進一步減少停機時間。

在本次業務遷移項目中，針對IP地址變更及業務互訪問題，采取了以下措施以確保業務的連續性和穩定性：

• 業務互訪保障：由于涉及業務系統改造和IP地址的重新規劃，深信服與用戶業務相關方進行了深入的溝通和協作。用戶業務相關方負責梳理各業務系統間的接口調用關系，深信服作為網絡規劃方，負責整體網絡的規劃和打通工作，以確保遷移前后的網絡連通性。
• 業務配置文件的修改與重配置：在遷移后，用戶業務相關方負責業務配置文件的修改和重配置工作，以適應新的網絡結構。

針對業務遷移期間的停機問題，采取了以下兩種策略來確保停機時間控制在30分鐘以內，以最小化對醫院日常運營的影響：

• 時間選擇：與用戶協商，將停機時間安排在晚上和周末，這些時段醫院業務相對較少，從而最大程度減少對用戶服務的影響。

• 遷移策略:

1. 逐步遷移：采用分階段遷移的方法，先遷移非核心業務，再逐步過渡到核心業務，確保在任何時候都有最少的服務中斷。

2. 并行運行：在遷移后，新舊系統將并行運行一段時間，以確保在新系統完全穩定之前，舊系統仍然可以提供服務。

以下是幾個核心業務系統和數據庫的遷移過程，整個遷移過程分為全量遷移+增量遷移，遷移過程不影響業務的正常運行。

割接切換時間為5分鐘，加上前段業務修改及驗證時間，業務停機時間在20分鐘以內。

業務運行情況

項目在一期階段通過3臺aSever-2305服務器組件獨立的私有云集群，單臺服務器可提供的計算資源如下：大內存型（202核/470G/14T）（3臺*12月)；內存資源升級服務(2X64G)，總共可提供808核、1922G內存、42T塊存儲空間。隨著用戶業務的發展，又分別進行了第二期和第三期的擴容。目前，累計可提供的資源包括2680個vCPU和7004GB內存，以滿足瑞派寵物不斷增長的計算和存儲需求。

當前，用戶的財務系統和財務共享平臺已在托管云上穩定運行，各項業務表現正常。上云后，財務系統的整體使用效果顯著提升。原先VPN頻繁掉線的問題，通過部署深信服SSL VPN并采用多線接入及主備方式得到徹底解決。

同時，性能瓶頸導致的應用進程卡慢和死機問題，在遷移至托管云并配置高性能云主機與全閃存卷之后，也得到了有效緩解。以處理交易訂單為例，財務系統在托管云環境中每4小時能處理的交易指令數量達到4000至12000筆，相比以往有顯著提升，并且可以根據性能曲線進行實時靈活調整。

截止至目前，瑞派寵物的業務在托管云上已平穩運行超過550天，期間未出現任何重大故障與報錯，顯示出托管云服務的高穩定性和可靠性。

WEB主機運行情況

DB主機運行情況

WEB-API主機運行情況

用戶價值

托管云既具備類似公有云的資源彈性、資源在線化、服務化交付的特點，也具備類似私有云一樣的專屬資源，可物理隔離不同的用戶的特點。通過貼近用戶的方式，幫助用戶更簡單地享受數字化帶來的紅利。

高可靠的云服務

通過7*24小時的監控及風險處置，承諾SLA達到99.975%，保障醫院托管云上業務穩定可靠運行超550多天。

一站式合規建設

托管云提供豐富的安全組件，并提供一站式等保整改服務，實現等保三級的安全防護能力，高質量滿足用戶以及行業政策的合規要求，確保數據不出省不出市。

在安全托管服務保障期間，共處理了114個安全事件、193條安全威脅，累計保護資產達1005+，安全穩定的保障用戶超過550+天，真正實現了用戶安全責任的轉移，達到真正的安全無憂。

資源專屬

深信服托管云模式為用戶提供了靈活的選擇：根據需求租用或買斷服務。這種模式確保了固定資產的所有權歸用戶所有，保證了服務的專屬性。

專屬服務的特性進一步保障了數據安全。獨立的計算、存儲和網絡資源從根本上杜絕了與其他租戶的共用或混用情況，從而確保了數據的強隔離性和強安全性。

用戶可以根據自己的需求，指定選擇地點和節點，輕松守護數據主權，確保數據的控制權始終掌握在用戶手中。

輕量起步，按需擴展

專屬托管私有云支持按年靈活計費，前期建設輕投入，后期可按照需求變化對資源以年為周期、按照節點數進行動態彈性伸縮，為用戶提供更簡便、更經濟的上云路徑。

貼心服務

提供專屬管家，創建專屬服務群，一分鐘發現問題，五分鐘響應用戶需求，10~30分鐘解決問題，在用戶原有團隊規模不變的情況下，大幅降低用戶的運維壓力，讓用戶將精力著重于業務中去。

專業的設計及規劃，保障用戶業務平滑上云；穩定、可靠、安全的云底座，保障用戶業務始終平穩運行；貼心的專屬服務，讓用戶不再受困于運維壓力。深信服托管云，始終關注用戶的真實需求、深入用戶的業務場景，以貼心服務、安全有效、專屬可控、靈活開放的特點，為各行業用戶打造更全面的云底座，以創新技術與完善方案支撐用戶業務發展。