寧波中哲慕尚控股有限公司（簡稱“慕尚集團”）是國內領先的新零售休閑時尚服飾多品牌運營公司，專注男裝市場，旗下有GXG系列和Yatlas兩大品牌，采用全渠道商業模式，實現線上線下無縫購物體驗。

新零售浪潮下，慕尚集團對信息化建設要求提升。其業務系統分散于某云和本地VMware虛擬化集群，但本地虛擬化架構與公有云不兼容，IT人員難以統一管理資源。為有效提升運營效率，集團希望替換當前的IT基礎設施，可穩定有效承載核心業務，并實現云上云下統一管理。

現狀與挑戰

互訪時延：云端系統如OA與本地系統交互存在高時延

WMS（Warehouse Management System，倉庫管理系統）與其他系統交互時要求時延控制在毫秒級，公有云往往是集中的數據中心，與本地業務通過公網互訪時延高，通過專線或裸線成本高，時延和成本難以平衡。

新園區建設，WMS業務急需上線：本地數據中心未完工

新數據中心建設周期長且耗資大，而大量業務急需短期上線，尤其是生產類系統如MES，WMS要保障現有業務穩定連續，還要兼顧未來升級、搬遷、災備和資源管理等工作，IT 團隊運維負擔重。

異構基礎設施：統一資源管理缺失

本地數據中心和云端數據中心基礎設施異構，使二者無法統一管理，沒有統一資源視圖，限制了云服務能力向本地的擴展。

公有云服務：業務資源彈性需求與自主控制需求矛盾

采用公有云雖有優勢，但導致核心業務資產歸屬感降低，需要既能利用云資源彈性同時能自主控制 IT 建設和保證資源專屬性的方案。

項目技術方案

托管云解決方案

1. 整體解決方案架構

鑒于慕尚集團面臨的問題及需求，深信服托管云整體解決方案的設計思路如下：

• 機房規劃：鑒于慕尚集團面臨的機房環境問題，自建私有云無法迅速解決這一挑戰。因此，短期內采用云服務模式部署WMS是解決新建機房未建設完成問題的最佳選擇。

• 資源規劃：托管云為解決公有云資源不專屬問題，為慕尚集團在信服云的托管云機房采用托管私有云資源專區。

• 低時延和高SLA保障規劃：整體采用了同城托管私有云模式，通過專線方案打通托管云數據中心與慕尚集團本地數據中心網絡，實現了業務跨數據中心低延遲訪問。

• 安全規劃：在托管云數據中心，配置了主機安全用于云服務器安全防護、VPN主要用于承載運維人員進行日常的運維、vAD進行WMS的業務負載、vAF用于VPC邊界安全防護，確保業務的安全穩定運行和本地與云上的互相訪問。

2. 網絡架構規劃

根據用戶對內/對外/隔離上的要求，托管云通過虛擬私有云（VPC）進行隔離，并按照不同的業務屬性分別創建了以下子網：

• 電商WMS系統子網；
• 線下WMS系統子網；
• 安全組件子網；
• 運維子網。

子網之間的通信和訪問控制通過分布式防火墻（vAF）進行管理，確保網絡的安全性和業務的隔離性。

• 托管云數據中心與用戶數據中心網絡拓撲：

整體網絡架構采用主備裸光纖組網接入方式，其中托管云數據中心與用戶數據中心之間通過兩條獨立的物理鏈路和10Gbps裸光纖實現互聯，確保了數據傳輸的高速、穩定性、可靠性。

正常網絡接入下，托管云數據中心與慕尚集團數據中心通過同城容災鏈路（裸光纖主鏈路）進行通信。

當托管云數據中心與慕尚集團數據中心之間同城容災主備鏈路其中一條鏈路故障時，能通過容災主備鏈路自動切換至備鏈路，實現訪問鏈路的切換。這種自動切換機制確保了訪問鏈路的無縫切換，從而保障了業務的連續性。

3. 計算存儲資源規劃

根據原有WMS系統消耗資源為：304vCPU、1150GB內存、28.5TB存儲，規劃托管在托管云上的WMS倉儲系統資源與原資源基本保持一致，采用3節點專屬服務器+29TB存儲。

4. 安全資源規劃

基于慕尚集團新零售的業務特性，數據中心最核心的資產是數據，所以本次基于安全維度考慮，全方位設計數據中心的安全能力。

針對于核心業務系統，按照等保三級標準來規劃，包括下一代防火墻vAF、終端檢測響應EDR、堡壘機OSM、日志審計、數據庫審計、基線核查（含漏掃）、VPN，全方位保護核心生產系統的安全。

• 堡壘機：為解決運維管理中身份鑒別與訪問控制要求以及實現操作審計和追溯，數據泄露和濫用的問題。采用云堡壘機進行身份認證和訪問控制，通過多種高級認證手段精準識別用戶身份，同時嚴格限制用戶權限，并且記錄運維人員的操作，包括操作時間、指令等信息，還能重現操作過程的同時有效防止數據泄露和濫用，也能夠避免賬號共享、誤操作和惡意操作等風險。

• vAF：通過部署下一代防火墻vAF將安全從數據中心邊界延展到租戶，實現租戶云主機之間的微隔離，對數據中心內部流量進行L3-L4層安全防護；增強網絡邊界的安全檢測與防控能力，保護租戶云網絡免受日益復雜的威脅入侵，保障用戶的業務安全性和可用性。

• EDR：通過部署終端安全強化操作系統和關鍵應用軟件的安全配置、進行身份鑒別、訪問控制、安全審計、入侵防范等措施，能夠有效防止惡意攻擊和未經授權的訪問，保障云主機系統的穩定性、可用性以及數據的安全性，從而滿足等保對于信息系統安全保護的要求。

• vDAS：為保障數據的保密性、完整性和可用性，同時在發生安全事件后能夠進行追溯和責任界定，采用云數據庫審計記錄數據庫的各類操作，包括訪問、修改、刪除等行為。及時發現異?；顒?，如非法的數據訪問、惡意篡改等潛在安全威脅以實現托管云上RDS for MySQL、Redis等數據庫的安全。

• SIP-Logger：通過部署日志審計系統對網絡運行狀態、安全事件等進行記錄并留存同時日志審計能夠收集匯總各設備的審計數據，通過分析挖掘可及時發現入侵攻擊、內部違規等安全問題，為安全事件的事后調查取證、責任界定提供依據，有助于全面掌握信息系統的安全狀況，從而更好地保障云上系統的安全運行。

• 基線核查（含漏掃）：對云主機上的業務上線前進行安全上線檢查（針對云主機檢查病毒、漏洞、安全配置），及時發現各類系統中存在的錯誤安全配置、漏洞，協助企業發現并修正安全策略配置和修復漏洞。

5. 業務遷移

本次遷移業務系統遷移過程中，主要考慮如何降低整體的停機時間。

本次遷移將業務的遷移分為兩個批次進行遷移。每個批次的遷移數據傳輸過程不影響業務的正常運行，只在業務遷移的割接期間需要業務停機，每批次遷移業務停機時間在30分鐘以內。

針對業務遷移停機時間的問題，本次遷移主要采用兩種方式進行，確保停機時長控制在30分鐘之內。同時，將停機時間安排在了晚上和周末，與用戶事先協調一致，從而最大限度地減少了對集團日常業務運作的影響。

6. 解決方案清單

業務運行情況

當前，業務已穩定運行在托管云上，WMS數據庫業務運行正常。

云上RDS采用每周全量+每天增量備份，保障業務數據的可靠性。

以下是WMS應用服務器的運行情況，用戶WMS采用兩節點高可用部署，每個節點的配置是12C32GB的配置，使用vAD進行應用負載，從當前的CPU、內存使用率和存儲的IO來看，完全能夠支撐業務系統的性能要求。

用戶價值

統一納管VMware，構建高效云容災體系

通過使用托管云管理平臺可以納管線下VMware平臺，實現云端與線下環境的統一管理，在進一步降低運維成本的同時，未來計劃還將基于統一的云架構，建立一套高效的云上容災體系，以增強用戶對潛在業務中斷的抵御能力。

專業的應急處理能力和方案規劃，穩定用云

在突發的云計算緊急狀況中，托管云不僅能夠迅速識別問題根源，還能即刻執行有效的解決方案，確保在最短時間內化解危機，從而將對用戶業務造成的干擾和影響降至最低水平。同時為用戶提供穩定可靠的方案規劃，針對用戶的云服務使用情況，精心設計一系列全面且極具針對性的保障方案。此方案不僅考慮到了當前的穩定運行，還充分預估了未來可能出現的各種情況，為用戶在長期的云服務使用期間提供持續穩定且可靠的系統支撐。

高級版VPC代維服務，釋放運維人員的IT壓力

通過專享服務計劃，有效解決用戶運維人員不足的問題，從日常虛擬機創建、策略配置到配置修改等都由管家來執行。此外，線上管家能夠在用戶進行IT規劃時給出專業建議，極大減輕了用戶運維團隊負擔，使其能專注于業務創新與發展。

智能安全防護服務，保障用戶核心業務安全

通過托管云安全防護服務，對WMS核心業務系統資產進行防護，定期進行安全策略檢查與配置、業務安全健康檢查和威脅事件處置，重大事件應急響應7*24響應服務，保障這些業務系統安全。

專屬的資源，滿足CIO自主分配IT資源的訴求

為了滿足用戶對資源專屬性、低延遲訪問以及數據主權的需求，采用托管云本地機房進行就近接入。這種方式確保了WMS在高峰期能以低時延、高性能運行，有效支撐用戶的高并發訪問需求。

深信服托管云持續關注用戶的真實需求，以貼心服務、安全有效、專屬可控、靈活開放為核心，為各行業用戶打造更全面的云底座，以創新技術與完善方案支撐用戶業務發展。