大型制造业的成功经验：全业务上云，为什么深信服托管云更适合？

制造业企业的数字化正在面临一场变革。
业务的迅猛拓展、产业规模的快速扩张，内部信息系统覆盖范围及复杂程度逐步加深，制造业企业对信息系统在数据安全保障、系统稳定可用以及持续高效运行等方面，有了更高的需求。面对业务系统架构复杂、种类繁多、数据中心运维压力大等挑战，格力博（江苏）股份有限公司（以下简称格力博）已踏上一条创新的云化转型之路。
1.四大挑战
格力博公司自2007年开始从事新能源园林机械的研发、设计、生产及销售，是全球新能源园林机械行业的领先企业之一。随着业务的持续发展，企业的核心竞争力正由信息化驱动向智能制造化发展。
在信息化阶段，公司已经构建起了较为完善的信息系统架构，涵盖了企业资源规划（ERP）、办公自动化（OA）、产品生命周期管理系统（PLM）、生产制造系统（MES）、机器人自动化系统（RPA）、BI系统等多个领域。现有业务系统均部署在私有云中，但因资源池不足、售后运维服务体验差等问题，现有云平台已无法满足业务发展的需求——
IT基础设施面临升级挑战
格力博打造的无人化和智能化生产，对IT基础设施提出较高的要求。原私有云IT基础设施条件、计算存储网络等资源已无法支持业务发展，原先云服务商提供的私有云数据中心面临设备老旧性能差、版本不更新、缺乏业务系统备份方案等问题。
运维服务差，每年专业云运维服务成本高
当前私有云平台已停止后期维护，导致平台版本无法升级迭代，用户目前自有运维团队仅有3人，在应用系统层、操作系统层和云平台层的运维方面存在明显短板。
公有云方案难以满足需求
作为制造业企业，格力博生产系统如WMS、MES、SRM、CAD等与本地终端和设计人员通信交互时，要求时延控制在毫秒级，这就需要云服务商既能提供常州本地就近接入的云数据中心，又能提供持续演进的云服务资源。公有云往往是集中的数据中心，与本地业务通过公网互访时延偏高，若采用跨城裸线连接，虽可降低时延，但成本高昂，用户难以在时延、云资源和成本之间取得平衡。
业务快速发展，需要高效获取与自主控制云资源
公司业务扩张，短期有大量新业务急需上线，长期需要把现有私有云环境上的业务做搬迁，尤其是生产类系统如MES、WMS、APS、PDM等，需要保障现有业务稳定持续运行，还要兼顾未来升级、搬迁、灾备和资源管理等工作。
2.托管云的方案：数据中心延伸
为了解决上述问题，格力博决定采用托管云专属云方案建设——本地与托管云采用裸纤互联，解决跨数据中心访问，确保全业务系统访问流畅；业务系统资源使用专属可控的物理节点，保障数据主权。
面对用户的需求，深信服的整体解决方案设计思路如下：
规划设计托管云常州本地数据中心到用户常州本地机房、托管云上的业务出口网络访问一律走本地数据中心出口（即云上无互联网出口）。
保障业务平滑迁移到托管云，整体的迁移过程尽可能降低对业务的影响。
上云后业务系统的规格设计需确保对应规格能够满足业务系统的资源需求。
上云后各个业务系统的IP地址是否保持不变，确保本地终端设备无需修改IP地址即可实现访问；上云后各业务系统网络是否做隔离。
基于上述设计思路，深信服与格力博最终采用托管云数据中心延伸方案，即在托管云数据中心与本地机房通过两条裸光纤二层打通，实现业务跨数据中心的访问。

ChMkLWiRt3iIedo1AAEiDfS95yYAACGKgDXRAAAASIl012.jpg

网络方案设计
数据中心链路设计
整体网络架构采用主备裸光纤组网接入方式，其中托管云常州数据中心与格力博本地数据中心之间通过两条独立裸光纤互为主备实现互联，确保了数据传输的高速、稳定性、可靠性。为保障安全，托管云上不规划互联网出口，托管云上的业务访问互联网需求通过裸光纤走本地出口。

ChMkLWiRt3iIEuhjAACcMvbJPLAAACGKgDVhZEAAJxK001.jpg

正常网络接入下，托管云数据中心与格力博数据中心通过主链路（裸光纤）进行通信，访问互联网业务同样走主链路。

ChMkLWiRt3iIVx0dAACqzRcOko4AACGKgDTaVAAAKrl411.jpg

当托管云数据中心与格力博数据中心之间同城容灾主备链路其中主链路故障时，能通过容灾主备链路自动切换至备链路，实现访问链路的切换。这种自动切换机制确保了访问链路的无缝切换，从而保障了业务的连续性。

ChMkLWiRt3iINpIzAACr5FkzbUAAACGKgDSOsAAAKv8907.jpg

VPC网络设计
考虑线上和线下的大二层通信，根据用户对不同业务系统之间的隔离要求，托管云通过划分独立虚拟私有云（VPC），并按照不同的业务属性分别创建了8个VLAN、8个子网：数据库子网、MES/BI/SRM等业务系统子网。

ChMkLWiRt3iIP5n-AACCfLa4rIgAACGKgDS5rwAAIKU628.jpg

子网之间的通信和访问控制通过分布式防火墙（vAF）进行管理，确保了网络的安全性和业务的隔离性。
内外网负载规划
在网络架构的规划与管理中，为实现更高效、安全且精准的应用访问流量分配，规划如下策略：
针对源自公司网络内部的访问请求，以及来自外部网络环境的访问请求，分别部署独立的虚拟应用交付（vAD）系统，以此作为应用访问流量的负载均衡处理单元，从而确保内部访问与外部访问在各自独立且适配的网络资源分配体系下，实现稳定、流畅且安全的应用访问体验，有效提升整体网络服务质量与安全性保障水平。

ChMkLWiRt3iITHTfAACRg1PSy9gAACGKgDwQfEAAJGb382.jpg

计算存储资源设计
考虑业务稳定性及迁移规划，一期迁移的资源采用6台高性能服务器组成独享私有云资源池，实现计算以及存储资源的完全独享，保障格力博业务以及数据的最大安全性及高性能。
每台服务器的配置为：
CPU：2*intel Gold 5220R（24core，2.2GHz）
内存：16*64G
系统盘：2*240G SSD
缓存盘：2*1.92T SSD
数据盘：8*6T SATA HDD
根据托管云最佳实践，集群整体的可用资源为：1110vGPU，4580G 内存，134T 存储空间。
备份存储规划：
采用深信服3台分布式存储aStor-EDS1210-W，单台存储服务器配置为：
内存：2*32GB DDR4 2933
系统盘：2*240GB SATA SSD
缓存盘：2*1.92TB
数据盘：10*12TB
采用纠删码EC4+2冗余策略，使得存储空间利用率达66.6%。
安全设计
针对网络出入口安全防护侧，部署深信服下一代防火墙vAF以构建坚实的安全防护屏障，能够针对网络出入口方向的流量进行全方位、多层次的深度检测与精准防护。

ChMkLWiRt3iIRx1gAACH8ACq9XQAACGKgDgxU0AAIgI328.jpg

针对云主机的安全防护层面，充分利用本地已购置的终端安全解决方案，通过配置策略，使托管云上云主机能够无缝接入并复用该安全防护体系。这样一来，无论是本地机房中的业务主机，还是托管云机房内的云主机，均能在统一的安全防护标准下运行，确保其业务防护能力保持一致性。使用本网络与安全架构的设计方案显著降低了用云成本。
备份设计
为应对各类潜在的数据风险与故障场景，针对部署于云端的170个云主机，构建每周全备一次，每12小时执行一次的自动化增量备份机制，以确保云主机数据的安全性与可恢复性，为业务的持续稳定运行筑牢数据防护壁垒。

ChMkLWiRt3iIVb65AAB1ccrT2zsAACGKgDVEAgAAHWJ042.jpg

迁移方案设计
新增两条裸光纤线路用于托管云数据中心与本地机房通信，本地机房与私有云机房保持原二层裸光纤通信链路不变，实现业务跨数据中心的迁移，待迁移完成后把此链路取消。

ChMkLWiRt3iISEsoAAEiDfS95yYAACGKgDWIdsAASIl104.jpg

由于本次涉及迁移的虚拟机有将近70个，因此本次业务迁移需要重点考虑以下3点：
分批次迁移
为避免一次性迁移所有云主机对网络和存储资源造成巨大压力，导致性能下降，如网络拥堵、存储I/O性能受损，且出现故障时难以定位和恢复，同时考虑到业务连续性，各业务系统应用间存在复杂的依赖关系，分批次迁移有助于逐步重建依赖关系，同时减少用户可感知的服务中断，保障用户体验，合理分配目标环境资源，本次迁移分5批次迁移。

ChMkLWiRt3iIabszAADzJruiUdYAACGKgDYZiUAAPM-310.jpg

ChMkLWiRt3iIU1UMAADqiIjY2N4AACGKgDZWWMAAOqg324.jpg

ChMkLWiRt3iID6hYAAFha_pggxAAACGKgDc0FUAAWGD068.jpg

ChMkLWiRt3iIbOdtAAFbQLdA7I0AACGKgDaRAMAAVtY942.jpg

ChMkLWiRt3iIWTbKAAI9Ola75IUAACGKgDeMdgAAj1S607.jpg

业务系统迁移过程中降低整体的停机时间
本次迁移按照用户应用负责人不同，将业务的迁移分为5个批次进行迁移。每个批次的迁移数据传输过程不影响业务的正常运行，只在业务迁移的割接期间需要业务停机，每批次迁移业务停机时间在30分钟以内。
针对业务迁移停机时间的问题，本次迁移主要采用两种方式进行，停机时间保障在30分钟以内，停机时间和用户商定晚上和周末的时间，尽可能降低对业务的影响。

ChMkLWiRt3iIBhnPAABGPwlmfq4AACGKgDUybEAAEZX092.jpg

迁移失败问题的处理
迁移过程失败的问题，深信服技术团队会针对问题进行记录并排列优先级，及时协调相关资源解决以保障迁移顺利进行。以下是迁移失败过程记录的问题及解决方案：

ChMkLWiRt3iIFQPuAAEw4g1sxHUAACGKgDbn1sAATD6453.jpg

业务运行情况
目前，用户侧云主机都正稳定运行。

ChMkLWiRt3iIAtogAAC1ZMlb6Y0AACGKgDUFDUAALV8370.jpg

3.用户价值
本地数据中心延伸方案：
专属资源，持续演进
通过高可靠的裸光纤从用户本地机房接入到托管云延伸数据中心节点，实现云端专属资源的同时数据留存本地的同时获得持续演进的云服务。
云上业务安全复用本地已有的安全资产，云上业务安全防护能力与本地一致，安全策略自动迁移跟随。
在进一步降低运维成本的同时，建立一套高效的云上容灾体系，以增强用户对潜在业务中断和数据丢失的的抵御能力。
就近接入
满足数据留存本地的需求
通过托管云常州本地机房实现就近接入，满足格力博资源专属及低延时访问需求，保障各类核心业务系统的稳定运行。
高级版VPC代维服务
释放IT运维人员的压力
通过专享服务计划，日常的创建虚拟机、配置安全策略、修改云主机配置、云资源优化、云资产每季度的巡检等都由管家来执行，解决用户运维人员不足的问题。同时，线上管家会以专业的技术能力，在用户进行IT规划时给出专业建议。真正释放格力博运维人员精力，让IT人员可更多地聚焦在业务创新上。
更少的投入
更全面的应用与系统层运维服务
深信服为用户提供应用层和OS层的运维服务，用户无需额外投入运维团队建设，大幅降低人力与技术投入成本，从而实现资源的最大化利用和业务的快速增长。