为苏泊尔提供机智云GIE私有生产化环境部署
客户介绍
苏泊尔是全球知名小家电及炊具制造集团,是中国炊具、小家电行业领跑者。
旗下包含Tefal、WMF、拉歌蒂尼等30个子品牌,每年上千个新品上市,产品覆盖领域炊具、厨房小家电、环境家居电器、厨卫电器等多个事业领域。
它在全球41个工业基地、33,000余名员工,是中国最大、全球第二的炊具研发制造商。
项目背景
机智云GIE私有生产化环境部署要求充分考虑有效资源集中整合、优化的原则,便于日后实现系统的统一规划、应用、管理,从而实现资源的有效共享,在做到集中整合的同时,充分实现高可靠、高可用、高稳定、高性能和易扩展的要求。
微软云解决方案
机智云私有云部署一般会由机智云云端基础组件、智能设备端组件、IOTSDK以及在此基础之上为企业定制设计、开发的业务云系统以及APP应用共同组成。工程师在对客户需求进行深入研究并与客户进行反复探讨协商之后,最终敲定的解决方案主要围绕以下几点展开:
- 集中化的基础服务
- 系统充分解耦
- 易于调配的硬件资源,按需分配
- 易于运维管理
- 易于网络管理:如新应用的接入
- 重新梳理规划日志、存储空间,规划存储需求容量
将百世物流越南业务应用迁移到Azure公有云
客户介绍
百世集团是一家集快递、快运、供应链管理、末端服务、运力匹配、国际电商物流、物流金融等业务板块于一体的物流和供应链服务平台。
“百世快递”是百世集团旗下知名快递品牌,以信息化、自动化建设为核心能力,在国内率先运用信息化手段探索快递行业转型升级之路,综合实力位居行业前列。
截至2019年12月,已有员工8000余人,覆盖全国 42400 多个网点,100% 省市覆盖率,100% 区县覆盖率。
项目背景
百世结合互联网、信息技术和传统物流服务,创造新的颠覆性商业模式整合中国庞大的物流行业,提高效率和信息化的应用。百世中国区总部扎根于美丽的西子湖畔——杭州,目前已在全国范围内建立起多级营运中心,配送网络覆盖全国,延深至县、乡级区域。通过完整、系统的合作伙伴认证管理体系,专业的供应链解决方案设计,先进的信息技术和公司自行研发的综合营运平台GeniMax系统,百世为国内外企业提供综合供应链设计和物流服务。经过几年的努力,企业规模迅速扩大,每年高速发展,现有八大事业部,向客户提供综合供应链、快递、快运和软件服务。
随着公司业务扩展,公司在越南也收购了公司,现在要将本地的快递业务迁移到Azure上,给越南分公司提供服务。
微软云解决方案
云迁移是一个非常复杂的过程,既要保持业务稳定,又要在满足业务需求的同时实现弹性,更要保证数据安全。
为了顺利完成此次云迁移,工程师根据客户需求制定了周密的上云迁移流程和方案,着重考虑了迁移所需要满足的软硬件的需求、业务人员的权限控制和迁移过程中的安全问题。最终实现本地服务器平滑迁移到Azure公有云环境,业务流量逐步由本地服务器迁移到Azure。
Azure上的系统架构
网络设计
站点到站点 (S2S) VPN 网关连接是通过 IPsec/IKE(IKEv1 或 IKEv2)VPN 隧道建立的连接。 S2S 连接可用于跨界和混合配置。 S2S 连接要求位于本地的 VPN 设备分配有一个公共 IP 地址。VPN 网关可使用一个公共 IP 以主动-备用模式配置,在主动-备用模式下,一个 IPsec 隧道处于活动状态,另一个处于备用状态。 在此设置中,流量流经活动隧道,如果此隧道出现问题,则流量将切换到备用隧道。
注意本地网段和azure网段不能有重叠
Azure 应用程序网关提供的 Azure Web 应用程序防火墙 (WAF) 可以对 Web 应用程序进行集中保护,避免其受到常见的攻击和漏洞伤害。 Web 应用程序已逐渐成为利用常见已知漏洞的恶意攻击的目标。 SQL 注入和跨站点脚本是最常见的攻击。
应用程序网关上的 WAF 基于开放 Web 应用程序安全项目 (OWASP) 中的核心规则集 (CRS) 3.1、3.0 或 2.2.9。 WAF 会自动更新以包含针对新漏洞的保护,而无需其他配置。
虚拟机设计
- 对于只需单机运行的服务器,我们建议为其配置SSD类型的磁盘,能够享受微软SLA的标准和服务
-
对于重要业务服务器,我们强烈建议将服务器放置在Azure的可用性集中,可用性集包括故障域和更新域,故障域编号最多可以是3,更新域编号最多可以为5
故障域:号码不同代表放在不同实体机柜,避免硬件故障一起停止服务
更新域:号码不同代表不会同时进行维护,避免系统维护一起停止服务 - 每个业务的模块放在一个可用性集中,每个业务模块必须包含2台及以上的虚拟机,满足这两个条件才能保证SLA
虚拟机迁移
- 批量使用azcopy上传VHD到Azure Blob
- 将VHD创建托管磁盘
- 使用托管磁盘创建虚拟机
数据库迁移(refactor)
数据迁移助手(DMA)通过检测可能会影响新版本 SQL Server 或 Azure SQL 数据库中的数据库功能的兼容性问题,帮助升级到现代数据平台。 DMA 为目标环境提供了性能和可靠性改进建议,并可便于将架构、数据和非包含对象从源服务器迁移到目标服务器。
使用BACPAC文件将 SQL Server 数据库导入 Azure SQL 数据库或 SQL 托管实例。 可以从 Azure Blob 存储(仅限标准存储)中存储的 BACPAC 文件或从本地位置中的本地存储导入数据。 若要通过提供更多且更快的资源将导入速度最大化,请在导入过程中将数据库扩展到更高的服务层级和更大的计算大小。 然后,可以在导入成功后进行缩减。
Azure资源备份设计
虚拟机(包括虚拟机磁盘)
启用Azure备份服务
备份策略:
备份频率:每周星期日上午4:00 China Standard Time
保持期:4周
SQL server托管服务
使用数据库自带的备份功能,每周创建完整备份,每 12-24 小时创建差异备份,每 5 到 10 分钟创建事务日志备份。 事务日志备份的频率取决于计算大小和数据库活动量。
同时启用异地复制功能
启用Azure备份服务
备份策略:
备份频率:每周星期日上午4:00 China Standard Time
保持期:4周
SQL server托管服务
使用数据库自带的备份功能,每周创建完整备份,每 12-24 小时创建差异备份,每 5 到 10 分钟创建事务日志备份。 事务日志备份的频率取决于计算大小和数据库活动量。
同时启用异地复制功能
Azure安全设计
Azure提供了一系列的安全保护能力,为快递系统提升安全管理能力,降低安全风险,本项目实施过程中我们将为快递系统开启一系列安全组件,包括Azure账户管理、网络安全,操作系统防入侵等安全服务。为满足快递系统的安全需求,在本次项目的安全设计中将采取Azure自带的安全服务为主,另外由客户采购第三方安全产品作为补充。Azure平台上大部分的安全产品默认就会为客户应用系统进行自动保护,比如账户管理,RBAC,数据加密,防御DDOS,威胁侦测等。
在采用云的过程中,传统上最大的阻碍之一是安全忧虑。 IT 风险管理员和安全部门需确保默认情况下 Azure 中的资源受保护且安全。 Azure 提供了可用于保护资源的功能, 同时检测和消除对这些资源的威胁。
为加强应用系统的整体安全能力,我们设计开启如下安全服务:
在采用云的过程中,传统上最大的阻碍之一是安全忧虑。 IT 风险管理员和安全部门需确保默认情况下 Azure 中的资源受保护且安全。 Azure 提供了可用于保护资源的功能, 同时检测和消除对这些资源的威胁。
为加强应用系统的整体安全能力,我们设计开启如下安全服务:
- Azure 安全中心
- Azure 资源锁
将浦发银行现有的生态商场系统部署到Azure公有云
客户介绍
浦发银行是全国性股份制商业银行,近年来已构建覆盖信托、基金、金融租赁、境外投行、村镇银行、货币经纪等多个业态的综合化经营格局。
目前,浦发银行已在境内外设立了41家一级分行、近1700家营业机构,其中境内分行覆盖内地所有省级行政区域,境外分行包括香港分行、新加坡分行和伦敦分行,拥有5.5万名员工,已架构起全国性、国际化商业银行的经营服务格局。
项目背景
随着互联网技术突飞猛进的发展,数字化转型正成为各行各业发展的“制高点”。与此同时,在经历了电子银行、网络银行、移动银行后,数字银行也正成为银行业的下一个发展趋势。
浦发银行作为国内知名的股份制商业银行,为了顺应金融产业新一轮技术变革,决定进行云转型,因此需要将生态商场业务迁移上云。
微软云解决方案
网新图灵团队在云迁移领域都积累了多年的专业能力,为了顺利完成此次迁移上云,工程师团队根据这家企业的IT系统制定了周密的上云迁移流程和方案,
方案包括了SQL Server的服务迁移、带WAF功能的Application Gateway的部署、业务相关人员的权限控制和迁移过程中的安全设计,通过工程师团队的敏捷作业模式以及默契的配合最终帮助浦发银行实现了平滑上云。
Azure上的系统架构
网络设计
使用 Azure ExpressRoute 可通过连接服务提供商所提供的专用连接,将本地网络扩展到 Azure 云。 使用 ExpressRoute 可与 Azure 等云服务建立连接。
可以从任意位置之间的 (IP VPN) 网络、点到点以太网或在共置设施上通过连接服务提供商的虚拟交叉连接来建立这种连接。 ExpressRoute 连接不通过公共 Internet。 与通过 Internet 的典型连接相比,ExpressRoute 连接提供更高的可靠性、更快的速度、更低的延迟和更高的安全性
注意本地网段和azure网段不能有重叠
注意本地网段和azure网段不能有重叠
Azure 应用程序网关提供的 Azure Web 应用程序防火墙 (WAF) 可以对 Web 应用程序进行集中保护,避免其受到常见的攻击和漏洞伤害。 Web 应用程序已逐渐成为利用常见已知漏洞的恶意攻击的目标。 SQL 注入和跨站点脚本是最常见的攻击。
应用程序网关上的 WAF 基于开放 Web 应用程序安全项目 (OWASP) 中的核心规则集 (CRS) 3.1、3.0 或 2.2.9。 WAF 会自动更新以包含针对新漏洞的保护,而无需其他配置。
应用程序网关上的 WAF 基于开放 Web 应用程序安全项目 (OWASP) 中的核心规则集 (CRS) 3.1、3.0 或 2.2.9。 WAF 会自动更新以包含针对新漏洞的保护,而无需其他配置。
存储设计
存储账号类型选择:StorageV2
存储账号冗余:异地冗余(中国东部2,中国北部2) 异地冗余存储 (GRS) 使用 LRS 在主要区域中的单个物理位置内同步复制数据三次。 然后,它将数据异步复制到距离主要区域数百英里以外的次要区域中的单个物理位置。 GRS 在给定一年中提供至少 99.99999999999999%(16 个 9)的 Azure 存储数据对象持久性。
存储账号启用软删除:可以在已删除对象之后(在指定的数据保留期内,例如30天)恢复这些对象。 此保护可扩展到因覆盖而擦除的任何 Blob(块 Blob、追加 Blob 或页 Blob)。
存储账号冗余:异地冗余(中国东部2,中国北部2) 异地冗余存储 (GRS) 使用 LRS 在主要区域中的单个物理位置内同步复制数据三次。 然后,它将数据异步复制到距离主要区域数百英里以外的次要区域中的单个物理位置。 GRS 在给定一年中提供至少 99.99999999999999%(16 个 9)的 Azure 存储数据对象持久性。
存储账号启用软删除:可以在已删除对象之后(在指定的数据保留期内,例如30天)恢复这些对象。 此保护可扩展到因覆盖而擦除的任何 Blob(块 Blob、追加 Blob 或页 Blob)。
虚拟机设计
- 对于只需单机运行的服务器,我们建议为其配置SSD类型的磁盘,能够享受微软SLA的标准和服务
-
对于重要业务服务器,我们强烈建议将服务器放置在Azure的可用性集中,可用性集包括故障域和更新域,故障域编号最多可以是3,更新域编号最多可以为5
故障域:号码不同代表放在不同实体机柜,避免 硬件故障一起停止服务
更新域:号码不同代表不会同时进行维护,避免 系统维护一起停止服务 - 每个业务的模块放在一个可用性集中,每个业务模块必须包含2台及以上的虚拟机,满足这两个条件才能保证SLA
虚拟机迁移
- 批量使用azcopy上传VHD到Azure Blob
- 将VHD创建托管磁盘
- 使用托管磁盘创建虚拟机
数据库迁移(rehost)
使用Azure SQL Server on VM
数据迁移:使用BACPAC文件将 SQL Server 数据库导入 Azure SQL Server VM
数据迁移:使用BACPAC文件将 SQL Server 数据库导入 Azure SQL Server VM
Azure资源备份设计
虚拟机(包括虚拟机磁盘,SQL Server)
启用Azure备份服务
备份策略:
备份频率:每日下午10:00 China Standard Time
保持期:30天
启用Azure备份服务
备份策略:
备份频率:每日下午10:00 China Standard Time
保持期:30天
Azure安全设计
Azure提供了一系列的安全保护能力,为快递系统提升安全管理能力,降低安全风险,本项目实施过程中我们将为快递系统开启一系列安全组件,包括Azure账户管理、网络安全,操作系统防入侵等安全服务。为满足快递系统的安全需求,在本次项目的安全设计中将采取Azure自带的安全服务为主,另外由客户采购第三方安全产品作为补充。Azure平台上大部分的安全产品默认就会为客户应用系统进行自动保护,比如账户管理,RBAC,数据加密,防御DDOS,威胁侦测等。
在采用云的过程中,传统上最大的阻碍之一是安全忧虑。 IT 风险管理员和安全部门需确保默认情况下 Azure 中的资源受保护且安全。 Azure 提供了可用于保护资源的功能, 同时检测和消除对这些资源的威胁。
为加强应用系统的整体安全能力,我们设计开启如下安全服务:
在采用云的过程中,传统上最大的阻碍之一是安全忧虑。 IT 风险管理员和安全部门需确保默认情况下 Azure 中的资源受保护且安全。 Azure 提供了可用于保护资源的功能, 同时检测和消除对这些资源的威胁。
为加强应用系统的整体安全能力,我们设计开启如下安全服务:
- Azure 安全中心
- Azure 资源锁