一、项目背景
客户金蝶、OA系统作为企业新建重要的内部管理系统,除在功能上需满足日常管理要求之外,应同步考虑:
l 使用安全性:基于等保2.0及以上的安全等级要求,在网络安全、数据安全、访问控制、身份验证等方面确保客户系统、数据使用安全性;
l 成本节约:客户可根据自身业务需求发展对云资源使用类型和范围及时调整,满足新的业务需求,实现即开即用,最大化利用资源效率,节约成本。
l 扩展的灵活性:客户可根据业务需求以及负载调整资源使用,支持金蝶、OA系统横向扩容以及其他系统(如网站、小程序等)、云服务能力(如安全、网络、流量等)纵向扩展,保障系统、数据使用的连续性、可靠性;
l 专业技术服务保障:在专业技术团队、SLA保障等方面有专业团队实时支持,无需客户配备专业技术维护人员的同时保障业务系统稳定使用。
二、需求说明
需求一:满足泛微、金蝶为客户财务、OA系统建设的具体资源配置建议;
需求二:划分同一个VPC域,通过网段、安全组、访问权限等以及云防火墙等安全服务保障整体系统运行安全;
需求三:统一身份认证,实现AD打通、单点登录、权限控制;
需求四:支持系统、数据备份,保障系统的高可靠性;
需求五:系统监控,满足日常对资源、产品等基础运维监控要求;
三、建设方案
客户泛微、金蝶系统上云整体架构部署图:
图1:客户金蝶、泛微系统架构部署图
在云端部署同一个VPC内部署金蝶系统和泛微系统,同时划分为不同的网段,通过安全组针对网段设置不同的访问权限。
业务访问需通过SLB访问,VPC内的应用服务器无公网IP,避免公网暴露被恶意攻击。
泛微、金蝶应用服务器、数据库、存储分段整体部署,使用资源及规格参考各系统配置建议;
统一身份认证:支持客户打通泛微、金蝶等系统账号、数据,进行统一身份认证、权限管理等;
云上安全设计
l 对应用访问配置WAF防火墙,对业务流量进行恶意特征识别及防护,将正常、安全的流量回源到服务器,避免网站服务器被恶意入侵,保障业务的核心数据安全。
l 运维安全中心(堡垒机)用于集中管理资产权限,全程监控操作行为,实时还原运维场景,保障云端运维身份可鉴别、权限可管控、风险可阻断、操作可审计,助力客户云上合规。
l 云安全中心构建了涵盖网络层、主机层、应用层的安全纵深防护体系,包括网络入侵防护、主机入侵防护、Web应用防护、Web漏洞检测、木马检测等完整的安全防护。
l 为域名访问配置SSL证书,提供数据HTTPS加密协议访问,保障数据的安全。
使用基础云监控收集获取系统的监控指标或用户自定义的监控指标,探测服务可用性以及针对指标设置警报,帮助收到异常报警快速响应业务故障。
系统盘:支持镜像,镜像自动存放在OSS上,通过镜像可创建和恢复实例,OSS以3副本保存备份,具有99.99999999%可靠性。
数据盘:支持快照,快照自动存放在OSS上,通过快照可回滚,OSS以3副本保存备份,具有99.99999999%可靠性。
四、建设周期
整体建设周期包括资源部署周期、运维周期,其中:
l 部署周期:**2**天,主要完成金蝶、泛微系统资源部署上线及培训。
l 运维周期:长期,专业技术团队实时线上、工单运维保障。
五、整体预算
| 用途 | 规格说明 | 性能说明 | 操作系统 | 版本 | 系统盘(GB) | 数据盘(GB) | 地区 | 需求 建议 |
|---|---|---|---|---|---|---|---|---|
| 金蝶-应用服务器(ECS) | ecs.g6.2xlarge | 8core-32GB | Windows Server 2012 R2 简体中文 | 100 SSD云盘 | 900 SSD云盘 | 华东2 | 需要 | |
| 泛微-ecology服务器(ECS) | ecs.g6.2xlarge | 8core-32GB | CentOS 7.9 64bit | 100 SSD云盘 | 200 SSD云盘 | 华东2 | 需要 | |
| 泛微-Em7、微搜应用服务器(ECS) | ecs.g6.2xlarge | 8core-32GB | CentOs 7.6 64bit | 100 SSD云盘 | 200 SSD云盘 | 华东2 | 需要 | |
| 金蝶-数据库 (RDS SQL server) |
mssql.mem4.xlarge.e2 | 8core-32GB | X86 高可用版 共享规格 | 2014企业版 | 600GB ESSD PL1 云盘 | 华东2 | 需要 | |
| 泛微-数据库 (RDS for MySQL) |
rds.mysql.c1.xlarge | 8core-32GB | X86 高可用版 通用规格 | My SQL 8.0.28 | 600GB ESSD PL1 云盘 | 华东2 | 需要 | |
| 负载均衡SLB | 基础版 | 华东2 | 需要 | |||||
| 云监控 | 对系统使用资源、产品、事件、日志监控,支持自定义监控、报警服务 | API:100万次/月 短信:1000条/月 |
华东2 | 需要 | ||||
| 流量 | 2TB | 峰值:100M | 华东2 | 需要 | ||||
| 存储(OSS) | 2TB | 标准型,本地冗余 | 需要 | |||||
| Web应用防火墙 | 高级版 | 防止网站被恶意流量入侵及SQL注入 | 需要 | |||||
| 安全运维中心 (堡垒机) |
基础版-50资产 | 全程监控操作行为,实时还原运维场景,保障云端运维身份可鉴别、权限可管控、风险可阻断、操作可审计,助力客户云上合规。 | 建议 | |||||
| SSL证书 | 通配符,OV,GeoTrust | 提供数据HTTPS加密协议访问,保障数据的安全 | 需要 | |||||
| 云安全中心 | 高级版(3台ECS) | 通过防勒索、漏洞扫描修复、防病毒、防篡改、合规检查等安全能力,帮助用户实现威胁检测、响应、溯源的自动化安全运营闭环 | 建议 | |||||
| 数据库审计 | C100 | 通过对数据库全量行为的审计溯源、危险攻击的实时告警、风险语句的智能预警,提供敏感的数据库资产安全的监控保障 | 2TB日志存储 | 建议 | ||||
| 统一身份认证(IDAAS) | 30个账户 | 统一身份管理、安全认证集成了多种无密码认证方式,加强登录安全 | 建议 |
PS:1、云监控免费提供1000条短信报警/月,100万次/月监控API调用;2、流量为2TB;3、数据库可考虑信创名录数据库,如POLARDB等,支持未来数据本地化信创云无缝迁移;4、费用为全年整体预估,实际发生费用以消耗为准。
若有收获,就点个赞吧
0 人点赞
