检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
概述 当企业上云规模逐渐变大,在云上有数十上百个应用系统和海量云资源,包括企业自有员工、外包员工及合作伙伴的员工在内的大量用户需要访问和操作这些云资源,量变导致质变,资源闲置、误操作、恶意操作、数据泄露和权限错配等风险将随着用云规模呈现指数级增长。
设计存在单点故障 架构设计时未考虑高可用性,导致关键组件成为单点故障,一旦发生故障,整个系统将无法正常工作。 优化建议:实现冗余设计,采用负载均衡策略,确保应用的关键服务在多节点上运行,提升系统的可靠性和可用性。
举个例子,如果某个业务系统遭遇了安全攻击,攻击者可能只能够接触到该业务系统所在的云账号中的资源,无法进一步影响到其他业务单元。这种隔离机制大大提高了整个企业的安全性和稳定性。
风险控制:上云迁移是一个复杂的过程,涉及到不同的系统和业务。通过进行迁移试点,企业可以在小范围内验证整个迁移流程的可行性,发现潜在问题并及时解决,确保后续的大规模迁移顺利进行。
两地三中心高可用:对于一些特大型或者安全要求很高的商业系统,对系统的高可用性提出了更高的要求,跨AZ的高可用方案并不能解决该地域级别的故障,如地震、洪水等。要满足此类业务场景可选择异地机房部署业务,华为云异地灾备方案在同城容灾的基础上,可再搭建异地灾备机房,满足此类业务需求。
大规模迁移的执行主要是按照批次规划逐批次进行迁移,如下图: 图1 分批迁移 整体迁移:对于不能分批的,应用的关联关系往往非常复杂,只能选择所有业务系统整体一个批次迁移,如下图: 图2 整体迁移 父主题: 采用实施
云计算、网络管道、终端设备、边缘计算、操作系统、数据库、应用程序等多个层面交织在一起,形成了一个庞大而复杂的生态系统。每个环节都有可能成为安全漏洞的切入点,增加了整体安全管理的难度。此外,安全产业的碎片化现象加剧了这种复杂性。
同时,通过合适的授权和认证机制来保护微服务的安全性,限制对敏感数据和功能的访问。 引入容器化技术: 微服务架构通常使用容器化技术进行部署和管理,最常见的是使用Docker容器。将每个微服务打包到独立的容器中,以便更好地隔离和部署。
容器:容器虚拟化技术已经成为广泛认可的容器技术服务器资源共享方式,容器技术可以在按需构建容器技术操作系统实例的过程当中为系统管理员提供极大的灵活性。
应用的调研:持续整个上云过程,在评估规划阶段只需要调研业务全景图,而在迁移试点和大规模上云阶段,则需要打开到每个应用系统的详细技术架构,收集每个应用系统的技术组件的详细信息,如组件版本信息,组件相关配置参数等。
IT管理系统:为了支撑业务系统的长期安全稳定运行所建立的IT支撑和管理系统,如安全运营中心、IAM和监控运维系统等。 子系统:大型业务系统或IT管理系统通常包含多个相互解耦且相互关联的子系统、功能模块或微服务,这些子系统相互协作,共同实现整体系统的功能。
确保正确地配置数据映射、消息路由和安全认证等关键参数。 测试和验证:在将集成应用投入生产之前,进行全面的测试和验证。确保新旧应用之间的数据传递和功能调用正常工作,并且没有任何破坏或冲突发生。 监控和维护:一旦集成应用上线,建立监控机制来跟踪集成环境的运行情况。
公共服务和管理区主要功能 根据公共服务和IT管理系统的需要创建VPC和子网,用于部署公共服务和IT管理系统所需的云资源。公共服务包括AD、DNS、文件系统、OBS桶、数据平台等;IT管理系统包括运维管理系统、安全管理系统等。 按照生产、开发和测试等运行环境划分不同的VPC。
IaaS IaaS 将计算、存储、网络和其他基础设施资源以云服务的形式提供给用户,用户基于这些云服务可以部署和运行任意软件,其中可能包括操作系统、数据库、中间件和应用程序。
表2 不同调研方式的综合对比 调研渠道 应用架构调研 技术架构调研 方法评估 业务 全景 业务域 业务 系统 应用系统模块 应用关联关系 技术 架构 (整体) 技术架构 (按业务域打开) 技术架构 (按业务系统打开) 技术架构(按应用系统模块打开) 技术架构(技术组件详情) 效率
数据应用可以是基于大数据分析的实时报表、可视化仪表盘、智能推荐系统、欺诈检测系统等。通过将大数据的分析结果与业务流程集成,可以实现数据驱动的业务决策和创新。 父主题: 大数据架构设计
法规遵从变化: 新的法规或合规性要求可能需要企业对IT系统进行调整,云平台通常能够更好地满足这些要求。 关键业务系统中断: 企业经历过关键业务系统的中断,收入和声誉受损,希望提高业务系统的可靠性,云平台可以提供更高的可靠性和容灾能力。
用户也可以自定义文件的元数据 访问方式 只能在ECS/BMS中挂载使用,不能被操作系统应用直接访问,需要格式化成文件系统(OS层,不涉及应用改造) 在ECS/BMS/CCE中通过网络协议挂载使用,支持NFS/CIFS(通用文件系统不支持CIFS),需要指定网络地址访问,也可以将网络地址映射为本地目录后访问
迁移工具兼容性 迁移工具的兼容性以各个迁移工具官网文档发布的最新结果为准: SMS兼容的操作系统清单 DRS兼容的数据库清单 OMS兼容的源端对象存储清单 CDM兼容的数据源清单 父主题: 设计迁移方案
通过 ABAC 可以更细粒度地设置访问控制的权限,例如运维人员张三只有启用了 MFA 认证后并且只能在晚上 12 点后、凌晨 4 点之前对指定的ECS实例进行关机和重启操作。 父主题: 精益化治理
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
