检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
检测到您已登录华为云国际站账号,为了您更好的体验,建议您访问国际站服务网站 https://www.huaweicloud.com/intl/zh-cn
不再显示此消息
调研应用部署架构 应用部署架构的调研是在试点迁移或大规模迁移阶段进行的,应用部署架构是基于单个应用进行调研的,主要调研应用的四层部署架构,即接入层、应用层、中间件层和数据层,同时还要调研每一层技术组件的详细信息,比如规格、版本、容量等。具体的调研内容如下: 调研应用的四层部署架构 收集接入
工作量。 弹性扩展和自动伸缩:设计云上的大数据集群时,应考虑集群的弹性扩展和自动伸缩能力。这意味着集群可以根据工作负载的需求自动增加或减少计算和存储资源,以提高性能、效率并节约成本。 容错和高可用性:云上部署的大数据集群应具备容错和高可用性,以保障系统的可靠性和稳定性。这可以通过
简介 标签是用于标识和分类云资源,通常由键(Key)和值(Value)组成。当用户拥有相同类型的许多云资源时,可以使用标签按各种维度(例如用途、所有者或环境等)对云资源进行标识和分类,然后基于标签进行资源筛选、成本归类和细粒度权限设置等,从而简化资源管理和优化成本。 如下图所示,
调研应用全景图 应用迁移的调研信息是由粗到细、逐步迭代的,持续整个上云周期,在前期主要是调研应用的全景图,在迁移阶段,要打开每个应用,调研详细的部署架构和组件信息。应用的调研需要找各业务域的应用架构师和应用运维管理员。 应用全景图的调研是在评估规划阶段进行的,一般按照业务域->业务系统->应用模块逐层打开,如下图:
审查和调整访问控制 审查目标平台上的访问控制机制,并根据源端平台的权限设置进行调整。确保访问控制能够限制用户的访问范围,并遵循源端平台的权限规则。 安全审计和监测 设置安全审计和监测机制,确保目标平台上的权限设置得到有效的审计和监测。这可以帮助发现和防止未经授权的访问,并及时采取相应的措施。
和同步。增量作业是指在迁移过程中新增的、需要定期运行的作业。 作业双跑 在增量作业迁移和同步成功后,进行作业双跑。作业双跑是指在新的大数据平台上同时运行原有系统和新系统的作业,以验证新系统的结果和原有系统的一致性。这可以通过比较作业输出、日志和指标等来判断两个系统的结果是否一致。
根据业务系统的需要创建VPC和子网,部署各种业务系统所需的云资源。 按照生产、开发和测试等运行环境划分不同的VPC。 按照应用架构分层划分Web、应用、数据等子网。 公共服务和管理区主要功能 根据公共服务和IT管理系统的需要创建VPC和子网,用于部署公共服务和IT管理系统所需的云资源。公共服务包括AD、
息。 负责设计和管理业务系统在云上的应用架构,包括应用的架构模式、技术选型、部署方式等,确保应用的性能、可扩展性、安全性和可靠性。 与数据架构师和云架构师紧密合作,确保应用架构与数据架构和云架构的兼容性。 指导开发团队进行应用开发和部署。 深入理解各种应用架构模式和设计模式,例如微服务架构、事件驱动架构等。
些工具和系统支持在海量数据集上进行查询、聚合和可视化,以提供数据洞见和决策支持。 任务调度: 大数据平台通常需要处理复杂的数据作业。任务调度系统(如Azkaban等)用于管理和调度各种数据处理作业,可以设置作业的依赖关系、调度频率、重试策略等,以确保作业的顺利执行和任务的准时完成。
安全运营 概述 安全运营框架 安全配置基线 软件工程安全 人员安全管理 云原生安全服务 父主题: 运维治理
集中化的IT治理。CCoE团队赋能应用团队全权负责业务系统所需云资源的部署和运维,这样既可以减轻CCoE团队的负担,又可以提升应用团队的自主性,进一步提升应用系统的敏捷性。为避免各业务单元独立部署和运维云资源带来的标准不统一问题,CCoE团队需要制定相应的IT治理策略强制各个业务
性能匹配 存储服务的性能指标包括传输带宽、IOPS和时延等,如下表所示,您需要根据业务系统的性能要求和特点选择最合适的存储服务及对应的规格。 另外,EVS和OBS对所存储对象的大小无限制,SFS通用容量型不适合1MB以下的海量小文件应用,SFS Turbo和后续的SFS通用性能型可支撑海量小文件应用。
可能地降低部署和运维的成本。 可运维性:可运维性设计的目的是提高系统的可维护性(包括自动化部署、监控告警、日志分析、容量规划、故障排查等),保障系统在运行时的状态可视化,故障时的快速恢复。 其中安全性、成本和可运维性这三个设计要素是全局的,在基础环境中进行统一设计,应用部署架构设
IaC Infrastructure as Code 基础设施即代码 IAM Identity and Access Management 身份和权限管理 IDC Internet Data Center 互联网数据中心 IDP Internal Developer Platform 内部开发平台
到好处的权限,确保他们只能访问与其工作相关的资源和操作。这不仅提高了安全性,还减少了权限滥用的风险。关于IAM策略的详细介绍,请查看这个链接。 在华为云中,身份控制策略主要通过SCP和IAM策略来实现。如果同时设置了SCP和IAM策略,对用户来讲实际有效的权限范围是两者的交集。 网络控制策略
制这些风险,最大化业务收益,保障业务的持续增长。 华为云基于自身的IT治理实践经验和帮助大量客户实施IT治理的经验,总结了如下图所示的云上精益治理体系,对企业在云上的“人才物权法”等要素进行集中化和精益化治理。下图中的组织分级分域管理、集中化IT管理、全方位数据边界、精细化权限控制是华为云Landing
为了实现业务单元的安全和故障隔离,华为云的推荐做法是将不同业务单元的应用系统分别部署在不同的账号中。华为云账号具备以下三个属性。 华为云账号是一个资源容器,用户可以在其中部署任意云资源和上层业务应用系统,不同的账号相当于不同的资源容器,账号之间是完全隔离的。因此在一个账号中的故障和安全风险不会影响和传播到其他账号。
数据中心网络(可信网络)访问云资源的请求也会被拒绝,可信身份访问其他企业的对象存储桶(不可信资源)的请求还会被拒绝,只有可信身份通过本地数据中心网络(可信网络)访问本企业的云资源的请求是允许的。 图1 全方位数据边界 通过全方位的数据边界提供的保护措施,您可以实现如下数据保护能力:
Landing Zone解决方案参考架构 这九大领域的实施需要在特定的账号内完成,比如组织与账号管理是在主账号(管理账号)中完成,而集中网络管理主要是在网络运营账号中完成。下表是九大领域对应的主要账号。 表1 九大领域对应的主要账号 九大领域 对应的主要账号 组织与账号管理 主账号(管理账号)
是数字化转型的开始,我们还需要持续进行巩固和优化,通过“应用现代化”来应对新的IT和业务的需求,支撑云上业务发展,“上云”只是做了搬运工和架构师的事,“云上”我们要做体验官,通过使用云的新技术来不断优化业务体验,支撑业务创新。 近年来各大云服务商都提出了应用现代化的愿景。数字化时
长按/截图保存,微信识别二维码
或者关注公众号“华为云”
