企业级应用混合云部署 Azure China 实战 下篇

GTI广州科宸(点击此处观看原文和视频)

为某国企的传统业务（环保治理应用）进行科技赋能 – 企业级应用混合云部署。由原有为用户交付企业级应用转变为平台级管理 + 运维的新型商业模式，大幅增强用户粘度并提高长期盈利能力。文中甲方为某城市地方政府，乙方为某国企。

• 仅依赖专业领域的软件开发的商业模式存在着业务单一，与用户服务粘性不够，长期盈利能力弱的缺点；
• 甲方没有该项目的机房与基础架构，也没有IT运维人员；
• 甲方有意愿将基础架构以及运维人员整个打包给乙方，但是乙方并不太愿意在甲方所城市招聘长期运维人员；
• 如果帮助甲方搭建机房和基础架构等，一次性总体投资很高，整体方案的商务缺乏价格竞争力；
• 甲、乙双方两地相隔1300公里，适逢疫情发生，人员交流沟通、现场实地勘察、货物运输和实施等等受阻；
• 国家加大新基建投资，环保领域属于其中。故此时间紧迫，抓住商机，加速交付。

• 企业级应用(环境治理软件)平台由 Web 服务器、应用服务器和数据库3种不同用途的系统组成；
• 原则上需要考虑系统的高可用；
• 需要满足等保2.0的合规需求；
• 提供受管理的虚拟桌面提供给甲方使用；
• 需要做到数据的可靠性安全。

• 自由上下云：应用和数据能够自由地上云和下云，或者在多个云中自由地迁移。对业务的影响尽可能的减小，既要能够保护以往的投资，同时尽可能不被公有云锁定，用户拥有自由的选择性。
• 运维管理一致性：最大限度的运用已有的人力资源、不增加新的人手，在公有云上所选择的重要基础架构设施以及网络空间安全组件与企业现有的私有云保持一致。
• 网络空间安全 等保3级2.0：等保3级2.0明确指出公有云安全主要是责任共担。所以必须要重视，必须要主动合规，不然一旦受到处罚会影响到业务的运营。

定制化解决方案：

• 将定义的应用系统，工作人员的工作空间，所有的数据，网络空间安全四个核心子系统全部部署在混合云中，完全由乙方代为管理和控制，甲方很难触碰到，增加用户的粘性；

• 主要架构放在世纪互联 - Azure China 上运行，甲方本地无需投资新的数据中心机房，无需建风火水电等系统，降低初期基建成本；

• 业务主应用考虑高可用方案，各种类型的应用有2份，并放置在可用性集中，防止由于Azure计划维护造成的业务中断；

• 部署世纪互联 CDN 解决方案提供站点的访问速度增强体验，同时提高互联网访问的安全性；

• 部署Citrix ADC，提供网站的WAF功能，高级7层负载均衡，以及虚拟桌面安全网关，并提供 OTP 双因素认证功能；

• 部署 NetApp Cloud Volume ONTAP，提供数据库以及虚拟桌面的用户数据的存放，并异步同步回乙方的数据中心私有云内；

• 部署数据库审计系统 – 安华金和，完成数据库层面的安全审计；

• 部署PaloAlto NGFW VM-300，Traps和Cortex XDR订阅，实现零信任网络安全模型的建立，系统防护以及安全态势感知；

• Azure 云端和乙方指挥中心之间的多条运营商本地互联网链路，结合Citrix SD-WAN 实现链路逻辑捆绑，增加链路的高可用性以及带宽，同时降低MPLS专业的费用；

• 部署Citrix Virtual Desktop and Apps 提供标准化的安全桌面及应用，防止数据外泄，屏幕可以加水印； 部署Office 365 商业高级版（中国版），提供正版Office、邮件系统以及协作会议工具Teams；

• 会议系统建议使用 Teams，需要结合本地的数字化Polycom等系统；

• 该设计已经考虑未来多云的部署，所投资的所有的软件许可可以无缝部署在AWS或阿里云上，避免投资浪费，为实现未来多云战略打下了良好基础；

• 由于混合云的基础架构和安全产品选择与私有云保持一致，能够显著降低运维支持人员技能要求，也能降低运维方面出错的机率；

• 该方案交付灵活，无需等待采购运输，无需去用户现场实施，时间效率大幅提升。

疫情期间在Azure China的大力支持下，我们云基础架构和网络安全团队为大家准备了定制化企业级应用混合云部署解决方案。无论您是我们的老客户，还是新朋友欢迎与我们团队任何一位成员联系并咨询，应用场景合适的即刻提供5仟人民币的Azure体验金，赶快行动。（团队成员具体联系方式在本文章的末尾处）

通过我们所接触到众多实际案例分析得出，很多客户在上云的初期阶段网络分割采用的是Azure 所提供的VNet和NSG两个隔离和控制的组件。但随着业务的发展，安全问题开始暴露、合规性问题也开始显现。

应对：

• PA NGFW Azure上的VM系列解决了这些难题：
• 通过应用程序可见性和精确控制来保护您的Azure工作负载；
• 防止威胁在工作负载之间横向移动，并阻止数据泄露；
• 通过自动化和集中管理，大幅提高管理效率和成本效益。

交付：

• 互联网入口、内网区域的分割与控制采用了零信任网络安全模型的最佳实践原则。
• 定义出需要保护平面 Define Your Protect Surface
• 梳理并映射保护平面的事务流 Map the  Protect Surface Transaction Flows
• 架构零信任网络 Architect a Zero Trust Network
• 创建零信任策略 Create the Zero Trust Policy
• 监控和运维网络Monitor and Maintain the network  

实践：

如下有4篇技术实战的经验分享供大家参考。

引用与我们的技术经理Tony Ding的Blog：Https://www.tonywalker.tech

《Palo Alto NGFW 9.0 在Azure China上组成Active Standby HA架构》

《Palo Alto 镜像手动部署至Azure China》

《3个VNet通过虚拟路由器互联的问题》

《3个VNet Peering对等连接的路由问题》

管理服务：

• 资源优化；

• 节省云消费。
  

• 自动化审计报表-资源的利用；
  
• 集成Power BI工具进行可视化并展现
  
• 业务人员自助管理优化资源（创建/回收）
  
• 服务工单流程管理（创建/跟踪/变更）
• 云消费分析报告
  
• 等等（定制化开发）

GTI云战略布局，是以微软Azure为基础逐步展开。提供上云的咨询、设计、验证、交付、以及后期管理运营一站式定制化解决方案和专业服务。我们的特色在于可以帮助用户交付本地、私有云与共有云始终如一混合云解决方案，坚持自由上下云、运维管理一致性、网络安全主动合规等保三级2.0的三个基本原则。助力企业通过IT手段提升业务竞争力和客户体验，加速数字化转型的旅程。

工程师团队目前Azure的技能和项目经验集中在架构咨询设计，数据管理，网络安全，利用率和成本分析报告，网络优化，等保2.0，数字安全工作空间等领域。