宁波中哲慕尚控股有限公司（简称“慕尚集团”）是国内领先的新零售休闲时尚服饰多品牌运营公司，专注男装市场，旗下有GXG系列和Yatlas两大品牌，采用全渠道商业模式，实现线上线下无缝购物体验。

新零售浪潮下，慕尚集团对信息化建设要求提升。其业务系统分散于某云和本地VMware虚拟化集群，但本地虚拟化架构与公有云不兼容，IT人员难以统一管理资源。为有效提升运营效率，集团希望替换当前的IT基础设施，可稳定有效承载核心业务，并实现云上云下统一管理。

现状与挑战

互访时延：云端系统如OA与本地系统交互存在高时延

WMS（Warehouse Management System，仓库管理系统）与其他系统交互时要求时延控制在毫秒级，公有云往往是集中的数据中心，与本地业务通过公网互访时延高，通过专线或裸线成本高，时延和成本难以平衡。

新园区建设，WMS业务急需上线：本地数据中心未完工

新数据中心建设周期长且耗资大，而大量业务急需短期上线，尤其是生产类系统如MES，WMS要保障现有业务稳定连续，还要兼顾未来升级、搬迁、灾备和资源管理等工作，IT 团队运维负担重。

异构基础设施：统一资源管理缺失

本地数据中心和云端数据中心基础设施异构，使二者无法统一管理，没有统一资源视图，限制了云服务能力向本地的扩展。

公有云服务：业务资源弹性需求与自主控制需求矛盾

采用公有云虽有优势，但导致核心业务资产归属感降低，需要既能利用云资源弹性同时能自主控制 IT 建设和保证资源专属性的方案。

项目技术方案

托管云解决方案

1. 整体解决方案架构

鉴于慕尚集团面临的问题及需求，深信服托管云整体解决方案的设计思路如下：

• 机房规划：鉴于慕尚集团面临的机房环境问题，自建私有云无法迅速解决这一挑战。因此，短期内采用云服务模式部署WMS是解决新建机房未建设完成问题的最佳选择。

• 资源规划：托管云为解决公有云资源不专属问题，为慕尚集团在信服云的托管云机房采用托管私有云资源专区。

• 低时延和高SLA保障规划：整体采用了同城托管私有云模式，通过专线方案打通托管云数据中心与慕尚集团本地数据中心网络，实现了业务跨数据中心低延迟访问。

• 安全规划：在托管云数据中心，配置了主机安全用于云服务器安全防护、VPN主要用于承载运维人员进行日常的运维、vAD进行WMS的业务负载、vAF用于VPC边界安全防护，确保业务的安全稳定运行和本地与云上的互相访问。

2. 网络架构规划

根据用户对内/对外/隔离上的要求，托管云通过虚拟私有云（VPC）进行隔离，并按照不同的业务属性分别创建了以下子网：

• 电商WMS系统子网；
• 线下WMS系统子网；
• 安全组件子网；
• 运维子网。

子网之间的通信和访问控制通过分布式防火墙（vAF）进行管理，确保网络的安全性和业务的隔离性。

• 托管云数据中心与用户数据中心网络拓扑：

整体网络架构采用主备裸光纤组网接入方式，其中托管云数据中心与用户数据中心之间通过两条独立的物理链路和10Gbps裸光纤实现互联，确保了数据传输的高速、稳定性、可靠性。

正常网络接入下，托管云数据中心与慕尚集团数据中心通过同城容灾链路（裸光纤主链路）进行通信。

当托管云数据中心与慕尚集团数据中心之间同城容灾主备链路其中一条链路故障时，能通过容灾主备链路自动切换至备链路，实现访问链路的切换。这种自动切换机制确保了访问链路的无缝切换，从而保障了业务的连续性。

3. 计算存储资源规划

根据原有WMS系统消耗资源为：304vCPU、1150GB内存、28.5TB存储，规划托管在托管云上的WMS仓储系统资源与原资源基本保持一致，采用3节点专属服务器+29TB存储。

4. 安全资源规划

基于慕尚集团新零售的业务特性，数据中心最核心的资产是数据，所以本次基于安全维度考虑，全方位设计数据中心的安全能力。

针对于核心业务系统，按照等保三级标准来规划，包括下一代防火墙vAF、终端检测响应EDR、堡垒机OSM、日志审计、数据库审计、基线核查（含漏扫）、VPN，全方位保护核心生产系统的安全。

• 堡垒机：为解决运维管理中身份鉴别与访问控制要求以及实现操作审计和追溯，数据泄露和滥用的问题。采用云堡垒机进行身份认证和访问控制，通过多种高级认证手段精准识别用户身份，同时严格限制用户权限，并且记录运维人员的操作，包括操作时间、指令等信息，还能重现操作过程的同时有效防止数据泄露和滥用，也能够避免账号共享、误操作和恶意操作等风险。

• vAF：通过部署下一代防火墙vAF将安全从数据中心边界延展到租户，实现租户云主机之间的微隔离，对数据中心内部流量进行L3-L4层安全防护；增强网络边界的安全检测与防控能力，保护租户云网络免受日益复杂的威胁入侵，保障用户的业务安全性和可用性。

• EDR：通过部署终端安全强化操作系统和关键应用软件的安全配置、进行身份鉴别、访问控制、安全审计、入侵防范等措施，能够有效防止恶意攻击和未经授权的访问，保障云主机系统的稳定性、可用性以及数据的安全性，从而满足等保对于信息系统安全保护的要求。

• vDAS：为保障数据的保密性、完整性和可用性，同时在发生安全事件后能够进行追溯和责任界定，采用云数据库审计记录数据库的各类操作，包括访问、修改、删除等行为。及时发现异常活动，如非法的数据访问、恶意篡改等潜在安全威胁以实现托管云上RDS for MySQL、Redis等数据库的安全。

• SIP-Logger：通过部署日志审计系统对网络运行状态、安全事件等进行记录并留存同时日志审计能够收集汇总各设备的审计数据，通过分析挖掘可及时发现入侵攻击、内部违规等安全问题，为安全事件的事后调查取证、责任界定提供依据，有助于全面掌握信息系统的安全状况，从而更好地保障云上系统的安全运行。

• 基线核查（含漏扫）：对云主机上的业务上线前进行安全上线检查（针对云主机检查病毒、漏洞、安全配置），及时发现各类系统中存在的错误安全配置、漏洞，协助企业发现并修正安全策略配置和修复漏洞。

5. 业务迁移

本次迁移业务系统迁移过程中，主要考虑如何降低整体的停机时间。

本次迁移将业务的迁移分为两个批次进行迁移。每个批次的迁移数据传输过程不影响业务的正常运行，只在业务迁移的割接期间需要业务停机，每批次迁移业务停机时间在30分钟以内。

针对业务迁移停机时间的问题，本次迁移主要采用两种方式进行，确保停机时长控制在30分钟之内。同时，将停机时间安排在了晚上和周末，与用户事先协调一致，从而最大限度地减少了对集团日常业务运作的影响。

6. 解决方案清单

业务运行情况

当前，业务已稳定运行在托管云上，WMS数据库业务运行正常。

云上RDS采用每周全量+每天增量备份，保障业务数据的可靠性。

以下是WMS应用服务器的运行情况，用户WMS采用两节点高可用部署，每个节点的配置是12C32GB的配置，使用vAD进行应用负载，从当前的CPU、内存使用率和存储的IO来看，完全能够支撑业务系统的性能要求。

用户价值

统一纳管VMware，构建高效云容灾体系

通过使用托管云管理平台可以纳管线下VMware平台，实现云端与线下环境的统一管理，在进一步降低运维成本的同时，未来计划还将基于统一的云架构，建立一套高效的云上容灾体系，以增强用户对潜在业务中断的抵御能力。

专业的应急处理能力和方案规划，稳定用云

在突发的云计算紧急状况中，托管云不仅能够迅速识别问题根源，还能即刻执行有效的解决方案，确保在最短时间内化解危机，从而将对用户业务造成的干扰和影响降至最低水平。同时为用户提供稳定可靠的方案规划，针对用户的云服务使用情况，精心设计一系列全面且极具针对性的保障方案。此方案不仅考虑到了当前的稳定运行，还充分预估了未来可能出现的各种情况，为用户在长期的云服务使用期间提供持续稳定且可靠的系统支撑。

高级版VPC代维服务，释放运维人员的IT压力

通过专享服务计划，有效解决用户运维人员不足的问题，从日常虚拟机创建、策略配置到配置修改等都由管家来执行。此外，线上管家能够在用户进行IT规划时给出专业建议，极大减轻了用户运维团队负担，使其能专注于业务创新与发展。

智能安全防护服务，保障用户核心业务安全

通过托管云安全防护服务，对WMS核心业务系统资产进行防护，定期进行安全策略检查与配置、业务安全健康检查和威胁事件处置，重大事件应急响应7*24响应服务，保障这些业务系统安全。

专属的资源，满足CIO自主分配IT资源的诉求

为了满足用户对资源专属性、低延迟访问以及数据主权的需求，采用托管云本地机房进行就近接入。这种方式确保了WMS在高峰期能以低时延、高性能运行，有效支撑用户的高并发访问需求。

深信服托管云持续关注用户的真实需求，以贴心服务、安全有效、专属可控、灵活开放为核心，为各行业用户打造更全面的云底座，以创新技术与完善方案支撑用户业务发展。