部署概述
本方案面向双机房本地化部署的企业ERP系统,满足复杂网络与高安全要求。架构目标:
- 应用层双活部署(两机房均承载业务流量),通过企业WAF做南北向安全与SSL卸载,经L4负载均衡器转发至应用虚机;东西向采用微隔离策略。
- 数据库层以“同城高可用 + 异地容灾”设计:主库与同城机房内同步备库(同机房/同城),跨机房采用异步备库,避免跨站延迟对写入性能的影响。
- 满足并发3000用户、5年数据增长约5TB,预留30%性能冗余;每日备份窗口23:00–02:00;严格对齐企业安全基线与年度审计要求。
- 全面本地化与离线运维:离线软件仓库、安装包验签、堡垒机集中运维、日志集中至SIEM;传输TLS1.2+,静态数据AES-256(含服务器盘LUKS加密与KMS托管密钥)。
环境要求
- 物理/虚拟资源
- 每机房4台x86_64服务器:2×16核CPU、128GB内存、系统盘2×960GB SSD;接入16Gbps至共享SAN(RAID10,总容量≥20TB,多路径)。
- 操作系统:企业级Linux 8.x(SELinux enforcing,chrony对时,时区Asia/Shanghai)。
- 虚拟化平台:提供应用/数据库虚机,规格vCPU 8–16,内存16–64GB;支持反亲和、快照、资源池、网络分布式交换机。
- 网络与安全
- 双机房互联两条独立专线(各10Gbps),机房内部万兆接入。
- VLAN:V10-管理、V20-应用、V30-数据库、V40-DMZ;仅经L4负载均衡器与防火墙访问应用/数据库。
- 南北向:WAF与SSL卸载;东西向:微隔离策略。
- 端口最小化:应用80/443、管理22/8443、DB 1521(Oracle)/5432(PostgreSQL)按需开通。
- DNS:双活记录与健康检查。
- 跨机房数据库流量QoS优先级提升。
- 安全与合规
- 账户统一接入LDAP,关键操作启用MFA与审批流;最小权限与角色分权。
- 传输TLS1.2+;静态数据AES-256;密钥由内网KMS托管并按季度轮换;服务器磁盘LUKS加密。
- 堡垒机集中运维、会话与命令留痕;日志集中到SIEM,关键系统日志保留≥1年。
- 安装包离线验签(SHA256与证书链),生产环境禁止直连互联网。
- 备份策略3-2-1与季度恢复演练。
- 规划建议(容量与角色)
- 每机房应用层:3台应用节点(vCPU 12–16,内存32–48GB)、1台报表/渲染节点(vCPU 12,内存32GB)、1台作业/集成节点(vCPU 8–12,内存16–32GB)。根据实际负载可在两机房间等量部署,总计约10–12台应用类虚机。
- 数据库层(示例PostgreSQL):主库(DC-A)vCPU 16,内存64GB;同城同步备库(DC-A)vCPU 16,内存64GB;异步备库(DC-B)vCPU 16,内存64GB。Oracle场景建议主库+同城同步Standby + 异地异步Standby(Data Guard)。
- 存储:ERP数据与日志初始2–3TB分区,5年增长5TB,预留日志/WAL/归档空间≥2TB;报表渲染临时目录放置高速LUN。
部署步骤
- 物理与基础系统准备
1.1 机柜与链路:完成服务器上架与电源、万兆上联;SAN分区与主机组绑定,启用多路径;划分存储LUN(系统盘独立,数据/日志盘从SAN)。
1.2 OS安装与加固:企业Linux 8.x最小化安装;启用SELinux enforcing;配置chrony与时区;安装企业CA与内网KMS客户端。
1.3 磁盘与加密:对数据/日志LUN执行LUKS加密(AES-256),上层LVM分区,挂载至标准路径(/data、/logs);加密密钥由KMS托管。
1.4 离线仓库:在内网镜像源搭建离线软件仓库,导入GPG根证书;服务器指向内网仓库,禁止外连互联网。
1.5 账户与审计:接入LDAP(SSSD),配置sudo基于组最小授权;启用MFA与审批流程;开启auditd与rsyslog转发至SIEM。
- 网络与安全域配置
2.1 VLAN与子网:V10(管理)、V20(应用)、V30(数据库)、V40(DMZ);为虚机分别分配对应端口组。
2.2 防火墙策略:最小化开放,仅允许WAF→L4LB→应用443/80;应用→数据库1521/5432;管理22/8443;禁止东西向非授权访问;对DB跨机房流量设置QoS优先队列。
2.3 WAF与SSL卸载:在DMZ完成证书部署(企业CA签发),开启TLS1.2+与合规套件;配置健康检查与黑/白名单策略、SQL注入/XSS规则。
2.4 DNS与健康检查:为两机房的WAF/入口地址配置A记录双活与健康检查;故障自动摘除节点。
- 虚拟化平台准备
3.1 资源池与规则:建立应用与数据库资源池;为关键虚机配置反亲和(跨宿主机分布),禁止与同一SAN端口拥塞;启用定期快照策略(非生产高并发期)。
3.2 虚机创建:按规划创建应用、报表/渲染、作业/集成、数据库虚机;分配vCPU/内存;多网卡分别接入V10/V20/V30;系统盘SSD,数据/日志盘映射SAN LUN。
3.3 基线加固:加载CIS/企业安全基线(SSH、sudo、日志、内核参数、文件权限);仅开放必要端口;部署堡垒机公钥访问。
- 数据库部署(选择其一或并行评估)
4.1 PostgreSQL(示例)
- 主库(DC-A)初始化,开启WAL归档;同城Standby配置同步复制;异地Standby配置异步复制。
- 加密:传输TLS、磁盘LUKS;备份归档目录加密;凭证保管在KMS。
- 连接控制:pg_hba限制仅应用子网与管理子网;数据库用户按角色分权。
4.2 Oracle(示例)
- 主库(DC-A)部署并启用Data Guard:本地同步Standby(最大保护/最大可用模式按RPO/RTO选择),跨机房异步Standby。
- 加密:传输加密与表空间加密(结合企业密钥托管策略);监听仅允许应用与管理网段访问。
- 备份:RMAN日常备份策略,归档日志单独LUN与配额控制。
- 应用与中间件部署
5.1 JDK与组件:安装JDK 17;按企业批准清单离线部署PDF渲染与条码打印组件,并完成SHA256与证书链验签;组件运行权限最小化(专用服务账户)。
5.2 ERP应用集群:在两机房分别部署应用节点,统一指向数据库主库;配置会话与缓存策略满足双活(避免本地状态耦合);日志写入本地并集中收集至SIEM。
5.3 负载均衡:L4LB后端指向各应用节点,健康检查与权重设置;前置WAF完成SSL卸载与L7策略,向L4LB以纯TCP转发。
5.4 身份与邮件:应用接入内部LDAP/SSO(SAML/OIDC);配置SMTP中继发送通知;启用MFA对管理操作进行二次校验。
- 备份与恢复
6.1 策略:3-2-1(至少3份、2种介质、1份异地);每日备份窗口23:00–02:00;数据库热备+归档日志;应用与配置文件增量备份。
6.2 测试:季度恢复演练(含单表/整库、跨机房演练、应用文件与证书恢复);记录RTO/RPO与差距改进。
6.3 保留与加密:备份链路与介质加密;备份校验与索引;关键备份元数据纳入KMS与SIEM审计。
- 监控与审计
7.1 指标:CPU/内存/IOPS、WAL/归档积压、复制延迟、应用响应时间、错误率、队列长度。
7.2 日志:系统/应用/数据库/安全日志集中收集,保留≥1年;告警路由至运维平台。
7.3 合规:年度审计所需报表自动生成;权限变更与审批留痕。
配置示例
以下示例为模板,需根据企业软件与安全基线调整。
server ntp1.internal iburst
server ntp2.internal iburst
driftfile /var/lib/chrony/drift
makestep 1.0 3
logdir /var/log/chrony
- SELinux常用设置(保持enforcing,按需添加策略,不建议关闭)
# 检查模式
getenforce
# 生成本地策略示例(根据审计日志定制)
# ausearch -m avc -ts recent | audit2allow -M erp_local
# semodule -i erp_local.pp
defaults {
user_friendly_names yes
find_multipaths yes
polling_interval 10
}
blacklist {
devnode "^sd[a-b]$" # 排除系统盘
}
devices {
device {
vendor ".*"
product ".*"
path_grouping_policy multibus
path_checker tur
features "1 queue_if_no_path"
no_path_retry 30
}
}
# LUKS加密
cryptsetup luksFormat /dev/mapper/mpatha --type luks2
cryptsetup open /dev/mapper/mpatha data_luks
# LVM
pvcreate /dev/mapper/data_luks
vgcreate vg_erp /dev/mapper/data_luks
lvcreate -n lv_data -L 2T vg_erp
mkfs.xfs /dev/vg_erp/lv_data
mkdir -p /data
echo "/dev/vg_erp/lv_data /data xfs defaults,noatime 0 0" >> /etc/fstab
mount -a
# 在镜像服务器
reposync -m -r base -r appstream -p /repo/mirror
createrepo /repo/mirror/base
createrepo /repo/mirror/appstream
# 客户端指向内网源(/etc/yum.repos.d/internal.repo)
[internal-base]
name=Internal Base
baseurl=http://repo.internal/mirror/base
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-INTERNAL
验签:
sha256sum package.rpm
rpm --checksig package.rpm
- rsyslog转发至SIEM(/etc/rsyslog.d/siem.conf)
$DefaultNetstreamDriver gtls
$DefaultNetstreamDriverCAFile /etc/pki/siem/ca.crt
$ActionSendStreamDriverMode 1
$ActionSendStreamDriverAuthMode x509/name
*.* @@siem.internal:6514;RSYSLOG_SyslogProtocol23Format
- 应用Systemd服务(/etc/systemd/system/erp-app.service)
[Unit]
Description=ERP Application Node
After=network.target
[Service]
User=erpapp
Group=erpapp
Environment=JAVA_HOME=/opt/jdk-17
Environment=ERP_CONF=/opt/erp/conf
Environment=ERP_OPTS="-Xms4g -Xmx8g -XX:+UseG1GC -Dfile.encoding=UTF-8"
ExecStart=/opt/jdk-17/bin/java $ERP_OPTS -jar /opt/erp/erp-app.jar --spring.config.location=$ERP_CONF/
Restart=on-failure
RestartSec=5
LimitNOFILE=65536
[Install]
WantedBy=multi-user.target
- TLS强制(示例OpenSSL系统策略,/etc/crypto-policies/policies/local.policy)
# 基于企业策略,禁止不安全套件
TLS.MinProtocol = TLS1.2
Ciphers = TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
- PostgreSQL主库(/var/lib/pgsql/data/postgresql.conf)
listen_addresses = '0.0.0.0'
port = 5432
max_connections = 1000
shared_buffers = 16GB
work_mem = '64MB'
effective_cache_size = '48GB'
wal_level = replica
archive_mode = on
archive_command = 'test ! -f /archives/%f && cp %p /archives/%f'
max_wal_senders = 16
synchronous_commit = on
synchronous_standby_names = 'FIRST 1 (dcA_standby1)'
hot_standby = on
ssl = on
ssl_cert_file = '/etc/pki/postgresql/server.crt'
ssl_key_file = '/etc/pki/postgresql/server.key'
- PostgreSQL访问控制(/var/lib/pgsql/data/pg_hba.conf)
# 本地
local all all peer
# 管理网段(V10)
host all dba_role 10.10.10.0/24 cert clientcert=1
# 应用网段(V20)
host erpdb erp_app 10.20.0.0/16 md5
# 复制
host replication replicator 10.30.0.0/16 md5
backend erp-app
mode tcp
option tcp-check
tcp-check connect
tcp-check send "GET /health HTTP/1.1\r\nHost: app.internal\r\n\r\n"
tcp-check expect rstring "UP"
server app1 10.20.1.11:443 check weight 10
server app2 10.20.1.12:443 check weight 10
server app3 10.20.1.13:443 check weight 10
- SSSD对接LDAP(/etc/sssd/sssd.conf)
[sssd]
services = nss, pam
config_file_version = 2
domains = internal.local
[domain/internal.local]
id_provider = ldap
auth_provider = ldap
ldap_uri = ldaps://ldap.internal.local
ldap_search_base = dc=internal,dc=local
ldap_tls_reqcert = demand
cache_credentials = True
access_provider = simple
simple_allow_groups = ops, dba, appadmin
- 仅允许TLS1.2+与合规套件
- 启用OCSP Stapling与HSTS(谨慎评估与灰度)
- 开启Anti-DDoS限速、IP信誉、Bot防护、SQLi/XSS/CSRF规则
- 后端健康检查:/health,阈值与摘除策略
验证检查
- 硬件与基础
- SAN多路径生效(multipath -ll正常显示)、IOPS与延迟符合预期。
- LUKS加密挂载正常,密钥托管在KMS,重启后自动解锁策略按批准执行。
- SELinux enforcing,auditd日志无高危拒绝;chrony对时与时区正确。
- 网络与安全
- VLAN与ACL生效,仅必要端口开放;跨机房DB流量QoS优先队列可观测。
- WAF策略命中,SSL卸载工作正常;TLS1.2+与套件符合企业标准。
- DNS双活与健康检查验证切换;L4LB健康检查与权重正确。
- 堡垒机登录留痕,LDAP账户与MFA管控有效。
- 数据库
- 主库/同步备库/异步备库状态正常;复制延迟≤目标阈值。
- 归档日志持续产出,备份作业在23:00–02:00窗口内完成且校验通过。
- 角色分权、最小权限与密码策略符合基线。
- 应用
- 全链路健康(/health),报表与PDF渲染、条码打印功能验证通过。
- 并发压测达到3000用户,端到端响应时间在SLA内,资源使用率≤70%(保留30%冗余)。
- 日志采集与告警策略触发正常。
- 备份与恢复
- 3-2-1副本完整;离线恢复演练通过(含跨机房与点时间恢复)。
- 备份加密、校验、索引可用;恢复RTO/RPO达标。
故障排除
| 场景 |
现象 |
可能原因 |
处置步骤 |
| SAN多路径不生效 |
单路径显示/IO抖动 |
multipath配置错误/黑名单未排除系统盘 |
检查multipath.conf;重新扫描与重启multipathd;确认WWN绑定与分区策略 |
| LUKS卷无法挂载 |
开机后挂载失败 |
密钥未加载/KMS策略未生效 |
使用恢复密钥临时解锁;核对systemd-cryptsetup;检查KMS客户端与策略批准 |
| chrony不同步 |
时间漂移 |
NTP源不可达/ACL阻断 |
检查ntp端口与ACL;替换NTP源;chronyc sources/tracking分析 |
| SELinux拒绝 |
应用异常/权限错误 |
未创建本地策略 |
用audit2allow生成最小策略并审查;避免宽松设置 |
| LDAP认证失败 |
无法登录 |
证书/搜索基错误 |
检查sssd.conf与证书链;journalctl -u sssd;ldapsearch验证 |
| TLS握手失败 |
WAF前端报错 |
套件不兼容/证书链问题 |
openssl s_client排查;统一TLS策略;更新证书与中间链 |
| WAF误拦截 |
业务被阻断 |
规则过严 |
灰度调整规则;为受信路径设白名单;保留审计 |
| DB复制延迟大 |
报表慢/写入阻塞 |
异步链路拥塞/WAL归档积压 |
提升跨机房QoS;扩容带宽;检查归档目录与IO |
| WAL不归档 |
归档目录空 |
archive_command失败 |
检查权限与磁盘空间;启用告警;修复后补投递 |
| LB健康检查失败 |
节点频繁摘除 |
健康URL错误/防火墙阻断 |
修正检查路径与报文;确认L4LB→应用的ACL |
| JVM内存溢出 |
应用重启/卡顿 |
Xmx过小/泄漏 |
调整Xms/Xmx;开启GC日志;审查内存热点 |
| PDF/条码失败 |
生成报错 |
字体/组件未签名/权限不足 |
安装字体库;复核组件验签;授予只读所需路径权限 |
| 备份窗口超时 |
超出02:00 |
并发不足/压缩过慢 |
调整并发与压缩级别;增量策略优化;预热缓存 |
| 跨机房吞吐低 |
复制/应用慢 |
QoS未生效/路由次优 |
检查优先队列与路由;与网络团队联调 |
运维建议
- 安全与合规
- 按季度密钥轮换与证书更新;每年审计与渗透测试整改闭环。
- 权限审查与最小权限维持;变更须经审批与MFA。
- 定期复核WAF/LB/防火墙规则与微隔离策略,最小暴露面。
- 配置与补丁
- 每月补丁窗口(预生产回归后生产发布);离线仓库签名校验与回滚计划。
- 版本控制所有配置(Git内网仓)与变更审计;Systemd单位与数据库配置模板化。
- 监控与容量
- 建立SLO:响应时间、错误率、可用性;资源阈值告警(CPU>80%、IO等待>20%、复制延迟>2s)。
- 半年度容量评估(用户增长/数据增长/IOPS曲线),提前扩容。
- 备份与演练
- 3-2-1持继遵从;季度恢复演练覆盖整库与点时间恢复;演练报告纳入审计。
- 运行手册与应急
- 编写故障切换Runbook:应用摘除→DB主备切换→DNS/LB调整→验证→回退;定期桌面演练。
- 重大变更设灰度与监控守护;出现异常自动降级或限流策略。
- 运维通道与留痕
- 通过堡垒机统一运维;命令与会话留痕;敏感操作MFA与审批。
- 日志留存与归档策略执行(≥1年),SIEM规则定期优化。
本方案不引入未经企业安全验证的第三方组件;涉及PDF渲染与条码打印的具体软件由企业白名单选择并离线验签后部署。所有步骤遵循企业IT治理与安全基线要求,如需进一步细化到特定数据库品牌或ERP产品,请提供具体版本信息以输出更精确的指令与模板。
