近年来，得益于中央政府一系列的扶持政策以及云计算、大数据和AI等技术在支付领域的深化应用，面向小微企业、个体工商户等群体的普惠支付有了极大的发展。

某支付机构基于创新科技和完善风控能力，聚焦互联网支付、银行卡收单（全国 )、移动电话支付许可等业务，业务遍布全国。在技术引领业务发展的战略下，根据央行最新发布的《云计算技术金融应用规范》行业标准规定，选择多云架构，支撑业务快速发展。

为保证支付业务在安全性、合规性、稳定性、网络质量等方面满足监管的严格要求，防范因云服务缺陷引发的风险向支付业务传导，需要专业的运维服务商协助完成云上云下网络互通、云上容灾架构设计和整体系统迁移。

经过多方评比，云掣凭借在金融行业持续交付的实践经验，以及在云端网络安全、架构设计、数据保护、业务连续性保障等方面的技术实力，赢得了该头部支付机构的信任，承接了整体的迁云任务。

迁移需求

本项目需要将服务于广大用户的支付收单系统，从IDC平滑迁移到公共云上。涉及的生产环境以及云上的生产环境的相互连通。

主要难点

1、网络复杂度高

除了需要建立云下办公环境、云下生产环境、云上测试环境 、云上生产环境之间的整体网络通路，还需要根据安全合规要求设置合理的网络访问限制，例如：

• 统一公网出口设计；

• 云下办公环境单向访问生产测试环境；

• 生产、测试环境数据单向传输，生产数据不能回溯测试环境；

• ......

2、全局高可用

全部应用要求做到同城双活，数据库均采用主备模式，消息中间件及分布式缓存系统均采用集群模式，迁移前后应用架构保持完全一致。

3、克隆式还原

从IDC迁移到公共云，需要按照1:1的资源配比进行系统还原，同时保持两个环境使用的产品版本完全兼容。

4、数据类型多

待迁移数据类型较多，包括200+数据可视化图表、200+批处理函数、日增量为30G的日志索引等其他类型应用数据，涉及对象存储、归档存储、文件存储、云数据MySQL、Oracle、OceanBase等云服务。

解决方案

1、网络连通方案

针对严格的限制要求，云掣在充分调研的基础上，设计了整体网络连通方案。由于业务属性存在一定差异，生产、测试环境均设置多个网络隔离区。用户访问请求经过安全防护层后只能到达DMZ隔离网络区内的业务前端应用。

通过在IDC配置边界路由、云上隔离网络、云连接网等相应的网络实例，加载到云企业网中，再购买带宽包，设置跨地域互通带宽，建设2条主备专线数据传输通道，实现云上云下节点的网络资源互通。

2、同城双活架构

系统高可用设计：每个应用均跨可用区实现双活部署；数据库跨区采购实现主备模式，读写分离。

系统间数据交互：消息队列MQ集群化部署，应用系统之间数据交互由MQ集群生产和消费消息完成。

系统缓存处理：通过Redis集群进行缓存热处理，和读写数据库进行业务数据交互。

3、1:1还原，压测先行

满足资源配比1:1的迁移要求，必须先对两个环境提供的基础资源进行全面的性能压测对比，评估百分百还原的可行性。此外，还要盘点相关云产品的使用限制，避免因功能差异，对应用组件交互调用产生影响。以云服务器和云数据库为例，需要使用多种工具对比高压高并发场景下IDC和公共云的实例性能。

经过充分的性能测试验证之后，根据网络限制和业务架构，综合考虑系统之间依赖关系以及系统重要程度等因素，评估各系统和组件优先级，按顺序进行迁移还原。

4、数据迁移方案

由于云数据、对象存储、NAS无法直接通过VPN方式建立连接，需要先打通网络，再配置代理，上述3种数据同步均采用在IDC侧配置nginx四层代理方式，设置传输跳板。

关系型数据库迁移

IDC中数据库与公共云上RDS迁移采用公共云产品DTS进行数据迁移。整个迁移过程包含结构迁移、全量数据迁移及增量数据迁移三个阶段。

对象存储数据迁移

1. 挂载存储桶：使用s3fs-fuse工具将IDC对象存储桶挂载到公共云主机，使用ossfs工具将公共云对象存储桶挂载到公共云主机。

2. 文件同步：遍历全量文件ID，使用同步脚本对文件进行全量同步和增量同步。

NAS存储数据迁移

1. NAS挂载：公共云主机直接挂载公共云NAS存储；再通过sshfs工具将挂载到IDC主机CloudNAS挂载到本地。

2. 数据同步：使用rsync对挂载到公共云主机上的两个NAS目录进行数据迁移。

项目成果 

历时4个多月，通过双方通力合作，顺利完成该支付企业迁移一期项目，IDC机房6个业务系统的平滑迁移和容灾设计，涉及200余台云服务器、40余个云数据库、20余种云服务。同时，针对监管要求，协助该企业构建了权责分明的云账号管理体系。迁移后，业务系统消耗更少的云成本支出，为更多的用户提供便捷、安全、优质的支付服务。