淺談3DEXPERIENCE在第三方IaaS上的部署

1. 簡介
達梭系統3DEXPERIENCE On Cloud(雲服務)采用軟件即服務(SaaS)的應用模式。客戶可以訂購許可並直接訪問3DEXPERIENCE雲平臺,體驗達梭系統最新的行業解決方案。同樣也可以采用On Premise(本地部署)模式,對平臺服務獲得更多的調控能力,並提高系統可集成性。相對於On Cloud的7×24托管模式,On Premise要求客戶和達梭系統合作夥伴共同實施軟件部署並持續維護。
許多客戶選擇雲解決方案來為軟件系統提供必要的技術架構。如此可以避免采購、維護數據中心(服務器)的巨大成本。基礎設施即服務(IaaS)模式可以給企業系統帶來相當程度的靈活性和安全性,而想要達到同等先進的架構,需要客戶對自有IT部門投入大量的資金,並且保證持續的維護。總體而言,將系統架構在IaaS平臺上具有更高的性價比、縮短了項目交付時間,同時保證了未來系統擴展和重構的可能性。
阿裏雲位列全球前四大公有雲解決方案供應商,是國內雲技術的領導者,在國內有龐大的客戶群體。許多企業選擇了阿裏雲作為他們IT系統的IaaS提供商。本文將以阿裏雲為例,探討3DEXPERIENCE在第三方IaaS之上部署的可行性,描述我們在規劃部署階段,需要在技術層面做出的選擇和考慮。

2. 重要提示
本文旨在為系統實施的決策過程和架構提供參考並進行相應的討論,並不能作為技術規定,也並不代表任何達梭系統官方結論。
截止目前,達梭系統並沒有認證任何壹家中國本地IaaS平臺作為3DEXPERIENCE On Premise部署的目標平臺。因為如此,所以在售後部署過程中,達梭保留不予技術支持的權利(達梭系統已經認證了AWS、Azure和Outscale作為達梭公/私有雲平臺)。在第三方IaaS上安裝3DEXPERIENCE類似於在物理服務器上的安裝。
但在第三方IaaS上部署並不意味著完全實現“雲架構”,還有很多運維因素等需要考慮。

3. 概覽
我們的客戶通常期望3DEXPERIENCE平臺能盡早上線。大部分實施項目始於需求收集,在采購硬件之前就要完成針對服務器的配置評估。許多企業選用了第三方外包物理服務器的業務,而近期的趨勢是選用虛擬的平臺來架設服務。事實證明,將系統部署在雲端會有如下好處:
速度和靈活性:可以快速架設服務器和網絡。虛擬技術使得添加服務器、修改服務器配置變得極其容易,錯誤成本較低。
專註於業務:大多數客戶並沒有強大的IT技術能力,使用雲服務可以讓他們專註於核心業務。
雲的規模經濟性:IaaS供應商運營著龐大的數據中心,它們能提供的產品、服務是壹般的客戶難以獨立實現的。
性能規劃:按需采購服務器,往後可以根據需求添加或提升服務器配置。
先進的基礎設施: IaaS供應商能提供強大的基礎設施技術和架構。壹般而言,這在客戶現場是難以被復制的。

3.1. 技術總覽
通常我們建議以下兩種形式的雲架構:
1. 雲作為企業網絡的延伸:用戶必須處於企業內網或者通過VPN才能訪問平臺。在這種形式下,用戶並不會察覺到平臺其實被部署在了企業外部。

圖1-企業內網延伸到阿裏雲VPC

如上圖所示,將企業網絡延伸至阿裏雲私有網絡(VPC),阿裏雲VPC和企業路由可以通過VPN連通起來,兩地間的數據傳輸就更加安全了。DS License Server必須架設在物理服務器上,所以除非IaaS供應商提供物理服務器,DSLS是唯壹需要處於企業內網的服務器。
2. 允許外部訪問的雲:這種配置方法沒有了VPN的限制,內部用戶和外部用戶(如供應商)的協同體驗更好、更便捷。用戶可以直接在瀏覽器輸入網址訪問平臺,就如同壹般網站壹樣。本文將重點討論這種配置,而不會去討論VPN的架設方法。

圖2-允許外部訪問的雲平臺

3.2. 部署方案Checklist
選擇阿裏雲作為3DEXPERIENCE平臺的部署載體略有別於通常意義上的On Premise部署。下表列舉的內容可以作為阿裏雲部署的方案指導,也適用於其他的雲平臺供應商。我們會在後文更加詳細地討論下表中的重點內容。

3.3. 常見問題
Q:我是否可以將3DEXPERIENCE平臺部署在阿裏雲上?
A:可以,在沒有考慮運維的情況下,這基本相當於將On Premise軟件安裝在虛擬環境上。妳同樣應該按需選擇操作系統、數據庫、服務器配置、網絡架構等等。

Q:如果我在阿裏雲上部署3DEXPERIENCE,達梭系統會提供技術支持嗎?
A:大多數情況下,如果妳在部署時使用了官方建議的操作系統和軟件版本(Program Directories),達梭系統會支持。然而DS官方文檔只描述了少數虛擬化技術,不壹定能兼容所有IaaS產品,所以不提供技術支持的權利可以被達梭保留。請提前和DS顧問討論妳的部署規劃,提出任何可能的關註點。

Q:阿裏雲是達梭系統認證的部署平臺嗎?
A:達梭系統並沒有認證大多數第三方IaaS供應商作為On Premise部署的平臺。然而實際上全球有不少客戶選擇在雲平臺部署,也有利用類似技術自建數據中心的,都獲得了成功。達梭認證了AWS、Azure和Outcale作為達梭公有/私有雲平臺供應商。

Q:3DEXPERIENCE平臺和阿裏雲兼容嗎?
A:妳可以將阿裏雲看作壹個擁有網絡和基本系統的服務器環境,安裝方式和On Premise的安裝方式類似。也就是說,OS、數據庫和其他主要組件都要采用On Premise的方式來安裝和管理。再次強調,這樣初步部署的結果並不意味著企業已經完全實現了“雲架構”,還有很多運維的問題需要考慮。

Q:DSLS可以安裝在阿裏雲上嗎?
A:達梭系統在法律和技術上要求DS許可證服務器必須安裝在物理服務器上。大部分IaaS供應商並不提供該種服務或者類似服務價格昂貴。生產環境的部署必須包括壹臺(或集群)安裝在物理服務器上的DSLS。通常的做法是將DSLS安裝在客戶內部,並使用安全的隧道連接至阿裏雲服務器。

4. 網絡設計
3DEXPERIENCE平臺可以部署在多個服務器上。服務器所處的網絡架構是影響系統性能的主要指標。通常在全新的系統部署中,平臺的所有組件被安裝在同壹數據中心的若幹個服務器上,享受數據中心的高速網絡連接。當系統的體量增大,服務器架構的某些部分(如Remote FCS)可以部署在外部站點。理解網絡特性有助於架構壹個靈活、可擴展的系統。

4.1. 數據中心選擇
雲平臺經常被稱作“雲端”,但是IaaS供應商還是會把服務器放在某個地點。用戶通過網絡連接到數據中心的服務器上,這就不可避免牽涉到數據傳輸距離和網絡質量。選擇何處的數據中心會很大程度地影響用戶使用體驗。
使用3DEXPERIENCE平臺管理圖片、文檔和3D數模,數據交互量較大。我們平臺支持多站點文件存儲功能(FCS)來管理主站點與分站點之間的文件傳輸。當然,我們需要在前期就規劃好網絡的布局,選擇最優的數據中心,讓用戶體驗到最低的網絡延遲和最高的帶寬。這樣才能保證今後順利地實施和使用。
4.2. 專有網絡VPC
VPC(Virtual Private Cloud)是阿裏雲用來邏輯隔離不同服務器組的技術。在壹個VPC中,用戶可以管理IP地址、安全規則等等。強烈建議采用雙層式的網絡架構,包括壹個面向外網的子網,用於和外界的數據交流,和壹個僅面向內網的子網,無法訪問VPC以外的節點。
4.3. 用戶如何訪問平臺?
是否(如何)讓外部用戶訪問平臺是設計網絡架構時最主要的考慮因素。很多情況下客戶已經有了現成的企業網絡架構,希望將3DEXPERIENCE雲平臺部署在他們的網絡裏。通過在企業內網和阿裏雲網絡間架設壹個安全而快速的連接,用戶可以無障礙地訪問3DEXPERIENCE平臺。這種情況下,可以建立壹個VPN隧道連通兩方網絡,阿裏雲VPC提供了這樣的服務。
另壹種常見的情況是:客戶更傾向於為整個價值鏈的協同提供便利。在這種情況下,雲服務器的公網IP對應了公共DNS上的域名。內外部用戶可以隨時隨地登陸3DEXPERIENCE平臺進行日常操作,不用受限於網絡環境或VPN。另外,由於並沒有將企業內網開放給外部用戶,企業內部的其他系統可以更好地受到保護。
必須要提出壹點,安全性是第二種部署策略的重要制約。將服務器無防備地暴露到公網上必然帶來巨大的威脅,降低數據安全性或服務器性能。3DEXPERIENCE平臺本身已經采取了壹些安全措施,比如反向代理、SSL。阿裏雲也提供了壹整套的安全方案,如防火墻,白名單。確保服務器的安全是壹個長期持續維護的過程,需要客戶、實施團隊和阿裏雲共同的努力。
4.4. 將DSLS部署在物理服務器上
達梭系統許可證服務器的作用是將許可證授予最終用戶。在壹臺服務器上,DSLS通過識別物理網卡生成的Target ID來驗證安裝。之後將此Target ID提交給達梭系統,用於生成產品許可證。DSLS需要保持和3DEXPERIENCE服務器的連通,它會周期性地檢查服務器的授權情況。
DSLS必須安裝在物理的硬件上,不支持安裝在虛擬化的硬件上。安裝過程中如果發現硬件使用的是虛擬網卡,則會安裝失敗。阿裏雲並不提供物理服務器,所以通常情況下可以將DSLS部署在客戶企業內部,或者尋找第三方物理硬件提供商進行托管。

5. 部署方案設計
On Premise安裝通常受限於采購的硬件配置,部署方案需要貼合硬件的限制。如果在阿裏雲上部署,則可以很好地避免這種情況。
5.1. 簡易版3DEXPERIENCE架構
3DEXPERIENCE平臺由若幹相互配合的服務組件構成,作為HTTPS的服務端點。建議部署生產環境時對各個服務進行壹定程度的分離,以應對不同服務對計算性能的需求。

圖3-常見的小規模部署架構

上圖展示的是壹個小規模系統的安裝策略:3DSpace、3DDashboard和3DPassport合並成為壹臺服務器。其他組件因為有特殊需求,所以單獨部署。
在傳統的On Premise安裝過程中,我們會花費很大壹部分精力預估服務器的配置,考慮如何最大化利用硬件。在這種限制下,如果需要提高系統的負載能力,我們可以利用Apache或者其他軟硬件做多份應用服務器實例的負載均衡。這是壹個很好的做法,但是這樣的調整需要人工的幹預和停機維護。
5.2. 結合阿裏雲的彈性計算服務
當我們將服務搬上了雲端,就可以動態調整系統的架構了,我們可以根據業務的需求增減虛擬服務器(ECS)的配置,也可以增減ECS的數量。同時在阿裏雲上實現集群變得更加簡單了:當我們創建或者修改了壹個應用服務器實例之後,可以復制它並用於創建額外的實例。
5.3. 案例分享:50名用戶規模的3DEXPERIENCE的IaaS部署
在本節中我們將簡單地介紹如何選擇合適的服務器、網絡配置來搭建壹個小型的3DEXPERIENCE平臺。請註意:此案例分享不能照搬到其他客戶的架構中,每個客戶都應該具體情況具體分析,並在部署完畢後進行詳細的測試。

圖4-適配50個用戶的平臺系統架構

如上圖所示,3DEXPERIENCE平臺由4個ECS和壹個RDS SQL Server構成。下表詳細說明了每個服務器的配置和用途。

關於網絡架構:Reverse Proxy/SSL服務器是所有ECS中唯壹有公網IP的服務器。所有和外部的通信都通過本ECS,另外我們可以在該ECS上設置端口轉發,讓其他ECS連通DSLS的Administration & Licensing端口。
另外我們在4.2節提到過,為了保證更好的安全性,建議在VPC中建立兩個子網,壹個用於管理反向代理服務器,壹個用於管理其他服務器。如下圖所示:

圖5-兩層式網絡架構

6. 總結
3DEXPERIENCE平臺可以成功地部署在阿裏雲上。對於壹般的實施項目而言,可以始於小規模的系統部署,然後按需擴大硬件規模。阿裏雲也提供了備份、容災、儲存、防火墻等服務,如要在本地的物理服務器上部署這些服務,短期內是較難實現的。
還需要討論兩個重要的話題,以期獲得更快、更安全的使用體驗:
1. 網絡架構。在部署之前,我們需要規劃兩點:如何將DSLS連接到雲服務器,如何架設雲上的服務器組。本文中已經給出了壹個示例,可以作為我們實際部署策略的參考。
2. 采用IaaS服務商的其他產品。除了VPC,阿裏雲針對雲性能和安全提供了壹系列的解決方案,為我們建設3DEXPERIENCE平臺添磚加瓦。本文不再對各個阿裏雲產品的可用性進行深入探討,留給大家自行達梭。

作者介紹:

 

Steve.TIAN@3ds.com'

Steve Tian

Steve.TIAN@3ds.com'

Latest posts by Steve Tian (see all)