企业ERP平台基础设施架构设计方案.docx
《企业ERP平台基础设施架构设计方案.docx》由会员分享,可在线阅读,更多相关《企业ERP平台基础设施架构设计方案.docx(14页珍藏版)》请在冰点文库上搜索。
企业ERP平台基础设施架构设计方案
企业ERP平台基础设施架构设计方案
1项目需求理解3
1.1.项目背景3
1.2.项目目标及项目范围4
2技术解决方案5
2.1.ERP基础设施架构及硬件配置方案5
2.1.1网络架构解决方案5
2.1.2ERP系统硬件解决方案7
2.1.3ERP系统硬件的扩展10
2.1.4系统安全设计方案10
1项目需求理解
1.1.项目背景
公司是一家集专业产品、研发、生产、销售于一体的高新技术企业,作为首批国家高新技术企业,公司专业从事宽带接入终端、无线通信设备、光通信设备等产品的研发、生产、销售和服务。
公司是全球诸多著名运营商及系统设备提供商的主要合作伙伴。
公司产品在全球范围内广泛使用,服务于通信、家庭、金融和教育等领域。
成立以来,公司坚持自主研发的道路,坚持以先进的技术创造产品价值的产品研发策略,每年的研发投入占当年销售收入的3.5%以上,持续、不断的研发高投入,为共进公司保持技术优势提供了物质保证。
到目前为止,公司已经形成在通讯终端产品方面完整的研发体系和生产线,产品涉及7个大类100多个品种,奠定了共进公司在通讯终端产品领域的行业领导地位。
截至目前为止,公司信息系统基本覆盖公司供应链、生产制造、财务管理业务领域;2015年以前财务系统使用金蝶K/3进行管理,未在U9系统中实现财务业务管控。
2015年1月份全面上线U9系统应收、应付、成本、固定资产、总账业务模块,初步实现财务业务一体化系统应用;但财务在安财系统中进行预算、费用统计,未与现有系统有效集成;同时实现COMEX、PLM、ERP、MES、IMS等多个主干系统平台的关键应用集成;并引入MES系统实现对产品级在线管理及防呆控制,在线物料使用“盘古IMS”管理贴片物料,其他物料正在客制化开发在线物料管理功能;PLM系统使用的是PDM产品数据管理功能。
目前公司业务量以每年增长30%-40%的速度快速发展,业务形式也发展成拥有两个研发基地和几个销售基地的集团型企业,公司主营业务规模的迅猛发展对其自身的信息化建设水平提出了更高的要求,目前的信息化水平已远远不能满足业务规模日益增长的需要。
针对公司在信息化系统建设方面存在的不足,本次ERP系统建设的关键点在于以下三方面:
●横向流程的贯通:
在产品研发线、采购业务线、销售业务线、生产业务线、日常运营业务线,需要横向打通部门间协作,提高整体业务运作效率。
●纵向业务的整合:
在财务管理、预算管理、资金管理、主数据管理等方面,需要实现纵向整合,满足多业务线的管控要求。
●多信息系统集成:
需要实现ERP系统、PLM系统、费用控制系统、SRM、MES、IMS、BI等系统集成,重点关注用户操作体验,提升最终用户系统应用满意度。
1.2.项目目标及项目范围
公司ERP和PLM系统管理信息系统面向公司及所属单位经营管理,总体目标是通过信息化软件平台及管理设计思想为公司的整体战略提供信息化支撑。
通过在全公司进行统一的系统建设,形成一体化运作的管理平台,使ERP系统管理方式与实际业务运作流程紧密贴合,提高企业管理工作标准化、规范化、精细化、高效化,确保IT应用系统真正为企业经营决策服务。
信息系统建设应该满足以下四个原则:
●统一性
保证总部和下属工厂、部门之间的互联与互通,同时节约总体投资成本;
●安全性
保证系统、数据的安全性,系统应有先进的传输加密措施和机制,并采用分级授权管理模式,同时保证系统持续、稳定的运行;
●高效性
保证系统的性能能够满足各类业务与应用的需要,整个系统的方案设计、功能融合并体现领先的信息技术和先进的管理思想;整个系统应便于管理,提供多层次、多维度的管理手段;
●扩展性
保证系统为满足业务发展的需要所应具备的扩展能力。
本次项目以支撑产品研发、财务、供应商及采购、物资、销售、计划生产、质检为核心,实现在企业内部形成数据高度共享的管控信息平台,并与外部相关方紧密集成和高度协同,逐步实现公司的信息化建设目标。
为此,本次项目将实现以下管理目标:
●构建具有行业特色的业务系统,实现业务财务一体化。
针对电子行业特色业务提供专业的解决方案,建立自动化、集成性、流程化的信息系统,简化操作提高效率。
使前台业务操作可直接生成后台财务数据,将重复的数据录入转换为数据复核,减少冗余数据录入工作,降低人为差错,实现物流、信息流、资金流的统一管理,同时为在业务环节增加财务管控提供了可能性。
●数据信息标准化,集中维护,提高数据利用效率。
基于管控需求,逐步规范统一的数据和信息标准,并且在系统中予以落实;统一信息管理标准,提高整个集团信息化管理水平,加强整个集团的战略管控能力,包括运营分析、战略决策等能力。
●建设统一的、全面的营销体系,助力业务发展。
建立全面的客户关系管理,利用相互融合的流程来为客户服务,提高客户满意度。
在建立完备的客户信息及灵活的价格管理体系的基础上,实现从销售协议达成、合同管理、制造完工、产品出库到结算的全过程管理、跟踪及分析。
有效地掌控市场形势及客户需求,通过建立可靠的销售预测及销售计划以最大程度的实现产销平衡。
建立多种销售模式以满足实际业务需求,扩大集中销售范围,缩短业务流程,达到物流、信息流、资金流的统一。
●实施战略性采购和供应商资源共享,强化战略联盟。
以节约总体成本为出发点,通过仓储/配送/供应商关系管理优化供应链服务水平,实现物资流、资金流和信息流的统一,实现对供应链管理的集约化运营,并强化与供应商的战略合作伙伴关系。
建立完整流程的集团采购模式,实现自动化和流程化管理,建立全新的一体化供应链管理平台
●建立高效的、适合实际业务的自动化与集成化的生产系统,提高产品质量和生产效率。
建立多级计划调度体系,实现生产计划管理、调度管理、车间管理、质量管理、库存管理多部门的协同工作,建立高效的外协管理平台,提高生产效率。
建立电子行业企业生产模式,提高生产制造业务的精细化和规范化;引入专业的质量管理体系,疏理现有质量管理制度和流程,采集和分析生产过程中的各种质量数据,实现对质量风险的实时监控。
2技术解决方案
2.1.ERP基础设施架构及硬件配置方案
2.1.1网络架构解决方案
根据我们对公司的理解,基础设施的网络设计要满足如下条件:
●集中化部署,统一管理
●充分考虑网络的安全性,充分发挥防火墙和入侵检测等作用
●合理架构公司公司的网络,保证网络的速度和高可用
软硬件的设计要满足如下原则:
●先进性原则
采用先进的信息技术构建系统平台,建设100%基于Internet的,以流程为核心,面向服务(SOA)的信息架构和系统。
通过该原则,实现业务系统和信息平台的生命周期最大化。
●集成性原则
采用一个集成平台,来完成所有业务系统的数据交换和流程衔接。
只有确保业务流程在各个业务系统间完整而顺畅的运转,信息在各个业务系统间的安全共享,数据才能够及时、丰富和准确。
技术层面提供丰富的符合IT标准的接口,比如XML,EDI,WebServices,JavaAPI,SQL,SOAP,BPEL等技术接口。
●可靠性原则
应用系统必须保证顺畅运行,使最终用户有良好的体验,满足日常业务处理的需要。
●高可用性原则
7x24小时可访问。
●可扩展性原则
按需配置,同时随企业发展而水平扩展,保护现有投资。
●安全性原则
要求能确保企业数据的安全。
为此我们根据上述原则,设计整体的网络架构,具体如下:
其中网络部分的关键组件如下:
•核心光纤交换机:
两台,直接与ERP和其它系统服务器进行连接,并通过冗余架构实现负载均衡;
•防火墙:
两台,保障整个内网的安全
•路由器:
两台,用于连接外网
•VPN设备:
用于实现员工通过VPN访问内网
•交换机:
实现内部网络子网和网络连接
分子公司网络与公司网络有条件可以实现DDN连接,没有条件的实现VPN专用网络连接,实现与总部处于同一广域网,用户可以实时访问ERP系统;
对于无法和公司进行广域网连接的单位,由集团下发VPN拨号软件,当用户需要使用ERP系统时,通过VPN拨号软件连接到集团网络,实现对ERP系统的访问;VPN拨号软件和用户的管理由分公司负责。
2.1.2ERP系统硬件解决方案
基于目前的硬件配置和规划,公司ERP系统将单独购买相关的硬件。
ERP系统如果单独建立环境,基于如下假设条件:
•第一阶段并发用户数:
ERP100人;
•未来并发用户数:
ERP200人;
•年增长量:
10%
•具有相应的配套系统
•五年规划
我们建议的硬件方案逻辑图如下:
详细配置清单如下:
序号
用途
数量
规格要求
参考型号
备注
1
EBS应用服务器(生产环境)
3
CPU:
40核(主频要求不高,侧重内核数);内存:
256G;硬盘:
300G*6
IBMX3850及以上
2
EBS数据库服务器(生产环境)
2
CPU:
40核;内存:
256G;硬盘:
300G*6
IBMX3850及以上
3
EBSMRP服务器(生产环境)
2
CPU:
40核;内存:
256G;硬盘:
300G*3
IBMX3850及以上
用于运行MRP
4
EBS开发/测试/培训应用服务器
2
CPU:
24核;内存:
64G;硬盘:
300G*6
IBMX3850及以上
和生产环境的配置一样,需要时、可以作为生产环境的备用机(备不时之需)
5
备份服务器
1
CPU:
4核;内存:
8G;硬盘:
300G*8
IBMX3650及以上
6
核心交换机,保证公司网络整体速度
2
可用于企业网络的核心层和汇聚层,背板容量超过1.6Tbps,提供6个或者以上槽位以支持网络功能扩展
H3C
如果已经可用同类设备,不需再购买
7
存储阵列
1
支持8GBps纤通道接口技术;存储容量超过6T(RAID后可用容量),硬盘转速15000转/秒,40块以上,每块300G.
DS5100
8
磁带库,用于备份应用程序和数据文件等
1
支持LTO4和LTO5,提高120MBps传输速率。
磁带容量8TB
TS3200
9
存储光纤交换机,
用于连接存储阵列
2
普通光纤交换机
与存储配套
10
磁带库光纤交换机,
用于连接磁带库
2
普通光纤交换机
与带库配套
11
负载均衡器
2
F5
注:
以上配置不包括网络、机房基础建设部分的硬件,比如:
防火墙、路由器、VPN设备、UPS电源、机柜等。
2.1.3ERP系统硬件的扩展
如果公司在未来的5年业务扩张、使用ERP的员工数量增长超出预期,导致系统性能瓶颈,基于我们推荐的RAC集群配置,可以很方便的扩展硬件。
如:
可以将数据库服务器由2各节点扩展到3个节点、应用服务器由2各节点扩展到3个节点,从而满足企业的需要,且不会对现有的ERP系统作任何大的改变。
2.1.4系统安全设计方案
针对公司对安全的要求,结合Oracle产品在安全方面的强大功能,我们提供用户访问,系统架构,数据传输,数据存储,数据访问等方面的解决方案:
•安全策略:
全方位的安全性支持,提供端对端的安全解决方案
Oracle从来都是把产品的安全放在首要位置,Oracle的数据库获得过多达15项的安全认证证书,也是唯一获得过NCSCB1级认证的数据库,是美国军方和中央情报局主要的数据库平台;在Oracle的EBSR12应用套件中,我们不但利用到Oracle数据库的许多安全特性来保证数据的安全,实现字段级的数据权限控制,并且通过多种Oracle先进的技术平台优势实现应用层次、应用服务器、数据库服务器层次各个层次全方位的应用系统保障。
包括:
Ø数据存储加密
Oracle的数据库可以以密文的形式来存储表中的记录,这样即使有用户得到访问数据库表的权限,也无法从加密的表中得到任何有用的信息。
如所有存储在数据库中的用户Password等都是以加密方式进行存储的。
如下图所示,公司招投标过程中提到的敏感信息,可以采用列级透明加密技术,对关键列进行双层密钥保护的方式进行加密,该方式对应用用户是透明的,在保存和获取的过程中进行加密解密,即使是DBA也需要双层密钥才可以在后台看到数据。
Ø数据传输加密、保证数据完整性
Oracle应用系统的Web服务器是基于业已成为互联网上普遍认可的标准Web服务器:
Apache的基础上进行完善的,Apache为全球超过60%以上的网站提供Web服务,是经过长期全面测试的Web服务器,提供稳健、安全、可扩展的技术支持。
OracleEBSR12结合扩展的Apache功能在数据传输上提供完善的加密保护:
在由Java(如Oracle的Forms表单应用)、JSP应用和执行客户端网络请求时提供标准的SSL和HTTPS支持。
通过使用Oracle在SecureSocketsLayer(SSL)上提供的加密机制,Oracle的应用产品EBS和客户端浏览器之间可以建立安全密文传输通道,保证数据传输过程的安全性和完整性(不被窃取或篡改)。
并可以通过在互联网上使用数字证书技术,来进行用户鉴定。
Ø基于LDAP的集中用户认证管理
Oracle的应用产品EBSR12全面支持Oracle的目录服务器,可以通过LDAPServer来集成进行用户的认证和管理,支持所有主流的口令认证方式和设置规则,并且Oracle的LDAPServer可以和所有主流的LDAPServer进行集成实现SSO,如iPlanet,ActiveDirectory等,来实现公司全局用户管理的策略和全方位内的全局认证。
Ø数字证书
数字证书对于保护企业基础架构部署很重要。
OracleApplicationServerCertificateAuthority用于生成并发布X.509v3PKI证书,以支持各种应用情形,如保护网络连接、数字签名和强用户身份验证方法。
OracleApplicationServerCertificateAuthority的部署简单快速,还提供一个针对证书供应的用户自助Web界面。
Ø审计用户操作,用户操作不可否认
在Oracle的应用系统也提供多层次的审计机制来记录各种用户访问行为,挖掘和跟踪非法访问、和确保用户的操作不可否认性:
✓用户审计
OracleEBSR12可以全程审计用户的行为,系统可以设置来审计每一个用户的访问记录,包括用户访问的终端、时间、职责、报表、执行的并发处理等,灵活的审计方式可以让管理员动态地选择和改动要审计的级别。
甚至对于恶意的尝试性登录,Oracle在应用系统中也提供详细的Log(存在表fnd_unsuccessful_logins中)记录非法尝试登录的主机、用户名、时间等信息。
✓数据审计
系统可以对数据的各种访问操作(如插入,删除、修改等)都可以进行审计,Oracle应用丰富的审计机制可以让系统管理员对数据表进行任何级别的审计。
✓页面访问审计(应用层面访问审计)
系统可以对应用用户访问的页面进行访问审计,对于每个用户的访问记录如下信息:
∙页面信息
✧Timestamp
✧JSPname(forexample,jtflogin.jsp)(用户登录的页面)
✧JSPexecutiontime,inmilliseconds
✧ClientIPaddress(客户端IP地址)
∙服务器端信息
✧Hostname(服务器主机名)
✧Apacheport
✧Jservport
✧Requestmethod(POST,GET,PUT,HEAD,etc.)
✧Returnstatus(OK,Error,orException)
∙SessionContext
✧ApplicationID(用户登录的模块)
✧ResponsibilityID(系统中用户对应的职责)
✧UserID(系统中用户的ID)
✧LanguageID
✧SessionID
∙客户浏览器信息
✧Clientlanguage(客户端语言)
✧HTTPheader
✧User-agent(用户代理)
✧Protocol(访问协议)
✧Referer
✧Authorizationtype(认证类型)
∙客户端语言信息
✧Characterencoding(字符)
✧Language(语言)
✧Characterset(字符集)
以上功能可以通过OracleApplicationMANAGER轻松进行配置实现,不需要进行二次开发。
✓安全报告
同样在系统中,Oracle也提供一系列的报表可以从上述设置的审计数据中得到格式化的信息,方便管理人员进行查看。
这些报告包括用户审计,页面访问审计,数据审计等,系统都能够提供详细的报告,这些报告都可以由业务人员(应用用户)提交,不需要DBA提供支持。
以上数据审计功能可以基本满足公司对于安全性的需要。
建议公司尽量使用这些标准报告,如有特殊需求的报告也可通过对报表的二次开发来实现。
•应用系统全方位用户功能权限控制
OracleERP系统提供功能权限控制功能,支持公司灵活地定义各种岗位角色。
另外,利用Oracle灵活的菜单重组功能,公司可以将Oracle应用系统标准软件流程与公司复杂的业务进行自由匹配。
来确保用户只在许可范围下进行相关功能和数据的操作。
Oracle的权限设置是基于职责和角色的,可以将操作权和审核权分配给不同的职责或角色,并且对于用户的权限设置也是非常的简单直观,在员工岗位调动时,只要分配和回收相关的职责或角色就完成了用户权限的变动,而且Oracle的权限分配可以进行层级分配和委托管理。
图:
OracleR12应用系统安全体系结构。
如上图所示,Oracle管理软件中通过灵活分配组合菜单、角色、职责、以及用户来严格控制每个用户在系统中可以进行的操作包括:
Ø菜单权限:
在Oracle系统中可以跨模块选择不同的功能和菜单,进行重组,形成自定义的菜单。
同时也可以方便的将应用Oracle工具开发的客户化的新功能加入到自定义的菜单中。
Ø组织权限:
在Oracle系统中可以划分多个采购主体,然后实现不同采购主体间的业务数据和操作屏蔽。
Ø岗位角色:
公司可以根据分工责任设置不同的岗位角色,系统支持将不同菜单组合和组织分配给不同的岗位责任。
Ø用户:
系统的使用者,每一个用户均有自己的用户名称及密码。
系统支持将已定义的不同的岗位责任分配给不同用户。
一个岗位角色对应一个菜单,通过这种对应关系确定了此岗位所能行使的功能。
一个岗位角色对应一个组织,这限制了此岗位所能访问和操作的数据权限。
另外,同一种岗位责任可以有由多个用户(员工)担任,同一用户又可以兼任多个岗位。
•可使用性和可管理性:
全面、易用、直观的管理支持,图形化的管理工具集成
Oracle应用系统提供友好、易用的用户界面,类似于一般的网站或网上商店,并提供全方位的中文支持和系统帮助。
一般用户无需太多培训就会使用Oracle应用系统。
在管理方面,Oracle应用系统提供多级别的管理工具,包括Oracle应用内嵌的ApplicationManager和集成的企业级管理平台OracleEnterpriseManager,提供日常检查、数据库管理、应用服务器管理、性能监控、作业监控、用户管理、系统资源开销监控、存储配置、消息广播、参数设置等一系列管理功能。
图:
采用管理包获得一个Oracle应用软件的详细系统性能概述
•优秀的可扩展性和性能支持:
满足将来企业业务发展的需求
公司的信息系统应用软件是整个企业信息化管理的核心平台,必须确保整个集团应用系统的稳定、健壮、可靠,并且要求整个系统能够根据公司的发展而具有弹性的、平滑的可扩展性。
OracleR12应用系统充分利用底层Oracle数据库和应用服务器的技术特点,充分利用其技术优势,如数据库的CBO基于成本的优化算法、BitMapIndex提高查询性能、MaterializeView来提高每日商务智能的处理速度、PartitionTabel来获得对大数据量的线性支持等。
同时Oracle应用系统采用并发管理器来协调和处理后台作业,可以设置多并发处理器来充分利用系统CPUs资源,对大量并发作业进行优先级排序处理,或将不同的作业分配到不同的服务器上进行处理,做到大规模并发操作时对性能没有显著的影响。
另外Oracle系统也可以方便地进行横向和纵向扩展,支持单节点多处理器操作和多节点集群部署,在必要时可以增加机器的CPU和内存,或增加机器组成集群来提高整体性能。
•可靠性和可用性
Oracle应用系统可以在应用服务器和数据库服务器两个层次上进行集群部署来满足可靠性和可用性需求:
在应用服务器层,根据处理用户负载的需要,可以安装任意多台应用服务器,组成应用层集群,应用服务器或L4交换机提供均衡负载的能力,在任何一个应用服务器发生突发硬/软件故障时,可以屏蔽掉这个服务器而不影响整个系统的运作。
在数据库服务器层,Oracle应用系统全面支持Oracle先进的RAC集群(Cluster)技术,支持双机或多机系统并行运行同一个数据库实例。
在并行处理模式中,Oracle使用共享数据库,在Cluster结构的各个节点上,实现任务的负载均分。
在任何一个数据库节点失效时,Oracle数据库系统自动分配所有的请求到有效的节点上,保证整个系统的正常运行。
•备份和恢复
Oracle应用系统提供完善的备份和恢复机制,利用Oracle数据库的强大技术优势,Oracle应用系统可以提供热备份、冷备份、EXP/IMP逻辑备份和基于RMAN备份恢复管理软件的联机备份和恢复,能够允许在联机环境下对数据库和日志进行备份和恢复,同时Oracle的合作伙伴XpressArchiver、Outerbay等都提供针对Oracle应用系统的归档备份解决方案,可以将Oracle应用的历史记录进行归档存放,保证在系统运行多年后不会由于数据量的大幅增长而降低性能。
•网络保护
Oracle产品基于三层分布式计算体系的基本框架,采用三层网络防火墙的方式,包括内部网络。
可以将门户网站放置在DMZ区,将web服务器,应用服务器和数据库服务器放置在内部网络。
外部用户从门户网站访问系统,内部用户从公司局域网络通过内部防火墙访问系统,同时可部署VPN供分子公司或出差在外的同事连接内部网络访问系统。
•安全解决方案中用到的核心技术及产品
Ø通过用户和职责保证数据安全性-不需要购买其它产品
Ø采用三层网络及防火墙保证系统整体上的安全性-交换机,防火墙,路由器,LDAP服务器
Ø采用双机热备保证系统的高可用性-HA软件
Ø使用Oracle目录服务和LDAP服务实现SSO-LDAP服务器
Ø对关键数据使用透明数据加密技术进行保护-OracleAdvanceSecurity产品
Ø采用SSL协议访问系统保证网络访问安全-不需要购买其它产品
ØVPN虚拟专用网络-交换机,防火墙
Ø负载均衡-负载均衡器
Ø用户审计,数据审计,页面访问审计-不需要购买其它产品
Ø数字签名-OracleWalletManager和OracleInternetDirectory