华为云上云迁移服务 - 云迁移实施&网络迁移
公司介绍
行业地位
江西时励数码科技有限公司成立于2001年,经过二十多年稳健发展,公司已具备了软件与服务,智能化集成与服务,信息系统集成与服务,云迁移、云运维及数据服务等核心能力。
能力彰显
时励科技是华为云CSSP合作伙伴,依托时励丰富的上云实践经验以及专业的云架构团队,通过分析客户需求提供上云方面,架构设计、上云解决方案以及技术支持等一站式云服务,助力企业数字化转型。
云迁移服务 - https://marketplace.huaweicloud.com/hidden/contents/c00b0562-d8f8-455e-8806-f33b45300772
一、上云场景分析
二、网络迁移
2.1 网络迁移概述
2.1.1 云时代网络架构演进
云计算是一种新型的商业模式,与传统的网络有较大区别,典型的就是VPC网络。
- 弹性
- 易管理
- 开放
传统网络与云上VPC网络
2.1.2 网络迁移主要的场景
云下业务上云
- 云下IDC业务迁移上云
云间迁移
- 其他友商云迁移到华为云
云内迁移
- 华为云内不同region或AZ间迁移
2.1.3 网络迁移面临的挑战
1、IP地址不变
- 客户要求迁移上云后业务的IP地址不能变,这是迁移项目中经常会遇到的问题
2、网络性能保障
- 迁移过程中如何保障网络的稳定性、可靠性,能够不丢包、低时延
3、传输网络安全
- 传输网络的安全性,通过加密手段,保障迁移过程中的数据安全
4、网络平滑切换
- 迁移完成后,需要切换业务,如何保障网络的平滑切换,中断时间最小化
2.2 网络迁移实施
2.2.1 实施流程
2.2.1.1 信息收集
1、网络拓扑
- 用户数据中心整体网络拓扑图以及待迁移系统的详细网络拓扑图
2、网络性能
- 待迁移系统对网络性能是否有特殊要求,如时延、稳定性等
3、通信需求
- 待迁移系统与周边其他系统的通信需求,调用关系等,后续IP变更的通知
4、网络安全策略
- 待迁移系统的原有安全策略梳理,便于后期在云上部署实施安全服务
2.2.1.2 云上设计
华为云网络全景图
网络规划设计原则
| 1、在规划设计网络的时候,隔离性是最基本的要求。VPC拥有天然的网络隔离功能,默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通。 | 业务不同、部门不同、环境不同,在VPC内,通过划分子网将IP地址分段,不同业务模块使用不同子网,且子网之间还可以通过网络ACL保证安全性 |
| 2、业务是不断变化的,在规划网络时,为防止业务快速增长给网络带来冲击,用户需要考虑网络的扩展性。 | 要为业务预留足够的IP地址,即当需要扩容时要有IP地址可用,不仅要考虑整个业务,也要考虑到单个的业务模块 |
| 考虑跨区域的不同VPC间的连接性 | |
| 3、网络的连接性与隔离性、扩展性息息相关,有些连接的需求就是由于隔离性和扩展性引起的。 | VPC与外部互联网的连接时常绑定EIP |
| VPC之间的连接,同区域VPC可以用对等连接和VPC终端节点,不同区域VPC可以用云连接或VPN | |
| 本地数据中心与云上VPC之间常用VPN或云专线连接 |
VPC网络规划
1、 VPC在哪个区域创建?
- 通常根据业务靠近用户来决定。VPC具有区域属性,默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通。
2、 需要使用多少个VPC?
- 只有单一业务,可只创建一个VPC。当业务间需要隔离,则创建多个VPC;
- 当企业将业务部署在不同环境(开发、测试、生产)中时,则创建多个VPC;
- 当业务对VPC中资源有权限管理的需求,则将资源分隔到单独的VPC中。
3、如何进行网段划分?
- IP地址数量的考虑,要为业务预留足够的IP地址,防止业务扩展给网络带来冲击;
- 与其他VPC、本地数据中心连接时,要避免IP地址冲突。
安全组和网络ACL
VPC之间通过隧道技术进行100%逻辑隔离,不同VPC之间默认不能通信。网络ACL对子网进行防护,安全组对ECS进行防护,多重防护用户的网络更安全。
1、安全组
- 安全组是一个逻辑上的分组,为同一VPC内具有相同安全保护需求并相互信任的ECS提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当ECS加入该安全组后,即受到这些访问规则的保护。
2、网络ACL
- 网络ACL是对子网的访问控制策略系统,通过与子网关联的出方向/入方向规则判断数据包是否被允许流入/流出关联子网。
2.2.1.3 网络搭建
从安全性、易用性、成本综合考量以及用户的要求,系统重要性来选择合适的方式
1、不同场景下选择合适的方案实现网络互通,安全性
(1)- 云下业务迁移上云
- 使用VPN加密隧道,保障传输过程中数据安全可控
- 使用DC专线,链路专用,安全稳定,高速低时延
- 直接通过公网IP互通
- 使用L2CG服务,源端和云端IP二层互通
(2)- 云间迁移
- 使用VPN加密隧道,保障传输过程中数据安全可控
- 两端都使用公网IP互通,基于互联网通信
(3)- 云内迁移
云内迁移针对已有部分业务提前迁移上云,后续更改所在Region或AZ的情况,
2、迁移所需的安全策略放通,允许迁移任务执行
常用迁移工具安全策略
| 迁移工具 | 源端网络通信需求 | 目的端网络通信需求 |
|---|---|---|
| SMS | 在迁移过程中要确保源端agent能调用目的端服务器所在region相关依赖服务的API | Windows:需要放开8899、8900、22端口;Linux:开放8900、22端口 |
| DRS | 可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP(通过公网互联)及迁移实例的私有IP(通过VPN互联) | 目标数据库默认与DRS迁移实例处在同一个VPC内,网络是互通的,不需要进行任何设置 |
| OMS | 源端云服务提供商的访问密钥(AK/SK) | 华为云对象存储服务OBS的访问密钥(AK/SK) |
| CDM | 源端允许CDM集群绑定的公网IP(EIP) | 目标端与CDM集群同个VPC |
SMS-参考链接:https://support.huaweicloud.com/sms_faq/sms_faq_0001.html
DRS-参考链接:https://support.huaweicloud.com/drs_faq/drs_02_0100.html
OMS-参考链接:https://support.huaweicloud.com/usermanual-oms/topic_0000001089828284.html
CDM-参考链接:https://support.huaweicloud.com/cdm_faq/cdm_01_0300.html
3、迁移网络的带宽、传输速度、稳定性测试
(1)- 网络连通性测试
- 迁移工具与源端及目标端之间是否网络能通,以及源端和目标端之间是否能通,细化到端口
(2)- 网络性能测试
- 迁移网络的带宽、传输速度、延迟、丢包率等,通过测试数据进行测试验证,确保能满足迁移所需,同时也为后续迁移方案和计划安排提供参考数据
2.2.1.4 网络割接
1、网络平滑切换方案
(1)-网络平滑切换典型方案
方案一 流量一次性切换
- 1、通过更改DNS绑定的后端IP进行切换
- 2、用户始终通过域名访问,对切换无感知
- 3、切换失败可能导致业务访问中断
方案二 流量灰度切换
- 1、在DNS增加A记录,即云上对应的业务IP
- 2、权重调整,通过DNS调整源端、云端在A记录的权重(如源端90%,云端10%)
- 3、观察无异常后, 逐步切换流量到云端,直到100%
- 4、稳定性观察
(2)- 网络回退方案
方案一 流量一次性切换回退
- 1、通过更改DNS绑定的后端IP切回源端
- 2、用户始终通过域名访问,对切换无感知
方案二 流量灰度切换回退
- 1、如数据层有更新,可通过DRS反向同步到源端
- 2、权重调整,通过DNS调整源端、云端在A记录的权重(如云端90%,源端10%),逐步切换流量到源端,直到100%
- 3、稳定性观察
2、迁移完成后网络测试
(1)- IP变更通知
- 业务迁移成功后,如涉及IP地址变更,应通知其他关联系统,更改IP并进行测试,包括旧IP是否仍可使用,能使用多久(通常情况下旧系统会与新系统并存一段时间),切换时效,影响等进行说明
(2)- 网络连通性测试
- 业务迁移上云后是否能正常访问
(3)- 全业务流程测试
- 按正常业务流程全流程测试,业务是否能够正常办理,使用体验是否有下降(这是用户最直观的体验,直接影响迁移的客户满意度)
3、网络安全策略部署
4、迁移网络拆除
迁移完成后,为了系统的安全,为迁移临时搭建的网络也应拆除
- 拆除前观察一段时间,确保业务都正常,万一需要回退还会用到该网络
- 对该网络的配置文档及相关材料进行归档,方便后续恢复或再次搭建时使用
- 拆除迁移网络,去除源端和云端相关的配置参数
2.2.2 迁移事项
2.2.2.1 地址变更
企业交换机
企业交换机(Enterprise Switch,简称ESW)可以在虚拟私有云内提供大二层互联等增强网络转发能力,助力企业客户灵活构建大规模、高性能、高可靠的云上/云下网络。
企业交换机当前仅支持二层连接网关特性,该特性提供一种虚拟隧道网关,可基于虚拟专用网络或者云专线建立云上与云下之间的二层网络,解决云上和云下网络二层互通问题,允许您在不改变子网、IP规划的前提下将数据中心或私有云主机业务部分迁移上云。
2.2.2.2 断点续传
迁移过程中如果因网络不稳定或其他未知因素导致数据传输中断,迁移任务失败或数据丢失及数据不一致,因此所使用的迁移工具最好能支持断点续传,将大大提升迁移的效率和迁移的成功率,省时省心。
| 迁移工具 | 是否支持断点续传 | 说明 |
|---|---|---|
| SMS | 是 | 如果出现短暂的网络中断,支持手动重启迁移任务,从中断的位置继续开始迁移任务,已迁移完成的数据无需重新迁移 |
| DRS | 是 | 针对数据库的迁移、同步场景,在迁移、同步过程中由于不可抗拒因素(例如网络波动)导致的任务失败,DRS通过记录当前解析和回放的位点(该位点同时也是数据库内部一致性的依据),下次从该位点开始回放的方式来实现断点续传,以确保数据的完整性。增量阶段的迁移、同步,DRS会自动进行多次断点续传的重试,全量阶段的MySQL迁移,系统默认进行三次自动续传,无需人工干预。当自动重试失败累计一定次数后,任务会显示异常,需要人为重新开始任务。 |
| OMS | 是 | |
| CDM | 否 |
2.2.2.3 时间节点
在迁移时,应尽量安排在业务低峰期进行,主要考虑以下几方面:
-
1、避免影响占用带宽过大,影响正常业务运行,尤其是使用了业务网络进行迁移的业务;
-
2、迁移任务会占用一部分的数据读写I/O,避免影响被迁移业务的正常数据读写;
-
3、业务低峰期系统的数据更新不会太频繁,减少迁移过程中的增量数据同步。
- 点赞
- 收藏
- 关注作者
评论(0)