华为云上云迁移服务 - 云迁移实施&网络迁移

举报
高级云网管 发表于 2022/09/07 10:32:28 2022/09/07
【摘要】 上云实施如何在云上使用相关网络服务搭建网络架构,设置网络安全策略,满足迁移需求的同时,又能最大限度地保障业务的安全。

公司介绍


image.png

行业地位

江西时励数码科技有限公司成立于2001年,经过二十多年稳健发展,公司已具备了软件与服务,智能化集成与服务,信息系统集成与服务,云迁移、云运维及数据服务等核心能力。

能力彰显

时励科技是华为云CSSP合作伙伴,依托时励丰富的上云实践经验以及专业的云架构团队,通过分析客户需求提供上云方面,架构设计、上云解决方案以及技术支持等一站式云服务,助力企业数字化转型。

微信截图_20220905164127.png

云迁移服务 - https://marketplace.huaweicloud.com/hidden/contents/c00b0562-d8f8-455e-8806-f33b45300772


一、上云场景分析


image.png
image.png


二、网络迁移


2.1 网络迁移概述

2.1.1 云时代网络架构演进

image.png

云计算是一种新型的商业模式,与传统的网络有较大区别,典型的就是VPC网络。

  • 弹性
  • 易管理
  • 开放

传统网络与云上VPC网络

image.png

2.1.2 网络迁移主要的场景

云下业务上云

  • 云下IDC业务迁移上云

云间迁移

  • 其他友商云迁移到华为云

云内迁移

  • 华为云内不同region或AZ间迁移

2.1.3 网络迁移面临的挑战

image.png

1、IP地址不变

  • 客户要求迁移上云后业务的IP地址不能变,这是迁移项目中经常会遇到的问题

2、网络性能保障

  • 迁移过程中如何保障网络的稳定性、可靠性,能够不丢包、低时延

3、传输网络安全

  • 传输网络的安全性,通过加密手段,保障迁移过程中的数据安全

4、网络平滑切换

  • 迁移完成后,需要切换业务,如何保障网络的平滑切换,中断时间最小化

2.2 网络迁移实施

2.2.1 实施流程

image.png

2.2.1.1 信息收集

image.png

1、网络拓扑

  • 用户数据中心整体网络拓扑图以及待迁移系统的详细网络拓扑图

2、网络性能

  • 待迁移系统对网络性能是否有特殊要求,如时延、稳定性等

3、通信需求

  • 待迁移系统与周边其他系统的通信需求,调用关系等,后续IP变更的通知

4、网络安全策略

  • 待迁移系统的原有安全策略梳理,便于后期在云上部署实施安全服务

2.2.1.2 云上设计

image.png

华为云网络全景图

image.png

网络规划设计原则

image.png

1、在规划设计网络的时候,隔离性是最基本的要求。VPC拥有天然的网络隔离功能,默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通。 业务不同、部门不同、环境不同,在VPC内,通过划分子网将IP地址分段,不同业务模块使用不同子网,且子网之间还可以通过网络ACL保证安全性
2、业务是不断变化的,在规划网络时,为防止业务快速增长给网络带来冲击,用户需要考虑网络的扩展性 要为业务预留足够的IP地址,即当需要扩容时要有IP地址可用,不仅要考虑整个业务,也要考虑到单个的业务模块
考虑跨区域的不同VPC间的连接性
3、网络的连接性与隔离性、扩展性息息相关,有些连接的需求就是由于隔离性和扩展性引起的。 VPC与外部互联网的连接时常绑定EIP
VPC之间的连接,同区域VPC可以用对等连接和VPC终端节点,不同区域VPC可以用云连接或VPN
本地数据中心与云上VPC之间常用VPN或云专线连接

VPC网络规划

image.png

1、 VPC在哪个区域创建?

  • 通常根据业务靠近用户来决定。VPC具有区域属性,默认情况下,不同区域的VPC之间内网不互通,同区域的不同VPC内网不互通。

2、 需要使用多少个VPC?

  • 只有单一业务,可只创建一个VPC。当业务间需要隔离,则创建多个VPC;
  • 当企业将业务部署在不同环境(开发、测试、生产)中时,则创建多个VPC;
  • 当业务对VPC中资源有权限管理的需求,则将资源分隔到单独的VPC中。

3、如何进行网段划分?

  • IP地址数量的考虑,要为业务预留足够的IP地址,防止业务扩展给网络带来冲击;
  • 与其他VPC、本地数据中心连接时,要避免IP地址冲突。

安全组和网络ACL

VPC之间通过隧道技术进行100%逻辑隔离,不同VPC之间默认不能通信。网络ACL对子网进行防护,安全组对ECS进行防护,多重防护用户的网络更安全。

image.png

1、安全组

  • 安全组是一个逻辑上的分组,为同一VPC内具有相同安全保护需求并相互信任的ECS提供访问策略。安全组创建后,用户可以在安全组中定义各种访问规则,当ECS加入该安全组后,即受到这些访问规则的保护。

2、网络ACL

  • 网络ACL是对子网的访问控制策略系统,通过与子网关联的出方向/入方向规则判断数据包是否被允许流入/流出关联子网。

2.2.1.3 网络搭建

image.png

安全性、易用性、成本综合考量以及用户的要求,系统重要性来选择合适的方式

1、不同场景下选择合适的方案实现网络互通,安全性

(1)- 云下业务迁移上云

image.png

  • 使用VPN加密隧道,保障传输过程中数据安全可控
  • 使用DC专线,链路专用,安全稳定,高速低时延
  • 直接通过公网IP互通
  • 使用L2CG服务,源端和云端IP二层互通

(2)- 云间迁移

image.png

  • 使用VPN加密隧道,保障传输过程中数据安全可控
  • 两端都使用公网IP互通,基于互联网通信

(3)- 云内迁移

image.png

云内迁移针对已有部分业务提前迁移上云,后续更改所在Region或AZ的情况,

2、迁移所需的安全策略放通,允许迁移任务执行

image.png

常用迁移工具安全策略

迁移工具 源端网络通信需求 目的端网络通信需求
SMS 在迁移过程中要确保源端agent能调用目的端服务器所在region相关依赖服务的API Windows:需要放开8899、8900、22端口;Linux:开放8900、22端口
DRS 可在“源库及目标库”页面获取DRS迁移实例的弹性公网IP(通过公网互联)及迁移实例的私有IP(通过VPN互联) 目标数据库默认与DRS迁移实例处在同一个VPC内,网络是互通的,不需要进行任何设置
OMS 源端云服务提供商的访问密钥(AK/SK) 华为云对象存储服务OBS的访问密钥(AK/SK)
CDM 源端允许CDM集群绑定的公网IP(EIP) 目标端与CDM集群同个VPC

SMS-参考链接:https://support.huaweicloud.com/sms_faq/sms_faq_0001.html
DRS-参考链接:https://support.huaweicloud.com/drs_faq/drs_02_0100.html
OMS-参考链接:https://support.huaweicloud.com/usermanual-oms/topic_0000001089828284.html
CDM-参考链接:https://support.huaweicloud.com/cdm_faq/cdm_01_0300.html

3、迁移网络的带宽、传输速度、稳定性测试

(1)- 网络连通性测试

  • 迁移工具与源端及目标端之间是否网络能通,以及源端和目标端之间是否能通,细化到端口

(2)- 网络性能测试

  • 迁移网络的带宽、传输速度、延迟、丢包率等,通过测试数据进行测试验证,确保能满足迁移所需,同时也为后续迁移方案和计划安排提供参考数据

2.2.1.4 网络割接

image.png

1、网络平滑切换方案

(1)-网络平滑切换典型方案

image.png

方案一 流量一次性切换

  • 1、通过更改DNS绑定的后端IP进行切换
  • 2、用户始终通过域名访问,对切换无感知
  • 3、切换失败可能导致业务访问中断

方案二 流量灰度切换

  • 1、在DNS增加A记录,即云上对应的业务IP
  • 2、权重调整,通过DNS调整源端、云端在A记录的权重(如源端90%,云端10%)
  • 3、观察无异常后, 逐步切换流量到云端,直到100%
  • 4、稳定性观察

(2)- 网络回退方案

image.png

方案一 流量一次性切换回退

  • 1、通过更改DNS绑定的后端IP切回源端
  • 2、用户始终通过域名访问,对切换无感知

方案二 流量灰度切换回退

  • 1、如数据层有更新,可通过DRS反向同步到源端
  • 2、权重调整,通过DNS调整源端、云端在A记录的权重(如云端90%,源端10%),逐步切换流量到源端,直到100%
  • 3、稳定性观察

2、迁移完成后网络测试

(1)- IP变更通知

  • 业务迁移成功后,如涉及IP地址变更,应通知其他关联系统,更改IP并进行测试,包括旧IP是否仍可使用,能使用多久(通常情况下旧系统会与新系统并存一段时间),切换时效,影响等进行说明

(2)- 网络连通性测试

  • 业务迁移上云后是否能正常访问

(3)- 全业务流程测试

  • 按正常业务流程全流程测试,业务是否能够正常办理,使用体验是否有下降(这是用户最直观的体验,直接影响迁移的客户满意度)

3、网络安全策略部署

image.png

4、迁移网络拆除

迁移完成后,为了系统的安全,为迁移临时搭建的网络也应拆除

image.png

  • 拆除前观察一段时间,确保业务都正常,万一需要回退还会用到该网络
  • 对该网络的配置文档及相关材料进行归档,方便后续恢复或再次搭建时使用
  • 拆除迁移网络,去除源端和云端相关的配置参数

2.2.2 迁移事项

image.png

2.2.2.1 地址变更

image.png

企业交换机

企业交换机(Enterprise Switch,简称ESW)可以在虚拟私有云内提供大二层互联等增强网络转发能力,助力企业客户灵活构建大规模、高性能、高可靠的云上/云下网络。

image.png

企业交换机当前仅支持二层连接网关特性,该特性提供一种虚拟隧道网关,可基于虚拟专用网络或者云专线建立云上与云下之间的二层网络,解决云上和云下网络二层互通问题,允许您在不改变子网IP规划的前提下将数据中心或私有云主机业务部分迁移上云。

产品文档:https://www.huaweicloud.com/product/esw.html

2.2.2.2 断点续传

迁移过程中如果因网络不稳定或其他未知因素导致数据传输中断,迁移任务失败或数据丢失及数据不一致,因此所使用的迁移工具最好能支持断点续传,将大大提升迁移的效率和迁移的成功率,省时省心。

迁移工具 是否支持断点续传 说明
SMS 如果出现短暂的网络中断,支持手动重启迁移任务,从中断的位置继续开始迁移任务已迁移完成的数据无需重新迁移
DRS 针对数据库的迁移、同步场景,在迁移、同步过程中由于不可抗拒因素(例如网络波动)导致的任务失败,DRS通过记录当前解析和回放的位点(该位点同时也是数据库内部一致性的依据),下次从该位点开始回放的方式来实现断点续传,以确保数据的完整性。增量阶段的迁移、同步,DRS会自动进行多次断点续传的重试,全量阶段的MySQL迁移,系统默认进行三次自动续传,无需人工干预。当自动重试失败累计一定次数后,任务会显示异常,需要人为重新开始任务
OMS
CDM

2.2.2.3 时间节点

在迁移时,应尽量安排在业务低峰期进行,主要考虑以下几方面:

  • 1、避免影响占用带宽过大,影响正常业务运行,尤其是使用了业务网络进行迁移的业务;

  • 2、迁移任务会占用一部分的数据读写I/O,避免影响被迁移业务的正常数据读写;

  • 3、业务低峰期系统的数据更新不会太频繁,减少迁移过程中的增量数据同步。

【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。