上云迁移实施&网络迁移

                  【华为云网络全景图】

     本章主要介绍网络迁移的主要场景和面临的挑战，以及如何在云上使用相关网络服务搭建网络架构，设置网络安全策略，满足迁移需求的同时，又能***大限度地保障业务的安全。

一、网络迁移概述

1.1 云时代网络架构演进

     云计算是一种新型的商业模式，与传统的网络有较大区别，典型的就是VPC网络。

• 弹性；

• 易管理；

• 开放。

1.2 传统网络与云上VPC网络

1.3 网络迁移主要的场景

  云下业务上云 - 云下IDC业务迁移上云；

  云间迁移 - 其他友商云迁移到华为云；

  云内迁移 - 华为云内不同region或AZ间迁移。

1.4 网络迁移面临的挑战

  IP地址不变

• 客户要求迁移上云后业务的IP地址不能变，这是迁移项目中经常会遇到的问题。

  网络性能保障

• 迁移过程中如何保障网络的稳定性、可靠性，能够不丢包、低时延。

  传输网络安全

• 传输网络的安全性，通过加密手段，保障迁移过程中的数据安全。

  网络平滑切换

• 迁移完成后，需要切换业务，如何保障网络的平滑切换，中断时间***小化。

二、网络迁移实施

【实施流程】

2.1 信息收集

  网络拓扑

• 用户数据中心整体网络拓扑图以及待迁移系统的详细网络拓扑图。

  网络性能

• 待迁移系统对网络性能是否有特殊要求，如时延、稳定性等。

  通信需求

• 待迁移系统与周边其他系统的通信需求，调用关系等，后续IP变更的通知。

  网络安全策略

• 待迁移系统的原有安全策略梳理，便于后期在云上部署实施安全服务。

2.2 云上设计

【网络规划设计原则】

（一）VPC网络规划

  VPC在哪个区域创建？

• 通常根据业务靠近用户来决定。VPC具有区域属性，默认情况下，不同区域的VPC之间内网不互通，同区域的不同VPC内网不互通。

  需要使用多少个VPC？

• 只有单一业务，可只创建一个VPC。当业务间需要隔离，则创建多个VPC；

• 当企业将业务部署在不同环境（开发、测试、生产）中时，则创建多个VPC；

• 当业务对VPC中资源有权限管理的需求，则将资源分隔到单独的VPC中。

  如何进行网段划分？

• IP地址数量的考虑，要为业务预留足够的IP地址，防止业务扩展给网络带来冲击；

• 与其他VPC、本地数据中心连接时，要避免IP地址冲突。

（二）安全组和网络ACL

     VPC之间通过隧道技术进行100%逻辑隔离，不同VPC之间默认不能通信。网络ACL对子网进行防护，安全组对ECS进行防护，多重防护用户的网络更安全。

  安全组

• 安全组是一个逻辑上的分组，为同一VPC内具有相同安全保护需求并相互信任的ECS提供访问策略。安全组创建后，用户可以在安全组中定义各种访问规则，当ECS加入该安全组后，即受到这些访问规则的保护。

  网络ACL

• 网络ACL是对子网的访问控制策略系统，通过与子网关联的出方向/入方向规则判断数据包是否被允许流入/流出关联子网。

2.3 网络搭建

     从安全性、易用性、成本综合考量以及用户的要求，系统重要性来选择合适的方式

（一）不同场景下选择合适的方案实现网络互通，安全性

  云下业务迁移上云

• 使用VPN加密隧道，保障传输过程中数据安全可控；

• 使用DC专线，链路专用，安全稳定，高速低时延；

• 直接通过公网IP互通；

• 使用L2CG服务，源端和云端IP二层互通。

  云间迁移

• 使用VPN加密隧道，保障传输过程中数据安全可控；

• 两端都使用公网IP互通，基于互联网通信。

  云内迁移

     云内迁移针对已有部分业务提前迁移上云，后续更改所在Region或AZ的情况，

（二）迁移所需的安全策略放通，允许迁移任务执行

（三）迁移网络的带宽、传输速度、稳定性测试

 网络连通性测试

• 迁移工具与源端及目标端之间是否网络能通，以及源端和目标端之间是否能通，细化到端口。

 网络性能测试

• 迁移网络的带宽、传输速度、延迟、丢包率等，通过测试数据进行测试验证，确保能满足迁移所需，同时也为后续迁移方案和计划安排提供参考数据。

2.4 网络割接

（一）网络平滑切换方案

     网络平滑切换典型方案

  方案一 流量一次性切换

     1、通过更改DNS绑定的后端IP进行切换；

     2、用户始终通过域名访问，对切换无感知；

     3、切换失败可能导致业务访问中断。

  方案二 流量灰度切换

     1、在DNS增加A记录，即云上对应的业务IP；

     2、权重调整，通过DNS调整源端、云端在A记录的权重（如源端90%，云端10%）；

     3 、观察无异常后， 逐步切换流量到云端，直到100%；

     4、稳定性观察。

     网络回退方案

  方案一 流量一次性切换回退

     1、通过更改DNS绑定的后端IP切回源端；

     2、用户始终通过域名访问，对切换无感知。

  方案二 流量灰度切换回退

     1、如数据层有更新，可通过DRS反向同步到源端；

     2、权重调整，通过DNS调整源端、云端在A记录的权重（如云端90%，源端10%），逐步切换流量到源端，直到100%；

     3、稳定性观察。

（二）迁移完成后网络测试

  IP变更通知

• 业务迁移成功后，如涉及IP地址变更，应通知其他关联系统，更改IP并进行测试，包括旧IP是否仍可使用，能使用多久（通常情况下旧系统会与新系统并存一段时间），切换时效，影响等进行说明。

  网络连通性测试

• 业务迁移上云后是否能正常访问。

  全业务流程测试

• 按正常业务流程全流程测试，业务是否能够正常办理，使用体验是否有下降（这是用户***直观的体验，直接影响迁移的客户满意度）。

（三）网络安全策略部署

（四）迁移网络拆除

     迁移完成后，为了系统的安全，为迁移临时搭建的网络也应拆除

• 拆除前观察一段时间，确保业务都正常，万一需要回退还会用到该网络；

• 对该网络的配置文档及相关材料进行归档，方便后续恢复或再次搭建时使用；

• 拆除迁移网络，去除源端和云端相关的配置参数。

2.5 迁移事项

（一） 地址变更

  企业交换机

     企业交换机（ESW）可以在虚拟私有云内提供大二层互联等增强网络转发能力，助力企业客户灵活构建大规模、高性能、高可靠的云上/云下网络。

     企业交换机当前仅支持二层连接网关特性，该特性提供一种虚拟隧道网关，可基于虚拟专用网络或者云专线建立云上与云下之间的二层网络，解决云上和云下网络二层互通问题，允许您在不改变子网、IP规划的前提下将数据中心或私有云主机业务部分迁移上云。

（二）断点续传

     迁移过程中如果因网络不稳定或其他未知因素导致数据传输中断，迁移任务失败或数据丢失及数据不一致，因此所使用的迁移工具***好能支持断点续传，将大大提升迁移的效率和迁移的成功率，省时省心。

（三）时间节点

     在迁移时，应尽量安排在业务低峰期进行，主要考虑以下几方面：

• 避免影响占用带宽过大,影响正常业务运行,尤其是使用了业务网络进行迁移的业务；

• 迁移任务会占用一部分的数据读写I/O,避免影响被迁移业务的正常数据读写；

• 业务低峰期系统的数据更新不会太频繁,减少迁移过程中的增量数据同步。