阿里云网络产品 关注
手机版
  1. 云栖社区>
  2. 阿里云网络产品>
  3. 博客>
  4. 正文

经典网络迁移VPC最佳实践

场景研读 2017-09-14 12:53:51 浏览6030 评论5 发表于: 阿里云网络产品 >> 最佳实践

阿里云 OSS 域名 RDS VPC ECS 安全组 slb

摘要: 阿里云起步于经典网络,但已经全面转向VPC。专有网络VPC以其在安全、成本和网络功能方面的优势,正受到越来越多用户的欢迎。在9月6日云栖社区技术直播中,阿里云高级产品专家谭礼铨(李泉)为大家分享了经典网络迁移VPC最佳实践,本次分享介绍三种将ECS从经典网络迁移至VPC网络的途径,并阐述三种类型的迁移分别适合怎样的客户需求和场景。

摘要:阿里云起步于经典网络,但已经全面转向VPC。专有网络VPC以其在安全、成本和网络功能方面的优势,正受到越来越多用户的欢迎。在9月6日云栖社区技术直播中,阿里云高级产品专家谭礼铨(李泉)为大家分享了经典网络迁移VPC最佳实践,本次分享介绍三种将ECS从经典网络迁移至VPC网络的途径,并阐述三种类型的迁移分别适合怎样的客户需求和场景。


直播回顾视频地址https://yq.aliyun.com/webinar/play/287

9月21日,2017阿里云网络技术高峰论坛将独家线上直播,欢迎预约:
https://yq.aliyun.com/promotion/340


本文内容根据嘉宾视频分享以及PPT整理而成。

本次的分享将主要围绕以下几个方面:
  • 云上进入VPC时代
  • 迁移提醒
  • 阿里云迁移方案概述
  • 混挂和混访方案
  • ClassicLink方案
  • 单ECS 迁移方案

一、云上进入VPC时代
如下图所示的是阿里云的网络演进情况。阿里云其实是在2009年就开始做云计算的,在一开始的时候使用的都是经典网络,也就是Classic网络。到了2014年9月份,阿里云推出了VPC产品。在2016年3月份阿里云推出了Default VPC,也就是说此时阿里云可以为每个用户提供VPC产品。在2016年的4月份,整个阿里云的云产品都全线接入到了VPC。再到2016年7月份,阿里云就开始推行对于新用户默认使用VPC。2017年6月份,阿里云就针对于经典网络迁移VPC推出了三个解决方案。
1d709ae4730f9058fa3b1234cda8f43708762295
以上就是阿里云网络的演进历程,可以看到阿里云其实是慢慢地从经典网络向VPC进行过渡的,而经典网络终将退出历史舞台,所以在这里建议大家一定要使用VPC,这也是阿里云所推荐的网络类型。

同时也对比看一下AWS的网络演进情况,如下图所示,AWS在2009年推出了VPC,在2013年上线了Default VPC。在2013年4月份,AWS也开始推行针对新用户只能购买EC2-VPC这样的实例。而在2014年10月份,AWS推出了ClassLink功能,供经典网络用户迁移到VPC使用。
c99268633f46a73056ad1f2857bee67daf7497bc
可以说云上已经进入了VPC时代,但是还有很多存量用户在使用经典网络。这是因为无论是阿里云还是AWS,只要是起步于经典网络的云服务商,在其上还是会存在很多经典网络的用户的,而这部分用户就需要从经典网络迁移到VPC。
0dede6f1e1c87c709590877f1ed2c38a7fbecb4c
对比经典网络和VPC来看,简单而言,VPC会更加安全,更加便宜,同时其网络功能也会更多,所以VPC也是推荐大家使用的网络类型。
beb4874b2b137e57d554932c5a71c8a76f42f31a
首先,从安全角度来说,VPC网络是基于vxlan的,并且它是使用隧道技术实现的,存在二层的隔离,所以会更加安全;而经典网络是通过三层的隔离,比如使用像IP table这样三层的隔离手段实现的,所以相对而言经典网络的安全性更低一些。从成本的角度来看,因为阿里云现在推荐使用VPC,所以对于ECS实例,如果是相同类型的,在VPC网络环境下的ECS会更加便宜一些。除此之外,针对于VPC这种网络类型,阿里云还推出了共享带宽包这样的新型共享带宽方式,所以也能够帮助用户节约一些公网带宽的成本。在功能方面,VPC的优点就比较多了,只有使用了VPC,用户才有更多的网络管理功能,比如自定义网络、子网划分、多地域私网互通等,并且子网络有网络ACL或者共享带宽包这些产品。以上这些网络功能都是基于VPC的,所以可以说VPC是用户在云上具备网络管理功能的前提。在经典网络上,用户对于网络进行管理的功能不多,可能只有ECS上的共有IP地址以及安全组的使用,其他的像上面提到的自定义网络或者子网划分等功能,在经典网络上都是没有的。综上所述,可以说VPC是用户在云上具备网络管理能力的前提。

二、迁移提醒
1、了解VPC
6e2418e1efd4bde0c933d64d78203bd720c71aea
首先,用户在迁移之前需要先去了解VPC。上面提到了VPC让用户在云上拥有网络管理能力,但是这些管理能力需要用户通过相关的网络产品来实现,所以在迁移到VPC之前一定要先多了解下VPC,比如如何规划自己的VPC网络,使用一个VPC还是两个VPC,使用什么网段等问题,以及在VPC内如何使用云产品、VPC内的ECS如何和公网通信以及多个VPC如何互通等等问题的解决都需要用户对于VPC有一定的了解。所以对于大家的第一个迁移提醒就是在迁移之前一定要去了解VPC。

2、了解迁移方案以及其限制
4cdc9e51af8e91f84c243ea0af01af3bf9f7bd35
第二个迁移提醒就是了解迁移方案以及其限制。阿里云针对于从经典网络迁移到VPC提出了三种解决方案,这三个解决方案各有自己的适用场景以及相关的限制,所以在选择迁移方案的时候需要先去了解这些。

3、确定迁移方案
cfb6692456126423519e689453d0c25b26240882
第三个迁移提醒就是要去确定一个比较详细的迁移方案。因为云上的用户在经典网络中可能会存在非常复杂的系统,所以想要迁移到VPC中,可能在正常情况下无法实现一次性迁移完成。因此整个迁移过程必然是分步骤、有节奏、有次序地向VPC中迁移,所以迁移方案就会显得非常重要。首先可能需要将系统的依赖梳理清楚,然后决定先迁移什么后迁移什么,也就是将整体的迁移方案的步骤细化,之后再开始从简单系统到复杂系统的迁移。除此之外,特别要说明的一点就是在迁移的过程中要注意观察。需要观察系统的表现以及相关的监控指标,以及留好回退的准备,比如系统迁移过程中发现一些异常,需要做好预案来退回到原来的系统,来避免一些问题。

三、迁移方案概述
e16cc675ce2f404d1eef6f557eb9855f2d1103a8
阿里云针对于从经典网络向VPC网络迁移提供了三个解决方案,它们分别是混挂和混访方案、ClassicLink方案以及单ECS迁移方案。这三个方案可以独立使用,也可以组合使用。在大多数情况下,大家都会更具不同的场景使用其中的一个、或者两个甚至是三个方案。

1、混挂和混访方案概述
接下来对于这三个迁移方案进行简单的概述。第一个方案就是混挂和混访的方案,这个方案首先需要声明的一点就是它是系统的迁移方案,而不是将经典网络ECS直接迁移到VPC上去。混挂和混访方案的基本迁移基本流程如下:
  1. 新建VPC ECS
  2. 在新VPC ECS 部署系统
  3. 将VPC ECS 加入现有业务系统
  4. 将现有业务系统的经典网络ECS 从系统中移除
  5. 将经典ECS释放
  6. 完成迁移

对于混挂和混访方案更加详细说明一下,其中的混挂就是负载均衡SLB的混挂,也就是如下图所示的一个SLB的实例可以同时挂载经典和VPC的ECS,而这在之前是存在限制的,也就是不允许这样去做的。分开来讲,这里的混挂一方面是说公网SLB支持混挂,另外就是私网的SLB也支持混挂,还有就是私网的VPC类型的SLB也支持混挂。但是,对于私网VPC的SLB混挂存在一个限制就是如果使用4层监听时经典ECS无法获取真实来源IP,所以大家需要关注一下是否影响了系统。
0645329509f36dd27471ece79be6b3adf9f9c6ed
混访的意思指的是RDS以及OSS等云产品支持混合访问,也就如下图所示的像RDS、Mongo、Redis以及OSS等这些云产品可以被经典和VPC的ECS访问到。这里有个注意事项就是这种混访是需要使用不同的域名的,比如RDS实例A,从经典网络ECS访问的域名是Classic.RDSA.aliyun.com,从VPC ECS访问的域名是VPC.RDSA.aliyun.com,访问的都是同一个实例。还有这里需要说明的一点就是:混挂和混访的方案虽然能够满足大部分的场景,但是它不能满足经典网络和VPC ECS需要直接通信的场景,也就是说如果用户的业务系统中经典网络需要和VPC ECS进行直接通信的话,使用混挂和混访的方案就无法满足,比如像使用kafka这种数据分析以及大数据相关的系统,就无法直接使用混挂和混访的方案,这种场景下就需要使用后面将会提到的方案。
e9d7306f992585ef24886d858fdcacd7b3d3fc45

2、ClassicLink方案概述
fc034be72770d905a5e541f7698d15c798b5813f
简单而言,ClassicLink方案就是允许Classic的ECS和VPC通信。如上图所示,Classic的ECS Link到达一个VRouter上,这样Classic的ECS就能访问VPC中的ECS以及云产品等云资源了。这里给出了大家在使用ClassicLink方案时的五点提醒:
  1. Classic ECS可Link到VPC,Classic网络以单ECS为粒度的,用户可以把一台、两台甚至更多的ECS Link到VPC上。而VPC网络以VPC为粒度,就是将一台Classic ECS Link到VPC,这个Classic的ECS就能够访问VPC中的所有资源了。
  2. 已Link到VPC的Classic ECS可以访问VPC内所有资源
  3. VPC网络的ECS只能访问已Link的Classic ECS,而不能访问未Link的Classic ECS和Classic云产品。
  4. 目标VPC如是10网段,则要和经典网络ECS通信的交换机网段必须10.111.0.0/16。这是因为经典网络和VPC的通信使用的是路由的方式来实现的,为了规避地址冲突,在经典网络中这个地址段没有使用,留下来给VPC中的需要使用ClassicLink的ECS使用
  5. 目标VPC如采用192.168.0.0/16网段,需要在经典网络ECS增加到该网段路由。这是因为最早阿里云的私网主要使用的10网段,对于192网段默认是没有这条路由的,所以需要用户进行增加。
3、单ECS方案概述
c3332471a66a04cf56e976fda765070865c2a167
单ECS方案就是经典网络ECS通过本方案直接迁移到专有网络中。当然,这个方案需要重启ECS,但是不需要用户去创建镜像、重新购买ECS等,只需要将ECS重启之后就能够迁移到VPC里面了。需要说明的是目前使用该方案迁移还需要进行预约,用户需要将要迁移的实例列表发给客户经理。待阿里云处理后,用户方可通过控制台进行预约迁移时间。预约完成后,阿里云会根据用户设置的迁移时间进行迁移,迁移完成后,用户将收到迁移成功的短信消息提醒。后续该功能还会实现成为用户可以全部自助完成的,这个功能目前还在开发之中。单ECS迁移方案存在一些限制需要大家注意:
  • 暂时还不支持经典网络系列1类型ECS的迁移,阿里云现在也正在解决这个问题。目前用户可以先将系列1类型的ECS升级之后再进行迁移。
  • 迁移过程中ECS需要进行重启,需要用户关注对系统的影响。
  • 目前使用此迁移方案,ECS的公网IP和私网IP都会变化。后续阿里云将会先支持公网不变,在未来,也会努力实现私网IP不变。
  • 迁移到的目标VPC的交换机的可用区必须和待迁移的ECS的可用区相同,也就是目前不能跨可用区迁移。
  • 迁移过程中实例ID及登录信息不变。
  • 包年包月购买方式的实例迁移过程中不需要额外付费。从新的计费周期开始,按同规格专有网络的价格计算。并且迁移到VPC后,ECS的使用费用会降低。
  • 迁移前如有续费变配未生效订单或未支付订单,迁移后该订单将被取消且不能恢复,客户需要重新下单。
  • 迁移到VPC后,若ECS有使用其它云服务,需将访问方式调整到VPC访问方式(云产品混访方案)。

四、混挂和混访方案
混挂和混访方案Demo
在如图下所示的简单系统中,经典网络中的一个公网负载均衡SLB挂载了2台ECS实例,并使用了RDS和OSS这两个云产品,而现在要将这个业务系统通过混挂和混访方案迁移到VPC中。
f2115cbb0ca8f02473d6cc2e5a74f80cc5dcf96f

混挂和混访方案迁移核心流程
16326cd90fd65bb95ffc188d0e9620456cdda3b4
首先,要规划VPC网络,并且建立VPC网络环境,也就是需要创建好VPC并且创建好交换机。如果大家对这一部分不熟悉可以参考VPC最佳实践-网络规划篇(https://yq.aliyun.com/topic/94)。

第二步就是在VPC内新建ECS,并且在VPC ECS上部署应用。这个时候特别需要注意的是在VPC ECS上部署的应用在访问OSS和RDS的域名时需要使用VPC域名,这也是与在经典网络上应用访问OSS和RDS的不同之处。在部署完成之后,还需要测试应用能否正常访问OSS和RDS。
684aaa6a2deb6d05d1565d4844acfe92f64d97c2
第三步就是将VPC的ECS加入到公网SLB当中,也就是如下图所示通过混挂把VPC的ECS也加入到SLB里面。这个时候需要注意公网SLB中VPC ECS的健康检查状态,如果没有问题的话,经典网络和VPC中的ECS应该能够同时提供服务。
5125d72be1f724ed101b524955f1dd937e14ae01
第四步就是去检查如果业务系统工作是否正常。如果系统正常,并且VPC中的这两台ECS实例也能够正常地处理业务的请求和访问,这时候就可以将经典网络中的这两台ECS从公网SLB中移除掉。在将经典网络中的ECS移除之后,便只剩下VPC这两台ECS提供服务了,只不过此时VPC中的ECS会跨网络地访问经典网络中的RDS和OSS。
894fb4c87c2cd6ef62e75625444fb08fbf3e20e5
第五步就是将RDS切到VPC中。RDS提供了切换网络类型的功能,能够从经典网络切换到VPC并且将经典网络的域名删除。而OSS本身不需要切换,因为OSS的每个地域都提供了一个统一的域名,所以只需要不使用经典网络访问域名即可。
4cfff44f45f70e33a22524c03ba6bfaef1872725
最后,如果运行一段时间之后发现系统运行正常,没有任何问题,就可以将经典网络这两台ECS释放掉,此时也就完成了整个系统从经典网络到VPC的迁移。这里需要说明的一点就是公网SLB不需要迁移,因为公网SLB其实是在VPC外面的,所以它既可以挂载经典网络的ECS也可以挂载VPC的ECS,而本身不需要迁移。
51871af45d3031f1b919a6ff94f91771cc845bed
如下图所示的是一个相对比较复杂的系统,整个系统经过了SLB之后挂载了两台ECS,之后这两台ECS又去访问私网的SLB,私网的SLB下面又挂载了两台ECS,而它们又要去访问OSS和RDS。对于这样一个比较复杂的系统而言,与前面提到的相比有一个特别的地方就是之前提到了混挂指的是SLB的混挂,混访指的是RDS以及OSS这些的混访,但是SLB只支持混挂不支持混访,所以在如下图所示的这个系统里面需要先迁移私网的SLB。那么,首先需要在VPC里面新建ECS,用于私网SLB后的ECS迁移。之后再在VPC中建立对应的SLB VPC实例并挂载ECS。最后,迁移公网SLB的ECS并配置,也就是修改程序使用SLB VPC实例。需要说明的核心的一点就是:对于私网SLB而言,是不支持混访的,所以对于私网SLB的迁移是需要在VPC中建立对应的SLB实例来处理的。
e61d787a7ed851ad672d65a3394196901ed98d2a
混挂和混访迁移控制台Demo请参考本次分享的视频回顾演示: https://yq.aliyun.com/webinar/play/287

五、ClassicLink迁移方案

ClassicLink迁移方案底层的技术和原理
首先简单介绍一下ClassicLink方案底层的技术和原理。经典网络和VPC互通与经典网络和经典网络互通的底层实现是一致的,其实是同一套系统,因此内网延迟不变,私网带宽限速这些相关的网络属性是不会发生变化的。另外,宕机迁移、热迁移、停止、启动、重启、更换系统盘等操作不会改变已建立的ClassicLink链接。也就是说如果一个经典网络的ECS Link到一个VPC上,那么这台ECS发生了宕机迁移或者重启这些都不会改变ClassicLink。经典网络是一个网络平面,VPC是另一个网络平面,ClassicLink是通过路由将这两个网络平面拉齐,让其具备互通的条件。因此使用ClassicLink功能,首先要避免网络地址冲突,做好网络地址规划。阿里云经典网络中使用的地址段是10.0.0.0/8(不包括10.111.0.0/16),因此只要VPC的地址段与经典网络的地址段不冲突,就可以通过ClassicLink功能私网通信。可以与经典网络互通的VPC地址段有172.16.0.0/12、10.111.0.0/16、192.168.0.0/16。

ClassicLink迁移方案Demo
ClassicLink方案的基本迁移流程也比较简单。首先,针对VPC去开启ClassicLink的功能。第二步,将经典网络ECS链接到VPC来打通。第三步,添加ClassicLink安全组规则。当这三步完成之后,这台经典的ECS就可以和VPC进行通信了,接下来可以结合他们的通信做数据迁移或者使用混挂的方案进行迁移。

下图所展示的就是第一步开启VPC的ClassicLink功能。这里需要注意的就是在VPC的路由表中,不能有目标网段为10.0.0.0/8自定义路由条目。若VPC的网段是10.0.0.0/8,需要确保和经典网络ECS通信的VPC的交换机的网段在10.111.0.0/16内。若VPC的网段是192.168.0.0/16,需要在经典网络ECS中增加192.168.0.0/16指向私网网卡的路由。
77478b7a5daef169e5177fdb16d48125f82c794e
第二步就是将经典网络的ECS连接到VPC。这里需要注意的是最多允许1000台经典网络ECS链接到同一个VPC,并且一台经典网络ECS只能链接到一个VPC,并且这个链接必须要是同账号同地域的,比如北京的ECS链接到上海的VPC是不可以的,同时也不支持A账号的ECS链接到B账号的VPC。如果要将账号A的ECS链接到账号B的VPC,可以ECS从账号A过户到账号B。而申请ECS过户需要通过提交工单的方式,并且在过户前,用户需要确保已了解ECS实例过户须知。
76cc5c4f90ed274c51fd69479fd2ca1ddbdf3db9
第三步就是添加ClassicLink安全组规则。
58af2643ae6f53a13962046fbe063fa129fd1c2a
目前为了方便用户的使用,阿里云提供了以下三种授权方式:
  1. 经典网络与专有网络相互授权访问,这种方式也是阿里云推荐使用的授权类型。
  2. 授权专有网络实例访问经典网络实例。
  3. 授权经典网络实例访问专有网络实例。

六、单ECS迁移方案

单ECS迁移方案Demo
之前也提到了目前如果想要使用单ECS迁移方案还需要用户提供实例ID给客户经理,客户经理给到阿里云处理之后,用户就可以在阿里云进行预约迁移了。下图所展现的就是预约迁移的截图,如果预约完成,在ECS控制页的概览页面里面会有一个待迁移事件,用户之后可以再去选择预约迁移的时间,阿里云就会帮助用户在这个预约的时间点里面进行迁移,迁移完成之后还会通过短信通知用户。
340ab9a98e0710862694cecb0711e18ea5fd26fa
更多详细信息请参考:
云栖社区网络产品专题 https://yq.aliyun.com/topic/94
经典网络迁移VPC 详细文档 https://help.aliyun.com/document_detail/55051.html

本文为云栖社区原创内容,未经允许不得转载,如需转载请发送邮件至yqeditor@list.alibaba-inc.com;如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:yqgroup@service.aliyun.com 进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

用云栖社区APP,舒服~

【云栖快讯】哪个编程语言最热门?各个专业领域的技术趋势是什么?如何才能更快速的踏上技术进阶之路……云栖社区2017中国开发者大调查火热进行!答卷可抽奖,红轴机械键盘、天猫精灵,丰富好礼大概率抽取  详情请点击

网友评论

1F
netschina

学习了。

(来自社区APP)
2F
webmetrics

不错👍 期待单ECS迁移方案继续完善!

3F
losered

我就知道VPN VPC 有点蒙

(来自社区APP)
4F
slbbbbbbb

I类主机不能迁移 感觉到了深深的歧视😒

(来自社区APP)
我是李泉

正在做,马上会支持升级到系列II,III,然后迁移

洋驼

@我是李泉 有时间产品线吗?

评论
5F
洋驼

PPT能共享 一下吗?

帮助您基于阿里云构建出一个隔离的网络环境。您可以完全掌控自己的虚拟网络,如选择自有 IP 地址范围、划分网段、配...

凝聚阿里巴巴多年来在无线业务安全防御的成功经验和技术成果,并面向开发者和企业提供安全扫描、应用加固、安全组件、数...

HTTPDNS是面向移动开发者推出的一款域名解析产品,具有域名防劫持、精准调度的特性。

为您提供简单高效、处理能力可弹性伸缩的计算服务,帮助您快速构建更稳定、安全的应用,提升运维效率,降低 IT 成本...