阿里云 OSS 域名 RDS VPC ECS 安全组 slb
摘要: 阿里云起步于经典网络, 但已经全面转向 VPC 专有网络 VPC 以其在安全成本和网络功能方面的优势, 正受到越来越多用户的欢迎在 9 月 6 日云栖社区技术直播中, 阿里云高级产品专家谭礼铨 (李泉) 为大家分享了经典网络迁移 VPC 最佳实践, 本次分享介绍三种将 ECS 从经典网络迁移至 VPC 网络的途径, 并阐述三种类型的迁移分别适合怎样的客户需求和场景
摘要: 阿里云起步于经典网络, 但已经全面转向 VPC 专有网络 VPC 以其在安全成本和网络功能方面的优势, 正受到越来越多用户的欢迎在 9 月 6 日云栖社区技术直播中, 阿里云高级产品专家谭礼铨 (李泉) 为大家分享了经典网络迁移 VPC 最佳实践, 本次分享介绍三种将 ECS 从经典网络迁移至 VPC 网络的途径, 并阐述三种类型的迁移分别适合怎样的客户需求和场景
直播回顾视频地址: https://yq.aliyun.com/webinar/play/287
本次的分享将主要围绕以下几个方面:
云上进入 VPC 时代
迁移提醒
阿里云迁移方案概述
混挂和混访方案
ClassicLink 方案
单 ECS 迁移方案
一云上进入 VPC 时代
如下图所示的是阿里云的网络演进情况阿里云其实是在 2009 年就开始做云计算的, 在一开始的时候使用的都是经典网络, 也就是 Classic 网络到了 2014 年 9 月份, 阿里云推出了 VPC 产品在 2016 年 3 月份阿里云推出了 Default VPC, 也就是说此时阿里云可以为每个用户提供 VPC 产品在 2016 年的 4 月份, 整个阿里云的云产品都全线接入到了 VPC 再到 2016 年 7 月份, 阿里云就开始推行对于新用户默认使用 VPC2017 年 6 月份, 阿里云就针对于经典网络迁移 VPC 推出了三个解决方案
以上就是阿里云网络的演进历程, 可以看到阿里云其实是慢慢地从经典网络向 VPC 进行过渡的, 而经典网络终将退出历史舞台, 所以在这里建议大家一定要使用 VPC, 这也是阿里云所推荐的网络类型
同时也对比看一下 AWS 的网络演进情况, 如下图所示, AWS 在 2009 年推出了 VPC, 在 2013 年上线了 Default VPC 在 2013 年 4 月份, AWS 也开始推行针对新用户只能购买 EC2-VPC 这样的实例而在 2014 年 10 月份, AWS 推出了 ClassLink 功能, 供经典网络用户迁移到 VPC 使用
可以说云上已经进入了 VPC 时代, 但是还有很多存量用户在使用经典网络这是因为无论是阿里云还是 AWS, 只要是起步于经典网络的云服务商, 在其上还是会存在很多经典网络的用户的, 而这部分用户就需要从经典网络迁移到 VPC
对比经典网络和 VPC 来看, 简单而言, VPC 会更加安全, 更加便宜, 同时其网络功能也会更多, 所以 VPC 也是推荐大家使用的网络类型
首先, 从安全角度来说, VPC 网络是基于 vxlan 的, 并且它是使用隧道技术实现的, 存在二层的隔离, 所以会更加安全; 而经典网络是通过三层的隔离, 比如使用像 IP table 这样三层的隔离手段实现的, 所以相对而言经典网络的安全性更低一些从成本的角度来看, 因为阿里云现在推荐使用 VPC, 所以对于 ECS 实例, 如果是相同类型的, 在 VPC 网络环境下的 ECS 会更加便宜一些除此之外, 针对于 VPC 这种网络类型, 阿里云还推出了共享带宽包这样的新型共享带宽方式, 所以也能够帮助用户节约一些公网带宽的成本在功能方面, VPC 的优点就比较多了, 只有使用了 VPC, 用户才有更多的网络管理功能, 比如自定义网络子网划分多地域私网互通等, 并且子网络有网络 ACL 或者共享带宽包这些产品以上这些网络功能都是基于 VPC 的, 所以可以说 VPC 是用户在云上具备网络管理功能的前提在经典网络上, 用户对于网络进行管理的功能不多, 可能只有 ECS 上的共有 IP 地址以及安全组的使用, 其他的像上面提到的自定义网络或者子网划分等功能, 在经典网络上都是没有的综上所述, 可以说 VPC 是用户在云上具备网络管理能力的前提
二迁移提醒
1 了解 VPC
首先, 用户在迁移之前需要先去了解 VPC 上面提到了 VPC 让用户在云上拥有网络管理能力, 但是这些管理能力需要用户通过相关的网络产品来实现, 所以在迁移到 VPC 之前一定要先多了解下 VPC, 比如如何规划自己的 VPC 网络, 使用一个 VPC 还是两个 VPC, 使用什么网段等问题, 以及在 VPC 内如何使用云产品 VPC 内的 ECS 如何和公网通信以及多个 VPC 如何互通等等问题的解决都需要用户对于 VPC 有一定的了解所以对于大家的第一个迁移提醒就是在迁移之前一定要去了解 VPC
2 了解迁移方案以及其限制
第二个迁移提醒就是了解迁移方案以及其限制阿里云针对于从经典网络迁移到 VPC 提出了三种解决方案, 这三个解决方案各有自己的适用场景以及相关的限制, 所以在选择迁移方案的时候需要先去了解这些
3 确定迁移方案
第三个迁移提醒就是要去确定一个比较详细的迁移方案因为云上的用户在经典网络中可能会存在非常复杂的系统, 所以想要迁移到 VPC 中, 可能在正常情况下无法实现一次性迁移完成因此整个迁移过程必然是分步骤有节奏有次序地向 VPC 中迁移, 所以迁移方案就会显得非常重要首先可能需要将系统的依赖梳理清楚, 然后决定先迁移什么后迁移什么, 也就是将整体的迁移方案的步骤细化, 之后再开始从简单系统到复杂系统的迁移除此之外, 特别要说明的一点就是在迁移的过程中要注意观察需要观察系统的表现以及相关的监控指标, 以及留好回退的准备, 比如系统迁移过程中发现一些异常, 需要做好预案来退回到原来的系统, 来避免一些问题
三迁移方案概述
阿里云针对于从经典网络向 VPC 网络迁移提供了三个解决方案, 它们分别是混挂和混访方案 ClassicLink 方案以及单 ECS 迁移方案这三个方案可以独立使用, 也可以组合使用在大多数情况下, 大家都会更具不同的场景使用其中的一个或者两个甚至是三个方案
1 混挂和混访方案概述
接下来对于这三个迁移方案进行简单的概述第一个方案就是混挂和混访的方案, 这个方案首先需要声明的一点就是它是系统的迁移方案, 而不是将经典网络 ECS 直接迁移到 VPC 上去混挂和混访方案的基本迁移基本流程如下:
新建 VPC ECS
在新 VPC ECS 部署系统
将 VPC ECS 加入现有业务系统
将现有业务系统的经典网络 ECS 从系统中移除
将经典 ECS 释放
完成迁移
对于混挂和混访方案更加详细说明一下, 其中的混挂就是负载均衡 SLB 的混挂, 也就是如下图所示的一个 SLB 的实例可以同时挂载经典和 VPC 的 ECS, 而这在之前是存在限制的, 也就是不允许这样去做的分开来讲, 这里的混挂一方面是说公网 SLB 支持混挂, 另外就是私网的 SLB 也支持混挂, 还有就是私网的 VPC 类型的 SLB 也支持混挂但是, 对于私网 VPC 的 SLB 混挂存在一个限制就是如果使用 4 层监听时经典 ECS 无法获取真实来源 IP, 所以大家需要关注一下是否影响了系统
混访的意思指的是 RDS 以及 OSS 等云产品支持混合访问, 也就如下图所示的像 RDSMongoRedis 以及 OSS 等这些云产品可以被经典和 VPC 的 ECS 访问到这里有个注意事项就是这种混访是需要使用不同的域名的, 比如 RDS 实例 A, 从经典网络 ECS 访问的域名是 Classic.RDSA.aliyun.com, 从 VPC ECS 访问的域名是 VPC.RDSA.aliyun.com, 访问的都是同一个实例还有这里需要说明的一点就是: 混挂和混访的方案虽然能够满足大部分的场景, 但是它不能满足经典网络和 VPC ECS 需要直接通信的场景, 也就是说如果用户的业务系统中经典网络需要和 VPC ECS 进行直接通信的话, 使用混挂和混访的方案就无法满足, 比如像使用 kafka 这种数据分析以及大数据相关的系统, 就无法直接使用混挂和混访的方案, 这种场景下就需要使用后面将会提到的方案
2ClassicLink 方案概述
简单而言, ClassicLink 方案就是允许 Classic 的 ECS 和 VPC 通信如上图所示, Classic 的 ECS Link 到达一个 VRouter 上, 这样 Classic 的 ECS 就能访问 VPC 中的 ECS 以及云产品等云资源了这里给出了大家在使用 ClassicLink 方案时的五点提醒:
Classic ECS 可 Link 到 VPC,Classic 网络以单 ECS 为粒度的, 用户可以把一台两台甚至更多的 ECS Link 到 VPC 上而 VPC 网络以 VPC 为粒度, 就是将一台 Classic ECS Link 到 VPC, 这个 Classic 的 ECS 就能够访问 VPC 中的所有资源了
已 Link 到 VPC 的 Classic ECS 可以访问 VPC 内所有资源
VPC 网络的 ECS 只能访问已 Link 的 Classic ECS, 而不能访问未 Link 的 Classic ECS 和 Classic 云产品
目标 VPC 如是 10 网段, 则要和经典网络 ECS 通信的交换机网段必须 10.111.0.0/16 这是因为经典网络和 VPC 的通信使用的是路由的方式来实现的, 为了规避地址冲突, 在经典网络中这个地址段没有使用, 留下来给 VPC 中的需要使用 ClassicLink 的 ECS 使用
目标 VPC 如采用 192.168.0.0/16 网段, 需要在经典网络 ECS 增加到该网段路由这是因为最早阿里云的私网主要使用的 10 网段, 对于 192 网段默认是没有这条路由的, 所以需要用户进行增加
3 单 ECS 方案概述
单 ECS 方案就是经典网络 ECS 通过本方案直接迁移到专有网络中当然, 这个方案需要重启 ECS, 但是不需要用户去创建镜像重新购买 ECS 等, 只需要将 ECS 重启之后就能够迁移到 VPC 里面了需要说明的是目前使用该方案迁移还需要进行预约, 用户需要将要迁移的实例列表发给客户经理待阿里云处理后, 用户方可通过控制台进行预约迁移时间预约完成后, 阿里云会根据用户设置的迁移时间进行迁移, 迁移完成后, 用户将收到迁移成功的短信消息提醒后续该功能还会实现成为用户可以全部自助完成的, 这个功能目前还在开发之中单 ECS 迁移方案存在一些限制需要大家注意:
暂时还不支持经典网络系列 1 类型 ECS 的迁移, 阿里云现在也正在解决这个问题目前用户可以先将系列 1 类型的 ECS 升级之后再进行迁移
迁移过程中 ECS 需要进行重启, 需要用户关注对系统的影响
目前使用此迁移方案, ECS 的公网 IP 和私网 IP 都会变化后续阿里云将会先支持公网不变, 在未来, 也会努力实现私网 IP 不变
迁移到的目标 VPC 的交换机的可用区必须和待迁移的 ECS 的可用区相同, 也就是目前不能跨可用区迁移
迁移过程中实例 ID 及登录信息不变
包年包月购买方式的实例迁移过程中不需要额外付费从新的计费周期开始, 按同规格专有网络的价格计算并且迁移到 VPC 后, ECS 的使用费用会降低
迁移前如有续费变配未生效订单或未支付订单, 迁移后该订单将被取消且不能恢复, 客户需要重新下单
迁移到 VPC 后, 若 ECS 有使用其它云服务, 需将访问方式调整到 VPC 访问方式(云产品混访方案)
四混挂和混访方案
混挂和混访方案 Demo
在如图下所示的简单系统中, 经典网络中的一个公网负载均衡 SLB 挂载了 2 台 ECS 实例, 并使用了 RDS 和 OSS 这两个云产品, 而现在要将这个业务系统通过混挂和混访方案迁移到 VPC 中
混挂和混访方案迁移核心流程
首先, 要规划 VPC 网络, 并且建立 VPC 网络环境, 也就是需要创建好 VPC 并且创建好交换机如果大家对这一部分不熟悉可以参考 VPC 最佳实践 - 网络规划篇(https://yq.aliyun.com/topic/94)
第二步就是在 VPC 内新建 ECS, 并且在 VPC ECS 上部署应用这个时候特别需要注意的是在 VPC ECS 上部署的应用在访问 OSS 和 RDS 的域名时需要使用 VPC 域名, 这也是与在经典网络上应用访问 OSS 和 RDS 的不同之处在部署完成之后, 还需要测试应用能否正常访问 OSS 和 RDS
第三步就是将 VPC 的 ECS 加入到公网 SLB 当中, 也就是如下图所示通过混挂把 VPC 的 ECS 也加入到 SLB 里面这个时候需要注意公网 SLB 中 VPC ECS 的健康检查状态, 如果没有问题的话, 经典网络和 VPC 中的 ECS 应该能够同时提供服务
第四步就是去检查如果业务系统工作是否正常如果系统正常, 并且 VPC 中的这两台 ECS 实例也能够正常地处理业务的请求和访问, 这时候就可以将经典网络中的这两台 ECS 从公网 SLB 中移除掉在将经典网络中的 ECS 移除之后, 便只剩下 VPC 这两台 ECS 提供服务了, 只不过此时 VPC 中的 ECS 会跨网络地访问经典网络中的 RDS 和 OSS
第五步就是将 RDS 切到 VPC 中 RDS 提供了切换网络类型的功能, 能够从经典网络切换到 VPC 并且将经典网络的域名删除而 OSS 本身不需要切换, 因为 OSS 的每个地域都提供了一个统一的域名, 所以只需要不使用经典网络访问域名即可
最后, 如果运行一段时间之后发现系统运行正常, 没有任何问题, 就可以将经典网络这两台 ECS 释放掉, 此时也就完成了整个系统从经典网络到 VPC 的迁移这里需要说明的一点就是公网 SLB 不需要迁移, 因为公网 SLB 其实是在 VPC 外面的, 所以它既可以挂载经典网络的 ECS 也可以挂载 VPC 的 ECS, 而本身不需要迁移
如下图所示的是一个相对比较复杂的系统, 整个系统经过了 SLB 之后挂载了两台 ECS, 之后这两台 ECS 又去访问私网的 SLB, 私网的 SLB 下面又挂载了两台 ECS, 而它们又要去访问 OSS 和 RDS 对于这样一个比较复杂的系统而言, 与前面提到的相比有一个特别的地方就是之前提到了混挂指的是 SLB 的混挂, 混访指的是 RDS 以及 OSS 这些的混访, 但是 SLB 只支持混挂不支持混访, 所以在如下图所示的这个系统里面需要先迁移私网的 SLB 那么, 首先需要在 VPC 里面新建 ECS, 用于私网 SLB 后的 ECS 迁移之后再在 VPC 中建立对应的 SLB VPC 实例并挂载 ECS 最后, 迁移公网 SLB 的 ECS 并配置, 也就是修改程序使用 SLB VPC 实例需要说明的核心的一点就是: 对于私网 SLB 而言, 是不支持混访的, 所以对于私网 SLB 的迁移是需要在 VPC 中建立对应的 SLB 实例来处理的
混挂和混访迁移控制台 Demo 请参考本次分享的视频回顾演示: https://yq.aliyun.com/webinar/play/287
五 ClassicLink 迁移方案
ClassicLink 迁移方案底层的技术和原理
首先简单介绍一下 ClassicLink 方案底层的技术和原理经典网络和 VPC 互通与经典网络和经典网络互通的底层实现是一致的, 其实是同一套系统, 因此内网延迟不变, 私网带宽限速这些相关的网络属性是不会发生变化的另外, 宕机迁移热迁移停止启动重启更换系统盘等操作不会改变已建立的 ClassicLink 链接也就是说如果一个经典网络的 ECS Link 到一个 VPC 上, 那么这台 ECS 发生了宕机迁移或者重启这些都不会改变 ClassicLink 经典网络是一个网络平面, VPC 是另一个网络平面, ClassicLink 是通过路由将这两个网络平面拉齐, 让其具备互通的条件因此使用 ClassicLink 功能, 首先要避免网络地址冲突, 做好网络地址规划阿里云经典网络中使用的地址段是 10.0.0.0/8(不包括 10.111.0.0/16), 因此只要 VPC 的地址段与经典网络的地址段不冲突, 就可以通过 ClassicLink 功能私网通信可以与经典网络互通的 VPC 地址段有 172.16.0.0/1210.111.0.0/16192.168.0.0/16
ClassicLink 迁移方案 Demo
ClassicLink 方案的基本迁移流程也比较简单首先, 针对 VPC 去开启 ClassicLink 的功能第二步, 将经典网络 ECS 链接到 VPC 来打通第三步, 添加 ClassicLink 安全组规则当这三步完成之后, 这台经典的 ECS 就可以和 VPC 进行通信了, 接下来可以结合他们的通信做数据迁移或者使用混挂的方案进行迁移
下图所展示的就是第一步开启 VPC 的 ClassicLink 功能这里需要注意的就是在 VPC 的路由表中, 不能有目标网段为 10.0.0.0/8 自定义路由条目若 VPC 的网段是 10.0.0.0/8, 需要确保和经典网络 ECS 通信的 VPC 的交换机的网段在 10.111.0.0/16 内若 VPC 的网段是 192.168.0.0/16, 需要在经典网络 ECS 中增加 192.168.0.0/16 指向私网网卡的路由
第二步就是将经典网络的 ECS 连接到 VPC 这里需要注意的是最多允许 1000 台经典网络 ECS 链接到同一个 VPC, 并且一台经典网络 ECS 只能链接到一个 VPC, 并且这个链接必须要是同账号同地域的, 比如北京的 ECS 链接到上海的 VPC 是不可以的, 同时也不支持 A 账号的 ECS 链接到 B 账号的 VPC 如果要将账号 A 的 ECS 链接到账号 B 的 VPC, 可以 ECS 从账号 A 过户到账号 B 而申请 ECS 过户需要通过提交工单的方式, 并且在过户前, 用户需要确保已了解 ECS 实例过户须知
第三步就是添加 ClassicLink 安全组规则
目前为了方便用户的使用, 阿里云提供了以下三种授权方式:
经典网络与专有网络相互授权访问, 这种方式也是阿里云推荐使用的授权类型
授权专有网络实例访问经典网络实例
授权经典网络实例访问专有网络实例
六单 ECS 迁移方案
单 ECS 迁移方案 Demo
之前也提到了目前如果想要使用单 ECS 迁移方案还需要用户提供实例 ID 给客户经理, 客户经理给到阿里云处理之后, 用户就可以在阿里云进行预约迁移了下图所展现的就是预约迁移的截图, 如果预约完成, 在 ECS 控制页的概览页面里面会有一个待迁移事件, 用户之后可以再去选择预约迁移的时间, 阿里云就会帮助用户在这个预约的时间点里面进行迁移, 迁移完成之后还会通过短信通知用户
更多详细信息请参考:
云栖社区网络产品专题 https://yq.aliyun.com/topic/94
经典网络迁移 VPC 详细文档 https://help.aliyun.com/document_detail/55051.html
来源: https://yq.aliyun.com/articles/207854