主機遷移的網絡安全配置與條件有哪些？

背景說明

在使用主機遷移服務時，需要在被遷服務器上安裝SMS-Agent。遷移過程中，源端要與SMS服務及目的端進行通信。

圖 主機遷移服務網絡示意圖

源端能連接到天翼云API Gateway

主機遷移服務依賴部分服務：IAM、ECS、EVS、IMS、VPC、SMS、OBS、DNS，在遷移過程中要確保源端agent能調用目的端服務器所在region相關依賴服務的API。在 SMS-Agen/config中的 cloud-region.json文件中，可以查看依賴服務的URL。

當源端服務器無法設置DNS服務器地址時，需要在本地DNS配置文件中 （Windows C:\Windows\System32\drivers\etc\hosts；Linux /etc/hosts)配置url對應的ip，保證url能被正常解析。各API的IP地址可以通過 ping url 獲得。

源端能連接到目的端

• 若使用彈性公網IP連接，目的端需要提前購買和配置正確的EIP。使源端能連接到目的端IP。
• 若使用專線或者VPN，需提前購買和配置正確的專線或VPN。使源端能連接到目的端IP。

目的端服務器所屬安全組開放端口要求

• 目的端服務器為windows系統時需要放開 8899、8900 、22端口。服務器為linux系統時，Linux系統開放8900、22端口。
• 當目的端設置了網絡ACL時，并關聯了目的端服務器所在的子網。需要在網絡ACL中，放開相應的端口。

新建遷移任務需要對目的端服務器做哪些準備？

遷移前，若選擇遷移到已有服務器，請做以下準備工作：

1. 確保天翼云上有滿足如何選擇目的端服務器？所示要求的彈性云服務器。
2. 確保源端服務器可以訪問目的端服務器（即彈性云服務器），即要有可用的EIP，或者配置VPN、專線。
3. 確保目的端服務器所在VPC安全組配置準確。需配置目的端服務器所在VPC安全組，如果是Windows系統需要開放TCP的8899端口、8900端口和22端口；如果是Linux系統，塊級遷移開放8900端口和22端口，文件級遷移開放22端口。
4. 遷移過程中禁止操作目的端彈性云服務器（包括關機、重啟、掛載磁盤、卸載磁盤、修改密碼等），否則會導致遷移失敗。

如何配置目的端服務器安全組規則？

1. 登錄管理控制臺。
2. 單擊控制臺左上角，選擇區域和項目。
3. 選擇“計算 > 彈性云主機”。
4. 在彈性云服務器列表，單擊待變更安全組規則的彈性云服務器名稱。系統跳轉至該彈性云服務器詳情頁面。
5. 選擇“安全組”頁簽，并單擊，查看安全組規則。
6. 單擊“更改安全組規則”。系統跳轉至安全組頁面。
7. 在“入方向規則”頁簽下，單擊“添加規則”，配置安全組入方向的訪問規則。
8. 單擊“確定”，完成安全組規則配置。

“與目的服務器建立SSH連接失敗”該如何處理？

當目的遷移任務執行失敗時，提示“sms.3802 與目的服務器建立SSH連接失敗”。遷移時，源端會和目的端服務器建立一個SSH連接用于傳輸數據。如果無法成功建立SSH連接，則會提示該錯誤。建議您參考本章節操作步驟排查SSH無法連接的原因。

• 檢查目的端是否被關機
• 檢查目的端安全組22端口是否被關閉或指定了一個非源端IP
• 檢查是否安裝ssh客戶端
• 檢查遷移過程中目的端是否更換了VPC或者IP
• 檢查源端防火墻出口方向是否有安全攔截
• 檢查源端或目的端主機是否存在安全告警或者EIP被凍結
• 檢查源端/root/.ssh/known_hosts記錄的公鑰和目的端的公鑰是否不一致
• 檢查目的端sshd服務是否正常運行或監聽端口是否被改為其他非22端口
• 檢查是否使用了與目的端服務器未聯通的內網進行遷移

“無法連接目的虛擬機，請檢查目的虛擬機IP是否可達，或者8899、8900端口是否開放”該如何處理？

當連接目的端服務器失敗時，提示“sms.1807 sms.2802 無法連接目的虛擬機，請檢查目的虛擬機IP是否可達，或者8899、8900端口是否開放”。windows系統遷移時，目的端服務器需要開放8899端口與服務端通信，開放8900端口與源端通信。如果建立通信失敗，則會提示該錯誤。建議您參考本章節操作步驟排查“無法連接目的虛擬機”的原因。

• 檢查源端網絡是否可以連通目的端
• 檢查目的端安全組是否開放8899、8900端口
• 檢查目的端網絡ACL是否禁用了8899、8900端口
• 目的端Peagent異常

“源端主機網絡繁忙，無法連接api網關”該如何處理？

Agent無法正常啟動，Linux系統提示“SMS.0201 Failed to start sms agent! Please check the network connection with below commands!”，Windows系統提示“SMS.0201 源端主機網絡繁忙，無法連接api網關”。該問題通常是由于源端沒有通公網，無法與SMS/IAM/ECS/EVS/IMS/VPC/OBS等服務通信導致。需要排查源端網絡。

遷移Agent與主機遷移服務自動斷開連接時，如何重新建立連接？

服務器遷移實時狀態顯示連接斷開，導致大部分操作無法進行。

問題原因

• 源端Agent停止運行。
• 源端Agent長時間不操作（默認為30天，可通過 config/g-property.cfg的 heartmonitorday參數配置），導致Agent主動與服務斷開連接。
• 源端Agent與SMS服務網絡連接異常。
• 系統被注銷或退出了遠程登錄（部分機器遠程登錄退出會自動注銷），導致SMS-Agent-Py3/SMS-Agent-Py2進程退出。
• 當源端時間與標準時間相差超過15分鐘時，會導致AK/SK權鑒失敗。例如：源端NTP時間服務器配置錯誤。

源端服務器為Windows操作系統（Windows Server 2019/Windows Server 2016/Windows Server 2012/Windows 10/Windows 8.1）時

1. 登錄源端服務器，在右下角尋找Agent圖標，檢查Agent是否正常運行。
   1. 如果Agent已經退出，請重啟Agent。
   2. 如果Agent正常運行，請執行2。
2. 在Agent操作界面，檢查是否可以單擊“啟動”按鈕。
   1. 如果可以啟動，表示Agent主動與sms服務斷開連接，請單擊“啟動”，重新連接sms服務。
   2. 如果不能啟動，請執行3。
3. 檢查源端服務器與服務接口的連通性。如果不能連通，請檢查是否配置錯誤的dns，或者是否設置了防火墻導致域名無法訪問；如果可以連通，并且正在數據傳輸階段。請檢查源端出口帶寬，如果帶寬低于10Mbps，可能是數據傳輸占滿帶寬，導致Agent與sms服務連接超時，請提高源端出口帶寬到10Mbps以上，再繼續遷移。
4. 處理完成后，大約等待1分鐘以后，登錄目的端管理控制臺。
5. 單擊“服務列表”，選擇“遷移 > 主機遷移服務”。進入“主機遷移服務”頁面。
6. 在左側導航樹中，選擇“遷移服務器”。在“遷移實時狀態”列查看該源端的連接狀態。

源端服務器為Windows操作系統（Windows Server 2008/Windows 7）時

1. 登錄源端服務器，查找SMSAgentDeploy.exe進程，檢查Agent是否正常運行。

   1. 如果SMSAgentDeploy.exe進程不存在，請重啟Agent后執行2。重啟Agent需要重新遷移。
   2. 如果SMSAgentDeploy.exe進程存在，請執行2。

2. 進入SMS-Agent安裝目錄，執行agent-cli.exe，并執行status，檢查Agent連接狀態。

   1. 如果狀態為True，請執行4。
   2. 如果狀態為False，表示Agent主動與服務斷開連接，請執行3。
      

3. 輸入“connect”，重新連接源端服務器與主機遷移服務。當回顯信息中的 “Connected between sms agent and sms server”為True時，表示源端服務器與主機遷移服務已恢復連接。

4. 檢查源端服務器與服務接口的連通性。如果不能連通，請檢查是否配置錯誤的dns，或者是否設置了防火墻導致域名無法訪問；如果可以連通，并且正在數據傳輸階段。請檢查源端出口帶寬，如果帶寬低于10Mbps，可能是數據傳輸占滿帶寬，導致Agent與sms服務連接超時，請提高源端出口帶寬到10Mbps以上，再繼續遷移。

5. 處理完成后，大約等待1分鐘以后，登錄目的端管理控制臺。

6. 單擊“服務列表”，選擇“遷移 > 主機遷移服務”。進入“主機遷移服務”頁面。

7. 在左側導航樹中，選擇“遷移服務器”。在“遷移實時狀態”列查看該源端的連接狀態。

源端服務器為Linux操作系統時

1. 使用PuTTY或者SSH客戶端，登錄待遷移的源端服務器。

2. 執行 ps -ef | grep -v grep | grep linuxmain檢查Agent是否正常運行。

   1. 如果沒有linuxmain進程，請重新啟動Agent。
   2. 如果有linuxmain進程，請執行3。
      

3. 在SMS-Agent目錄下執行 ./agent-cli.sh，進入 agent-cli操作界面，然后執行 status，檢查Agent連接狀態。

   1. 如果狀態為True，執行步驟5。
   2. 如果狀態為False，表示Agent主動與服務斷開連接，請執行4。

4. 輸入“connect”，重新連接源端服務器與主機遷移服務。當回顯信息中的 “Connected between sms agent and sms server”為True時，表示源端服務器與主機遷移服務已恢復連接。

   

5. 檢查源端服務器與服務接口的連通性。如果不能連通，請檢查是否配置錯誤的dns，或者是否設置了防火墻導致域名無法訪問；如果可以連通，并且正在數據傳輸階段。請檢查源端出口帶寬，如果帶寬低于10Mbps，可能是數據傳輸占滿帶寬，導致Agent與sms服務連接超時，請提高源端出口帶寬到10Mbps以上，再繼續遷移。

6. 處理完成后，大約等待1分鐘以后，登錄目的端管理控制臺。

7. 單擊“服務列表”，選擇“遷移 > 主機遷移服務”。進入“主機遷移服務”頁面。

8. 在左側導航樹中，選擇“遷移服務器”。在“遷移實時狀態”列查看該源端的連接狀態。

遷移進度卡住或過慢該怎么辦？

遷移過程中，進度條變化很慢或者沒變化。該現象可能由多個原因造成，如網絡帶寬、源端存在大量小文件、linux文件遷移同步階段差異比較等。

解決方案

• 檢查源端及目的端帶寬，遷移過程中盡可能提高帶寬。在不影響業務的情況下，盡可能提供充裕的帶寬給遷移進程。
• 檢查源端是否存在大量小文件，請盡可能清理一些可刪除文件。
• Linux文件級遷移同步過程中，如果同步進度長時間在6%，請耐心等待，遷移進程正在對目的端和源端進行差異比較并同步。
• 檢查管理控制臺上“遷移實時狀態”是否為“連接斷開”。如果連接正常，請耐心等待。如果連接失敗，請參考遷移Agent與主機遷移服務自動斷開連接時，如何重新建立連接？。

源端連通專線/VPN或內網VPC對等連接，還需要連通公網嗎？

源端服務器和目的端服務器之間連通專線/VPN或內網VPC對等連接只用于數據流的傳輸，源端服務器和主機遷移服務端之間控制流需要通過公網傳輸，因此源端必須連通公網。

圖 主機遷移工作原理

1、控制流：源端服務器和主機遷移服務端之間遷移指令的交互過程。

遷移指令交互包括：

步驟②：源端服務器上的遷移Agent向主機遷移服務注冊自身連接狀態，并將源端服務器信息上報到主機遷移服務，完成遷移可行性檢查。

步驟④：遷移Agent獲取并執行主機遷移服務發送的遷移指令。

2、數據流：源端服務器上磁盤數據的遷移過程。

磁盤數據遷移包括：

步驟⑤：遷移源端服務器系統盤。

步驟⑥：遷移源端服務器數據盤。

遷移過程中是否可以釋放/修改彈性公網IP（EIP）？

不可以。

使用主機遷移服務公網遷移，源端遷移Agent會記錄遷移開始時的目的端EIP，并在遷移和同步過程中通過該EIP進行數據傳輸。在遷移/同步過程中，釋放/修改目的端EIP，會造成遷移/同步任務失敗。

在遷移正常完成后，并且確認后續不再進行數據同步，才可以釋放/修改目的端EIP。

“域名解析失敗”該如何處理？

創建遷移任務后，開始遷移時，錯誤&風險提示“SMS.0302 域名%s解析失敗”。出現該問題是因為有域名解析失敗，只有所有域名解析成功，源端服務器才能與主機遷移服務建立聯系，進行遷移。如果有域名解析失敗，則會提示該錯誤。

導致域名解析失敗的原因有：

1. 本地網絡故障。
2. 云解析服務器的解析記錄異常。
3. 域名解析記錄在DNS被修改或者緩存。

“域名聯通失敗”該如何處理？

問題描述

創建遷移任務后，開始遷移時，錯誤&風險提示“SMS.0303 域名%s聯通失敗”。

問題分析

遷移時，需要所有域名聯通，如果有域名聯通失敗，則會提示該錯誤。

導致域名聯通失敗的原因有：

1. 網絡處于異常狀態，比如超時、斷網、網絡不通等情況下可能會導致域名聯通失敗。
2. 防火墻安全攔截。
3. 源端存在安全告警或者EIP被解綁/凍結。
4. 安全組出方向規則關閉。

解決方案

1. Ping一下其他域名。若能Ping通，則排除網絡異常；若Ping不通，請檢查本地網絡狀態。
2. 檢查源端防火墻出口方向是否有安全攔截，如果有攔截，放行后繼續遷移。
3. 檢查源端是否存在安全告警或者EIP被解綁/凍結。如果存在解綁情況，可選擇重新綁定或使用VPC/內網；如果存在凍結情況，請聯系ECS或EIP服務技術支持。
4. 檢查源端是否關閉出方向規則。

遷移網絡質量評估

背景

進行主機遷移時，遷移時長與網絡質量息息相關，經常出現由于網絡質量不佳，引起遷移過程中的報錯。因此SMS提供了網絡質量評估功能，幫助您在數據遷移前，提前預知當前遷移的網絡環境質量。

注意
網絡質量檢測將持續4-5分鐘。為了準確檢測網絡質量，檢測時采用不限速機制（即設置目的端時的網絡限流不會對網絡檢測生效），請您評估檢測時，是否會因占用較多網絡資源，影響您源端業務。
網絡質量檢測需要開放安全組的ICMP協議端口。

選擇網絡質量評估

設置遷移目的端時，在“ 遷移配置 ”頁面的基本配置頁簽，“ 是否檢測網絡質量 ”參數選擇“ 是 ”，在首次全量遷移過程中，會生成一個“ 遷移網絡質量評估 ”的子任務。

檢測結果說明

“ 遷移網絡質量評估 ”子任務檢測了 丟包率 、 抖動 、網絡時延和帶寬四個主要的網絡指標，以及內存占用率和CPU占用率這兩個間接影響因素。每一項指標的檢測結果會用綠（好）、黃（中）、紅（差）不同顏色來分別表示質量情況。檢測完成后，會給出網絡質量評估結果以及 預估遷移時長 。

說明
該檢測結果僅代表“遷移網絡質量評估”子任務檢測時間段的網絡狀態，不代表遷移全程的網絡質量。
預估遷移時長是不限速狀態下的預估時長，僅提供參考。源端小文件多、網絡波動、磁盤讀寫、設置網絡限流等因素都會影響遷移時長，實際剩余遷移時長請參考任務列表中的剩余時間。