通过云专线和企业交换机迁移IDC子网上云流程 图4 通过云专线和企业交换机迁移IDC子网上云流程 根据业务场景需求，规划资源和网段。 网络规划详情，请参见表1。 上述网段仅供参考，具体以用户网段为准。 隧道网段不建议范围很大，此隧道网段是用来规划一个隧道IP和华为云上的企业交换机建立VXALN隧道。参考图1.2 加入L2CG后的二层组网图。 在云下IDC侧的隧道交换机上配置VXLAN隧道。 本文中子网Subnet D作为配置在交换机上的隧道网段，配置信息如下： 源地址：为云上隧道IP（192.168.0.98）。 目的地址：为云下隧道IP（200.51.51.100）。 隧道号：5530 配置线下交换机存在两种主要场景，不通的场景使用的配置方式不同，详情请参考配置远端隧道网关。 修改专线的虚拟子接口配置，增加隧道子网Subnet D网段（200.51.51.0/24），以打通云上和云下隧道网络。 具体操作请参考修改虚拟接口。 创建企业交换机。 创建方法请参见购买企业交换机，参数说明如下： 隧道连接方式：选择云专线。 关联网关：选择已有云专线网关。 隧道子网：选择子网Subnet B（192.168.0.0/24）。 隧道IP：配置为云上本端隧道IP（192.168.0.98）。 单击“立即购买”及“提交”后，开始创建企业交换机。企业交换机的创建过程一般需要3~6分钟。 创建第一个二层连接子网和二层连接，实现二层连接子网Subnet A云上和云下二层互通。 创建二层连接子网后，由于两个子网网段相同，导致专线到云下和云上的路由冲突，因此专线原有三层业务中断。在创建完二层连接之后，三层业务会恢复。 在VPC中创建二层连接子网，对应图2中云上的子网Subnet A（192.168.3.0/24），子网网段与线下二层互通网段相同。 创建子网请参考为虚拟私有云创建新的子网。 子网 Subnet A、Subnet B、Subnet C、Subnet D网段不允许重叠。 Subnet D作为隧道子网，不需过大的网段范围，建议最大28位掩码。 云上VPC的掩码规划，取决于用户创建企业交换机的个数，每个企业交换机会占用隧道子网的三个IP。 创建云下和云上的二层连接子网Subnet A之间的二层连接A。 详情请参考创建二层连接。 二层连接子网：选择云上二层连接子网 Subnet A（192.168.3.0/24）。 远端接入信息： 隧道号：5530 对端隧道IP：200.51.51.100 单击“创建”，等待连接状态为“已连接”，表示二层连接已创建成功。 验证二层连接子网Subnet A之间的二层网络通信。 在云上二层连接子网 Subnet A内创建两台弹性云服务器。 此处两台ECS的私有IP地址分别为192.168.3.20和192.168.3.69。 分别登录两台创建的弹性云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 执行以下命令，验证是否可正常访问云下主机。 ping 云下二层连接子网Subnet A内的主机IP地址 命令示例： ping 192.168.3.255 ping 192.168.3.222 回显类似如下信息，表示二层云下和云上二层通信正常。 创建新的二层连接子网和二层连接，实现云下和云上三层互通。 在VPC中创建二层连接子网，对应图3中云上的子网Subnet C（192.168.5.0/24），子网网段与线下二层互通网段相同。 创建子网请参考为虚拟私有云创建新的子网。 创建云下和云上的二层连接子网Subnet C之间的二层连接C。 详情请参考创建二层连接。 二层连接子网：选择云上二层连接子网Subnet C（192.168.5.0/24）。 远端接入信息： 隧道号：5540 对端隧道IP：200.51.51.100 单击“创建”，等待连接状态为“已连接”，表示二层连接已创建成功。此时云下和云上可实现三层互通。 参考6，验证二层连接子网Subnet C之间的二层网络通信。 参考6，验证云下IDC内Subnet A和云上Subnet C、云上Subnet A和云下SubnetC之间三层网络通信。 回显类似如下信息，表示三层网络通信正常。 业务迁移 二层业务互通后，将IDC内的部分主机迁移到云上。 迁移具体操作，请参见主机迁移服务快速入门。 验证IDC和云上主机之间网络通信。 网络通信验证成功后，将IDC内已迁移的主机进行关机。 将云上的主机IP地址修改为云下IDC内的主机的IP地址。 修改IP地址具体操作，请参见修改私有IP地址。 验证云下IDC内主机和云上主机网络通信。

资源和成本规划 表1 资源和成本规划 区域 资源 资源说明 数量 每月费用（元） 华为云（本端） 虚拟私有云子网 子网名称：Subnet A 子网网段：192.168.3.0/24 第一个二层连接：二层连接A内的本端二层连接子网，此处为云上ECS所在子网 3 00.00 子网名称：Subnet C 子网网段：192.168.3.0/24 第二个二层连接：二层连接C内的二层连接子网，此处为云上ECS所在子网 子网名称：Subnet B 子网网段：192.168.0.0/24 本端隧道子网，华为云上的隧道子网，此处为DC和ESW所在子网 弹性云服务器ECS Subnet A内地ECS，此处两台主机为IDC业务上云后扩展的两台主机。 私有IP地址：192.168.3.4 私有IP地址：192.168.3.5 Subnet C内地ECS： 私有IP地址：192.168.5.4 私有IP地址：192.168.5.5 4 1055.60 企业交换机 ESW 隧道连接方式：云专线 隧道子网：Subnet B 1 65000.00 二层连接 二层连接A，连接云上和云下Subnet A 隧道IP：192.168.0.98 隧道号：5530 二层连接C，连接云上和云下Subnet C 隧道IP：192.168.0.98 隧道号：5540 基于同一个企业交换机的两个二层连接，隧道IP地址保持一致，但是隧道号不能重复。 2 00.00 客户IDC（远端） 客户IDC内子网 子网名称：Subnet A 子网网段：192.168.3.0/24 第一个二层连接：二层连接A内的远端二层连接子网，客户IDC业务集群所在的子网 3 - 子网名称：Subnet C 子网网段：192.168.3.0/24 第二个二层连接：二层连接C内的远端二层连接子网，客户IDC业务集群所在的子网 子网名称：Subnet D 子网网段：200.51.51.0/24 远端隧道子网：客户IDC内的隧道子网 二层连接对应的IDC内VXLAN隧道 二层连接A，连接云上和云下Subnet A 隧道IP：200.51.51.100 隧道号：5530 二层连接C，连接云上和云下Subnet C 隧道IP：200.51.51.100 隧道号：5540 2 - 资源成本费用预估为66055.60元，该费用中，不包括迁移主机产生的费用，迁移费用详情请参见计费说明。 本文提供的成本预估费用仅供参考，资源的实际费用以华为云管理控制台显示为准。

方案架构 用户云下IDC已有子网A，通过云专线连接到云上的子网B，如图1所示。用户希望将子网A内的部分业务迁移上云，迁移的具体要求如下： 扩展上云后的部分主机与同网段云下主机二层互通。 扩展上云的二层网段与IDC三层互通能力继续保持。 IDC内改造的二层网络与云上三层互通能力继续保持。 图1 用户业务场景组网图 基于客户当前的业务场景，需要进行两个阶段的网络部署，详细说明如下： 将子网Subnet A二层迁移上云，通过ESW实现云下和云上Subnet A之间二层网络互通，组网图如图2所示，迁移方案说明如下： 在云下IDC新增一个子网Subnet D，作为云下VXLAN交换机所需的隧道子网。 在云上VPC内新增一个子网Subnet A，用作云下Subnet A的上云目标子网。 将云上原有的Subnet B作为隧道子网，基于该子网创建企业交换机和二层连接，并关联云专线，即可以连通云上云下二层网络。 图2 云下和云上Subnet A之间二层网络互通 在云上和云下新增子网Subnet C，通过ESW实现云下和云上Subnet C之间二层网络互通，并且基于云专线，实现云下IDC内Subnet A和云上Subnet C、云上Subnet A和云下Subnet C之间三层互通，组网图如图3所示，部署方案说明如下： 在云上和云下分别新增子网Subnet C。 在云上和云下基于已有的隧道子网，新建一个二层连接，连通云下和云上Subnet C之间二层网络。 并且，同一个VPC内的子网网络三层互通，此时云下IDC内Subnet A和云上Subnet C、云上Subnet A和云下Subnet C之间三层互通。 图3 云上和云下三层网络互通

步骤七：验证云上和云下主机网络通信 选择“计算 > 弹性云服务器”，切换为“华东-上海一”区域。 在ecs-shanghai-8（10.0.1.8）所在行的操作列下，选择“更多 > 删除”，并释放弹性公网IP和数据盘。 模拟IDC内主机业务完全迁移上云后、删除主机。 登录ecs-shanghai-131（10.0.1.131）。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 执行以下命令，验证ecs-shanghai-131访问ecs-guangzhou-8。 ping 10.0.1.8 回显类似如下信息，表示网络通信正常。 选择“计算 > 弹性云服务器”，切换为“华南-广州”区域。 登录ecs-guangzhou-8（10.0.1.8）。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 执行以下命令，验证ecs-guangzhou-8访问ecs-shanghai-131。 ping 10.0.1.131 回显类似如下信息，表示网络通信正常。 选择“网络 > 虚拟专用网络”，切换为“华东-上海一”或“华南-广州”区域，可以看到VPN连接的状态已经变为“正常”。 至此IDC和云上构建二层网络，实现主机粒度的不中断业务迁移上云的最佳实践配置完成。

步骤六：修改云上主机IP地址 选择“计算 > 弹性云服务器”，切换为“华东-上海一”区域。 在ecs-shanghai-8（10.0.1.8）所在行的操作列下，选择“更多 > 关机”，关闭ecs-shanghai-8。 选择“计算 > 弹性云服务器”，切换为“华南-广州”区域。 在ecs-guangzhou-8（10.0.1.21）所在行的操作列下，选择“更多 > 关机”，关闭ecs-guangzhou-8。 关闭ecs-guangzhou-8，继续选择“更多 > 网络设置 > 修改私有IP”。 根据界面提示，将ecs-guangzhou-8的私有IP由10.0.1.21改为10.0.1.8。

步骤五：迁移云下主机至云上 将华东-上海一的ecs-shanghai-8（10.0.1.8）迁移到华南-广州的ecs-guangzhou-8（10.0.1.21）。 迁移具体操作，请参见主机迁移服务快速入门。 迁移完成后，验证华东-上海一的ecs-shanghai-131（10.0.1.131）和华南-广州的ecs-guangzhou-8（10.0.1.21）之间二层网络通信。 选择“计算 > 弹性云服务器”，切换为“华东-上海一”区域。 登录ecs-shanghai-131。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 执行以下命令，验证ecs-shanghai-131访问ecs-guangzhou-8。 ping 10.0.1.21 选择“计算 > 弹性云服务器”，切换为“华南-广州”区域。 登录ecs-guangzhou-8。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 执行以下命令，验证ecs-guangzhou-8访问ecs-shanghai-131。 ping 10.0.1.131

步骤四：配置企业交换机 在系统首页，选择“网络>企业交换机”。 进入企业交换机页面。 在界面右上角，单击“购买”。 进入企业交换机购买页面。 根据资源和成本规划配置参数，购买上海一的企业交换机，完成后单击“立即购买”。 区域：华东-上海一 隧道连接方式：VPN 关联网关：vpngw-shanghai 隧道子网：subnet-3 名称：l2cg-shanghai 未提及参数，保持默认或根据界面引导配置 创建过程大约需要6分钟，记录l2cg-shanghai的“本端隧道IP”地址（10.0.3.131）。 创建过程中，请手动单击页面刷新按钮刷新页面。 重复1~3，创建购买广州的企业交换机，关键参数如下。 区域：华南-广州 隧道连接方式：VPN 关联网关：vpngw-guangzhou 隧道子网：subnet-5 名称：l2cg-guangzhou 未提及参数，保持默认或根据界面引导配置 创建过程大约需要6分钟，记录l2cg-guangzhou的“本端隧道IP”地址（10.0.5.196）。 创建过程中，请手动单击页面刷新按钮刷新页面。 单击“l2cg-guangzhou”页面的“创建连接”，配置源端接入信息，完成后单击“创建”。 隧道号：1000 隧道IP：填写l2cg-shanghai的“本端隧道IP”地址（10.0.3.131） 名称：l2conn-guangzhou 未提及参数，保持默认或根据界面引导配置 创建过程大约需要2分钟，状态变为“已连接”表示广州Region的二层连接创建成功。 创建过程中，请手动单击页面刷新按钮刷新页面。 切换到l2cg-shanghai，并单击“l2cg-shanghai”页面的“创建连接”，配置源端接入信息，完成后单击“创建”。 隧道号：1000 隧道IP：填写l2cg-guangzhou的“本端隧道IP”地址（10.0.5.196） 名称：l2conn-shanghai 未提及参数，保持默认或根据界面引导配置 创建过程大约需要2分钟，状态变为“已连接”表示上海Region的二层连接创建成功。 创建过程中，请手动单击页面刷新按钮刷新页面。

步骤二：创建弹性云服务器 选择“计算 > 弹性云服务器”，单击“购买弹性云服务器”。 根据资源和成本规划配置上海的弹性云服务器的基础信息，完成后单击“下一步：网络配置”。 计费模式：按需计费 区域：选择华东-上海一 规格：用户自定义。本实践以c6.large.2举例。 镜像：公共镜像。具体镜像用户自定义，本实践以CentOS 8.0举例。 未提及参数，保持默认或根据界面引导配置 配置ECS的网络信息，完成后单击“下一步：高级配置”。 网络：选择“vpc-shanghai”，并选择“手动分配IP地址”，指定IP地址。 安全组：Sys-FullAccess。本实践选择一个全部放通的安全组作为测试安全组，后期可以根据业务情况重新绑定业务所需的安全组，提升业务安全性。 弹性公网IP：暂不购买 未提及参数，保持默认或根据界面引导配置 设置云服务器名称和密码等信息，完成后单击“下一步：确认配置”。 云服务器名称：ecs-shanghai-131 登录凭证：密码；并输入密码。 未提及参数，保持默认或根据界面引导配置 确认ECS信息无误后，勾选“协议”并单击“立即购买”，完成ECS创建。 单击弹性云服务器总览页面所在行的“远程登录”，选择VNC方式登录。 使用root帐号登录ECS，并执行如下命令查询ECS的私网IP地址是否为规划的IP地址。 ifconfig 重复1~7，完成华东-上海一ecs-shanghai-8（10.0.1.8）和华南-广州ecs-guangzhou-8（10.0.1.8）的ECS的创建。 使用root帐号登录ecs-shanghai-131，执行如下命令确认子网内的主机可以相互访问。 ping 10.0.1.8

步骤一：创建VPC和子网 登录华为云管理控制台，并选择“华东-上海一”区域。 选择“网络 > 虚拟私有云”，单击“创建虚拟私有云”。 根据资源和成本规划配置上海一的VPC，完成后单击“立即创建”。 区域：选择华东-上海一 名称：vpc-shanghai IPv4网段：10.0.0.0/16 名称：subnet-1 子网IPv4网段：10.0.1.0/24 单击“添加子网” 名称：subnet-3 子网IPv4网段：10.0.3.0/24 未提及参数，保持默认或根据界面引导配置 查看创建结果。 单击“创建虚拟私有云”，根据资源和成本规划配置广州的VPC，完成后单击“立即创建”。 区域：选择华南-广州 名称：vpc-guangzhou IPv4网段：10.0.0.0/16 名称：subnet-1 子网IPv4网段：10.0.1.0/24 单击“添加子网” 名称：subnet-5 子网IPv4网段：10.0.5.0/24 未提及参数，保持默认或根据界面引导配置 查看创建结果。

资源和成本规划 表1 资源和成本规划 区域 资源 资源名称 资源说明 数量 每月费用（元） 华南-广州： 模拟华为云（本端） 虚拟私有云VPC vpc-guangzhou VPC网段：10.0.0.0/16 1 00.00 虚拟私有云子网 subnet-1 子网网段：10.0.1.0/24 本端二层连接子网，模拟华为云业务集群所在的子网，此处为迁移后的ECS所在子网 2 00.00 subnet-5 子网网段：10.0.5.0/24 本端隧道子网，模拟华为云上的隧道子网，此处为VPN所在子网 弹性云服务器ECS ecs-guangzhou-8 私有IP地址：10.0.1.21 模拟华为云内的主机，此台主机为迁移后的主机，迁移前IP地址为10.0.1.21，迁移完成后，修改IP地址为10.0.1.8 1 263.90 虚拟专用网络VPN vpn-guangzhou 本端子网：subnet-5 远端网关：119.3.121.173，此处填写华东-上海VPN的本端网关 远端子网：10.0.3.0/24，此处填写华东-上海VPN所在的子网 1 375.00 企业交换机 ESW l2cg-guangzhou 隧道连接方式：VPN 关联网关：vpngw-guangzhou 隧道子网：subnet-5 1 65000.00 二层连接 l2conn-guangzhou 隧道IP：10.0.5.196 隧道号：1000 1 00.00 华东-上海一： 模拟客户IDC（远端） 虚拟私有云VPC vpc-shanghai VPC网段：10.0.0.0/16 1 00.00 虚拟私有云子网 subnet-1 子网网段：10.0.1.0/24 远端二层连接子网，模拟客户IDC业务集群所在的子网，此处为待迁移的主机所在子网 2 00.00 subnet-3 子网网段：10.0.3.0/24 远端隧道子网，模拟客户IDC内的隧道子网，此处为VPN所在子网 弹性云服务器ECS ecs-shanghai-131 私有IP地址：10.0.1.131 模拟客户IDC内集群中的主机 2 527.80 ecs-shanghai-8 私有IP地址：10.0.1.8 模拟客户IDC内的主机，此台主机待迁移 虚拟专用网络VPN vpn-shanghai 本端子网：subnet-3 远端网关：139.9.20.226，此处填写华南-广州VPN的本端网关 远端子网：10.0.5.0/24，此处填写华南-广州VPN所在的子网 1 375.00 企业交换机 ESW l2cg-shanghai 隧道连接方式：VPN 关联网关：vpngw-shanghai 隧道子网：subnet-3 1 65000.00 二层连接 l2conn-shanghai 隧道IP：10.0.3.131 隧道号：1000 1 00.00 资源成本费用预估为131541.70元，该费用中，不包括迁移主机产生的费用，迁移费用详情请参见计费说明。 本文提供的成本预估费用仅供参考，资源的实际费用以华为云管理控制台显示为准。

方案架构 客户的模拟场景说明如下： 华东-上海一：用作模拟客户IDC，部门A的业务部署在subnet-1内的主机10.0.1.131和主机10.0.1.8上，两台主机组成集群对外提供服务。 华南-广州：用作模拟客户迁移上云的区域，部门A业务所在的主机10.0.1.8待迁移到华为云上。 本最佳实践提供的迁移方案说明如下： 使用VPN和ESW打通“华东-上海一”和“华南-广州”两个子网之间的二层网络，将主机10.0.1.8迁移到云上子网内。 迁移完成后，删除IDC内主机10.0.1.8，主机10.0.1.131能够和云上的主机10.0.1.8相互访问。 图1 企业交换机迁移组网（VPN+ESW）

约束与限制 对于使用云专线对接企业交换机的场景，请您提前联系客服确认您的云专线是否支持和企业交换机进行VXLAN对接，可提交工单确认。 如果您的IDC需要与华为云企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能。以下为您列举部分支持VXLAN功能的交换机，仅供参考。 华为交换机：Huawei CE58、CE68、CE78、CE88系列支持VXLAN，比如CE6870、CE6875、CE6881、CE6863、CE12800。 其他厂商交换机：比如Cisco Nexus 9300。

方案优势 云下IDC侧的业务网络互访很多是通过IP地址而非域名，上云前如果改造IDC侧网络，会导致上云周期延长、迁移期间业务中断，并且网络改造往往增加运维成本。 使用企业交换机后，上云不用修改IDC侧IP地址，减少业务对环境感知，加快上云进度。 云下IDC侧的每个子网通常承载几十种不同的业务，如果按照子网粒度进行迁移，几十种业务一次性上云存在较大风险，无法满足业务连续性需求。 使用企业交换机后，按照“虚拟机”粒度迁移上云，支持业务系统灰度上云，应对核心业务分批上云，避免业务在迁移过程中受损，减少上云风险。

方案架构 华为云支持通过企业交换机（Enterprise Switch，ESW）构建客户IDC和云上二层网络互通，在二层网络内，实现主机粒度迁移，助力客户IDC迁移上云期间业务不中断，不修改IP地址的诉求。 通过企业交换机迁移IDC的组网示例如图2所示，本示例中将IDC内的VM-B在不修改IP的前提下，迁移到云上。迁移过程说明如下： 使用云专线或VPN建立云下和IDC隧道子网之间的三层网络通信。因为企业交换机建立二层通信网络时，依赖隧道子网之间的三层网络。 创建企业交换机、建立二层连接、配置VXLAN交换机，建立云上和IDC的二层网络通信。 将主机VM-B（10.0.1.8）迁移到云上ECS-B（10.0.1.21），检查好VM-B和ECS-B的网络通信后，待业务低谷时期关闭IDC内的VM-B。 短暂关闭VM-B时，业务主要由IDC内的VM-A（10.0.1.131）承载，因此不会中断业务。 此处为了验证VM-B和ECS-B之前的正常通信，刚迁移上云的ECS-B和VM-B的IP地址不能一样，否则无法正常通信。 关闭IDC内的VM-B后，将云上的ECS-B地址由10.0.1.21改为10.0.1.8，此时业务流量会通过企业交换机转发到云上的ECS-B处理，确保迁移后不改变主机IP地址。 同时，云上的ECS-B和IDC内的VM-A也可以自由互访，就像还位于同一个子网中。 图2 企业交换机迁移组网

修订记录 发布日期 修订记录 2022-05-31 第三次正式发布。 本次变更说明如下： 在主机粒度迁移，不中断业务上云（VPN+ESW）章节，修改成本规划中ESW价钱。 在主机粒度迁移，不中断业务上云（云专线+ESW）章节，修改成本规划中ESW价钱。 2022-05-05 第二次正式发布。 本次变更说明如下： 在方案概述章节，增加方案架构和方案优势。 在主机粒度迁移，不中断业务上云（VPN+ESW）章节，增加方案架构、资源和成本规划以及迁移相关操作。 在主机粒度迁移，不中断业务上云（云专线+ESW）章节，增加方案架构、资源和成本规划以及迁移相关操作。 2022-03-22 第一次正式发布。