华为云用户手册

步骤一：配置Agent代理参数 Windows Py3版本 登录 SMS 控制台，在左侧导航树，单击“迁移Agent”，进入“迁移Agent”页面。 下载Windows Py3版本Agent，并上传至源端服务器，双击“SMS-Agent-Py3.exe”文件，安装SMS-Agent。安装完成后，进入SMS-Agent图形界面。 在SMS-Agent图形化界面，选择“使用代理”，并输入代理服务器IP、端口，以及代理软件的用户名、密码，代理软件如果没有用户名、密码则不填。 代理服务器IP：填写代理服务器IP地址，非目的端服务器地址。填写格式为：https://your-proxy-addr.com，其中your-proxy-addr.com需要更换为您代理服务器的地址，协议需要根据代理服务器的实际情况配置，建议您将代理服务器协议配置为https。 端口：填写代理服务器开放的代理端口，默认是3128。 代理用户名：填写代理软件用户名，没有则不填。 密码：填写代理用户名对应的密码，没有则不填。 Windows Py2版本 登录SMS控制台，在左侧导航树，单击“迁移Agent”，进入“迁移Agent”页面。 下载Windows Py2版本Agent，并上传至源端服务器，双击“SMS-Agent-Py2.exe”文件，安装SMS-Agent。安装完成后，进入SMS-Agent命令行界面。 进入SMS-Agent安装目录，如C:\SMS-Agent-Py2\config目录下，修改auth.cfg文件。 [proxy-config] enable = true proxy_addr = https://your-proxy-addr.com proxy_port = 3128 proxy_user = use_password = false enable：需要将false改为true。 proxy_addr：填写代理服务器IP地址，非目的端服务器地址。your-proxy-addr.com需要更换为您代理服务器的地址，协议需要根据代理服务器的实际情况配置，建议您将代理服务器协议配置为https。 proxy_port：填写代理服务器开放的代理端口，默认是3128。 proxy_user：填写代理软件用户名，没有则不填。 use_password：代理软件有密码的话, 设置为true，否则为false。 Linux版本 登录SMS控制台，在左侧导航树，单击“迁移Agent”，进入“迁移Agent”页面。 根据Linux服务器Agent安装区域的操作提示，下载迁移Agent，并上传至源端服务器。 在源端服务器执行如下命令，解压Agent软件包。 tar -zxvf SMS-Agent.tar.gz 执行如下命令，进入源端服务器的SMS-Agent目录。 cd SMS-Agent 执行如下命令，进入config目录。 cd SMS-Agent/agent/config 执行如下命令，打开并编辑auth.cfg文件。 vi auth.cfg [proxy-config] enable = true proxy_addr = https://your-proxy-addr.com proxy_port = 3128 proxy_user = use_password = false enable：需要将false改为true。 proxy_addr：填写代理服务器IP地址，非目的端服务器地址。your-proxy-addr.com需要更换为您代理服务器的地址，协议需要根据代理服务器的实际情况配置，建议您将代理服务器协议配置为https。 proxy_port：填写代理服务器开放的代理端口，默认是3128。 proxy_user：填写代理软件用户名，没有则不填。 use_password：代理软件有密码的话, 设置为true，否则为false。 执行如下命令，保存auth.cfg文件并退出。 :wq

步骤二：启动迁移Agent 如果目的端处于以下全程无公网迁移Region：华北-北京四、华东-上海一、华东-上海二、华南-广州，则需要参考以下步骤修改配置文件后才能成功启动迁移Agent。其余Region无需修改配置文件，输入目的端服务器所在华为云账号的AK、SK，以及目的端服务器所在区域的SMS 域名 ，即可正常启动迁移Agent。 本节以无公网迁移Region华南-广州（cn-south-1）为目的端进行介绍，您在迁移时，需要将信息替换为实际的目的端Region信息。 在Agent启动界面，输入AK、SK、sms_domain信息，启动SMS-Agent。首次启动会失败，属于正常现象，因为此时云服务域名还没有替换成内网域名，需要通过启动SMS-Agent为cloud-region.json文件生成内容，用于后续的参数修改。 sms_domain信息必须使用目的端内网域名。各Region的内网域名请参见SMS内网域名列表。 进入SMS-Agent安装目录下的config目录，修改cloud-region.json文件中的mainRegion参数为目的端Region的区域代号，本节以华南-广州（cn-south-1）为例。 cloud-region.json文件包含所有区域的信息，查找到本次迁移的目的端区域详细信息（可通过region_name和desc参数查找），修改该区域的iam_domain和sms_domain参数，并保存。 iam_domain：iam.{区域代号}.myhuaweicloud.com sms_domain：sms.{区域代号}.myhuaweicloud.com 例如，目的端区域为华南-广州（cn-south-1），则iam_domain和sms_domain参数值修改为： iam_domain：iam.cn-south-1.myhuaweicloud.com sms_domain：sms.cn-south-1.myhuaweicloud.com 将config目录下的sms_domain.txt文件内容修改为：sms.ap-southeast-1.myhuaweicloud.com，并保存。 sms_domain.txt文件内容只能填写sms.ap-southeast-1.myhuaweicloud.com，无需根据区域进行替换。 重新启动SMS-Agent，当出现成功字样，代表SMS-Agent启动成功，即可前往SMS控制台，创建并启动迁移任务，具体步骤请参见设置迁移目的端，开始服务器复制并启动目的端。

步骤一：创建代理服务器 登录SMS控制台，在左侧导航树，选择迁移代理配置，进入“迁移代理配置”页面。 单击页面右上角的“创建代理服务器”按钮，进入“创建代理服务器”页面。 在“代理服务器配置”页签，根据表1，配置代理服务器参数。 表1 参数说明 参数 说明 区域 选择代理服务器所在区域。无公网迁移时，需要与目的端服务器在同一区域。 项目 选择代理服务器所在区域的项目。 虚拟私有云 系统会根据选择的项目自动推荐IP地址段，也可以手动选择。 子网 系统会根据选择的虚拟私有云自动推荐子网IP，也可以手动选择。 安全组 系统会根据选择的项目推荐安全组，也可以手动选择。 注意： 安全组需要对源端服务器开放squid代理软件的代理端口：3128。 服务器名称 用户自定义。 用户名 默认root，无法修改。 密码 用户自定义。 确认密码 与密码保持一致。 高级配置 高级配置中可用区、虚拟机规格、磁盘信息、弹性公网IP等信息默认自动推荐和选择，也可以根据需求手动选择。 说明： 公共镜像推荐使用CentOS系统，配置华为yum源更方便。 参数配置完成后，单击“下一步：确认配置”，进入“确认配置”页签。如果您需要将 主机迁移 至具体的企业项目，可以在企业项目下拉列表中选择已创建的企业项目。 确认配置信息无误后，单击“购买代理服务器”，完成代理服务器的创建。

步骤二：更换华为yum源 仅全程无公网迁移Region：华北-北京四、华东-上海一、华东-上海二、华南-广州，需要进行这一步操作。 登录代理服务器。 执行如下命令，备份 CentOS-Base.repo 文件。 mkdir -p /etc/yum.repos.d/repo_bak/ mv /etc/yum.repos.d/*.repo /etc/yum.repos.d/repo_bak/ 执行如下命令，下载对应版本的repo文件。 CentOS 8： curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.myhuaweicloud.com/repo/CentOS-Base-8.repo CentOS 7： curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.myhuaweicloud.com/repo/CentOS-Base-7.repo CentOS 6： curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.myhuaweicloud.com/repo/CentOS-Base-6.repo 3.2.4 执行以下命令，生成缓存。 yum makecache

步骤三：安装并运行代理软件 登录代理服务器。 执行如下命令，安装squid代理软件。 yum install -y squid 启动squid代理软件。执行前台或后台运行指令均可以启动squid代理软件。如果代理服务器重启过，需要重新执行运行指令重启代理软件。 前台运行指令： squid -N -d1 后台运行指令： squid -s 执行如下指令，即可停止squid代理软件。 squid -k shutdown 以上仅为示例，在实际使用时，您还需要自行配置证书、密码、路由以及防火墙规则等安全加固项。

代理服务器的使用场景 代理服务器主要针对使用专线/VPN等方式的迁移场景，源端服务器和华为云VPC之间打通了连接，迁移时虽然数据流走的是内网，但是仍然需要访问其他云服务管理面来注册服务。由于源端服务器没有访问公网能力，这时就需要一台代理服务器，源端服务器流量通过专线走到这台云上代理服务器，再借助这台代理服务器去访问所需的云服务。因此，SMS服务提供了一个迁移代理配置专栏，帮助客户能够方便的搭建迁移代理服务器，更加轻松快捷的上云。 父主题： 配置专线迁移

问题分析与解决方案 您可能没有开通企业项目的功能。 请确认您是否开通了企业项目功能。如有需要，请参考开通企业项目申请开通企业项目功能。 您要迁移到的企业项目可能没有配置SMS FullAccess权限。 请确认要迁移到的企业项目是否配置了SMS FullAccess权限。如未配置，请参考创建 IAM 自定义策略并为用户组企业项目授权配置细粒度权限。 可能目的端Region没有开通企业项目功能。 请确认目的端所在的Region是否开通了企业项目功能。如未开通，则不支持迁移到指定企业项目。

操作步骤 在源端安装迁移Agent。 安装Linux版的SMS-Agent 安装Windows版的SMS-Agent 设置迁移目的端。 在“基本配置”页面的网络配置中，IP版本选择“IPv6”。 在“目的端配置”页面，已有服务器列表选择创建的IPv6目的端服务器。 开始服务器复制并启动目的端。 （可选）启动目的端后，如果您的源端服务器有增量数据，您可以使用同步功能，同步源端增量数据。单击操作列的“同步”，单击“是”，开始进行增量数据同步。

注意事项 确保源端服务器能够使用IPv6网络。源端为华为云E CS 时，镜像需要开启DHCPv6，详情请参见动态获取IPv6地址。 子网配置时，请务必勾选“开启IPv6”，将自动为子网分配IPv6网段。 弹性 云服务器ECS 仅部分规格支持IPv6网络，目的端需要选择支持IPv6的ECS，才可以使用IPv4/IPv6双栈网络，请务必选择支持的区域和规格，详见ECS规格清单。 网络配置时，务必选择“自动分配IPv6地址”，绑定共享带宽为可选，根据需求配置。 安全组入方向规则需要放通IPv6端口。 Windows系统需要开放TCP的8899端口、8900端口和22端口。 Linux系统文件级迁移开放22端口，块级迁移开放8900端口、22端口。 以上端口，建议只对源端服务器开放。

迁移前准备 使用 主机迁移服务 前，需要完成以下准备工作： 已 注册华为账号 并开通华为云，登录华为云完成实名认证。 已获取账号迁移权限。 如果使用账号登录，默认拥有迁移权限，可无需配置迁移权限；如果使用IAM用户登录，可参考创建用户组并授权进行授权。 已获取目的端账号的AK/SK。 迁移时使用AK/SK进行鉴权认证，获取目的端账号的AK/SK操作请参见如何获取AK/SK？（账号）或如何获取AK/SK？（IAM用户）。 主机迁移服务不支持使用企业联邦用户（虚拟IAM用户）的AK/SK进行鉴权认证。 账号余额不少于100元（充值、代金券皆可）。 建议您目的端账户余额不少于100元（充值、代金券皆可），避免迁移过程中欠费，导致迁移失败。 主机迁移服务本身免费，但迁移过程中会创建按量付费资源并产生少量费用，具体费用请参见计费说明。 源端操作系统要求。 主机迁移服务支持迁移的源端服务器操作系统列表请参见Windows兼容性列表、Linux兼容性列表。 迁移网络要求。 源端能连接到华为云API Gateway（端口：443），具体操作请参见源端能连接到API Gateway。 源端出网方向端口，建议全部开放。 使用IPv6进行迁移时，要求源端支持IPv4/IPv6双栈网络。 源端能连接到目的端。具体操作请参见源端能连接到目的端。 若使用弹性公网IP连接，目的端需要提前购买和配置正确的EIP。 若使用专线或者VPN，需提前购买和配置正确的专线或VPN。 目的端服务器所属安全组需要开放端口： Windows系统需要开放TCP的8899端口、8900端口和22端口。 Linux系统文件级迁移开放22端口，块级迁移开放8900端口、22端口。 以上端口，建议只对源端服务器开放。 防火墙开放端口与操作系统开放端口保持一致。 具体操作请参见目的端服务器所属安全组开放端口要求。 源端服务器环境、剩余空间及其他要求。 源端服务器剩余空间要求： Windows：当分区大于等于600MB，该分区的可用空间小于320MB时不能迁移；当分区小于600MB，该分区的空间小于40MB时不能迁移。 Linux：根分区可用空间小于200MB时不能迁移。 源端服务器环境要求： 源端服务器时间与标准时间一致，避免源端Agent注册失败。 当源端服务器为Linux系统时，执行rsync -v查看是否安装Rsync库。 当未安装Rsync库，执行如下命令安装Rsync库： CentOS：执行yum -y install rsync。 Ubuntu：执行apt-get -y install rsync。 Debian：执行apt-get -y install rsync。 SUSE：执行zypper install rsync。 其他平台系统：参见官网安装相关文档。 当前主流服务器系统已默认安装Rsync库，无需手动安装。 父主题： 使用IPv6进行主机迁移

操作步骤 在源端服务器中安装UVP VMTools，使新创建的云服务器支持KVM虚拟化。 在源端服务器安装并配置Cloudbase-Init工具。 使用disk2vhd工具导出镜像。 下载disk2vhd工具并选择对应版本的程序。 勾选需要转换的磁盘分区，填写要存储的位置。请确保待存储的分区有足够的空间存储镜像文件。 通过OBS Browser+工具将镜像上传到华为云OBS桶，并注册为私有镜像，操作方法请参考上传镜像文件并注册镜像。 通过注册的私有镜像，创建云服务器，操作方法请参考通过镜像创建云服务器。 参考步骤3和步骤4，制作数据盘镜像。 在华为云 镜像服务 IMS控制台，通过数据盘镜像申请数据盘。 将申请到的数据盘挂载到云服务器，操作方法参见挂载磁盘。

操作步骤 在源端服务器执行如下命令，查看OS分区格式。 sudo parted -l /dev/vda | grep 'Partition Table' 若返回结果为 msdos，即表示为 MBR 分区，请执行下一步。 若返回结果为 gpt，即表示为 GPT 分区，暂不支持。 执行df -TH命令，查看磁盘挂载情况。如下图所示，/dev/vda1为要迁移的系统盘。 执行如下命令获取UUID。 sudo blkid /dev/vda1 执行如下命令编辑/etc/fstab文件。按 i 进入编辑模式，在末尾添加步骤3获取到的UUID。 vi /etc/fstab 输入如下命令，保存设置并退出编辑。 :wq 安装qemu-img镜像格式转换工具。 以CentOS为例，执行如下命令安装软件包。 yum -y install qemu-img 执行以下命令，将/dev/vda导出到/mnt/vdb/test.qcow2 sudo qemu-img convert -f raw -O qcow2 /dev/vda /mnt/vdb/test.qcow2 其中，/mnt/vdb为挂载的数据盘或其他存储。需要转换为其他格式的镜像，可以修改 命令中-O的参数值，可修改的参数值参见下表： 参数值 含义 qcow2 qcow2格式 vhd vhd格式 vmdk vmdk格式 raw 无格式 通过OBS Browser+工具将镜像上传到华为云OBS桶，并注册为私有镜像，操作方法请参考上传镜像文件并注册镜像。 通过注册的私有镜像，创建云服务器，操作方法请参考通过镜像创建云服务器。 参考步骤2~步骤8，制作数据盘镜像。 在华为云镜像服务 IMS控制台，通过数据盘镜像申请数据盘。 将申请到的数据盘挂载到云服务器，操作方法参见挂载磁盘。

什么是代理服务器 代理服务器是网络信息的中转站。以云服务场景为例，源端服务器直接连接云服务并取得网络信息时，需发送请求信号给云服务，云服务收到请求后会把信息传送回源端服务器。代理服务器是介于源端和云服务之间的一台服务器，有了代理服务器之后，源端服务器不是直接访问云服务，而是向代理服务器发出请求，由代理服务器从云服务取回所需要的信息并传送给源端。 一台代理服务器可以同时作为多台服务器的跳板，所以只需要配置一台代理服务器，就可以同时满足多台服务器迁移所需。 父主题： 配置专线迁移

背景 使用主机迁移服务迁移时，需要满足的必要条件：源端和目的端能够通信，进行数据传输；同时源端能访问其他必需的云服务。但是部分客户的源端是无公网环境，虽然通过专线打通了源端到目的端VPC的通道，但是要访问其他云服务还需要代理服务器。如果源端环境不方便构造一台代理服务器，客户可以使用主机迁移服务提供的迁移代理配置，在华为云创建一台代理服务器，源端的流量通过专线到达目的端华为云侧，然后借助这台代理服务器跳转访问其他所需的云服务。 父主题： 配置专线迁移

基于命令行界面Windows Agent(Python2) 安装Windows版的SMS-Agent。 启动SMS-Agent，Agent会查询企业项目并罗列，选择您需要迁移到的企业项目，例如：创建的企业项目“Test_EPS_Project”。 SMS-Agent启动成功后，登录SMS控制台，在左侧导航栏单击“迁移服务器”，在服务器列表中单击服务器名称，在任务详情中可以看到企业项目“Test_EPS_Project”。 后续迁移步骤与“default”企业项目相同，请参考设置迁移目的端，开始服务器复制并启动目的端，进行配置并迁移。 建议配置目的端服务器时选择已有服务器，请提前在目标企业项目(例如“Test_EPS_Project”)下创建好目的端服务器、虚拟私有云、子网、安全组、EIP资源等，避免迁移过程中出现权限不足的问题。

基于图形界面Windows Agent(Python3) 安装Windows版的SMS-Agent。 启动SMS-Agent，Agent会查询企业项目并罗列，选择您需要迁移到的企业项目，例如：创建的企业项目“Test_EPS_Project”。 SMS-Agent启动成功后，登录SMS控制台，在左侧导航栏单击“迁移服务器”，在服务器列表中单击服务器名称，在任务详情中可以看到企业项目“Test_EPS_Project”。 后续迁移步骤与“default”企业项目相同，请参考设置迁移目的端，开始服务器复制并启动目的端，进行配置并迁移。 建议配置目的端服务器时选择已有服务器，请提前在目标企业项目(例如“Test_EPS_Project”)下创建好目的端服务器、虚拟私有云、子网、安全组、EIP资源等，避免迁移过程中出现权限不足的问题。

Linux 安装Linux版的SMS-Agent。 启动SMS-Agent，Agent会查询企业项目并罗列，选择您需要迁移到的企业项目，例如：创建的企业项目“Test_EPS_Project”。 SMS-Agent启动成功后，登录SMS控制台，在左侧导航栏单击“迁移服务器”，在服务器列表中单击服务器名称，在任务详情中可以看到企业项目“Test_EPS_Project”。 后续迁移步骤与“default”企业项目相同，请参考设置迁移目的端，开始服务器复制并启动目的端，进行配置并迁移。 建议配置目的端服务器时选择已有服务器，请提前在目标企业项目(例如“Test_EPS_Project”)下创建好目的端服务器、虚拟私有云、子网、安全组、EIP资源等，避免迁移过程中出现权限不足的问题。

创建SMS全局级云服务自定义策略 参考创建自定义策略中的“JSON视图配置自定义策略”，创建IAM自定义策略。 JSON视图策略内容如下：（将如下内容复制到策略内容中） { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "sms:server:registerServer", "sms:server:migrationServer", "sms:server:queryServer" ] } ] } 在 统一身份认证 服务，左侧导航窗格中，选择“用户组”，进入用户组列表页面。 单击创建的用户组“Test_EPS”名称，进入“授权记录”页签。 单击“授权”，勾选创建的SMS全局级云服务自定义策略，单击“下一步”。 授权范围选择“所有资源”，单击“确定”。

创建IAM自定义策略并为用户组IAM项目授权 参考创建自定义策略中的“JSON视图配置自定义策略”，创建IAM自定义策略“SMS Custom Policy For EPS At IAM”。 JSON视图策略内容如下：（将如下内容复制到策略内容中） { "Version": "1.1", "Statement": [ { "Action": [ "ecs:availabilityZones:list", "ecs:servers:list", "ecs:servers:unlock", "ecs:servers:lock", "ecs:servers:reboot", "ecs:serverPasswords:manage", "ecs:diskConfigs:use", "ecs:servers:setMetadata", "ecs:serverVolumes:use", "ecs:serverKeypairs:create", "ecs:serverKeypairs:get", "ecs:serverKeypairs:delete", "ecs:serverInterfaces:use", "ecs:serverGroups:manage", "ecs:securityGroups:use", "vpc:securityGroupRules:create", "vpc:securityGroupRules:delete", "vpc:securityGroupRules:get", "vpc:securityGroupRules:update", "vpc:networks:get", "vpc:ports:get", "vpc:vpcTags:get", "vpc:subnetTags:get", "vpc:routers:get", "vpc:securityGroups:get", "evs:volumes:list", "evs:types:get" ], "Effect": "Allow" } ] } 在统一身份认证服务，左侧导航窗格中，选择“用户组”，进入用户组列表页面。 单击创建的用户组“Test_EPS”名称，进入“授权记录”页签。 单击“授权”，勾选“SMS Custom Policy For EPS At IAM”策略，单击“下一步”。 授权范围选择“所有资源”，单击“确定”。

创建IAM自定义策略并为用户组企业项目授权 参考创建自定义策略中的“JSON视图配置自定义策略”，创建IAM自定义策略“SMS Custom Policy For EPS”。 JSON视图策略内容如下：（将如下内容复制到策略内容中） { "Version": "1.1", "Statement": [ { "Action": [ "vpc:securityGroups:create", "vpc:securityGroups:delete", "vpc:vpcs:create", "vpc:vpcs:delete", "vpc:publicIps:create", "vpc:publicIps:delete", "vpc:subnets:create", "vpc:subnets:delete", "ecs:cloudServers:create", "ecs:cloudServers:attach", "ecs:cloudServers:detachVolume", "ecs:cloudServers:start", "ecs:cloudServers:stop", "ecs:cloudServers:delete", "ecs:cloudServers:reboot", "ecs:cloudServers:updateMetadata", "ecs:cloudServers:vnc", "ecs:serverPasswords:manage", "ecs:serverKeypairs:delete", "ecs:diskConfigs:use", "ecs:CloudServers:create", "ecs:servers:setMetadata", "ecs:serverVolumes:use", "ecs:serverKeypairs:create", "ecs:serverInterfaces:use", "ecs:serverGroups:manage", "ecs:securityGroups:use", "ecs:servers:unlock", "ecs:servers:rebuild", "ecs:servers:lock", "evs:volumes:use", "evs:volumes:create", "evs:volumes:update", "evs:volumes:delete", "evs:snapshots:create", "evs:snapshots:delete", "evs:snapshots:rollback", "kms:cmk:list", "kms:cmk:get", "kms:dek:create", "kms:dek:decrypt", "ecs:*:get*", "ecs:*:list*", "evs:*:get*", "evs:*:list*", "vpc:*:list*", "vpc:*:get*", "ims:*:get*", "ims:*:list*" ], "Effect": "Allow" } ] } 在统一身份认证服务，左侧导航窗格中，选择“用户组”，进入用户组列表页面。 单击创建的用户组“Test_EPS”名称，进入“授权记录”页签。 单击“授权”，勾选”SMS FullAccess” 和“SMS Custom Policy For EPS”策略，单击“下一步”。 授权范围选择“指定企业项目资源”，在项目资源列表中选择开通并创建企业项目所创建的企业项目，单击“确定”。

创建企业项目 请参考企业管理快速入门，完成创建用户组“Test_EPS”、创建IAM用户“Test_EPS_User”、为用户组“Test_EPS”添加IAM用户“Test_EPS_User”、创建企业项目“Test_EPS_Project”等操作。 本文中出现的“Test_EPS”、“Test_EPS_User”、“Test_EPS_Project”名称均为举例，在实际的创建中，需要您自定义名称。

操作步骤 获取目的端服务器所在账号的AK/SK。 如果您需要直接使用账号来进行主机迁移，具体步骤请参见获取AK/SK（账号）。 如果您在此账号中创建了IAM用户，授予此IAM用户对应的权限后使用此IAM用户创建AK/SK，具体步骤请参见获取AK/SK（IAM用户）。 在源端服务器上安装迁移Agent，具体步骤请参见在源端上安装迁移Agent。 安装完成后，进入Agent安装目录，如C:\SMS-Agent-Py?\config，按如下所示修改配置文件disk.cfg。 [vol_mount_modify] D=2 E=2 D=2，E=2说明是将D盘和E盘都迁移到ECS的第2块磁盘，即ECS的数据盘。 双击SMS-Agent，打开迁移Agent，在迁移Agent中填写1中获取的AK/SK，并启动迁移Agent。 迁移Agent启动成功后会自动收集源端服务器信息并发送给主机迁移服务，主机迁移服务会自动校验源端服务器信息合法性以及是否可迁移。 迁移Agent启动成功后，使用目的端服务器所在的账号，登录主机迁移管理控制台，在“迁移服务器”页面的服务器列表中，查看源端服务器信息。 创建并启动迁移任务，具体步骤请参见设置迁移目的端，开始服务器复制并启动目的端。 迁移任务完成后，目的端ECS会有一个单独系统盘和数据盘。 迁移完成后目的端服务器的登录方式与源端服务器的登录方式保持一致。 （可选）启动目的端后，如果您的源端服务器有增量数据，您可以使用同步功能，同步源端增量数据。单击操作列的“同步”，单击“是”，开始进行增量数据同步。

操作步骤 获取目的端服务器所在账号的AK/SK。 如果您需要直接使用账号来进行主机迁移，具体步骤请参见获取AK/SK（账号）。 如果您在此账号中创建了IAM用户，授予此IAM用户对应的权限后使用此IAM用户创建AK/SK，具体步骤请参见获取AK/SK（IAM用户）。 在源端服务器上安装迁移Agent，具体步骤请参见在源端上安装迁移Agent。 安装完成后，双击SMS-Agent，打开迁移Agent，在迁移Agent中填写1中获取的AK/SK，并启动迁移Agent。 迁移Agent启动成功后会自动收集源端服务器信息并发送给主机迁移服务，主机迁移服务会自动校验源端服务器信息合法性以及是否可迁移。 迁移Agent启动成功后，使用目的端服务器所在的账号，登录主机迁移管理控制台，在“迁移服务器”页面的服务器列表中，查看源端服务器信息。 创建并启动迁移任务，具体步骤请参见设置迁移目的端，开始服务器复制并启动目的端。 迁移完成后目的端服务器的登录方式与源端服务器的登录方式保持一致。 （可选）启动目的端后，如果您的源端服务器有增量数据，您可以使用同步功能，同步源端增量数据。单击操作列的“同步”，单击“是”，开始进行增量数据同步。

操作步骤 获取目的端服务器所在账号的AK/SK。 如果您需要直接使用账号来进行主机迁移，具体步骤请参见获取AK/SK（账号）。 如果您在此账号中创建了IAM用户，授予此IAM用户对应的权限后使用此IAM用户创建AK/SK，具体步骤请参见获取AK/SK（IAM用户）。 在源端服务器上安装迁移Agent，具体步骤请参见在源端上安装迁移Agent。 安装完成后，双击SMS-Agent，打开迁移Agent，在迁移Agent中填写1中获取的AK/SK，并启动迁移Agent。 迁移Agent启动成功后会自动收集源端服务器信息并发送给主机迁移服务，主机迁移服务会自动校验源端服务器信息合法性以及是否可迁移。 迁移Agent启动成功后，使用目的端服务器所在的账号，登录主机迁移管理控制台，在“迁移服务器”页面的服务器列表中，查看源端服务器信息。 创建并启动迁移任务，具体步骤请参见设置迁移目的端，开始服务器复制并启动目的端。 如果源端和目的端在华为云的同一个VPC里面，“网络类型”可以私网，迁移时会使用目的端的私有IP建立数据连接，目的端不需要配置弹性IP。迁移完成后目的端服务器的登录方式与源端服务器的登录方式保持一致。 源端和目的端处于同一账号、同一region、不同VPC下时，需要创建同一账户下的对等连接，然后“迁移网络类型”可以选择私网 源端和目的端处于不同账号、同一region、不同VPC下时，需要创建不同账户下的对等连接，然后“迁移网络类型”可以选择私网。 （可选）启动目的端后，如果您的源端服务器有增量数据，您可以使用同步功能，同步源端增量数据。单击操作列的“同步”，单击“是”，开始进行增量数据同步。

安全加固（可选） 修改sshd_config文件。 MaxAuthTries 6 LoginGraceTime 60 PasswordAuthentication no 禁用history。 打开终端，输入以下命令 sudo nano ~/.bashrc 在文件末尾添加以下内容 unset HISTFILE 保存并退出后输入以下命令生效 source ~/.bashrc 防止暴力破解。 可以在/etc/pam.d/password-auth中设置，HCE系统中默认设置为 auth sufficient pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=60 表示使用pam_faillocl模块，如果登录失败3次，即使是root用户，锁定30s。 设置密码复杂度。 在/etc/pam.d/system-auth中找到password requisite pam_pwquality.so try_first_pass~~~~，在后面添加enforce_for_root minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1，如下： password requisite pam_pwquality.so try_first_pass local_users_only enforce_for_root minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 修改umask。umask是一个用于设置文件和目录默认权限的命令，umask中的值需要修改成027。 打开终端并输入以下命令打开.bashrc文件 nano ~/.bashrc 在文件的末尾添加 umask 027 保存并关闭文件，然后输入以下命令使更改生效。 source ~/.bashrc 删除系统残留工具，系统残留工具会增加系统的攻击面，并误导安全软件。 在操作系统中查看是否存在如下应用（包括但不限于）： tcpdump，sniffer，wireshark，Netcat，基于winPcap开发的其他嗅探工具等。 gdb，strace，readelf，cpp，gcc，dexdump，mirror，JDK等开发和调试工具及其他仅在调试阶段使用的自研工具或脚本。

Linux部分： 需要创建~\smsMetadataAgent目录，目录中包含bin，Python，smsAgent 文件夹。 名称 作用 位置 bin 存放开机自启动脚本和peagent目录 ~\smsMetadataAgent\bin smsAgent 利用python获取元数据的目录 ~\smsMetadataAgent\smsAgent 同样需要注入公私钥，可以参考Windows部分从metedata中进行获取。 名称 作用 作用于的文件 sms_rsa_part（待弃用） ssh公钥（主机认证，身份认证) root/.ssh/authorized_keys，/etc/ssh/ssh_host_rsa_key.pub sms_rsa_pri_part（待弃用） ssh私钥（主机认证，身份认证) /etc/ssh/ssh_host_rsa_key sms_rsa_host_old 新ssh公钥（主机认证) /etc/ssh/ssh_host_rsa_key.pub sms_rsa_host_old_pri 新ssh私钥（主机认证) /etc/ssh/ssh_host_rsa_key sms_rsa_identity ssh公钥证书（身份认证） /root/.ssh/authorized_keys cert_part（待弃用） TSL1.2认证公钥 /home/config/cert.pem prikey_part（待弃用） TSL1.2认证私钥 /home/config/prikey.pem Linux开机自动运行脚本，将对应值写入对应文件即可。

Windows部分： 创建C:\smsWindowesAgent文件夹，在该文件夹下创建bin，Python，smsAgent等文件夹。 名称 作用 位置 bin 存放开机自启动脚本和peagent目录 C:\smsWiondowesAgent\bin python 安装python的目录 C:\smsWiondowesAgent\python smsAgent 利用python获取元数据的目录 C:\smsWiondowesAgent\smsAgent peagent 存放源端传输到目的端的迁移组件 C:\smsWiondowesAgent\bin\peagnet smsAgent文件夹中包含所有的获取证书的逻辑。 sms-agent将ssh公钥和私钥，上传到ECS的metedata中，需要编写脚本，从metedata中获取该数据，元数据中主要分为三个部分。 名称 作用 作用于的文件 sms_rsa_part（待弃用） ssh公钥（主机认证，身份认证) C:\Users\Administrator\.ssh\authorized_keys,C:\ProgramData\ssh\ssh_host_rsa_key.pub sms_rsa_pri_part（待弃用） ssh私钥（主机认证，身份认证) C:\ProgramData\ssh\ssh_host_rsa_key sms_rsa_host_old 新ssh公钥（主机认证) C:\ProgramData\ssh\ssh_host_rsa_key.pub sms_rsa_host_old_pri 新ssh私钥（主机认证) C:\ProgramData\ssh\ssh_host_rsa_key sms_rsa_identity ssh公钥证书（身份认证） C:\Users\Administrator.ssh\authorized_keys cert_part（待弃用） TSL1.2认证公钥 C:\smsWindowesAgent\bin\peAgent\config\cert.pem prikey_part（待弃用） TSL1.2认证私钥 C:\smsWindowesAgent\bin\peAgent\config\prikey.pem sms_rsa_part和sms_rsa_pri_part为通信用的ssh公钥和私钥。需要从目的端metedata中获取sms_rsa_part中的公钥和私钥，写入作用的文件。 bin目录下包含开机自启动需要包含的脚本，检测是否有peagent.exe程序在运行。 'tasklist /nh /fi "imagename eq peAgent.exe' 如果没有则持续开始启动peAgent.exe文件 start cmd /k "C:\smsWindowesAgent\bin\peAgent\peAgent.exe" 如果有则结束该脚本 注意该部分需要在smsAgent执行结束后，再执行该部分逻辑。

Windows Py2版本： 登录SMS控制台，在左侧导航树，单击“迁移Agent"，进入"迁移Agent"页面。 下载Windows Py2版本Agent，并上传源端服务器，双击“SMS-Agent-Py2.exe”文件，安装SMS-Agent。安装完成后，进入SMS-Agent命令行页面。 输入AK/SK，sms_domain成功启动SMS-Agent后。 进入SMS-Agent安装目录，如C:\SMS-Agent-Py2\config目录下，修改cloud-region.json文件。 查找cloud-region.json文件中关键字“windows_ssh_image_id"，将图中箭头处的镜像id，替换成用户自制镜像的镜像id。

Linux 版本 登录SMS控制台，在左侧导航树，单击“迁移Agent"，进入"迁移Agent"页面 下载Linux版本Agent，并上传源端服务器。 执行以下命令，解压Agent软件包。 tar -zxvf SMS-Agent.tar.gz 执行以下命令，启动迁移Agent。 ./startup.sh 输入AK/SK，sms_domain成功启动SMS-Agent后。 进入SMS-Agent安装目录，如~\SMS-Agent\agent\config\cloud-region.json目录下，修改cloud-region.json文件。 查找cloud-region.json文件中关键字“linux_image_id"，将图中箭头处的镜像id，替换成用户自制镜像的镜像id。

WindowsPy3版本： 登录SMS控制台，在左侧导航树，单击“迁移Agent"，进入"迁移Agent"页面。 下载Windows Py3版本Agent，并上传源端服务器，双击“SMS-Agent-P3.exe”文件，安装SMS-Agent。安装完成后，进入SMS-Agent图形界面。 输入AK/SK，sms_domain成功启动SMS-Agent后。 进入SMS-Agent安装目录，如C:\SMS-Agent-Py3\config目录下，修改cloud-region.json文件。 查找cloud-region.json文件中关键字“windows_ssh_image_id"，将图中箭头处的镜像id，替换成用户自制镜像的镜像id。