本期焦點

網絡的遷移切換設計是VMware替換過程中的一個關鍵環節，需將現有的網絡架構和流量模式無縫地遷移到新的虛擬化環境中，以確保業務的不中斷運行和數據的順暢交互。這一過程的復雜性在于，需要考慮網絡的路徑、帶寬、冗余等多個方面，同時還要確保與現有功能的一致性及未來的可擴展性。

在VMware虛擬化替換時，網絡流量遷移的成功與否，直接關系到整個虛擬化項目的成敗。因此，深入探討網絡遷移的不同場景和方案，對于確保企業在虛擬化轉型過程中的平穩過渡至關重要。

虛擬機遷移流量傳輸路徑

虛擬機遷移流量，是指虛擬機在實際遷移過程中的數據傳輸流量，在進行遷移方案設計時，需要重點考慮遷移網絡的傳輸效率，這將會直接影響業務切換時的中斷時間，同時要盡量避免遷移網絡的傳輸對現有業務流量產生影響。

VMware遷移場景網絡部署架構

深信服針對VMware虛擬機提供無代理遷移和有代理遷移兩類遷移方案，在進行遷移時數據傳輸路徑有所不同，具體差異如下：

無代理遷移的方式，無論是納管遷移還是SCMT工具，遷移的數據都是通過vCenter的管理網口傳輸到深信服平臺。使用管理網的好處在于不占用業務網絡，不會對正在傳輸的業務流量產生影響。缺陷在于管理網往往是千兆的網絡，傳輸的效率會受到物理網口的限制。

無代理遷移傳輸流量示意

在使用SCMT工具進行有代理遷移時，插件Agent借助源端虛擬機的網卡與SCMT進行通信以傳輸遷移數據。默認情況下，由源端虛擬機提供業務的網卡進行數據傳輸，這會占用現有的業務網絡，可能會對正在傳輸的業務流量產生影響，需要在遷移時為遷移任務配置帶寬限制來降低影響。

有代理遷移傳輸流量示意

有代理遷移的方式在網絡環境允許的情況下，支持采用額外的遷移網絡進行數據傳輸：為源端虛擬機新增一塊虛擬網卡，并將其連接到用于遷移的網絡，使Agent借助此網卡與SCMT工具端進行數據傳輸，在遷移過程中對現有業務網絡不產生任何影響。

有代理遷移傳輸流量示意

虛擬機業務流量傳輸路徑

一個業務系統通常是由多個互相依賴的應用虛擬機組成，那么在部分應用虛擬機遷移時就需要關注與其他應用的交互流量，它將直接影響遷移過程中整體業務的運行狀態?；谖锢聿渴鹎闆r，分為同二層遷移和跨三層遷移兩種大場景來討論：

• 在遷移前后應用虛擬機的所在VLAN保持不變，始終存在同二層網絡。
• 在遷移后應用虛擬機變為新的VLAN，遷移同時修改業務IP網段。

VMware遷移虛擬機業務流量傳輸路徑

同二層遷移業務網絡路徑

虛擬機同二層遷移是實際環境中最為常見的遷移方案，在該場景下部署時，將深信服集群的接入交換機與核心交換機之間打通二層網絡，在所有交換機的端口配置為Trunk模式并運行各業務網VLAN，在深信服集群內部的虛擬網絡中部署與VMware同樣VLAN的端口組。

集群二層部署網絡架構

在功能設計上，深信服云/虛擬化平臺的虛擬網絡部分邏輯概念對標如下：

虛擬機切換之前

在應用虛擬機遷移的過程中，VMware的虛擬機數據持續通過遷移網絡向深信服集群遷移，在應用虛擬機進行網絡切換之前，所有的流量仍是由VMware平臺進行轉發，除遷移網絡之外，不發生任何實際流量變化。

• 同主機流量從源虛擬機發出，通過VDS/VSS找到同主機內的目標虛擬機。（圖中綠色路徑）

• 跨主機流量從源虛擬機發出通過Port Group添加VLAN 10的網絡標簽，經過VDS/VSS找到在其他主機上的目標虛擬機，由Uplink1物理網卡將帶有VLAN 10標簽的數據包通過接入交換機的Trunk接口傳遞到目標主機，在目標主機的Port Group剝離VLAN 10的網絡標簽發給虛擬機。（圖中紫色路徑）

• 外部訪問流量從源虛擬機發出通過Port Group添加VLAN 10的網絡標簽，經過VDS/VSS找到在核心交換機上的網關，通過接入交換機的Trunk接口將數據包傳遞到核心交換機的網關上，剝離VLAN 10的標簽進入外部路由。（圖中紅色路徑）

虛擬機切換前網絡路徑

虛擬機切換之后

在部分應用虛擬機完成遷移之后，已切換的虛擬機運行在深信服平臺中，對于整體業務系統來講，該虛擬機仍需要訪問原來運行在VMware中的其他虛擬機進行業務交互，此時二層同網段的業務網絡傳輸流量如下：

• 切換后的虛擬機在深信服集群內訪問同主機應用時，數據包進入端口組添加VLAN 10的標簽，通過出口交換機找到同主機內的目標虛擬機，在出端口組時剝離VLAN 10的網絡標簽。（圖中綠色路徑）

• 切換后的虛擬機在深信服集群內訪問跨主機流量時，若虛擬機直連出口交換機的端口組，則數據包進入端口組添加VLAN 10的標簽，經過出口交換機找到在其他主機上的目標虛擬機，由當前主機的業務網口將帶有VLAN 10標簽的數據包傳遞到目標主機的出口交換機上，在目標主機端口組剝離VLAN 10的網絡標簽轉發給虛擬機。若虛擬機未連接出口交換機，則走VXLAN東西向網絡來到目標主機，無需經過業務出口交換機。（圖中紫色路徑）

• 切換后的虛擬機在集群之間訪問原VMware集群的應用時，同二層的業務數據包進入端口組添加VLAN 10的標簽，途徑業務網接入交換機、核心交換機、VMware集群接入交換機的Trunk網口進入目標主機的Uplink，經過VSS的分發在Port Group剝離VLAN 10的網絡標簽發給虛擬機。（圖中紫色路徑）

• 切換后的虛擬機在訪問外部網絡時，從源虛擬機發出通過端口組添加VLAN 10的網絡標簽，經過出口交換機找到核心交換機上的網關，通過接入交換機的Trunk 接口將數據包傳遞到核心交換機的網關上，剝離VLAN 10的標簽進入外部路由。（圖中紅色路徑）

虛擬機切換后網絡路徑

二層網絡遷移注意事項

若虛擬機在VMware平臺上存在安全組策略或ACL策略限制，請務必在進行業務遷移之前，以業務系統為單位關閉各虛擬機相關的網絡限制策略（白名單模式允許最下層的全禁止策略，黑名單模式在最上層添加允許所有策略），避免在遷移過程中引起網絡訪問錯誤，待業務系統遷移完成后在深信服集群重新啟用。

VMware NSX DFW 允許所有策略

實際情況下，往往會在云/虛擬化平臺配置了各種VLAN的業務網絡，所以在新建遷移任務時，請務必確認待遷移的虛擬機網卡連接的VLAN與原環境的VLAN端口號保持一致，避免虛擬機切換后因網卡連接錯誤導致網絡異常，影響業務驗證時間。

深信服虛擬網絡端口組配置

業務網絡獨立于遷移網絡之外，即使遷移過程可以正常進行，也難以避免虛擬機在切換之后出現業務無法訪問的問題。因此必須對目標端集群網絡整體環境進行驗證，可以通過創建空虛擬機來驗證網絡，在深信服集群創建虛擬機來訪問VMware平臺各網段IP以驗證接入交換機/核心交換機的網口配置正確。

跨三層遷移業務網絡路徑

在較大規模的業務系統場景下，用戶希望將原VMware所在網絡和新建的集群所在網絡劃分為不同的域來進行管理，在部署深信服云/虛擬化環境時使用全新的VLAN號。此時需要將業務系統從原VMware網絡域遷移至新的網絡環境，同時修改系統IP地址以及相關訪問依賴。

集群三層部署網絡架構

在進行跨網絡域遷移時，原業務的 VLAN 號變更如下：

虛擬機切換之前

在應用虛擬機進行網絡切換之前，虛擬機的網絡流量仍然由VMware平臺進行轉發，遷移數據傳輸過程中不會影響業務系統的網絡狀態。在此處加入不同網段之間的網絡傳輸路徑以便于對比切換之后的網絡路徑進行理解，具體如下：

• 同網段之間的網絡流量通過接入交換機在集群內不同主機之間傳輸，從源虛擬機發出的數據包通過Port Group添加VLAN 10的網絡標簽，經過VSS找到在其他主機上的目標虛擬機，由Uplink1物理網卡將帶有VLAN 10標簽的數據包通過接入交換機的Trunk接口傳遞到目標主機，在目標主機的Port Group剝離VLAN 10的網絡標簽發給虛擬機。（圖中綠色路徑）

• 不同網段之間的網絡流量通過核心交換機網關的直連路由進行轉發，從源虛擬機發出的數據包通過Port Group添加VLAN 10的網絡標簽，經過VSS找到在核心交換機上的網關，由接入和核心交換機之間的Trunk鏈路傳輸到網關剝離標簽，找到目標網段VLAN 200的網關添加新標簽，傳遞到目標主機的Port Group 2剝離標簽發給虛擬機。（圖中紫色路徑）

• 外部訪問流量從源虛擬機發出通過Port Group添加VLAN 10的網絡標簽，經過VSS找到在核心交換機上的網關，通過接入交換機的Trunk接口將數據包傳遞到核心交換機的網關上，剝離VLAN 10的標簽進入外部路由。（圖中紅色路徑）

虛擬機切換前網絡路徑

虛擬機切換之后

該場景下切換時需要修改各種網絡配置，流程較為復雜，若業務整體的虛擬機數量在5~10臺之間，可以通過深信服SCMT工具統一進行網絡切換，簡化配置變更；若超出最大切換限制或因其他情況無法統一切換時，需區分虛擬機承載的應用類型進行先后分批切換，當部分虛擬機切換完成后，業務網絡傳輸流量如下：

• 切換后的虛擬機在深信服集群內進行不同主機的同網段網絡傳輸時，若虛擬機直連出口交換機的端口組，則數據包進入端口組添加VLAN 100的標簽，經過出口交換機找到在其他主機上的目標虛擬機，由當前主機的業務網口將帶有VLAN 100標簽的數據包傳遞到目標主機的出口交換機上，在目標主機端口組剝離VLAN 100的網絡標簽轉發給虛擬機。若虛擬機未連接出口交換機，則走VXLAN東西向網絡來到目標主機，無需經過業務出口交換機。（圖中綠色路徑）

• 切換后的虛擬機在深信服集群內進行不同主機的跨網段的網絡傳輸時，數據包進入端口組添加VLAN 100的標簽，經過出口交換機找到核心交換機上的網關，由接入和核心交換機之間的Trunk鏈路傳輸到網關剝離標簽，通過直連路由找到目標網段VLAN 200的網關添加新標簽，傳遞到目標主機的端口組剝離標簽發給虛擬機。（圖中紫色路徑）

• 切換后的虛擬機在集群之間訪問原VMware集群的應用時，跨三層的業務數據包進入端口組添加VLAN 100的標簽，經過出口交換機找到核心交換機上的網關，由接入和核心交換機之間的Trunk鏈路傳輸到網關剝離標簽，通過直連路由找到目標網段VLAN 10的網關添加新標簽，傳遞到VMware集群主機的Prot Group剝離標簽發給虛擬機。（圖中紫色路徑）

• 切換后的虛擬機在訪問外部網絡時，從源虛擬機發出通過端口組添加VLAN 200的網絡標簽，經過出口交換機找到核心交換機上的網關，通過接入交換機的Trunk接口將數據包傳遞到核心交換機的網關上，剝離VLAN 200的標簽進入外部路由。（圖中紅色路徑）

虛擬機切換后網絡路徑

三層網絡遷移注意事項

跨三層遷移的整體過程較為復雜，可根據虛擬機之間的依賴關系及應用本身的特性設計整個系統的遷移順序。被遷移應用系統可分為獨立業務系統、被依賴的業務系統、堆疊業務系統，推薦遷移順序如下：

1. 優先遷移獨立的應用系統，即沒有其他相關網絡依賴的虛擬機，可直接切換。

2. 其次遷移集群類應用系統，即多個節點共同組建的應用，進行統一切換。

3. 然后遷移有依賴關系的應用系統，即依賴其他系統接口的虛擬機，對其他應用影響小。

4. 最后遷移被依賴關系的應用系統，即接口被其他應用調用的虛擬機，優先考慮數據庫。

此場景下，虛擬機在遷移過程中需要同時修改系統的網絡配置信息，建議通過深信服SCMT遷移工具進行。SCMT允許在新建遷移任務時對配置信息進行修改，在虛擬機切換后自動生效，無需在切換時進行復雜的網絡配置修改，避免了業務系統重啟的風險，可以節省切換停機時間。在進行網絡配置時，注意檢查網關IP地址與所在VLAN號的對應關系，確保不會出現錯誤配置。

虛擬機遷移過程修改網絡配置信息

在進行虛擬機切換時，因為系統網絡配置信息發生了變化，所以需要對業務系統內有相關依賴的其他應用進行配置修改，如在負載均衡應用、DNS服務、授權服務等修改對應的IP地址信息，配置修改需要在切換時間內完成，配合進行應用上線驗證，注意考慮和評估相關應用是否支持跨三層訪問。

在實際情況中，每位用戶所面臨的網絡環境不同，各有各的復雜性，因此，在進行替換與遷移方案設計時，需綜合考慮帶寬、影響、可擴展性等因素，規劃合適、有效的方案，以保障項目的順利推進，盡可能降低對用戶業務運行的影響。

云話技術是深信服打造的一檔云技術內容專欄，將定期為大家推送云計算相關的技術解析、場景實踐等內容，為大家深度解析深信服在云計算領域的創新能力、技術動態、場景應用及前瞻分析。