主机迁移的网络安全配置与条件有哪些?
背景说明
在使用主机迁移服务时,需要在被迁服务器上安装SMS-Agent。迁移过程中,源端要与SMS服务及目的端进行通信。
源端能连接到华为云API Gateway
- 源端Agent依赖华为云部分服务:IAM、ECS、EVS、IMS、VPC、SMS、OBS、DNS,在迁移过程中要确保源端Agent能调用目的端服务器所在Region相关依赖服务的API。
- IAM、SMS为global级服务,需连通iam.myhuaweicloud.com、sms.cn-north-4.myhuaweicloud.com。
- ECS、EVS、IMS、VPC、DNS为Region级,需连通目的端服务器所在Region的Endpoint。具体服务的Endpoint请参见终端节点。
- OBS既需要连通obs.cn-north-1.myhuaweicloud.com,也需要连通目的端服务器所在Region的Endpoint。
例如,目的端服务器在华南-广州时,对应的Endpoint如表1所示。
表1 SMS依赖服务或桶地址 服务或桶地址
Endpoint
说明
IAM
iam.myhuaweicloud.com
Global级
SMS
sms.cn-north-4.myhuaweicloud.com
OBS
obs.cn-north-1.myhuaweicloud.com
ECS
ecs.cn-south-1.myhuaweicloud.com
Region级服务
EVS
evs.cn-south-1.myhuaweicloud.com
VPC
vpc.cn-south-1.myhuaweicloud.com
IMS
ims.cn-south-1.myhuaweicloud.com
OBS
obs.cn-south-1.myhuaweicloud.com
DNS
dns.cn-south-1.myhuaweicloud.com
sms-resource-cn-cn-north-4
sms-resource-cn-cn-north-4.obs.cn-north-4.myhuaweicloud.com
SMS-Agent需要访问的桶地址
sms-agent-config-inter
sms-agent-config-inter.obs.cn-north-4.myhuaweicloud.com
sms-resource-cn-cn-north-4与sms-agent-config-inter保持默认,其他依赖服务的URL根据目的端服务器所在Region确定。
SMS会使用bbs.huaweicloud.com、 support.huaweicloud.com 和console.huaweicloud.com等域名,用于提供迁移服务和咨询服务。
- 当源端没有配置DNS服务器地址时,需要在本地DNS配置文件中 (Windows C:\Windows\System32\drivers\etc\hosts;Linux /etc/hosts) 配置URL对应的IP,保证URL能被正常解析。
源端能连接到目的端
- 若使用弹性公网IP连接,目的端需要提前购买和配置正确的EIP。使源端能连接到目的端IP。
- 若使用专线或者VPN,需提前购买和配置正确的专线或VPN。使源端能连接到目的端IP。
目的端服务器所属安全组开放端口要求
- 目的端服务器为windows系统时需要放开8899、8900、22端口。服务器为linux系统时,Linux系统开放8900、22端口。
- 当目的端设置了网络ACL时,并关联了目的端服务器所在的子网。需要在网络ACL中,放开相应的端口。
请参见如何配置目的端服务器安全组规则?配置目的端服务器VPC安全组。
