主机迁移的网络安全配置与条件有哪些？

背景说明

在使用主机迁移服务时，需要在被迁服务器上安装SMS-Agent。迁移过程中，源端要与SMS服务及目的端进行通信。

图1 主机迁移服务网络示意图

源端能连接到华为云API Gateway

• 源端Agent依赖华为云部分服务：IAM、ECS、EVS、IMS、VPC、SMS、OBS、DNS，在迁移过程中要确保源端Agent能调用目的端服务器所在Region相关依赖服务的API。
  • IAM、SMS为global级服务，需连通iam.myhuaweicloud.com、sms.cn-north-4.myhuaweicloud.com。
  • ECS、EVS、IMS、VPC、DNS为Region级，需连通目的端服务器所在Region的Endpoint。具体服务的Endpoint请参见终端节点。
  • OBS既需要连通obs.cn-north-1.myhuaweicloud.com，也需要连通目的端服务器所在Region的Endpoint。

    例如，目的端服务器在华南-广州时，对应的Endpoint如表1所示。

    表1 SMS依赖服务或桶地址

    服务或桶地址	Endpoint	说明
    IAM	iam.myhuaweicloud.com	Global级
    SMS	sms.cn-north-4.myhuaweicloud.com
    OBS	obs.cn-north-1.myhuaweicloud.com
    ECS	ecs.cn-south-1.myhuaweicloud.com	Region级服务
    EVS	evs.cn-south-1.myhuaweicloud.com
    VPC	vpc.cn-south-1.myhuaweicloud.com
    IMS	ims.cn-south-1.myhuaweicloud.com
    OBS	obs.cn-south-1.myhuaweicloud.com
    DNS	dns.cn-south-1.myhuaweicloud.com
    agent.bucket.endpoint	sms-agent-2-0-cn-north-1.obs.cn-north-1.myhuaweicloud.com	SMS-Agent需要访问的桶地址
    agent.conf.bucket.endpoint	sms-agent-config-inter.obs.cn-north-1.myhuaweicloud.com

    

    agent.bucket.endpoint与agent.conf.bucket.endpoint保持默认，其他依赖服务的URL根据目的端服务器所在Region确定。

    SMS会使用bbs.huaweicloud.com、 support.huaweicloud.com 和console.huaweicloud.com等域名，用于提供迁移服务和咨询服务。

• 当源端没有配置DNS服务器地址时，需要在本地DNS配置文件中 （Windows C:\Windows\System32\drivers\etc\hosts；Linux /etc/hosts) 配置URL对应的IP，保证URL能被正常解析。
  各服务URL对应的IP地址可以通过ping url 获得，如图2所示。

  图2 开放IP地址
  

源端能连接到目的端

• 若使用弹性公网IP连接，目的端需要提前购买和配置正确的EIP。使源端能连接到目的端IP。
• 若使用专线或者VPN，需提前购买和配置正确的专线或VPN。使源端能连接到目的端IP。

目的端服务器所属安全组开放端口要求

• 目的端服务器为windows系统时需要放开8899、8900、22端口。服务器为linux系统时，Linux系统开放8900、22端口。
• 当目的端设置了网络ACL时，并关联了目的端服务器所在的子网。需要在网络ACL中，放开相应的端口。

请参见如何配置目的端服务器安全组规则？配置目的端服务器VPC安全组。