腾讯云业务迁移到托管云上网络打通方案 1. 方案背景 1.1. 基本业务情况 客户业务分布在腾讯云,主要云主机包括如下表,另外还有1个mysql和nfs服务 1.2. 迁移目标 云主机和mysql,nfs服务为一个业务整体,为确保业务中断时间最短,迁移后需要统一切换 1.3. 文档目标 本文档主要解决通过深信服vaf如何打通托管云和腾讯云之间的网络,重点腾讯云侧的部署 2. 准备工作 2.1. Vaf镜像下载 https://support.sangfor.com.cn/file/downloadToUrl?url_type=6&id=7580下载:公有云镜像:vaf_8.0.95_20241016_a26b3092_Platos.qcow2
2.2. Vaf虚拟机搭建所需资源 ① COS资源(存储资源,需付费) [img=553,256][/img] ② CVM资源(云主机实例资源,2c4g120g以上,需付费) ③ 公网/弹性IP资源(带宽选择涉及迁移速度,根据实际情况选择,需付费) 3. 部署过程 3.1. Vaf腾讯云部署
(1) 上传公有云镜像 (2) 进入云服务器-镜像,选择导入镜像 (3) 选择Linux操作系统,勾选“我已做好以上准备”,点击下一步 (4) 选择需要创建vAF的地域,选择之前上传的公有云镜像文件 [
(5) 操作系统选择linux-kylin-10-64位,启用强制导入,点击开始导入 点击确定 (6) 等待镜像导入成功,预计10-20分钟。镜像导入完成后选择创建实例,进入云服务器创建界面 (7) 按需选择 (8) 配置最低2C4G,根据吞吐量选型 (9) 默认配置,下一步 (10) 内网网段、公网IP、带宽计费模式均按需选择 (11) 新建安全组,放通下列端口。登录方式选择自动生成密码,点击下一步 (12) 确认配置满足要求,点击立即购买,等待云服务器创建成功 (13) 点击登录 3.2. Vaf腾讯云上授权 (1) 选择VNC登录 (2) 进入后台,默认8.0.95不支持未授权前直接访问控制台,需要后台做下离线授权切换 touch /sfos/system/etc/af/auth_mode_flag ----创建标志文件 reboot ----重启设备 (3) 做完离线授权切换后,可通过控制台登录vaf页面,在授权页面申请离线授权 [重点检查ipsec vpn授权. 4. IPSEC vpn创建 4.1. IPSEC vpn配置 4.1.1. 第一阶段配置 重点标记出来的配置,其他按默认即可 (1) 新建第三方设备,这里选择深信服托管云上的vpn设备 4.1.2. 第二阶段配置 重点标记出来的配置,其他按默认即可 4.1.3. 第三阶段配置 重点标记出来的配置,其他按默认即可 5. 网络验证 验证托管云上的scmt到腾讯云业务主机的连通情况,可以直接做ping测试,对于mysql和nfs存储直接在托管云上部署虚拟机坐下连通测试 6. 注意事项 ① 部署vaf打通ipsec本身vaf需要云主机资源和公网ip资源,会涉及费用 ② 方案推荐是做标准ipsec对接,sangfor vpn对接需要vaf配置多网卡,发布本地子网需要用和vpn线路不同的网卡.腾讯云云主机可以增加辅助弹性网卡,理论也可实现,但会相对麻烦点
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 
技术员1级 