物理系统迁移虚拟化P2V技术

1、物理系统迁移虚拟化P2V物理系统迁移虚拟化P2V将现有的 HYPERLINK / t _blank 服务器应用业务转移到企业搭建虚拟化平台上，是虚拟化整合服务器的重要一步，也是虚拟化程序的基础功能之一：P2V的转化功能。将现有的物理服务器操作系统连同全部的应用程序和 HYPERLINK /disk_cdrombox/ t _blank 硬盘上已经储存的文档数据整体打包转移到搭建好的虚拟化平台上，不用再循规蹈矩的装完系统装应用，按部就班的调完本地调网络，整个过程有点像PC上的一键Ghost系统，可以将将系统整体搬迁到新的硬件上。这对虚机的部署有很大的方便，原先物理服务器上的应用程序并不需要停顿太

2、长时间就可以在虚拟平台上继续工作了。不过虚拟化的P2V可不是Ghost，迁移的过程更像是将OS操作系统从硬件驱动中剥离并且架空到虚拟层之上，由虚拟层将接管硬件驱动，并将硬件资源，如：存储磁盘、处理器、内存和NIC等关键部件虚拟化为OS认可的并且可以继续调配使用的虚拟资源。迁移前的准备迁移之前需要考虑的环境因素：针对源物理机器进行一次数据全备份校验源物理机器的Hostname校验源物理机器的网络配置情况校验源物理机器的OS以及Patch，确认硬件平台和模块校验源物理机器的硬件的设备，包括NIC、CPU、存储卡以及其他的设备获取管理员的密码记录源物理机器的IP/GateWay/DNS/WINS等设

3、置确认与P2V的工具运行的机器网络连接是否正常确认与目标虚拟服务器之间的网络连接是否正常记录源端的分区的情况和盘符检查是否有LIC和源端特定的硬件有关，比如MAC地址绑定确认是否有跟硬件相关的特定的应用程序和服务确认目标的VMFS是否有足够大的空间容量P2V迁移基于Vmware converter的迁移我们建议优先采用Vmware 专业的迁移工具 Converter进行迁移, 所有迁移过程将不破坏原有的应用。并建议迁移后的虚拟系统先工作在独立的网段中测试一段时间，待工作稳定之后再逐渐的替换原硬件上OA应用的工作。这样做的好处是可以最低限度的降低系统迁移的风险。目前最新版本的VMware Con

4、verter 4已包含对主流linux的支持。何为VMware Convert?使用 VMware vCenter Converter，可以自动化和简化物理机到虚拟机以及虚拟机格式之间的转换过程。使用 VMware vCenter Converter 直观的向导驱动界面，可将物理机转换为虚拟机。在几分钟内将物理机转换为虚拟机VMware vCenter Converter 可以在多种硬件上运行，并支持最常用的 Microsoft Windows 操作系统版本。通过这一功能强大的企业级迁移工具，您可以：快速而可靠地将本地和远程物理机转换为虚拟机，而不会造成任何中断或停机。 通过集中式管理控制台和

5、直观的转换向导同时完成多个转换。 将其他虚拟机格式（如 Microsoft Virtual PC 和 Microsoft Virtual Server）或物理机的备份映像（如 Symantec Backup ExecSystem Recovery 或 Norton Ghost12）转换为 VMware 虚拟机。 将虚拟机的 VMware Consolidated Backup (VCB) 映像恢复到运行中的虚拟机。 作为灾难恢复计划的一部分，将物理机克隆并备份为虚拟机。 HYPERLINK /thread-274549-1-1.html l #zoom t _blank Vmware conv

6、erter的2种转换方式：转换服务器有两种实现方式：热转换（当操作系统在运行时进行）或冷转换（从WinPE启动光盘进入，在不运行操作系统的情况下开始）。选择哪种方式取决于您将要转化的服务器类型。热克隆适用于那些数据交换相对不太频繁的服务器，如web服务器、打印服务器、DNX和应用服务器等，多数文件为静态数据文件。热克隆的工作方式是：在克隆进程开始前创建一个快照，然后把快照拷贝到新创建的虚拟机中。在创建快照的时间点，那些打开的文件中的数据一致性是无法保障的，这些未确认的数据可能会导致目标虚拟机发生问题。并且所有在快照创建后并发写入被打开文件的数据也不会被拷贝。快照就是创建了一个时间点相关的区域，

7、然后在文件系统中跟踪并记录所有数据块的变化。克隆进程最后把快照和文件合并组成整个硬盘的有效影像。冷克隆可以更加有效地保证克隆过程成功，因为冷克隆时操作系统是不运行的，这样保证了在转化过程中没有被打开的文件，也就没有数据修改发生。这种方式有效避免了坏数据块的产生。对于那些数据交换频繁的服务器来说这是最佳的办法（如数据库、电子邮件服务器，域服务器等）。基于磁盘映像的迁移透过磁盘映像的中介，利用第三方磁盘映像（Disk Image）级的备份软件（如Symantec Backup exec System Recovery或Acronis True Image），先把物理机器的磁盘整个撷取成磁盘映像文件

8、，此时可以采用2种方法进行迁移。第一种传统方法：直接将虚拟机器当成还原目标，但一开始在建立虚拟机器时，最好尽可能让虚拟机器的虚拟硬件规格与原来的实体机器一致，以保证有较高的转移成功率。 然后再利用软件的还原功能，将映像文件还原到虚拟机器上使用。由于磁盘映像文件包括了实体机器在特定时间点下的完整数据，用户可免除重新安装软件的麻烦。此类软件能支持异构硬件平台的恢复，所以此方法同样适用于P2P，V2P解决方案。第二种通过Convert恢复：利用Vmware convert支持第3放磁盘映像文件的转换，直接将备份下来的磁盘映像文件转换成虚拟机器的文件格式，进入Vmware虚拟化平台。其他迁移技术同一品

9、牌厂商的私有工具如果原物理服务器和目标的ESX硬件服务器属于同一品牌厂商，在满足一些型号条件后，有厂家的一些私有工具，可以做P2V,V2P的迁移。此过程的顺利进行，是基于同一厂商的硬件驱动开发架构上。例如：HP的SMP软件包2. 透过SAN的Raw Device模式在某些San环境中，有一些裸设备模式的资源，需要从原物理机迁移到虚机架构中，可以通过改换LUN映像目标的动作，然后虚机通过RDM模式挂接迁移过来的资源。使用者只要把LUN的映像（Mapping）目标，从原来的实体机器改换为执行虚拟平台的主机，经过几个简单的转换设定动作，就能完成将数据从实体机器转换到虚拟机器的作业。由于其中只牵涉到L

10、UN映像目标的重新设定，以及几个转换设定程序，不需要实际的搬移数据，因此所需时间非常短。 3. 第3方的P2V迁移工具如PlateSpin PowerConvert、VizonCore Vconverter等，原理和Vmware Converter差不多，在细节方面处理的更好。手动迁移假使迁移过程中遇到不可解决的事项，迁移失败后续规划必须与客户取得共识。1. 积极与Vmware支持中心联系以解决问题；2. 采用手动迁移的方法进行迁移手动迁移的具体步骤：详细了解客户物理机状况；进行完成的数据全备份；根据客户需求设计虚拟机最佳配置（资源、网络和存储等等）按照原物理机情况，在目标虚拟机安装操作系统，

11、安装对应的补丁，病毒防火墙的部署；安装和部署应用程序环境；（可能需要原应用厂商配合）把原物理机的数据备份恢复至目标虚拟机环境中；监督虚拟机平台运行开始虚拟机配置的再优化迁移后操作和验证测试迁移后操作：移除不再使用的硬件移除原硬件管理软件（比如DELL OpenManage，HP SIM等等）安装VMware Tools工具调整目标虚拟机的vCPU个数调整目标虚拟机的资源预分配迁移后验证测试：确认目标虚拟机的名称，SID值确认目标虚拟机的OS和SP 级别确认系统硬件是否有兼容性问题，测试硬件配置状态SCSI控制器类型是否正常检查Boot.ini是否异常检查Event logs是否异常确认目标虚拟

12、机的硬件设备包括NIC、CPU、RAM和虚拟磁盘的大小确认目标虚拟机的网络是否可通,测试网络访问，及网络速度确认目标虚拟机的应用程序是否能正常运行，并检测应用程序日志是否异常检测一段时间内，目标虚拟机的资源使用是否异常确认目标虚拟机的是否可以成功完成VCB备份如位于Cluster里的主机，测试Vmotion和HA优化与任何持续流程一样，你在开始把用户和服务迁移到新平台上时，一定要密切关注虚拟化项目的运行情况，这是至关重要的。应当建立性能和使用方面的一些准则及阈值，并评估这些衡量标准对将来的调整及改进而言意味着什么。必要时，还要考虑调整硬件配置、网络设置或者增加带宽。可以肯定，一旦完成最后的启动

13、、成功进入虚拟化操作系统，并不是说你就大功告成了，后边还有很多工作要做。由于物理环境与虚拟环境还是存在一定的差异性，我们需要不断监控、评估、调整及改进，来达到最终的迁移效果。回退方案如某一个业务体系增量迅速，以至于虚拟化统一平台无法满足生产需要，需要根据回退方案进行系统的回退（即V2P），保证业务的可用性。目前此方案，主要采用1.系统恢复迁移（参考第二章基于系统恢复迁移）2.同一品牌厂商的私有工具(参考第三章)附录资料：不需要的可以自行删除 园区网络虚拟化无论规模如何或有什么安全需求，企业现在都能在单一物理网络上，受益于支持多个封闭用户组的虚拟化园区网络。综述随着对园区网络的需求日益复杂，可扩

14、展解决方案也越来越需要将多个网络用户组进行逻辑分区。网络虚拟化提供了多个解决方案，能在保持现有园区设计的高可用性、可管理性、安全性和可扩展性优势的同时，实现服务和安全策略的集中。为达到出色效果，这些解决方案必须包括网络虚拟化的三个主要方面：访问控制、路径隔离和服务边缘。通过实施这些解决方案，网络虚拟化即能与思科系统公司的服务导向网络架构(SONA)相结合，为迁移到智能化信息网络的企业创建一个强大的框架。SONA网络利用NAC和IEEE 802.1x协议提供身份识别服务，从而实现最优访问控制。在用户获准接入网络后，三个路径隔离解决方案GRE隧道、VRF-lite和MPLS VPN能在保留当前园区

15、网设计优势的同时，在现有局域网上叠加分区机制，将网络划分为安全、虚拟的网络。这些解决方案解决了与分布部署服务和安全策略相关的问题。最后，共享服务和安全策略实施的集中化，大大减少了在园区网中维护不同群组的安全策略和服务所需的资本和运营开支。这种集中化有助于在园区中实施一致的策略。挑战园区网络的设计建议一直缺乏一种对网络流量分区，以便为封闭用户组提供安全独立环境的方式（表1）。有许多因素都在推动对于创建封闭用户组的需要，包括： 企业中存在不同级别的访问权限：几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。 法规遵从性：部分企业受法律或规定的要求，必须对较

16、大的机构进行分区。例如，在金融公司中，银行业务必须与证券交易业务分开。 过大的企业需要简化网络：对于非常大型的园区网络，如机场、医院或大学来说，过去，为保证不同用户组或部门间的安全性，就必须构建和管理不同的物理网络，这种做法既昂贵又难以管理。 网络整合：在合并和收购时，通常需要迅速集成所收购公司的网络。 外包：随着外包和离岸外包的普及，子承包商必须证明各客户的信息间完全隔离。尤其当一家承包商服务于相互竞争的公司时，这尤为重要。 提供网络服务的企业：零售连锁公司为其他公司支持售货亭或为加油站提供互联网接入；同样，服务于多家航空公司和零售商的机场能使用单一网络来提供隔离服务和共享服务。 表1. 不

17、同垂直行业中网络分区的应用示例垂直行业网络虚拟化应用示例制造业生产工厂(自动装置，生产环境自动化等)，管理，销售，视频监视。 金融业交易大厅，管理，合并。政府支持不同部门的共同建筑物和设施。在部分国家，法律要求这些部门采用不同网络。医疗总体趋势是在进行治疗的同时提供宾馆式服务。须隔离医护人员、核磁共振成像(MRI)和其他技术设备、病人互联网接入，以及为病人提供的广播和电视等媒体服务。 商业智能楼宇：多企业园区不同部门共享部分资源。多个公司位于同一园区，其中不同建筑物分属不同部门，但全使用相同的核心和互联网接入机制。园区所有者管理建筑物自动化体系，覆盖所有建筑物。零售售货亭，分支机构中的公共无线

18、局域网，RF识别，WLAN设备（例如，不支持任何WLAN安全特性的较早的WLAN条码阅读器）。教育学生、教授、管理人员和外部研究团队间需要隔离。此外，分布于多个建筑物的各院系可能需要访问各自的服务器区域。而某些资源（例如互联网、电子邮件和新闻）可能需要共享或通过一个服务区访问。此外，建筑物自动化体系也必须分开。园区局域网的发展网络虚拟化允许多个用户组访问同一物理网络，但从逻辑上对它们进行一定程度的隔离，以便它们无法查看其他组这是多年来网络经理面临的挑战。在上世纪90年代，L2交换是园区局域网的标志性特征，虚拟局域网(VLAN)是在一个通用基础设施中将局域网划分为不同工作组的标准。此解决方案安全

19、高效，但无法很好地扩展，而且随着园区局域网的发展，其管理也非易事。核心和分布层中L3交换的出现，在VLAN方式的基础上对可扩展性、性能和故障排除进行了优化。过去几年中，所构建的基于L3的园区网络已经证实，它们便于扩展、功能强大，具有高性能。但在网络分区和封闭用户组方面，L3园区方式有着重大缺陷和限制。在此情况下，添加封闭用户组即意味着增加成本和复杂度。解决方案：网络虚拟化因此我们需要一个便于扩展的解决方案，来保持用户组完全隔离，实现服务和安全策略的集中，并保留园区网设计的高可用性、安全性和可扩展性优势。为支持此解决方案，网络设计必须高效地解决以下问题： 访问控制：确保能识别合法用户和设备，对其

20、分类，并允许其接入获得访问授权的网络部分。 路径隔离：确保各用户或设备都能高效地分配到正确、安全的可用资源集即正确的VPN。 服务边缘：确保合法的用户和设备能访问相应的正确服务，并集中实施策略。 思科解决方案能通过几个方式实现网络虚拟化。虚拟化技术使单一物理设备或资源能作为它自己的多个物理版本，在网络中共享。网络虚拟化是思科SONA框架的一个重要组件。思科SONA使用虚拟化技术来改进服务器和存储局域网（SAN）等网络资产的使用。例如，一个物理防火墙能配置为执行多个虚拟防火墙的功能，帮助企业优化资源和安全投资。其他虚拟化战略包括集中策略管理、负载均衡和动态分配等。虚拟化能提高灵活性和网络效率，降

21、低资本和运营开支。访问控制：身份验证和接入层安全接入层安全对于保护园区局域网免遭外部威胁十分重要。通过在威胁进入园区前即采取防御措施的特性，能对思科网络虚拟化解决方案构成补充。IEEE 802.1X即是这样一种技术，它是端口安全的标准。802.1X在用户及其相关的VPN间形成强大的连接，防止在未授权情况下访问禁止接入的资源。另一种补充技术是思科网络准入控制(NAC)。NAC的职责是在边缘防御威胁，在有害流量到达分布层或核心层前即将其删除。NAC有助于确保用户不会使园区基础设施遭受到任何病毒、蠕虫等威胁。路径隔离：L3 VPN为支持园区网络虚拟化，思科提供了三个非常适用于典型园区网络设计，并混合

22、使用了L2和L3技术的解决方案： GRE隧道 VRF-lite MPLS VPN GRE隧道GRE隧道为在园区网络上创建封闭用户组提供了一种相当简单且高效的方法。GRE隧道非常适于作为托管“访客”接入的企业解决方案，使公司能为访客或来访者提供全球互联网接入，而又能防止这些用户访问内部资源。在图1中，GRE隧道与Cisco VRF-lite特性共用，为访客接入创建了一个简单、易于管理的解决方案。图1. 结合使用GRE隧道和VRF-lite该解决方案的优势包括： 能跨越典型的多层园区网络（无需园区级VLAN）。 访客用户流量与其他公司局域网流量隔离。 所有访客流量的进入点位于中央位置，使安全性和服

23、务质量(QoS)策略更易于管理。 甚至能通过广域网扩展到分支机构。 在将GRE隧道作为支持封闭用户组的解决方案时，需要注意的一个因素是隧道本身较难配置和管理，因此不建议解决方案部署超过两条隧道。此类网络虚拟化适用于需要星型拓扑的场合。VRF-liteVRF-lite是一个思科特性，通常称为多VRF客户边缘，通过使用单一路由设备支持多个虚拟路由器，来提供园区分区解决方案。VRF-lite是MPLS的轻量版本。利用VRF-lite，网络经理能灵活地为任意特定VPN使用任意IP地址空间，而无论它是否与其他VPN的地址空间重叠或冲突。这种灵活性在很多场合都非常实用。例如，当所收购公司的网络合并到一个共

24、享局域网中，所收购的网络能作为独立VPN进入基础设施，几乎或完全不会干扰网络上的日常业务流程。VRF-lite能用作端到端解决方案，如图2所示，也能与另一解决方案共用来支持封闭用户组，这将在下一部分中讨论。总体来说，VRF-lite的可扩展性高于GRE隧道，但它最适用于有四或五个分区的网络。每次添加用户组时，它都需要人工重配置，因此相当耗费劳力。图2. VRF作为端到端解决方案部署MPLS VPN另一种为封闭用户组进行园区网络分区的方法为基于MPLS的L3 VPN。和GRE隧道与VRF-lite一样，MPLS VPN提供了一种安全可靠的方式，在通用物理基础设施上进行网络逻辑分区。尽管电信运营商

25、使用MPLS技术的时间已有几年，但因为局域网交换机上缺乏对MPLS的支持，它还未在企业网络中广泛部署。而不断改变的业务需求，以及相应的新产品面世，正帮助MPLS成为园区基础设施中的重要技术。随着Cisco Catalyst 6500系列提供了对于MPLS VPN的支持，对许多大型企业来说，MPLS技术已拥有了廉宜价位。MPLS VPN具有本文中讨论的其他解决方案的所有优势（参见图3）。此外，任何MPLS VPN都能通过配置，连接至用户和位于网络中任意地点的资源，而不会影响性能或网络设计。相应地，MPLS VPN也是三个思科网络基础设施虚拟化解决方案中可扩展性最高的。当添加或改动用户组时，无需人工重配置，这提高了可扩展性，降低了运营开支。当在网络边缘使用VLAN，在园区的路由部分使用L3 VPN时，保留了层次化园区网部署的所有优势，同时该解决方案还能在园区局域网中实现端到端、可扩展分区，并支持集中的安全特性和服务。和VRF-lite一样，网络定址灵活性也是MPLS VPN的另一优势。图3. MPLS VPN支持任意到任意连接统一接入提供灵活性这三个思科园区网虚拟化解决方案并不限制用户使用任何特定的接入类型。尽管他们在单一物理网络基础设施中工作，但这些解决方案能轻松地支持移动用户。无论使用的解决方案是基于GRE隧道、VRF-lite还是MPLS VPN，用户只要能接入网