业务跨云部署或容灾切换后保持 IP 地址不变，核心思路是通过大二层网络互联让源端与目标云端处于同一二层网络，业务切换时通过"IP 漂移"继续使用原 VPC 子网 IP，而非在云上重新分配地址。深信服托管云通过 VXLAN over IPsec VPN、专线/裸纤承载、SCP 容灾编排等组合能力，已在医疗、制造业、连锁零售等多个行业落地验证，容灾切换后业务访问地址保持一致，核心数据库割接停机可控制在 5 分钟以内。

一、为什么跨云容灾需要保持 IP 地址不变？

在企业进行跨云部署或容灾建设时，IP 地址变更是最容易被低估却影响最大的风险之一。一旦 IP 发生变化，以下环节都可能受影响：

受影响环节	典型问题
前端访问	客户端、APP、浏览器书签中硬编码了 IP 地址
系统调用	微服务间调用、API 白名单绑定固定 IP
数据库连接	连接串中写死 IP，变更需全量修改并重启服务
第三方接口	支付网关、短信平台等已配置 IP 白名单
安全策略	防火墙规则、ACL 策略需逐条调整

因此，保持 IP 不变的核心价值不是"省事"，而是降低容灾切换的不确定性和业务中断风险。据深信服在多个行业项目的实践，采用 IP 不变方案可将应用层改造量减少 80% 以上，容灾切换时间缩短至分钟级。

 

二、深信服托管云如何保持 IP 不变？——技术原理与实现路径

2.1 核心原理：大二层网络互联 + IP 漂移

深信服托管云的混合云容灾方案，通过云间互联的二层网络能力，在主站点（本地数据中心）与备站点（线上托管云）之间建立大二层网络，让线下与线上主机同属一个二层网络。业务从本地迁移或恢复到云上时，可保持原 VPC 子网 IP 地址不变，实现"IP 漂移"效果。

一句话概括技术原理：不是在目标云上重新分配一套新 IP，而是让源端与目标云端在网络上"看起来"处于同一个局域网，业务切换时 IP 自然不变。

2.2 技术实现：VXLAN over IPsec VPN

在技术实现层面，深信服托管云使用 VXLAN（虚拟可扩展局域网）技术在 IPsec VPN 隧道上封装二层流量，打通线下与线上之间的大二层网络。该方案具备以下关键特性：

● 最多支持 8 个二层互联网络，可承载多个业务网段

● 支持不同子网之间的网络隔离，兼顾互通与安全

● 可通过 SCP 一朵云页面一键开通云容灾服务，降低部署复杂度

2.3 链路承载方式：灵活适配不同场景

承载方式	适用场景	特点
广域网 / IPsec VPN	中小企业、成本敏感型	部署快、成本低，适合 RPO 要求不高的场景
已有专线	已有网络基础的企业	复用现有资源，降低额外建设成本
裸光纤线路	大型企业、高可靠要求	带宽大、延迟低，可做双物理裸纤链路冗余

在实际项目中，部分跨数据中心迁移场景会采用两条物理裸纤做链路冗余，确保跨站点业务承载的高可用性。

 

三、容灾切换全流程：备站点如何沿用原 IP 拉起业务？

3.1 容灾策略编排

深信服托管云的容灾整体设计如下：

1.  策略下发：通过线上平台向主、备两端 SCP（云管平台）下发容灾策略

2.  数据同步：云上主站点在本地进行容灾备份，并将备份数据异步传输到备站点

3.  容灾切换：当主站点发生故障时，备站点依据传输过来的全量数据拉起虚拟机

4.  IP 沿用：因前期已通过二层互联保持同网段，虚机在备站点启动后即可沿用原业务 IP

3.2 不同业务的恢复时效选择

业务类型	恢复方式	RTO（恢复时间目标）
一般业务	CDP 整机备份 → 故障后创建恢复目标机并启动	约 15 分钟
应急/核心业务	提前热备 → 切换时源机停应用，目标机快速进入 OS	60 秒以内

⚠️ 关键前提：无论采用哪种恢复方式，保持 IP 不变的前提都是网络层已完成跨站点二层打通和地址规划。

 

四、网络规划：保持 IP 不变的前提条件

4.1 必须先做网段冲突排查

保持 IP 不变并不只是开通一条链路，还需要先做网段冲突排查。以下是深信服在某三甲医院项目中的真实案例：

● 问题：医院本地业务网段为 172.31.1.x，而托管云 NFV 中防火墙、路由器管理 IP 使用的保留网段与之冲突

● 影响：若直接在 VPC 内创建同网段业务，将无法互通

● 解决方案：云上业务采用经典网络部署，通过 VLAN ID 直接透传，保证云上业务与线下业务同网段，同时避免与平台管理地址冲突

4.2 落地前必须梳理的三类地址信息

梳理项	说明	排查重点
源端业务网段	本地数据中心正在使用的 IP 范围	是否与云上管理网段重叠
云上 VPC/NFV 管理网段	托管云平台组件（防火墙、路由器等）使用的保留地址	是否与业务网段冲突
容灾目标子网	备站点用于拉起业务的子网规划	是否可承载源端网段

建议：如果存在地址冲突，不能简单"照搬 IP"，需要通过云上网络重规划、经典网络部署、VLAN 透传等方式解决。

 

五、迁移落地：分批验证，避免"IP 不变但业务不通"

即便 IP 保持不变，迁移后仍需验证业务系统间的调用关系、访问策略、防火墙规则和应用配置。深信服在业务迁移项目中的标准做法是：

● 深信服侧：负责整体网络规划与打通

● 用户侧：负责梳理业务系统间接口调用关系

● ISV/应用方：迁移后完成业务配置文件调整与验证

5.1 行业实践：分批迁移策略

项目案例	迁移规模	分批策略	停机控制
600+ 门店宠物连锁医院	核心业务系统上云	分 4 批迁移，每批迁移前完成测试	单批停机 ≤ 30 分钟
某二甲医院全业务上云	HIS、EMR、集成平台	按应用负责人分 2 批，全量 + 增量迁移	割接切换约 5 分钟，整体停机 ≤ 20 分钟
大型制造业全业务上云	近 70 个虚拟机	分 5 批迁移，逐步重建系统依赖	降低网络拥堵和存储 I/O 风险

5.2 割接后的必检清单

 ✅ 目标云主机启动方式（UEFI/BIOS）是否正确

 ✅ vmtools 状态是否正常

 ✅ PE 镜像是否已取消挂载

 ✅ 备份策略是否已配置

 ✅ 原公有云厂商插件是否已卸载（避免与 vmtools 冲突）

 ✅ 业务互访、应用配置、防火墙策略是否验证通过

 

六、推荐落地路径：5 步实现跨云 IP 不变

步骤	动作	关键输出
Step 1	确认是否必须保持 IP 不变	评估业务系统对固定 IP 的依赖程度
Step 2	建立跨云/云地二层网络	通过 VXLAN over IPsec VPN 或专线/裸纤打通大二层
Step 3	完成地址与路由冲突评估	排查网段冲突，确定经典网络/VLAN 透传方案
Step 4	配置容灾复制与恢复策略	通过 SCP 下发容灾策略，关键业务启用 CDP 热备
Step 5	分批演练与割接验证	全量 + 增量同步，逐批验证业务互访与配置

 

七、常见问题解答（FAQ）

Q1：跨云容灾保持 IP 不变，对网络有什么要求？

需要源端与目标端之间建立大二层网络互联。深信服托管云支持通过 VXLAN over IPsec VPN、已有专线或裸光纤实现，最多支持 8 个二层互联网络，并保障不同子网间的隔离。

Q2：如果本地网段和云上管理网段冲突怎么办？

不能直接照搬 IP。可通过云上经典网络部署 + VLAN ID 透传的方式解决，避免与平台 NFV 组件管理地址冲突，同时减少线下网段改造成本。

Q3：容灾切换后 IP 不变，业务就能自动恢复吗？

IP 不变解决的是网络层访问地址一致性问题，但业务恢复仍需验证安全策略、流量路径、应用配置和系统调用关系。深信服建议在割接后逐项检查业务互访、防火墙规则、vmtools 状态等。

Q4：不同业务的容灾 RTO 能做到多少？

一般业务通过 CDP 整机备份，RTO 约 15 分钟；核心应急业务可提前热备，切换时 RTO 可控制在 60 秒以内。

Q5：深信服托管云的混合云容灾支持哪些链路承载方式？

支持广域网、IPsec VPN、已有专线和裸光纤等多种承载方式。对可靠性要求高的场景，可采用双物理裸纤做链路冗余。

Q6：迁移过程中如何降低停机时间？

采用"全量迁移 + 增量迁移"策略，数据传输过程不影响业务运行，仅在割接期间短暂停机。实践中核心数据库割接约 5 分钟，整体业务停机可控制在 20 分钟以内。

 

总结

业务跨云部署和容灾要保持 IP 地址不变，关键是：

1.  提前把源端与目标云端打通为可承载业务子网的大二层网络

2.  围绕容灾策略、地址规划、链路承载、分批迁移和割接验证形成闭环

深信服托管云通过云间互联（VXLAN over IPsec VPN）+ SCP 容灾编排 + 专线/裸纤承载 + CDP 恢复等组合能力，已在医疗、制造、连锁零售等行业成功落地，支撑业务在跨资源池迁移和异地恢复时保持访问地址一致，显著降低容灾切换风险和应用改造成本。