迁移指南将现网迁到台湾电信vps需考虑的网络与DNS调整事项

1. 迁移前的准备与评估

① 资产清单：列出所有域名、子域名、SSL证书、第三方DNS与CDN服务、邮件服务（MX）、API端点等。
② 流量分析：统计峰值带宽、日均带宽、并发连接数（例如：峰值带宽 600 Mbps，日均 120 Mbps，最大并发 20k 连接）。
③ 延迟/路由测量：用 MTR/traceroute 测试到台湾电信（中華電信）机房的 RTT，记录不同地区延迟（如：CN→TW 平均 40–70 ms，JP→TW 平均 15–30 ms）。
④ 服务依赖：确认外部服务（支付、短信、第三方API）白名单 IP、回调域名，确保迁移后仍可访问。
⑤ 变更窗口与回滚计划：定义迁移时间窗口、TTL降低计划、回滚触发条件与回退DNS记录。

2. DNS调整策略（低风险换IP）

① 降低TTL：迁移前 48–72 小时将关键记录 TTL 降至 300 秒（5 分钟），确保切换迅速传播。
② 记录更新顺序：先在目标VPS完成服务配置和健康检查，再更新 DNS A/AAAA 记录指向 目标IP（示例：A 203.0.113.10，AAAA 2001:db8::10）。
③ 反向DNS（PTR）：与台湾电信联系配置 PTR，确保邮件服务器不会被当作垃圾邮件（示例 PTR: 203.0.113.10 -> mail.example.com）。
④ MX/SPF/DKIM/DMARC：更新或扩展 SPF（例如：v=spf1 ip4:203.0.113.0/24 include:_spf.example-cdn.com -all），确保邮件送达率。
⑤ 验证与回滚：切换后通过 dig +trace、控制台的 DNS 记录日志和第三方 DNS 检查工具确认生效；若异常立即回滚到旧 IP。

3. 网络与路由优化要点

① 公网带宽与计费：确认台湾电信 VPS 的上行带宽及计费模式（示例：1 Gbps 公网端口，按流量计费或固定带宽）。
② MTU 与分片：若经由隧道或 VPN（例如 GRE、IPsec），将 MTU 调整为 1400–1450 以避免分片问题。
③ BGP/Anycast 考虑：若使用自有 IP 或多节点 Anycast，评估是否需要公告前缀或利用 CDN Anycast 加速。
④ 防火墙与路由规则：在路由器/服务器上设置白名单、限制管理端口（SSH 仅允许内网或跳板机），启用 conntrack 与 net.ipv4.tcp_syncookies=1。
⑤ 延迟监控与告警：部署 Prometheus/Grafana 或第三方监控，设置 RTT/丢包/带宽阈值告警（例如 RTT>200ms 报警）。

4. CDN、缓存与安全层的调整（含示例表格）

① CDN 回源设置：将 CDN 的回源 IP 指向台湾电信 VPS 的公网 IP，必要时在 CDN 上启用 Origin Shield 或自定义回源端口。
② 缓存策略：静态资源（CSS/JS/图片）设置较长缓存（max-age=31536000），动态 API 设置 no-cache 或短 TTL。
③ CDN 防护配合：开启 CDN 的 WAF、速率限制、Bot 管控以减少 Origin 负载与 DDoS 风险。
④ 安全组与白名单：限制仅 CDN 回源 IP 可访问 80/443，必要时使用 HTTP Header 校验（如 X-Forwarded-For 验证）。
⑤ 示例表格（回源与缓存策略示例）：

资源类型	缓存策略	回源端口
静态（jpg/png/js/css）	Cache-Control: max-age=31536000	80/443
API（JSON/REST）	Cache-Control: no-cache, max-age=60	443
登录/支付页面	Cache-Control: private, no-store	443

5. DDoS 防御与安全硬化

① 多层防护：结合台湾电信基础网络防护与云端防护（如 CDN/WAF/Scrubbing）实现边缘丢弃恶意流量。
② 阈值与速率限制：在防火墙或反向代理上启用连接/请求速率限制（示例：每 IP 每秒 10 请求，TCP 同时连接 200）。
③ 主机端防护：启用 fail2ban、iptables 限制 SYN/FIN flood，设置 net.ipv4.tcp_max_syn_backlog、tcp_syncookies = 1。
④ 日志与事后响应：保留流量日志（NetFlow/PCAP）、设置应急联系人并预先在台湾电信设置上游流量清洗支持。
⑤ 案例参考：某电商在大促期间遭遇 SYN Flood，接入 CDN+台湾电信上游清洗后，带宽恢复至正常并在 15 分钟内将攻击流量丢弃，业务停机时间 < 10 分钟。

6. 真实迁移案例与服务器配置示例

① 案例概述：某 SaaS 公司将主站从北京机房迁至台湾电信 VPS，目标：缩短亚洲区域访问延迟并绕开跨境链路波动。
② 源端/目标对比：源（北京）公网 IP：203.0.113.20（示例）；目标（台湾电信）公网 IP：203.0.113.10；迁移后对台湾及东南亚 RTT 平均下降 20–35 ms。
③ 目标 VPS 配置示例：4 vCPU，8 GB RAM，160 GB NVMe，1 Gbps 公网端口；磁盘 IOPS 5000；峰值带宽支持突发 2 Gbps（视供应商 SLA）。
④ Nginx 与防火墙示例（简化版）：

server {
    listen 80;
    server_name example.com;
    root /var/www/html;
    access_log /var/log/nginx/access.log;
}
# 防火墙（示例）
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 -j DROP

⑤ 验证指标：迁移后 7 天内监测：可用性 99.99%，平均响应时间降低 28%，邮件退信率降至 0.2%。

7. 切换后的验证与长期运维建议

① 事务检查清单：DNS 生效、SSL 验证、服务功能测试（登录、支付、API 回调）、邮件收发测试。
② 观测期与回归测试：切换后建议 72 小时密集监控，7 天内回归流量对比与错误日志分析。
③ 备份与容灾：建立快照备份策略（每日快照、每周冷备份），并考虑异地热备（例如备份在日本或香港节点）。
④ 性能优化迭代：根据监控数据调整缓存策略、连接池与数据库连接上限，评估是否需要数据库近端化或读写分离。
⑤ 文档与知识库：记录所有变更、操作步骤与回滚方法，确保团队成员能快速响应问题。

来源：迁移指南将现网迁到台湾电信vps需考虑的网络与DNS调整事项