Cette rubrique décrit l'accès réseau que vous devez configurer pour disposer d'un environnement de migration opérationnel.
Lorsque vous configurez la migration, l'environnement de migration que vous créez est composé de plusieurs composants sur plusieurs réseaux. Pour que la migration fonctionne, ces réseaux doivent permettre un accès spécifique au trafic entre les composants de migration.
Procédure de configuration de l'accès réseau
À un niveau élevé, vous devez effectuer les opérations suivantes pour configurer l'accès réseau dans un environnement de migration :
Configurez un cloud privé virtuel (VPC) sur Google Cloud.
Le VPC définit un réseau virtuel pour vos composants sur Google Cloud. Il vous permet également de créer des règles de pare-feu qui autorisent l'accès entre les instances de VM, ainsi qu'entre le réseau et les composants externes.
Définissez les tags réseau que vous allez attribuer à chaque composant du réseau VPC.
Les tags réseau sont des attributs de texte que vous pouvez ajouter aux instances de VM Google Cloud. Le tableau suivant répertorie les composants pour lesquels créer des tags, ainsi que des exemples de texte de tag de réseau.
Pour connaître les restrictions et les autorisations requises lors de l'attribution de tags réseau, consultez la section Configuration des tags réseau.
Composant Suggestion de tag réseau Gestionnaire Migrate for Compute Engine fw-migration-managerExtension cloud Migrate for Compute Engine fw-migration-cloud-extensionCharge de travail fw-workloadUtilisez les tags réseau que vous définissez pour créer des règles de pare-feu sur le VPC Google Cloud afin d'autoriser le trafic entre les composants de votre environnement de migration.
Cela inclut entre les composants sur Google Cloud, ainsi qu'entre ceux-ci et les composants de la plate-forme source à partir de laquelle vous allez migrer des VM.
Cette rubrique répertorie les règles de pare-feu que vous devez créer.
Appliquez les tags en tant que métadonnées lorsque vous déployez les instances de VM qui exécutent des composants dans votre environnement de migration.
Une fois que vous avez créé des règles de pare-feu à l'aide des tags et appliqué les tags aux instances de VM correspondantes, vous avez spécifié quelles règles de pare-feu s'appliquent à quelles instances de VM.
Appliquez les tags que vous avez définis aux éléments suivants :
- Gestionnaire Migrate for Compute Engine : spécifiez des tags réseau (tels que
fw-migration-manager) lorsque vous déployez le gestionnaire Migrate for Compute Engine. - Extensions cloud Migrate for Compute Engine : spécifiez des tags réseau (tels que
fw-migration-cloud-extension) lorsque vous créez des extensions cloud Migrate for Compute Engine. - Charges de travail de VM : spécifiez des tags réseau (tels que
fw-workload) dans le champGcpNetworkTagsdu fichier CSV du runbook répertoriant les VM que vous migrez avec une vague.
Veuillez noter que si vous devez définir ou modifier un tag réseau après avoir déployé les composants répertoriés ci-dessus, vous pouvez le faire avec les instructions.
- Gestionnaire Migrate for Compute Engine : spécifiez des tags réseau (tels que
Sur la plate-forme source à partir de laquelle vous migrez des VM, créez des règles qui autorisent le trafic entre cette plate-forme et Google Cloud.
Au besoin, définissez des routes statiques supplémentaires pour acheminer le trafic entre les réseaux.
Règles de pare-feu
Les règles de pare-feu autorisent l'accès au trafic entre les composants de votre environnement de migration. Les tableaux de cette rubrique répertorient les règles de pare-feu dont vous avez besoin :
- Au VPC de destination sur Google Cloud
- À la plate-forme source à partir de laquelle vous migrez des VM.
Avant de configurer des règles de pare-feu, consultez les autres étapes d'accès au réseau décrites ci-dessus.
Pour en savoir plus, consultez la documentation relative aux pare-feu ci-dessous :
- Pour les pare-feu du LAN sur site de l'entreprise, consultez la documentation de votre fournisseur.
- Pour obtenir des informations sur les pare-feu sur Google Cloud, consultez la documentation relative au pare-feu VPC.
- Documentation relative aux pare-feu VPC AWS.
- Documentation relative aux pare-feu VPC Azure.
Règles configurées à la destination
Dans votre réseau VPC Google Cloud, créez des règles de pare-feu qui autoriseront le trafic entre les composants de votre environnement de migration.
Dans le VPC Google Cloud, vous définissez des règles de pare-feu dans lesquelles un composant est la cible et l'autre est la source (pour une règle d'entrée) ou la destination (pour une règle de sortie).
Créez une règle de pare-feu pour chacune des lignes du tableau suivant. Vous pouvez créer chaque règle en tant que règle d'entrée ou de sortie. Imaginons, par exemple, que la règle autorise le trafic depuis les composants de l'extension cloud (spécifiés par leurs tags réseau) vers le gestionnaire Migrate for Compute Engine (spécifié par ses tags réseau), vous pouvez créer la règle de l'une des manières suivantes :
- Une règle de sortie dans laquelle les tags réseau extension cloud sont la cible et les tags réseau du gestionnaire Migrate for Compute Engine sont la destination.
- Une règle d'entrée dans laquelle les tags réseau du gestionnaire Migrate for Compute Engine sont la cible et les tags réseau extension cloud sont la source.
Dans le tableau suivant, les emplacements des composants sont indiqués comme suit :
| Composant dans Google Cloud | Composant externe à Google Cloud |
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocole | Port |
|---|---|---|---|---|---|
| Tags réseau du gestionnaire Migrate for Compute Engine | Point de terminaison de l'API Google Cloud | Internet ou accès privé à Google | Non | HTTPS | TCP/443 |
| Tags réseau du gestionnaire Migrate for Compute Engine | Point de terminaison de l'API AWS
(Migrations à partir d'AWS) |
Internet | Non | HTTPS | TCP/443 |
| Tags réseau du gestionnaire Migrate for Compute Engine | Point de terminaison de l'API Azure
(Migrations à partir d'Azure) |
Internet | Non | HTTPS | TCP/443 |
| Sous-réseaux LAN d'entreprise (pour l'accès à l'UI Web) | Tags réseau du gestionnaire Migrate for Compute Engine | VPN sur site | Non | HTTPS | TCP/443 |
| Tags réseau du gestionnaire Migrate for Compute Engine | Tags réseau de charge de travail Par exemple, vérification de disponibilité de la console |
VPC | Oui | RDP
SSH |
TCP/3389
TCP/22 |
| Tags réseau extension cloud Migrate for Compute Engine | Tags réseau du gestionnaire Migrate for Compute Engine | VPC | Non | HTTPS | TCP/443 |
| Importateurs Migrate for Compute Engine (sous-réseau AWS) | Tags réseau du gestionnaire Migrate for Compute Engine | AWS vers VPN | Non | HTTPS | TCP/443 |
| Importateurs Migrate for Compute Engine (sous-réseau Azure) | Tags réseau du gestionnaire Migrate for Compute Engine | Azure vers VPN | Non | HTTPS | TCP/443 |
| Tags réseau extension cloud Migrate for Compute Engine | API Google Cloud Storage | Internet ou accès privé à Google | Non | HTTPS | TCP/443 |
| Tags réseau de charge de travail | Tags réseau extension cloud Migrate for Compute Engine | VPC | Non | iSCSI | TCP/3260 |
| Backend de Migrate for Compute Engine | Tags réseau extension cloud Migrate for Compute Engine | VPN sur site | Non | TLS | TCP/9111 |
| Importateurs Migrate for Compute Engine (sous-réseau AWS) | Tags réseau extension cloud Migrate for Compute Engine | VPN vers AWS | Non | TLS | TCP/9111 |
| Importateurs Migrate for Compute Engine (sous-réseau Azure) | Tags réseau extension cloud Migrate for Compute Engine | VPN vers Azure | Non | TLS | TCP/9111 |
| Tags réseau extension cloud Migrate for Compute Engine | Tags réseau extension cloud Migrate for Compute Engine | VPC | Non | TOUS | TOUS |
Règles configurées sur les plates-formes source
Sur la plate-forme à partir de laquelle vos VM seront migrées, configurez des règles de pare-feu pour autoriser le trafic décrit dans les tableaux suivants.
VMware
Si vous migrez des VM depuis VMware, configurez des règles de pare-feu sur VMware pour autoriser l'accès entre les composants source et de destination répertoriés dans le tableau suivant.
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocole | Port |
|---|---|---|---|---|---|
| Backend de Migrate for Compute Engine | Serveur vCenter | LAN d'entreprise | Non | HTTPS | TCP/443 |
| Backend de Migrate for Compute Engine | vSphere ESXi | LAN d'entreprise | Non | VMW NBD | TCP/902 |
| Backend de Migrate for Compute Engine | Stackdriver utilisant Internet | Internet | Oui | HTTPS | TCP/443 |
| Backend de Migrate for Compute Engine | Serveur DNS d'entreprise | LAN d'entreprise | Non | DNS | TCP/UDP/53 |
| Backend de Migrate for Compute Engine | Gestionnaire Migrate for Compute Engine | VPN vers Google Cloud | Non | HTTPS | TCP/443 |
| Backend de Migrate for Compute Engine | Nœuds d'extension cloud Migrate for Compute Engine (sous-réseau Google Cloud) | VPN vers Google Cloud | Non | TLS | TCP/9111 |
| Serveur vCenter | Backend de Migrate for Compute Engine | LAN d'entreprise | Non | HTTPS | TCP/443 |
AWS
Si vous migrez des VM depuis AWS, configurez des règles de pare-feu sur le VPC AWS pour autoriser l'accès entre les composants source et de destination répertoriés dans le tableau suivant.
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocole | Port |
|---|---|---|---|---|---|
| Groupes de sécurité importateurs Migrate for Compute Engine | Gestionnaire Migrate for Compute Engine | Google Cloud vers VPN | Non | HTTPS | TCP/443 |
| Groupes de sécurité importateurs Migrate for Compute Engine | Nœuds d'extension cloud Migrate for Compute Engine (sous-réseau Google Cloud) | VPN vers Google Cloud | Non | TLS | TCP/9111 |
Azure
Si vous migrez des VM depuis Azure, configurez des règles de pare-feu sur Azure VNet pour autoriser l'accès entre les composants source et de destination répertoriés dans le tableau suivant.
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocole | Port |
|---|---|---|---|---|---|
| Groupes de sécurité importateurs Migrate for Compute Engine | Gestionnaire Migrate for Compute Engine | Google Cloud vers VPN | Non | HTTPS | TCP/443 |
| Groupes de sécurité importateurs Migrate for Compute Engine | Nœuds d'extension cloud Migrate for Compute Engine (sous-réseau Google Cloud) | VPN vers Google Cloud | Non | TLS | TCP/9111 |
Dépannage
Les règles suivantes ne sont pas requises pour les migrations, mais vous permettent de vous connecter directement aux serveurs et de recevoir des journaux tout en résolvant les problèmes.
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocole | Port |
|---|---|---|---|---|---|
| Votre ordinateur local | Gestionnaire Migrate for Compute Engine | VPN vers Google Cloud | Oui | SSH | TCP/22 |
| Gestionnaire Migrate for Compute Engine | Backend Migrate for Compute Engine sur site
Tags réseau extension cloud Migrate for Compute Engine Importateurs Migrate for Compute Engine (sous-réseau AWS) |
VPN sur site
VPC VPN vers AWS |
Oui | SSH | TCP/22 |
| Tags réseau de charge de travail | Tags réseau extension cloud Migrate for Compute Engine | VPC | Oui | SYSLOG (pour la phase de démarrage des VM Google Cloud) | UDP/514 |
Exemple de configuration sur site vers Google Cloud
Les sections précédentes décrivent les règles qui pourraient s'appliquer à votre migration. Cette section décrit un exemple de configuration de mise en réseau pour votre VPC via la console Google Cloud. Pour plus d'informations, consultez la section Créer des règles de pare-feu.
Dans l'exemple suivant, le sous-réseau 192.168.1.0/24 représente le réseau sur site et 10.1.0.0/16 représente le VPC sur Google Cloud.
| Nom | Type | Cible | Source | Ports | Objectif |
|---|---|---|---|---|---|
| velos-ce-backend | Entrée | fw-migration-cloud-extension | 192.168.1.0/24 | tcp:9111 | Données de migration chiffrées envoyées depuis le backend Migrate for Compute Engine vers les extensions cloud. |
| velos-ce-control | Entrée | fw-migration-cloud-extension | fw-migration-manager | tcp:443, tcp:9111 |
Plan de contrôle entre les extensions cloud et le gestionnaire Migrate for Compute Engine. |
| velos-ce-cross | Entrée | fw-migration-cloud-extension | fw-migration-cloud-extension | tous | Synchronisation entre les nœuds des extensions cloud. |
| velos-console-probe | Entrée | fw-workload | fw-migration-manager | tcp:22, tcp:3389 | Permet à au gestionnaire Migrate for Compute Engine de vérifier si la console SSH ou RDP de la VM migrée est disponible. |
| velos-webui | Entrée | fw-migration-manager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | Accès HTTPS au gestionnaire Migrate for Compute Engine pour l'UI Web. |
| velos-workload | Entrée | fw-migration-cloud-extension | fw-workload | tcp:3260, udp:514 |
iSCSI pour la migration de données et syslog |
Routage et transfert du réseau
Une fois que les règles de pare-feu autorisant la communication sont en place, des routes statiques supplémentaires peuvent être nécessaires pour acheminer le trafic entre les réseaux.
Pour en savoir plus sur le routage et le transfert dans le LAN sur site de l'entreprise, consultez la documentation de votre fournisseur sur le routage, les pare-feu et le VPN.
Pour en savoir plus sur le routage et le transfert dans Google Cloud, consultez la documentation suivante :
- Présentation du cloud privé virtuel
- Présentation de Cloud Router
- Présentation de Cloud VPN
- Présentation de Cloud Interconnect
Pour le routage et le transfert d'AWS vers Google Cloud, consultez les documents suivants :
Pour le routage et le transfert d'Azure vers Google Cloud, consultez les documents suivants :