Questo argomento descrive l'accesso alla rete da configurare per avere un ambiente di migrazione funzionante.
Durante la configurazione per la migrazione, l'ambiente di migrazione che crei è composto da più componenti in più reti. Affinché la migrazione funzioni, queste reti devono consentire l'accesso specifico al traffico tra i componenti della migrazione.
Procedura per configurare l'accesso alla rete
A livello generale, per configurare l'accesso alla rete in un ambiente di migrazione, devi eseguire le operazioni seguenti:
Configura un Virtual Private Cloud (VPC) su Google Cloud.
Il VPC definisce una rete virtuale per i tuoi componenti su Google Cloud. Consente inoltre di creare regole firewall che consentono l'accesso tra istanze VM, nonché tra la rete e i componenti esterni.
Definisci i tag di rete da assegnare a ciascun componente della rete VPC.
I tag di rete sono attributi di testo che puoi aggiungere alle istanze VM di Google Cloud. La tabella riportata di seguito elenca i componenti per i quali creare tag, oltre a esempi di testo dei tag di rete.
Per informazioni sulle limitazioni e sulle autorizzazioni richieste durante l'assegnazione dei tag di rete, consulta Configurazione dei tag di rete.
Componente Tag di rete suggerito Gestore di Migrate for Compute Engine fw-migration-managerEstensione Cloud di Migrate for Compute Engine fw-migration-cloud-extensionCarico di lavoro fw-workloadUtilizza i tag di rete che definisci per creare regole firewall sul VPC Google Cloud al fine di consentire il traffico tra i componenti nell'ambiente di migrazione.
Ciò include tra i componenti su Google Cloud, nonché tra questi e i componenti sulla piattaforma di origine da cui eseguirai la migrazione delle VM.
In questo argomento sono elencate le regole firewall che devi creare.
Applica i tag come metadati quando esegui il deployment delle istanze VM che eseguono componenti nel tuo ambiente di migrazione.
Dopo aver creato le regole firewall utilizzando i tag e aver applicato i tag alle istanze VM dei componenti corrispondenti, dovrai specificare quali regole firewall si applicano a quali istanze VM.
Applica i tag definiti come segue:
- Gestore Migrate for Compute Engine: specifica i tag di rete (ad esempio
fw-migration-manager) quando esegui il deployment del gestore di Migrate for Compute Engine. - Estensioni Cloud di Migrate for Compute Engine: specifica i tag di rete (ad esempio
fw-migration-cloud-extension) quando crei le estensioni Cloud di Migrate for Compute Engine. - Carichi di lavoro VM: specifica i tag di rete (ad esempio
fw-workload) nel campoGcpNetworkTagsdel file CSV runbook che elenca le VM di cui stai eseguendo la migrazione con un'onda.
Tieni presente che se devi impostare o modificare un tag di rete dopo aver implementato i componenti elencati in precedenza, puoi seguire le istruzioni.
- Gestore Migrate for Compute Engine: specifica i tag di rete (ad esempio
Sulla piattaforma di origine da cui esegui la migrazione delle VM, crea regole che consentano il traffico tra quella piattaforma e Google Cloud.
Se necessario, definisci altre route statiche per trasportare il traffico tra le reti.
Regole firewall
Le regole firewall consentono l'accesso al traffico tra i componenti dell'ambiente di migrazione. Le tabelle in questo argomento elencano le regole firewall necessarie:
- Nel VPC di destinazione su Google Cloud
- Sulla piattaforma di origine da cui esegui la migrazione delle VM.
Prima di configurare le regole firewall, consulta gli altri passaggi per l'accesso alla rete descritti in precedenza.
Per ulteriori informazioni, consulta la seguente documentazione relativa al firewall:
- Per i firewall all'interno della LAN aziendale on-premise, consulta la documentazione del tuo fornitore.
- Per i firewall su Google Cloud, consulta la documentazione sui firewall VPC.
- Documentazione sul firewall VPC AWS
- Documentazione sul firewall VPC di Azure
Regole configurate nella destinazione
Nella rete VPC di Google Cloud, crea regole firewall che consentano il traffico tra i componenti nell'ambiente di migrazione.
Nel VPC Google Cloud, definisci le regole firewall in cui un componente è il target e l'altro è l'origine (per una regola in entrata) o la destinazione (per una regola in uscita).
Crea una regola firewall per ogni riga della tabella seguente. Puoi creare ogni regola come regola in entrata o in uscita. Ad esempio, immagina che la regola consenta il traffico dai componenti dell'estensione Cloud (specificati dai relativi tag di rete) al gestore di Migrate for Compute Engine (specificato dai relativi tag di rete). Puoi creare la regola come segue:
- Una regola in uscita in cui i tag di rete estensione Cloud sono la destinazione e i tag di rete di Migrate for Compute Engine Manager sono la destinazione.
- Una regola in entrata in cui i tag di rete del gestore di Migrate for Compute Engine sono la destinazione e i tag di rete delle estensione Cloud sono l'origine.
Nella tabella seguente, le posizioni dei componenti sono indicate come segue:
| Componente in Google Cloud | Componente esterno a Google Cloud |
| Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
|---|---|---|---|---|---|
| Tag di rete del gestore di Migrate for Compute Engine | Endpoint API Google Cloud | Accesso a internet o privato Google | No | HTTPS | TCP/443 |
| Tag di rete del gestore di Migrate for Compute Engine | Endpoint API AWS
(Migrazioni da AWS) |
Internet | No | HTTPS | TCP/443 |
| Tag di rete del gestore di Migrate for Compute Engine | Endpoint API Azure
(Migrazioni da Azure) |
Internet | No | HTTPS | TCP/443 |
| Subnet LAN aziendali (per accesso all'interfaccia utente web) | Tag di rete del gestore di Migrate for Compute Engine | VPN on-premise | No | HTTPS | TCP/443 |
| Tag di rete del gestore di Migrate for Compute Engine | Tag di rete dei carichi di lavoro
Per il probe di disponibilità della console di istanza |
VPC | Sì | RDP
SSH |
TCP/3389
TCP/22, |
| Tag di rete dell'estensione Cloud di Migrate for Compute Engine | Tag di rete del gestore di Migrate for Compute Engine | VPC | No | HTTPS | TCP/443 |
| Importatori di Migrate for Compute Engine (subnet AWS) | Tag di rete del gestore di Migrate for Compute Engine | Da AWS a VPN | No | HTTPS | TCP/443 |
| Importatori di Migrate for Compute Engine (subnet Azure) | Tag di rete del gestore di Migrate for Compute Engine | Da Azure a VPN | No | HTTPS | TCP/443 |
| Tag di rete dell'estensione Cloud di Migrate for Compute Engine | API Google Cloud Storage | Internet o accesso privato Google | No | HTTPS | TCP/443 |
| Tag di rete dei carichi di lavoro | Tag di rete dell'estensione Cloud di Migrate for Compute Engine | VPC | No | iSCSI | TCP/3260 |
| Backend di Migrate for Compute Engine | Tag di rete dell'estensione Cloud di Migrate for Compute Engine | VPN on-prem | No | TLS | TCP/9111 |
| Importatori di Migrate for Compute Engine (subnet AWS) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine | Da VPN ad AWS | No | TLS | TCP/9111 |
| Importatori di Migrate for Compute Engine (subnet Azure) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine | Da VPN ad Azure | No | TLS | TCP/9111 |
| Tag di rete dell'estensione Cloud di Migrate for Compute Engine | Tag di rete dell'estensione Cloud di Migrate for Compute Engine | VPC | No | QUALSIASI | QUALSIASI |
Regole configurate sulle piattaforme di origine
Sulla piattaforma da cui verrà eseguita la migrazione delle VM, configura le regole firewall per consentire il traffico descritto nelle tabelle seguenti.
VMware
Se esegui la migrazione delle VM da VMware, configura le regole firewall su VMware per consentire l'accesso tra i componenti di origine e di destinazione elencati nella tabella seguente.
| Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
|---|---|---|---|---|---|
| Backend di Migrate for Compute Engine | vCenter Server | LAN aziendale | No | HTTPS | TCP/443 |
| Backend di Migrate for Compute Engine | vSphere ESXi | LAN aziendale | No | VMW NBD | TCP/902 |
| Backend di Migrate for Compute Engine | Stackdriver utilizza internet | Internet | Sì | HTTPS | TCP/443 |
| Backend di Migrate for Compute Engine | Server DNS aziendale | LAN aziendale | No | DNS | TCP/UDP/53 |
| Backend di Migrate for Compute Engine | Gestore di Migrate for Compute Engine | Da VPN a Google Cloud | No | HTTPS | TCP/443 |
| Backend di Migrate for Compute Engine | Nodi dell'estensione Cloud di Migrate for Compute Engine (subnet Google Cloud) | Da VPN a Google Cloud | No | TLS | TCP/9111 |
| vCenter Server | Backend di Migrate for Compute Engine | LAN aziendale | No | HTTPS | TCP/443 |
AWS
Se esegui la migrazione delle VM da AWS, configura le regole firewall sul VPC AWS per consentire l'accesso tra i componenti di origine e di destinazione elencati nella tabella seguente.
| Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
|---|---|---|---|---|---|
| Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Gestore di Migrate for Compute Engine | Da Google Cloud alla VPN | No | HTTPS | TCP/443 |
| Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Nodi estensione Cloud di Migrate for Compute Engine (subnet Google Cloud) | Da VPN a Google Cloud | No | TLS | TCP/9111 |
Azure
Se esegui la migrazione delle VM da Azure, configura le regole firewall su Azure VNet per consentire l'accesso tra i componenti di origine e di destinazione elencati nella tabella seguente.
| Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
|---|---|---|---|---|---|
| Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Gestore di Migrate for Compute Engine | Da Google Cloud alla VPN | No | HTTPS | TCP/443 |
| Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Nodi estensione Cloud di Migrate for Compute Engine (subnet Google Cloud) | Da VPN a Google Cloud | No | TLS | TCP/9111 |
Risoluzione dei problemi
Le seguenti regole non sono necessarie per le migrazioni, ma ti consentono di connetterti direttamente ai server e ricevere i log durante la risoluzione dei problemi.
| Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
|---|---|---|---|---|---|
| La tua macchina locale | Gestore di Migrate for Compute Engine | Da VPN a Google Cloud | Sì | SSH | TCP/22, |
| Gestore di Migrate for Compute Engine | Backend on-premise di Migrate for Compute Engine
Tag di rete dell'estensione Cloud di Migrate for Compute Engine Importatori di Migrate for Compute Engine (subnet AWS) |
VPN on-prem
VPC Da VPN ad AWS |
Sì | SSH | TCP/22, |
| Tag di rete dei carichi di lavoro | Tag di rete dell'estensione Cloud di Migrate for Compute Engine | VPC | Sì | SYSLOG (per la fase di avvio di Google Cloud VM) | UDP/514 |
Esempio di configurazione da on-premise a Google Cloud
Le sezioni precedenti spiegano le regole che potrebbero essere applicate alla migrazione. Questa sezione illustra una configurazione di rete di esempio per il tuo VPC, configurata tramite la console Google Cloud. Per maggiori informazioni, consulta la sezione Creazione di regole firewall.
Nell'esempio seguente, la subnet 192.168.1.0/24 rappresenta la rete on-premise e la subnet 10.1.0.0/16 rappresenta il VPC su Google Cloud.
| Nome | Tipo | Target | Origine | Porte | Finalità |
|---|---|---|---|---|---|
| velos-ce-backend | In entrata | fw-migration-cloud-extension | 192.168.1.0/24 | tcp:9111. | Dati di migrazione criptati inviati dal backend di Migrate for Compute Engine a Cloud Extensions. |
| velos-ce-control | In entrata | fw-migration-cloud-extension | fw-migration-manager | tcp:443, tcp:9111 |
Piano di controllo tra Cloud Extensions e il gestore di Migrate for Compute Engine. |
| velos-ce-cross | In entrata | fw-migration-cloud-extension | fw-migration-cloud-extension | tutte | Sincronizzazione tra i nodi delle estensione Cloud. |
| velos-console-probe | In entrata | fw-workload | fw-migration-manager | tcp:22, tcp:3389. | Consente al gestore di Migrate for Compute Engine di verificare se è disponibile la console SSH o RDP sulla VM migrata. |
| velos-webui | In entrata | fw-migration-manager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443. | Accesso HTTPS per la UI del gestore di Migrate for Compute Engine per il web. |
| velos-workload | In entrata | fw-migration-cloud-extension | fw-workload | tcp:3260, udp:514 |
iSCSI per la migrazione dei dati e syslog |
Routing e inoltro di rete
Una volta applicate le regole firewall che consentono le comunicazioni necessarie, potrebbero essere necessarie ulteriori route statiche per trasportare il traffico tra le reti.
Per il routing e l'inoltro all'interno della LAN aziendale on-premise, consulta la documentazione del fornitore di router, firewall e VPN.
Per ulteriori informazioni sul routing e sul forwarding in Google Cloud, consulta la seguente documentazione:
- Panoramica del virtual private cloud
- Panoramica del router Cloud
- Panoramica di Cloud VPN
- Panoramica di Cloud Interconnect
Per il routing e l'inoltro da AWS a Google Cloud, consulta i seguenti documenti:
Per il routing e l'inoltro da Azure a Google Cloud, consulta i seguenti documenti: