Questo argomento descrive l'accesso alla rete da configurare un ambiente di migrazione funzionante.
Durante la configurazione della migrazione, l'ambiente di migrazione che crei viene di più componenti in più reti. Affinché la migrazione possa funzionare, devono consentire l'accesso a traffico specifico tra una migrazione e l'altra componenti.
Procedura per configurare l'accesso alla rete
A livello generale, esegui le operazioni seguenti per configurare l'accesso alla rete in un dell'ambiente di migrazione:
Configura un Virtual Private Cloud (VPC) su Google Cloud.
Il VPC definisce una rete virtuale per i tuoi componenti in Google Cloud. Inoltre, consente di creare regole firewall. che consentono l'accesso tra istanze VM, nonché tra la rete componenti esterni.
Definisci i tag di rete da assegnare a ogni componente nella rete VPC.
I tag di rete sono attributi di testo che puoi aggiungere a Google Cloud di istanze VM di Compute Engine. Nella tabella seguente sono elencati i componenti per i quali creare tag, ed esempi di testo dei tag di rete.
Per limitazioni e autorizzazioni richieste quando Assegna i tag di rete, consulta Configurazione dei tag di rete.
Componente Tag di rete suggerito Gestore di Migrate for Compute Engine fw-migration-managerEstensione Cloud di Migrate for Compute Engine fw-migration-cloud-extensionCarico di lavoro fw-workloadUtilizzare i tag di rete che definisci per creare regole firewall su Google Cloud VPC per consentire il traffico tra componenti del tuo ambiente di migrazione.
Ciò include tra i componenti su Google Cloud, nonché tra quelli e i componenti sulla piattaforma di origine da cui eseguirai la migrazione delle VM.
In questo argomento sono elencate le regole firewall che devi creare.
Applicare i tag come metadati quando esegui il deployment delle istanze VM che eseguono componenti nella tua migrazione. completamente gestito di Google Cloud.
Dopo aver creato le regole firewall utilizzando i tag e averli applicati delle istanze VM dei componenti corrispondenti, avrai specificato quale firewall e a quali istanze VM si applicano le regole.
Applica i tag definiti come segue:
- Gestore di Migrate for Compute Engine: specifica i tag di rete (ad esempio
fw-migration-manager) quando esegui il deployment del gestore di Migrate for Compute Engine. - Estensioni Cloud di Migrate for Compute Engine: specifica i tag di rete (ad esempio
come
fw-migration-cloud-extension) quando creare le estensioni Cloud di Migrate for Compute Engine. - Carichi di lavoro VM: specifica i tag di rete (ad esempio
fw-workload) nel CampoGcpNetworkTagsdel runbook un file CSV che elenca le VM eseguendo la migrazione con un'onda.
Tieni presente che se devi impostare o modificare un tag di rete dopo aver implementato elencati sopra, puoi seguire le istruzioni.
- Gestore di Migrate for Compute Engine: specifica i tag di rete (ad esempio
Sulla piattaforma di origine da cui esegui la migrazione delle VM, crea regole che consentono il traffico tra la piattaforma e in Google Cloud.
Se necessario, definisci ulteriori route statiche da trasportare del traffico tra le reti.
Regole firewall
Le regole firewall consentono l'accesso al traffico tra i componenti di migrazione. Le tabelle in questo argomento elencano le regole firewall necessarie:
- Nel VPC di destinazione su Google Cloud
- Sulla piattaforma di origine da cui esegui la migrazione delle VM.
Prima di configurare le regole firewall, consulta gli altri passaggi per l'accesso alla rete. descritti sopra.
Per ulteriori informazioni, consulta la seguente documentazione relativa al firewall:
- Per i firewall all'interno della LAN aziendale on-premise, rivolgiti al tuo fornitore documentazione.
- Per i firewall su Google Cloud, consulta la documentazione sui firewall VPC.
- Firewall VPC AWS documentazione
- Firewall VPC di Azure documentazione
Regole configurate nella destinazione
Nella tua rete VPC di Google Cloud, crea regole firewall che consentirà il traffico tra i componenti nell'ambiente di migrazione.
Nel VPC Google Cloud, definisci le regole firewall in cui un componente è target, mentre l'altro è source (per una regola in entrata) oppure destination (per una regola in uscita).
Crea una regola firewall per ciascuna delle righe nella seguente. Puoi creare ogni regola come regola in entrata o in uscita. Ad esempio, immagina che la regola consenta il traffico dai componenti dell'estensione Cloud. (specificati dai relativi tag di rete) al gestore di Migrate for Compute Engine (specificato dal suo tag di rete), puoi creare la regola in uno dei seguenti modi:
- Una regola in uscita in cui i tag di rete delle estensioni Cloud sono la destinazione i tag di rete di Migrate for Compute Engine Manager sono la destinazione.
- Una regola in entrata in cui i tag di rete del gestore di Migrate for Compute Engine sono il target i tag di rete delle estensione Cloud sono l'origine.
Nella tabella seguente, le posizioni dei componenti sono indicate come segue:
| Componente in Google Cloud | Componente esterno a Google Cloud |
| Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
|---|---|---|---|---|---|
| Tag di rete del gestore di Migrate for Compute Engine | Endpoint API Google Cloud | Accesso a internet o privato Google | No | HTTPS | TCP/443 |
| Tag di rete del gestore di Migrate for Compute Engine | Endpoint API AWS
(Migrazioni da AWS) |
Internet | No | HTTPS | TCP/443 |
| Tag di rete del gestore di Migrate for Compute Engine | Endpoint API Azure
(Migrazioni da Azure) |
Internet | No | HTTPS | TCP/443 |
| Subnet LAN aziendali (per accesso all'interfaccia utente web) | Tag di rete del gestore di Migrate for Compute Engine | VPN on-premise | No | HTTPS | TCP/443 |
| Tag di rete del gestore di Migrate for Compute Engine | Tag di rete dei carichi di lavoro
Per il probe di disponibilità della console di istanza |
VPC | Sì | RDP
SSH |
TCP/3389
TCP/22, |
| Tag di rete dell'estensione Cloud di Migrate for Compute Engine | Tag di rete del gestore di Migrate for Compute Engine | VPC | No | HTTPS | TCP/443 |
| Importatori di Migrate for Compute Engine (subnet AWS) | Tag di rete del gestore di Migrate for Compute Engine | Da AWS a VPN | No | HTTPS | TCP/443 |
| Importatori di Migrate for Compute Engine (subnet Azure) | Tag di rete del gestore di Migrate for Compute Engine | Da Azure a VPN | No | HTTPS | TCP/443 |
| Tag di rete dell'estensione Cloud di Migrate for Compute Engine | API Google Cloud Storage | Internet o accesso privato Google | No | HTTPS | TCP/443 |
| Tag di rete dei carichi di lavoro | Tag di rete dell'estensione Cloud di Migrate for Compute Engine | VPC | No | iSCSI | TCP/3260 |
| Backend di Migrate for Compute Engine | Tag di rete dell'estensione Cloud di Migrate for Compute Engine | VPN on-prem | No | TLS | TCP/443 |
| Importatori di Migrate for Compute Engine (subnet AWS) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine | Da VPN ad AWS | No | TLS | TCP/443 |
| Importatori di Migrate for Compute Engine (subnet Azure) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine | Da VPN ad Azure | No | TLS | TCP/443 |
| Tag di rete dell'estensione Cloud di Migrate for Compute Engine | Tag di rete dell'estensione Cloud di Migrate for Compute Engine | VPC | No | QUALSIASI | QUALSIASI |
Regole configurate sulle piattaforme di origine
Configura le regole firewall sulla piattaforma da cui verrà eseguita la migrazione delle VM per consentire il traffico descritto nelle tabelle seguenti.
VMware
Se esegui la migrazione delle VM da VMware, configura le regole firewall su VMware consentire l'accesso tra i componenti di origine e di destinazione elencati in seguente.
| Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
|---|---|---|---|---|---|
| Backend di Migrate for Compute Engine | vCenter Server | LAN aziendale | No | HTTPS | TCP/443 |
| Backend di Migrate for Compute Engine | vSphere ESXi | LAN aziendale | No | VMW NBD | TCP/902 |
| Backend di Migrate for Compute Engine | Stackdriver utilizza internet | Internet | Sì | HTTPS | TCP/443 |
| Backend di Migrate for Compute Engine | Server DNS aziendale | LAN aziendale | No | DNS | TCP/UDP/53 |
| Backend di Migrate for Compute Engine | Gestore di Migrate for Compute Engine | Da VPN a Google Cloud | No | HTTPS | TCP/443 |
| Backend di Migrate for Compute Engine | Nodi dell'estensione Cloud di Migrate for Compute Engine (subnet Google Cloud) | Da VPN a Google Cloud | No | TLS | TCP/443 |
| vCenter Server | Backend di Migrate for Compute Engine | LAN aziendale | No | HTTPS | TCP/443 |
AWS
Se esegui la migrazione delle VM da AWS, configura le regole firewall sul VPC AWS consentire l'accesso tra i componenti di origine e di destinazione elencati in seguente.
| Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
|---|---|---|---|---|---|
| Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Gestore di Migrate for Compute Engine | Da Google Cloud alla VPN | No | HTTPS | TCP/443 |
| Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Nodi estensione Cloud di Migrate for Compute Engine (subnet Google Cloud) | Da VPN a Google Cloud | No | TLS | TCP/443 |
Azure
Se esegui la migrazione delle VM da Azure, configura le regole firewall su Azure VNet per consentire l'accesso tra i componenti di origine e di destinazione elencati in seguente.
| Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
|---|---|---|---|---|---|
| Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Gestore di Migrate for Compute Engine | Da Google Cloud alla VPN | No | HTTPS | TCP/443 |
| Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Nodi estensione Cloud di Migrate for Compute Engine (subnet Google Cloud) | Da VPN a Google Cloud | No | TLS | TCP/443 |
Risoluzione dei problemi
Le seguenti regole non sono necessarie per le migrazioni, ma ti consentono di connettersi direttamente ai server e ricevere log durante la risoluzione dei problemi.
| Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
|---|---|---|---|---|---|
| La tua macchina locale | Gestore di Migrate for Compute Engine | Da VPN a Google Cloud | Sì | SSH | TCP/22, |
| Gestore di Migrate for Compute Engine | Backend on-premise di Migrate for Compute Engine
Tag di rete dell'estensione Cloud di Migrate for Compute Engine Importatori di Migrate for Compute Engine (subnet AWS) |
VPN on-prem
VPC Da VPN ad AWS |
Sì | SSH | TCP/22, |
| Tag di rete dei carichi di lavoro | Tag di rete dell'estensione Cloud di Migrate for Compute Engine | VPC | Sì | SYSLOG (per la fase di avvio di Google Cloud VM) | UDP/514 |
Esempio di configurazione da on-premise a Google Cloud
Le sezioni precedenti spiegano le regole che potrebbero essere applicate alla migrazione. Questa sezione illustra una configurazione di rete di esempio per VPC, configurato tramite Google Cloud console dell'utente. Per ulteriori informazioni, vedi Creazione di regole firewall.
Nell'esempio seguente, la subnet 192.168.1.0/24 rappresenta la subnet on-premise e 10.1.0.0/16 rappresenta il VPC su Google Cloud.
| Nome | Tipo | Target | Origine | Porte | Finalità |
|---|---|---|---|---|---|
| velos-ce-backend | In entrata | fw-migration-cloud-extension | 192.168.1.0/24 | tcp:443. | Dati di migrazione criptati inviati dal backend di Migrate for Compute Engine a Cloud Extensions. |
| velos-ce-control | In entrata | fw-migration-cloud-extension | fw-migration-manager | tcp:443. | Piano di controllo tra Cloud Extensions e il gestore di Migrate for Compute Engine. |
| velos-ce-cross | In entrata | fw-migration-cloud-extension | fw-migration-cloud-extension | tutte | Sincronizzazione tra i nodi delle estensione Cloud. |
| velos-console-probe | In entrata | fw-workload | fw-migration-manager | tcp:22, tcp:3389. | Consente al gestore di Migrate for Compute Engine di verificare se la console SSH o RDP sul è disponibile una VM migrata. |
| velos-webui | In entrata | fw-migration-manager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443. | Accesso HTTPS per la UI del gestore di Migrate for Compute Engine per il web. |
| velos-workload | In entrata | fw-migration-cloud-extension | fw-workload | tcp:3260, udp:514 |
iSCSI per la migrazione dei dati e syslog |
Routing e inoltro di rete
Una volta che le regole firewall che consentono le comunicazioni necessarie sono in atto, Potrebbero essere necessarie route statiche per trasportare il traffico tra le reti.
Per il routing e l'inoltro all'interno della LAN aziendale on-premise, consulta relativa a router, firewall e VPN.
Per saperne di più su routing e forwarding in Google Cloud, consulta quanto segue documentazione:
- Panoramica del virtual private cloud
- Panoramica del router Cloud
- Panoramica di Cloud VPN
- Panoramica di Cloud Interconnect
Per il routing e l'inoltro da AWS a Google Cloud, consulta quanto segue documenti:
Per il routing e il forwarding da Azure a Google Cloud, consulta quanto segue documenti: