In diesem Leitfaden wird der Netzwerkzugriff beschrieben, den Sie für eine funktionsfähige Migrationsumgebung konfigurieren müssen.
Während Sie die Migration einrichten, besteht die von Ihnen erstellte Migrationsumgebung aus mehreren Komponenten in mehreren Netzwerken. Damit die Migration funktioniert, müssen in diesen Netzwerken bestimmte Trafficzugriffe zwischen Migrationskomponenten zugelassen werden.
Schritte zum Einrichten des Netzwerkzugriffs
Im Allgemeinen richten Sie den Netzwerkzugriff in einer Migrationsumgebung so ein:
Richten Sie in Google Cloud eine Virtual Private Cloud (VPC) ein.
Die VPC definiert ein virtuelles Netzwerk für Ihre Komponenten in Google Cloud. Außerdem können Sie darin Firewallregeln erstellen, die den Zugriff zwischen VM-Instanzen sowie zwischen dem Netzwerk und externen Komponenten ermöglichen.
Definieren Sie die Netzwerktags, die Sie den einzelnen Komponenten im VPC-Netzwerk zuweisen.
Netzwerktags sind Textattribute, die Sie Google Cloud-VM-Instanzen hinzufügen können. In der folgenden Tabelle sind die Komponenten aufgeführt, für die Tags erstellt werden sollten, sowie Beispiele für den Text von Netzwerktags.
Informationen zu Einschränkungen und erforderlichen Berechtigungen beim Zuweisen von Netzwerktags finden Sie unter Netzwerktags konfigurieren.
Komponente Vorgeschlagenes Netzwerktag Migrate for Compute Engine Manager fw-migration-managerMigrate for Compute Engine-Cloud-Erweiterung fw-migration-cloud-extensionArbeitslast fw-workloadVerwenden Sie die Netzwerktags, die Sie zum Erstellen von Firewallregeln in der Google Cloud-VPC definieren, um Traffic zwischen Komponenten in Ihrer Migrationsumgebung zuzulassen.
Dies gilt sowohl für Traffic zwischen Komponenten in Google Cloud als auch für Traffic zwischen diesen Komponenten und Komponenten auf der Quellplattform, von der aus VMs migriert werden.
In diesem Abschnitt werden die Firewallregeln aufgeführt, die Sie erstellen müssen.
Wenden Sie die Tags als Metadaten an, wenn Sie die VM-Instanzen bereitstellen, die Komponenten in Ihrer Migrationsumgebung ausführen.
Wenn Sie die Firewallregeln mithilfe der Tags erstellt und die Tags auf die entsprechenden Komponenten-VM-Instanzen angewendet haben, ist festgelegt, welche Firewallregeln für welche VM-Instanzen gelten.
Wenden Sie die definierten Tags auf Folgendes an:
- Migrate for Compute Engine Manager: Geben Sie Netzwerktags wie
fw-migration-manageran, wenn Sie Migrate for Compute Engine Manager bereitstellen. - Migrate for Compute Engine-Cloud-Erweiterungen: Geben Sie Netzwerktags wie
fw-migration-cloud-extensionan, wenn Sie Migrate for Compute Engine-Cloud-Erweiterungen erstellen. - VM-Arbeitslasten: Geben Sie Netzwerktags wie
fw-workloadim FeldGcpNetworkTagsder Runbook-CSV-Datei an, die die VMs auflistet, die Sie mithilfe einer Wave migrieren.
Wenn Sie ein Netzwerktag festlegen oder ändern müssen, nachdem Sie die oben aufgeführten Komponenten bereitgestellt haben, folgen Sie dieser Anleitung.
- Migrate for Compute Engine Manager: Geben Sie Netzwerktags wie
Erstellen Sie auf der Quellplattform, von der aus VMs migriert werden, Regeln, die Traffic zwischen dieser Plattform und Google Cloud zulassen.
Bei Bedarf können Sie zusätzliche statische Routen definieren, um Traffic zwischen Netzwerken zu übertragen.
Firewallregeln
Firewallregeln ermöglichen den Zugriff für Traffic zwischen Komponenten Ihrer Migrationsumgebung. Die Tabellen in diesem Abschnitt enthalten die Firewallregeln, die Sie benötigen:
- In der Ziel-VPC in Google Cloud
- Auf der Quellplattform, von der aus VMs migriert werden
Bevor Sie Firewallregeln konfigurieren, sollten Sie die anderen Schritte für den Netzwerkzugriff durchlesen, die oben beschrieben sind.
Weitere Informationen finden Sie in der folgenden Firewall-Dokumentation:
- Informationen zu Firewalls im lokalen LAN Ihres Unternehmens finden Sie in der Dokumentation Ihres Anbieters
- Informationen zu Firewalls in Google Cloud finden Sie in der Dokumentation zur VPC-Firewall
- Dokumentation zu AWS-VPC-Firewall
- Azure-VPC-Firewall-Dokumentation
Regeln, die im Ziel konfiguriert werden
Erstellen Sie in Ihrem Google Cloud-VPC-Netzwerk Firewallregeln, die Traffic zwischen Komponenten in Ihrer Migrationsumgebung zulassen.
In der Google Cloud-VPC definieren Sie Firewallregeln, bei denen eine Komponente das Ziel und die andere die Quelle (für eine Eingangsregel) oder der Bestimmungsort (für eine Ausgangsregel) ist.
Erstellen Sie eine Firewallregel für jede Zeile in der folgenden Tabelle. Sie können jede Regel als Eingangs- oder Ausgangsregel erstellen. Wenn die Regel beispielsweise Traffic von Cloud-Erweiterungskomponenten (angegeben durch ihre Netzwerktags) an Migrate for Compute Engine Manager (angegeben durch seine Netzwerktags) zulässt, können Sie sie als eine der folgenden Regeln konfigurieren:
- Ausgangsregel, bei der die Netzwerktags der Cloud-Erweiterung das Ziel und die Netzwerktags von Migrate for Compute Engine Manager der Bestimmungsort sind.
- Eingangsregel, bei der die Netzwerktags von Migrate for Compute Engine Manager das Ziel und die Netzwerktags der Cloud-Erweiterung die Quelle sind.
In der folgenden Tabelle sind die Positionen der Komponenten so angegeben:
| Komponente in Google Cloud | Komponente außerhalb von Google Cloud |
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Netzwerktags von Migrate for Compute Engine Manager | Google Cloud API-Endpunkt | Internet oder privater Google-Zugriff | Nein | HTTPS | TCP/443 |
| Netzwerktags von Migrate for Compute Engine Manager | AWS API-Endpunkt (Migrationen aus AWS) |
Internet | Nein | HTTPS | TCP/443 |
| Netzwerktags von Migrate for Compute Engine Manager | Azure API-Endpunkt (Migrationen aus Azure) |
Internet | Nein | HTTPS | TCP/443 |
| LAN-Subnetze des Unternehmens (für Web-UI-Zugriff) | Netzwerktags von Migrate for Compute Engine Manager | Lokales VPN | Nein | HTTPS | TCP/443 |
| Netzwerktags von Migrate for Compute Engine Manager | Arbeitslast-Netzwerktags Zur Prüfung der Instanzkonsolenverfügbarkeit |
VPC | Ja | RDP SSH |
TCP/3389 TCP/22 |
| Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung | Netzwerktags von Migrate for Compute Engine Manager | VPC | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Importer (AWS-Subnetz) | Netzwerktags von Migrate for Compute Engine Manager | AWS zu VPN | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Importer (Azure-Subnetz) | Netzwerktags von Migrate for Compute Engine Manager | Azure zu VPN | Nein | HTTPS | TCP/443 |
| Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung | Google Cloud Storage API | Internet oder privater Google-Zugriff | Nein | HTTPS | TCP/443 |
| Arbeitslast-Netzwerktags | Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung | VPC | Nein | iSCSI | TCP/3260 |
| Migrate for Compute Engine-Back-End | Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung | Lokales VPN | Nein | TLS | TCP/443 |
| Migrate for Compute Engine-Importer (AWS-Subnetz) | Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung | VPN zu AWS | Nein | TLS | TCP/443 |
| Migrate for Compute Engine-Importer (Azure-Subnetz) | Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung | VPN zu Azure | Nein | TLS | TCP/443 |
| Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung | Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung | VPC | Nein | ANY | ANY |
Regeln, die auf Quellplattformen konfiguriert werden
Konfigurieren Sie auf der Plattform, von der aus VMs migriert werden, Firewallregeln, um den in den folgenden Tabellen beschriebenen Traffic zuzulassen.
VMware
Wenn Sie VMs aus VMware migrieren, konfigurieren Sie Firewallregeln in VMware so, dass der Zugriff zwischen den in der folgenden Tabelle aufgeführten Quell- und Zielkomponenten möglich ist.
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Migrate for Compute Engine-Back-End | vCenter-Server | Unternehmens-LAN | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Back-End | vSphere ESXi | Unternehmens-LAN | Nein | VMW NBD | TCP/902 |
| Migrate for Compute Engine-Back-End | Stackdriver über das Internet | Internet | Ja | HTTPS | TCP/443 |
| Migrate for Compute Engine-Back-End | DNS-Server des Unternehmens | Unternehmens-LAN | Nein | DNS | TCP/UDP/53 |
| Migrate for Compute Engine-Back-End | Migrate for Compute Engine Manager | VPN zu Google Cloud | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Back-End | Migrate for Compute Engine-Cloud-Erweiterungsknoten (Google Cloud-Subnetz) | VPN zu Google Cloud | Nein | TLS | TCP/443 |
| vCenter-Server | Migrate for Compute Engine-Back-End | Unternehmens-LAN | Nein | HTTPS | TCP/443 |
AWS
Wenn Sie VMs aus AWS migrieren, konfigurieren Sie Firewallregeln in der AWS-VPC so, dass der Zugriff zwischen den in der folgenden Tabelle aufgeführten Quell- und Zielkomponenten möglich ist.
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Migrate for Compute Engine-Importer-Sicherheitsgruppe | Migrate for Compute Engine Manager | Google Cloud zu VPN | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Importer-Sicherheitsgruppe | Migrate for Compute Engine-Cloud-Erweiterungsknoten (Google Cloud-Subnetz) | VPN zu Google Cloud | Nein | TLS | TCP/443 |
Azure
Wenn Sie VMs aus Azure migrieren, konfigurieren Sie Firewallregeln in Azure VNet so, dass der Zugriff zwischen den in der folgenden Tabelle aufgeführten Quell- und Zielkomponenten möglich ist.
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Migrate for Compute Engine-Importer-Sicherheitsgruppe | Migrate for Compute Engine Manager | Google Cloud zu VPN | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Importer-Sicherheitsgruppe | Migrate for Compute Engine-Cloud-Erweiterungsknoten (Google Cloud-Subnetz) | VPN zu Google Cloud | Nein | TLS | TCP/443 |
Fehlerbehebung
Die im Folgenden aufgeführten Regeln sind für Migrationen nicht erforderlich. Sie ermöglichen aber, eine direkte Verbindung zu Servern herzustellen und Logs für die Fehlerbehebung zu empfangen.
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Mein lokaler Rechner | Migrate for Compute Engine Manager | VPN zu Google Cloud | Ja | SSH | TCP/22 |
| Migrate for Compute Engine Manager | Lokales Migrate for Compute Engine-Back-End Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung Migrate for Compute Engine-Importer (AWS-Subnetz) |
VPN On-Prem
VPC VPN zu AWS |
Ja | SSH | TCP/22 |
| Arbeitslast-Netzwerktags | Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung | VPC | Ja | SYSLOG (für die Google Cloud-VM-Bootphase) | UDP/514 |
Beispiel für lokale Google Cloud-Konfiguration
In den obigen Abschnitten werden die Regeln für Migrationen erläutert. In diesem Abschnitt wird eine beispielhafte Netzwerkkonfiguration für Ihre VPC dargestellt, die über die Google Cloud Console konfiguriert wurde. Weitere Informationen finden Sie unter Firewallregeln erstellen.
Im folgenden Beispiel stellt das Subnetz 192.168.1.0/24 das lokale Netzwerk und 10.1.0.0/16 die VPC in Google Cloud dar.
| Name | Typ | Ziel | Quelle | Ports | Zweck |
|---|---|---|---|---|---|
| velos-ce-backend | Ingress | fw-migration-cloud-extension | 192.168.1.0/24 | tcp:443 | Verschlüsselte Migrationsdaten, die vom Migrate for Compute Engine-Back-End an die Cloud-Erweiterungen gesendet werden |
| velos-ce-control | Ingress | fw-migration-cloud-extension | fw-migration-manager | tcp:443 | Steuerungsebene zwischen den Cloud-Erweiterungen und Migrate for Compute Engine Manager |
| velos-ce-cross | Ingress | fw-migration-cloud-extension | fw-migration-cloud-extension | alle | Synchronisierung zwischen Cloud-Erweiterungsknoten |
| velos-console-probe | Ingress | fw-workload | fw-migration-manager | tcp:22, tcp:3389 | Ermöglicht Migrate for Compute Engine Manager zu prüfen, ob die SSH- oder RDP-Konsole auf der migrierten VM verfügbar ist |
| velos-webui | Ingress | fw-migration-manager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | HTTPS-Zugriff auf Migrate for Compute Engine Manager für die Web-UI. |
| velos-workload | Ingress | fw-migration-cloud-extension | fw-workload | tcp:3260, udp:514 |
iSCSI für Datenmigration und Syslog |
Netzwerkrouting und -weiterleitung
Sobald Firewallregeln eingerichtet sind, die die erforderliche Kommunikation ermöglichen, können zusätzliche statische Routen erforderlich sein, um Traffic zwischen Netzwerken zu übertragen.
Informationen zum Routing und zur Weiterleitung im lokalen Unternehmens-LAN finden Sie in der Dokumentation Ihres Routers, Ihrer Firewall und Ihres VPN-Anbieters.
Weitere Informationen zum Routing und zur Weiterleitung in Google Cloud finden Sie in der folgenden Dokumentation:
- Virtual Private Cloud – Übersicht
- Cloud Router – Übersicht
- Cloud VPN – Übersicht
- Cloud Interconnect – Übersicht
Informationen zum Routing und zur Weiterleitung von AWS zu Google Cloud finden Sie in den folgenden Dokumenten:
Informationen zum Routing und zur Weiterleitung von Azure zu Google Cloud finden Sie in den folgenden Dokumenten: