Requisitos de acceso a la red

En este tema, se describe el acceso a la red que deberás configurar para tener un entorno de migración en funcionamiento.

A medida que configuras la migración, el entorno de migración que creas se generan varios componentes en varias redes. Para que la migración funcione, estas redes deben permitir el acceso de tráfico específico entre los componentes de la migración.

Pasos para configurar el acceso a la red

En un nivel alto, harás lo siguiente para configurar el acceso a la red en un entorno de migración:

  1. Configura una nube privada virtual (VPC) en Google Cloud.

    La VPC define una red virtual para los componentes en Google Cloud. También, proporciona un lugar para crear reglas de firewall que permiten el acceso entre las instancias de VM y entre la red y los componentes externos.

  2. Define las etiquetas de red que asignarás a cada componente en la red de VPC.

    Las etiquetas de red son atributos de texto que puedes agregar a las instancias de VM de Google Cloud. En la siguiente tabla, se enumeran los componentes para los que se deben crear etiquetas y ejemplos de texto de etiquetas de red.

    Para las restricciones y los permisos necesarios si asignas etiquetas de red, consulta Configura etiquetas de red.

    Componente Etiqueta de red sugerida
    Administrador de Migrate for Compute Engine fw-migration-manager
    Extensión de Cloud para Migrate for Compute Engine fw-migration-cloud-extension
    Carga de trabajo fw-workload
  3. Usa las etiquetas de red que defines para crear reglas de firewall en la VPC de Google Cloud a fin de permitir el tráfico entre los componentes en el entorno de migración.

    Eso incluye entre los componentes de Google Cloud, y entre estos y los componentes de la plataforma de origen desde la que migrarás las VM.

    En este tema, se enumeran las reglas de firewall que debes crear.

  4. Aplica las etiquetas como metadatos cuando implementas las instancias de VM que ejecutan componentes en el entorno de migración.

    Una vez que creaste las reglas de firewall mediante las etiquetas y aplicaste las etiquetas a las instancias de VM de componentes correspondientes, habrás especificado las reglas de firewall que se aplican a cada instancia de VM.

    Aplica las etiquetas que definiste a lo siguiente:

    Ten en cuenta que, si necesitas configurar o cambiar una etiqueta de red después de implementar los componentes mencionados antes, puedes hacerlo con las instrucciones.

  5. En la plataforma de origen desde la que migras las VM, crea reglas que permitan el tráfico entre esa plataforma y Google Cloud.

  6. Según sea necesario, define rutas estáticas adicionales para transportar tráfico entre redes.

Reglas de firewall

Las reglas de firewall permiten acceso al tráfico entre los componentes del entorno de migración. En las tablas de este tema, se enumeran las reglas de firewall que necesitarás:

Antes de configurar las reglas de firewall, consulta los otros pasos de acceso a la red descritos antes.

Para obtener información adicional, consulta la siguiente documentación del firewall:

Reglas configuradas en el destino

En la red de VPC de Google Cloud, crea reglas de firewall que permitan el tráfico entre los componentes del entorno de migración.

En la VPC de Google Cloud, defines las reglas de firewall en las que un componente es el objetivo y el otro es el origen (para una regla de entrada) o el destino (para una regla de salida).

Crea una regla de firewall para cada una de las filas de la siguiente tabla. Puedes crear cada regla como una de entrada o salida. Por ejemplo, imagina que la regla permite el tráfico desde los componentes de la extensión de Cloud (especificados mediante sus etiquetas de red) a el administrador de Migrate for Compute Engine (especificado mediante sus etiquetas de red), puedes crear la regla como se muestra a continuación:

  • Una regla de salida en la que las etiquetas de red de la extensión de Cloud son el objetivo y las del administrador de Migrate for Compute Engine son el destino.
  • Una regla de entrada en la que las etiquetas de red del administrador de Migrate for Compute Engine son el objetivo y las de la extensión de Cloud son el origen.

En la siguiente tabla, las ubicaciones de los componentes se indican de la siguiente manera:

Componente en Google Cloud Componente externo a Google Cloud
Origen Destino Alcance del firewall ¿Es opcional? Protocolo Puerto
Etiquetas de red del administrador de Migrate for Compute Engine Extremo de la API de Google Cloud Acceso privado a Google o Internet No HTTPS TCP/443
Etiquetas de red del administrador de Migrate for Compute Engine Extremo de la API de AWS

(migraciones desde AWS)

Internet No HTTPS TCP/443
Etiquetas de red del administrador de Migrate for Compute Engine Extremo de la API de Azure

(migraciones desde Azure)

Internet No HTTPS TCP/443
Subredes LAN corporativas (para acceso a la IU web) Etiquetas de red del administrador de Migrate for Compute Engine VPN local No HTTPS TCP/443
Etiquetas de red del administrador de Migrate for Compute Engine Etiquetas de red de cargas de trabajo

Para el sondeo de disponibilidad de la consola de la instancia

VPC RDP

SSH

TCP/3389

TCP/22

Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine Etiquetas de red del administrador de Migrate for Compute Engine VPC No HTTPS TCP/443
Importadores de Migrate for Compute Engine (subred de AWS) Etiquetas de red del administrador de Migrate for Compute Engine De AWS a VPN No HTTPS TCP/443
Importadores de Migrate for Compute Engine (subred de Azure) Etiquetas de red del administrador de Migrate for Compute Engine De Azure a VPN No HTTPS TCP/443
Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine API de Google Cloud Storage Acceso privado a Google o Internet No HTTPS TCP/443
Etiquetas de red de cargas de trabajo Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine VPC No iSCSI TCP/3260
Backend de Migrate for Compute Engine Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine VPN local No TLS TCP/443
Importadores de Migrate for Compute Engine (subred de AWS) Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine De VPN a AWS No TLS TCP/443
Importadores de Migrate for Compute Engine (subred de Azure) Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine De VPN a Azure No TLS TCP/443
Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine VPC No CUALQUIERA CUALQUIERA

Reglas configuradas en plataformas de origen

En la plataforma desde la que se migrarán las VM, configura las reglas de firewall para permitir el tráfico descrito en las siguientes tablas.

VMware

Si migras VM desde VMware, configura las reglas de firewall en VMware para permitir el acceso entre los componentes de origen y destino enumerados en la siguiente tabla.

Origen Destino Alcance del firewall ¿Es opcional? Protocolo Puerto
Backend de Migrate for Compute Engine Servidor de vCenter LAN corporativa No HTTPS TCP/443
Backend de Migrate for Compute Engine vSphere ESXi LAN corporativa No VMW NBD TCP/902
Backend de Migrate for Compute Engine Stackdriver con Internet Internet HTTPS TCP/443
Backend de Migrate for Compute Engine Servidor DNS corporativo LAN corporativa No DNS TCP/UDP/53
Backend de Migrate for Compute Engine Administrador de Migrate for Compute Engine VPN a Google Cloud No HTTPS TCP/443
Backend de Migrate for Compute Engine Nodos de extensiones de Cloud para Migrate for Compute Engine (subred de Google Cloud) VPN a Google Cloud No TLS TCP/443
vCenter Server Backend de Migrate for Compute Engine LAN corporativa No HTTPS TCP/443

AWS

Si migras VM desde AWS, configura las reglas de firewall en la VPC de AWS para permitir el acceso entre los componentes de origen y destino enumerados en la siguiente tabla.

Origen Destino Alcance del firewall ¿Es opcional? Protocolo Puerto
Grupo de seguridad de Migrate for Compute Engine Importer Administrador de Migrate for Compute Engine Google Cloud a VPN No HTTPS TCP/443
Grupo de seguridad de importadores de Migrate for Compute Engine Nodos de extensiones de Cloud para Migrate for Compute Engine (subred de Google Cloud) VPN a Google Cloud No TLS TCP/443

Azure

Si migras VM desde Azure, configura reglas de firewall en Azure VNet para permitir el acceso entre los componentes de origen y destino enumerados en la siguiente tabla.

Origen Destino Alcance del firewall ¿Es opcional? Protocolo Puerto
Grupo de seguridad de Migrate for Compute Engine Importer Administrador de Migrate for Compute Engine Google Cloud a VPN No HTTPS TCP/443
Grupo de seguridad de importadores de Migrate for Compute Engine Nodos de extensiones de Cloud para Migrate for Compute Engine (subred de Google Cloud) VPN a Google Cloud No TLS TCP/443

Soluciona problemas

Las siguientes reglas no son necesarias para las migraciones, pero te permiten conectarte de forma directa a los servidores y recibir registros mientras se solucionan los problemas.

Origen Destino Alcance del firewall ¿Es opcional? Protocolo Puerto
Tu máquina local Administrador de Migrate for Compute Engine VPN a Google Cloud SSH TCP/22
Administrador de Migrate for Compute Engine Backend local de Migrate for Compute Engine

Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine

Importadores de Migrate for Compute Engine (subred de AWS)

VPN local

VPC

De VPN a AWS

SSH TCP/22
Etiquetas de red de cargas de trabajo Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine VPC SYSLOG (para la fase de inicio de la VM de Google Cloud) UDP/514

Ejemplo de configuración de entorno local a Google Cloud

En las secciones anteriores, se explicaron las reglas que podrían aplicarse a tu migración. En esta sección, se explica una configuración de red de muestra para tu VPC, configurada a través de Google Cloud Console. Para obtener más información, consulta la creación de reglas de firewall.

En el siguiente ejemplo, la subred 192.168.1.0/24 representa la red local, mientras que 10.1.0.0/16 representa la VPC en Google Cloud.

Nombre Tipo Destino Origen Puertos Propósito
velos-ce-backend Entrada fw-migration-cloud-extension 192.168.1.0/24 tcp:443 Datos de migración encriptados que se enviaron desde el backend de Migrate for Compute Engine a las extensiones de Cloud.
velos-ce-control Entrada fw-migration-cloud-extension fw-migration-manager tcp:443 Plano de control entre el administrador de Migrate for Compute Engine y las extensiones de Cloud.
velos-ce-cross Entrada fw-migration-cloud-extension fw-migration-cloud-extension todos Sincronización entre los nodos de las extensiones de Cloud
velos-console-probe Entrada fw-workload fw-migration-manager tcp:22, tcp:3389 Permite que Migrate for Compute Engine Manager verifique si la consola SSH o RDP en la VM migrada está disponible.
velos-webui Entrada fw-migration-manager 192.168.1.0/24,
10.1.0.0/16
tcp:443 Acceso HTTPS a Migrate for Compute Engine Manager para la IU web.
velos-workload Entrada fw-migration-cloud-extension fw-workload tcp:3260,
udp:514
iSCSI para migración de datos y syslog

Reenvío y enrutamiento de red

Una vez implementadas las reglas de firewall que permiten la comunicación necesaria, es posible que se necesiten enrutamientos estáticos adicionales para transportar tráfico entre redes.

Para el enrutamiento y el reenvío dentro de la LAN corporativa local, consulta la documentación de tu router, firewall y proveedor de VPN.

Para obtener más información sobre el enrutamiento y el reenvío en Google Cloud, consulta la siguiente documentación:

Para enrutar y reenviar desde AWS a Google Cloud, consulta los siguientes documentos:

Para enrutar y reenviar desde Azure a Google Cloud, consulta los siguientes documentos: