Topik ini menjelaskan akses jaringan yang harus Anda konfigurasi agar memiliki lingkungan migrasi yang berfungsi.
Saat Anda menyiapkan migrasi, lingkungan migrasi yang Anda buat terdiri dari beberapa komponen dalam beberapa jaringan. Agar migrasi berfungsi, jaringan ini harus mengizinkan akses traffic tertentu di antara komponen migrasi.
Langkah-langkah penyiapan akses jaringan
Pada level tinggi, Anda akan melakukan hal berikut untuk menyiapkan akses jaringan di lingkungan migrasi:
Menyiapkan Virtual Private Cloud (VPC) di Google Cloud.
VPC menentukan jaringan virtual untuk komponen Anda di Google Cloud. Selain itu, di bagian ini Anda juga dapat membuat aturan firewall yang mengizinkan akses antara instance VM, serta antara jaringan dan komponen eksternal.
Tentukan tag jaringan yang akan Anda tetapkan ke setiap komponen di jaringan VPC.
Tag jaringan adalah atribut teks yang dapat Anda tambahkan ke instance VM Google Cloud. Tabel berikut mencantumkan komponen untuk membuat tag, serta contoh teks tag jaringan.
Untuk pembatasan dan izin yang diperlukan saat menetapkan tag jaringan, lihat bagian Mengonfigurasi tag jaringan.
Komponen Tag jaringan yang disarankan Pengelola Migrate for Compute Engine fw-migration-managerEkstensi Cloud Migrate for Compute Engine fw-migration-cloud-extensionWorkload fw-workloadGunakan tag jaringan yang Anda tentukan untuk membuat aturan firewall di VPC Google Cloud guna mengizinkan traffic antarkomponen dalam lingkungan migrasi Anda.
Hal ini termasuk antar-komponen di Google Cloud, serta antara komponen tersebut dan komponen di platform sumber tempat Anda akan memigrasikan VM.
Topik ini mencantumkan aturan firewall yang harus Anda buat.
Terapkan tag sebagai metadata saat Anda men-deploy instance VM yang menjalankan komponen di lingkungan migrasi.
Setelah membuat aturan firewall menggunakan tag dan menerapkan tag ke instance VM komponen yang sesuai, Anda akan menentukan aturan firewall mana yang berlaku untuk instance VM tertentu.
Terapkan tag yang Anda tetapkan ke hal berikut:
- Migrate for Compute Engine Manager -- Tentukan tag jaringan (seperti
fw-migration-manager) saat men-deploy Migrate for Compute Engine Manager. - Migrate for Compute Engine Cloud Extensions -- Tentukan tag jaringan (seperti
fw-migration-cloud-extension) saat Anda membuat Migrate for Compute Engine Cloud Extensions. - Workload VM -- Tentukan tag jaringan (seperti
fw-workload) di kolomGcpNetworkTagspada file CSV runbook yang mencantumkan VM yang Anda migrasikan dengan wave.
Perhatikan bahwa jika perlu menyetel atau mengubah tag jaringan setelah menerapkan komponen yang tercantum di atas, Anda dapat melakukannya dengan mengikuti petunjuk.
- Migrate for Compute Engine Manager -- Tentukan tag jaringan (seperti
Di platform sumber tempat Anda memigrasikan VM, buat aturan yang mengizinkan traffic antara platform tersebut dan Google Cloud.
Sesuai kebutuhan, tentukan rute statis tambahan untuk membawa traffic antarjaringan.
Aturan firewall
Aturan firewall mengizinkan akses untuk traffic antar-komponen lingkungan migrasi Anda. Tabel dalam topik ini mencantumkan aturan firewall yang akan Anda perlukan:
- Di VPC tujuan di Google Cloud
- Di platform sumber tempat Anda memigrasikan VM.
Sebelum mengonfigurasi aturan firewall, lihat langkah-langkah akses jaringan lainnya yang dijelaskan di atas.
Untuk informasi tambahan, lihat dokumentasi firewall berikut:
- Untuk firewall di dalam LAN perusahaan lokal, lihat dokumentasi vendor Anda.
- Untuk firewall di Google Cloud, lihat Dokumentasi firewall VPC.
- Dokumentasi Firewall VPC AWS
- Dokumentasi Firewall VPC Azure
Aturan dikonfigurasi di tujuan
Di jaringan VPC Google Cloud, buat aturan firewall yang akan mengizinkan traffic antarkomponen dalam lingkungan migrasi Anda.
Di Google Cloud VPC, Anda menentukan aturan firewall dengan komponen yang satu sebagai target, dan komponen lainnya sebagai source (untuk aturan masuk) atau destination (untuk aturan keluar).
Buat aturan firewall untuk setiap baris dalam tabel berikut. Anda dapat membuat setiap aturan sebagai aturan masuk atau keluar. Misalnya, bayangkan aturan mengizinkan traffic dari komponen Ekstensi Cloud (ditentukan oleh tag jaringannya) ke Migrate for Compute Engine Manager (ditentukan oleh tag jaringannya), Anda dapat membuat aturan sebagai salah satu dari berikut ini:
- Aturan traffic keluar dengan tag jaringan Ekstensi Cloud sebagai target dan tag jaringan Migrate for Compute Engine Manager adalah tujuannya.
- Aturan masuk dengan target jaringan Migrate for Compute Engine Manager dan tag jaringan Ekstensi Cloud sebagai sumbernya.
Dalam tabel berikut, lokasi komponen ditunjukkan sebagai berikut:
| Komponen di Google Cloud | Komponen eksternal ke Google Cloud |
| Asal | Tujuan | Cakupan firewall | Opsional? | Protocol | Port |
|---|---|---|---|---|---|
| Migrasi untuk tag jaringan Pengelola Compute Engine | Endpoint Google Cloud API | Internet atau Akses Google Pribadi | Tidak | HTTPS | TCP/443 |
| Migrasi untuk tag jaringan Pengelola Compute Engine | Endpoint AWS API
(Migrasi dari AWS) |
Internet | Tidak | HTTPS | TCP/443 |
| Migrasi untuk tag jaringan Pengelola Compute Engine | Endpoint API Azure
(Migrasi dari Azure) |
Internet | Tidak | HTTPS | TCP/443 |
| Subnet LAN Perusahaan (untuk akses UI web) | Migrasi untuk tag jaringan Pengelola Compute Engine | Lokasi VPN | Tidak | HTTPS | TCP/443 |
| Migrasi untuk tag jaringan Pengelola Compute Engine | Tag jaringan workload
Untuk pemeriksaan ketersediaan konsol instance |
VPC | Ya | RDP
SSH |
TCP/3389
TCP/22 |
| Migrasi untuk tag jaringan Ekstensi Cloud Compute Engine | Migrasi untuk tag jaringan Pengelola Compute Engine | VPC | Tidak | HTTPS | TCP/443 |
| Migrate for Compute Engine Importers (Subnet AWS) | Migrasi untuk tag jaringan Pengelola Compute Engine | AWS ke VPN | Tidak | HTTPS | TCP/443 |
| Migrasi untuk Pengimpor Compute Engine (Subnet Azure) | Migrasi untuk tag jaringan Pengelola Compute Engine | Azure ke VPN | Tidak | HTTPS | TCP/443 |
| Migrasi untuk tag jaringan Ekstensi Cloud Compute Engine | API Google Cloud Storage | Internet atau Akses Pribadi Google | Tidak | HTTPS | TCP/443 |
| Tag jaringan workload | Migrasi untuk tag jaringan Ekstensi Cloud Compute Engine | VPC | Tidak | iSCSI | TCP/3260 |
| Backend Migrasi untuk Compute Engine | Migrasi untuk tag jaringan Ekstensi Cloud Compute Engine | VPN Lokal | Tidak | TLS | TCP/443 |
| Migrate for Compute Engine Importers (Subnet AWS) | Migrasi untuk tag jaringan Ekstensi Cloud Compute Engine | VPN ke AWS | Tidak | TLS | TCP/443 |
| Migrasi untuk Pengimpor Compute Engine (Subnet Azure) | Migrasi untuk tag jaringan Ekstensi Cloud Compute Engine | VPN ke Azure | Tidak | TLS | TCP/443 |
| Migrasi untuk tag jaringan Ekstensi Cloud Compute Engine | Migrasi untuk tag jaringan Ekstensi Cloud Compute Engine | VPC | Tidak | APA PUN | APA PUN |
Aturan yang dikonfigurasi di platform sumber
Di platform tempat VM Anda akan dimigrasikan, konfigurasikan aturan firewall untuk mengizinkan traffic yang dijelaskan dalam tabel berikut.
VMware
Jika Anda memigrasikan VM dari VMware, konfigurasikan aturan firewall di VMware untuk mengizinkan akses antara komponen sumber dan tujuan yang tercantum dalam tabel berikut.
| Asal | Tujuan | Cakupan firewall | Opsional? | Protocol | Port |
|---|---|---|---|---|---|
| Backend Migrasi untuk Compute Engine | Server vCenter | LAN Perusahaan | Tidak | HTTPS | TCP/443 |
| Backend Migrasi untuk Compute Engine | vSphere ESXi | LAN Perusahaan | Tidak | NBD VMW | TCP/902 |
| Backend Migrasi untuk Compute Engine | Stackdriver menggunakan Internet | Internet | Ya | HTTPS | TCP/443 |
| Backend Migrasi untuk Compute Engine | Server DNS Perusahaan | LAN Perusahaan | Tidak | DNS | TCP/UDP/53 |
| Backend Migrasi untuk Compute Engine | Pengelola Migrate for Compute Engine | VPN ke Google Cloud | Tidak | HTTPS | TCP/443 |
| Backend Migrasi untuk Compute Engine | Melakukan migrasi untuk node Ekstensi Cloud Compute Engine (Subnet Google Cloud) | VPN ke Google Cloud | Tidak | TLS | TCP/443 |
| Server vCenter | Backend Migrasi untuk Compute Engine | LAN Perusahaan | Tidak | HTTPS | TCP/443 |
AWS
Jika Anda memigrasikan VM dari AWS, konfigurasikan aturan firewall di VPC AWS untuk mengizinkan akses antara komponen sumber dan tujuan yang tercantum dalam tabel berikut.
| Asal | Tujuan | Cakupan firewall | Opsional? | Protocol | Port |
|---|---|---|---|---|---|
| Grup Keamanan Pengimpor untuk Migrate for Compute Engine | Pengelola Migrate for Compute Engine | Google Cloud ke VPN | Tidak | HTTPS | TCP/443 |
| Grup Keamanan Pengimpor untuk Migrate for Compute Engine | Migrasi untuk Node Ekstensi Cloud Compute Engine (Subnet Google Cloud) | VPN ke Google Cloud | Tidak | TLS | TCP/443 |
Azure
Jika Anda memigrasikan VM dari Azure, konfigurasikan aturan firewall di Azure VNet untuk mengizinkan akses antara komponen sumber dan tujuan yang tercantum dalam tabel berikut.
| Asal | Tujuan | Cakupan firewall | Opsional? | Protocol | Port |
|---|---|---|---|---|---|
| Grup Keamanan Pengimpor untuk Migrate for Compute Engine | Pengelola Migrate for Compute Engine | Google Cloud ke VPN | Tidak | HTTPS | TCP/443 |
| Grup Keamanan Pengimpor untuk Migrate for Compute Engine | Migrasi untuk Node Ekstensi Cloud Compute Engine (Subnet Google Cloud) | VPN ke Google Cloud | Tidak | TLS | TCP/443 |
Pemecahan masalah
Aturan berikut tidak diperlukan untuk migrasi, tetapi memungkinkan Anda untuk terhubung langsung ke server dan menerima log saat memecahkan masalah.
| Asal | Tujuan | Cakupan firewall | Opsional? | Protocol | Port |
|---|---|---|---|---|---|
| Komputer lokal Anda | Pengelola Migrate for Compute Engine | VPN ke Google Cloud | Ya | SSH | TCP/22 |
| Pengelola Migrate for Compute Engine | Migrasi untuk backend lokal Compute Engine
Tag Jaringan Ekstensi Cloud Migrate for Compute Engine Migrate for Compute Engine Importers (Subnet AWS) |
VPN Lokal
VPC VPN ke AWS |
Ya | SSH | TCP/22 |
| Tag Jaringan Beban Kerja | Tag Jaringan Ekstensi Cloud Migrate for Compute Engine | VPC | Ya | SYSLOG (untuk fase booting VM Google Cloud) | UDP/514 |
Contoh konfigurasi Lokal untuk Google Cloud
Bagian sebelumnya menjelaskan aturan yang dapat berlaku untuk migrasi Anda. Bagian ini menjelaskan contoh konfigurasi jaringan untuk VPC Anda, yang dikonfigurasi melalui konsol Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Membuat aturan firewall.
Dalam contoh berikut, subnet 192.168.1.0/24 mewakili jaringan lokal dan 10.1.0.0/16 mewakili VPC di Google Cloud.
| Nama | Jenis | Target | Asal | Port | Tujuan |
|---|---|---|---|---|---|
| velos-ce-backend | Masuk | fw-migration-cloud-extension | 192.168.1.0/24 | tcp:443 | Data migrasi terenkripsi yang dikirim dari Migrasi untuk Backend Compute Engine ke Ekstensi Cloud. |
| velos-ce-control | Masuk | fw-migration-cloud-extension | fw-migration-manager | tcp:443 | Bidang kontrol antara Cloud Extensions dan Migrate for Compute Engine Manager. |
| velos-ce-cross | Masuk | fw-migration-cloud-extension | fw-migration-cloud-extension | all | Sinkronisasi antara node Ekstensi Cloud. |
| velos-console-probe | Masuk | fw-workload | fw-migration-manager | tcp:22, tcp:3389 | Mengizinkan Pengelola Migrate for Compute Engine untuk memeriksa apakah konsol SSH atau RDP pada VM yang dimigrasikan tersedia. |
| velos-webui | Masuk | fw-migration-manager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | Akses HTTPS ke Migrate for Compute Engine Manager untuk UI web. |
| velos-workload | Masuk | fw-migration-cloud-extension | fw-workload | tcp:3260, udp:514 |
iSCSI untuk migrasi data dan syslog |
Pemilihan rute dan penerusan jaringan
Setelah aturan firewall yang memungkinkan komunikasi yang diperlukan diterapkan, rute statis tambahan untuk membawa traffic antarjaringan mungkin diperlukan.
Untuk mengetahui pemilihan rute dan penerusan di dalam LAN perusahaan lokal, lihat dokumentasi vendor, firewall, dan VPN Anda.
Untuk mengetahui informasi selengkapnya tentang perutean dan penerusan di Google Cloud, lihat dokumentasi berikut:
- Ringkasan Virtual Private Cloud
- Ringkasan Cloud Router
- Ringkasan Cloud VPN
- Ringkasan Cloud Interconnect
Untuk pemilihan rute dan penerusan dari AWS ke Google Cloud, lihat dokumen berikut:
Untuk memilih rute dan meneruskan dari Azure ke Google Cloud, lihat dokumen berikut: