Questo argomento descrive l'accesso alla rete che devi configurare per avere un ambiente di migrazione funzionante.
Durante la configurazione della migrazione, l'ambiente di migrazione che crei è composto da più componenti in più reti. Affinché la migrazione funzioni, queste reti devono consentire l'accesso a traffico specifico tra i componenti di migrazione.
Procedura per la configurazione dell'accesso alla rete
A un livello generale, per configurare l'accesso alla rete in un ambiente di migrazione:
Configura un Virtual Private Cloud (VPC) su Google Cloud.
Il VPC definisce una rete virtuale per i componenti su Google Cloud. Consente inoltre di creare regole firewall che consentono l'accesso tra istanze VM e tra la rete e i componenti esterni.
Definisci i tag di rete che assegnerai a ciascun componente della rete VPC.
I tag di rete sono attributi di testo che puoi aggiungere alle istanze VM di Google Cloud. La seguente tabella elenca i componenti per cui creare i tag, oltre a esempi di testo dei tag di rete.
Per informazioni sulle limitazioni e sulle autorizzazioni richieste durante l'assegnazione dei tag di rete, consulta Configurazione dei tag di rete.
Componente Tag di rete suggerito Gestore di Migrate for Compute Engine fw-migration-managerEstensione Cloud di Migrate for Compute Engine fw-migration-cloud-extensionCarico di lavoro fw-workloadUtilizza i tag di rete definiti per creare regole firewall in Google Cloud VPC in modo da consentire il traffico tra i componenti nell'ambiente di migrazione.
Ciò riguarda anche i componenti su Google Cloud, nonché tra questi e i componenti della piattaforma di origine da cui eseguirai la migrazione delle VM.
In questo argomento vengono elencate le regole firewall che devi creare.
Applica i tag come metadati quando esegui il deployment delle istanze VM che eseguono componenti nell'ambiente di migrazione.
Dopo aver creato le regole firewall utilizzando i tag e averli applicati alle istanze VM dei componenti corrispondenti, dovrai specificare quali regole firewall si applicano a ogni istanza VM.
Applica i tag definiti a quanto segue:
- Gestore di Migrate for Compute Engine: specifica i tag di rete (ad esempio
fw-migration-manager) quando esegui il deployment del gestore di Migrate for Compute Engine. - Estensioni cloud di Migrate for Compute Engine: specifica i tag di rete (ad esempio
fw-migration-cloud-extension) quando crei le estensioni Cloud di Migrate for Compute Engine. - Carichi di lavoro delle VM: specifica i tag di rete (ad esempio
fw-workload) nel campoGcpNetworkTagsdel file CSV runbook in cui sono elencate le VM di cui esegui la migrazione con wave.
Tieni presente che se devi impostare o modificare un tag di rete dopo aver implementato i componenti elencati sopra, puoi farlo seguendo le istruzioni.
- Gestore di Migrate for Compute Engine: specifica i tag di rete (ad esempio
Sulla piattaforma di origine da cui esegui la migrazione delle VM, crea regole che consentono il traffico tra la piattaforma in questione e Google Cloud.
Se necessario, definisci ulteriori route statiche per trasportare il traffico tra le reti.
Regole del firewall
Le regole firewall consentono l'accesso per il traffico tra i componenti dell'ambiente di migrazione. Le tabelle di questo argomento elencano le regole firewall di cui avrai bisogno:
- Nel VPC di destinazione su Google Cloud
- Nella piattaforma di origine da cui esegui la migrazione delle VM.
Prima di configurare le regole firewall, consulta gli altri passaggi di accesso alla rete descritti in precedenza.
Per ulteriori informazioni, consulta la seguente documentazione del firewall:
- Per i firewall all'interno della LAN aziendale on-premise, consulta la documentazione del tuo fornitore.
- Per i firewall su Google Cloud, consulta la documentazione relativa al firewall VPC.
- Documentazione sul firewall VPC AWS
- Documentazione sul firewall VPC di Azure
Regole configurate nella destinazione
Nella tua rete VPC Google Cloud, crea regole firewall che consentiranno il traffico tra i componenti dell'ambiente di migrazione.
Nel VPC di Google Cloud, definisci le regole firewall in cui un componente è il target e l'altro l'origine (per una regola in entrata) o la destinazione (per una regola in uscita).
Crea una regola firewall per ciascuna delle righe nella tabella seguente. Puoi creare ogni regola come regola in entrata o in uscita. Ad esempio, supponiamo che la regola consenta il traffico dai componenti dell'estensione Cloud (specificati dai relativi tag di rete) al gestore di Migrate for Compute Engine (specificato dai relativi tag di rete). Puoi creare la regola in uno dei seguenti modi:
- Una regola in uscita in cui i tag di rete dell'estensione Cloud sono la destinazione e i tag di rete del gestore di Migrate for Compute Engine sono la destinazione.
- Una regola in entrata in cui i tag di rete del gestore di Migrate for Compute Engine sono la destinazione e i tag di rete dell'estensione Cloud sono l'origine.
Nella tabella seguente, le posizioni dei componenti sono indicate come segue:
| Componente in Google Cloud | Componente esterno a Google Cloud |
| Origine | Destinazione | Ambito firewall | Facoltativo? | Protocollo | Porta |
|---|---|---|---|---|---|
| Tag di rete di Migrate for Compute Engine Manager | Endpoint API Google Cloud | Accesso Internet o privato Google | No | HTTPS | TCP/443 |
| Tag di rete di Migrate for Compute Engine Manager | Endpoint API AWS
(Migrazioni da AWS) |
Internet | No | HTTPS | TCP/443 |
| Tag di rete di Migrate for Compute Engine Manager | Endpoint API Azure
(Migrazioni da Azure) |
Internet | No | HTTPS | TCP/443 |
| Subnet LAN aziendali (per l'accesso all'interfaccia utente web) | Tag di rete di Migrate for Compute Engine Manager | VPN on-premise | No | HTTPS | TCP/443 |
| Tag di rete di Migrate for Compute Engine Manager | Tag di rete del carico di lavoro
Per il probe di disponibilità della console di istanza |
VPC | Sì | RDP
SSH |
TCP/3389
TCP/22 |
| Tag di rete dell'estensione Cloud Migrate for Compute Engine | Tag di rete di Migrate for Compute Engine Manager | VPC | No | HTTPS | TCP/443 |
| Importer Migrate for Compute Engine (subnet AWS) | Tag di rete di Migrate for Compute Engine Manager | Da AWS a VPN | No | HTTPS | TCP/443 |
| Importer Migrate for Compute Engine (subnet Azure) | Tag di rete di Migrate for Compute Engine Manager | Da Azure a VPN | No | HTTPS | TCP/443 |
| Tag di rete dell'estensione Cloud Migrate for Compute Engine | API Google Cloud Storage | Accesso privato a Internet o Google | No | HTTPS | TCP/443 |
| Tag di rete del carico di lavoro | Tag di rete dell'estensione Cloud Migrate for Compute Engine | VPC | No | iSCSI | TCP/3260 |
| Backend di Migrate for Compute Engine | Tag di rete dell'estensione Cloud Migrate for Compute Engine | VPN on-prem | No | TLS | TCP/443 |
| Importer Migrate for Compute Engine (subnet AWS) | Tag di rete dell'estensione Cloud Migrate for Compute Engine | Da VPN ad AWS | No | TLS | TCP/443 |
| Importer Migrate for Compute Engine (subnet Azure) | Tag di rete dell'estensione Cloud Migrate for Compute Engine | Da VPN ad Azure | No | TLS | TCP/443 |
| Tag di rete dell'estensione Cloud Migrate for Compute Engine | Tag di rete dell'estensione Cloud Migrate for Compute Engine | VPC | No | QUALSIASI | QUALSIASI |
Regole configurate sulle piattaforme di origine
Sulla piattaforma da cui verrà eseguita la migrazione delle VM, configura le regole firewall per consentire il traffico descritto nelle tabelle seguenti.
VMware
Se stai eseguendo la migrazione di VM da VMware, configura le regole firewall su VMware per consentire l'accesso tra i componenti di origine e di destinazione elencati nella tabella seguente.
| Origine | Destinazione | Ambito firewall | Facoltativo? | Protocollo | Porta |
|---|---|---|---|---|---|
| Backend di Migrate for Compute Engine | vCenter Server | LAN aziendale | No | HTTPS | TCP/443 |
| Backend di Migrate for Compute Engine | vSphere ESXi | LAN aziendale | No | VMW - NBD | TCP/902 |
| Backend di Migrate for Compute Engine | Stackdriver tramite internet | Internet | Sì | HTTPS | TCP/443 |
| Backend di Migrate for Compute Engine | Server DNS aziendale | LAN aziendale | No | DNS | TCP/UDP/53 |
| Backend di Migrate for Compute Engine | Gestore di Migrate for Compute Engine | Da VPN a Google Cloud | No | HTTPS | TCP/443 |
| Backend di Migrate for Compute Engine | Nodi estensione Cloud Migrate for Compute Engine (Subnet Google Cloud) | Da VPN a Google Cloud | No | TLS | TCP/443 |
| vCenter Server | Backend di Migrate for Compute Engine | LAN aziendale | No | HTTPS | TCP/443 |
AWS
Se stai eseguendo la migrazione di VM da AWS, configura le regole firewall sul VPC AWS per consentire l'accesso tra i componenti di origine e di destinazione elencati nella tabella seguente.
| Origine | Destinazione | Ambito firewall | Facoltativo? | Protocollo | Porta |
|---|---|---|---|---|---|
| Gruppo di sicurezza degli importatori di Migrate for Compute Engine | Gestore di Migrate for Compute Engine | Da Google Cloud a VPN | No | HTTPS | TCP/443 |
| Gruppo di sicurezza degli importatori di Migrate for Compute Engine | Nodi estensione Cloud Migrate for Compute Engine (Subnet Google Cloud) | Da VPN a Google Cloud | No | TLS | TCP/443 |
Azure
Se stai eseguendo la migrazione di VM da Azure, configura le regole firewall su Azure VNet per consentire l'accesso tra i componenti di origine e di destinazione elencati nella tabella seguente.
| Origine | Destinazione | Ambito firewall | Facoltativo? | Protocollo | Porta |
|---|---|---|---|---|---|
| Gruppo di sicurezza degli importatori di Migrate for Compute Engine | Gestore di Migrate for Compute Engine | Da Google Cloud a VPN | No | HTTPS | TCP/443 |
| Gruppo di sicurezza degli importatori di Migrate for Compute Engine | Nodi estensione Cloud Migrate for Compute Engine (Subnet Google Cloud) | Da VPN a Google Cloud | No | TLS | TCP/443 |
Risoluzione dei problemi
Le seguenti regole non sono necessarie per le migrazioni, ma ti consentono di connetterti direttamente ai server e ricevere i log durante la risoluzione dei problemi.
| Origine | Destinazione | Ambito firewall | Facoltativo? | Protocollo | Porta |
|---|---|---|---|---|---|
| La tua macchina locale | Gestore di Migrate for Compute Engine | Da VPN a Google Cloud | Sì | SSH | TCP/22 |
| Gestore di Migrate for Compute Engine | Backend on-premise di Migrate for Compute Engine
Tag di rete estensione Cloud Migrate for Compute Engine Importer Migrate for Compute Engine (subnet AWS) |
VPN on-prem
VPC Da VPN ad AWS |
Sì | SSH | TCP/22 |
| Tag di rete del carico di lavoro | Tag di rete estensione Cloud Migrate for Compute Engine | VPC | Sì | SYSLOG (per la fase di avvio delle VM Google Cloud) | UDP/514 |
Esempio di configurazione da on-premise a Google Cloud
Le sezioni precedenti spiegano le regole applicabili alla migrazione. Questa sezione illustra una configurazione di rete di esempio per il tuo VPC, configurato tramite la console Google Cloud. Per maggiori informazioni, consulta la pagina relativa alla creazione delle regole firewall.
Nell'esempio seguente, la subnet 192.168.1.0/24 rappresenta la rete on-premise e 10.1.0.0/16 rappresenta il VPC su Google Cloud.
| Nome | Tipo | Destinazione | Origine | Porte | Finalità |
|---|---|---|---|---|---|
| velos-ce-backend | In entrata | fw-migration-cloud-extension | 192.168.1.0/24 | tcp:443 | Dati di migrazione criptati inviati dal backend di Migrate for Compute Engine alle estensioni Cloud. |
| velos-ce-control | In entrata | fw-migration-cloud-extension | fw-migration-manager | tcp:443 | Piano di controllo tra Cloud Extensions e il gestore di Migrate for Compute Engine. |
| velos-ce-cross | In entrata | fw-migration-cloud-extension | fw-migration-cloud-extension | tutte | Sincronizzazione tra nodi dell'estensione Cloud. |
| velos-console-probe | In entrata | fw-workload | fw-migration-manager | tcp:22, tcp:3389 | Consente al gestore di Migrate for Compute Engine di verificare se è disponibile la console SSH o RDP sulla VM migrata. |
| velos-webui | In entrata | fw-migration-manager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | Accesso HTTPS alla UI del gestore di Migrate for Compute Engine per il web. |
| velos-workload | In entrata | fw-migration-cloud-extension | fw-workload | tcp:3260, udp:514 |
iSCSI per la migrazione dei dati e syslog |
Routing e inoltro di rete
Dopo aver impostato regole firewall che consentono le comunicazioni necessarie, potrebbero essere necessarie ulteriori route statiche per trasportare il traffico tra le reti.
Per il routing e l'inoltro all'interno della LAN aziendale on-premise, consulta la documentazione del fornitore di router, firewall e VPN.
Per ulteriori informazioni sul routing e sull'inoltro in Google Cloud, consulta la seguente documentazione:
- Panoramica di Virtual Private Cloud
- Panoramica del router Cloud
- Panoramica di Cloud VPN
- Panoramica di Cloud Interconnect
Per il routing e l'inoltro da AWS a Google Cloud, consulta i seguenti documenti:
Per il routing e l'inoltro da Azure a Google Cloud, consulta i seguenti documenti: