このトピックでは、機能する移行環境を構成するために必要なネットワーク アクセスについて説明します。
移行を設定する際、作成した移行環境は複数のネットワーク内の複数のコンポーネントで構成されます。移行するには、移行コンポーネント間で特定のトラフィック アクセスを許可する必要があります。
ネットワーク アクセスを設定する手順
移行環境でネットワーク アクセスを設定する大まかな方法は次のとおりです。
Google Cloud で Virtual Private Cloud(VPC)を設定してください。
VPC は、Google Cloud 上のコンポーネントの仮想ネットワークを定義します。また、VM インスタンス間、ネットワークと外部コンポーネント間のアクセスを許可するファイアウォール ルールを作成する場所としても機能します。
VPC ネットワーク上の各コンポーネントに割り当てるネットワーク タグを定義します。
ネットワーク タグは、Google Cloud VM インスタンスに追加できるテキスト属性です。次の表に、タグを作成するためのコンポーネントとネットワーク タグ テキストの例を示します。
ネットワーク タグを割り当てる際の制限と必要な権限については、ネットワーク タグの構成をご覧ください。
コンポーネント ネットワーク タグの候補 Migrate for Compute Engine Manager fw-migration-manager
Migrate for Compute Engine Cloud Extension fw-migration-cloud-extension
ワークロード fw-workload
Google Cloud VPC でファイアウォール ルールを作成するに定義したネットワーク タグを使用して、移行環境のコンポーネント間のトラフィックを許可します。
これには、Google Cloud 上のコンポーネント間、VM 移行元のソース プラットフォーム間のコンポーネントなどが含まれます。
このトピックでは、作成する必要のあるファイアウォール ルールを示しています。
移行環境でコンポーネントを実行する VM インスタンスをデプロイする際に、メタデータとしてタグを適用します。
タグを使用してファイアウォール ルールを作成し、対応するコンポーネント VM インスタンスにタグを適用したら、どのファイアウォール ルールをどの VM インスタンスに適用するのか指定します。
定義したタグを以下に適用します。
- Migrate for Compute Engine Manager - Migrate for Compute Engine Manager をデプロイする際に、ネットワーク タグ(
fw-migration-manager
など)を指定します。 - Migrate for Compute Engine Cloud Extensions - Migrate for Compute Engine Cloud Extensions を作成する際に、ネットワーク タグ(
fw-migration-cloud-extension
など)を指定します。 - VM ワークロード - Wave で移行する VM をリストするランブック CSV ファイルの
GcpNetworkTags
フィールドでネットワーク タグ(fw-workload
など)を指定します。
上記のコンポーネントをデプロイした後にネットワーク タグを設定または変更する必要がある場合は、指示に従って設定してください。
- Migrate for Compute Engine Manager - Migrate for Compute Engine Manager をデプロイする際に、ネットワーク タグ(
VM を移行するソース プラットフォームで、そのプラットフォームと Google Cloud 間のトラフィックを許可するルールを作成します。
必要に応じて、追加の静的ルートを定義して、ネットワーク間でトラフィックを転送します。
ファイアウォール ルール
ファイアウォール ルールを使用すると、移行環境のコンポーネント間のトラフィックにアクセスできます。このトピックの表には、必要なファイアウォール ルールが記載されています。
- Google Cloud の宛先 VPC
- VM を移行するソース プラットフォーム
ファイアウォール ルールを構成する前に、上記のネットワーク アクセス手順をご覧ください。
詳細については、次のファイアウォールのドキュメントをご覧ください。
- オンプレミスの社内 LAN 内のファイアウォールについては、ベンダーのドキュメントをご覧ください。
- Google Cloud のファイアウォールについては、VPC ファイアウォールのドキュメントをご覧ください。
- AWS VPC ファイアウォールのドキュメント
- Azure VPC ファイアウォールのドキュメント
宛先で構成されるルール
Google Cloud VPC ネットワークで、移行環境のコンポーネント間のトラフィックを許可するファイアウォール ルールを作成します。
Google Cloud VPC では、1 つのコンポーネントがターゲットとなり、もう一つのコンポーネントがソース(上り(内向き)ルールの場合)または宛先(下り(外向き)ルールの場合)であるファイアウォール ルールを定義します。
次の表の各行に対してファイアウォール ルールの作成を行います。各ルールは、上り(内向き)ルールまたは下り(外向き)ルールとして作成できます。たとえば、ルールが Cloud Extension コンポーネント(ネットワーク タグで指定)から Migrate for Compute Engine Manager (ネットワーク タグで指定)へのトラフィックを許可する場合、次のいずれかのルールを作成できます。
- Cloud Extension ネットワーク タグがターゲットであり、Migrate for Compute Engine Manager のネットワーク タグが宛先である下り(外向き)ルール。
- Migrate for Compute Engine Manager ネットワーク タグがターゲットであり、Cloud Extension ネットワーク タグがソースである上り(内向き)ルール。
次の表に、コンポーネントの場所を示します。
Google Cloud のコンポーネント | Google Cloud 外部のコンポーネント |
ソース | 送信先 | ファイアウォールの範囲 | 省略可 | プロトコル | ポート |
---|---|---|---|---|---|
Migrate for Compute Engine Manager ネットワーク タグ | Google Cloud API エンドポイント | インターネットまたは限定公開の Google アクセス | × | HTTPS | TCP/443 |
Migrate for Compute Engine Manager ネットワーク タグ | AWS API エンドポイント (AWS からの移行) |
インターネット | × | HTTPS | TCP/443 |
Migrate for Compute Engine Manager ネットワーク タグ | Azure API エンドポイント (Azure からの移行) |
インターネット | × | HTTPS | TCP/443 |
社内 LAN サブネット(ウェブ UI アクセス) | Migrate for Compute Engine Manager ネットワーク タグ | VPN オンプレミス | × | HTTPS | TCP/443 |
Migrate for Compute Engine Manager ネットワーク タグ | ワークロード ネットワーク タグ インスタンス コンソール可用性プローブ用 |
VPC | ○ | RDP
SSH |
TCP/3389
TCP/22 |
Migrate for Compute Engine Cloud Extension ネットワーク タグ | Migrate for Compute Engine Manager ネットワーク タグ | VPC | × | HTTPS | TCP/443 |
Migrate for Compute Engine Importer(AWS サブネット) | Migrate for Compute Engine Manager ネットワーク タグ | AWS から VPN | × | HTTPS | TCP/443 |
Migrate for Compute Engine Importer(Azure サブネット) | Migrate for Compute Engine Manager ネットワーク タグ | Azure から VPN | × | HTTPS | TCP/443 |
Migrate for Compute Engine Cloud Extension ネットワーク タグ | Google Cloud Storage API | インターネットまたは限定公開の Google アクセス | × | HTTPS | TCP/443 |
ワークロード ネットワーク タグ | Migrate for Compute Engine Cloud Extension ネットワーク タグ | VPC | × | iSCSI | TCP/3260 |
Migrate for Compute Engine バックエンド | Migrate for Compute Engine Cloud Extension ネットワーク タグ | VPN オンプレミス | × | TLS | TCP/443 |
Migrate for Compute Engine Importer(AWS サブネット) | Migrate for Compute Engine Cloud Extension ネットワーク タグ | VPN から AWS | × | TLS | TCP/443 |
Migrate for Compute Engine Importer(Azure サブネット) | Migrate for Compute Engine Cloud Extension ネットワーク タグ | VPN から Azure | × | TLS | TCP/443 |
Migrate for Compute Engine Cloud Extension ネットワーク タグ | Migrate for Compute Engine Cloud Extension ネットワーク タグ | VPC | × | 任意 | 任意 |
ソース プラットフォームで構成されるルール
VM を移行するプラットフォームで、次の表に示すトラフィックを許可するファイアウォール ルールを構成します。
VMware
VMware から VM を移行する場合は、次の表に示すソースと宛先のコンポーネント間のアクセスを許可するように、VMware にファイアウォール ルールを構成します。
ソース | 送信先 | ファイアウォールの範囲 | 省略可 | プロトコル | ポート |
---|---|---|---|---|---|
Migrate for Compute Engine バックエンド | vCenter Server | 社内 LAN | × | HTTPS | TCP/443 |
Migrate for Compute Engine バックエンド | vSphere ESXi | 社内 LAN | × | VMW NBD | TCP/902 |
Migrate for Compute Engine バックエンド | インターネットを使用する Stackdriver | インターネット | ○ | HTTPS | TCP/443 |
Migrate for Compute Engine バックエンド | 社内 DNS サーバー | 社内 LAN | × | DNS | TCP/UDP/53 |
Migrate for Compute Engine バックエンド | Migrate for Compute Engine Manager | VPN から Google Cloud | × | HTTPS | TCP/443 |
Migrate for Compute Engine バックエンド | Migrate for Compute Engine Cloud Extension ノード(Google Cloud サブネット) | VPN から Google Cloud | × | TLS | TCP/443 |
vCenter Server | Migrate for Compute Engine バックエンド | 社内 LAN | × | HTTPS | TCP/443 |
AWS
VM を AWS から移行する場合は、次の表に示すソースと宛先のコンポーネント間のアクセスを許可するように、AWS VPC にファイアウォール ルールを構成します。
ソース | 送信先 | ファイアウォールの範囲 | 省略可 | プロトコル | ポート |
---|---|---|---|---|---|
Migrate for Compute Engine Importer のセキュリティ グループ | Migrate for Compute Engine Manager | Google Cloud から VPN | × | HTTPS | TCP/443 |
Migrate for Compute Engine Importer のセキュリティ グループ | Migrate for Compute Engine Cloud Extension ノード(Google Cloud サブネット) | VPN から Google Cloud | × | TLS | TCP/443 |
Azure
Azure から VM を移行する場合は、次の表に示すソースと宛先のコンポーネント間のアクセスを許可するよう、Azure VNet でファイアウォール ルールを構成します。
ソース | 送信先 | ファイアウォールの範囲 | 省略可 | プロトコル | ポート |
---|---|---|---|---|---|
Migrate for Compute Engine Importer のセキュリティ グループ | Migrate for Compute Engine Manager | Google Cloud から VPN | × | HTTPS | TCP/443 |
Migrate for Compute Engine Importer のセキュリティ グループ | Migrate for Compute Engine Cloud Extension ノード(Google Cloud サブネット) | VPN から Google Cloud | × | TLS | TCP/443 |
トラブルシューティング
移行には次のルールは必要ありませんが、これらにより問題のトラブルシューティング中にサーバーに直接接続してログを受信できます。
送信元 | 送信先 | ファイアウォールの範囲 | 省略可 | プロトコル | ポート |
---|---|---|---|---|---|
ローカルマシン | Migrate for Compute Engine Manager | VPN から Google Cloud | ○ | SSH | TCP/22 |
Migrate for Compute Engine Manager | Migrate for Compute Engine オンプレミスのバックエンド
Migrate for Compute Engine Cloud Extension ネットワーク タグ Migrate for Compute Engine Importer(AWS サブネット) |
VPN オンプレミス
VPC VPN から AWS |
○ | SSH | TCP/22 |
ワークロード ネットワーク タグ | Migrate for Compute Engine Cloud Extension ネットワーク タグ | VPC | ○ | SYSLOG(Google Cloud VM ブートフェーズ用) | UDP/514 |
オンプレミスから Google Cloud への構成の例
これまでのセクションでは、移行に適用されるルールについて説明しました。このセクションでは、Google Cloud コンソールを使用して構成された VPC のネットワーク構成の例について説明します。詳細については、ファイアウォール ルールの作成をご覧ください。
次の例では、192.168.1.0/24 サブネットはオンプレミス ネットワークを表し、10.1.0.0/16 は Google Cloud 上の VPC を表します。
名前 | タイプ | ターゲット | 送信元 | ポート | 目的 |
---|---|---|---|---|---|
velos-ce-backend | 上り(内向き) | fw-migration-cloud-extension | 192.168.1.0/24 | tcp:443 | Migrate for Compute Engine Backend から Cloud Extension に送信される暗号化された移行データ |
velos-ce-control | 上り(内向き) | fw-migration-cloud-extension | fw-migration-manager | tcp:443 | Cloud Extension と Migrate for Compute Engine Manager の間のコントロール プレーン |
velos-ce-cross | 上り(内向き) | fw-migration-cloud-extension | fw-migration-cloud-extension | すべて | Cloud Extension ノード間の同期。 |
velos-console-probe | 上り(内向き) | fw-workload | fw-migration-manager | tcp:22, tcp:3389 | 移行する VM で SSH または RDP コンソールが使用可能かどうかを Migrate for Compute Engine Manager で確認できるようにします。 |
velos-webui | 上り(内向き) | fw-migration-manager | 192.168.1.0/24、 10.1.0.0/16 |
tcp:443 | ウェブ UI 用 Migrate for Compute Engine Manager への HTTPS アクセス。 |
velos-workload | 上り(内向き) | fw-migration-cloud-extension | fw-workload | tcp:3260、 udp:514 |
データ移行と syslog 用の iSCSI |
ネットワークのルーティングと転送
必要な通信を可能にするファイアウォール ルールを設定したら、ネットワーク間でトラフィックを伝送する追加の静的ルートが必要になることがあります。
オンプレミスの社内 LAN 内のルーティングと転送については、ルーター、ファイアウォール、VPN ベンダーのドキュメントを参照してください。
Google Cloud でのルーティングと転送の詳細については、以下のドキュメントを参照してください。
AWS から Google Cloud へのルーティングと転送については、以下のドキュメントをご覧ください。
Azure から Google Cloud へのルーティングと転送については、以下のドキュメントをご覧ください。