ネットワーク アクセスの要件

このトピックでは、機能する移行環境を構成するために必要なネットワーク アクセスについて説明します。

移行を設定する際、作成した移行環境は複数のネットワーク内の複数のコンポーネントで構成されます。移行するには、移行コンポーネント間で特定のトラフィック アクセスを許可する必要があります。

ネットワーク アクセスを設定する手順

移行環境でネットワーク アクセスを設定する大まかな方法は次のとおりです。

  1. Google Cloud で Virtual Private Cloud(VPC)を設定してください。

    VPC は、Google Cloud 上のコンポーネントの仮想ネットワークを定義します。また、VM インスタンス間、ネットワークと外部コンポーネント間のアクセスを許可するファイアウォール ルールを作成する場所としても機能します。

  2. VPC ネットワーク上の各コンポーネントに割り当てるネットワーク タグを定義します。

    ネットワーク タグは、Google Cloud VM インスタンスに追加できるテキスト属性です。次の表に、タグを作成するためのコンポーネントとネットワーク タグ テキストの例を示します。

    ネットワーク タグを割り当てる際の制限必要な権限については、ネットワーク タグの構成をご覧ください。

    コンポーネント ネットワーク タグの候補
    Migrate for Compute Engine Manager fw-migration-manager
    Migrate for Compute Engine Cloud Extension fw-migration-cloud-extension
    ワークロード fw-workload
  3. Google Cloud VPC でファイアウォール ルールを作成するに定義したネットワーク タグを使用して、移行環境のコンポーネント間のトラフィックを許可します。

    これには、Google Cloud 上のコンポーネント間、VM 移行元のソース プラットフォーム間のコンポーネントなどが含まれます。

    このトピックでは、作成する必要のあるファイアウォール ルールを示しています。

  4. 移行環境でコンポーネントを実行する VM インスタンスをデプロイする際に、メタデータとしてタグを適用します。

    タグを使用してファイアウォール ルールを作成し、対応するコンポーネント VM インスタンスにタグを適用したら、どのファイアウォール ルールをどの VM インスタンスに適用するのか指定します。

    定義したタグを以下に適用します。

    上記のコンポーネントをデプロイした後にネットワーク タグを設定または変更する必要がある場合は、指示に従って設定してください。

  5. VM を移行するソース プラットフォームで、そのプラットフォームと Google Cloud 間のトラフィックを許可するルールを作成します。

  6. 必要に応じて、追加の静的ルートを定義して、ネットワーク間でトラフィックを転送します。

ファイアウォール ルール

ファイアウォール ルールを使用すると、移行環境のコンポーネント間のトラフィックにアクセスできます。このトピックの表には、必要なファイアウォール ルールが記載されています。

ファイアウォール ルールを構成する前に、上記のネットワーク アクセス手順をご覧ください。

詳細については、次のファイアウォールのドキュメントをご覧ください。

宛先で構成されるルール

Google Cloud VPC ネットワークで、移行環境のコンポーネント間のトラフィックを許可するファイアウォール ルールを作成します。

Google Cloud VPC では、1 つのコンポーネントがターゲットとなり、もう一つのコンポーネントがソース(上り(内向き)ルールの場合)または宛先(下り(外向き)ルールの場合)であるファイアウォール ルールを定義します。

次の表の各行に対してファイアウォール ルールの作成を行います。各ルールは、上り(内向き)ルールまたは下り(外向き)ルールとして作成できます。たとえば、ルールが Cloud Extension コンポーネント(ネットワーク タグで指定)から Migrate for Compute Engine Manager (ネットワーク タグで指定)へのトラフィックを許可する場合、次のいずれかのルールを作成できます。

  • Cloud Extension ネットワーク タグがターゲットであり、Migrate for Compute Engine Manager のネットワーク タグが宛先である下り(外向き)ルール。
  • Migrate for Compute Engine Manager ネットワーク タグがターゲットであり、Cloud Extension ネットワーク タグがソースである上り(内向き)ルール。

次の表に、コンポーネントの場所を示します。

Google Cloud のコンポーネント Google Cloud 外部のコンポーネント
ソース 送信先 ファイアウォールの範囲 省略可 プロトコル ポート
Migrate for Compute Engine Manager ネットワーク タグ Google Cloud API エンドポイント インターネットまたは限定公開の Google アクセス × HTTPS TCP/443
Migrate for Compute Engine Manager ネットワーク タグ AWS API エンドポイント

(AWS からの移行)

インターネット × HTTPS TCP/443
Migrate for Compute Engine Manager ネットワーク タグ Azure API エンドポイント

(Azure からの移行)

インターネット × HTTPS TCP/443
社内 LAN サブネット(ウェブ UI アクセス) Migrate for Compute Engine Manager ネットワーク タグ VPN オンプレミス × HTTPS TCP/443
Migrate for Compute Engine Manager ネットワーク タグ ワークロード ネットワーク タグ

インスタンス コンソール可用性プローブ用

VPC RDP

SSH

TCP/3389

TCP/22

Migrate for Compute Engine Cloud Extension ネットワーク タグ Migrate for Compute Engine Manager ネットワーク タグ VPC × HTTPS TCP/443
Migrate for Compute Engine Importer(AWS サブネット) Migrate for Compute Engine Manager ネットワーク タグ AWS から VPN × HTTPS TCP/443
Migrate for Compute Engine Importer(Azure サブネット) Migrate for Compute Engine Manager ネットワーク タグ Azure から VPN × HTTPS TCP/443
Migrate for Compute Engine Cloud Extension ネットワーク タグ Google Cloud Storage API インターネットまたは限定公開の Google アクセス × HTTPS TCP/443
ワークロード ネットワーク タグ Migrate for Compute Engine Cloud Extension ネットワーク タグ VPC × iSCSI TCP/3260
Migrate for Compute Engine バックエンド Migrate for Compute Engine Cloud Extension ネットワーク タグ VPN オンプレミス × TLS TCP/443
Migrate for Compute Engine Importer(AWS サブネット) Migrate for Compute Engine Cloud Extension ネットワーク タグ VPN から AWS × TLS TCP/443
Migrate for Compute Engine Importer(Azure サブネット) Migrate for Compute Engine Cloud Extension ネットワーク タグ VPN から Azure × TLS TCP/443
Migrate for Compute Engine Cloud Extension ネットワーク タグ Migrate for Compute Engine Cloud Extension ネットワーク タグ VPC × 任意 任意

ソース プラットフォームで構成されるルール

VM を移行するプラットフォームで、次の表に示すトラフィックを許可するファイアウォール ルールを構成します。

VMware

VMware から VM を移行する場合は、次の表に示すソースと宛先のコンポーネント間のアクセスを許可するように、VMware にファイアウォール ルールを構成します。

ソース 送信先 ファイアウォールの範囲 省略可 プロトコル ポート
Migrate for Compute Engine バックエンド vCenter Server 社内 LAN × HTTPS TCP/443
Migrate for Compute Engine バックエンド vSphere ESXi 社内 LAN × VMW NBD TCP/902
Migrate for Compute Engine バックエンド インターネットを使用する Stackdriver インターネット HTTPS TCP/443
Migrate for Compute Engine バックエンド 社内 DNS サーバー 社内 LAN × DNS TCP/UDP/53
Migrate for Compute Engine バックエンド Migrate for Compute Engine Manager VPN から Google Cloud × HTTPS TCP/443
Migrate for Compute Engine バックエンド Migrate for Compute Engine Cloud Extension ノード(Google Cloud サブネット) VPN から Google Cloud × TLS TCP/443
vCenter Server Migrate for Compute Engine バックエンド 社内 LAN × HTTPS TCP/443

AWS

VM を AWS から移行する場合は、次の表に示すソースと宛先のコンポーネント間のアクセスを許可するように、AWS VPC にファイアウォール ルールを構成します。

ソース 送信先 ファイアウォールの範囲 省略可 プロトコル ポート
Migrate for Compute Engine Importer のセキュリティ グループ Migrate for Compute Engine Manager Google Cloud から VPN × HTTPS TCP/443
Migrate for Compute Engine Importer のセキュリティ グループ Migrate for Compute Engine Cloud Extension ノード(Google Cloud サブネット) VPN から Google Cloud × TLS TCP/443

Azure

Azure から VM を移行する場合は、次の表に示すソースと宛先のコンポーネント間のアクセスを許可するよう、Azure VNet でファイアウォール ルールを構成します。

ソース 送信先 ファイアウォールの範囲 省略可 プロトコル ポート
Migrate for Compute Engine Importer のセキュリティ グループ Migrate for Compute Engine Manager Google Cloud から VPN × HTTPS TCP/443
Migrate for Compute Engine Importer のセキュリティ グループ Migrate for Compute Engine Cloud Extension ノード(Google Cloud サブネット) VPN から Google Cloud × TLS TCP/443

トラブルシューティング

移行には次のルールは必要ありませんが、これらにより問題のトラブルシューティング中にサーバーに直接接続してログを受信できます。

送信元 送信先 ファイアウォールの範囲 省略可 プロトコル ポート
ローカルマシン Migrate for Compute Engine Manager VPN から Google Cloud SSH TCP/22
Migrate for Compute Engine Manager Migrate for Compute Engine オンプレミスのバックエンド

Migrate for Compute Engine Cloud Extension ネットワーク タグ

Migrate for Compute Engine Importer(AWS サブネット)

VPN オンプレミス

VPC

VPN から AWS

SSH TCP/22
ワークロード ネットワーク タグ Migrate for Compute Engine Cloud Extension ネットワーク タグ VPC SYSLOG(Google Cloud VM ブートフェーズ用) UDP/514

オンプレミスから Google Cloud への構成の例

これまでのセクションでは、移行に適用されるルールについて説明しました。このセクションでは、Google Cloud コンソールを使用して構成された VPC のネットワーク構成の例について説明します。詳細については、ファイアウォール ルールの作成をご覧ください。

次の例では、192.168.1.0/24 サブネットはオンプレミス ネットワークを表し、10.1.0.0/16 は Google Cloud 上の VPC を表します。

名前 タイプ ターゲット 送信元 ポート 目的
velos-ce-backend 上り(内向き) fw-migration-cloud-extension 192.168.1.0/24 tcp:443 Migrate for Compute Engine Backend から Cloud Extension に送信される暗号化された移行データ
velos-ce-control 上り(内向き) fw-migration-cloud-extension fw-migration-manager tcp:443 Cloud Extension と Migrate for Compute Engine Manager の間のコントロール プレーン
velos-ce-cross 上り(内向き) fw-migration-cloud-extension fw-migration-cloud-extension すべて Cloud Extension ノード間の同期。
velos-console-probe 上り(内向き) fw-workload fw-migration-manager tcp:22, tcp:3389 移行する VM で SSH または RDP コンソールが使用可能かどうかを Migrate for Compute Engine Manager で確認できるようにします。
velos-webui 上り(内向き) fw-migration-manager 192.168.1.0/24、
10.1.0.0/16
tcp:443 ウェブ UI 用 Migrate for Compute Engine Manager への HTTPS アクセス。
velos-workload 上り(内向き) fw-migration-cloud-extension fw-workload tcp:3260、
udp:514
データ移行と syslog 用の iSCSI

ネットワークのルーティングと転送

必要な通信を可能にするファイアウォール ルールを設定したら、ネットワーク間でトラフィックを伝送する追加の静的ルートが必要になることがあります。

オンプレミスの社内 LAN 内のルーティングと転送については、ルーター、ファイアウォール、VPN ベンダーのドキュメントを参照してください。

Google Cloud でのルーティングと転送の詳細については、以下のドキュメントを参照してください。

AWS から Google Cloud へのルーティングと転送については、以下のドキュメントをご覧ください。

Azure から Google Cloud へのルーティングと転送については、以下のドキュメントをご覧ください。