本主题介绍了为使迁移环境正常运行而需要配置的网络访问权限。
在您进行迁移设置后,您创建的迁移环境会包含多个网络中的多个组件。为了实现迁移,这些网络必须允许迁移组件之间的特定流量访问。
设置网络访问权限的步骤
概括来讲,您需要按以下步骤在迁移环境中设置网络访问权限:
在 Google Cloud 上设置 Virtual Private Cloud (VPC)。
VPC 会为您在 Google Cloud 上的组件定义虚拟网络。它还会提供一个位置,供您创建允许虚拟机实例之间以及网络与外部组件之间进行的访问的防火墙规则。
定义要分配给 VPC 网络中每个组件的网络标记。
网络标记是您可以添加到 Google Cloud 虚拟机实例的文本属性。下表列出了要为其创建标记的组件,以及网络标记文本的示例。
如需查看分配网络标记时所涉及的限制和必需权限,请参阅配置网络标记。
组件 建议的网络标记 Migrate for Compute Engine Manager fw-migration-manager
Migrate for Compute Engine Cloud Extensions fw-migration-cloud-extension
工作负载 fw-workload
使用您定义的网络标记在 Google Cloud VPC 上创建防火墙规则,以允许迁移环境中各组件之间传输的流量。
这包括 Google Cloud 上的组件之间传输的流量,以及这些组件与要迁移的虚拟机所在的来源平台上的组件之间传输的流量。
本主题会列出您应创建的防火墙规则。
当您部署在迁移环境中运行组件的虚拟机实例时,请以元数据的形式应用标记。
使用标记创建防火墙规则并将标记应用于相应的组件虚拟机实例后,您便指定了将哪些防火墙规则应用于哪些虚拟机实例。
将您定义的标记应用于以下内容:
- Migrate for Compute Engine Manager - 在部署 Migrate for Compute Engine Manager 时指定网络标记(如
fw-migration-manager
)。 - Migrate for Compute Engine Cloud Extensions - 在创建 Migrate for Compute Engine Cloud Extensions 时指定网络标记(例如
fw-migration-cloud-extension
)。 - 虚拟机工作负载 - 在列有要通过波次进行迁移的虚拟机的 Runbook CSV 文件中,使用
GcpNetworkTags
字段指定网络标记(如fw-workload
)。
请注意,如果您需要在部署上述组件之后设置或更改网络标记,则可以按照说明进行此操作。
- Migrate for Compute Engine Manager - 在部署 Migrate for Compute Engine Manager 时指定网络标记(如
在您要从中迁移虚拟机的来源平台上,创建允许该平台和 Google Cloud 之间传输的流量的规则。
根据需要,定义额外的静态路由来传输网络之间的流量。
防火墙规则
防火墙规则允许访问在迁移环境中的各组件之间传输的流量。本主题中的表列出了您将需要的防火墙规则:
在配置防火墙规则之前,请参阅上文介绍的其他网络访问步骤。
如需了解其他信息,请参阅以下防火墙文档:
- 对于本地企业 LAN 内的防火墙,请参阅供应商文档。
- 对于 Google Cloud 上的防火墙,请参阅 VPC 防火墙文档。
- AWS VPC 防火墙文档
- Azure VPC 防火墙文档
在目标位置配置的规则
在您的 Google Cloud VPC 网络中,创建允许迁移环境中各组件之间传输的流量的防火墙规则。
在 Google Cloud VPC 中,定义以下防火墙规则:其中一个组件为目标,另一个组件为来源(对于入站流量规则)或目标位置(对于出站流量规则)。
为下表中的每一行创建防火墙规则。您可以将每个规则创建为入站流量规则或出站流量规则。 例如,假设规则允许流量从 Cloud Extensions 组件(由其网络标记指定)传输到 Migrate for Compute Engine Manager(由其网络标记指定),您可以按以下任一方式创建规则:
- 一种出站流量规则,其中 Cloud Extensions 网络标记为目标,而 Migrate for Compute Engine Manager 网络标记为目标位置。
- 一种入站流量规则,其中 Migrate for Compute Engine Manager 网络标记为目标,而 Cloud Extensions 网络标记为来源。
在下表中,组件位置如下所示:
Google Cloud 中的组件 | Google Cloud 外部的组件 |
来源 | 目标位置 | 防火墙范围 | 是否可选? | 协议 | 端口 |
---|---|---|---|---|---|
Migrate for Compute Engine Manager 网络标记 | Google Cloud API 端点 | 互联网或专用 Google 访问通道 | 否 | HTTPS | TCP/443 |
Migrate for Compute Engine Manager 网络标记 | AWS API 端点 (从 AWS 迁移) |
互联网 | 否 | HTTPS | TCP/443 |
Migrate for Compute Engine Manager 网络标记 | Azure API 端点
(从 Azure 迁移) |
互联网 | 否 | HTTPS | TCP/443 |
企业 LAN 子网(用于网页界面访问) | Migrate for Compute Engine Manager 网络标记 | VPN 本地 | 否 | HTTPS | TCP/443 |
Migrate for Compute Engine Manager 网络标记 | 工作负载网络标记
用于实例控制台可用性探测 |
VPC | 是 | RDP SSH |
TCP/3389 TCP/22 |
Migrate for Compute Engine Cloud Extensions 网络标记 | Migrate for Compute Engine Manager 网络标记 | VPC | 否 | HTTPS | TCP/443 |
Migrate for Compute Engine 导入程序(AWS 子网) | Migrate for Compute Engine Manager 网络标记 | AWS 到 VPN | 否 | HTTPS | TCP/443 |
Migrate for Compute Engine 导入程序(Azure 子网) | Migrate for Compute Engine Manager 网络标记 | Azure 到 VPN | 否 | HTTPS | TCP/443 |
Migrate for Compute Engine Cloud Extensions 扩展网络标记 | Google Cloud Storage API | 互联网或 Google 专用访问通道 | 否 | HTTPS | TCP/443 |
工作负载网络标记 | Migrate for Compute Engine Cloud Extensions 网络标记 | VPC | 否 | iSCSI | TCP/3260 |
Migrate for Compute Engine 后端 | Migrate for Compute Engine Cloud Extensions 网络标记 | VPN 本地 | 否 | TLS | TCP/443 |
Migrate for Compute Engine 导入程序(AWS 子网) | Migrate for Compute Engine Cloud Extensions 网络标记 | VPN 到 AWS | 否 | TLS | TCP/443 |
Migrate for Compute Engine 导入程序(Azure 子网) | Migrate for Compute Engine Cloud Extensions 网络标记 | VPN 到 Azure | 否 | TLS | TCP/443 |
Migrate for Compute Engine Cloud Extensions 网络标记 | Migrate for Compute Engine Cloud Extensions 网络标记 | VPC | 否 | 任意 | 任意 |
在来源平台上配置的规则
在要从中迁移虚拟机的来源平台上,配置允许下表中所述流量的防火墙规则。
VMware
如果要从 VMware 迁移虚拟机,请在 VMware 上配置允许下表中所列的来源组件与目标组件之间进行的访问的防火墙规则。
来源 | 目标位置 | 防火墙范围 | 是否可选? | 协议 | 端口 |
---|---|---|---|---|---|
Migrate for Compute Engine 后端 | vCenter 服务器 | 企业 LAN | 否 | HTTPS | TCP/443 |
Migrate for Compute Engine 后端 | vSphere ESXi | 企业 LAN | 否 | VMW NBD | TCP/902 |
Migrate for Compute Engine 后端 | 使用互联网的 Stackdriver | 互联网 | 是 | HTTPS | TCP/443 |
Migrate for Compute Engine 后端 | 企业 DNS 服务器 | 企业 LAN | 否 | DNS | TCP/UDP/53 |
Migrate for Compute Engine 后端 | Migrate for Compute Engine Manager | VPN 到 Google Cloud | 否 | HTTPS | TCP/443 |
Migrate for Compute Engine 后端 | Migrate for Compute Engine Cloud Extensions 节点(Google Cloud 子网) | VPN 到 Google Cloud | 否 | TLS | TCP/443 |
vCenter 服务器 | Migrate for Compute Engine 后端 | 企业 LAN | 否 | HTTPS | TCP/443 |
AWS
如果要从 AWS 迁移虚拟机,请在 AWS 上配置允许下表中所列的来源组件与目标组件之间进行的访问的防火墙规则。
来源 | 目标位置 | 防火墙范围 | 是否可选? | 协议 | 端口 |
---|---|---|---|---|---|
Migrate for Compute Engine 导入程序安全组 | Migrate for Compute Engine Manager | Google Cloud 到 VPN | 否 | HTTPS | TCP/443 |
Migrate for Compute Engine 导入程序安全组 | Migrate for Compute Engine Cloud Extensions 节点(Google Cloud 子网) | VPN 到 Google Cloud | 否 | TLS | TCP/443 |
Azure
如果要从 Azure 迁移虚拟机,请在 Azure VNet 上配置允许下表中所列的来源组件与目标组件之间进行的访问的防火墙规则。
来源 | 目标位置 | 防火墙范围 | 是否可选? | 协议 | 端口 |
---|---|---|---|---|---|
Migrate for Compute Engine 导入程序安全组 | Migrate for Compute Engine Manager | Google Cloud 到 VPN | 否 | HTTPS | TCP/443 |
Migrate for Compute Engine 导入程序安全组 | Migrate for Compute Engine Cloud Extensions 节点(Google Cloud 子网) | VPN 到 Google Cloud | 否 | TLS | TCP/443 |
问题排查
以下规则不是迁移所必需的,但可让您在排查问题时直接连接到服务器并接收日志。
来源 | 目标位置 | 防火墙范围 | 是否可选? | 协议 | 端口 |
---|---|---|---|---|---|
本地机器 | Migrate for Compute Engine Manager | VPN 到 Google Cloud | 是 | SSH | TCP/22 |
Migrate for Compute Engine Manager | Migrate for Compute Engine 本地后端 Migrate for Compute Engine Cloud Extensions 网络标记 Migrate for Compute Engine 导入程序(AWS 子网) |
VPN 本地 VPC VPN 到 AWS |
是 | SSH | TCP/22 |
工作负载网络标记 | Migrate for Compute Engine Cloud Extensions 网络标记 | VPC | 是 | SYSLOG(适用于 Google Cloud 虚拟机启动阶段) | UDP/514 |
本地到 Google Cloud 配置示例
前面的部分介绍了适用于迁移的规则。本部分将介绍通过 Google Cloud Console 配置的 VPC 网络配置示例。如需了解详情,请参阅创建防火墙规则。
在以下示例中,192.168.1.0/24 子网表示本地网络,10.1.0.0/16 表示 Google Cloud 上的 VPC。
名称 | 类型 | 目标 | 来源 | 端口 | 用途 |
---|---|---|---|---|---|
velos-ce-backend | 入站 | fw-migration-cloud-extension | 192.168.1.0/24 | tcp:443 | 从 Migrate for Compute Engine 后端发送到 Cloud Extensions 扩展的加密迁移数据。 |
velos-ce-control | 入站 | fw-migration-cloud-extension | fw-migration-manager | tcp:443 | Cloud Extensions 扩展和 Migrate for Compute Engine Manager 之间的控制平面。 |
velos-ce-cross | 入站 | fw-migration-cloud-extension | fw-migration-cloud-extension | 全部 | Cloud Extensions 扩展节点之间的同步。 |
velos-console-probe | 入站流量 | fw-workload | fw-migration-manager | tcp:22、tcp:3389 | 允许 Migrate for Compute Engine Manager 检查迁移的虚拟机上 SSH 或 RDP 控制台是否可用。 |
velos-webui | 入站 | fw-migration-manager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | 对 Migrate for Compute Engine Manager 的网页界面进行 HTTPS 访问。 |
velos-workload | 入站 | fw-migration-cloud-extension | fw-workload | tcp:3260、 udp:514 |
iSCSI,用于数据迁移和 syslog |
网络路由和转发
允许必要通信的防火墙规则落实后,可能需要额外的静态路由来传输网络之间的流量。
如需了解本地企业 LAN 内的路由和转发,请查看路由器、防火墙和 VPN 供应商文档。
如需详细了解 Google Cloud 中的路由和转发,请参阅以下文档:
如需了解从 AWS 到 Google Cloud 的路由和转发,请参阅以下文档:
如需了解从 Azure 到 Google Cloud 的路由和转发,请参阅以下文档: