网络访问要求

本主题介绍了为使迁移环境正常运行而需要配置的网络访问权限。

在您进行迁移设置后,您创建的迁移环境会包含多个网络中的多个组件。为了实现迁移,这些网络必须允许迁移组件之间的特定流量访问。

设置网络访问权限的步骤

概括来讲,您需要按以下步骤在迁移环境中设置网络访问权限:

  1. 在 Google Cloud 上设置 Virtual Private Cloud (VPC)

    VPC 会为您在 Google Cloud 上的组件定义虚拟网络。它还会提供一个位置,供您创建允许虚拟机实例之间以及网络与外部组件之间进行的访问的防火墙规则。

  2. 定义要分配给 VPC 网络中每个组件的网络标记。

    网络标记是您可以添加到 Google Cloud 虚拟机实例的文本属性。下表列出了要为其创建标记的组件,以及网络标记文本的示例。

    如需查看分配网络标记时所涉及的限制必需权限,请参阅配置网络标记

    组件 建议的网络标记
    Migrate for Compute Engine Manager fw-migration-manager
    Migrate for Compute Engine Cloud Extensions fw-migration-cloud-extension
    工作负载 fw-workload
  3. 使用您定义的网络标记在 Google Cloud VPC 上创建防火墙规则,以允许迁移环境中各组件之间传输的流量。

    这包括 Google Cloud 上的组件之间传输的流量,以及这些组件与要迁移的虚拟机所在的来源平台上的组件之间传输的流量。

    本主题会列出您应创建的防火墙规则

  4. 当您部署在迁移环境中运行组件的虚拟机实例时,请以元数据的形式应用标记

    使用标记创建防火墙规则并将标记应用于相应的组件虚拟机实例后,您便指定了将哪些防火墙规则应用于哪些虚拟机实例。

    将您定义的标记应用于以下内容:

    请注意,如果您需要在部署上述组件之后设置或更改网络标记,则可以按照说明进行此操作

  5. 在您要从中迁移虚拟机的来源平台上,创建允许该平台和 Google Cloud 之间传输的流量的规则

  6. 根据需要,定义额外的静态路由来传输网络之间的流量。

防火墙规则

防火墙规则允许访问在迁移环境中的各组件之间传输的流量。本主题中的表列出了您将需要的防火墙规则:

  • 在 Google Cloud 上的目标 VPC 中
  • 在您要从中迁移虚拟机的来源平台中。

在配置防火墙规则之前,请参阅上文介绍的其他网络访问步骤

如需了解其他信息,请参阅以下防火墙文档:

在目标位置配置的规则

在您的 Google Cloud VPC 网络中,创建允许迁移环境中各组件之间传输的流量的防火墙规则。

在 Google Cloud VPC 中,定义以下防火墙规则:其中一个组件为目标,另一个组件为来源(对于入站流量规则)或目标位置(对于出站流量规则)。

为下表中的每一行创建防火墙规则。您可以将每个规则创建为入站流量规则或出站流量规则。 例如,假设规则允许流量从 Cloud Extensions 组件(由其网络标记指定)传输到 Migrate for Compute Engine Manager(由其网络标记指定),您可以按以下任一方式创建规则:

  • 一种出站流量规则,其中 Cloud Extensions 网络标记为目标,而 Migrate for Compute Engine Manager 网络标记为目标位置。
  • 一种入站流量规则,其中 Migrate for Compute Engine Manager 网络标记为目标,而 Cloud Extensions 网络标记为来源。

在下表中,组件位置如下所示:

Google Cloud 中的组件 Google Cloud 外部的组件
来源 目标位置 防火墙范围 是否可选? 协议 端口
Migrate for Compute Engine Manager 网络标记 Google Cloud API 端点 互联网或专用 Google 访问通道 HTTPS TCP/443
Migrate for Compute Engine Manager 网络标记 AWS API 端点

(从 AWS 迁移)

互联网 HTTPS TCP/443
Migrate for Compute Engine Manager 网络标记 Azure API 端点

(从 Azure 迁移)

互联网 HTTPS TCP/443
企业 LAN 子网(用于网页界面访问) Migrate for Compute Engine Manager 网络标记 VPN 本地 HTTPS TCP/443
Migrate for Compute Engine Manager 网络标记 工作负载网络标记

用于实例控制台可用性探测

VPC RDP

SSH

TCP/3389

TCP/22

Migrate for Compute Engine Cloud Extensions 网络标记 Migrate for Compute Engine Manager 网络标记 VPC HTTPS TCP/443
Migrate for Compute Engine 导入程序(AWS 子网) Migrate for Compute Engine Manager 网络标记 AWS 到 VPN HTTPS TCP/443
Migrate for Compute Engine 导入程序(Azure 子网) Migrate for Compute Engine Manager 网络标记 Azure 到 VPN HTTPS TCP/443
Migrate for Compute Engine Cloud Extensions 扩展网络标记 Google Cloud Storage API 互联网或 Google 专用访问通道 HTTPS TCP/443
工作负载网络标记 Migrate for Compute Engine Cloud Extensions 网络标记 VPC iSCSI TCP/3260
Migrate for Compute Engine 后端 Migrate for Compute Engine Cloud Extensions 网络标记 VPN 本地 TLS TCP/443
Migrate for Compute Engine 导入程序(AWS 子网) Migrate for Compute Engine Cloud Extensions 网络标记 VPN 到 AWS TLS TCP/443
Migrate for Compute Engine 导入程序(Azure 子网) Migrate for Compute Engine Cloud Extensions 网络标记 VPN 到 Azure TLS TCP/443
Migrate for Compute Engine Cloud Extensions 网络标记 Migrate for Compute Engine Cloud Extensions 网络标记 VPC 任意 任意

在来源平台上配置的规则

在要从中迁移虚拟机的来源平台上,配置允许下表中所述流量的防火墙规则。

VMware

如果要从 VMware 迁移虚拟机,请在 VMware 上配置允许下表中所列的来源组件与目标组件之间进行的访问的防火墙规则。

来源 目标位置 防火墙范围 是否可选? 协议 端口
Migrate for Compute Engine 后端 vCenter 服务器 企业 LAN HTTPS TCP/443
Migrate for Compute Engine 后端 vSphere ESXi 企业 LAN VMW NBD TCP/902
Migrate for Compute Engine 后端 使用互联网的 Stackdriver 互联网 HTTPS TCP/443
Migrate for Compute Engine 后端 企业 DNS 服务器 企业 LAN DNS TCP/UDP/53
Migrate for Compute Engine 后端 Migrate for Compute Engine Manager VPN 到 Google Cloud HTTPS TCP/443
Migrate for Compute Engine 后端 Migrate for Compute Engine Cloud Extensions 节点(Google Cloud 子网) VPN 到 Google Cloud TLS TCP/443
vCenter 服务器 Migrate for Compute Engine 后端 企业 LAN HTTPS TCP/443

AWS

如果要从 AWS 迁移虚拟机,请在 AWS 上配置允许下表中所列的来源组件与目标组件之间进行的访问的防火墙规则。

来源 目标位置 防火墙范围 是否可选? 协议 端口
Migrate for Compute Engine 导入程序安全组 Migrate for Compute Engine Manager Google Cloud 到 VPN HTTPS TCP/443
Migrate for Compute Engine 导入程序安全组 Migrate for Compute Engine Cloud Extensions 节点(Google Cloud 子网) VPN 到 Google Cloud TLS TCP/443

Azure

如果要从 Azure 迁移虚拟机,请在 Azure VNet 上配置允许下表中所列的来源组件与目标组件之间进行的访问的防火墙规则。

来源 目标位置 防火墙范围 是否可选? 协议 端口
Migrate for Compute Engine 导入程序安全组 Migrate for Compute Engine Manager Google Cloud 到 VPN HTTPS TCP/443
Migrate for Compute Engine 导入程序安全组 Migrate for Compute Engine Cloud Extensions 节点(Google Cloud 子网) VPN 到 Google Cloud TLS TCP/443

问题排查

以下规则不是迁移所必需的,但可让您在排查问题时直接连接到服务器并接收日志。

来源 目标位置 防火墙范围 是否可选? 协议 端口
本地机器 Migrate for Compute Engine Manager VPN 到 Google Cloud SSH TCP/22
Migrate for Compute Engine Manager Migrate for Compute Engine 本地后端

Migrate for Compute Engine Cloud Extensions 网络标记

Migrate for Compute Engine 导入程序(AWS 子网)

VPN 本地

VPC

VPN 到 AWS

SSH TCP/22
工作负载网络标记 Migrate for Compute Engine Cloud Extensions 网络标记 VPC SYSLOG(适用于 Google Cloud 虚拟机启动阶段) UDP/514

本地到 Google Cloud 配置示例

前面的部分介绍了适用于迁移的规则。本部分将介绍通过 Google Cloud Console 配置的 VPC 网络配置示例。如需了解详情,请参阅创建防火墙规则

在以下示例中,192.168.1.0/24 子网表示本地网络,10.1.0.0/16 表示 Google Cloud 上的 VPC。

名称 类型 目标 来源 端口 用途
velos-ce-backend 入站 fw-migration-cloud-extension 192.168.1.0/24 tcp:443 从 Migrate for Compute Engine 后端发送到 Cloud Extensions 扩展的加密迁移数据。
velos-ce-control 入站 fw-migration-cloud-extension fw-migration-manager tcp:443 Cloud Extensions 扩展和 Migrate for Compute Engine Manager 之间的控制平面。
velos-ce-cross 入站 fw-migration-cloud-extension fw-migration-cloud-extension 全部 Cloud Extensions 扩展节点之间的同步。
velos-console-probe 入站流量 fw-workload fw-migration-manager tcp:22、tcp:3389 允许 Migrate for Compute Engine Manager 检查迁移的虚拟机上 SSH 或 RDP 控制台是否可用。
velos-webui 入站 fw-migration-manager 192.168.1.0/24,
10.1.0.0/16
tcp:443 对 Migrate for Compute Engine Manager 的网页界面进行 HTTPS 访问。
velos-workload 入站 fw-migration-cloud-extension fw-workload tcp:3260、
udp:514
iSCSI,用于数据迁移和 syslog

网络路由和转发

允许必要通信的防火墙规则落实后,可能需要额外的静态路由来传输网络之间的流量。

如需了解本地企业 LAN 内的路由和转发,请查看路由器、防火墙和 VPN 供应商文档。

如需详细了解 Google Cloud 中的路由和转发,请参阅以下文档:

如需了解从 AWS 到 Google Cloud 的路由和转发,请参阅以下文档:

如需了解从 Azure 到 Google Cloud 的路由和转发,请参阅以下文档: