有効化されている API と、この構成中に作成するサービス アカウントの詳細については、Google Cloud の構成の概要をご覧ください。
環境のアーキテクチャについては、移行環境のアーキテクチャをご覧ください。
始める前に
このトピックで説明するウィザードを使用して移行マネージャーを設定する際、以下の確認または実行を求められます。
必要なネットワーク接続の構成。
ウィザードを開始する前に、移行マネージャーが VM の移行元のプラットフォームと通信できるように、仮想プライベート ネットワーク(VPN)を設定します。使用可能なオプションの詳細については、Cloud VPN の概要をご覧ください。
ファイアウォール ルールの構成。
VPN を設定したら、移行環境のコンポーネント間の通信を許可するファイアウォール ルールを作成します。必要なルールの詳細については、ネットワーク アクセスの要件をご覧ください。
サービス アカウントの作成。
Migrate for Compute Engine Manager や Cloud Extension などの Migrate for Compute Engine コンポーネントでは、移行タスクを実行するためにサービス アカウントが必要です。これらのサービス アカウントは次の方法で作成できます。
- これらのアカウントの権限をきめ細かく制御するには、このトピックで説明するウィザードを開始する前にアカウントを作成します。Google Cloud のロールとサービス アカウントを手動で作成するの手順に沿ってサービス アカウントを作成し、ウィザードでこれらのアカウント名を使用します。
- デフォルトの権限を受け入れるには、ウィザードで自動的に作成されるサービス アカウントを使用します。これらのデフォルトの詳細については、Migrate for Compute Engine の Identity and Access Management の権限をご覧ください。
移行マネージャーのパスワードの作成
Migrate for Compute Engine Manager では 2 つのパスワードを使用します。1 つは Migrate for Compute Engine Manager の apiuser 認証で使用し、もう 1 つは Migrate for Compute Engine Manager の秘密鍵の暗号化で使用します。これらのパスワードは次の方法で作成します。
移行マネージャーの構成時に、Google Cloud コンソールに直接入力する。この場合、マネージャー VM メタデータにパスワードが保存されます。
Secret Manager を使用して、各パスワードに暗号化されたシークレットを作成する。
GCP アカウント、組織、プロジェクトの設定
移行先として、またインフラストラクチャ プロジェクトを作成する場所として、Google Cloud 組織が必要です。
Google Cloud の組織とインフラストラクチャ プロジェクトを作成する手順は次のとおりです。
- Google Cloud コンソールに移動してログインします。
- 組織が存在していない場合は、組織の作成と管理の手順に沿って組織を設定します。
詳細については、Google Cloud ランディング ゾーンのリソース階層を決定するをご覧ください。
- Google Cloud を移行先として構成する管理者のユーザー アカウントがない場合は、作成します。
- 管理者に対して次の権限を割り当てて、Google Cloud 組織に必要な変更を加えるためのアクセス権をアカウントに付与します。
- 組織のロールの管理者
- 組織管理者
- Compute 管理者
- (プロジェクト)オーナー
Google Cloud アカウント、サービス アカウント、ロールなどの IAM のコンセプトについては、IAM の概要をご覧ください。
- Google Cloud 上で Migrate for Compute Engine インフラストラクチャをホストするための Google Cloud プロジェクトを作成します。以降、このドキュメントではこのプロジェクトをインフラストラクチャ プロジェクトと呼びます。
まだアカウントをお持ちでない場合は、登録してアカウントを作成してください。
API、ネットワーキング、Migrate for Compute Engine Manager の設定
次の手順に従って、Migrate for Compute Engine Manager を Compute Engine にデプロイされた VM としてインストールします。始める前に、このトピックの最初に記載されている前提条件を必ずお読みください。Migrate for Compute Engine Manager に必要な構成と、始める前に行っておく必要がある準備作業が説明されています。
Cloud Marketplace を使用した必要なリソースの作成と構成
Cloud Marketplace の [Migrate for Compute Engine] ページに移動
このページでは、Migrate for Compute Engine のコンポーネントとメリットが説明されています。主要コンポーネントの詳細については、移行環境のアーキテクチャをご覧ください。
[Go to Migrate for Compute Engine] をクリックします。
移行に必要な API をまだ有効にしていない場合は、有効にするように求めるメッセージが表示されます。[必要な API] をクリックして、このページで有効化できる API のリストを表示します。
- API を有効にするには、[API の有効化] をクリックします。
- [移行マネージャーをデプロイする] をクリックして、移行マネージャー(Compute Engine で実行される VM インスタンス)を作成します。
必要な API をすでに有効にしている場合は、移行マネージャー インスタンスの作成を求めるメッセージが表示されます。
- [Create Manager] をクリックします。
手順 1 のネットワーク接続の構成で、次の手順に従って移行環境に必要なリソースを設定します。
必要なネットワーク接続を構成する
移行マネージャーが VM の移行元のプラットフォームと通信できるように、仮想プライベート ネットワーク(VPN)をまだ設定していない場合は、設定します。
- [ハイブリッド接続に移動] をクリックして VPN 接続を設定します。使用可能なオプションの詳細については、Cloud VPN の概要をご覧ください。
ファイアウォール ルールを構成する
VPN を設定した後、移行環境のコンポーネント間の通信を許可するファイアウォール ルールをまだ作成していない場合は、作成します。必要なルールの詳細については、ネットワーク アクセスの要件をご覧ください。
- [[ファイアウォール ルール] に移動] をクリックして、ファイアウォール ルールを設定します。
ネットワーク接続の要件を満たしていることを確認するチェックボックスをオンにして、[続行] をクリックします。
手順 2 の [移行マネージャーの定義] ページで、移行マネージャーを構成するための情報を入力します。
移行マネージャーの詳細については、移行環境のアーキテクチャをご覧ください。
次の表のように、フィールドに値を入力するか、選択します。
移行マネージャーの VM インスタンス
設定 使用できる値 説明 移行マネージャーの VM インスタンス名 英数字の文字列。 デプロイ時に Migrate for Compute Engine Manager に付けられる名前。行おうとしている移行の内容を反映した名前にします( account-processing-migration-manager
など)。リージョン プルダウンから選択できるリージョン名。 VPN からアクセス可能なリージョンを選択します。選択の対象となるリージョンは、VPC ネットワークの構成のサブネットの構成値リストに表示されます。
リージョンの詳細については、Compute Engine のドキュメントのリージョンとゾーンをご覧ください。
ゾーン プルダウンから選択できるゾーン名。 VPN からアクセスできるゾーンを選択します。アクセス可能なゾーンは、VPC ネットワークの構成のサブネットの構成値リストに表示されます。
ゾーンの詳細については、Compute Engine のドキュメントのリージョンとゾーンをご覧ください。
マシンタイプ 値はプリセットされています。 現在、Migrate for Compute Engine Manager に使用できるマシンタイプは 1 つだけです。
マシンタイプの詳細については、Compute Engine ドキュメントのマシンタイプを参照してください。
ネットワーキング
設定 使用できる値 説明 ネットワーク プルダウンから選択できるネットワーク名。 インスタンスがアクセスできるネットワーク トラフィックを決定します。
ネットワークとサブネットワークの詳細については、Compute Engine のドキュメントのリージョンとゾーンをご覧ください。
サブネット プルダウンから選択できるサブネットワーク名。選択したネットワークに基づいてリストが作成されます。 インスタンスにサブネットワークの範囲の IPv4 アドレスを割り当てます。異なるサブネットワークのインスタンスも、同じネットワークに属している限り内部 IP を使用して互いに通信できます。
ネットワークとサブネットワークの詳細については、Compute Engine のドキュメントのリージョンとゾーンをご覧ください。
ネットワーク タグ(オプション) 小文字、数字、ダッシュ。 ネットワーク タグは Migrate for Compute Engine Manager に割り当てられます。
タグ名の候補などの詳細については、ネットワークの設定をご覧ください。ネットワーク タグの詳細については、ネットワーク タグの構成をご覧ください。
API とサービスへの内部アクセスのみを有効にする オンまたはオフになっています。 Migrate for Compute Engine Manager が内部 IP アドレスを使用して API とサービスにアクセスするように指定するには、チェックボックスをオンにします。Migrate for Compute Engine Manager にパブリック IP アドレスは作成されません。
このオプションをオンにした場合は、Migrate for Compute Engine Manager に対してプライベート アクセスを可能にする必要があります。たとえば、限定公開の Google アクセスを使用できます。
Migrate for Compute Engine Manager をインストールし、ネットワーク アクセスを構成したら、Migrate for Compute Engine Manager を開きます。[System Settings] に移動して [Logs] を表示し、到達可能かどうかを確認します。
サービス アカウント
ここでは、作成済みのサービス アカウントを選択することも、Migrate for Compute Engine でサービス アカウントを作成することもできます。サービス アカウントを作成するには、プルダウンから [サービス アカウントの作成] を選択します。
設定 使用できる値 説明 移行マネージャー サービス アカウント サービス アカウントで説明されているサービス アカウント名。
Migrate for Compute Engine Manager から Google Cloud API 呼び出しを実行するときに使用されます。
API の有効化とサービス アカウントの作成の手順に沿ってサービス アカウントを作成した場合は、ここでそのアカウント名を使用できます。
Migrate for Compute Engine Cloud Extension サービス アカウント サービス アカウントで説明されているサービス アカウント名。
セットアップ中に作成された Cloud Extension から Google Cloud API 呼び出しを実行するときに使用されます。
API の有効化とサービス アカウントの作成の手順に沿ってサービス アカウントを作成した場合は、ここでそのアカウント名を使用できます。
移行マネージャーのパスワード
設定 使用できる値 説明 移行マネージャーと API のパスワード 英数字の 8 文字を超える文字列。 apiuser
のユーザー名で、Migrate for Compute Engine Manager または API での認証時に使用するパスワード。秘密鍵の暗号化パスワード 英数字の 8 文字を超える文字列。記号 ~!@#%^&*()_+{}[]|./<>:
を含めることができます。Migrate for Compute Engine Manager の秘密鍵の暗号化に使用されます。 次のいずれかを実行します。
- apiPassword フィールドと secretEncKey フィールドにパスワードを書式なしテキストとして直接入力します。この場合、マネージャー VM メタデータにパスワードが保存されます。
または
Secret Manager を使用して、各パスワードに暗号化されたシークレットを作成します。
任意のプロジェクトで Secret Manager を有効にします。
gcloud services enable secretmanager.googleapis.com
移行マネージャーと API パスワードのシークレットを作成します。
- [シークレットの作成] をクリックします。
- シークレット名を入力します。例:
my-secret-password
- 移行マネージャーと API のパスワードに対応するシークレットの値を入力します。
- [リージョン] セクションは変更しません。
- [シークレットの作成] を選択します。シークレットの詳細ページが表示されます。
- [情報パネルを表示] をクリックして、パネルを開きます。
- 情報パネルで [プリンシパルを追加] をクリックします。
- [新しいプリンシパル] テキスト領域に、前の手順で指定したサービス アカウントのメールアドレスを入力します。
- [ロールを選択] プルダウンで、[Secret Manager]、[Secret Manager のシークレット アクセサー] の順に選択します。
手順 c を繰り返して、秘密鍵の暗号化パスワードのシークレットを作成します。
[移行マネージャーの定義] ページに戻ります。
[apiPassword] フィールドに、次のように入力します。
secret:PROJECT-NAME/SECRET-NAME
[secretEncKey] フィールドに、次のように入力します。
secret:PROJECT-NAME/SECRET-NAME
[続行] をクリックします。
構成を確認します。
Migrate for Compute Engine Manager からのロギングの構成
Migrate for Compute Engine Manager を、ロギングを開始するように構成できます。また、vSphere で Migrate for Compute Engine Backend をデプロイする際に必要なトークンも取得できます。
- Migrate for Compute Engine Manager を構成するときに指定したユーザー名
apiuser
とパスワードを使用して、Migrate for Compute Engine Manager にログインします。このサーバーでは自己署名 SSL 証明書が使用され、証明書の警告が表示される場合があります。 - ログイン後、Google Cloud Observability の自動ログ収集を有効にすることができます。ログ収集を有効にすると、Migrate for Compute Engine で次の情報を入手できます。
- 構成とログ
- Cloud Monitoring、または使用量とパフォーマンスに関する指標
- Migrate for Compute Engine Manager のホームページが表示されたら、[System Settings] をクリックします。
- VMware から Google Cloud に移行する場合のみ、[Create Token] をクリックして、トークンをクリップボードにコピーします。
Migrate for Compute Engine Backend のデプロイの説明に従って、このトークンを使用して vSphere で Migrate for Compute Engine バックエンドを構成します。
トークンは 90 分間有効です。有効なトークンは一度に 1 つのみです。
次のステップ
- vSphere からの移行の場合は、Migrate for Compute Engine On-Premises Backend 仮想アプライアンスを構成します。
- Amazon EC2 または Azure からの移行の場合は、次のトピックをご覧ください。