版本 4.11

配置迁移管理器

本主题介绍如何使用 Google Cloud Console 执行大多数任务,以便在 Google Cloud 上配置 Migrate for Compute Engine Manager。

如需详细了解在此配置期间启用的 API 和创建的服务帐号,请参阅配置 Google Cloud 概览

如需查看环境的架构视图,请参阅迁移环境架构

准备工作

使用本主题中介绍的向导设置迁移管理器时,系统会提示您确认或执行以下操作。

  • 配置必需的网络连接。

    在启动向导之前,请先设置虚拟专用网 (VPN),以便迁移管理器与要从中迁移虚拟机的来源平台进行通信。如需详细了解可用选项,请参阅 Cloud VPN 概览

  • 配置防火墙规则。

    设置 VPN 后,请创建防火墙规则,允许迁移环境中的组件间通信。如需详细了解所需规则,请参阅网络访问要求

  • 创建服务帐号。

    Migrate for Compute Engine 组件(如 Migrate for Compute Engine Manager 和 Cloud Extensions 扩展)需要服务帐号才能执行迁移任务。您可以通过以下方式创建这些服务帐号:

  • 创建迁移管理器密码

    Migrate for Compute Engine Manager 使用两个密码:一个用于在 Migrate for Compute Engine Manager 中对 apiuser 进行身份验证,一个用于加密 Migrate for Compute Engine Manager 的私钥。您可以通过以下方式创建这些密码:

    • 在配置迁移管理器时,直接将密码输入 Google Cloud Console。此操作会将密码存储在管理器虚拟机元数据中。

    • 使用 Secret Manager 为每个密码创建加密 Secret。

设置 GCP 帐号、组织和项目

您需要一个 Google Cloud 组织作为迁移目标和创建基础架构项目的位置。

要创建 Google Cloud 组织和基础架构项目,请按以下步骤操作。

  1. 转到 Google Cloud Console 并登录。
  2. 如果您还没有帐号,请注册创建一个帐号

  3. 如果您没有组织,请按照创建和管理组织中的说明进行设置组织。

    如需了解详情,请参阅企业组织最佳做法

  4. 如果您还没有帐号,请为将 Google Cloud 配置为迁移目标的管理员创建用户帐号。
  5. 对于管理员,请分配以下权限,授予帐号对 Google Cloud 组织进行必要更改的权限:
  6. 创建 Google Cloud 项目,以在 Google Cloud 上托管 Migrate for Compute Engine 基础架构。在本文档的其余部分中,我们将其称为“基础架构项目”

设置 API、网络和 Migrate for Compute Engine Manager

你可按照以下步骤操作,安装 Migrate for Compute Engine Manager 作为部署到 Compute Engine 的虚拟机。开始之前,请确保已阅读本主题开头列出的前提条件。其中介绍了 Migrate for Compute Engine Manager 所需的配置,以及开始之前应具备的配置。

使用 Cloud Marketplace 创建和配置所需的资源

  1. 转到 Cloud Marketplace 中的 Migrate for Compute Engine 页面

    本页面列出了 Migrate for Compute Engine 的组件和优势。如需详细了解此处列出的关键组件,请参阅迁移环境架构

  2. 点击转到 Migrate for Compute Engine

    • 如果您尚未启用迁移必需的 API,系统会提示您启用。点击必需的 API 可在此页面中查看已启用的 API 列表。

      1. 要启用 API,请点击启用 API
      2. 点击部署迁移管理器以创建迁移管理器(在 Compute Engine 上运行的虚拟机实例)。
    • 如果您已启用必需的 API,系统会提示继续并创建迁移管理器实例。

      • 点击创建管理器
  3. 在第 1 步配置网络连接下,执行以下操作以设置迁移环境中必需的资源:

    • 配置必需的网络连接

      如果您尚未设置,请设置虚拟专用网 (VPN),以便迁移管理器与要从中迁移虚拟机的来源平台进行通信。

      • 点击转到混合连接以设置 VPN 连接。如需详细了解可用选项,请参阅 Cloud VPN 概览
    • 配置防火墙规则

      如果您尚未设置,请在创建 VPN 规则后创建防火墙规则,允许迁移环境中的组件间通信。如需详细了解所需规则,请参阅网络访问要求

      • 点击转到防火墙规则以设置防火墙规则。
  4. 选中复选框以确认您已满足网络连接前提条件,然后点击继续

  5. 在第 2 步配置迁移管理器页面下,输入信息以设置迁移管理器。

    如需详细了解迁移管理器,请参阅迁移环境架构

    按照下表中的说明在字段中输入或选择值:

    迁移管理器虚拟机实例

    设置 可接受的值 说明
    迁移管理器虚拟机实例名称 字母数字字符串。 部署 Migrate for Compute Engine Manager 时希望为其使用的名称。选择对您将要进行的迁移有意义的内容,例如 account-processing-migration-manager
    区域 下拉列表中提供的区域名称。

    选择可从您的 VPN 访问的区域。可访问区域将列在 VPC 网络配置中子网的配置值中。

    如需详细了解各区域,请参阅 Compute Engine 文档中的区域和地区

    地区 下拉列表中提供的地区名称。

    选择可从您的 VPN 访问的地区。可访问地区将列在 VPC 网络配置中子网的配置值中。

    要详细了解各地区,请参阅 Compute Engine 文档中的区域和地区

    机器类型 值为预设值。

    目前,只有一种机器类型为 Migrate for Compute Engine Manager 可用类型。

    要详细了解机器类型,请参阅 Compute Engine 文档中的机器类型

    网络

    设置 可接受的值 说明
    网络 下拉列表中提供的网络名称。

    确定实例可以访问的网络流量。

    要详细了解网络和子网,请参阅 Compute Engine 文档中的区域和地区

    子网 下拉列表中提供的子网名称。系统会根据您选择的网络填充此列表。

    向实例分配子网范围内的 IPv4 地址。不同子网中的实例只要同属于一个网络,就可以使用其内部 IP 互相通信。

    要详细了解网络和子网,请参阅 Compute Engine 文档中的区域和地区

    网络标记(可选) 小写字母、数字和短划线。

    系统会向 Migrate for Compute Engine Manager 分配网络标记。

    如需了解详情(包括建议的标记名称),请参阅设置网络。关于网络标记的详情,请参阅配置网络标记

    仅启用对 API 和服务的内部访问权限 选中或清除。

    选中此复选框以指定 Migrate for Compute Engine Manager 应使用其内部 IP 地址访问 API 和服务。系统不会为 Migrate for Compute Engine Manager 创建公共 IP 地址。

    如果您选择此选项,则必须为 Migrate for Compute Engine Manager 提供专用访问通道。例如,您可以使用专用 Google 访问通道

    安装和配置 Migrate for Compute Engine Manager 和网络访问权限后,您可以通过打开 Migrate for Compute Engine Manager,转到“系统设置”并查看“日志”标签页来查看其是否可访问。

    服务帐号

    在这里,您可以选择已创建的服务帐号,或让 Migrate for Compute Engine 创建服务帐号。如需为自己建服务帐号,请从下拉列表中选择创建服务帐号

    设置 可接受的值 说明
    迁移管理器服务帐号

    服务帐号名称,如服务帐号中所述。

    在通过 Migrate for Compute Engine Manager 执行 Google Cloud API 调用时使用。

    如果您按照启用 API 和创建服务帐号中的说明创建了服务帐号,则可以在此处使用该帐号名称。

    Migrate for Compute Engine Cloud Extensions 扩展服务帐号

    服务帐号名称,如服务帐号中所述。

    通过设置过程中创建的 Cloud Extensions 扩展 执行 GCP API 调用时使用。

    如果您按照启用 API 和创建服务帐号中的说明创建了服务帐号,则可以在此处使用该帐号名称。

    迁移管理器密码

    设置 可接受的值 说明
    迁移管理器和 API 密码 长度超过 8 个字母数字字符的字符串。 您将使用 apiuser 用户名在 Migrate for Compute Engine Manager 或其 API 中进行身份验证的密码。
    私钥加密密码 长度超过 8 个字母数字字符的字符串。可以包含以下任意符号:~!@#%^&*()_+{}[]|./<>: 用于加密 Migrate for Compute Engine Manager 的私钥。

    采用以下任一方式:

    • 将密码以纯文本形式直接输入到 apiPasswordsecretEncKey 字段中。此操作会将密码存储在管理器虚拟机元数据中。

    或:

    • 使用 Secret Manager 为每个密码创建加密 Secret。

      1. 在任意项目中启用 Secret Manager:

        gcloud services enable secretmanager.googleapis.com
      2. 转到 Cloud Marketplace 中的 Secret Manager 页面

      3. 为迁移管理器和 API 密码创建 Secret:

        1. 点击创建 Secret
        2. 输入 Secret 名称。例如 my-secret-password
        3. 输入与迁移管理器和 API 密码对应的 Secret 值
        4. 保持区域部分不变。
        5. 选择创建 Secret。系统会显示该 Secret 的详细信息页面。
        6. 点击显示信息面板以打开面板。
        7. 在信息面板中,点击添加成员
        8. 新成员文本区域中,输入您在上一步中指定的服务帐号的电子邮件地址。
        9. 选择角色下拉列表中,选择 Secret Manager,然后选择 Secret Manager Secret Accessor
      4. 重复步骤 c 以为私钥加密密码创建 Secret。

      5. 切换回配置迁移管理器页面。

      6. apiPassword 字段中,输入:

        secret:PROJECT-NAME/SECRET-NAME
      7. secretEncKey 字段中,输入:

        secret:PROJECT-NAME/SECRET-NAME
  6. 点击继续

  7. 确认您的配置。

通过 Migrate for Compute Engine Manager 配置日志记录

您可以配置 Migrate for Compute Engine Manager 以开始进行日志记录。您还可以获取在 vSphere 上部署 Migrate for Compute Engine 后端时需要的令牌。

  1. 使用您在配置 Migrate for Compute Engine Manager 时指定的用户名 apiuser密码登录 Migrate for Compute Engine Manager。 此服务器使用自签名 SSL 证书,可能会显示证书警告。

  2. 登录后,您可以启用自动收集 Google Cloud 的运维套件日志功能。启用日志收集功能可为 Migrate for Compute Engine 提供以下各项:
  3. 当 Migrate for Compute Engine Manager 主页出现时,点击系统设置
  4. 点击创建令牌并将令牌复制到剪贴板(仅限 VMware 到 Google Cloud 的迁移)。

    您将使用此令牌在 vSphere 上配置 Migrate for Compute Engine 后端,详情请参阅部署 Migrate for Compute Engine 后端

    令牌在 90 分钟内有效。一次只有一个令牌有效。

后续步骤