Per eseguire una migrazione con Google Cloud Migrate for Compute Engine (in precedenza Velostrata), devi connettere le reti on-premise e su Google Cloud. Ciò comporta la configurazione delle seguenti risorse:
- Un Virtual Private Cloud (VPC) su Google Cloud.
- Regole firewall in tutti gli ambienti: on-premise, AWS, Azure e Google Cloud VPC.
- VPN o altre interconnessioni di rete con regole di routing e forwarding tra Google Cloud, AWS, Azure o all'interno della LAN aziendale.
- Tag di rete Google Cloud o account di servizio delle istanze che consentono il passaggio del traffico tra le istanze.
In questa pagina non sono elencate regole o route firewall per applicazioni diverse da Migrate for Compute Engine. Le tue applicazioni potrebbero richiedere un'ulteriore configurazione su Google Cloud. Per ulteriori informazioni, consulta Regole firewall, route e Configurazione dei tag di rete.
Prerequisiti
Prima di continuare, assicurati di aver creato un VPC per ospitare i componenti di Migrate for Compute Engine e i carichi di lavoro di cui è stata eseguita la migrazione.
Tag di rete
Google Cloud utilizza i tag per identificare quali regole firewall di rete si applicano a determinate VM. I componenti con gli stessi tag di rete possono comunicare tra loro. Migrate for Compute Engine assegna tag di rete per facilitare la migrazione dei carichi di lavoro.
La seguente tabella descrive i tag di rete obbligatori, i nomi suggeriti e le configurazioni.
Tag di rete | Nome suggerito | Descrizione |
---|---|---|
Velostrata Manager | fw-velosmanager | Devi specificare questo tag di rete prima di eseguire il deployment di Velostrata Manager utilizzando l'opzione click-to-deploy di Google Cloud Marketplace. |
Estensione Cloud di Migrate for Compute Engine | fw-velostrata | Puoi applicare uno o più tag di rete durante la creazione delle estensioni Cloud di Migrate for Compute Engine. |
Carico di lavoro | fw-workload | Per semplicità, questo argomento fa riferimento al tag di rete Workload, che consente ai nodi del carico di lavoro di accedere alle risorse Migrate for Compute Engine del tuo progetto. |
Valore personalizzato |
I tag personalizzati abilitano la connettività tra le istanze che le condividono. Se disponi di diverse istanze VM che gestiscono un sito web, tagga queste istanze con un valore comune e utilizza questo tag per applicare una regola firewall che consenta l'accesso HTTP a queste istanze. Nota: i nomi dei tag di rete validi su Google Cloud contengono solo lettere minuscole, numeri e trattini. Inoltre, devono iniziare e terminare con un numero o un carattere minuscolo. |
Regole firewall
Affinché Migrate for Compute Engine funzioni, le seguenti tabelle elencano il tipo di accesso firewall necessario dall'origine alla destinazione e i relativi protocolli e porte.
Per ulteriori informazioni, consulta la seguente documentazione relativa al firewall:
- Per i firewall all'interno della LAN aziendale on-premise, consulta la documentazione del tuo fornitore.
- Documentazione del firewall VPC
- Documentazione sul firewall VPC AWS
- Documentazione del firewall Azure
VPC Google Cloud
Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
---|---|---|---|---|---|
Tag di rete Velostrata Manager (Google Cloud) | Endpoint API Google Cloud | Accesso a internet o privato Google | No | HTTPS | TCP/443 |
Tag di rete Velostrata Manager (Google Cloud) | Endpoint API AWS
(Migrazioni da AWS a Google Cloud) |
Internet | No | HTTPS | TCP/443 |
Tag di rete Velostrata Manager (Google Cloud) | Endpoint API Azure
(Migrazioni da Azure a Google Cloud) |
Internet | No | HTTPS | TCP/443 |
Subnet LAN aziendali (per accesso all'interfaccia utente web) | Tag di rete Velostrata Manager (Google Cloud) | VPN on-premise | No | HTTPS | TCP/443 |
Backend Velostrata | Tag di rete Velostrata Manager (Google Cloud) | VPN on-prem | No | gRPC | TCP/9119, |
Tag di rete Velostrata Manager (Google Cloud) | Tag di rete dei carichi di lavoro (Google Cloud)
Per il probe di disponibilità della console di istanza |
VPC | Sì | RDP
SSH |
TCP/3389
TCP/22, |
Tag di rete Velostrata Manager (Google Cloud) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | VPC | No | HTTPS | TCP/443 TCP/9111 |
Tag di rete Velostrata Manager (Google Cloud) | Importatori di Migrate for Compute Engine (subnet AWS) | Da VPN ad AWS | No | HTTPS | TCP/443 |
Tag di rete Velostrata Manager (Google Cloud) | Importatori di Migrate for Compute Engine (subnet Azure) | Da VPN ad Azure | No | HTTPS | TCP/443 |
Tag di rete dell'estensione Cloud di Migrate for Compute Engine | API Google Cloud Storage | Internet o accesso privato Google | No | HTTPS | TCP/443 |
Tag di rete dei carichi di lavoro (Google Cloud)
Oppure Account di servizio dell'istanza (Google Cloud) |
Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | VPC | No | iSCSI | TCP/3260 |
Backend Velostrata | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | VPN on-prem | No | TLS | TCP/9111 |
Importatori di Migrate for Compute Engine (subnet AWS) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | Da VPN ad AWS | No | TLS | TCP/9111 |
Importatori di Migrate for Compute Engine (subnet Azure) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | Da VPN ad Azure | No | TLS | TCP/9111 |
Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | VPC | No | QUALSIASI | QUALSIASI |
On-premise
La tabella seguente elenca le regole che si applicano durante la migrazione di macchine virtuali VMware o macchine fisiche on-premise a Google Cloud.
Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
---|---|---|---|---|---|
Backend Velostrata | vCenter Server | LAN aziendale | No | HTTPS | TCP/443 |
Backend Velostrata | vSphere ESXi | LAN aziendale | No | VMW NBD | TCP/902 |
Backend di Migrate for Compute Engine | Stackdriver utilizza internet | Internet | Sì | HTTPS | TCP/443 |
Backend Velostrata | Server DNS aziendale | LAN aziendale | No | DNS | TCP/UDP/53 |
Backend Velostrata | Velostrata Manager (Google Cloud) | Da VPN a Google Cloud | No | TLS/SSL
HTTPS |
TCP/9119,
TCP/443 |
Backend Velostrata | Nodi estensione Cloud di Migrate for Compute Engine (subnet Google Cloud) | Da VPN a Google Cloud | No | TLS/SSL | TCP/9111 |
vCenter Server | Backend Velostrata | LAN aziendale | No | HTTPS | TCP/443 |
VNet di Azure
La tabella seguente elenca le regole applicabili durante la migrazione di istanze Azure da Azure a Google Cloud.
Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
---|---|---|---|---|---|
Velostrata Manager | Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Da VPN a Google Cloud | No | HTTPS | TCP/443 |
Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Nodi estensione Cloud di Migrate for Compute Engine (subnet Google Cloud) | Da VPN a Google Cloud | No | TLS | TCP/9111 |
VPC AWS
La tabella seguente elenca le regole applicabili durante la migrazione di istanze AWS EC2 da AWS VPC a Google Cloud.
Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
---|---|---|---|---|---|
Velostrata Manager | Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Da VPN a Google Cloud | No | HTTPS | TCP/443 |
Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Nodi estensione Cloud di Migrate for Compute Engine (subnet Google Cloud) | Da VPN a Google Cloud | No | TLS | TCP/9111 |
Risoluzione dei problemi
Le seguenti regole non sono necessarie per le migrazioni, ma ti consentono di connetterti direttamente ai server e ricevere i log durante la risoluzione dei problemi.
Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
---|---|---|---|---|---|
La tua macchina locale | Velostrata Manager su Google Cloud | Da VPN a Google Cloud | Sì | SSH | TCP/22, |
Velostrata Manager (Google Cloud) | Backend on-premise di Migrate for Compute Engine
Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) Importatori di Migrate for Compute Engine (subnet AWS) |
VPN on-prem
VPC Da VPN ad AWS |
Sì | SSH | TCP/22, |
Tag di rete di carichi di lavoro (Google Cloud)
Oppure Account di servizio dell'istanza (Google Cloud) |
Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | VPC | Sì | SYSLOG (per la fase di avvio VM Google Cloud) | UDP/514 |
Esempio di configurazione da on-premise a Google Cloud
Le sezioni precedenti spiegano le regole che potrebbero essere applicate alla migrazione. Questa sezione illustra una configurazione di rete di esempio per il tuo VPC, configurata tramite la console Google Cloud. Per maggiori informazioni, consulta la sezione Creazione di regole firewall.
Nell'esempio seguente, la subnet 192.168.1.0/24 rappresenta la rete on-premise e la subnet 10.1.0.0/16 rappresenta il VPC su Google Cloud.
Nome | Tipo | Target | Origine | Porte | Finalità |
---|---|---|---|---|---|
velos-backend-control | In entrata | fw-velosmanager | 192.168.1.0/24 | tcp:9119 | Piano di controllo tra il backend di Velostrata e Velostrata Manager. |
velos-ce-backend | In entrata | fw-velostrata | 192.168.1.0/24 | tcp:9111. | Dati di migrazione criptati inviati dal backend Velostrata a Cloud Extensions. |
velos-ce-control | In entrata | fw-velostrata | fw-velosmanager | tcp:443, tcp:9111. |
Piano di controllo tra Cloud Extensions e Velostrata Manager. |
velos-ce-cross | In entrata | fw-velostrata | fw-velostrata | tutte | Sincronizzazione tra i nodi delle estensione Cloud. |
velos-console-probe | In entrata | fw-workload | fw-velosmanager | tcp:22, tcp:3389. | Consente a Velostrata Manager di verificare se è disponibile la console SSH o RDP sulla VM migrata. |
velos-webui | In entrata | fw-velosmanager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443. | Accesso HTTPS a Velostrata Manager per l'interfaccia utente web. |
velos-workload | In entrata | fw-velostrata | fw-workload | tcp:3260, udp:514 |
iSCSI per la migrazione dei dati e syslog |
Routing e inoltro di rete
Una volta applicate le regole firewall che consentono le comunicazioni necessarie, potrebbero essere necessarie ulteriori route statiche per trasportare il traffico tra le reti.
Per il routing e l'inoltro all'interno della LAN aziendale on-premise, consulta la documentazione del fornitore di router, firewall e VPN.
Per ulteriori informazioni sul routing e sul forwarding in Google Cloud, consulta la seguente documentazione:
- Panoramica del virtual private cloud
- Panoramica del router Cloud
- Panoramica di Cloud VPN
- Panoramica di Cloud Interconnect
Per il routing e l'inoltro da AWS a Google Cloud, consulta i seguenti documenti:
Per il routing e l'inoltro da Azure a Google Cloud, consulta i seguenti documenti: