Per eseguire una migrazione con Google Cloud Migrate for Compute Engine (in precedenza Velostrata), devi connettere le reti on-premise e in Google Cloud. Ciò comporta la configurazione delle seguenti risorse:
- Un Virtual Private Cloud (VPC) su Google Cloud.
- Regole firewall in tutti gli ambienti: on-premise, AWS, Azure VPC di Google Cloud.
- VPN o altre interconnessioni di rete con regole di routing e forwarding tra Google Cloud, AWS, Azure o all'interno della LAN aziendale.
- Tag di rete Google Cloud o account di servizio delle istanze che consentono del traffico da trasferire tra le istanze.
In questa pagina non vengono elencate le regole o le route firewall per le applicazioni diversi da Migrate for Compute Engine. Le tue applicazioni potrebbero richiedere configurazione su Google Cloud. Per ulteriori informazioni, vedi regole firewall, Route e Configurazione dei tag di rete.
Prerequisiti
Prima di continuare, assicurati di avere creato un VPC per ospitare Componenti di Migrate for Compute Engine e i carichi di lavoro di cui è stata eseguita la migrazione.
Tag di rete
Google Cloud usa i tag per identificare a quali regole firewall di rete si applicano a determinate VM. I componenti con gli stessi tag di rete possono comunicare e l'altro. Migrate for Compute Engine assegna tag di rete per facilitare il carico di lavoro migrazione.
La tabella seguente descrive i tag di rete obbligatori, i nomi suggeriti e configurazioni.
Tag di rete | Nome suggerito | Descrizione |
---|---|---|
Velostrata Manager | fw-velosmanager | Specifica questo tag di rete prima di eseguire il deployment di Velostrata Manager utilizzando l'opzione click-to-deploy di Google Cloud Marketplace. |
Estensione Cloud di Migrate for Compute Engine | fw-velostrata | Puoi applicare uno o più tag di rete durante la creazione le estensioni Cloud di Migrate for Compute Engine. |
Carico di lavoro | fw-workload | Per semplicità, questo argomento fa riferimento al tag di rete dei carichi di lavoro, che consente dei nodi dei carichi di lavoro per accedere alle risorse Migrate for Compute Engine del tuo progetto. |
Personalizzato |
I tag personalizzati abilitano la connettività tra le istanze che le condividono. Se disponi diverse istanze VM che gestiscono un sito web, contrassegnale con un valore comune e poi utilizzare quel tag per applicare una regola firewall che consenta l'accesso HTTP a di Compute Engine. Nota: i nomi dei tag di rete validi su Google Cloud contengono solo lettere minuscole lettere, numeri e trattini. Inoltre, devono iniziare e terminare con un numero o minuscolo. |
Regole firewall
Affinché Migrate for Compute Engine funzioni, le tabelle seguenti elencano il tipo di l'accesso al firewall necessario dall'origine alla destinazione e al relativo protocollo una porta.
Per ulteriori informazioni, consulta la seguente documentazione relativa al firewall:
- Per i firewall all'interno della LAN aziendale on-premise, rivolgiti al tuo fornitore documentazione.
- Documentazione del firewall VPC
- Firewall VPC AWS documentazione
- Firewall di Azure documentazione
VPC Google Cloud
Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
---|---|---|---|---|---|
Tag di rete Velostrata Manager (Google Cloud) | Endpoint API Google Cloud | Accesso a internet o privato Google | No | HTTPS | TCP/443 |
Tag di rete Velostrata Manager (Google Cloud) | Endpoint API AWS
(Migrazioni da AWS a Google Cloud) |
Internet | No | HTTPS | TCP/443 |
Tag di rete Velostrata Manager (Google Cloud) | Endpoint API Azure
(Migrazioni da Azure a Google Cloud) |
Internet | No | HTTPS | TCP/443 |
Subnet LAN aziendali (per accesso all'interfaccia utente web) | Tag di rete Velostrata Manager (Google Cloud) | VPN on-premise | No | HTTPS | TCP/443 |
Backend Velostrata | Tag di rete Velostrata Manager (Google Cloud) | VPN on-prem | No | gRPC | TCP/9119, |
Tag di rete Velostrata Manager (Google Cloud) | Tag di rete di carichi di lavoro (Google Cloud)
Per il probe di disponibilità della console di istanza |
VPC | Sì | RDP
SSH |
TCP/3389
TCP/22, |
Tag di rete Velostrata Manager (Google Cloud) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | VPC | No | HTTPS | TCP/443 TCP/9111 |
Tag di rete Velostrata Manager (Google Cloud) | Importatori di Migrate for Compute Engine (subnet AWS) | Da VPN ad AWS | No | HTTPS | TCP/443 |
Tag di rete Velostrata Manager (Google Cloud) | Importatori di Migrate for Compute Engine (subnet Azure) | Da VPN ad Azure | No | HTTPS | TCP/443 |
Tag di rete dell'estensione Cloud di Migrate for Compute Engine | API Google Cloud Storage | Internet o accesso privato Google | No | HTTPS | TCP/443 |
Tag di rete di carichi di lavoro (Google Cloud)
Oppure Account di servizio dell'istanza (Google Cloud) |
Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | VPC | No | iSCSI | TCP/3260 |
Backend Velostrata | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | VPN on-prem | No | TLS | TCP/9111 |
Importatori di Migrate for Compute Engine (subnet AWS) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | Da VPN ad AWS | No | TLS | TCP/9111 |
Importatori di Migrate for Compute Engine (subnet Azure) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | Da VPN ad Azure | No | TLS | TCP/9111 |
Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | VPC | No | QUALSIASI | QUALSIASI |
On-premise
La tabella seguente elenca le regole che si applicano durante la migrazione delle o macchine fisiche on-premise a Google Cloud.
Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
---|---|---|---|---|---|
Backend Velostrata | vCenter Server | LAN aziendale | No | HTTPS | TCP/443 |
Backend Velostrata | vSphere ESXi | LAN aziendale | No | VMW NBD | TCP/902 |
Backend di Migrate for Compute Engine | Stackdriver utilizza internet | Internet | Sì | HTTPS | TCP/443 |
Backend Velostrata | Server DNS aziendale | LAN aziendale | No | DNS | TCP/UDP/53 |
Backend Velostrata | Velostrata Manager (Google Cloud) | Da VPN a Google Cloud | No | TLS/SSL
HTTPS |
TCP/9119,
TCP/443 |
Backend Velostrata | Nodi estensione Cloud di Migrate for Compute Engine (subnet Google Cloud) | Da VPN a Google Cloud | No | TLS/SSL | TCP/9111 |
vCenter Server | Backend Velostrata | LAN aziendale | No | HTTPS | TCP/443 |
VNet Azure
La tabella seguente elenca le regole applicabili durante la migrazione delle istanze Azure da Azure a Google Cloud.
Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
---|---|---|---|---|---|
Velostrata Manager | Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Da VPN a Google Cloud | No | HTTPS | TCP/443 |
Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Nodi estensione Cloud di Migrate for Compute Engine (subnet Google Cloud) | Da VPN a Google Cloud | No | TLS | TCP/9111 |
VPC AWS
La tabella seguente elenca le regole applicabili durante la migrazione di istanze AWS EC2 da VPC AWS a Google Cloud.
Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
---|---|---|---|---|---|
Velostrata Manager | Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Da VPN a Google Cloud | No | HTTPS | TCP/443 |
Gruppo di sicurezza per gli importatori di Migrate for Compute Engine | Nodi estensione Cloud di Migrate for Compute Engine (subnet Google Cloud) | Da VPN a Google Cloud | No | TLS | TCP/9111 |
Risoluzione dei problemi
Le seguenti regole non sono necessarie per le migrazioni, ma ti consentono di connettersi direttamente ai server e ricevere log durante la risoluzione dei problemi.
Origine | Destinazione | Ambito firewall | Facoltativa? | Protocollo | Porta |
---|---|---|---|---|---|
La tua macchina locale | Velostrata Manager su Google Cloud | Da VPN a Google Cloud | Sì | SSH | TCP/22, |
Velostrata Manager (Google Cloud) | Backend on-premise di Migrate for Compute Engine
Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) Importatori di Migrate for Compute Engine (subnet AWS) |
VPN on-prem
VPC Da VPN ad AWS |
Sì | SSH | TCP/22, |
Tag di rete di carichi di lavoro (Google Cloud)
Oppure Account di servizio dell'istanza (Google Cloud) |
Tag di rete dell'estensione Cloud di Migrate for Compute Engine (Google Cloud) | VPC | Sì | SYSLOG (per la fase di avvio VM Google Cloud) | UDP/514 |
Esempio di configurazione da on-premise a Google Cloud
Le sezioni precedenti spiegano le regole che potrebbero essere applicate alla migrazione. Questa sezione illustra una configurazione di rete di esempio per VPC, configurato tramite Google Cloud console dell'utente. Per ulteriori informazioni, vedi Creazione di regole firewall.
Nell'esempio seguente, la subnet 192.168.1.0/24 rappresenta la subnet on-premise e 10.1.0.0/16 rappresenta il VPC su Google Cloud.
Nome | Tipo | Target | Origine | Porte | Finalità |
---|---|---|---|---|---|
velos-backend-control | In entrata | fw-velosmanager | 192.168.1.0/24 | tcp:9119 | Piano di controllo tra il backend di Velostrata e Velostrata Manager. |
velos-ce-backend | In entrata | fw-velostrata | 192.168.1.0/24 | tcp:9111. | Dati di migrazione criptati inviati dal backend Velostrata a Cloud Extensions. |
velos-ce-control | In entrata | fw-velostrata | fw-velosmanager | tcp:443, tcp:9111. |
Piano di controllo tra Cloud Extensions e Velostrata Manager. |
velos-ce-cross | In entrata | fw-velostrata | fw-velostrata | tutte | Sincronizzazione tra i nodi delle estensione Cloud. |
velos-console-probe | In entrata | fw-workload | fw-velosmanager | tcp:22, tcp:3389. | Consente a Velostrata Manager di verificare se la console SSH o RDP sul è disponibile una VM migrata. |
velos-webui | In entrata | fw-velosmanager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443. | Accesso HTTPS a Velostrata Manager per l'interfaccia utente web. |
velos-workload | In entrata | fw-velostrata | fw-workload | tcp:3260, udp:514 |
iSCSI per la migrazione dei dati e syslog |
Routing e inoltro di rete
Una volta che le regole firewall che consentono le comunicazioni necessarie sono in atto, Potrebbero essere necessarie route statiche per trasportare il traffico tra le reti.
Per il routing e l'inoltro all'interno della LAN aziendale on-premise, consulta relativa a router, firewall e VPN.
Per saperne di più su routing e forwarding in Google Cloud, consulta quanto segue documentazione:
- Panoramica del virtual private cloud
- Panoramica del router Cloud
- Panoramica di Cloud VPN
- Panoramica di Cloud Interconnect
Per il routing e l'inoltro da AWS a Google Cloud, consulta quanto segue documenti:
Per il routing e il forwarding da Azure a Google Cloud, consulta quanto segue documenti: