Google Cloud Migrate for Compute Engine(旧称 Velostrata)を使用して移行を実施するには、オンプレミスと Google Cloud のネットワークを接続する必要があります。それは次のリソースを設定することを意味します。
- Google Cloud 上の Virtual Private Cloud(VPC)。
- すべての環境でのファイアウォール ルール: オンプレミス、AWS、Azure、Google Cloud VPC。
- Google Cloud、AWS、Azure 間、または社内 LAN 内のルーティング ルールや転送ルールを持つ、VPN や他のネットワークとの相互接続。
- インスタンス間でトラフィックを受け渡すための Google Cloud ネットワーク タグまたはインスタンス サービス アカウント。
このページでは、Migrate for Compute Engine 以外のアプリケーションのファイアウォール ルールやルートについては言及しません。アプリケーションで、Google Cloud 上の追加構成が必要となる場合があります。詳細については、ファイアウォール ルール、ルート、ネットワーク タグの構成をご覧ください。
前提条件
続行する前に、Migrate for Compute Engine コンポーネントと移行したワークロードをホストするための VPC を作成したことを確認します。
ネットワーク タグ
Google Cloud では、特定の VM に適用するネットワーク ファイアウォール ルールを識別するためにタグを使用します。同じネットワーク タグが割り当てられているコンポーネントは互いに通信できます。Migrate for Compute Engine では、ワークロードの移行をスムーズに行うためにネットワーク タグが割り当てられます。
次の表は、必須のネットワーク タグ、名前の候補、構成を示しています。
ネットワーク タグ | 名前の候補 | 説明 |
---|---|---|
Velostrata Manager | fw-velosmanager | このネットワーク タグは、Google Cloud Marketplace のクリック デプロイ オプションを使用して、Velostrata Manager をデプロイする前に指定します。 |
Migrate for Compute Engine Cloud Extension | fw-velostrata | 1 つ以上のネットワーク タグを、Migrate for Compute Engine Cloud Extension の作成時に適用できます。 |
ワークロード | fw-workload | シンプルにするために、このトピックではワークロード ネットワーク タグを参照します。これにより、ワークロード ノードはプロジェクトの Migrate for Compute Engine リソースにアクセスできます。 |
カスタム |
カスタムタグにより、それらを共有するインスタンス間の接続が可能になります。ウェブサイトを複数の VM インスタンスで配信している場合は、これらのインスタンスに共通の値のタグを付け、そのタグを使用して、これらのインスタンスへの HTTP アクセスを許可するファイアウォール ルールを適用します。 注: Google Cloud 上のネットワーク タグ名に使用できるのは、小文字、数字、ダッシュのみです。また、先頭と末尾は数字または小文字にする必要があります。 |
ファイアウォール ルール
Migrate for Compute Engine を機能させるために必要な送信元から送信先へのファイアウォール アクセスの種類と、そのプロトコルとポートを次の表に示します。
詳細については、次のファイアウォールのドキュメントをご覧ください。
- オンプレミスの社内 LAN 内のファイアウォールについては、ベンダーのドキュメントをご覧ください。
- VPC ファイアウォールのドキュメント
- AWS VPC ファイアウォールのドキュメント
- Azure ファイアウォールのドキュメント
Google Cloud VPC
送信元 | 送信先 | ファイアウォールの範囲 | 省略可 | プロトコル | ポート |
---|---|---|---|---|---|
Velostrata Manager ネットワーク タグ(GCP) | GCP API エンドポイント | インターネットまたは限定公開の Google アクセス | × | HTTPS | TCP/443 |
Velostrata Manager ネットワーク タグ(GCP) | AWS API エンドポイント
(AWS から GCP への移行) |
インターネット | × | HTTPS | TCP/443 |
Velostrata Manager ネットワーク タグ(GCP) | Azure API エンドポイント
(Azure から GCP への移行) |
インターネット | × | HTTPS | TCP/443 |
社内 LAN サブネット(ウェブ UI アクセス) | Velostrata Manager ネットワーク タグ(GCP) | VPN オンプレミス | × | HTTPS | TCP/443 |
Velostrata Backend | Velostrata Manager ネットワーク タグ(GCP) | VPN オンプレミス | × | gRPC | TCP/9119 |
Velostrata Manager ネットワーク タグ(GCP) | ワークロード ネットワーク タグ(GCP) インスタンス コンソール可用性プローブ用 |
VPC | ○ | RDP
SSH |
TCP/3389
TCP/22 |
Velostrata Manager ネットワーク タグ(GCP) | Migrate for Compute Engine Cloud Extension ネットワーク タグ(GCP) | VPC | × | HTTPS | TCP/443、 TCP/9111 |
Velostrata Manager ネットワーク タグ(GCP) | Migrate for Compute Engine Importer(AWS サブネット) | VPN から AWS | × | HTTPS | TCP/443 |
Velostrata Manager ネットワーク タグ(GCP) | Migrate for Compute Engine Importer(Azure サブネット) | VPN から Azure | × | HTTPS | TCP/443 |
Migrate for Compute Engine Cloud Extension ネットワーク タグ | Google Cloud Storage API | インターネットまたは限定公開の Google アクセス | × | HTTPS | TCP/443 |
ワークロード ネットワーク タグ(GCP) または インスタンス サービス アカウント(GCP) |
Migrate for Compute Engine Cloud Extension ネットワーク タグ(GCP) | VPC | × | iSCSI | TCP/3260 |
Velostrata Backend | Migrate for Compute Engine Cloud Extension ネットワーク タグ(GCP) | VPN オンプレミス | × | TLS | TCP/9111 |
Migrate for Compute Engine Importer(AWS サブネット) | Migrate for Compute Engine Cloud Extension ネットワーク タグ(GCP) | VPN から AWS | × | TLS | TCP/9111 |
Migrate for Compute Engine Importer(Azure サブネット) | Migrate for Compute Engine Cloud Extension ネットワーク タグ(GCP) | VPN から Azure | × | TLS | TCP/9111 |
Migrate for Compute Engine Cloud Extension ネットワーク タグ(GCP) | Migrate for Compute Engine Cloud Extension ネットワーク タグ(GCP) | VPC | × | 任意 | 任意 |
オンプレミス
オンプレミスの VMware 仮想マシンまたは物理マシンを GCP に移行する場合に適用されるルールを次の表に示します。
送信元 | 送信先 | ファイアウォールの範囲 | 省略可 | プロトコル | ポート |
---|---|---|---|---|---|
Velostrata Backend | vCenter Server | 社内 LAN | × | HTTPS | TCP/443 |
Velostrata Backend | vSphere ESXi | 社内 LAN | × | VMW NBD | TCP/902 |
Migrate for Compute Engine Backend | Stackdriver(インターネットを使用) | インターネット | ○ | HTTPS | TCP/443 |
Velostrata Backend | 社内 DNS サーバー | 社内 LAN | × | DNS | TCP/UDP/53 |
Velostrata Backend | Velostrata Manager(GCP) | VPN から GCP | × | TLS/SSL
HTTPS |
TCP/9119
TCP/443 |
Velostrata Backend | Migrate for Compute Engine Cloud Extension ノード(GCP サブネット) | VPN から GCP | × | TLS/SSL | TCP/9111 |
vCenter Server | Velostrata Backend | 社内 LAN | × | HTTPS | TCP/443 |
Azure VNet
Azure インスタンスを Azure から GCP に移行する際に適用されるルールを次の表に示します。
送信元 | 送信先 | ファイアウォールの範囲 | 省略可 | プロトコル | ポート |
---|---|---|---|---|---|
Velostrata Manager | Migrate for Compute Engine Importer のセキュリティ グループ | VPN から GCP | × | HTTPS | TCP/443 |
Migrate for Compute Engine Importer のセキュリティ グループ | Migrate for Compute Engine Cloud Extension ノード(GCP サブネット) | VPN から GCP | × | TLS | TCP/9111 |
AWS VPC
AWS VPC から GCP に AWS EC2 インスタンスを移行する場合に適用されるルールを次の表に示します。
送信元 | 送信先 | ファイアウォールの範囲 | 省略可 | プロトコル | ポート |
---|---|---|---|---|---|
Velostrata Manager | Migrate for Compute Engine Importer のセキュリティ グループ | VPN から GCP | × | HTTPS | TCP/443 |
Migrate for Compute Engine Importer のセキュリティ グループ | Migrate for Compute Engine Cloud Extension ノード(GCP サブネット) | VPN から GCP | × | TLS | TCP/9111 |
トラブルシューティング
移行には次のルールは必要ありませんが、これらにより問題のトラブルシューティング中にサーバーに直接接続してログを受信できます。
送信元 | 送信先 | ファイアウォールの範囲 | 省略可 | プロトコル | ポート |
---|---|---|---|---|---|
ローカルマシン | Google Cloud 上の Velostrata Manager | VPN から GCP | ○ | SSH | TCP/22 |
Velostrata Manager(GCP) | Migrate for Compute Engine On-Premises Backend
Migrate for Compute Engine Cloud Extension ネットワーク タグ(GCP) Migrate for Compute Engine Importer(AWS サブネット) |
VPN オンプレミス
VPC VPN から AWS |
○ | SSH | TCP/22 |
ワークロード ネットワーク タグ(GCP) または インスタンス サービス アカウント(GCP) |
Migrate for Compute Engine Cloud Extension ネットワーク タグ(GCP) | VPC | ○ | SYSLOG(GCP VM ブートフェーズ用) | UDP/514 |
オンプレミスから Google Cloud への構成の例
これまでのセクションでは、移行に適用されるルールについて説明しました。 このセクションでは、Google Cloud コンソールを使用して構成された VPC のネットワーク構成の例について説明します。詳細については、ファイアウォール ルールの作成をご覧ください。
次の例では、192.168.1.0/24 サブネットはオンプレミス ネットワークを表し、10.1.0.0/16 は Google Cloud 上の VPC を表します。
名前 | タイプ | ターゲット | 送信元 | ポート | 目的 |
---|---|---|---|---|---|
velos-backend-control | 上り | fw-velosmanager | 192.168.1.0/24 | tcp:9119 | Velostrata Backend と Velostrata Manager の間のコントロール プレーン。 |
velos-ce-backend | 上り | fw-velostrata | 192.168.1.0/24 | tcp:9111 | Velostrata Backend から Cloud Extension に送信される暗号化された移行データ。 |
velos-ce-control | 上り | fw-velostrata | fw-velosmanager | tcp:443、 tcp:9111 |
Cloud Extension と Velostrata Manager の間のコントロール プレーン。 |
velos-ce-cross | 上り | fw-velostrata | fw-velostrata | すべて | Cloud Extension ノード間の同期。 |
velos-console-probe | 上り(内向き) | fw-workload | fw-velosmanager | tcp:22, tcp:3389 | 移行する VM で SSH または RDP コンソールが使用可能かどうかを Velostrata Manager で確認できるようにします。 |
velos-webui | 上り | fw-velosmanager | 192.168.1.0/24、 10.1.0.0/16 |
tcp:443 | ウェブ UI の Velostrata Manager への HTTPS アクセス。 |
velos-workload | 上り | fw-velostrata | fw-workload | tcp:3260、 udp:514 |
データ移行と syslog 用の iSCSI |
ネットワークのルーティングと転送
必要な通信を可能にするファイアウォール ルールを設定したら、ネットワーク間でトラフィックを伝送する追加の静的ルートが必要になることがあります。
オンプレミスの社内 LAN 内のルーティングと転送については、ルーター、ファイアウォール、VPN ベンダーのドキュメントを参照してください。
Google Cloud でのルーティングと転送の詳細については、以下のドキュメントを参照してください。
AWS から Google Cloud へのルーティングと転送については、以下のドキュメントをご覧ください。
Azure から Google Cloud へのルーティングと転送については、以下のドキュメントをご覧ください。