Für die Migration mit Google Cloud Migrate for Compute Engine (früher Velostrata) müssen Sie die Netzwerke lokal und in Google Cloud verbinden. Dafür müssen Sie die folgenden Ressourcen einrichten:
- Eine Virtual Private Cloud (VPC) in Google Cloud
- Firewallregeln für alle Umgebungen: lokal, AWS, Azure und Google Cloud-VPC.
- VPNs oder andere Netzwerkverbindungen mit Routing- und Weiterleitungsregeln zwischen Google Cloud, AWS und Azure oder innerhalb des Unternehmens-LANs.
- Google Cloud-Netzwerktags oder Instanzdienstkonten, die Traffic zwischen Instanzen ermöglichen.
Auf dieser Seite werden keine Firewallregeln oder -routen für andere Anwendungen als Migrate for Compute Engine aufgeführt. Für Ihre Anwendungen ist möglicherweise eine zusätzliche Konfiguration in Google Cloud erforderlich. Weitere Informationen finden Sie unter Firewallregeln, Routen und Netzwerktags konfigurieren.
Vorbereitung
Bevor Sie fortfahren, vergewissern Sie sich, dass Sie eine VPC erstellt haben, um Ihre Migrate for Compute Engine-Komponenten und Ihre migrierten Arbeitslasten zu hosten.
Netzwerktags
Google Cloud verwendet Tags, um zu ermitteln, welche Netzwerkfirewallregeln für bestimmte VMs gelten. Komponenten mit denselben Netzwerktags können miteinander kommunizieren. Bei Migrate for Compute Engine werden Netzwerktags zugewiesen, um die Migration von Arbeitslasten zu erleichtern.
In der folgenden Tabelle werden erforderliche Netzwerktags, vorgeschlagene Namen und Konfigurationen beschrieben.
| Networktag | Vorgeschlagener Name | Beschreibung |
|---|---|---|
| Velostrata Manager | fw-velosmanager | Sie geben dieses Netzwerk-Tag vor der Bereitstellung des Velostrata-Managers mithilfe der Option "Click-to-Deploy" von Google Cloud Marketplace an. |
| Migrate for Compute Engine-Cloud-Erweiterung | fw-velostrata | Sie können beim Erstellen der Migrate for Compute Engine-Cloud-Erweiterungen ein oder mehrere Netzwerktags verwenden. |
| Arbeitslast | fw-workload | Der Einfachheit halber bezieht sich dieses Thema auf das Arbeitslast-Netzwerktag, mit dem Arbeitslastknoten auf die Migrate for Compute Engine-Ressourcen zugreifen können. |
| Benutzerdefiniert |
Benutzerdefinierte Tags ermöglichen die Konnektivität zwischen den Instanzen, die sie gemeinsam nutzen. Wenn mehrere VM-Instanzen für eine Website zuständig sind, versehen Sie diese Instanzen mit einem gemeinsamen Wert. Mit diesem Tag legen Sie dann eine Firewallregel fest, die den HTTP-Zugriff auf diese Instanzen zulässt. Hinweis: Gültige Namen von Netzwerktags in Google Cloud dürfen nur Kleinbuchstaben, Ziffern und Bindestriche enthalten. Sie müssen außerdem mit einer Zahl oder einem Kleinbuchstaben beginnen und enden. |
Firewallregeln
Damit Migrate for Compute Engine funktioniert, werden in den folgenden Tabellen der erforderliche Firewallzugriff von der Quelle bis zum Ziel sowie deren Protokoll und Port aufgeführt.
Weitere Informationen finden Sie in der folgenden Firewall-Dokumentation:
- Informationen zu Firewalls im lokalen LAN Ihres Unternehmens finden Sie in der Dokumentation Ihres Anbieters
- VPC-Firewall-Dokumentation
- Dokumentation zu AWS-VPC-Firewall
- Azure-Firewall-Dokumentation
Google Cloud-VPC
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Velostrata Manager-Netzwerktags (GCP) | GCP-API-Endpunkt | Internet oder privater Google-Zugriff | Nein | HTTPS | TCP/443 |
| Velostrata Manager-Netzwerktags (GCP) | AWS API-Endpunkt (Migrationen von AWS zur GCP) |
Internet | Nein | HTTPS | TCP/443 |
| Velostrata Manager-Netzwerktags (GCP) | Azure API-Endpunkt (Migrationen von Azure zur GCP) |
Internet | Nein | HTTPS | TCP/443 |
| LAN-Subnetze des Unternehmens (für Web-UI-Zugriff) | Velostrata Manager-Netzwerktags (GCP) | Lokale VPN | Nein | HTTPS | TCP/443 |
| Velostrata-Back-End | Velostrata Manager-Netzwerktags (GCP) | VPN On-Prem | Nein | gRPC | TCP/9119 |
| Velostrata Manager-Netzwerktags (GCP) | Arbeitslast-Netzwerktags (GCP) Zur Prüfung der Instanzkonsolenverfügbarkeit |
VPC | Ja | RDP
SSH |
TCP/3389
TCP/22 |
| Velostrata Manager-Netzwerktags (GCP) | Migrate for Compute Engine-Cloud-Erweiterungs-Netzwerktags (GCP) | VPC | Nein | HTTPS | TCP/443 TCP/9111 |
| Velostrata Manager-Netzwerktags (GCP) | Migrate for Compute Engine-Importeure (AWS-Subnetz) | VPN zu AWS | Nein | HTTPS | TCP/443 |
| Velostrata Manager-Netzwerktags (GCP) | Migrate for Compute Engine-Importeure (Azure-Subnetz) | VPN zu Azure | Nein | HTTPS | TCP/443 |
| Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung | Google Cloud Storage API | Internet oder privater Google-Zugriff | Nein | HTTPS | TCP/443 |
| Arbeitslast-Netzwerktags (GCP) oder Instanzdienstkonten (GCP) |
Migrate for Compute Engine-Cloud-Erweiterungs-Netzwerktags (GCP) | VPC | Nein | iSCSI | TCP/3260 |
| Velostrata-Back-End | Migrate for Compute Engine-Cloud-Erweiterungs-Netzwerktags (GCP) | Lokales VPN | Nein | TLS | TCP/9111 |
| Migrate for Compute Engine-Importer (AWS-Subnetz) | Migrate for Compute Engine-Cloud-Erweiterungs-Netzwerktags (GCP) | VPN zu AWS | Nein | TLS | TCP/9111 |
| Migrate for Compute Engine-Importer (Azure-Subnetz) | Migrate for Compute Engine-Cloud-Erweiterungs-Netzwerktags (GCP) | VPN zu Azure | Nein | TLS | TCP/9111 |
| Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) | Migrate for Compute Engine-Cloud-Erweiterungs-Netzwerktags (GCP) | VPC | Nein | ANY | ANY |
Lokal
In der folgenden Tabelle sind die Regeln aufgeführt, die für die lokale Migration von virtuellen VMware-Maschinen oder physischen Maschinen zur GCP gelten.
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Velostrata-Back-End | vCenter-Server | Unternehmens-LAN | Nein | HTTPS | TCP/443 |
| Velostrata-Back-End | vSphere ESXi | Unternehmens-LAN | Nein | VMW NBD | TCP/902 |
| Migrate for Compute Engine-Back-End | Stackdriver über das Internet | Internet | Ja | HTTPS | TCP/443 |
| Velostrata-Back-End | DNS-Server des Unternehmens | Unternehmens-LAN | Nein | DNS | TCP/UDP/53 |
| Velostrata-Back-End | Velostrata Manager (GCP) | VPN zur GCP | Nein | TLS/SSL HTTPS |
TCP/9119
TCP/443 |
| Velostrata-Back-End | Migrate for Compute Engine-Cloud-Erweiterungsknoten (GCP-Subnetz) | VPN zur GCP | Nein | TLS/SSL | TCP/9111 |
| vCenter-Server | Velostrata-Back-End | LAN des Unternehmens | Nein | HTTPS | TCP/443 |
Azure VNet
In der folgenden Tabelle sind die Regeln aufgeführt, die für die Migration von Azure-Instanzen von Azure zur GCP gelten.
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Velostrata Manager | Migrate for Compute Engine-Importeure-Sicherheitsgruppe | VPN zur GCP | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Importer-Sicherheitsgruppe | Migrate for Compute Engine-Cloud-Erweiterungsknoten (GCP-Subnetz) | VPN zur GCP | Nein | TLS | TCP/9111 |
AWS-VPC
In der folgenden Tabelle sind die Regeln aufgeführt, die für die Migration von AWS-EC2-Instanzen von AWS-VPC zur GCP gelten.
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Velostrata Manager | Migrate for Compute Engine-Importeure-Sicherheitsgruppe | VPN zur GCP | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Importer-Sicherheitsgruppe | Migrate for Compute Engine-Cloud-Erweiterungsknoten (GCP-Subnetz) | VPN zur GCP | Nein | TLS | TCP/9111 |
Fehlerbehebung
Die im Folgenden aufgeführten Regeln sind für Migrationen nicht erforderlich. Sie ermöglichen aber, eine direkte Verbindung zu Servern herzustellen und Logs für die Fehlerbehebung zu empfangen.
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Mein lokaler Rechner | Velostrata Manager in Google Cloud | VPN zur GCP | Ja | SSH | TCP/22 |
| Velostrata Manager (GCP) | Lokales Migrate for Compute Engine-Back-End Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) Migrate for Compute Engine-Importer (AWS-Subnetz) |
VPN On-Prem
VPC VPN zu AWS |
Ja | SSH | TCP/22 |
| Arbeitslast-Netzwerktags (GCP) oder Instanzdienstkonto (GCP) |
Migrate for Compute Engine-Cloud-Erweiterungs-Netzwerktags (GCP) | VPC | Ja | SYSLOG (für die GCP-VM-Bootphase) | UDP/514 |
Beispiel für lokale Google Cloud-Konfiguration
In den obigen Abschnitten werden die Regeln für Migrationen erläutert. In diesem Abschnitt wird eine beispielhafte Netzwerkkonfiguration für Ihre VPC dargestellt, die über die Google Cloud Console konfiguriert wurde. Weitere Informationen finden Sie unter Firewallregeln erstellen.
Im folgenden Beispiel stellt das Subnetz 192.168.1.0/24 das lokale Netzwerk und 10.1.0.0/16 die VPC in Google Cloud dar.
| Name | Typ | Ziel | Quelle | Ports | Zweck |
|---|---|---|---|---|---|
| velos-backend-control | Eingehender Traffic | fw-velosmanager | 192.168.1.0/24 | tcp:9119 | Steuerebene zwischen Velostrata-Back-End und Velostrata Manager. |
| velos-ce-backend | Eingehender Traffic | fw-velostrata | 192.168.1.0/24 | tcp:9111 | Verschlüsselte Migrationsdaten, die vom Velostrata-Back-End an die Cloud-Erweiterungen gesendet werden. |
| velos-ce-control | Eingehender Traffic | fw-velostrata | fw-velosmanager | tcp:443, tcp:9111 |
Steuerungsebene zwischen den Cloud-Erweiterungen und dem Velostrata Manager. |
| velos-ce-cross | Eingehender Traffic | fw-velostrata | fw-velostrata | Alle | Synchronisierung zwischen Cloud-Erweiterungsknoten |
| velos-console-probe | Ingress | fw-workload | fw-velosmanager | tcp:22, tcp:3389 | Der Velostrata Manager kann prüfen, ob die SSH- oder RDP-Konsole auf der migrierten VM verfügbar ist. |
| velos-webui | Eingehender Traffic | fw-velosmanager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | HTTPS-Zugriff auf Velostrata Manager für Web-UI. |
| velos-workload | Eingehender Traffic | fw-velostrata | fw-workload | tcp:3260, udp:514 |
iSCSI für Datenmigration und Syslog |
Netzwerkrouting und -weiterleitung
Sobald Firewallregeln eingerichtet sind, die die erforderliche Kommunikation ermöglichen, können zusätzliche statische Routen erforderlich sein, um Traffic zwischen Netzwerken zu übertragen.
Informationen zum Routing und zur Weiterleitung im lokalen Unternehmens-LAN finden Sie in der Dokumentation Ihres Routers, Ihrer Firewall und Ihres VPN-Anbieters.
Weitere Informationen zum Routing und zur Weiterleitung in Google Cloud finden Sie in der folgenden Dokumentation:
- Virtual Private Cloud – Übersicht
- Cloud Router – Übersicht
- Cloud VPN – Übersicht
- Cloud Interconnect – Übersicht
Informationen zum Routing und zur Weiterleitung von AWS zu Google Cloud finden Sie in den folgenden Dokumenten:
Informationen zum Routing und zur Weiterleitung von Azure zu Google Cloud finden Sie in den folgenden Dokumenten: