Pour effectuer une migration avec Google Cloud Migrate for Compute Engine (anciennement Velostrata), vous devez connecter des réseaux sur site et sur Google Cloud. Cela signifie que vous devez configurer les ressources suivantes :
- Un cloud privé virtuel (VPC) sur GCP
- Des règles de pare-feu dans tous les environnements (sur site, AWS, Azure et le VPC Google Cloud)
- Des VPN ou autres interconnexions réseau avec des règles de routage et de transfert entre Google Cloud, AWS, Azure ou dans le LAN de l'entreprise
- Des tags réseau Google Cloud ou des comptes de service d'instances permettant au trafic de circuler entre les instances
Cette page répertorie uniquement les règles et les routes de pare-feu pour l'application Migrate for Compute Engine. Vos applications peuvent avoir besoin d'une configuration supplémentaire sur Google Cloud. Pour en savoir plus, consultez les articles Règles de pare-feu, Routes et Configurer des tags réseau.
Prérequis
Avant de continuer, vérifiez que vous avez bien créé un VPC pour héberger vos composants Migrate for Compute Engine et vos charges de travail migrées.
Tags réseau
Google Cloud utilise des tags pour identifier les règles de pare-feu de réseau à appliquer à des VM spécifiques. Les composants ayant les mêmes tags réseau peuvent communiquer entre eux. Migrate for Compute Engine attribue des tags réseau pour faciliter la migration de la charge de travail.
Le tableau suivant décrit les tags réseau requis, les noms suggérés et les configurations.
| Tag réseau | Nom suggéré | Description |
|---|---|---|
| Velostrata Manager | fw-velosmanager | Spécifiez ce tag réseau avant de déployer Velostrata Manager à l'aide de l'option de déploiement par clic de Google Cloud Marketplace. |
| Extension cloud Migrate for Compute Engine | fw-velostrata | Vous pouvez appliquer un ou plusieurs tags réseau lorsque vous créez vos extensions Cloud Migrate for Compute Engine. |
| Charge de travail | fw-workload | Pour simplifier, cette rubrique fait référence au tag réseau charge de travail, qui permet aux nœuds de charge de travail d'accéder aux ressources Migrate for Compute Engine de votre projet. |
| Personnalisé |
Les tags personnalisés activent la connectivité entre les instances qui les partagent. Si plusieurs instances de VM diffusent un site Web, attribuez-leur un tag commun, puis utilisez ce tag pour appliquer une règle de pare-feu autorisant l'accès HTTP à ces instances. Remarque : Pour être valides, les noms des tags réseau dans Google Cloud ne doivent contenir que des lettres minuscules, des chiffres et des tirets. Ils doivent également commencer et se terminer par un chiffre ou une lettre minuscule. |
Règles de pare-feu
Pour que Migrate for Compute Engine fonctionne, les tableaux suivants répertorient le type d'accès de pare-feu nécessaire entre la source et la destination, ainsi que le protocole et le port.
Pour en savoir plus, consultez la documentation relative aux pare-feu ci-dessous :
- Pour les pare-feu du LAN sur site de l'entreprise, consultez la documentation de votre fournisseur.
- Documentation relative aux pare-feu VPC.
- Documentation relative aux pare-feu VPC AWS.
- Documentation propre aux pare-feu Azure.
VPC Google Cloud
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocol (Protocole) | Port |
|---|---|---|---|---|---|
| Tags réseau Velostrata Manager (GCP) | Point de terminaison de l'API GCP | Internet ou accès privé à Google | Non | HTTPS | TCP/443 |
| Tags réseau Velostrata Manager (GCP) | Point de terminaison de l'API AWS (migrations d'AWS vers GCP) |
Internet | Non | HTTPS | TCP/443 |
| Tags réseau Velostrata Manager (GCP) | Point de terminaison de l'API Azure (migrations d'Azure vers GCP) |
Internet | Non | HTTPS | TCP/443 |
| Sous-réseaux LAN d'entreprise (pour l'accès à l'UI Web) | Tags réseau Velostrata Manager (GCP) | VPN sur site | Non | HTTPS | TCP/443 |
| Backend de Velostrata | Tags réseau Velostrata Manager (GCP) | VPN sur site | Non | gRPC | TCP/9119 |
| Tags réseau Velostrata Manager (GCP) | Tags réseau de charge de travail (GCP) Par exemple, vérification de disponibilité de la console |
VPC | Oui | RDP
SSH |
TCP/3389
TCP/22 |
| Tags réseau Velostrata Manager (GCP) | Tags réseau extension cloud Migrate for Compute Engine (GCP) | VPC | Non | HTTPS | TCP/443 TCP/9111 |
| Tags réseau Velostrata Manager (GCP) | Importateurs Migrate for Compute Engine (sous-réseau AWS) ... | VPN vers AWS | Non | HTTPS | TCP/443 |
| Tags réseau Velostrata Manager (GCP) | Importateurs Migrate for Compute Engine (sous-réseau Azure) ... | VPN vers Azure | Non | HTTPS | TCP/443 |
| Tags réseau extension cloud Migrate for Compute Engine | API Google Cloud Storage | Internet ou accès privé à Google | Non | HTTPS | TCP/443 |
| Tags réseau de charge de travail (GCP) Ou Comptes de service d'instances (GCP) |
Tags réseau extension cloud Migrate for Compute Engine (GCP) | VPC | Non | iSCSI | TCP/3260 |
| Backend de Velostrata | Tags réseau extension cloud Migrate for Compute Engine (GCP) | VPN sur site | Non | TLS | TCP/9111 |
| Importateurs Migrate for Compute Engine (sous-réseau AWS) | Tags réseau extension cloud Migrate for Compute Engine (GCP) | VPN vers AWS | Non | TLS | TCP/9111 |
| Importateurs Migrate for Compute Engine (sous-réseau Azure) | Tags réseau extension cloud Migrate for Compute Engine (GCP) | VPN vers Azure | Non | TLS | TCP/9111 |
| Tags réseau extension cloud Migrate for Compute Engine (GCP) | Tags réseau extension cloud Migrate for Compute Engine (GCP) | VPC | Non | ANY | ANY |
Sur site
Le tableau suivant répertorie les règles qui s'appliquent lors de la migration des machines virtuelles VMware ou des machines physiques sur site vers GCP.
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocol (Protocole) | Port |
|---|---|---|---|---|---|
| Backend de Velostrata | Serveur vCenter | LAN d'entreprise | Non | HTTPS | TCP/443 |
| Backend de Velostrata | vSphere ESXi | LAN d'entreprise | Non | VMW NBD | TCP/902 |
| Backend de Migrate for Compute Engine | Stackdriver utilisant Internet | Internet | Oui | HTTPS | TCP/443 |
| Backend de Velostrata | Serveur DNS entrep. | LAN d'entreprise | Non | DNS | TCP/UDP/53 |
| Backend de Velostrata | Velostrata Manager (GCP) | VPN vers GCP | Non | TLS/SSL
HTTPS |
TCP/9119
TCP/443 |
| Backend de Velostrata | Nœuds d'extension cloud Migrate for Compute Engine (sous-réseau GCP) | VPN vers GCP | Non | TLS/SSL | TCP/9111 |
| Serveur vCenter | Backend de Velostrata | LAN entrep. | Non | HTTPS | TCP/443 |
Azure VNet
Le tableau suivant répertorie les règles qui s'appliquent lors de la migration d'instances d'Azure vers GCP.
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocol (Protocole) | Port |
|---|---|---|---|---|---|
| Velostrata Manager | Groupes de sécurité importateurs Migrate for Compute Engine ... | VPN vers GCP | Non | HTTPS | TCP/443 |
| Groupes de sécurité importateurs Migrate for Compute Engine | Nœuds d'extension cloud Migrate for Compute Engine (sous-réseau GCP) | VPN vers GCP | Non | TLS | TCP/9111 |
VPC AWS
Le tableau suivant répertorie les règles qui s'appliquent lors de la migration des instances AWS EC2 d'AWS VPC vers GCP.
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocol (Protocole) | Port |
|---|---|---|---|---|---|
| Velostrata Manager | Groupes de sécurité importateurs Migrate for Compute Engine ... | VPN vers GCP | Non | HTTPS | TCP/443 |
| Groupes de sécurité importateurs Migrate for Compute Engine | Nœuds d'extension cloud Migrate for Compute Engine (sous-réseau GCP) | VPN vers GCP | Non | TLS | TCP/9111 |
Dépannage
Les règles suivantes ne sont pas requises pour les migrations, mais vous permettent de vous connecter directement aux serveurs et de recevoir des journaux tout en résolvant les problèmes.
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocol (Protocole) | Port |
|---|---|---|---|---|---|
| Votre ordinateur local | Velostrata Manager sur Google Cloud | VPN vers GCP | Oui | SSH | TCP/22 |
| Velostrata Manager (GCP) | Backend Migrate for Compute Engine sur site
Tags réseau extension cloud Migrate for Compute Engine (GCP) Importateurs Migrate for Compute Engine (sous-réseau AWS) |
VPN sur site
VPC VPN vers AWS |
Oui | SSH | TCP/22 |
| Tags réseau de charge de travail (GCP) Ou Compte de service d'instance (GCP) |
Tags réseau extension cloud Migrate for Compute Engine (GCP) | VPC | Oui | SYSLOG (pour la phase de démarrage de la VM GCP) | UDP/514 |
Exemple de configuration sur site vers Google Cloud
Les sections précédentes décrivent les règles qui pourraient s'appliquer à votre migration. Cette section décrit un exemple de configuration de mise en réseau pour votre VPC via la console Google Cloud. Pour plus d'informations, consultez la section Créer des règles de pare-feu.
Dans l'exemple suivant, le sous-réseau 192.168.1.0/24 représente le réseau sur site et 10.1.0.0/16 représente le VPC sur Google Cloud.
| Nom | Type | Cible | Source | Ports | Usage |
|---|---|---|---|---|---|
| velos-backend-control | Entrée | fw-velosmanager | 192.168.1.0/24 | tcp:9119 | Plan de contrôle entre le backend de Velostrata et Velostrata Manager. |
| velos-ce-backend | Entrée | fw-velostrata | 192.168.1.0/24 | tcp:9111 | Données de migration chiffrées envoyées depuis le backend de Velostrata vers les extensions cloud. |
| velos-ce-control | Entrée | fw-velostrata | fw-velosmanager | tcp:443, tcp:9111 |
Plan de contrôle entre les extensions cloud et Velostrata Manager. |
| velos-ce-cross | Entrée | fw-velostrata | fw-velostrata | toutes | Synchronisation entre les nœuds des extensions cloud. |
| velos-console-probe | Entrée | fw-workload | fw-velosmanager | tcp:22, tcp:3389 | Permet à Velostrata Manager de vérifier si la console SSH ou RDP de la VM migrée est disponible. |
| velos-webui | Entrée | fw-velosmanager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | Accès HTTPS à Velostrata Manager pour l'UI Web. |
| velos-workload | Entrée | fw-velostrata | fw-workload | tcp:3260, udp:514 |
iSCSI pour la migration de données et syslog |
Routage et transfert du réseau
Une fois que les règles de pare-feu autorisant la communication sont en place, des routes statiques supplémentaires peuvent être nécessaires pour acheminer le trafic entre les réseaux.
Pour en savoir plus sur le routage et le transfert dans le LAN sur site de l'entreprise, consultez la documentation de votre fournisseur sur le routage, les pare-feu et le VPN.
Pour en savoir plus sur le routage et le transfert dans Google Cloud, consultez la documentation suivante :
- Présentation du cloud privé virtuel
- Présentation de Cloud Router
- Présentation de Cloud VPN
- Présentation de Cloud Interconnect
Pour le routage et le transfert d'AWS vers Google Cloud, consultez les documents suivants :
Pour le routage et le transfert d'Azure vers Google Cloud, consultez les documents suivants :