Google Cloud Migrate for Compute Engine(이전의 Velostrata)을 사용하여 마이그레이션을 수행하려면 온프레미스 네트워크와 Google Cloud를 연결해야 합니다. 즉, 다음 리소스를 설정해야 합니다.
- Google Cloud의 Virtual Private Cloud(VPC)
- 모든 환경의 방화벽 규칙: 온프레미스, AWS, Azure 및 Google Cloud VPC
- Google Cloud, AWS, Azure 간에 또는 기업 LAN 내부에서 라우팅 및 전달 규칙을 사용하는 VPN 또는 기타 네트워크 상호 연결
- 인스턴스 간에 트래픽 전달을 허용하는 Google Cloud 네트워크 태그 또는 인스턴스 서비스 계정
이 페이지에는 Migrate for Compute Engine 이외의 애플리케이션에 대한 방화벽 규칙 또는 경로가 나열되어 있지 않습니다. 애플리케이션에 따라 Google Cloud에서 추가 구성이 필요할 수 있습니다. 자세한 내용은 방화벽 규칙, 경로, 네트워크 태그 구성을 참조하세요.
기본 요건
계속하기 전에 Migrate for Compute Engine 구성요소와 마이그레이션된 워크로드를 호스팅할 VPC를 만들었는지 확인하세요.
네트워크 태그
Google Cloud는 태그를 사용하여 특정 VM에 적용할 네트워크 방화벽 규칙을 식별합니다. 네트워크 태그가 동일한 구성요소는 서로 통신할 수 있습니다. Migrate for Compute Engine은 네트워크 태그를 할당하여 워크로드 마이그레이션을 용이하게 합니다.
다음 표에는 필수 네트워크 태그, 권장 이름, 구성에 대한 설명이 나와 있습니다.
| 네트워크 태그 | 권장 이름 | 설명 |
|---|---|---|
| Velostrata Manager | fw-velosmanager | Google Cloud Marketplace의 '클릭하여 배포' 옵션을 사용하여 Velostrata Manager를 배포하기 전에 이 네트워크 태그를 지정합니다. |
| Migrate for Compute Engine Cloud Extension | fw-velostrata | Migrate for Compute Engine Cloud Extension을 만들 때 하나 이상의 네트워크 태그를 적용할 수 있습니다. |
| 워크로드 | fw-workload | 편의상 이 주제에서는 워크로드 노드가 프로젝트의 Migrate for Compute Engine 리소스에 액세스하도록 허용하는 워크로드 네트워크 태그를 참조합니다. |
| 커스텀 |
커스텀 태그는 이 태그를 공유하는 인스턴스 간의 연결을 가능하게 합니다. 동일한 웹사이트에 사용되는 여러 VM 인스턴스가 있는 경우 이러한 인스턴스에 공통 값으로 태그를 지정한 다음, 이 태그를 사용하여 해당 인스턴스에 대한 HTTP 액세스를 허용하는 방화벽 규칙을 적용합니다. 참고: Google Cloud의 유효한 네트워크 태그 이름에는 소문자, 숫자, 대시만 사용할 수 있습니다. 또한 이 이름은 숫자나 소문자로 시작하고 끝나야 합니다. |
방화벽 규칙
다음 표에는 Migrate for Compute Engine이 작동하기 위해 소스에서 대상까지 필요한 방화벽 액세스 유형과 프로토콜 및 포트가 나열되어 있습니다.
자세한 내용은 다음의 방화벽 관련 문서를 참조하세요.
- 온프레미스 회사 LAN 내부의 방화벽은 공급업체의 문서를 참조하세요.
- VPC 방화벽 문서
- AWS VPC 방화벽 문서
- Azure 방화벽 문서
Google Cloud VPC
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| Velostrata Manager 네트워크 태그(GCP) | GCP API 엔드포인트 | 인터넷 또는 비공개 Google 액세스 | 아니요 | HTTPS | TCP/443 |
| Velostrata Manager 네트워크 태그(GCP) | AWS API 엔드포인트
(AWS에서 GCP로 마이그레이션) |
인터넷 | 아니요 | HTTPS | TCP/443 |
| Velostrata Manager 네트워크 태그(GCP) | Azure API 엔드포인트
(Azure에서 GCP로 마이그레이션) |
인터넷 | 아니요 | HTTPS | TCP/443 |
| 기업 LAN 서브넷(웹 UI 액세스용) | Velostrata Manager 네트워크 태그(GCP) | VPN 온프레미스 | 아니요 | HTTPS | TCP/443 |
| Velostrata 백엔드 | Velostrata Manager 네트워크 태그(GCP) | VPN 온프렘 | 아니요 | gRPC | TCP/9119 |
| Velostrata Manager 네트워크 태그(GCP) | 워크로드 네트워크 태그(GCP)
인스턴스 콘솔 가용성 프로브 |
VPC | 예 | RDP
SSH |
TCP/3389
TCP/22 |
| Velostrata Manager 네트워크 태그(GCP) | Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | VPC | 아니요 | HTTPS | TCP/443 TCP/9111 |
| Velostrata Manager 네트워크 태그(GCP) | Migrate for Compute Engine Importer(AWS 서브넷) | AWS VPN | 아니요 | HTTPS | TCP/443 |
| Velostrata Manager 네트워크 태그(GCP) | Migrate for Compute Engine Importer(Azure 서브넷) | Azure VPN | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Cloud Extension 네트워크 태그 | Google Cloud Storage API | 인터넷 또는 Google 비공개 액세스 | 아니요 | HTTPS | TCP/443 |
| 워크로드 네트워크 태그(GCP)
또는 인스턴스 서비스 계정(GCP) |
Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | VPC | 아니요 | iSCSI | TCP/3260 |
| Velostrata 백엔드 | Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | VPN 온프렘 | 아니요 | TLS | TCP/9111 |
| Migrate for Compute Engine Importer(AWS 서브넷) | Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | AWS VPN | 아니요 | TLS | TCP/9111 |
| Migrate for Compute Engine Importer(Azure 서브넷) | Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | Azure VPN | 아니요 | TLS | TCP/9111 |
| Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | VPC | 아니요 | 모두 | 모두 |
온프레미스
다음 표에는 VMware 가상 머신 또는 물리적 온프레미스 머신을 GCP로 마이그레이션할 때 적용되는 규칙이 나와 있습니다.
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| Velostrata 백엔드 | vCenter Server | 기업 LAN | 아니요 | HTTPS | TCP/443 |
| Velostrata 백엔드 | vSphere ESXi | 기업 LAN | 아니요 | VMW NBD | TCP/902 |
| Migrate for Compute Engine Backend | Stackdriver(인터넷 사용) | 인터넷 | 예 | HTTPS | TCP/443 |
| Velostrata 백엔드 | 기업 DNS 서버 | 기업 LAN | 아니요 | DNS | TCP/UDP/53 |
| Velostrata 백엔드 | Velostrata Manager(GCP) | GCP VPN | 아니요 | TLS/SSL
HTTPS |
TCP/9119
TCP/443 |
| Velostrata 백엔드 | Migrate for Compute Engine Cloud Extension 노드(GCP 서브넷) | GCP VPN | 아니요 | TLS/SSL | TCP/9111 |
| vCenter Server | Velostrata 백엔드 | 기업 LAN | 아니요 | HTTPS | TCP/443 |
Azure VNet
다음 표에는 Azure 인스턴스를 Azure에서 GCP로 마이그레이션할 때 적용되는 규칙이 나와 있습니다.
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| Velostrata Manager | Migrate for Compute Engine Importer 보안 그룹 | GCP VPN | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Importer 보안 그룹 | Migrate for Compute Engine Cloud Extension 노드(GCP 서브넷) | GCP VPN | 아니요 | TLS | TCP/9111 |
AWS VPC
다음 표에는 AWS EC2 인스턴스를 AWS VPC에서 GCP로 마이그레이션할 때 적용되는 규칙이 나와 있습니다.
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| Velostrata Manager | Migrate for Compute Engine Importer 보안 그룹 | GCP VPN | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Importer 보안 그룹 | Migrate for Compute Engine Cloud Extension 노드(GCP 서브넷) | GCP VPN | 아니요 | TLS | TCP/9111 |
문제해결
다음 규칙은 마이그레이션에는 필요하지 않지만 문제를 해결하는 동안 서버에 직접 연결하고 로그를 수신할 수 있도록 허용합니다.
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| 로컬 머신 | Google Cloud의 Velostrata Manager | GCP VPN | 예 | SSH | TCP/22 |
| Velostrata Manager(GCP) | Migrate for Compute Engine 온프레미스 백엔드
Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) Migrate for Compute Engine Importer(AWS 서브넷) |
VPN 온프렘
VPC AWS VPN |
예 | SSH | TCP/22 |
| 워크로드 네트워크 태그(GCP)
또는 인스턴스 서비스 계정(GCP) |
Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | VPC | 예 | SYSLOG(GCP VM 부팅 단계의 경우) | UDP/514 |
온프레미스-Google Cloud 구성 예시
이전 섹션에서는 마이그레이션에 적용되는 규칙을 설명했습니다. 이 섹션에서는 Google Cloud Console을 통해 구성된 VPC의 샘플 네트워킹 구성을 설명합니다. 자세한 내용은 방화벽 규칙 만들기를 참조하세요.
다음 예시에서 192.168.1.0/24 서브넷은 온프레미스 네트워크를 나타내고 10.1.0.0/16은 Google Cloud의 VPC를 나타냅니다.
| 이름 | 유형 | 대상 | 소스 | 포트 | 용도 |
|---|---|---|---|---|---|
| velos-backend-control | 인그레스 | fw-velosmanager | 192.168.1.0/24 | tcp:9119 | Velostrata 백엔드와 Velostrata Manager 간의 제어 영역입니다. |
| velos-ce-backend | 인그레스 | fw-velostrata | 192.168.1.0/24 | tcp:9111 | Velostrata 백엔드에서 Cloud Extension으로 전송된 암호화된 마이그레이션 데이터입니다. |
| velos-ce-control | 인그레스 | fw-velostrata | fw-velosmanager | tcp:443, tcp:9111 |
Cloud Extension과 Velostrata Manager 간의 제어 영역입니다. |
| velos-ce-cross | 인그레스 | fw-velostrata | fw-velostrata | 모두 | Cloud Extension 노드 간의 동기화 |
| velos-console-probe | 인그레스 | fw-workload | fw-velosmanager | tcp:22, tcp:3389 | Velostrata Manager가 마이그레이션된 VM의 SSH 또는 RDP 콘솔이 사용 가능한지 확인할 수 있게 허용합니다. |
| velos-webui | 인그레스 | fw-velosmanager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | 웹 UI용 Velostrata Manager에 대한 HTTPS 액세스입니다. |
| velos-workload | 인그레스 | fw-velostrata | fw-workload | tcp:3260, udp:514 |
데이터 마이그레이션 및 syslog용 iSCSI |
네트워크 라우팅 및 전달
필요한 통신을 허용하는 방화벽 규칙이 설정되면 네트워크 간에 트래픽을 전송하는 추가 정적 경로가 필요할 수 있습니다.
온프레미스 기업 LAN 내부의 라우팅 및 전달에 관한 내용은 라우터, 방화벽, VPN 공급업체 문서를 참조하세요.
Google Cloud의 라우팅 및 전달에 관한 자세한 내용은 다음 문서를 참조하세요.
AWS에서 Google Cloud로의 라우팅 및 전달에 관한 내용은 다음 문서를 참조하세요.
Azure에서 Google Cloud로의 라우팅 및 전달에 관한 내용은 다음 문서를 참조하세요.