如需使用 Google Cloud Migrate for Compute Engine(以前称为 Velostrata)执行迁移,您需要将本地网络与 Google Cloud 上的网络连接起来。这意味着您需要设置以下资源:
- Google Cloud 上的虚拟私有云 (VPC)。
- 所有环境(本地、AWS、Azure 和 Google Cloud VPC)中的防火墙规则。
- 在 Google Cloud、AWS、Azure 之间或企业 LAN 内具有路由和转发规则的 VPN 或其他网络互连。
- 允许流量在实例之间传递的 Google Cloud 网络标记或实例服务账号。
本页面未列出除 Migrate for Compute Engine 以外的应用的防火墙规则或路由。您的应用可能需要在 Google Cloud 上进行其他配置。如需了解详情,请参阅防火墙规则、路由和配置网络标记。
前提条件
在继续操作之前,请确保您已创建 VPC 来托管您的 Migrate for Compute Engine 组件和迁移的工作负载。
网络标记
Google Cloud 使用标记来确定适用于特定虚拟机的网络防火墙规则。具有相同网络标记的组件可以相互通信。Migrate for Compute Engine 会分配网络标记,以辅助工作负载迁移。
下表介绍了必需的网络标记、建议的名称和配置。
| 网络标记 | 建议的名称 | 说明 |
|---|---|---|
| Velostrata Manager | fw-velosmanager | 您可以在使用 Google Cloud Marketplace“一键部署”选项部署 Velostrata 管理器之前指定此网络标记。 |
| Migrate for Compute Engine Cloud Extensions 扩展 | fw-velostrata | 您可以在创建 Migrate for Compute Engine Cloud Extensions 扩展时应用一个或多个网络标记。 |
| 工作负载 | fw-workload | 为简单起见,本主题引用工作负载网络标记,这样工作负载节点可以访问您的项目的 Migrate for Compute Engine 资源。 |
| 自定义 |
自定义标记用于在共享这些标记的实例之间建立连接。如果有多个虚拟机实例为网站提供服务,请使用常见值标记这些实例,然后使用该标记应用允许对这些实例进行 HTTP 访问的防火墙规则。 注意:Google Cloud 上的有效网络标记名称仅包含小写字母、数字和短划线。它们也必须以数字或小写字符开头和结尾。 |
防火墙规则
为使 Migrate for Compute Engine 正常运行,下表列出了从来源到目标位置所需的防火墙访问类型及其协议和端口。
如需了解其他信息,请参阅以下防火墙文档:
- 对于本地企业 LAN 内的防火墙,请参阅供应商文档。
- VPC 防火墙文档
- AWS VPC 防火墙文档
- Azure 防火墙文档
Google Cloud VPC
| 来源 | 目标位置 | 防火墙范围 | 是否可选? | 协议 | 端口 |
|---|---|---|---|---|---|
| Velostrata Manager 网络标记 (GCP) | GCP API 端点 | 互联网或专用 Google 访问通道 | 否 | HTTPS | TCP/443 |
| Velostrata Manager 网络标记 (GCP) | AWS API 端点 (从 AWS 到 GCP 的迁移) |
互联网 | 否 | HTTPS | TCP/443 |
| Velostrata Manager 网络标记 (GCP) | Azure API 端点 (从 Azure 到 GCP 的迁移) |
互联网 | 否 | HTTPS | TCP/443 |
| 企业 LAN 子网(用于网页界面访问) | Velostrata Manager 网络标记 (GCP) | VPN 本地 | 否 | HTTPS | TCP/443 |
| Velostrata 后端 | Velostrata Manager 网络标记 (GCP) | VPN 本地 | 否 | gRPC | TCP/9119 |
| Velostrata Manager 网络标记 (GCP) | 工作负载网络标记 (GCP) 用于实例控制台可用性探测 |
VPC | 是 | RDP SSH |
TCP/3389 TCP/22 |
| Velostrata Manager 网络标记 (GCP) | Migrate for Compute Engine Cloud Extensions 扩展网络标记 (GCP) | VPC | 否 | HTTPS | TCP/443 TCP/9111 |
| Velostrata Manager 网络标记 (GCP) | Migrate for Compute Engine 导入程序(AWS 子网) | 到 AWS 的 VPN | 否 | HTTPS | TCP/443 |
| Velostrata Manager 网络标记 (GCP) | Migrate for Compute Engine 导入程序(Azure 子网) | 到 Azure 的 VPN | 否 | HTTPS | TCP/443 |
| Migrate for Compute Engine Cloud Extensions 扩展网络标记 | Google Cloud Storage API | 互联网或 Google 专用访问通道 | 否 | HTTPS | TCP/443 |
| 工作负载网络标记 (GCP) 或 实例服务账号 (GCP) |
Migrate for Compute Engine Cloud Extensions 扩展网络标记 (GCP) | VPC | 否 | iSCSI | TCP/3260 |
| Velostrata 后端 | Migrate for Compute Engine Cloud Extensions 扩展网络标记 (GCP) | VPN 本地 | 否 | TLS | TCP/9111 |
| Migrate for Compute Engine 导入程序(AWS 子网) | Migrate for Compute Engine Cloud Extensions 扩展网络标记 (GCP) | 到 AWS 的 VPN | 否 | TLS | TCP/9111 |
| Migrate for Compute Engine 导入程序(Azure 子网) | Migrate for Compute Engine Cloud Extensions 扩展网络标记 (GCP) | 到 Azure 的 VPN | 否 | TLS | TCP/9111 |
| Migrate for Compute Engine Cloud Extensions 扩展网络标记 (GCP) | Migrate for Compute Engine Cloud Extensions 扩展网络标记 (GCP) | VPC | 否 | 不限 | 不限 |
本地
下表列出了将本地 VMware 虚拟机或物理机器迁移到 GCP 时适用的规则。
| 来源 | 目标位置 | 防火墙范围 | 是否可选? | 协议 | 端口 |
|---|---|---|---|---|---|
| Velostrata 后端 | vCenter 服务器 | 企业 LAN | 否 | HTTPS | TCP/443 |
| Velostrata 后端 | vSphere ESXi | 企业 LAN | 否 | VMW NBD | TCP/902 |
| Migrate for Compute Engine 后端 | 使用互联网的 Stackdriver | 互联网 | 是 | HTTPS | TCP/443 |
| Velostrata 后端 | 企业 DNS 服务器 | 企业 LAN | 否 | DNS | TCP/UDP/53 |
| Velostrata 后端 | Velostrata Manager (GCP) | 到 GCP 的 VPN | 否 | TLS/SSL HTTPS |
TCP/9119 TCP/443 |
| Velostrata 后端 | Migrate for Compute Engine Cloud Extensions 扩展节点(GCP 子网) | 到 GCP 的 VPN | 否 | TLS/SSL | TCP/9111 |
| vCenter 服务器 | Velostrata 后端 | 企业 LAN | 否 | HTTPS | TCP/443 |
Azure VNet
下表列出了将 Azure 实例从 Azure 迁移到 GCP 时适用的规则。
| 来源 | 目标位置 | 防火墙范围 | 是否可选? | 协议 | 端口 |
|---|---|---|---|---|---|
| Velostrata Manager | Migrate for Compute Engine 导入程序安全组 | 到 GCP 的 VPN | 否 | HTTPS | TCP/443 |
| Migrate for Compute Engine 导入程序安全组 | Migrate for Compute Engine Cloud Extensions 扩展节点(GCP 子网) | 到 GCP 的 VPN | 否 | TLS | TCP/9111 |
AWS VPC
下表列出了将 AWS EC2 实例从 AWS VPC 迁移到 GCP 时适用的规则。
| 来源 | 目标位置 | 防火墙范围 | 是否可选? | 协议 | 端口 |
|---|---|---|---|---|---|
| Velostrata Manager | Migrate for Compute Engine 导入程序安全组 | 到 GCP 的 VPN | 否 | HTTPS | TCP/443 |
| Migrate for Compute Engine 导入程序安全组 | Migrate for Compute Engine Cloud Extensions 扩展节点(GCP 子网) | 到 GCP 的 VPN | 否 | TLS | TCP/9111 |
问题排查
以下规则不是迁移所必需的,但可让您在排查问题时直接连接到服务器并接收日志。
| 来源 | 目标位置 | 防火墙范围 | 是否可选? | 协议 | 端口 |
|---|---|---|---|---|---|
| 本地机器 | Google Cloud 上的 Velostrata Manager | 到 GCP 的 VPN | 是 | SSH | TCP/22 |
| Velostrata Manager (GCP) | Migrate for Compute Engine 本地后端 Migrate for Compute Engine Cloud Extensions 扩展网络标记 (GCP) Migrate for Compute Engine 导入程序(AWS 子网) |
VPN 本地 VPC 到 AWS 的 VPN |
是 | SSH | TCP/22 |
| 工作负载网络标记 (GCP) 或 实例服务账号 (GCP) |
Migrate for Compute Engine Cloud Extensions 扩展网络标记 (GCP) | VPC | 是 | SYSLOG(适用于 GCP 虚拟机启动阶段) | UDP/514 |
本地到 Google Cloud 配置示例
前面的部分介绍了适用于迁移的规则。本部分将介绍通过 Google Cloud Console 配置的 VPC 网络配置示例。如需了解详情,请参阅创建防火墙规则。
在以下示例中,192.168.1.0/24 子网表示本地网络,10.1.0.0/16 表示 Google Cloud 上的 VPC。
| 名称 | 类型 | 目标 | 来源 | 端口 | 目的 |
|---|---|---|---|---|---|
| velos-backend-control | 入站流量 | fw-velosmanager | 192.168.1.0/24 | tcp:9119 | Velostrata 后端和 Velostrata Manager 之间的控制平面。 |
| velos-ce-backend | 入站流量 | fw-velostrata | 192.168.1.0/24 | tcp:9111 | 从 Velostrata 后端发送到 Cloud Extensions 扩展的加密迁移数据。 |
| velos-ce-control | 入站流量 | fw-velostrata | fw-velosmanager | tcp:443、 tcp:9111 |
Cloud Extensions 扩展和 Velostrata Manager 之间的控制平面。 |
| velos-ce-cross | 入站流量 | fw-velostrata | fw-velostrata | 全部 | Cloud Extensions 扩展节点之间的同步。 |
| velos-console-probe | 入站流量 | fw-workload | fw-velosmanager | tcp:22、tcp:3389 | 允许 Velostrata Manager 检查迁移的虚拟机上 SSH 或 RDP 控制台是否可用。 |
| velos-webui | 入站流量 | fw-velosmanager | 192.168.1.0/24、 10.1.0.0/16 |
tcp:443 | 对 Velostrata Manager 的网页界面进行 HTTPS 访问。 |
| velos-workload | 入站流量 | fw-velostrata | fw-workload | tcp:3260、 udp:514 |
iSCSI,用于数据迁移和 syslog |
网络路由和转发
允许必要通信的防火墙规则落实后,可能需要额外的静态路由来传输网络之间的流量。
如需了解本地企业 LAN 内的路由和转发,请查看路由器、防火墙和 VPN 供应商文档。
如需详细了解 Google Cloud 中的路由和转发,请参阅以下文档:
如需了解从 AWS 到 Google Cloud 的路由和转发,请参阅以下文档:
如需了解从 Azure 到 Google Cloud 的路由和转发,请参阅以下文档: