Sie lesen die Dokumentation für eine frühere Version von Migrate für Compute Engine (ehemals Velostrata). Sie können weiterhin diese Version oder die aktuelle Version verwenden.

Netzwerkzugriffsanforderungen

Zum Ausführen einer Migration mit Google Cloud Migrate for Compute Engine (früher Velostrata) müssen Sie Google Cloud mit Ihrer lokalen, AWS- oder Azure-Umgebung verbinden. Dafür müssen Sie die folgenden Ressourcen einrichten:

  • Eine Virtual Private Cloud (VPC) in Google Cloud
  • Firewallregeln in Google Cloud und Ihrer lokalen, AWS- oder Azure-Umgebung
  • VPNs oder andere Netzwerkverbindungen mit Routing- und Weiterleitungsregeln zwischen Google Cloud und Ihrer lokalen, AWS- oder Azure-Umgebung
  • Google Cloud-Netzwerktags, die Traffic zwischen Instanzen zulassen

Auf dieser Seite sind Firewallregeln oder -routen nur für Migrate for Compute Engine und nicht für andere Anwendungen aufgeführt. Für Ihre Anwendungen ist möglicherweise eine zusätzliche Konfiguration in Google Cloud erforderlich. Weitere Informationen finden Sie unter Firewallregeln, Routen und Netzwerktags konfigurieren.

Voraussetzungen

Bevor Sie fortfahren, vergewissern Sie sich, dass Sie eine VPC erstellt haben, um Ihre Migrate for Compute Engine-Komponenten und Ihre migrierten Arbeitslasten zu hosten.

Netzwerktags

Google Cloud verwendet Netzwerktags, um zu ermitteln, welche Netzwerkfirewallregeln für die einzelnen VM-Instanzen gelten. Komponenten mit den gleichen Netzwerktags können miteinander kommunizieren. Bei Migrate for Compute Engine wird durch Zuweisen von Netzwerktags die Migration von Arbeitslasten erleichtert.

Komponente Vorgeschlagener Tag-Name Beschreibung
Migrate for Compute Engine Manager fw-velosmanager Sie müssen dieses Netzwerktag vor der Bereitstellung von Migrate for Compute Engine Manager mithilfe der Option "Click-to-Deploy" von Google Cloud Marketplace angeben.
Migrate for Compute Engine-Cloud-Erweiterung fw-velostrata Sie können beim Erstellen der Migrate for Compute Engine-Cloud-Erweiterungen ein oder mehrere Netzwerktags verwenden.
Arbeitslast fw-workload Der Einfachheit halber bezieht sich dieses Thema auf das Arbeitslast-Netzwerktag, mit dem Arbeitslastknoten auf die Migrate for Compute Engine-Ressourcen zugreifen können.
Benutzerdefiniert

Benutzerdefinierte Tags ermöglichen die Konnektivität zwischen den Instanzen, die sie gemeinsam nutzen. Wenn mehrere VM-Instanzen für eine Website zuständig sind, versehen Sie diese Instanzen mit einem gemeinsamen Wert. Mit diesem Tag legen Sie dann eine Firewallregel fest, die den HTTP-Zugriff auf diese Instanzen zulässt.

Hinweis: Gültige Namen von Netzwerktags in Google Cloud dürfen nur Kleinbuchstaben, Ziffern und Bindestriche enthalten. Sie müssen außerdem mit einer Zahl oder einem Kleinbuchstaben beginnen und enden.

Firewallregeln

Damit Migrate for Compute Engine funktioniert, werden in den folgenden Tabellen der erforderliche Firewallzugriff von der Quelle bis zum Ziel sowie deren Protokoll und Port aufgeführt.

Weitere Informationen finden Sie in der folgenden Firewall-Dokumentation:

Google Cloud-VPC

Quelle Ziel Firewallbereich Optional? Protokoll Port
Netzwerktags für Migrate for Compute Engine Manager (GCP) GCP-API-Endpunkt Internet oder privater Google-Zugriff Nein HTTPS TCP/443
Netzwerktags für Migrate for Compute Engine Manager (GCP) AWS API-Endpunkt

(Migrationen von AWS zur GCP)

Internet Nein HTTPS TCP/443
Netzwerktags für Migrate for Compute Engine Manager (GCP) Azure API-Endpunkt

(Migrationen von Azure zur GCP)

Internet Nein HTTPS TCP/443
LAN-Subnetze des Unternehmens (für Web-UI-Zugriff) Netzwerktags für Migrate for Compute Engine Manager (GCP) Lokales VPN Nein HTTPS TCP/443
Netzwerktags für Migrate for Compute Engine Manager (GCP) Arbeitslast-Netzwerktags (GCP)

Zur Prüfung der Instanzkonsolenverfügbarkeit

VPC Ja RDP

SSH

TCP/3389

TCP/22

Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) Netzwerktags für Migrate for Compute Engine Manager (GCP) VPC Nein HTTPS TCP/443
Migrate for Compute Engine-Importer (AWS-Subnetz) Netzwerktags für Migrate for Compute Engine Manager (GCP) AWS zu VPN Nein HTTPS TCP/443
Migrate for Compute Engine-Importer (Azure-Subnetz) Netzwerktags für Migrate for Compute Engine Manager (GCP) Azure zu VPN Nein HTTPS TCP/443
Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung Google Cloud Storage API Internet oder privater Google-Zugriff Nein HTTPS TCP/443
Arbeitslast-Netzwerktags (GCP) Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) VPC Nein iSCSI TCP/3260
Migrate for Compute Engine-Back-End Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) Lokales VPN Nein TLS TCP/9111
Migrate for Compute Engine-Importer (AWS-Subnetz) Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) VPN zu AWS Nein TLS TCP/9111
Migrate for Compute Engine-Importer (Azure-Subnetz) Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) VPN zu Azure Nein TLS TCP/9111
Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) VPC Nein ANY ANY

Lokal

In der folgenden Tabelle sind die Regeln aufgeführt, die für die lokale Migration von virtuellen VMware-Maschinen oder physischen Maschinen zur GCP gelten.

Quelle Ziel Firewallbereich Optional? Protokoll Port
Migrate for Compute Engine-Back-End vCenter-Server Unternehmens-LAN Nein HTTPS TCP/443
Migrate for Compute Engine-Back-End vSphere ESXi Unternehmens-LAN Nein VMW NBD TCP/902
Migrate for Compute Engine-Back-End Stackdriver über das Internet Internet Ja HTTPS TCP/443
Migrate for Compute Engine-Back-End DNS-Server des Unternehmens Unternehmens-LAN Nein DNS TCP/UDP/53
Migrate for Compute Engine-Back-End Migrate for Compute Engine Manager (GCP) VPN zur GCP Nein HTTPS TCP/443
Migrate for Compute Engine-Back-End Migrate for Compute Engine-Cloud-Erweiterungsknoten (GCP-Subnetz) VPN zur GCP Nein TLS TCP/9111
vCenter-Server Migrate for Compute Engine-Back-End Unternehmens-LAN Nein HTTPS TCP/443

Azure VNet

In der folgenden Tabelle sind die Regeln aufgeführt, die für die Migration von Azure-Instanzen von Azure zur GCP gelten.

Quelle Ziel Firewallbereich Optional? Protokoll Port
Migrate for Compute Engine-Importer-Sicherheitsgruppe Migrate for Compute Engine Manager GCP zu VPN Nein HTTPS TCP/443
Migrate for Compute Engine-Importer-Sicherheitsgruppe Migrate for Compute Engine-Cloud-Erweiterungsknoten (GCP-Subnetz) VPN zur GCP Nein TLS TCP/9111

AWS-VPC

In der folgenden Tabelle sind die Regeln aufgeführt, die für die Migration von AWS-EC2-Instanzen von AWS-VPC zur GCP gelten.

Quelle Ziel Firewallbereich Optional? Protokoll Port
Migrate for Compute Engine-Importer-Sicherheitsgruppe Migrate for Compute Engine Manager GCP zu VPN Nein HTTPS TCP/443
Migrate for Compute Engine-Importer-Sicherheitsgruppe Migrate for Compute Engine-Cloud-Erweiterungsknoten (GCP-Subnetz) VPN zur GCP Nein TLS TCP/9111

Fehlerbehebung

Die im Folgenden aufgeführten Regeln sind nicht für Migrationen erforderlich. Sie ermöglichen aber das Herstellen einer direkten Verbindung zu Servern und das Empfangen von Logs für die Fehlerbehebung.

Quelle Ziel Firewallbereich Optional? Protokoll Port
Mein lokaler Rechner Migrate for Compute Engine Manager in Google Cloud VPN zur GCP Ja SSH TCP/22
Migrate for Compute Engine Manager (GCP) Lokales Migrate for Compute Engine-Back-End

Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP)

Migrate for Compute Engine-Importer (AWS-Subnetz)

VPN On-Prem

VPC

VPN zu AWS

Ja SSH TCP/22
Arbeitslast-Netzwerktags (GCP) Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) VPC Ja SYSLOG (für die GCP-VM-Bootphase) UDP/514

Beispiel für lokale Google Cloud-Konfiguration

In den obigen Abschnitten werden die Regeln für Migrationen erläutert. In diesem Abschnitt wird eine beispielhafte Netzwerkkonfiguration für Ihre VPC dargestellt, die über die Google Cloud Console konfiguriert wurde. Weitere Informationen finden Sie unter Firewallregeln erstellen.

Im folgenden Beispiel stellt das Subnetz 192.168.1.0/24 das lokale Netzwerk und 10.1.0.0/16 die VPC in Google Cloud dar.

Name Typ Ziel Quelle Ports Zweck
velos-ce-backend Eingehender Traffic fw-velostrata 192.168.1.0/24 tcp:9111 Verschlüsselte Migrationsdaten, die vom Migrate for Compute Engine-Back-End an die Cloud-Erweiterungen gesendet werden.
velos-ce-control Eingehender Traffic fw-velostrata fw-velosmanager tcp:443,
tcp:9111
Steuerungsebene zwischen den Cloud-Erweiterungen und Migrate for Compute Engine Manager.
velos-ce-cross Eingehender Traffic fw-velostrata fw-velostrata Alle Synchronisierung zwischen Cloud-Erweiterungsknoten.
velos-console-probe Eingehender Traffic fw-workload fw-velosmanager tcp:22, tcp:3389 Ermöglicht Migrate for Compute Engine Manager zu prüfen, ob die SSH- oder RDP-Konsole auf der migrierten VM verfügbar ist.
velos-webui Eingehender Traffic fw-velosmanager 192.168.1.0/24,
10.1.0.0/16
tcp:443 HTTPS-Zugriff auf Migrate for Compute Engine Manager auf die Web-UI.
velos-workload Eingehender Traffic fw-velostrata fw-workload tcp:3260,
udp:514
iSCSI für Datenmigration und Syslog

Netzwerkrouting und -weiterleitung

Sobald Firewallregeln eingerichtet sind, die die erforderliche Kommunikation ermöglichen, können zusätzliche statische Routen erforderlich sein, um Traffic zwischen Netzwerken zu übertragen.

Informationen zum Routing und zur Weiterleitung im lokalen Unternehmens-LAN finden Sie in der Dokumentation Ihres Routers, Ihrer Firewall und Ihres VPN-Anbieters.

Weitere Informationen zum Routing und zur Weiterleitung in Google Cloud finden Sie in der folgenden Dokumentation:

Informationen zum Routing und zur Weiterleitung von AWS zu Google Cloud finden Sie in den folgenden Dokumenten:

Informationen zum Routing und zur Weiterleitung von Azure zu Google Cloud finden Sie in den folgenden Dokumenten: