Zum Ausführen einer Migration mit Google Cloud Migrate for Compute Engine (früher Velostrata) müssen Sie Google Cloud mit Ihrer lokalen, AWS- oder Azure-Umgebung verbinden. Dafür müssen Sie die folgenden Ressourcen einrichten:
- Eine Virtual Private Cloud (VPC) in Google Cloud
- Firewallregeln in Google Cloud und Ihrer lokalen, AWS- oder Azure-Umgebung
- VPNs oder andere Netzwerkverbindungen mit Routing- und Weiterleitungsregeln zwischen Google Cloud und Ihrer lokalen, AWS- oder Azure-Umgebung
- Google Cloud-Netzwerktags, die Traffic zwischen Instanzen zulassen
Auf dieser Seite werden keine Firewallregeln oder -routen für andere Anwendungen als Migrate for Compute Engine aufgeführt. Für Ihre Anwendungen ist möglicherweise eine zusätzliche Konfiguration in Google Cloud erforderlich. Weitere Informationen finden Sie unter Firewallregeln, Routen und Netzwerktags konfigurieren.
Vorbereitung
Bevor Sie fortfahren, vergewissern Sie sich, dass Sie eine VPC erstellt haben, um Ihre Migrate for Compute Engine-Komponenten und Ihre migrierten Arbeitslasten zu hosten.
Netzwerktags
Google Cloud verwendet Netzwerktags, um zu ermitteln, welche Netzwerkfirewallregeln für die einzelnen VM-Instanzen gelten. Komponenten mit den gleichen Netzwerktags können miteinander kommunizieren. Bei Migrate for Compute Engine wird durch Zuweisen von Netzwerktags die Migration von Arbeitslasten erleichtert.
| Komponente | Vorgeschlagener Tag-Name | Beschreibung |
|---|---|---|
| Migrate for Compute Engine Manager | fw-velosmanager | Sie müssen dieses Netzwerktag vor der Bereitstellung von Migrate for Compute Engine Manager mithilfe der Option "Click-to-Deploy" von Google Cloud Marketplace angeben. |
| Migrate for Compute Engine-Cloud-Erweiterung | fw-velostrata | Sie können beim Erstellen der Migrate for Compute Engine-Cloud-Erweiterungen ein oder mehrere Netzwerktags verwenden. |
| Arbeitslast | fw-workload | Der Einfachheit halber bezieht sich dieses Thema auf das Arbeitslast-Netzwerktag, mit dem Arbeitslastknoten auf die Migrate for Compute Engine-Ressourcen zugreifen können. |
| Benutzerdefiniert |
Benutzerdefinierte Tags ermöglichen die Konnektivität zwischen den Instanzen, die sie gemeinsam nutzen. Wenn mehrere VM-Instanzen für eine Website zuständig sind, versehen Sie diese Instanzen mit einem gemeinsamen Wert. Mit diesem Tag legen Sie dann eine Firewallregel fest, die den HTTP-Zugriff auf diese Instanzen zulässt. Hinweis: Gültige Namen von Netzwerktags in Google Cloud dürfen nur Kleinbuchstaben, Ziffern und Bindestriche enthalten. Sie müssen außerdem mit einer Zahl oder einem Kleinbuchstaben beginnen und enden. |
Firewallregeln
Damit Migrate for Compute Engine funktioniert, werden in den folgenden Tabellen der erforderliche Firewallzugriff von der Quelle bis zum Ziel sowie deren Protokoll und Port aufgeführt.
Weitere Informationen finden Sie in der folgenden Firewall-Dokumentation:
- Informationen zu Firewalls im lokalen LAN Ihres Unternehmens finden Sie in der Dokumentation Ihres Anbieters
- VPC-Firewall-Dokumentation
- Dokumentation zu AWS-VPC-Firewall
- Azure-VPC-Firewall-Dokumentation
Google Cloud-VPC
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Netzwerktags für Migrate for Compute Engine Manager (GCP) | GCP-API-Endpunkt | Internet oder privater Google-Zugriff | Nein | HTTPS | TCP/443 |
| Netzwerktags für Migrate for Compute Engine Manager (GCP) | AWS API-Endpunkt (Migrationen von AWS zur GCP) |
Internet | Nein | HTTPS | TCP/443 |
| Netzwerktags für Migrate for Compute Engine Manager (GCP) | Azure API-Endpunkt (Migrationen von Azure zur GCP) |
Internet | Nein | HTTPS | TCP/443 |
| LAN-Subnetze des Unternehmens (für Web-UI-Zugriff) | Netzwerktags für Migrate for Compute Engine Manager (GCP) | Lokales VPN | Nein | HTTPS | TCP/443 |
| Netzwerktags für Migrate for Compute Engine Manager (GCP) | Arbeitslast-Netzwerktags (GCP) Zur Prüfung der Instanzkonsolenverfügbarkeit |
VPC | Ja | RDP SSH |
TCP/3389 TCP/22 |
| Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) | Netzwerktags für Migrate for Compute Engine Manager (GCP) | VPC | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Importer (AWS-Subnetz) | Netzwerktags für Migrate for Compute Engine Manager (GCP) | AWS zu VPN | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Importer (Azure-Subnetz) | Netzwerktags für Migrate for Compute Engine Manager (GCP) | Azure zu VPN | Nein | HTTPS | TCP/443 |
| Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung | Google Cloud Storage API | Internet oder privater Google-Zugriff | Nein | HTTPS | TCP/443 |
| Arbeitslast-Netzwerktags (GCP) | Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) | VPC | Nein | iSCSI | TCP/3260 |
| Migrate for Compute Engine-Back-End | Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) | Lokales VPN | Nein | TLS | TCP/9111 |
| Migrate for Compute Engine-Importer (AWS-Subnetz) | Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) | VPN zu AWS | Nein | TLS | TCP/9111 |
| Migrate for Compute Engine-Importer (Azure-Subnetz) | Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) | VPN zu Azure | Nein | TLS | TCP/9111 |
| Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) | Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) | VPC | Nein | ANY | ANY |
Lokal
In der folgenden Tabelle sind die Regeln aufgeführt, die für die lokale Migration von virtuellen VMware-Maschinen oder physischen Maschinen zur GCP gelten.
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Migrate for Compute Engine-Back-End | vCenter-Server | Unternehmens-LAN | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Back-End | vSphere ESXi | Unternehmens-LAN | Nein | VMW NBD | TCP/902 |
| Migrate for Compute Engine-Back-End | Stackdriver über das Internet | Internet | Ja | HTTPS | TCP/443 |
| Migrate for Compute Engine-Back-End | DNS-Server des Unternehmens | Unternehmens-LAN | Nein | DNS | TCP/UDP/53 |
| Migrate for Compute Engine-Back-End | Migrate for Compute Engine Manager (GCP) | VPN zur GCP | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Back-End | Migrate for Compute Engine-Cloud-Erweiterungsknoten (GCP-Subnetz) | VPN zur GCP | Nein | TLS | TCP/9111 |
| vCenter-Server | Migrate for Compute Engine-Back-End | Unternehmens-LAN | Nein | HTTPS | TCP/443 |
Azure VNet
In der folgenden Tabelle sind die Regeln aufgeführt, die für die Migration von Azure-Instanzen von Azure zur GCP gelten.
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Migrate for Compute Engine-Importer-Sicherheitsgruppe | Migrate for Compute Engine Manager | GCP zu VPN | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Importer-Sicherheitsgruppe | Migrate for Compute Engine-Cloud-Erweiterungsknoten (GCP-Subnetz) | VPN zur GCP | Nein | TLS | TCP/9111 |
AWS-VPC
In der folgenden Tabelle sind die Regeln aufgeführt, die für die Migration von AWS-EC2-Instanzen von AWS-VPC zur GCP gelten.
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Migrate for Compute Engine-Importer-Sicherheitsgruppe | Migrate for Compute Engine Manager | GCP zu VPN | Nein | HTTPS | TCP/443 |
| Migrate for Compute Engine-Importer-Sicherheitsgruppe | Migrate for Compute Engine-Cloud-Erweiterungsknoten (GCP-Subnetz) | VPN zur GCP | Nein | TLS | TCP/9111 |
Fehlerbehebung
Die im Folgenden aufgeführten Regeln sind für Migrationen nicht erforderlich. Sie ermöglichen aber, eine direkte Verbindung zu Servern herzustellen und Logs für die Fehlerbehebung zu empfangen.
| Quelle | Ziel | Firewallbereich | Optional? | Protokoll | Port |
|---|---|---|---|---|---|
| Mein lokaler Rechner | Migrate for Compute Engine Manager in Google Cloud | VPN zur GCP | Ja | SSH | TCP/22 |
| Migrate for Compute Engine Manager (GCP) | Lokales Migrate for Compute Engine-Back-End Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) Migrate for Compute Engine-Importer (AWS-Subnetz) |
VPN On-Prem
VPC VPN zu AWS |
Ja | SSH | TCP/22 |
| Arbeitslast-Netzwerktags (GCP) | Netzwerktags für Migrate for Compute Engine-Cloud-Erweiterung (GCP) | VPC | Ja | SYSLOG (für die GCP-VM-Bootphase) | UDP/514 |
Beispiel für lokale Google Cloud-Konfiguration
In den obigen Abschnitten werden die Regeln für Migrationen erläutert. In diesem Abschnitt wird eine beispielhafte Netzwerkkonfiguration für Ihre VPC dargestellt, die über die Google Cloud Console konfiguriert wurde. Weitere Informationen finden Sie unter Firewallregeln erstellen.
Im folgenden Beispiel stellt das Subnetz 192.168.1.0/24 das lokale Netzwerk und 10.1.0.0/16 die VPC in Google Cloud dar.
| Name | Typ | Ziel | Quelle | Ports | Zweck |
|---|---|---|---|---|---|
| velos-ce-backend | Eingehender Traffic | fw-velostrata | 192.168.1.0/24 | tcp:9111 | Verschlüsselte Migrationsdaten, die vom Migrate for Compute Engine-Back-End an die Cloud-Erweiterungen gesendet werden |
| velos-ce-control | Eingehender Traffic | fw-velostrata | fw-velosmanager | tcp:443, tcp:9111 |
Steuerungsebene zwischen den Cloud-Erweiterungen und Migrate for Compute Engine Manager |
| velos-ce-cross | Eingehender Traffic | fw-velostrata | fw-velostrata | Alle | Synchronisierung zwischen Cloud-Erweiterungsknoten |
| velos-console-probe | Ingress | fw-workload | fw-velosmanager | tcp:22, tcp:3389 | Ermöglicht Migrate for Compute Engine Manager zu prüfen, ob die SSH- oder RDP-Konsole auf der migrierten VM verfügbar ist |
| velos-webui | Eingehender Traffic | fw-velosmanager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | HTTPS-Zugriff auf Migrate for Compute Engine Manager für die Web-UI. |
| velos-workload | Eingehender Traffic | fw-velostrata | fw-workload | tcp:3260, udp:514 |
iSCSI für Datenmigration und Syslog |
Netzwerkrouting und -weiterleitung
Sobald Firewallregeln eingerichtet sind, die die erforderliche Kommunikation ermöglichen, können zusätzliche statische Routen erforderlich sein, um Traffic zwischen Netzwerken zu übertragen.
Informationen zum Routing und zur Weiterleitung im lokalen Unternehmens-LAN finden Sie in der Dokumentation Ihres Routers, Ihrer Firewall und Ihres VPN-Anbieters.
Weitere Informationen zum Routing und zur Weiterleitung in Google Cloud finden Sie in der folgenden Dokumentation:
- Virtual Private Cloud – Übersicht
- Cloud Router – Übersicht
- Cloud VPN – Übersicht
- Cloud Interconnect – Übersicht
Informationen zum Routing und zur Weiterleitung von AWS zu Google Cloud finden Sie in den folgenden Dokumenten:
Informationen zum Routing und zur Weiterleitung von Azure zu Google Cloud finden Sie in den folgenden Dokumenten: