Pour effectuer une migration avec Google Cloud Migrate pour Compute Engine (anciennement Velostrata), vous devez connecter Google Cloud à votre environnement sur site AWS ou Azure. Cela signifie que vous devez configurer les ressources suivantes :
- Un cloud privé virtuel (VPC) sur GCP
- les règles de pare-feu appliquées à Google Cloud et à votre environnement sur site AWS ou Azure ;
- les VPN ou autres interconnexions réseau avec des règles de routage et de transfert entre Google Cloud et votre environnement sur site AWS ou Azure ;
- les tags réseau Google Cloud qui permettent au trafic de circuler entre les instances.
Cette page répertorie uniquement les règles et les routes de pare-feu pour l'application Migrate for Compute Engine. Vos applications peuvent avoir besoin d'une configuration supplémentaire sur Google Cloud. Pour en savoir plus, consultez les articles Règles de pare-feu, Routes et Configurer des tags réseau.
Prérequis
Avant de continuer, vérifiez que vous avez bien créé un VPC pour héberger vos composants Migrate for Compute Engine et vos charges de travail migrées.
Network tags (Tags réseau)
Google Cloud utilise des tags réseau pour identifier les règles de pare-feu de réseau à appliquer à des instances de VM spécifiques. Les composants ayant les mêmes tags réseau peuvent communiquer entre eux. Migrate for Compute Engine attribue des tags réseau pour faciliter la migration de la charge de travail.
| Composant | Nom du tag suggéré | Description |
|---|---|---|
| Gestionnaire Migrate for Compute Engine | fw-velosmanager | Spécifiez ce tag réseau avant de déployer le gestionnaire Migrate for Compute Engine à l'aide de l'option de déploiement par clic de Google Cloud Marketplace. |
| Extension cloud Migrate for Compute Engine | fw-velostrata | Vous pouvez appliquer un ou plusieurs tags réseau lorsque vous créez vos extensions Cloud Migrate for Compute Engine. |
| Charge de travail | fw-workload | Pour simplifier, cette rubrique fait référence au tag réseau charge de travail, qui permet aux nœuds de charge de travail d'accéder aux ressources Migrate for Compute Engine de votre projet. |
| Personnalisé |
Les tags personnalisés activent la connectivité entre les instances qui les partagent. Si plusieurs instances de VM diffusent un site Web, attribuez-leur un tag commun, puis utilisez ce tag pour appliquer une règle de pare-feu autorisant l'accès HTTP à ces instances. Remarque : Pour être valides, les noms des tags réseau dans Google Cloud ne doivent contenir que des lettres minuscules, des chiffres et des tirets. Ils doivent également commencer et se terminer par un chiffre ou une lettre minuscule. |
Règles de pare-feu
Pour que Migrate for Compute Engine fonctionne, les tableaux suivants répertorient le type d'accès de pare-feu nécessaire entre la source et la destination, ainsi que le protocole et le port.
Pour en savoir plus, consultez la documentation relative aux pare-feu ci-dessous :
- Pour les pare-feu du LAN sur site de l'entreprise, consultez la documentation de votre fournisseur.
- Documentation relative aux pare-feu VPC.
- Documentation relative aux pare-feu VPC AWS.
- Documentation relative aux pare-feu VPC Azure.
VPC Google Cloud
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocol (Protocole) | Port |
|---|---|---|---|---|---|
| Tags réseau du gestionnaire Migrate for Compute Engine (GCP) | Point de terminaison de l'API GCP | Internet ou accès privé à Google | Non | HTTPS | TCP/443 |
| Tags réseau du gestionnaire Migrate for Compute Engine (GCP) | Point de terminaison de l'API AWS
(migrations d'AWS vers GCP) |
Internet | Non | HTTPS | TCP/443 |
| Tags réseau du gestionnaire Migrate for Compute Engine (GCP) | Point de terminaison de l'API Azure
(migrations d'Azure vers GCP) |
Internet | Non | HTTPS | TCP/443 |
| Sous-réseaux LAN d'entreprise (pour l'accès à l'UI Web) | Tags réseau du gestionnaire Migrate for Compute Engine (GCP) | VPN sur site | Non | HTTPS | TCP/443 |
| Tags réseau du gestionnaire Migrate for Compute Engine (GCP) | Tags réseau de charge de travail (GCP)
Par exemple, vérification de disponibilité de la console |
VPC | Oui | RDP
SSH |
TCP/3389
TCP/22 |
| Tags réseau extension cloud Migrate for Compute Engine (GCP) | Tags réseau du gestionnaire Migrate for Compute Engine (GCP) | VPC | Non | HTTPS | TCP/443 |
| Importateurs Migrate for Compute Engine (sous-réseau AWS) | Tags réseau du gestionnaire Migrate for Compute Engine (GCP) | AWS vers VPN | Non | HTTPS | TCP/443 |
| Importateurs Migrate for Compute Engine (sous-réseau Azure) | Tags réseau du gestionnaire Migrate for Compute Engine (GCP) | Azure vers VPN | Non | HTTPS | TCP/443 |
| Tags réseau extension cloud Migrate for Compute Engine | API Google Cloud Storage | Internet ou accès privé à Google | Non | HTTPS | TCP/443 |
| Tags réseau de charge de travail (GCP) | Tags réseau extension cloud Migrate for Compute Engine (GCP) | VPC | Non | iSCSI | TCP/3260 |
| Backend de Migrate for Compute Engine | Tags réseau extension cloud Migrate for Compute Engine (GCP) | VPN sur site | Non | TLS | TCP/9111 |
| Importateurs Migrate for Compute Engine (sous-réseau AWS) | Tags réseau extension cloud Migrate for Compute Engine (GCP) | VPN vers AWS | Non | TLS | TCP/9111 |
| Importateurs Migrate for Compute Engine (sous-réseau Azure) | Tags réseau extension cloud Migrate for Compute Engine (GCP) | VPN vers Azure | Non | TLS | TCP/9111 |
| Tags réseau extension cloud Migrate for Compute Engine (GCP) | Tags réseau extension cloud Migrate for Compute Engine (GCP) | VPC | Non | ANY | ANY |
Sur site
Le tableau suivant répertorie les règles qui s'appliquent lors de la migration des machines virtuelles VMware ou des machines physiques sur site vers GCP.
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocol (Protocole) | Port |
|---|---|---|---|---|---|
| Backend de Migrate for Compute Engine | Serveur vCenter | LAN d'entreprise | Non | HTTPS | TCP/443 |
| Backend de Migrate for Compute Engine | vSphere ESXi | LAN d'entreprise | Non | VMW NBD | TCP/902 |
| Backend de Migrate for Compute Engine | Stackdriver utilisant Internet | Internet | Oui | HTTPS | TCP/443 |
| Backend de Migrate for Compute Engine | Serveur DNS d'entreprise | LAN d'entreprise | Non | DNS | TCP/UDP/53 |
| Backend de Migrate for Compute Engine | Gestionnaire Migrate for Compute Engine (GCP) | VPN vers GCP | Non | HTTPS | TCP/443 |
| Backend de Migrate for Compute Engine | Nœuds d'extension cloud Migrate for Compute Engine (sous-réseau GCP) | VPN vers GCP | Non | TLS | TCP/9111 |
| Serveur vCenter | Backend de Migrate for Compute Engine | LAN d'entreprise | Non | HTTPS | TCP/443 |
Azure VNet
Le tableau suivant répertorie les règles qui s'appliquent lors de la migration d'instances d'Azure vers GCP.
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocol (Protocole) | Port |
|---|---|---|---|---|---|
| Groupes de sécurité importateurs Migrate for Compute Engine | Gestionnaire Migrate for Compute Engine | GCP vers VPN | Non | HTTPS | TCP/443 |
| Groupes de sécurité importateurs Migrate for Compute Engine | Nœuds d'extension cloud Migrate for Compute Engine (sous-réseau GCP) | VPN vers GCP | Non | TLS | TCP/9111 |
VPC AWS
Le tableau suivant répertorie les règles qui s'appliquent lors de la migration des instances AWS EC2 d'AWS VPC vers GCP.
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocol (Protocole) | Port |
|---|---|---|---|---|---|
| Groupes de sécurité importateurs Migrate for Compute Engine | Gestionnaire Migrate for Compute Engine | GCP vers VPN | Non | HTTPS | TCP/443 |
| Groupes de sécurité importateurs Migrate for Compute Engine | Nœuds d'extension cloud Migrate for Compute Engine (sous-réseau GCP) | VPN vers GCP | Non | TLS | TCP/9111 |
Dépannage
Les règles suivantes ne sont pas requises pour les migrations, mais vous permettent de vous connecter directement aux serveurs et de recevoir des journaux tout en résolvant les problèmes.
| Source | Destination | Champ d'application du pare-feu | Facultatif ? | Protocol (Protocole) | Port |
|---|---|---|---|---|---|
| Votre ordinateur local | Gestionnaire Migrate for Compute Engine sur Google Cloud | VPN vers GCP | Oui | SSH | TCP/22 |
| Gestionnaire Migrate for Compute Engine (GCP) | Backend Migrate for Compute Engine sur site
Tags réseau extension cloud Migrate for Compute Engine (GCP) Importateurs Migrate for Compute Engine (sous-réseau AWS) |
VPN sur site
VPC VPN vers AWS |
Oui | SSH | TCP/22 |
| Tags réseau de charge de travail (GCP) | Tags réseau extension cloud Migrate for Compute Engine (GCP) | VPC | Oui | SYSLOG (pour la phase de démarrage de la VM GCP) | UDP/514 |
Exemple de configuration sur site vers Google Cloud
Les sections précédentes décrivent les règles qui pourraient s'appliquer à votre migration. Cette section décrit un exemple de configuration de mise en réseau pour votre VPC via la console Google Cloud. Pour plus d'informations, consultez la section Créer des règles de pare-feu.
Dans l'exemple suivant, le sous-réseau 192.168.1.0/24 représente le réseau sur site et 10.1.0.0/16 représente le VPC sur Google Cloud.
| Nom | Type | Cible | Source | Ports | Objectif |
|---|---|---|---|---|---|
| velos-ce-backend | Entrée | fw-velostrata | 192.168.1.0/24 | tcp:9111 | Données de migration chiffrées envoyées depuis le backend Migrate for Compute Engine vers les extensions cloud. |
| velos-ce-control | Entrée | fw-velostrata | fw-velosmanager | tcp:443, tcp:9111 |
Plan de contrôle entre les extensions cloud et le gestionnaire Migrate for Compute Engine. |
| velos-ce-cross | Entrée | fw-velostrata | fw-velostrata | toutes | Synchronisation entre les nœuds des extensions cloud. |
| velos-console-probe | Entrée | fw-workload | fw-velosmanager | tcp:22, tcp:3389 | Permet à au gestionnaire Migrate for Compute Engine de vérifier si la console SSH ou RDP de la VM migrée est disponible. |
| velos-webui | Entrée | fw-velosmanager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | Accès HTTPS au gestionnaire Migrate for Compute Engine pour l'UI Web. |
| velos-workload | Entrée | fw-velostrata | fw-workload | tcp:3260, udp:514 |
iSCSI pour la migration de données et syslog |
Routage et transfert du réseau
Une fois que les règles de pare-feu autorisant la communication sont en place, des routes statiques supplémentaires peuvent être nécessaires pour acheminer le trafic entre les réseaux.
Pour en savoir plus sur le routage et le transfert dans le LAN sur site de l'entreprise, consultez la documentation de votre fournisseur sur le routage, les pare-feu et le VPN.
Pour en savoir plus sur le routage et le transfert dans Google Cloud, consultez la documentation suivante :
- Présentation du cloud privé virtuel
- Présentation de Cloud Router
- Présentation de Cloud VPN
- Présentation de Cloud Interconnect
Pour le routage et le transfert d'AWS vers Google Cloud, consultez les documents suivants :
Pour le routage et le transfert d'Azure vers Google Cloud, consultez les documents suivants :