Per eseguire una migrazione con Google Cloud Migrate for Compute Engine (in precedenza Velostrata), devi connettere Google Cloud al tuo ambiente on-premise, AWS o Azure. Ciò significa che devi configurare le seguenti risorse:
- Un Virtual Private Cloud (VPC) su Google Cloud.
- Regole firewall su Google Cloud e sul tuo ambiente on-premise, AWS o Azure.
- VPN o altre interconnessioni di rete con regole di routing e forwarding tra Google Cloud e il tuo ambiente on-premise, AWS o Azure.
- Tag di rete Google Cloud che consentono il passaggio del traffico tra le istanze.
In questa pagina non sono elencate le regole firewall o le route per le applicazioni diverse da Migrate for Compute Engine. Le tue applicazioni potrebbero richiedere una configurazione aggiuntiva su Google Cloud. Per ulteriori informazioni, consulta Regole firewall, Route e Configurazione dei tag di rete.
Prerequisiti
Prima di continuare, assicurati di aver creato un VPC per ospitare i componenti di Migrate for Compute Engine e i carichi di lavoro di cui è stata eseguita la migrazione.
Tag di rete
Google Cloud utilizza i tag di rete per identificare quali regole firewall di rete si applicano alle istanze VM specificate. I componenti con gli stessi tag di rete possono comunicare tra loro. Migrate for Compute Engine assegna tag di rete per facilitare la migrazione dei carichi di lavoro.
| Componente | Nome tag suggerito | Descrizione |
|---|---|---|
| Gestore di Migrate for Compute Engine | fw-velosmanager | Devi specificare questo tag di rete prima di eseguire il deployment del gestore di Migrate for Compute Engine utilizzando l'opzione click-to-deploy di Google Cloud Marketplace. |
| Estensione Cloud di Migrate for Compute Engine | fw-velostrata | Puoi applicare uno o più tag di rete quando crei le estensioni Cloud di Migrate for Compute Engine. |
| Carico di lavoro | fw-workload | Per semplicità, questo argomento fa riferimento al tag di rete dei carichi di lavoro, che consente ai nodi del carico di lavoro di accedere alle risorse Migrate for Compute Engine del tuo progetto. |
| Personalizzato |
I tag personalizzati consentono la connettività tra le istanze che li condividono. Se disponi di più istanze VM che gestiscono un sito web, assegnale un valore comune e utilizza questo tag per applicare una regola firewall che consenta l'accesso HTTP a queste istanze. Nota: i nomi di tag di rete validi su Google Cloud contengono solo lettere minuscole, numeri e trattini. Devono inoltre iniziare e terminare con un numero o un carattere minuscolo. |
Regole del firewall
Affinché Migrate for Compute Engine funzioni, le tabelle seguenti elencano il tipo di accesso al firewall necessario dall'origine alla destinazione, nonché il protocollo e la porta.
Per ulteriori informazioni, consulta la seguente documentazione del firewall:
- Per i firewall all'interno della LAN aziendale on-premise, consulta la documentazione del tuo fornitore.
- Documentazione del firewall VPC
- Documentazione sul firewall VPC AWS
- Documentazione sul firewall VPC di Azure
VPC di Google Cloud
| Origine | Destinazione | Ambito firewall | Facoltativo? | Protocollo | Porta |
|---|---|---|---|---|---|
| Tag di rete di Migrate for Compute Engine Manager (GCP) | Endpoint API Google Cloud | Accesso Internet o privato Google | No | HTTPS | TCP/443 |
| Tag di rete di Migrate for Compute Engine Manager (GCP) | Endpoint API AWS
(Migrazioni da AWS a GCP) |
Internet | No | HTTPS | TCP/443 |
| Tag di rete di Migrate for Compute Engine Manager (GCP) | Endpoint API Azure
(Migrazioni da Azure a Google Cloud) |
Internet | No | HTTPS | TCP/443 |
| Subnet LAN aziendali (per l'accesso all'interfaccia utente web) | Tag di rete di Migrate for Compute Engine Manager (GCP) | VPN on-premise | No | HTTPS | TCP/443 |
| Tag di rete di Migrate for Compute Engine Manager (GCP) | Tag di rete del carico di lavoro (GCP)
Per il probe di disponibilità della console di istanza |
VPC | Sì | RDP
SSH |
TCP/3389
TCP/22 |
| Tag di rete dell'estensione Cloud di Migrate for Compute Engine (GCP) | Tag di rete di Migrate for Compute Engine Manager (GCP) | VPC | No | HTTPS | TCP/443 |
| Importer Migrate for Compute Engine (subnet AWS) | Tag di rete di Migrate for Compute Engine Manager (GCP) | Da AWS a VPN | No | HTTPS | TCP/443 |
| Importer Migrate for Compute Engine (subnet Azure) | Tag di rete di Migrate for Compute Engine Manager (GCP) | Da Azure a VPN | No | HTTPS | TCP/443 |
| Tag di rete dell'estensione Cloud Migrate for Compute Engine | API Google Cloud Storage | Accesso privato a Internet o Google | No | HTTPS | TCP/443 |
| Tag di rete del carico di lavoro (GCP) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (GCP) | VPC | No | iSCSI | TCP/3260 |
| Backend di Migrate for Compute Engine | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (GCP) | VPN on-prem | No | TLS | TCP/9111 |
| Importer Migrate for Compute Engine (subnet AWS) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (GCP) | Da VPN ad AWS | No | TLS | TCP/9111 |
| Importer Migrate for Compute Engine (subnet Azure) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (GCP) | Da VPN ad Azure | No | TLS | TCP/9111 |
| Tag di rete dell'estensione Cloud di Migrate for Compute Engine (GCP) | Tag di rete dell'estensione Cloud di Migrate for Compute Engine (GCP) | VPC | No | QUALSIASI | QUALSIASI |
On-premise
La tabella seguente elenca le regole che si applicano durante la migrazione di macchine virtuali o macchine fisiche VMware on-premise a Google Cloud.
| Origine | Destinazione | Ambito firewall | Facoltativo? | Protocollo | Porta |
|---|---|---|---|---|---|
| Backend di Migrate for Compute Engine | vCenter Server | LAN aziendale | No | HTTPS | TCP/443 |
| Backend di Migrate for Compute Engine | vSphere ESXi | LAN aziendale | No | VMW - NBD | TCP/902 |
| Backend di Migrate for Compute Engine | Stackdriver tramite internet | Internet | Sì | HTTPS | TCP/443 |
| Backend di Migrate for Compute Engine | Server DNS aziendale | LAN aziendale | No | DNS | TCP/UDP/53 |
| Backend di Migrate for Compute Engine | Gestore di Migrate for Compute Engine (GCP) | Da VPN a Google Cloud | No | HTTPS | TCP/443 |
| Backend di Migrate for Compute Engine | Nodi estensione Cloud di Migrate for Compute Engine (subnet GCP) | Da VPN a Google Cloud | No | TLS | TCP/9111 |
| vCenter Server | Backend di Migrate for Compute Engine | LAN aziendale | No | HTTPS | TCP/443 |
VNet di Azure
La tabella seguente elenca le regole che si applicano durante la migrazione delle istanze Azure da Azure a Google Cloud.
| Origine | Destinazione | Ambito firewall | Facoltativo? | Protocollo | Porta |
|---|---|---|---|---|---|
| Gruppo di sicurezza degli importatori di Migrate for Compute Engine | Gestore di Migrate for Compute Engine | Da Google Cloud a VPN | No | HTTPS | TCP/443 |
| Gruppo di sicurezza degli importatori di Migrate for Compute Engine | Nodi estensione Cloud di Migrate for Compute Engine (subnet GCP) | Da VPN a Google Cloud | No | TLS | TCP/9111 |
VPC AWS
La tabella seguente elenca le regole che si applicano durante la migrazione delle istanze AWS EC2 dalla rete VPC AWS alla piattaforma Google Cloud.
| Origine | Destinazione | Ambito firewall | Facoltativo? | Protocollo | Porta |
|---|---|---|---|---|---|
| Gruppo di sicurezza degli importatori di Migrate for Compute Engine | Gestore di Migrate for Compute Engine | Da Google Cloud a VPN | No | HTTPS | TCP/443 |
| Gruppo di sicurezza degli importatori di Migrate for Compute Engine | Nodi estensione Cloud di Migrate for Compute Engine (subnet GCP) | Da VPN a Google Cloud | No | TLS | TCP/9111 |
Risoluzione dei problemi
Le seguenti regole non sono necessarie per le migrazioni, ma ti consentono di connetterti direttamente ai server e ricevere i log durante la risoluzione dei problemi.
| Origine | Destinazione | Ambito firewall | Facoltativo? | Protocollo | Porta |
|---|---|---|---|---|---|
| La tua macchina locale | Gestore di Migrate for Compute Engine su Google Cloud | Da VPN a Google Cloud | Sì | SSH | TCP/22 |
| Gestore di Migrate for Compute Engine (GCP) | Backend on-premise di Migrate for Compute Engine
Tag di rete estensione Cloud Migrate for Compute Engine (GCP) Importer Migrate for Compute Engine (subnet AWS) |
VPN on-prem
VPC Da VPN ad AWS |
Sì | SSH | TCP/22 |
| Tag di rete per carichi di lavoro (GCP) | Tag di rete estensione Cloud Migrate for Compute Engine (GCP) | VPC | Sì | SYSLOG (per la fase di avvio delle VM di Google Cloud) | UDP/514 |
Esempio di configurazione da on-premise a Google Cloud
Le sezioni precedenti spiegano le regole applicabili alla migrazione. Questa sezione illustra una configurazione di rete di esempio per il tuo VPC, configurato tramite la console Google Cloud. Per maggiori informazioni, consulta la pagina relativa alla creazione delle regole firewall.
Nell'esempio seguente, la subnet 192.168.1.0/24 rappresenta la rete on-premise e 10.1.0.0/16 rappresenta il VPC su Google Cloud.
| Nome | Tipo | Destinazione | Origine | Porte | Finalità |
|---|---|---|---|---|---|
| velos-ce-backend | In entrata | fw-velostrata | 192.168.1.0/24 | tcp:9111 | Dati di migrazione criptati inviati dal backend di Migrate for Compute Engine alle estensioni Cloud. |
| velos-ce-control | In entrata | fw-velostrata | fw-velosmanager | tcp:443, tcp:9111 |
Piano di controllo tra Cloud Extensions e il gestore di Migrate for Compute Engine. |
| velos-ce-cross | In entrata | fw-velostrata | fw-velostrata | tutte | Sincronizzazione tra nodi dell'estensione Cloud. |
| velos-console-probe | In entrata | fw-workload | fw-velosmanager | tcp:22, tcp:3389 | Consente al gestore di Migrate for Compute Engine di verificare se è disponibile la console SSH o RDP sulla VM migrata. |
| velos-webui | In entrata | fw-velosmanager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | Accesso HTTPS alla UI del gestore di Migrate for Compute Engine per il web. |
| velos-workload | In entrata | fw-velostrata | fw-workload | tcp:3260, udp:514 |
iSCSI per la migrazione dei dati e syslog |
Routing e inoltro di rete
Dopo aver impostato regole firewall che consentono le comunicazioni necessarie, potrebbero essere necessarie ulteriori route statiche per trasportare il traffico tra le reti.
Per il routing e l'inoltro all'interno della LAN aziendale on-premise, consulta la documentazione del fornitore di router, firewall e VPN.
Per ulteriori informazioni sul routing e sull'inoltro in Google Cloud, consulta la seguente documentazione:
- Panoramica di Virtual Private Cloud
- Panoramica del router Cloud
- Panoramica di Cloud VPN
- Panoramica di Cloud Interconnect
Per il routing e l'inoltro da AWS a Google Cloud, consulta i seguenti documenti:
Per il routing e l'inoltro da Azure a Google Cloud, consulta i seguenti documenti: