Google Cloud Migrate for Compute Engine(이전 Velostrata)을 사용하여 마이그레이션하려면 Google Cloud를 온프레미스, AWS 또는 Azure 환경과 연결해야 합니다. 즉, 다음 리소스를 설정해야 합니다.
- Google Cloud의 Virtual Private Cloud(VPC)
- Google Cloud 및 온프레미스, AWS 또는 Azure 환경의 방화벽 규칙
- Google Cloud와 온프레미스, AWS 또는 Azure 환경 간에 라우팅 및 전달 규칙을 사용하는 VPN 또는 기타 네트워크 상호 연결
- 인스턴스 간에 트래픽 전달을 허용하는 Google Cloud 네트워크 태그
이 페이지에는 Migrate for Compute Engine 이외의 애플리케이션에 대한 방화벽 규칙 또는 경로가 나열되어 있지 않습니다. 애플리케이션에 따라 Google Cloud에서 추가 구성이 필요할 수 있습니다. 자세한 내용은 방화벽 규칙, 경로, 네트워크 태그 구성을 참조하세요.
기본 요건
계속하기 전에 Migrate for Compute Engine 구성요소와 마이그레이션된 워크로드를 호스팅할 VPC를 만들었는지 확인하세요.
네트워크 태그
Google Cloud는 네트워크 태그를 사용하여 지정된 VM 인스턴스에 적용할 네트워크 방화벽 규칙을 식별합니다. 네트워크 태그가 동일한 구성요소는 서로 통신할 수 있습니다. Migrate for Compute Engine은 네트워크 태그를 할당하여 워크로드 마이그레이션을 용이하게 합니다.
| 구성요소 | 추천 태그 이름 | 설명 |
|---|---|---|
| Migrate for Compute Engine Manager | fw-velosmanager | Google Cloud Marketplace의 '클릭하여 배포' 옵션을 사용하여 Migrate for Compute Engine Manager를 배포하기 전에 이 네트워크 태그를 지정합니다. |
| Migrate for Compute Engine Cloud Extension | fw-velostrata | Migrate for Compute Engine Cloud Extension을 만들 때 하나 이상의 네트워크 태그를 적용할 수 있습니다. |
| 워크로드 | fw-workload | 편의상 이 주제에서는 워크로드 노드가 프로젝트의 Migrate for Compute Engine 리소스에 액세스하도록 허용하는 워크로드 네트워크 태그를 참조합니다. |
| 커스텀 |
커스텀 태그는 이 태그를 공유하는 인스턴스 간의 연결을 가능하게 합니다. 동일한 웹사이트에 사용되는 여러 VM 인스턴스가 있는 경우 이러한 인스턴스에 공통 값으로 태그를 지정한 다음, 이 태그를 사용하여 해당 인스턴스에 대한 HTTP 액세스를 허용하는 방화벽 규칙을 적용합니다. 참고: Google Cloud의 유효한 네트워크 태그 이름에는 소문자, 숫자, 대시만 사용할 수 있습니다. 또한 이 이름은 숫자나 소문자로 시작하고 끝나야 합니다. |
방화벽 규칙
다음 표에는 Migrate for Compute Engine이 작동하기 위해 소스에서 대상까지 필요한 방화벽 액세스 유형과 프로토콜 및 포트가 나열되어 있습니다.
자세한 내용은 다음의 방화벽 관련 문서를 참조하세요.
- 온프레미스 회사 LAN 내부의 방화벽은 공급업체의 문서를 참조하세요.
- VPC 방화벽 문서
- AWS VPC 방화벽 문서
- Azure VPC 방화벽 문서
Google Cloud VPC
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| Migrate for Compute Engine Manager 네트워크 태그(GCP) | GCP API 엔드포인트 | 인터넷 또는 비공개 Google 액세스 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Manager 네트워크 태그(GCP) | AWS API 엔드포인트
(AWS에서 GCP로 마이그레이션) |
인터넷 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Manager 네트워크 태그(GCP) | Azure API 엔드포인트
(Azure에서 GCP로 마이그레이션) |
인터넷 | 아니요 | HTTPS | TCP/443 |
| 기업 LAN 서브넷(웹 UI 액세스용) | Migrate for Compute Engine Manager 네트워크 태그(GCP) | VPN 온프레미스 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Manager 네트워크 태그(GCP) | 워크로드 네트워크 태그(GCP)
인스턴스 콘솔 가용성 프로브 |
VPC | 예 | RDP
SSH |
TCP/3389
TCP/22 |
| Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | Migrate for Compute Engine Manager 네트워크 태그(GCP) | VPC | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Importer(AWS 서브넷) | Migrate for Compute Engine Manager 네트워크 태그(GCP) | AWS에서 VPN으로의 트래픽 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Importer(Azure 서브넷) | Migrate for Compute Engine Manager 네트워크 태그(GCP) | Azure에서 VPN으로의 트래픽 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Cloud Extension 네트워크 태그 | Google Cloud Storage API | 인터넷 또는 Google 비공개 액세스 | 아니요 | HTTPS | TCP/443 |
| 워크로드 네트워크 태그(GCP) | Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | VPC | 아니요 | iSCSI | TCP/3260 |
| Migrate for Compute Engine Backend | Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | VPN 온프렘 | 아니요 | TLS | TCP/9111 |
| Migrate for Compute Engine Importer(AWS 서브넷) | Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | AWS VPN | 아니요 | TLS | TCP/9111 |
| Migrate for Compute Engine Importer(Azure 서브넷) | Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | Azure VPN | 아니요 | TLS | TCP/9111 |
| Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | VPC | 아니요 | 모두 | 모두 |
온프레미스
다음 표에는 VMware 가상 머신 또는 물리적 온프레미스 머신을 GCP로 마이그레이션할 때 적용되는 규칙이 나와 있습니다.
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| Migrate for Compute Engine Backend | vCenter Server | 기업 LAN | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Backend | vSphere ESXi | 기업 LAN | 아니요 | VMW NBD | TCP/902 |
| Migrate for Compute Engine Backend | Stackdriver(인터넷 사용) | 인터넷 | 예 | HTTPS | TCP/443 |
| Migrate for Compute Engine Backend | 기업 DNS 서버 | 기업 LAN | 아니요 | DNS | TCP/UDP/53 |
| Migrate for Compute Engine Backend | Migrate for Compute Engine Manager(GCP) | GCP VPN | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Backend | Migrate for Compute Engine Cloud Extension 노드(GCP 서브넷) | GCP VPN | 아니요 | TLS | TCP/9111 |
| vCenter Server | Migrate for Compute Engine Backend | 기업 LAN | 아니요 | HTTPS | TCP/443 |
Azure VNet
다음 표에는 Azure 인스턴스를 Azure에서 GCP로 마이그레이션할 때 적용되는 규칙이 나와 있습니다.
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| Migrate for Compute Engine Importer 보안 그룹 | Migrate for Compute Engine Manager | GCP에서 VPN으로의 트래픽 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Importer 보안 그룹 | Migrate for Compute Engine Cloud Extension 노드(GCP 서브넷) | GCP VPN | 아니요 | TLS | TCP/9111 |
AWS VPC
다음 표에는 AWS EC2 인스턴스를 AWS VPC에서 GCP로 마이그레이션할 때 적용되는 규칙이 나와 있습니다.
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| Migrate for Compute Engine Importer 보안 그룹 | Migrate for Compute Engine Manager | GCP에서 VPN으로의 트래픽 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Importer 보안 그룹 | Migrate for Compute Engine Cloud Extension 노드(GCP 서브넷) | GCP VPN | 아니요 | TLS | TCP/9111 |
문제해결
다음 규칙은 마이그레이션에는 필요하지 않지만 문제를 해결하는 동안 서버에 직접 연결하고 로그를 수신할 수 있도록 허용합니다.
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| 로컬 머신 | Google Cloud의 Migrate for Compute Engine Manager | GCP VPN | 예 | SSH | TCP/22 |
| Migrate for Compute Engine Manager(GCP) | Migrate for Compute Engine 온프레미스 백엔드 Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) Migrate for Compute Engine Importer(AWS 서브넷) |
VPN 온프렘
VPC VPN에서 AWS로의 트래픽 |
예 | SSH | TCP/22 |
| 워크로드 네트워크 태그(GCP) | Migrate for Compute Engine Cloud Extension 네트워크 태그(GCP) | VPC | 예 | SYSLOG(GCP VM 부팅 단계의 경우) | UDP/514 |
온프레미스-Google Cloud 구성 예시
이전 섹션에서는 마이그레이션에 적용되는 규칙을 설명했습니다. 이 섹션에서는 Google Cloud Console을 통해 구성된 VPC의 샘플 네트워킹 구성을 설명합니다. 자세한 내용은 방화벽 규칙 만들기를 참조하세요.
다음 예시에서 192.168.1.0/24 서브넷은 온프레미스 네트워크를 나타내고 10.1.0.0/16은 Google Cloud의 VPC를 나타냅니다.
| 이름 | 유형 | 대상 | 소스 | 포트 | 용도 |
|---|---|---|---|---|---|
| velos-ce-backend | 인그레스 | fw-velostrata | 192.168.1.0/24 | tcp:9111 | Migrate for Compute Engine Backend에서 Cloud Extension으로 전송되는 암호화된 마이그레이션 데이터 |
| velos-ce-control | 인그레스 | fw-velostrata | fw-velosmanager | tcp:443, tcp:9111 |
Cloud Extension과 Migrate for Compute Engine Manager 간의 제어 영역 |
| velos-ce-cross | 인그레스 | fw-velostrata | fw-velostrata | 모두 | Cloud Extension 노드 간의 동기화 |
| velos-console-probe | 인그레스 | fw-workload | fw-velosmanager | tcp:22, tcp:3389 | Migrate for Compute Engine Manager가 마이그레이션된 VM의 SSH 또는 RDP 콘솔이 사용 가능한지 확인할 수 있도록 허용 |
| velos-webui | 인그레스 | fw-velosmanager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | HTTPS를 통해 웹 UI용 Migrate for Compute Engine Manager에 액세스 |
| velos-workload | 인그레스 | fw-velostrata | fw-workload | tcp:3260, udp:514 |
데이터 마이그레이션 및 syslog용 iSCSI |
네트워크 라우팅 및 전달
필요한 통신을 허용하는 방화벽 규칙이 설정되면 네트워크 간에 트래픽을 전송하는 추가 정적 경로가 필요할 수 있습니다.
온프레미스 기업 LAN 내부의 라우팅 및 전달에 관한 내용은 라우터, 방화벽, VPN 공급업체 문서를 참조하세요.
Google Cloud의 라우팅 및 전달에 관한 자세한 내용은 다음 문서를 참조하세요.
AWS에서 Google Cloud로의 라우팅 및 전달에 관한 내용은 다음 문서를 참조하세요.
Azure에서 Google Cloud로의 라우팅 및 전달에 관한 내용은 다음 문서를 참조하세요.