이 주제는 작동하는 마이그레이션 환경이 있도록 구성하기 위해 필요한 네트워크 액세스를 설명합니다.
마이그레이션을 설정할 때 여러 네트워크의 여러 구성요소로 마이그레이션 환경을 구성합니다. 마이그레이션이 작동하려면 이러한 네트워크는 마이그레이션 구성요소 간에 특정 트래픽 액세스를 허용해야 합니다.
네트워크 액세스 설정 단계
대략적으로 마이그레이션 환경에서 네트워크 액세스를 설정하려면 다음 단계를 수행합니다.
Google Cloud에서 Virtual Private Cloud(VPC)를 설정하세요.
VPC는 Google Cloud에서 구성요소에 대한 가상 네트워크를 정의합니다. VM 인스턴스 간, 네트워크와 외부 구성요소 간의 액세스를 허용하는 방화벽 규칙을 만들 수도 있습니다.
VPC 네트워크의 각 구성요소에 할당할 네트워크 태그를 정의합니다.
네트워크 태그는 Google Cloud VM 인스턴스에 추가할 수 있는 텍스트 속성입니다. 다음 표에서는 태그를 만들 수 있는 구성요소와 네트워크 태그 텍스트 예시를 보여줍니다.
네트워크 태그를 할당할 때 제한사항 및 필수 권한에 대해서는 네트워크 태그 구성을 참조하세요.
구성요소 추천 네트워크 태그 Migrate for Compute Engine Manager fw-migration-managerMigrate for Compute Engine Cloud Extension fw-migration-cloud-extension워크로드 fw-workloadGoogle Cloud VPC에서 방화벽 규칙 생성에 정의한 네트워크 태그를 사용하여 마이그레이션 환경의 구성요소 간에 트래픽을 허용합니다.
여기에는 Google Cloud 구성요소 간, VM을 마이그레이션할 원본 플랫폼의 구성요소와 Google Cloud 구성요소 간 트래픽이 포함됩니다.
이 주제에는 생성해야 하는방화벽 규칙 목록이 나와 있습니다.
마이그레이션 환경에서 구성요소를 실행하는 VM 인스턴스를 배포할 때 태그를 메타데이터로 적용합니다.
태그를 사용하여 방화벽 규칙을 만들고 해당 구성요소 VM 인스턴스에 태그를 적용했다면 어떤 VM 인스턴스에 어떤 방화벽 규칙을 적용할지 지정되어 있어야 합니다.
정의한 태그를 다음에 적용합니다.
- Migrate for Compute Engine Manager - Migrate for Compute Engine Manager 배포 시
fw-migration-manager등의 네트워크 태그를 지정합니다. - Migrate for Compute Engine Cloud Extensions - Migrate for Compute Engine Cloud Extensions 만들기 시
fw-migration-cloud-extension등의 네트워크 태그를 지정합니다. - VM 워크로드 - 웨이브로 마이그레이션하는 VM을 나열하는 런북 CSV 파일의
GcpNetworkTags필드에fw-workload등의 네트워크 태그를 지정합니다.
위에 나열된 구성요소를 배포한 후 네트워크 태그를 설정하거나 변경해야 하는 경우 안내를 사용하여 수정할 수 있습니다.
- Migrate for Compute Engine Manager - Migrate for Compute Engine Manager 배포 시
VM을 마이그레이션하는 소스 플랫폼에서 플랫폼과 Google Cloud 간의 트래픽을 허용하는 규칙을 만드세요.
필요에 따라 네트워크 간에 트래픽을 전송하기 위해 추가 정적 경로를 정의합니다.
방화벽 규칙
방화벽 규칙은 마이그레이션 환경의 구성요소 간 트래픽에 대한 액세스를 허용합니다. 이 주제의 표에는 필요한 방화벽 규칙이 나열되어 있습니다.
방화벽 규칙을 구성하기 전에 위에 설명된 다른 네트워크 액세스 단계를 참조하세요.
자세한 내용은 다음의 방화벽 관련 문서를 참조하세요.
- 온프레미스 회사 LAN 내부의 방화벽은 공급업체의 문서를 참조하세요.
- Google Cloud의 방화벽은 VPC 방화벽 문서를 참조하세요.
- AWS VPC 방화벽 문서
- Azure VPC 방화벽 문서
대상에서 구성된 규칙
Google Cloud VPC 네트워크에서 마이그레이션 환경의 구성요소 간 트래픽을 허용하는 방화벽 규칙을 만듭니다.
Google Cloud VPC에서 하나의 구성요소가 타겟이고 다른 하나는 소스(인그레스 규칙의 경우) 또는 목적지(이그레스 규칙의 경우)인 방화벽 규칙을 정의합니다.
다음 표의 각 행에 대해 방화벽 규칙을 만듭니다. 각 규칙은 인그레스 또는 이그레스 규칙으로 만들 수 있습니다. 예를 들어 규칙에서 트래픽이 Cloud Extension 구성요소(네트워크 태그로 지정됨)에서 Migrate for Compute Engine Manager(네트워크 태그로 지정)까지 허용된 경우 다음 중 한 가지 방법으로 규칙을 만들 수 있습니다.
- Cloud Extension 네트워크 태그가 타겟이고 Migrate for Compute Engine Manager 네트워크 태그가 목적지인 이그레스 규칙
- Migrate for Compute Engine Manager네트워크 태그가 타겟이고 Cloud Extension 네트워크 태그가 소스인 인그레스 규칙
다음 표에서 구성요소 위치는 다음과 같이 표시됩니다.
| Google Cloud의 구성요소 | Google Cloud 외부의 구성요소 |
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| Migrate for Compute Engine Manager 네트워크 태그 | Google Cloud API 엔드포인트 | 인터넷 또는 비공개 Google 액세스 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Manager 네트워크 태그 | AWS API 엔드포인트
(AWS에서 마이그레이션) |
인터넷 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Manager 네트워크 태그 | Azure API 엔드포인트
(Azure에서 마이그레이션) |
인터넷 | 아니요 | HTTPS | TCP/443 |
| 기업 LAN 서브넷(웹 UI 액세스용) | Migrate for Compute Engine Manager 네트워크 태그 | VPN 온프레미스 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Manager 네트워크 태그 | 워크로드 네트워크 태그
인스턴스 콘솔 가용성 프로브 |
VPC | 예 | RDP
SSH |
TCP/3389
TCP/22 |
| Migrate for Compute Engine Cloud Extension 네트워크 태그 | Migrate for Compute Engine Manager 네트워크 태그 | VPC | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Importer(AWS 서브넷) | Migrate for Compute Engine Manager 네트워크 태그 | AWS에서 VPN으로의 트래픽 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Importer(Azure 서브넷) | Migrate for Compute Engine Manager 네트워크 태그 | Azure에서 VPN으로의 트래픽 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Cloud Extension 네트워크 태그 | Google Cloud Storage API | 인터넷 또는 Google 비공개 액세스 | 아니요 | HTTPS | TCP/443 |
| 워크로드 네트워크 태그 | Migrate for Compute Engine Cloud Extension 네트워크 태그 | VPC | 아니요 | iSCSI | TCP/3260 |
| Migrate for Compute Engine Backend | Migrate for Compute Engine Cloud Extension 네트워크 태그 | VPN 온프렘 | 아니요 | TLS | TCP/9111 |
| Migrate for Compute Engine Importer(AWS 서브넷) | Migrate for Compute Engine Cloud Extension 네트워크 태그 | AWS VPN | 아니요 | TLS | TCP/9111 |
| Migrate for Compute Engine Importer(Azure 서브넷) | Migrate for Compute Engine Cloud Extension 네트워크 태그 | Azure VPN | 아니요 | TLS | TCP/9111 |
| Migrate for Compute Engine Cloud Extension 네트워크 태그 | Migrate for Compute Engine Cloud Extension 네트워크 태그 | VPC | 아니요 | 모두 | 모두 |
소스 플랫폼에 구성된 규칙
VM이 마이그레이션될 플랫폼에서 다음 표에 설명된 트래픽을 허용하도록 방화벽 규칙을 구성합니다.
VMware
VMware에서 VM을 마이그레이션하는 경우 VMware에 방화벽 규칙을 구성하여 다음 표에 나열된 소스 및 목적지 구성요소 간의 액세스를 허용합니다.
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| Migrate for Compute Engine Backend | vCenter Server | 기업 LAN | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Backend | vSphere ESXi | 기업 LAN | 아니요 | VMW NBD | TCP/902 |
| Migrate for Compute Engine Backend | Stackdriver(인터넷 사용) | 인터넷 | 예 | HTTPS | TCP/443 |
| Migrate for Compute Engine Backend | 기업 DNS 서버 | 기업 LAN | 아니요 | DNS | TCP/UDP/53 |
| Migrate for Compute Engine Backend | Migrate for Compute Engine Manager | VPN에서 Google Cloud로 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Backend | Migrate for Compute Engine Cloud Extension 노드(Google Cloud 서브넷) | VPN에서 Google Cloud로 | 아니요 | TLS | TCP/9111 |
| vCenter Server | Migrate for Compute Engine Backend | 기업 LAN | 아니요 | HTTPS | TCP/443 |
AWS
AWS에서 VM을 마이그레이션하는 경우 AWS VPC에 방화벽 규칙을 구성하여 다음 표에 나열된 소스 및 목적지 구성요소 간의 액세스를 허용합니다.
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| Migrate for Compute Engine Importer 보안 그룹 | Migrate for Compute Engine Manager | Google Cloud에서 VPN으로 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Importer 보안 그룹 | Migrate for Compute Engine Cloud Extension 노드(Google Cloud 서브넷) | VPN에서 Google Cloud로 | 아니요 | TLS | TCP/9111 |
Azure
Azure에서 VM을 마이그레이션하는 경우 Azure VNet에 방화벽 규칙을 구성하여 다음 표에 나열된 소스 및 목적지 구성요소 간의 액세스를 허용합니다.
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| Migrate for Compute Engine Importer 보안 그룹 | Migrate for Compute Engine Manager | Google Cloud에서 VPN으로 | 아니요 | HTTPS | TCP/443 |
| Migrate for Compute Engine Importer 보안 그룹 | Migrate for Compute Engine Cloud Extension 노드(Google Cloud 서브넷) | VPN에서 Google Cloud로 | 아니요 | TLS | TCP/9111 |
문제해결
다음 규칙은 마이그레이션에는 필요하지 않지만 문제를 해결하는 동안 서버에 직접 연결하고 로그를 수신할 수 있도록 허용합니다.
| 소스 | 대상 | 방화벽 범위 | 선택사항 여부 | 프로토콜 | 포트 |
|---|---|---|---|---|---|
| 로컬 머신 | Migrate for Compute Engine Manager | VPN에서 Google Cloud로 | 예 | SSH | TCP/22 |
| Migrate for Compute Engine Manager | Migrate for Compute Engine 온프레미스 백엔드 Migrate for Compute Engine Cloud Extension 네트워크 태그 Migrate for Compute Engine Importer(AWS 서브넷) |
VPN 온프렘
VPC VPN에서 AWS로의 트래픽 |
예 | SSH | TCP/22 |
| 워크로드 네트워크 태그 | Migrate for Compute Engine Cloud Extension 네트워크 태그 | VPC | 예 | SYSLOG(Google Cloud VM 부팅 단계의 경우) | UDP/514 |
온프레미스-Google Cloud 구성 예시
이전 섹션에서는 마이그레이션에 적용되는 규칙을 설명했습니다. 이 섹션에서는 Google Cloud Console을 통해 구성된 VPC의 샘플 네트워킹 구성을 설명합니다. 자세한 내용은 방화벽 규칙 만들기를 참조하세요.
다음 예시에서 192.168.1.0/24 서브넷은 온프레미스 네트워크를 나타내고 10.1.0.0/16은 Google Cloud의 VPC를 나타냅니다.
| 이름 | 유형 | 대상 | 소스 | 포트 | 용도 |
|---|---|---|---|---|---|
| velos-ce-backend | 인그레스 | fw-migration-cloud-extension | 192.168.1.0/24 | tcp:9111 | Migrate for Compute Engine Backend에서 Cloud Extension으로 전송되는 암호화된 마이그레이션 데이터 |
| velos-ce-control | 인그레스 | fw-migration-cloud-extension | fw-migration-manager | tcp:443, tcp:9111 |
Cloud Extension과 Migrate for Compute Engine Manager 간의 제어 영역 |
| velos-ce-cross | 인그레스 | fw-migration-cloud-extension | fw-migration-cloud-extension | 모두 | Cloud Extension 노드 간의 동기화 |
| velos-console-probe | 인그레스 | fw-workload | fw-migration-manager | tcp:22, tcp:3389 | Migrate for Compute Engine Manager가 마이그레이션된 VM의 SSH 또는 RDP 콘솔이 사용 가능한지 확인할 수 있도록 허용 |
| velos-webui | 인그레스 | fw-migration-manager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | HTTPS를 통해 웹 UI용 Migrate for Compute Engine Manager에 액세스 |
| velos-workload | 인그레스 | fw-migration-cloud-extension | fw-workload | tcp:3260, udp:514 |
데이터 마이그레이션 및 syslog용 iSCSI |
네트워크 라우팅 및 전달
필요한 통신을 허용하는 방화벽 규칙이 설정되면 네트워크 간에 트래픽을 전송하는 추가 정적 경로가 필요할 수 있습니다.
온프레미스 기업 LAN 내부의 라우팅 및 전달에 관한 내용은 라우터, 방화벽, VPN 공급업체 문서를 참조하세요.
Google Cloud의 라우팅 및 전달에 관한 자세한 내용은 다음 문서를 참조하세요.
AWS에서 Google Cloud로의 라우팅 및 전달에 관한 내용은 다음 문서를 참조하세요.
Azure에서 Google Cloud로의 라우팅 및 전달에 관한 내용은 다음 문서를 참조하세요.