En este tema, se describe el acceso a la red que deberás configurar para tener un entorno de migración en funcionamiento.
A medida que configuras la migración, el entorno de migración que creas se generan varios componentes en varias redes. Para que la migración funcione, estas redes deben permitir el acceso de tráfico específico entre los componentes de la migración.
Pasos para configurar el acceso a la red
En un nivel alto, harás lo siguiente para configurar el acceso a la red en un entorno de migración:
Configura una nube privada virtual (VPC) en Google Cloud.
La VPC define una red virtual para los componentes en Google Cloud. También, proporciona un lugar para crear reglas de firewall que permiten el acceso entre las instancias de VM y entre la red y los componentes externos.
Define las etiquetas de red que asignarás a cada componente en la red de VPC.
Las etiquetas de red son atributos de texto que puedes agregar a las instancias de VM de Google Cloud. En la siguiente tabla, se enumeran los componentes para los que se deben crear etiquetas y ejemplos de texto de etiquetas de red.
Para las restricciones y los permisos necesarios si asignas etiquetas de red, consulta Configura etiquetas de red.
Componente Etiqueta de red sugerida Administrador de Migrate for Compute Engine fw-migration-manager
Extensión de Cloud para Migrate for Compute Engine fw-migration-cloud-extension
Carga de trabajo fw-workload
Usa las etiquetas de red que defines para crear reglas de firewall en la VPC de Google Cloud a fin de permitir el tráfico entre los componentes en el entorno de migración.
Eso incluye entre los componentes de Google Cloud, y entre estos y los componentes de la plataforma de origen desde la que migrarás las VM.
En este tema, se enumeran las reglas de firewall que debes crear.
Aplica las etiquetas como metadatos cuando implementas las instancias de VM que ejecutan componentes en el entorno de migración.
Una vez que creaste las reglas de firewall mediante las etiquetas y aplicaste las etiquetas a las instancias de VM de componentes correspondientes, habrás especificado las reglas de firewall que se aplican a cada instancia de VM.
Aplica las etiquetas que definiste a lo siguiente:
- El administrador de Migrate for Compute Engine: especifica etiquetas de red (como
fw-migration-manager
) cuando implementes el administrador de Migrate for Compute Engine. - Las extensiones de Cloud para Migrate for Compute Engine: especifica etiquetas de red (como
fw-migration-cloud-extension
) cuando crees extensiones de Cloud para Migrate for Compute Engine. - Las cargas de trabajo de VM: especifica etiquetas de red (como
fw-workload
) en el campoGcpNetworkTags
del archivo CSV del runbook que enumera las VM que migras con un conjunto.
Ten en cuenta que, si necesitas configurar o cambiar una etiqueta de red después de implementar los componentes mencionados antes, puedes hacerlo con las instrucciones.
- El administrador de Migrate for Compute Engine: especifica etiquetas de red (como
En la plataforma de origen desde la que migras las VM, crea reglas que permitan el tráfico entre esa plataforma y Google Cloud.
Según sea necesario, define rutas estáticas adicionales para transportar tráfico entre redes.
Reglas de firewall
Las reglas de firewall permiten acceso al tráfico entre los componentes del entorno de migración. En las tablas de este tema, se enumeran las reglas de firewall que necesitarás:
- En la VPC de destino en Google Cloud
- En la plataforma de origen desde la que migras las VM
Antes de configurar las reglas de firewall, consulta los otros pasos de acceso a la red descritos antes.
Para obtener información adicional, consulta la siguiente documentación del firewall:
- Para los firewalls dentro de la LAN corporativa local, consulta la documentación de tu proveedor.
- Para los firewalls en Google Cloud, consulta la documentación del firewall de VPC.
- Documentación del firewall de VPC de AWS
- Documentación del firewall de VPC de Azure
Reglas configuradas en el destino
En la red de VPC de Google Cloud, crea reglas de firewall que permitan el tráfico entre los componentes del entorno de migración.
En la VPC de Google Cloud, defines las reglas de firewall en las que un componente es el objetivo y el otro es el origen (para una regla de entrada) o el destino (para una regla de salida).
Crea una regla de firewall para cada una de las filas de la siguiente tabla. Puedes crear cada regla como una de entrada o salida. Por ejemplo, imagina que la regla permite el tráfico desde los componentes de la extensión de Cloud (especificados mediante sus etiquetas de red) a el administrador de Migrate for Compute Engine (especificado mediante sus etiquetas de red), puedes crear la regla como se muestra a continuación:
- Una regla de salida en la que las etiquetas de red de la extensión de Cloud son el objetivo y las del administrador de Migrate for Compute Engine son el destino.
- Una regla de entrada en la que las etiquetas de red del administrador de Migrate for Compute Engine son el objetivo y las de la extensión de Cloud son el origen.
En la siguiente tabla, las ubicaciones de los componentes se indican de la siguiente manera:
Componente en Google Cloud | Componente externo a Google Cloud |
Origen | Destino | Alcance del firewall | ¿Es opcional? | Protocolo | Puerto |
---|---|---|---|---|---|
Etiquetas de red del administrador de Migrate for Compute Engine | Extremo de la API de Google Cloud | Acceso privado a Google o Internet | No | HTTPS | TCP/443 |
Etiquetas de red del administrador de Migrate for Compute Engine | Extremo de la API de AWS (migraciones desde AWS) |
Internet | No | HTTPS | TCP/443 |
Etiquetas de red del administrador de Migrate for Compute Engine | Extremo de la API de Azure (migraciones desde Azure) |
Internet | No | HTTPS | TCP/443 |
Subredes LAN corporativas (para acceso a la IU web) | Etiquetas de red del administrador de Migrate for Compute Engine | VPN local | No | HTTPS | TCP/443 |
Etiquetas de red del administrador de Migrate for Compute Engine | Etiquetas de red de cargas de trabajo Para el sondeo de disponibilidad de la consola de la instancia |
VPC | Sí | RDP SSH |
TCP/3389 TCP/22 |
Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine | Etiquetas de red del administrador de Migrate for Compute Engine | VPC | No | HTTPS | TCP/443 |
Importadores de Migrate for Compute Engine (subred de AWS) | Etiquetas de red del administrador de Migrate for Compute Engine | De AWS a VPN | No | HTTPS | TCP/443 |
Importadores de Migrate for Compute Engine (subred de Azure) | Etiquetas de red del administrador de Migrate for Compute Engine | De Azure a VPN | No | HTTPS | TCP/443 |
Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine | API de Google Cloud Storage | Acceso privado a Google o Internet | No | HTTPS | TCP/443 |
Etiquetas de red de cargas de trabajo | Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine | VPC | No | iSCSI | TCP/3260 |
Backend de Migrate for Compute Engine | Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine | VPN local | No | TLS | TCP/9111 |
Importadores de Migrate for Compute Engine (subred de AWS) | Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine | De VPN a AWS | No | TLS | TCP/9111 |
Importadores de Migrate for Compute Engine (subred de Azure) | Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine | De VPN a Azure | No | TLS | TCP/9111 |
Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine | Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine | VPC | No | CUALQUIERA | CUALQUIERA |
Reglas configuradas en plataformas de origen
En la plataforma desde la que se migrarán las VM, configura las reglas de firewall para permitir el tráfico descrito en las siguientes tablas.
VMware
Si migras VM desde VMware, configura las reglas de firewall en VMware para permitir el acceso entre los componentes de origen y destino enumerados en la siguiente tabla.
Origen | Destino | Alcance del firewall | ¿Es opcional? | Protocolo | Puerto |
---|---|---|---|---|---|
Backend de Migrate for Compute Engine | Servidor de vCenter | LAN corporativa | No | HTTPS | TCP/443 |
Backend de Migrate for Compute Engine | vSphere ESXi | LAN corporativa | No | VMW NBD | TCP/902 |
Backend de Migrate for Compute Engine | Stackdriver con Internet | Internet | Sí | HTTPS | TCP/443 |
Backend de Migrate for Compute Engine | Servidor DNS corporativo | LAN corporativa | No | DNS | TCP/UDP/53 |
Backend de Migrate for Compute Engine | Administrador de Migrate for Compute Engine | VPN a Google Cloud | No | HTTPS | TCP/443 |
Backend de Migrate for Compute Engine | Nodos de extensiones de Cloud para Migrate for Compute Engine (subred de Google Cloud) | VPN a Google Cloud | No | TLS | TCP/9111 |
Servidor de vCenter | Backend de Migrate for Compute Engine | LAN corporativa | No | HTTPS | TCP/443 |
AWS
Si migras VM desde AWS, configura las reglas de firewall en la VPC de AWS para permitir el acceso entre los componentes de origen y destino enumerados en la siguiente tabla.
Origen | Destino | Alcance del firewall | ¿Es opcional? | Protocolo | Puerto |
---|---|---|---|---|---|
Grupo de seguridad de Migrate for Compute Engine Importer | Administrador de Migrate for Compute Engine | Google Cloud a VPN | No | HTTPS | TCP/443 |
Grupo de seguridad de importadores de Migrate for Compute Engine | Nodos de extensiones de Cloud para Migrate for Compute Engine (subred de Google Cloud) | VPN a Google Cloud | No | TLS | TCP/9111 |
Azure
Si migras VM desde Azure, configura reglas de firewall en Azure VNet para permitir el acceso entre los componentes de origen y destino enumerados en la siguiente tabla.
Origen | Destino | Alcance del firewall | ¿Es opcional? | Protocolo | Puerto |
---|---|---|---|---|---|
Grupo de seguridad de Migrate for Compute Engine Importer | Administrador de Migrate for Compute Engine | Google Cloud a VPN | No | HTTPS | TCP/443 |
Grupo de seguridad de importadores de Migrate for Compute Engine | Nodos de extensiones de Cloud para Migrate for Compute Engine (subred de Google Cloud) | VPN a Google Cloud | No | TLS | TCP/9111 |
Solución de problemas
Las siguientes reglas no son necesarias para las migraciones, pero te permiten conectarte de forma directa a los servidores y recibir registros mientras se solucionan los problemas.
Origen | Destino | Alcance del firewall | ¿Es opcional? | Protocolo | Puerto |
---|---|---|---|---|---|
Tu máquina local | Administrador de Migrate for Compute Engine | VPN a Google Cloud | Sí | SSH | TCP/22 |
Administrador de Migrate for Compute Engine | Backend local de Migrate for Compute Engine Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine Importadores de Migrate for Compute Engine (subred de AWS) |
VPN local VPC De VPN a AWS |
Sí | SSH | TCP/22 |
Etiquetas de red de cargas de trabajo | Etiquetas de red de las extensiones de Cloud para Migrate for Compute Engine | VPC | Sí | SYSLOG (para la fase de inicio de la VM de Google Cloud) | UDP/514 |
Ejemplo de configuración de entorno local a Google Cloud
En las secciones anteriores, se explicaron las reglas que podrían aplicarse a tu migración. En esta sección, se explica una configuración de red de muestra para tu VPC, configurada a través de la consola de Google Cloud. Para obtener más información, consulta la creación de reglas de firewall.
En el siguiente ejemplo, la subred 192.168.1.0/24 representa la red local, mientras que 10.1.0.0/16 representa la VPC en Google Cloud.
Nombre | Tipo | Destino | Origen | Puertos | Propósito |
---|---|---|---|---|---|
velos-ce-backend | Entrada | fw-migration-cloud-extension | 192.168.1.0/24 | tcp:9111 | Datos de migración encriptados enviados del backend de Migrate for Compute Engine a las extensiones de Cloud. |
velos-ce-control | Entrada | fw-migration-cloud-extension | fw-migration-manager | tcp:443, tcp:9111 |
Plano de control entre Migrate for Compute Engine Manager y las extensiones de Cloud. |
velos-ce-cross | Entrada | fw-migration-cloud-extension | fw-migration-cloud-extension | todos | Sincronización entre los nodos de las extensiones de Cloud |
velos-console-probe | Entrada | fw-workload | fw-migration-manager | tcp:22, tcp:3389 | Permite que Migrate for Compute Engine Manager verifique si la consola SSH o RDP en la VM migrada está disponible. |
velos-webui | Entrada | fw-migration-manager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | Acceso HTTPS a Migrate for Compute Engine Manager para la IU web. |
velos-workload | Entrada | fw-migration-cloud-extension | fw-workload | tcp:3260, udp:514 |
iSCSI para migración de datos y syslog |
Reenvío y enrutamiento de red
Una vez implementadas las reglas de firewall que permiten la comunicación necesaria, es posible que se necesiten enrutamientos estáticos adicionales para transportar tráfico entre redes.
Para el enrutamiento y el reenvío dentro de la LAN corporativa local, consulta la documentación de tu router, firewall y proveedor de VPN.
Para obtener más información sobre el enrutamiento y el reenvío en Google Cloud, consulta la siguiente documentación:
- Descripción general de la nube privada virtual
- Descripción general de Cloud Router
- Descripción general de Cloud VPN
- Descripción general de Cloud Interconnect
Para enrutar y reenviar desde AWS a Google Cloud, consulta los siguientes documentos:
Para enrutar y reenviar desde Azure a Google Cloud, consulta los siguientes documentos: