Conditions d'accès au réseau

Cette rubrique décrit l'accès réseau que vous devez configurer pour disposer d'un environnement de migration opérationnel.

Lorsque vous configurez la migration, l'environnement de migration que vous créez est composé de plusieurs composants sur plusieurs réseaux. Pour que la migration fonctionne, ces réseaux doivent permettre un accès spécifique au trafic entre les composants de migration.

Procédure de configuration de l'accès réseau

À un niveau élevé, vous devez effectuer les opérations suivantes pour configurer l'accès réseau dans un environnement de migration :

  1. Configurez un cloud privé virtuel (VPC) sur Google Cloud.

    Le VPC définit un réseau virtuel pour vos composants sur Google Cloud. Il vous permet également de créer des règles de pare-feu qui autorisent l'accès entre les instances de VM, ainsi qu'entre le réseau et les composants externes.

  2. Définissez les tags réseau que vous allez attribuer à chaque composant du réseau VPC.

    Les tags réseau sont des attributs de texte que vous pouvez ajouter aux instances de VM Google Cloud. Le tableau suivant répertorie les composants pour lesquels créer des tags, ainsi que des exemples de texte de tag de réseau.

    Pour connaître les restrictions et les autorisations requises lors de l'attribution de tags réseau, consultez la section Configuration des tags réseau.

    Composant Suggestion de tag réseau
    Gestionnaire Migrate for Compute Engine fw-migration-manager
    Extension cloud Migrate for Compute Engine fw-migration-cloud-extension
    Charge de travail fw-workload
  3. Utilisez les tags réseau que vous définissez pour créer des règles de pare-feu sur le VPC Google Cloud afin d'autoriser le trafic entre les composants de votre environnement de migration.

    Cela inclut entre les composants sur Google Cloud, ainsi qu'entre ceux-ci et les composants de la plate-forme source à partir de laquelle vous allez migrer des VM.

    Cette rubrique répertorie les règles de pare-feu que vous devez créer.

  4. Appliquez les tags en tant que métadonnées lorsque vous déployez les instances de VM qui exécutent des composants dans votre environnement de migration.

    Une fois que vous avez créé des règles de pare-feu à l'aide des tags et appliqué les tags aux instances de VM correspondantes, vous avez spécifié quelles règles de pare-feu s'appliquent à quelles instances de VM.

    Appliquez les tags que vous avez définis aux éléments suivants :

    Veuillez noter que si vous devez définir ou modifier un tag réseau après avoir déployé les composants répertoriés ci-dessus, vous pouvez le faire avec les instructions.

  5. Sur la plate-forme source à partir de laquelle vous migrez des VM, créez des règles qui autorisent le trafic entre cette plate-forme et Google Cloud.

  6. Au besoin, définissez des routes statiques supplémentaires pour acheminer le trafic entre les réseaux.

Règles de pare-feu

Les règles de pare-feu autorisent l'accès au trafic entre les composants de votre environnement de migration. Les tableaux de cette rubrique répertorient les règles de pare-feu dont vous avez besoin :

Avant de configurer des règles de pare-feu, consultez les autres étapes d'accès au réseau décrites ci-dessus.

Pour en savoir plus, consultez la documentation relative aux pare-feu ci-dessous :

Règles configurées à la destination

Dans votre réseau VPC Google Cloud, créez des règles de pare-feu qui autoriseront le trafic entre les composants de votre environnement de migration.

Dans le VPC Google Cloud, vous définissez des règles de pare-feu dans lesquelles un composant est la cible et l'autre est la source (pour une règle d'entrée) ou la destination (pour une règle de sortie).

Créez une règle de pare-feu pour chacune des lignes du tableau suivant. Vous pouvez créer chaque règle en tant que règle d'entrée ou de sortie. Imaginons, par exemple, que la règle autorise le trafic depuis les composants de l'extension cloud (spécifiés par leurs tags réseau) vers le gestionnaire Migrate for Compute Engine (spécifié par ses tags réseau), vous pouvez créer la règle de l'une des manières suivantes :

  • Une règle de sortie dans laquelle les tags réseau extension cloud sont la cible et les tags réseau du gestionnaire Migrate for Compute Engine sont la destination.
  • Une règle d'entrée dans laquelle les tags réseau du gestionnaire Migrate for Compute Engine sont la cible et les tags réseau extension cloud sont la source.

Dans le tableau suivant, les emplacements des composants sont indiqués comme suit :

Composant dans Google Cloud Composant externe à Google Cloud
Source Destination Champ d'application du pare-feu Facultatif ? Protocol (Protocole) Port
Tags réseau du gestionnaire Migrate for Compute Engine Point de terminaison de l'API Google Cloud Internet ou accès privé à Google Non HTTPS TCP/443
Tags réseau du gestionnaire Migrate for Compute Engine Point de terminaison de l'API AWS

(Migrations à partir d'AWS)

Internet Non HTTPS TCP/443
Tags réseau du gestionnaire Migrate for Compute Engine Point de terminaison de l'API Azure

(Migrations à partir d'Azure)

Internet Non HTTPS TCP/443
Sous-réseaux LAN d'entreprise (pour l'accès à l'UI Web) Tags réseau du gestionnaire Migrate for Compute Engine VPN sur site Non HTTPS TCP/443
Tags réseau du gestionnaire Migrate for Compute Engine Tags réseau de charge de travail

Par exemple, vérification de disponibilité de la console

VPC Oui RDP

SSH

TCP/3389

TCP/22

Tags réseau extension cloud Migrate for Compute Engine Tags réseau du gestionnaire Migrate for Compute Engine VPC Non HTTPS TCP/443
Importateurs Migrate for Compute Engine (sous-réseau AWS) Tags réseau du gestionnaire Migrate for Compute Engine AWS vers VPN Non HTTPS TCP/443
Importateurs Migrate for Compute Engine (sous-réseau Azure) Tags réseau du gestionnaire Migrate for Compute Engine Azure vers VPN Non HTTPS TCP/443
Tags réseau extension cloud Migrate for Compute Engine API Google Cloud Storage Internet ou accès privé à Google Non HTTPS TCP/443
Tags réseau de charge de travail Tags réseau extension cloud Migrate for Compute Engine VPC Non iSCSI TCP/3260
Backend de Migrate for Compute Engine Tags réseau extension cloud Migrate for Compute Engine VPN sur site Non TLS TCP/9111
Importateurs Migrate for Compute Engine (sous-réseau AWS) Tags réseau extension cloud Migrate for Compute Engine VPN vers AWS Non TLS TCP/9111
Importateurs Migrate for Compute Engine (sous-réseau Azure) Tags réseau extension cloud Migrate for Compute Engine VPN vers Azure Non TLS TCP/9111
Tags réseau extension cloud Migrate for Compute Engine Tags réseau extension cloud Migrate for Compute Engine VPC Non ANY ANY

Règles configurées sur les plates-formes source

Sur la plate-forme à partir de laquelle vos VM seront migrées, configurez des règles de pare-feu pour autoriser le trafic décrit dans les tableaux suivants.

VMware

Si vous migrez des VM depuis VMware, configurez des règles de pare-feu sur VMware pour autoriser l'accès entre les composants source et de destination répertoriés dans le tableau suivant.

Source Destination Champ d'application du pare-feu Facultatif ? Protocol (Protocole) Port
Backend de Migrate for Compute Engine Serveur vCenter LAN d'entreprise Non HTTPS TCP/443
Backend de Migrate for Compute Engine vSphere ESXi LAN d'entreprise Non VMW NBD TCP/902
Backend de Migrate for Compute Engine Stackdriver utilisant Internet Internet Oui HTTPS TCP/443
Backend de Migrate for Compute Engine Serveur DNS d'entreprise LAN d'entreprise Non DNS TCP/UDP/53
Backend de Migrate for Compute Engine Gestionnaire Migrate for Compute Engine VPN vers Google Cloud Non HTTPS TCP/443
Backend de Migrate for Compute Engine Nœuds d'extension cloud Migrate for Compute Engine (sous-réseau Google Cloud) VPN vers Google Cloud Non TLS TCP/9111
Serveur vCenter Backend de Migrate for Compute Engine LAN d'entreprise Non HTTPS TCP/443

AWS

Si vous migrez des VM depuis AWS, configurez des règles de pare-feu sur le VPC AWS pour autoriser l'accès entre les composants source et de destination répertoriés dans le tableau suivant.

Source Destination Champ d'application du pare-feu Facultatif ? Protocol (Protocole) Port
Groupes de sécurité importateurs Migrate for Compute Engine Gestionnaire Migrate for Compute Engine Google Cloud vers VPN Non HTTPS TCP/443
Groupes de sécurité importateurs Migrate for Compute Engine Nœuds d'extension cloud Migrate for Compute Engine (sous-réseau Google Cloud) VPN vers Google Cloud Non TLS TCP/9111

Azure

Si vous migrez des VM depuis Azure, configurez des règles de pare-feu sur Azure VNet pour autoriser l'accès entre les composants source et de destination répertoriés dans le tableau suivant.

Source Destination Champ d'application du pare-feu Facultatif ? Protocol (Protocole) Port
Groupes de sécurité importateurs Migrate for Compute Engine Gestionnaire Migrate for Compute Engine Google Cloud vers VPN Non HTTPS TCP/443
Groupes de sécurité importateurs Migrate for Compute Engine Nœuds d'extension cloud Migrate for Compute Engine (sous-réseau Google Cloud) VPN vers Google Cloud Non TLS TCP/9111

Dépannage

Les règles suivantes ne sont pas requises pour les migrations, mais vous permettent de vous connecter directement aux serveurs et de recevoir des journaux tout en résolvant les problèmes.

Source Destination Champ d'application du pare-feu Facultatif ? Protocol (Protocole) Port
Votre ordinateur local Gestionnaire Migrate for Compute Engine VPN vers Google Cloud Oui SSH TCP/22
Gestionnaire Migrate for Compute Engine Backend Migrate for Compute Engine sur site

Tags réseau extension cloud Migrate for Compute Engine

Importateurs Migrate for Compute Engine (sous-réseau AWS)

VPN sur site

VPC

VPN vers AWS

Oui SSH TCP/22
Tags réseau de charge de travail Tags réseau extension cloud Migrate for Compute Engine VPC Oui SYSLOG (pour la phase de démarrage des VM Google Cloud) UDP/514

Exemple de configuration sur site vers Google Cloud

Les sections précédentes décrivent les règles qui pourraient s'appliquer à votre migration. Cette section décrit un exemple de configuration de mise en réseau pour votre VPC via la console Google Cloud. Pour plus d'informations, consultez la section Créer des règles de pare-feu.

Dans l'exemple suivant, le sous-réseau 192.168.1.0/24 représente le réseau sur site et 10.1.0.0/16 représente le VPC sur Google Cloud.

Nom Type Cible Source Ports Objectif
velos-ce-backend Entrée fw-migration-cloud-extension 192.168.1.0/24 tcp:9111 Données de migration chiffrées envoyées depuis le backend Migrate for Compute Engine vers les extensions cloud.
velos-ce-control Entrée fw-migration-cloud-extension fw-migration-manager tcp:443,
tcp:9111
Plan de contrôle entre les extensions cloud et le gestionnaire Migrate for Compute Engine.
velos-ce-cross Entrée fw-migration-cloud-extension fw-migration-cloud-extension all Synchronisation entre les nœuds des extensions cloud.
velos-console-probe Entrée fw-workload fw-migration-manager tcp:22, tcp:3389 Permet à au gestionnaire Migrate for Compute Engine de vérifier si la console SSH ou RDP de la VM migrée est disponible.
velos-webui Entrée fw-migration-manager 192.168.1.0/24,
10.1.0.0/16
tcp:443 Accès HTTPS au gestionnaire Migrate for Compute Engine pour l'UI Web.
velos-workload Entrée fw-migration-cloud-extension fw-workload tcp:3260,
udp:514
iSCSI pour la migration de données et syslog

Routage et transfert du réseau

Une fois que les règles de pare-feu autorisant la communication sont en place, des routes statiques supplémentaires peuvent être nécessaires pour acheminer le trafic entre les réseaux.

Pour en savoir plus sur le routage et le transfert dans le LAN sur site de l'entreprise, consultez la documentation de votre fournisseur sur le routage, les pare-feu et le VPN.

Pour en savoir plus sur le routage et le transfert dans Google Cloud, consultez la documentation suivante :

Pour le routage et le transfert d'AWS vers Google Cloud, consultez les documents suivants :

Pour le routage et le transfert d'Azure vers Google Cloud, consultez les documents suivants :