Neste tópico, veja o acesso à rede que você precisa configurar para ter um ambiente de migração em funcionamento.
Ao configurar o acesso à rede para migração, o ambiente de migração criado é composto por diversos componentes em várias redes. Para que a migração funcione, essas redes precisam permitir acesso de tráfego específico entre os componentes de migração.
Passos para configurar o acesso à rede
Siga estes passos para configurar o acesso à rede em um ambiente de migração:
Configure uma nuvem privada virtual (VPC) no Google Cloud.
A VPC define uma rede virtual para os componentes no Google Cloud. Ela também fornece um local para você criar regras de firewall que permitem o acesso entre instâncias de VM, inclusive entre a rede e os componentes externos.
Defina as tags de rede que serão atribuídas a cada componente na rede VPC.
As tags de rede são atributos de texto que podem ser adicionados às instâncias de VMs do Google Cloud. A tabela a seguir lista os componentes para criação de tags, além de exemplos de texto de tag de rede.
Para as restrições e permissões necessárias ao atribuir tags de rede, consulte Como configurar tags de rede.
Componente Tag de rede sugerida Migrate for Compute Engine Manager fw-migration-managerCloud Extensions para o Migrate for Compute Engine fw-migration-cloud-extensionCarga de trabalho fw-workloadUse as tags de rede definidas para criar regras de firewall na VPC do Google Cloud de modo a permitir o tráfego entre componentes no ambiente de migração.
Isso inclui tanto o tráfego entre componentes do Google Cloud quanto entre esses componentes e aqueles na plataforma de origem de onde as VMs serão migradas.
Veja aqui as regras de firewall que precisam ser migradas.
Aplique as tags como metadados ao implantar as instâncias de VM que executam componentes no seu ambiente de migração.
Depois de criar regras de firewall usando e aplicando as tags às instâncias de VMs dos componentes correspondentes, estarão especificadas quais regras de firewall serão aplicadas a cada instância de VM.
Aplique as tags definidas da seguinte maneira:
- Migrate for Compute Engine Manager: especifique as tags de rede (como
fw-migration-manager) ao implantar o Migrate for Compute Engine Manager. - Cloud Extensions para Migrate for Compute Engine: especifique tags de rede (como
fw-migration-cloud-extension) ao criar extensões do Cloud Extensions para Migrate for Compute Engine. - Cargas de trabalho de VM: especifique tags de rede (como
fw-workload) no campoGcpNetworkTagsdo arquivo CSV runbook que lista as VMs sendo migradas com uma onda.
Se você precisar definir ou alterar uma tag de rede depois de implantar os componentes listados acima, faça isso com as instruções.
- Migrate for Compute Engine Manager: especifique as tags de rede (como
Na plataforma de origem da qual você está migrando as VMs, crie regras que permitam o tráfego entre essa plataforma e o Google Cloud.
Conforme necessário, defina outras rotas estáticas para transportar tráfego entre redes.
Regras de firewall
As regras de firewall permitem o acesso ao tráfego entre os componentes do ambiente de migração. As tabelas neste tópico listam as regras de firewall necessárias:
- Na VPC de destino no Google Cloud
- Na plataforma de origem da qual você está migrando VMs
Antes de configurar regras de firewall, consulte os outros passos de acesso à rede descritos acima.
Para mais informações, consulte a seguinte documentação sobre firewall:
- Quanto a firewalls dentro da LAN corporativa local, consulte a documentação do fornecedor.
- Para firewalls no Google Cloud, consulte a documentação do firewall da VPC.
- Documentação do firewall VPC da AWS (em inglês)
- Documentação do firewall VPC do Azure
Regras configuradas no destino
Na rede da VPC do Google Cloud, crie regras de firewall que permitirão o tráfego entre componentes no ambiente de migração.
Na VPC do Google Cloud, defina regras de firewall em que um componente é o objetivo, e o outro é a origem (para uma regra de entrada) ou o destino (para uma regra de saída).
Crie uma regra de firewall para cada uma das linhas na tabela a seguir. É possível criar cada regra como de entrada ou de saída. Por exemplo, imagine que a regra permita tráfego dos componentes da extensão do Cloud Extensions (especificado por suas tags de rede) para o Migrate for Compute Engine Manager (especificado por suas tags de rede). Nesse caso, será possível criar a regra como uma das seguintes opções:
- Uma regra de saída em que as tags da rede da extensão do Cloud Extensions são o objetivo e as tags de rede do Migrate for Compute Engine Manager são o destino.
- Uma regra de entrada em que as tags de rede do Migrate for Compute Engine Manager são o objetivo e as tags de rede da extensão do Cloud Extensions são a origem.
Na tabela a seguir, os locais dos componentes são indicados da seguinte maneira:
| Componente no Google Cloud | Componente externo ao Google Cloud |
| Origem | Destino | Escopo do firewall | Opcional? | Protocolo | Porta |
|---|---|---|---|---|---|
| Tags de rede do Migrate for Compute Engine Manager | Endpoint da API do Google Cloud | Internet ou Acesso privado do Google | Não | HTTPS | TCP/443 |
| Tags de rede do Migrate for Compute Engine Manager | Endpoint da API da AWS
(migrações da AWS) |
Internet | Não | HTTPS | TCP/443 |
| Tags de rede do Migrate for Compute Engine Manager | Endpoint da API do Azure
(migrações do Azure) |
Internet | Não | HTTPS | TCP/443 |
| Sub-redes LAN corporativas (para acesso à IU da Web) | Tags de rede do Migrate for Compute Engine Manager | VPN no local | Não | HTTPS | TCP/443 |
| Tags de rede do Migrate for Compute Engine Manager | Tags de rede da carga de trabalho Para a sondagem de disponibilidade do console da instância |
VPC | Sim | RDP SSH |
TCP/3389 TCP/22 |
| Tags de rede do Cloud Extensions para Migrate for Compute Engine | Tags de rede do Migrate for Compute Engine Manager | VPC | Não | HTTPS | TCP/443 |
| Migrate for Compute Engine Importers (sub-rede da AWS) | Tags de rede do Migrate for Compute Engine Manager | AWS para VPN | Não | HTTPS | TCP/443 |
| Migrate for Compute Engine Importers (sub-rede do Azure) | Tags de rede do Migrate for Compute Engine Manager | Azure para VPN | Não | HTTPS | TCP/443 |
| Tags de rede da Cloud Extension para o Migrate for Compute Engine | API Google Cloud Storage | Internet ou Acesso privado do Google | Não | HTTPS | TCP/443 |
| Tags de rede da carga de trabalho | Tags de rede do Cloud Extensions para Migrate for Compute Engine | VPC | Não | iSCSI | TCP/3260 |
| Migrate for Compute Engine Backend | Tags de rede do Cloud Extensions para Migrate for Compute Engine | VPN no local | Não | TLS | TCP/9111 |
| Migrate for Compute Engine Importers (sub-rede da AWS) | Tags de rede do Cloud Extensions para Migrate for Compute Engine | VPN para a AWS | Não | TLS | TCP/9111 |
| Migrate for Compute Engine Importers (sub-rede do Azure) | Tags de rede do Cloud Extensions para Migrate for Compute Engine | VPN para o Azure | Não | TLS | TCP/9111 |
| Tags de rede do Cloud Extensions para Migrate for Compute Engine | Tags de rede do Cloud Extensions para Migrate for Compute Engine | VPC | Não | ANY | ANY |
Regras configuradas em plataformas de origem
Na plataforma da qual suas VMs serão migradas, configure regras de firewall para permitir o tráfego descrito nas tabelas a seguir.
VMware
Se você estiver migrando VMs do VMware, configure regras de firewall no VMware para permitir o acesso entre os componentes de origem e de destino listados na tabela a seguir.
| Origem | Destino | Escopo do firewall | Opcional? | Protocolo | Porta |
|---|---|---|---|---|---|
| Back-end do Migrate for Compute Engine | Servidor vCenter | LAN corporativa | Não | HTTPS | TCP/443 |
| Back-end do Migrate for Compute Engine | vSphere ESXi | LAN corporativa | Não | VMW NBD | TCP/902 |
| Back-end do Migrate for Compute Engine | Stackdriver usando a Internet | Internet | Sim | HTTPS | TCP/443 |
| Back-end do Migrate for Compute Engine | Servidor DNS corporativo | LAN corporativa | Não | DNS | TCP/UDP/53 |
| Migrate for Compute Engine Backend | Migrate for Compute Engine Manager | VPN para o Google Cloud | Não | HTTPS | TCP/443 |
| Migrate for Compute Engine Backend | Nós do Cloud Extensions para Migrate for Compute Engine (sub-rede do Google Cloud) | VPN para o Google Cloud | Não | TLS | TCP/9111 |
| Servidor vCenter | Back-end do Migrate for Compute Engine | LAN corporativa | Não | HTTPS | TCP/443 |
AWS
Se você estiver migrando VMs da AWS, configure regras de firewall na VPC da AWS para permitir o acesso entre os componentes de origem e de destino listados na tabela a seguir.
| Origem | Destino | Escopo do firewall | Opcional? | Protocolo | Porta |
|---|---|---|---|---|---|
| Grupo de segurança dos importadores do Migrate for Compute Engine | Migrate for Compute Engine Manager | Google Cloud para VPN | Não | HTTPS | TCP/443 |
| Grupo de segurança do Migrate for Compute Engine Importers | Nós do Cloud Extensions para Migrate for Compute Engine (sub-rede do Google Cloud) | VPN para o Google Cloud | Não | TLS | TCP/9111 |
Azure
Se você estiver migrando VMs do Azure, configure regras de firewall na rede virtual do Azure para permitir o acesso entre os componentes de origem e de destino listados na tabela a seguir.
| Origem | Destino | Escopo do firewall | Opcional? | Protocolo | Porta |
|---|---|---|---|---|---|
| Grupo de segurança dos importadores do Migrate for Compute Engine | Migrate for Compute Engine Manager | Google Cloud para VPN | Não | HTTPS | TCP/443 |
| Grupo de segurança do Migrate for Compute Engine Importers | Nós do Cloud Extensions para Migrate for Compute Engine (sub-rede do Google Cloud) | VPN para o Google Cloud | Não | TLS | TCP/9111 |
Solução de problemas
As regras a seguir não são obrigatórias para migrações, mas permitem que você se conecte diretamente a servidores e receba registros durante a solução de problemas.
| Origem | Destino | Escopo do firewall | Opcional? | Protocolo | Porta |
|---|---|---|---|---|---|
| Sua máquina local | Migrate for Compute Engine Manager | VPN para o Google Cloud | Sim | SSH | TCP/22 |
| Migrate for Compute Engine Manager | Migrate for Compute Engine On-Premises Backend Tags de rede do Cloud Extensions para Migrate for Compute Engine Migrate for Compute Engine Importers (sub-rede da AWS) |
VPN no local
VPC VPN para a AWS |
Sim | SSH | TCP/22 |
| Tags de rede da carga de trabalho | Tags de rede do Cloud Extensions para Migrate for Compute Engine | VPC | Sim | SYSLOG (para a fase de inicialização da VM do Google Cloud) | UDP/514 |
Exemplo de configuração no local para o Google Cloud
As seções anteriores explicam as regras que podem ser aplicáveis à migração. Esta seção explica um exemplo de configuração de rede para sua VPC que foi configurada por meio do console do Google Cloud. Para mais informações, consulte Como criar regras de firewall.
No exemplo a seguir, a sub-rede 192.168.1.0/24 representa a rede local e 10.1.0.0/16 representa a VPC no Google Cloud.
| Nome | Tipo | Destino | Origem | Portas | Finalidade |
|---|---|---|---|---|---|
| velos-ce-backend | Entrada | fw-migration-cloud-extension | 192.168.1.0/24 | tcp:9111 | Dados de migração criptografados enviados do Migrate for Compute Engine Backend para as Cloud Extensions. |
| velos-ce-control | Entrada | fw-migration-cloud-extension | fw-migration-manager | tcp:443, tcp:9111 |
Controle o plano entre as Cloud Extensions e o Migrate for Compute Engine Manager. |
| velos-ce-cross | Entrada | fw-migration-cloud-extension | fw-migration-cloud-extension | all | Sincronização entre nós da Cloud Extension. |
| velos-console-probe | Entrada | fw-workload | fw-migration-manager | tcp:22, tcp:3389 | Permite que o Migrate for Compute Engine Manager. verifique se o console de SSH ou RDP na VM migrada está disponível. |
| velos-webui | Entrada | fw-migration-manager | 192.168.1.0/24, 10.1.0.0/16 |
tcp:443 | Acesso HTTPS ao Compute Engine Manager na IU da Web. |
| velos-workload | Entrada | fw-migration-cloud-extension | fw-workload | tcp:3260, udp:514 |
iSCSI para migração de dados e syslog |
Roteamento e encaminhamento de rede
Depois que as regras de firewall que permitem a comunicação necessária estiverem em vigor, talvez sejam necessárias outras rotas estáticas para transportar o tráfego entre as redes.
Para saber sobre roteamento e encaminhamento dentro da LAN corporativa local, consulte a documentação do roteador, do firewall e do fornecedor de VPN.
Para saber mais sobre roteamento e encaminhamento no Google Cloud, consulte a seguinte documentação:
- Visão geral da nuvem privada virtual
- Visão geral do Cloud Router
- Visão geral do Cloud VPN
- Visão geral do Cloud Interconnect
Para saber mais sobre roteamento e encaminhamento da AWS para o Google Cloud, consulte os seguintes documentos:
- Tabelas de rotas VPC (em inglês)
Para saber mais sobre roteamento e encaminhamento da Azure para o Google Cloud, consulte os seguintes documentos: