In unserer Umgebung versuchen wir, "Migrate Connector" zu verbinden (https://cloud.google.com/migrate/compute-engine/docs/5.0/how-to/migrate-connector) zu Google Cloud für die Migration von VMs von VMware. Wir haben einen VPN-Kanal zu Google Cloud eingerichtet.
Der Migrate Connector sendet bei Ausführung des Befehls „m4c register“ Pakete nur an öffentliche Adressen auf Port 443, wie 91.189.92.* und viele andere unbekannte IPs (natürlich werden alle Pakete von der Firewall blockiert). Ich habe in der Dokumentation keine Konfigurationsoptionen zum Ändern der Ziel-IPs gesehen.
Aus Sicherheitsgründen können wir keinen Zugriff über das öffentliche Internet oder einen Proxy zulassen, der Datenverkehr muss über den VPN-Kanal geleitet werden.
Aber wie erreicht man dieses Ziel? Mit welchem spezifischen Verkehr?
Antwort1
Es spielt keine Rolle, welcher Datenverkehr vom Connector generiert wird.
Um das Ziel zu erreichen, musste ich in unserem DNS-Server die DNS-Zonen „googleapis.com und gcr.io“ erstellen, um Subdomains auf private.googleapis.com abzubilden und private.googleapis.com in IPs aufzulösen.
Dann werden die IPs 199.*, die zu private.googleapis.com gehören, durch die Routing-Konfiguration zum VPN weitergeleitet und die Verbindung kann erfolgreich hergestellt werden.