2.6 迁移网络中的访问和通讯要求

请确保您的网络环境满足以下访问、发现和迁移方面的要求。

注：请根据迁移目标参考部署图，了解不同迁移组件之间的端口和信息流。请参见部分 III, 准备迁移环境。

2.6.1 发现要求

表 2-16 列出了执行发现和库存过程时，环境中的系统必须满足的软件、网络和防火墙要求。有关发现过程的信息，请参见部分 IV, 发现和准备工作负载与目标。

表 2-16 发现操作的的网络通讯先决条件

系统	先决条件
所有工作负载	Ping（ICMP 回应请求和响应）支持
AWS 中的所有源工作负载	PowerShell 2.0 或更高版本
所有 Windows 源和 Hyper-V 主机	Microsoft .NET Framework 2.0 SP2、3.5 SP1 或 4.0 需要与有权访问 Admin$ 共享的内置管理员或域帐户管理员身份凭证相当的身份凭证（只拥有本地管理员组中的成员资格并不够）。配置为启用文件和打印机共享的 Windows 防火墙。采用以下选择之一：选择 1 是使用“Windows 防火墙”：使用“控制面板”中的基本项目 Windows 防火墙 (firewell.cpl)，并在异常列表中选择文件和打印机共享。 - 或 - 选项 2，使用启用了高级安全措施的 Windows 防火墙：使用高级安全 Windows 防火墙实用程序 (wf.msc)，同时启用以下入站规则并将其设置为允许：文件和打印机共享（回显请求－ ICMPv4In）文件和打印机共享（回显请求－ ICMPv6In）文件和打印机共享 (NB-Datagram-In) 文件和打印机共享 (NB-Name-In) 文件和打印机共享 (NB-Session-In) 文件和打印机共享 (SMB-In) 文件和打印机共享（后台打印程序服务－ RPC）文件和打印机共享（后台打印程序服务－ RPC-EPMAP）配置为允许 Windows Management Instrumentation (WMI-In) 的 Windows 防火墙。（视情况而定）如果使用 BitLocker 磁盘加密功能对卷进行了加密，则必须将它们解除锁定。
所有 Linux 源 Citrix XenServer Linux Xen 或 KVM 服务器	安全外壳 (SSH) 服务器打开端口 22 (TCP) 支持自定义 SSH 端口；在发现期间，请指定端口号：<主机名 \| IP 地址>:端口号。根级别访问。有关使用非 root 帐户的信息，请参见知识库文章 7920711。注：对于 Amazon Web Services 中的源 Linux 工作负载，AMI 模板会自动创建允许使用 sudo 的默认非 root 系统用户帐户。此帐户的用户名因 AMI 提供商而异。对于 Amazon Linux 映像，大多数 Linux 发行套件的非 root 用户名是 ec2-user。CentOS AMI 的用户名是 centos。有关详细信息，请参见 AMI 提供商文档。在 AWS 中，非 root 用户必须运行 sudo -i 命令才能访问 root 外壳，然后才能运行 Migrate 代理命令。在每个 Migrate 代理实用程序命令中键入 sudo 可能导致在某些源工作负载上运行失败。
VMware ESX/ESXi Server	具有管理员角色的 VMware 帐户 VMware Web 服务 API 和文件管理 API (HTTPS/端口 443 TCP)
VMware vCenter Server	必须为拥有访问权的用户指派适当的角色和许可权限。请参考相应版本的 VMware 文档，了解详细信息。
基于云的目标： Amazon Web Services Microsoft Azure VMware vCloud VMware Cloud on AWS	打开端口 443 (TCP)，以便与目标管理门户进行 HTTPS 通讯。

2.6.2 工作负载注册的要求

可以使用 Migrate 代理来注册和库存工作负载，而不要使用 Migrate 发现。表 2-17 列出了使用 Migrate 代理执行注册和库存过程时，环境中的系统必须满足的软件、网络和防火墙要求。有关注册过程的信息，请参见部分 22.7, 使用 Migrate 代理注册工作负载并发现细节。另请参见部分 G.0, Migrate 代理实用程序。

表 2-17 Migrate 代理注册操作的网络通讯先决条件

系统	先决条件
PlateSpin 服务器主机	打开端口 443 (TCP)，以便与源工作负载进行 HTTPS 通讯。打开端口 22 (TCP)，以便与 Linux 源工作负载进行 SSH 通讯。需要为 PlateSpin 服务器主机设置公用 IP 地址。在 PlateSpin 配置中，将 AlternateServerAddress 参数设置为 Migrate 服务器的公用 IP 地址。系统会为云市场中提供的 Migrate 服务器自动配置该设置。
所有源工作负载	打开端口 443 (TCP)，以便与 Migrate 服务器进行 HTTPS 通讯。需要为源工作负载设置公用 IP 地址。
所有 Windows 源工作负载	执行 Migrate 代理命令的用户必须拥有管理员特权。要与源工作负载建立远程连接，请打开端口 3389 (TCP)，以通过 RDP 访问计算机来安装 Migrate 代理。
所有 Linux 源工作负载	根级别访问。有关使用非 root 帐户的信息，请参见知识库文章 7920711。注：对于 Amazon Web Services 中的源 Linux 工作负载，AMI 模板会自动创建允许使用 sudo 的默认非 root 系统用户帐户。此帐户的用户名因 AMI 提供商而异。对于 Amazon Linux 映像，大多数 Linux 发行套件的非 root 用户名是 ec2-user。CentOS AMI 的用户名是 centos。有关详细信息，请参见 AMI 提供商文档。在 AWS 中，非 root 用户必须运行 sudo -i 命令才能访问 root 外壳，然后才能运行 Migrate 代理命令。在每个 Migrate 代理实用程序命令中键入 sudo 可能导致在某些源工作负载上运行失败。要与源 Linux 工作负载建立远程连接，请执行以下操作：安全外壳 (SSH) 服务器打开端口 22 (TCP) 支持自定义 SSH 端口；在发现期间，请指定端口号：<主机名 \| IP 地址>:端口号。

2.6.3 迁移要求

表 2-18 列出了相应的防火墙要求，环境中的系统必须满足这些要求才能在工作负载迁移作业执行期间正常工作。

表 2-18 工作负载迁移的网络通讯先决条件

系统	打开端口（默认值）	备注
PlateSpin 服务器主机	80 或 TCP 443	在 PlateSpin 服务器、源和目标之间进行 HTTP 通讯需要打开端口 80 (TCP)。在 PlateSpin 服务器与源或目标计算机之间进行 HTTPS 通讯（如果使用 SSL）需要打开端口 443 (TCP)。
除映像部署作业中的工作负载以外的所有源工作负载。	TCP 3725	要在文件级数据传输期间发起通讯的目标需要使用此端口，但 I2X 作业除外，因为在执行此类作业期间，只有迁移目标上需要打开此端口。对于服务器同步作业，源和目标都需要使用此端口。可以通过在 Migrate 服务器的 PlateSpin 配置设置中设置 FileTransferPort 参数来配置端口号。如果在本地安装了 PlateSpin Migrate 服务器，则默认情况下，目标工作负载将通过端口 3725 (TCP) 连接到源工作负载，不过，可以通过将 SourceListensForConnection 参数设置从 True 更改为 False，来反转此设置（源工作负载连接到目标工作负载）。如果在云中通过提供的基于云的 PlateSpin Migrate 服务器映像部署了 PlateSpin Migrate 服务器，则此连接的默认方向将会自动反转：源工作负载将通过端口 3725 (TCP) 连接到云中的目标工作负载。
所有目标	TCP 3725	以下操作需要使用：文件级服务器同步映像同步作业
所有 Windows 源和目标	NetBIOS 137 - 139	进行 NetBIOS 通讯需要使用。
所有 Windows Server 群集工作负载。请参见群集。		确保 PlateSpin 服务器可以解析 Windows Server 群集及其群集节点 IP 地址的 DNS 正向和反向查找。您可以更新 DNS 服务器或更新 PlateSpin 服务器上的本地 hosts 文件 (%systemroot%\system32\drivers\etc\hosts)。
所有源	SMB（TCP 139、445 和 UDP 137、138）	脱机迁移期间进行通讯及文件级数据传输需要使用。
所有 Linux 源 Citrix Xen Server Linux Xen 或 KVM 服务器	TCP 22	脱机迁移期间进行通讯需要使用。
PlateSpin 服务器主机；所有 Windows 源	TCP 135/445	在 PlateSpin 服务器与某个源之间进行 DCOM/RPC 通讯需要使用该端口，以通过 WMI 控制及重引导工作负载。注：WMI (RPC/DCOM) 可以使用 TCP 端口 135 和 445，以及随机/动态指派的编号大于 1024 的端口。
PlateSpin 服务器主机 Windows 群集源和目标工作负载	TCP 5986：主机出站通讯端口、工作负载入站通讯端口	对于到 VMware 的 Windows 群集迁移，需要打开该端口才能进行 HTTPS 传输，以便让 PowerShell 视需要远程发出命令来关闭 Windows 群集的非主动节点。

2.6.4 迁移使用 Migrate 代理注册的工作负载的要求

表 2-19 列出了相应的防火墙、网络和软件要求，环境中的系统必须满足这些要求，才能在执行使用 Migrate 代理注册到 PlateSpin 服务器主机的工作负载的迁移作业期间正常工作。另请参见部分 G.1, Migrate 代理实用程序的要求。

表 2-19 迁移使用 Migrate 代理注册的工作负载的网络通讯先决条件

系统	打开端口（默认值）	备注
PlateSpin 服务器主机	TCP 443	需要打开该端口才能与源和目标工作负载进行 HTTPS 通讯。需要为 PlateSpin 服务器主机设置公用 IP 地址。
PlateSpin 服务器主机	TCP 22	需要打开该端口才能与 Linux 工作负载进行 SSH 通讯。
PlateSpin 配置设置		PlateSpin 配置中 Migrate 服务器的配置要求：将 AlternateServerAddress 参数设置为 Migrate 服务器的公用 IP 地址。系统会为云市场中提供的 Migrate 服务器自动配置该设置。请参见配置 PlateSpin 服务器的备用 IP 地址。将 SourceListensForConnection 参数设置为 False。False 是云市场中提供的 Migrate 服务器的默认设置。请参见配置复制端口的联系方向。对于基于云的 Migrate 服务器，服务器默认配置为所要迁移到的目标类型与其上级云环境匹配。如果源工作负载所要迁移到的目标与其所属的上级云环境不同，则您必须去除 ServerIsHostedInCloud 参数的默认值（将字段留空），在“添加目标”对话框中所有目标类型才都可用。
PlateSpin 复制网络		配置工作负载迁移时，请确保为 PlateSpin 复制网络启用公用 IP 地址。
所有源和目标工作负载	TCP 443	需要打开该端口才能与 PlateSpin 服务器进行 HTTPS 通讯。
所有源和目标工作负载	TCP 3725	需要打开该端口才能在源与目标计算机之间进行 Migrate 通讯，并将数据从源计算机传输到目标计算机。可以通过在 Migrate 服务器的 PlateSpin 配置设置中设置 FileTransferPort 参数来配置端口号。当您在源工作负载上使用 Migrate 代理时，源工作负载会联系目标工作负载以进行数据传输。方向在服务器级别控制。必须在 Migrate 服务器上配置复制端口方向 (SourceListensForConnection=False)。参见配置复制端口的联系方向。False 是云市场中提供的 Migrate 服务器的默认设置。
所有 Linux 目标工作负载	TCP 22	需要打开该端口才能从 PlateSpin 复制环境中的 PlateSpin 服务器进行 SSH 通讯。
所有目标工作负载		需要为目标计算机设置公用 IP 地址，才能让源工作负载通过端口 3725 连接到这些计算机，以开始复制。迁移期间，Migrate 将在目标计算机上设置公用 IP 地址。

2.6.5 有关事件讯息交换的要求

表 2-20 显示了在 PlateSpin Migration Factory 环境中进行事件讯息交换所需的协议和端口。这些讯息反映了事件和状态更改，不包含敏感信息。

表 2-20 事件讯息交换的网络协议和端口要求

流量	网络协议和端口	其他要求
事件讯息交换	Stomp，端口 61613，TCP 传入（不安全）	PlateSpin Transformation Manager 设备（其中包含预安装的 PlateSpin Migrate Connector 实例）上默认会打开此端口。必须在以下服务器或防火墙上手动打开该端口：在 Transformation Manager 项目中用作迁移服务器资源的每台 PlateSpin Migrate 服务器上。对于基于云的 Migrate 服务器，请在其网络安全组中允许 STOMP 流量的入站连接。在指派到 Transformation Manager 项目的独立 Connector 实例的每台 PlateSpin Migrate Connector 主机服务器上. 在每个 Migrate Connector 主机与 PlateSpin Transformation Manager 设备之间的防火墙上. 在每个 Migrate Connector 主机与 Transformation Manager 项目中用作迁移服务器资源的每台 PlateSpin Migrate 服务器之间的防火墙上.

流量

网络协议和端口

其他要求

事件讯息交换

Stomp，端口 61613，TCP 传入

（不安全）

PlateSpin Transformation Manager 设备（其中包含预安装的 PlateSpin Migrate Connector 实例）上默认会打开此端口。

必须在以下服务器或防火墙上手动打开该端口：

在 Transformation Manager 项目中用作迁移服务器资源的每台 PlateSpin Migrate 服务器上。

对于基于云的 Migrate 服务器，请在其网络安全组中允许 STOMP 流量的入站连接。
在指派到 Transformation Manager 项目的独立 Connector 实例的每台 PlateSpin Migrate Connector 主机服务器上.
在每个 Migrate Connector 主机与 PlateSpin Transformation Manager 设备之间的防火墙上.
在每个 Migrate Connector 主机与 Transformation Manager 项目中用作迁移服务器资源的每台 PlateSpin Migrate 服务器之间的防火墙上.

2.6.6 通过 NAT 在公用和专用网络中迁移

在某些情况下，源、目标或 PlateSpin Migrate 本身可能位于网络地址转换器 (NAT) 设备后的内部（专用）网络中，在迁移期间无法与另一方通讯。

使用 PlateSpin Migrate 便可解决该问题，具体取决于以下哪个主机位于 NAT 设备后：

PlateSpin 服务器： 在服务器的 PlateSpin 服务器配置工具中，记录指派到该主机的其他 IP 地址：
1. 以管理员身份登录 PlateSpin Migrate Web 界面，然后通过以下网址打开 PlateSpin 服务器配置页面：
  
  https://Your_PlateSpin_Server/PlateSpinConfiguration/
2. 找到 AlternateServerAddresses 服务器参数，单击编辑，然后添加其他 IP 地址，并用分号 (;) 分隔各个地址，例如：
```
10.50.186.147;10.50.186.148
```
来源： 在该特定迁移作业执行期间，记录指派给该工作负载的其他 IP 地址。请参见网络标识（网络连接）。
目标： 在尝试对目标（例如 VMware ESX）执行发现操作时，请在发现参数中指定公用（或外部）IP 地址。