VMware virtuális gépek migrálása kiszolgálóoldali titkosítással és ügyfél által felügyelt kulcsokkal engedélyezett Azure-beli virtuális gépekre
Ez a cikk azt ismerteti, hogyan migrálhat VMware virtuális gépeket azure-beli virtuális gépekre kiszolgálóoldali titkosítással (SSE) az ügyfél által felügyelt kulcsokkal (CMK) titkosított lemezekkel a migrálás és a modernizálás (ügynök nélküli replikáció) használatával.
A migrálási és modernizálási portálon a VMware virtuális gépek ügynök nélküli replikációval migrálhatók az Azure-ba. A portál felülete támogatja a DES/CMK-t. A DES-t a replikáció megkezdése előtt kell létrehozni, és a replikáció indításakor kell megadni. A migráláskor nem adható meg. Ebben a cikkben megtudhatja, hogyan hozhat létre és helyezhet üzembe egy Azure Resource Manager-sablont egy VMware virtuális gép replikálásához, és hogyan konfigurálhatja a replikált lemezeket az Azure-ban az SSE és a CMK használatára.
A cikkben szereplő példák az Azure PowerShell használatával hajtják végre a Resource Manager-sablon létrehozásához és üzembe helyezéséhez szükséges feladatokat.
További információ a felügyelt lemezekhez tartozó ügyfél által felügyelt kulcsokkal (CMK) rendelkező kiszolgálóoldali titkosításról (SSE).
Előfeltételek
- Tekintse át a VMware virtuális gépek Azure-ba történő, ügynök nélküli replikációval történő migrálásáról szóló oktatóanyagot az eszközkövetelmények megértéséhez.
- Kövesse az alábbi utasításokat egy Azure Migrate-projekt létrehozásához, és adja hozzá a migrálási és modernizálási eszközt a projekthez.
- Ezeket az utasításokat követve állítsa be a VMware-hez készült Azure Migrate-berendezést a helyszíni környezetben, és végezze el a felderítést.
Felkészülés a replikációra
A virtuális gépek felderítésének befejezése után a Migrálás és a modernizálás csempe Felderített kiszolgálók sora megjeleníti a berendezés által felderített VMware virtuális gépek számát.
A virtuális gépek replikálásának megkezdése előtt fel kell készíteni a replikációs infrastruktúrát.
- Hozzon létre egy Service Bus-példányt a célrégióban. A Service Bust a helyszíni Azure Migrate-berendezés használja a migrálási és modernizálási szolgáltatással való kommunikációra a replikáció és a migrálás koordinálása érdekében.
- Hozzon létre egy tárfiókot a műveleti naplók replikációból való átviteléhez.
- Hozzon létre egy tárfiókot, amelybe az Azure Migrate-berendezés replikációs adatokat tölt fel.
- Hozzon létre egy Key Vaultot, és konfigurálja a Key Vaultot a blobhozzáférés megosztott hozzáférésű aláírási jogkivonatainak kezelésére a 3. és 4. lépésben létrehozott tárfiókokon.
- Hozzon létre egy közös hozzáférésű jogosultságkód-jogkivonatot az 1. lépésben létrehozott service bushoz, és hozzon létre egy titkos kulcsot a jogkivonathoz az előző lépésben létrehozott Key Vaultban.
- Hozzon létre egy Key Vault hozzáférési szabályzatot, amely hozzáférést biztosít a helyszíni Azure Migrate-berendezésnek (a berendezés AAD-alkalmazás használatával) és a Migrálási és modernizálási szolgáltatásnak a Key Vaulthoz.
- Hozzon létre egy replikációs szabályzatot, és konfigurálja a migrálási és modernizálási szolgáltatást az előző lépésben létrehozott replikációs infrastruktúra részleteivel.
A replikációs infrastruktúrát a migrálás cél Azure-régiójában és a virtuális gépek migrálandó cél Azure-előfizetésében kell létrehozni.
A migrálási és modernizálási portál felülete leegyszerűsíti a replikációs infrastruktúra előkészítését azáltal, hogy automatikusan elvégzi ezt Ön helyett, amikor először replikál egy virtuális gépet egy projektben. Ebben a cikkben feltételezzük, hogy már replikált egy vagy több virtuális gépet a portál felületén, és hogy a replikációs infrastruktúra már létrejött. Megvizsgáljuk, hogyan derítheti fel a meglévő replikációs infrastruktúra részleteit, és hogyan használhatja ezeket a részleteket a Resource Manager-sablon bemeneteként, amelyet a replikáció CMK-val való beállításához használunk.
Replikációs infrastruktúra összetevőinek azonosítása
- Az Azure Portalon nyissa meg az erőforráscsoportok lapot, és válassza ki azt az erőforráscsoportot, amelyben az Azure Migrate-projektet létrehozták.
- A bal oldali menüben válassza az Üzemelő példányok lehetőséget, és keressen egy üzembe helyezési nevet a "Microsoft.MigrateV2.VMwareV2EnableMigrate" sztringgel kezdődően. A portál felülete által létrehozott Resource Manager-sablonok listája jelenik meg a projektben lévő virtuális gépek replikációjának beállításához. Letöltünk egy ilyen sablont, és ezt használjuk alapul a sablonnak a CMK-val való replikációhoz való előkészítéséhez.
- A sablon letöltéséhez válassza ki az előző lépésben > a sztringmintának megfelelő üzembe helyezést, a bal oldali menüBen > kattintson a Letöltés gombra a felső menüből. Mentse a template.json fájlt helyileg. Ezt a sablonfájlt az utolsó lépésben fogja szerkeszteni.
Lemeztitkosítási csoport létrehozása
A lemeztitkosítási csoport objektuma a felügyelt lemezeket egy Key Vaultra képezi le, amely tartalmazza az SSE-hez használni kívánt CMK-t. A virtuális gépek CMK-val való replikálásához hozzon létre egy lemeztitkosítási csoportot, és adja át azt bemenetként a replikációs művelethez.
Az alábbi példában egy lemeztitkosítási csoportot hozhat létre az Azure PowerShell használatával. Győződjön meg arról, hogy a lemeztitkosítási csoport a virtuális gépek migrálandó cél-előfizetésében és a migrálás cél Azure-régiójában jön létre.
A lemeztitkosítási csoport konfigurálható úgy, hogy a felügyelt lemezeket ügyfél által felügyelt kulccsal, vagy ügyfél által felügyelt kulccsal és platformkulccsal is titkosítsa. A kettős titkosítás inaktív állapotban való használatához konfigurálja a lemeztitkosítási csoportot az itt leírtak szerint.
Az alábbi példában a lemeztitkosítási csoport ügyfél által felügyelt kulcs használatára van konfigurálva.
$Location = "southcentralus" #Target Azure region for migration
$TargetResourceGroupName = "ContosoMigrationTarget"
$KeyVaultName = "ContosoCMKKV"
$KeyName = "ContosoCMKKey"
$KeyDestination = "Software"
$DiskEncryptionSetName = "ContosoCMKDES"
$KeyVault = New-AzKeyVault -Name $KeyVaultName -ResourceGroupName $TargetResourceGroupName -Location $Location -EnableSoftDelete -EnablePurgeProtection
$Key = Add-AzKeyVaultKey -VaultName $KeyVaultName -Name $KeyName -Destination $KeyDestination
$desConfig = New-AzDiskEncryptionSetConfig -Location $Location -SourceVaultId $KeyVault.ResourceId -KeyUrl $Key.Key.Kid -IdentityType SystemAssigned
$des = New-AzDiskEncryptionSet -Name $DiskEncryptionSetName -ResourceGroupName $TargetResourceGroupName -InputObject $desConfig
Set-AzKeyVaultAccessPolicy -VaultName $KeyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
New-AzRoleAssignment -ResourceName $KeyVaultName -ResourceGroupName $TargetResourceGroupName -ResourceType "Microsoft.KeyVault/vaults" -ObjectId $des.Identity.PrincipalId -RoleDefinitionName "Reader"
A migrálandó VMware virtuális gép részleteinek lekérése
Ebben a lépésben az Azure PowerShell használatával fogja lekérni a migrálni kívánt virtuális gép részleteit. Ezek a részletek a Resource Manager-sablon replikációhoz való létrehozásához lesznek felhasználva. Pontosabban a két érdekes tulajdonság a következő:
- A felderített virtuális gépek gépi erőforrás-azonosítója.
- A virtuális gép lemezeinek listája és lemezazonosítói.
$ProjectResourceGroup = "ContosoVMwareCMK" #Resource group that the Azure Migrate Project is created in
$ProjectName = "ContosoVMwareCMK" #Name of the Azure Migrate Project
$solution = Get-AzResource -ResourceGroupName $ProjectResourceGroup -ResourceType Microsoft.Migrate/MigrateProjects/solutions -ExpandProperties -ResourceName $ProjectName | where Name -eq "Servers-Discovery-ServerDis
covery"
# Displays one entry for each appliance in the project mapping the appliance to the VMware sites discovered through the appliance.
$solution.Properties.details.extendedDetails.applianceNameToSiteIdMapV2 | ConvertFrom-Json | select ApplianceName, SiteId
ApplianceName SiteId
------------- ------
VMwareApplianc /subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite
Másolja ki a virtuális gép által felderített Azure Migrate-berendezésnek megfelelő SiteId sztring értékét. A fenti példában a SiteId a következő: "/subscriptions/aaaa0aa-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite"
#Replace value with SiteId from the previous step
$SiteId = "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite"
$SiteName = Get-AzResource -ResourceId $SiteId -ExpandProperties | Select-Object -ExpandProperty Name
$DiscoveredMachines = Get-AzResource -ResourceGroupName $ProjectResourceGroup -ResourceType Microsoft.OffAzure/VMwareSites/machines -ExpandProperties -ResourceName $SiteName
#Get machine details
PS /home/bharathram> $MachineName = "FPL-W19-09" #Replace string with VMware VM name of the machine to migrate
PS /home/bharathram> $machine = $Discoveredmachines | where {$_.Properties.displayName -eq $MachineName}
PS /home/bharathram> $machine.count #Validate that only 1 VM was found matching this name.
Másolja ki a migrálni kívánt gép ResourceId-, név- és lemez-uuid értékeit.
PS > $machine.Name
10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_50098f99-f949-22ca-642b-724ec6595210
PS > $machine.ResourceId
/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite/machines/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_50098f99-f949-22ca-642b-724ec6595210
PS > $machine.Properties.disks | select uuid, label, name, maxSizeInBytes
uuid label name maxSizeInBytes
---- ----- ---- --------------
6000C291-5106-2aac-7a74-4f33c3ddb78c Hard disk 1 scsi0:0 42949672960
6000C293-39a1-bd70-7b24-735f0eeb79c4 Hard disk 2 scsi0:1 53687091200
6000C29e-cbee-4d79-39c7-d00dd0208aa9 Hard disk 3 scsi0:2 53687091200
Resource Manager-sablon létrehozása replikációhoz
- Nyissa meg a Resource Manager-sablonfájlt, amelyet az Azonosító replikációs infrastruktúra összetevői lépésben töltött le egy tetszőleges szerkesztőben.
- Távolítsa el az összes erőforrásdefiníciót a sablonból, kivéve a "Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationMigrationItems" típusú erőforrásokat
- Ha a fenti típus több erőforrásdefiníciót is tartalmaz, távolítsa el az összeset. Távolítsa el a dependsOn tulajdonságdefiníciókat az erőforrásdefinícióból.
- A lépés végén rendelkeznie kell egy olyan fájllal, amely az alábbi példához hasonlóan néz ki, és ugyanazzal a tulajdonságkészlettel rendelkezik.
{
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationMigrationItems",
"apiVersion": "2018-01-10",
"name": "ContosoMigration7371rsvault/VMware104e4replicationfabric/VMware104e4replicationcontainer/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_500937f3-805e-9414-11b1-f22923456e08",
"properties": {
"policyId": "/Subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.RecoveryServices/vaults/ContosoMigration7371rsvault/replicationPolicies/migrateVMware104e4sitepolicy",
"providerSpecificDetails": {
"instanceType": "VMwareCbt",
"vmwareMachineId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.OffAzure/VMwareSites/VMware104e4site/machines/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_500937f3-805e-9414-11b1-f22923456e08",
"targetResourceGroupId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/PayrollRG",
"targetNetworkId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/PayrollRG/providers/Microsoft.Network/virtualNetworks/PayrollNW",
"targetSubnetName": "PayrollSubnet",
"licenseType": "NoLicenseType",
"disksToInclude": [
{
"diskId": "6000C295-dafe-a0eb-906e-d47cb5b05a1d",
"isOSDisk": "true",
"logStorageAccountId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.Storage/storageAccounts/migratelsa1432469187",
"logStorageAccountSasSecretName": "migratelsa1432469187-cacheSas",
"diskType": "Standard_LRS"
}
],
"dataMoverRunAsAccountId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.OffAzure/VMwareSites/VMware104e4site/runasaccounts/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
"snapshotRunAsAccountId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.OffAzure/VMwareSites/VMware104e4site/runasaccounts/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
"targetBootDiagnosticsStorageAccountId": "/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/resourceGroups/ContosoMigration/providers/Microsoft.Storage/storageAccounts/migratelsa1432469187",
"targetVmName": "PayrollWeb04"
}
}
}
]
}
- Szerkessze a névtulajdonságot az erőforrásdefinícióban. Cserélje le a névtulajdonság utolsó "/" karakterét követő sztringet a $machine értékére . Név(az előző lépésből).
- Módosítsa a properties.providerSpecificDetails.vmwareMachineId tulajdonság értékét $machine értékkel . ResourceId(az előző lépésből).
- Állítsa a targetResourceGroupId, a targetNetworkId, a targetSubnetName értékeket a célerőforráscsoport-azonosítóra, a cél virtuális hálózati erőforrás-azonosítóra és a cél alhálózat nevére.
- Állítsa a licenseType értékét a "WindowsServer" értékre az Azure Hybrid Benefit alkalmazásához ehhez a virtuális géphez. Ha ez a virtuális gép nem jogosult az Azure Hybrid Benefit használatára, állítsa a licenseType értékét NoLicenseType értékre.
- Módosítsa a targetVmName tulajdonság értékét a migrált virtuális gép kívánt Azure-beli virtuális gép nevére.
- Ha szeretné, adjon hozzá egy targetVmSize nevű tulajdonságot a targetVmName tulajdonság alá. Állítsa a targetVmSize tulajdonság értékét a migrált virtuális gép kívánt Azure-beli virtuális gépméretére.
- A DisksToInclude tulajdonság a replikációhoz szükséges lemezbemenetek listája, amelyek mindegyik listaeleme egy helyszíni lemezt jelöl. Hozzon létre annyi listaelemet, amennyi a helyszíni virtuális gépen lévő lemezek száma. Cserélje le a listaelem DiskId tulajdonságát az előző lépésben azonosított lemezek felhasználói felületére. Állítsa az isOSDisk értékét "true" értékre a virtuális gép operációsrendszer-lemezén, és "false" (hamis) értékre az összes többi lemez esetében. Hagyja változatlanul a logStorageAccountId és a logStorageAccountSasSecretName tulajdonságokat. Állítsa a diskType értéket a lemezhez használni kívánt Azure Managed Disk típusra (Standard_LRS, Premium_LRS, StandardSSD_LRS). A CMK-val titkosítandó lemezekhez adjon hozzá egy diskEncryptionSetId nevű tulajdonságot, és állítsa az értéket a létrehozott lemeztitkosítási csoport erőforrás-azonosítójára ($des. Id) a Lemeztitkosítási beállítás létrehozása lépésben
- Mentse a szerkesztett sablonfájlt. A fenti példában a szerkesztett sablonfájl a következőképpen néz ki:
{
"$schema": "http://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"resources": [
{
"type": "Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationMigrationItems",
"apiVersion": "2018-01-10",
"name": "ContosoVMwareCMK00ddrsvault/VMwareApplianca8bareplicationfabric/VMwareApplianca8bareplicationcontainer/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_50098f99-f949-22ca-642b-724ec6595210",
"properties": {
"policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.RecoveryServices/vaults/ContosoVMwareCMK00ddrsvault/replicationPolicies/migrateVMwareApplianca8basitepolicy",
"providerSpecificDetails": {
"instanceType": "VMwareCbt",
"vmwareMachineId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite/machines/10-150-8-52-b090bef3-b733-5e34-bc8f-eb6f2701432a_50098f99-f949-22ca-642b-724ec6595210",
"targetResourceGroupId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoMigrationTarget",
"targetNetworkId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/cmkRTest/providers/Microsoft.Network/virtualNetworks/cmkvm1_vnet",
"targetSubnetName": "cmkvm1_subnet",
"licenseType": "NoLicenseType",
"disksToInclude": [
{
"diskId": "6000C291-5106-2aac-7a74-4f33c3ddb78c",
"isOSDisk": "true",
"logStorageAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.Storage/storageAccounts/migratelsa1671875959",
"logStorageAccountSasSecretName": "migratelsa1671875959-cacheSas",
"diskEncryptionSetId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/CONTOSOMIGRATIONTARGET/providers/Microsoft.Compute/diskEncryptionSets/ContosoCMKDES",
"diskType": "Standard_LRS"
},
{
"diskId": "6000C293-39a1-bd70-7b24-735f0eeb79c4",
"isOSDisk": "false",
"logStorageAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.Storage/storageAccounts/migratelsa1671875959",
"logStorageAccountSasSecretName": "migratelsa1671875959-cacheSas",
"diskEncryptionSetId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/CONTOSOMIGRATIONTARGET/providers/Microsoft.Compute/diskEncryptionSets/ContosoCMKDES",
"diskType": "Standard_LRS"
},
{
"diskId": "6000C29e-cbee-4d79-39c7-d00dd0208aa9",
"isOSDisk": "false",
"logStorageAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.Storage/storageAccounts/migratelsa1671875959",
"logStorageAccountSasSecretName": "migratelsa1671875959-cacheSas",
"diskEncryptionSetId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/CONTOSOMIGRATIONTARGET/providers/Microsoft.Compute/diskEncryptionSets/ContosoCMKDES",
"diskType": "Standard_LRS"
}
],
"dataMoverRunAsAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite/runasaccounts/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
"snapshotRunAsAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.OffAzure/VMwareSites/VMwareApplianca8basite/runasaccounts/cccc2c2c-dd3d-ee4e-ff5f-aaaaaa6a6a6a",
"targetBootDiagnosticsStorageAccountId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/ContosoVMwareCMK/providers/Microsoft.Storage/storageAccounts/migratelsa1671875959",
"performAutoResync": "true",
"targetVmName": "FPL-W19-09"
}
}
}
]
}
Replikáció beállítása
Most már üzembe helyezheti a szerkesztett Resource Manager-sablont a projekt erőforráscsoportban a virtuális gép replikációjának beállításához. Megtudhatja, hogyan helyezhet üzembe erőforrásokat Azure Resource Manager-sablonokkal és Azure PowerShell-lel
New-AzResourceGroupDeployment -ResourceGroupName $ProjectResourceGroup -TemplateFile "C:\Users\Administrator\Downloads\template.json"
DeploymentName : template
ResourceGroupName : ContosoVMwareCMK
ProvisioningState : Succeeded
Timestamp : 3/11/2020 8:52:00 PM
Mode : Incremental
TemplateLink :
Parameters :
Outputs :
DeploymentDebugLogLevel :
Következő lépések
Monitorozza a replikáció állapotát a portálon keresztül, és végezze el a migrálás és migrálás tesztelését.