Private Link を使用してサーバーを Azure に移行する
この記事では、Azure Private Link を使用したプライベート ネットワーク上で、Azure Migrate を使用してサーバーの移行を行う方法について説明します。 Private Link を使用すると、Azure ExpressRoute のプライベート ピアリングまたはサイト間 (S2S) VPN 接続で移行およびモダン化ツールを使用して、Azure Migrate にプライベートかつ安全に接続することができます。
この記事では、移行およびモダン化ツールを使用して、エージェントレス移行でオンプレミスの VMware VM を Azure に移行する方法について説明します。
Azure Migrate アプライアンスを設定する
移行およびモダン化ツールでは、VMware VM の検出、評価、エージェントレス移行を可能にする軽量の VMware VM アプライアンスを実行します。 検出と評価のチュートリアルに従った場合、アプライアンスは既に設定されています。 そうでない場合は、続行する前にアプライアンスを設定して構成します。
レプリケーションにプライベート接続を使用するには、Azure Migrate プロジェクトのセットアップ時に以前に作成したストレージ アカウントを使用するか、新しいキャッシュ ストレージ アカウントを作成してプライベート エンドポイントを構成できます。 プライベート エンドポイントを使用して新しいストレージ アカウントを作成するには、「ストレージ アカウントのプライベート エンドポイント」を参照してください。
- プライベート エンドポイントを使用すると、Azure Migrate アプライアンスは ExpressRoute プライベート ピアリングや VPN などのプライベート接続を使用してキャッシュ ストレージ アカウントに接続できます。 その後、プライベート IP アドレスでデータを直接転送できます。
重要
- レプリケーション データに加えて、Azure Migrate アプライアンスではコントロール プレーン アクティビティのための Azure Migrate サービスとの通信も行われます。 これらのアクティビティには、レプリケーションの調整が含まれます。 Azure Migrate アプライアンスと Azure Migrate サービスの間のコントロール プレーン通信は、Azure Migrate サービスのパブリック エンドポイントで引き続きインターネット経由で行われます。
- ストレージ アカウントのプライベート エンドポイントは、Azure Migrate アプライアンスが配置されているネットワークからアクセスできる必要があります。
- キャッシュ ストレージ アカウントの BLOB サービス エンドポイントについての Azure Migrate アプライアンスによる DNS クエリが、キャッシュ ストレージ アカウントにアタッチされたプライベート エンドポイントのプライベート IP アドレスに解決されるように DNS を構成する必要があります。
- キャッシュ ストレージ アカウントは、パブリック エンドポイントでアクセス可能である必要があります。 Azure Migrate によって、キャッシュ ストレージ アカウントのパブリック エンドポイントを使用して、ストレージ アカウントのデータがレプリカ マネージド ディスクに移動されます。
VM をレプリケートする
アプライアンスを設定して検出を完了すると、Azure への VMware VM のレプリケーションを開始できます。
次の図は、移行およびモダン化ツールを使用した、プライベート エンドポイントによるエージェントレスのレプリケーション ワークフローを示しています。
レプリケーションを有効にするには、次の手順に従います。
Azure Migrate プロジェクト >[サーバー、データベース、Web アプリ] > [移行およびモダン化] > [移行ツール] で、[レプリケート] を選択します。
[レプリケート]>[基本]>[マシンは仮想化されていますか?] で、[はい (VMware vSphere の場合)] を選択します。
[オンプレミスのアプライアンス] で、Azure Migrate アプライアンスの名前を選択します。 [OK] を選択します。
[仮想マシン] で、レプリケートしたいマシンを選択します。 評価から VM のサイズ設定とディスクの種類を適用するには、[Azure Migrate Assessment から移行設定をインポートしますか?] で、
- [はい] を選択し、VM グループと評価名を選択します。
- 評価の設定を使用していない場合は [いいえ] を選択します。
[仮想マシン] で、移行する VM を選択します。 [次へ] を選択します。
[ターゲット設定] で、移行後に Azure VM が配置されるターゲット リージョンを選択します。
[レプリケーション ストレージ アカウント] のドロップダウン リストを使用して、プライベート リンク経由でレプリケートするためのストレージ アカウントを選択します。
Note
選択したターゲット リージョンと Azure Migrate プロジェクトサブスクリプションのストレージ アカウントのみが一覧表示されます。
次に、プライベート リンクを介したレプリケーションを有効にするために、ストレージ アカウント用のプライベート エンドポイントを作成します。 Azure Migrate アプライアンスのプライベート エンドポイントに、ストレージ アカウントへのネットワーク接続があることを確認します。 ネットワーク接続の確認方法を参照してください。
Note
- レプリケーションを有効にした後で、ストレージ アカウントを変更することはできません。
- レプリケーションを調整するために、Azure Migrate では、信頼された Microsoft サービスと、Recovery Services コンテナーによって管理される ID アクセスを、選択したストレージ アカウントに付与します。
ヒント
DNS レコードを手動で更新するには、ストレージ アカウントのプライベートリンク FQDN とプライベート IP アドレスを使用して Azure Migrate アプライアンス上の DNS ホストファイルを編集します。
移行後に Azure VM が存在するサブスクリプションとリソース グループを選択します。
[仮想ネットワーク] で、移行した Azure VM の Azure VNet またはサブネットを選択します。
[可用性オプション] で、以下を選択します。
可用性ゾーン。移行されたマシンをリージョン内の特定の可用性ゾーンにピン留めします。 このオプションを使用して、複数ノードのアプリケーション層を形成するサーバーを可用性ゾーン間で分散させます。 このオプションを選択した場合は、[コンピューティング] タブで選択した各マシンに使用する可用性ゾーンを指定する必要があります。このオプションは、移行用に選択したターゲット リージョンで Availability Zones がサポートされている場合にのみ使用できます。
可用性セット。移行されたマシンを可用性セットに配置します。 このオプションを使用するには、選択されたターゲット リソース グループに 1 つ以上の可用性セットが必要です。
[インフラストラクチャ冗長は必要ありません] オプション (移行されたマシンに対してこれらの可用性構成がいずれも不要な場合)。
[Disk encryption type](ディスク暗号化の種類) で、以下を選択します。
プラットフォーム マネージド キーを使用した保存時の暗号化
カスタマー マネージド キーを使用した保存時の暗号化
プラットフォーム マネージド キーとカスタマー マネージド キーを使用した二重暗号化
注意
CMK を使用して VM をレプリケートするには、ターゲット リソース グループにディスク暗号化セットを作成する必要があります。 ディスク暗号化セット オブジェクトによって、SSE に使用する CMK を含む Key Vault にマネージド ディスクがマップされます。
[Azure ハイブリッド特典] で、
Azure ハイブリッド特典を適用しない場合は [いいえ] を選択し、[次へ] を選択します。
アクティブなソフトウェア アシュアランスまたは Windows Server サブスクリプションの対象となる Windows Server マシンがあり、移行するマシンに特典を適用する場合は、[はい] を選択し、[次へ] を選択します。
[コンピューティング] で、VM の名前、サイズ、OS ディスクの種類、および可用性構成 (前の手順で選択した場合) を確認します。 VM は Azure の要件に準拠している必要があります。
VM サイズ: 評価の推奨事項を使用している場合は、[VM サイズ] ドロップダウンに推奨サイズが表示されます。 それ以外の場合は、Azure Migrate によって、Azure サブスクリプション内の最も近いサイズが選択されます。 または、 [Azure VM サイズ] でサイズを手動で選択します。
OS ディスク: VM の OS (ブート) ディスクを指定します。 OS ディスクは、オペレーティング システムのブートローダーとインストーラーがあるディスクです。
可用性ゾーン:使用する可用性ゾーンを指定します。
可用性セット:使用する可用性セットを指定します。
Note
仮想マシンのセットごとに別の可用性オプションを選択する場合は、手順 1 に進み、仮想マシンの 1 つのセットのレプリケーションを開始した後に別の可用性オプションを選択して各手順を繰り返します。
[ディスク] で、VM ディスクを Azure にレプリケートするかどうかを指定し、Azure でのディスクの種類 (Standard SSD か HDD、または Premium マネージド ディスク) を選択します。 [次へ] を選択します。
[タグ] で、移行した仮想マシン、ディスク、NIC にタグを追加します。
[レプリケーションの確認と開始] で設定を確認し、 [レプリケート] を選択して、サーバーの初期レプリケーションを開始します。 次に、手順に従い移行を実行します。
初回のプロビジョニング
Azure Migrate では、Azure Private Link を使用したレプリケーション用の追加リソースは作成されません (Service Bus、Key Vault、ストレージ アカウントは作成されません)。 Azure Migrate では、選択したストレージ アカウントを使用して、レプリケーション データ、状態データ、オーケストレーション メッセージをアップロードします。
ストレージ アカウントのプライベート エンドポイントを作成する
プライベート ピアリングによる ExpressRoute を使用してレプリケートを行うには、キャッシュ ストレージ アカウントまたはレプリケーション ストレージ アカウントのプライベート エンドポイントを作成します (対象サブリソース: BLOB)。
Note
プライベート エンドポイントは、汎用 v2 のストレージ アカウントでのみ作成できます。 価格情報については、「Azure ページ BLOB の価格」および「Azure Private Link の価格」を参照してください。
ストレージ アカウント用のプライベート エンドポイントは、Azure Migrate プロジェクトのプライベート エンドポイントと同じ仮想ネットワーク内、またはそのネットワークに接続されている別の仮想ネットワーク内に作成します。
[はい] を選択して、プライベート DNS ゾーンと統合します。 プライベート DNS ゾーンは、プライベート リンク上で、仮想ネットワークからストレージ アカウントに接続をルーティングする際に利用されます。 [はい] を選択すると、DNS ゾーンが仮想ネットワークに自動的にリンクされます。 また、作成される新しい IP と FQDN を解決するために DNS レコードも追加されます。 プライベート DNS ゾーンの詳細を参照してください。
プライベート エンドポイントを作成したユーザーがストレージ アカウント所有者でもある場合、プライベート エンドポイントの作成は自動承認されます。 そうでない場合、ストレージ アカウントの所有者がプライベート エンドポイントの使用を承認する必要があります。 要求されたプライベート エンドポイント接続を承認または拒否するには、ストレージ アカウント ページの [ネットワーク] にある [プライベート エンドポイント接続] に移動します。
続行する前に、プライベート エンドポイントの接続状態を確認します。
オンプレミスのアプライアンスに、プライベート エンドポイントを介したストレージ アカウントへのネットワーク接続があることを確認します。 プライベート リンク接続を検証するには、Migrate アプライアンスのホストとなるオンプレミス サーバーからストレージ アカウント エンドポイント (プライベート リンク リソースの FQDN) の DNS 解決を実行し、その FQDN がプライベート IP アドレスに解決されることを確認します。 ネットワーク接続の確認方法を参照してください。
次のステップ
- VM の移行
- 移行プロセスを完了します。
- 移行後のベスト プラクティスを確認します。
この記事では、移行およびモダン化ツールを使用して、エージェントレス移行でオンプレミスの Hyper-V VM を Azure に移行する方法について説明します。 エージェントベース移行を使用して移行することもできます。
移行用にレプリケーション プロバイダーを設定する
次の図は、移行およびモダン化ツールを使用した、プライベート エンドポイントによるエージェントレス移行のワークフローを示しています。
移行およびモダン化ツールでは、Hyper-V VM を移行するにあたり、ソフトウェア プロバイダー (Microsoft Azure Site Recovery プロバイダーおよび Microsoft Azure Recovery Services エージェント) を Hyper-V ホストまたはクラスター ノードにインストールします。
Azure Migrate プロジェクト >[サーバー、データベース、Web アプリ]>[移行およびモダン化] で、[検出する] を選択します。
[マシンの検出]>[マシンは仮想化されていますか?] で、 [はい。Hyper-V を使用します] を選択します。
[ターゲット リージョン] で、マシンの移行先にする Azure リージョンを選択します。
[移行先のリージョンが <リージョン名> であることを確認してください] を選択します。
[リソースの作成] を選択します。 これで、Azure Site Recovery コンテナーがバックグラウンドで作成されます。 リソースの作成中にページを閉じないでください。 移行およびモダン化ツールを使用した移行を既に設定してある場合は、リソースが以前に設定されているため、このオプションは表示されません。
- この手順により、バックグラウンドで Recovery Services コンテナーが作成され、そのコンテナーのマネージド ID が有効になります。 Recovery Services コンテナーは、サーバーのレプリケーション情報を含むエンティティであり、レプリケーション操作をトリガーするために使用されます。
- Azure Migrate プロジェクトにプライベート エンドポイント接続がある場合は、Recovery Services コンテナーにプライベート エンドポイントが作成されます。 この手順により、プライベート エンドポイントには、完全修飾ドメイン名 (FQDN) が 5 つ (Recovery Services コンテナーにリンクされたマイクロサービスごとに 1 つ) 追加されます。
- このパターンでは、次の 5 つのドメイン名がフォーマットされています: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com
- 既定では、Azure Migrate によって自動的にプライベート DNS ゾーンが作成され、Recovery Services コンテナーのマイクロサービス用に DNS A レコードが追加されます。 その後、このプライベート DNS は、プライベート エンドポイントの仮想ネットワークにリンクされます。
[Hyper-V ホスト サーバーを準備する] で、Hyper-V レプリケーション プロバイダーと登録キー ファイルをダウンロードします。
Hyper-V ホストを移行およびモダン化ツールに登録するには、登録キーが必要です。
キーは生成後 5 日間有効です。
プロバイダー セットアップ ファイルと登録キー ファイルを、レプリケートする VM が実行されている各 Hyper-V ホスト (またはクラスター ノード) にコピーします。
Note
レプリケーション プロバイダーを登録する前に、レプリケーション プロバイダーをホストするマシンからコンテナーのプライベート リンク FQDN に到達できることを確認します。 オンプレミスのレプリケーション アプライアンスがプライベート IP アドレスへのプライベート リンク FQDN を解決するために、追加の DNS 構成が必要になる場合があります。 ネットワーク接続の確認方法の詳細を参照してください。
次に、これらの手順に従って、レプリケーション プロバイダーをインストールして登録します。
Hyper-V VM をレプリケートする
検出が完了したら、Azure への Hyper-V VM のレプリケーションを開始できます。
Note
最大 10 台のマシンをまとめてレプリケートできます。 レプリケートするマシンがそれより多い場合は、10 台をひとまとまりとして同時にレプリケートしてください。
Azure Migrate プロジェクト >[サーバー、データベース、Web アプリ] > [移行およびモダン化] > [移行ツール] で、[レプリケート] を選択します。
[レプリケート]>[基本]>[マシンは仮想化されていますか?] で、[はい (Hyper-V の場合)] を選択します。 その後、 [次へ: 仮想マシン] を選択します。
[仮想マシン] で、レプリケートしたいマシンを選択します。
- VM の評価を実行した場合は、評価結果から VM のサイズ設定とディスクの種類 (Premium または Standard) の推奨事項を適用できます。 これを行うには、 [Azure Migrate Assessment から移行設定をインポートしますか?] で [はい] オプションを選択します。
- 評価を実行しなかった場合、または評価の設定を使用しない場合は、 [いいえ] オプションを選択します。
- 評価の使用を選択した場合は、VM グループと評価名を選択します。
[仮想マシン] で、必要に応じて VM を検索し、移行する各 VM を選択します。 次に、[次へ: ターゲット設定] を選択します。
[ターゲット設定] で、移行先のターゲット リージョン、サブスクリプション、移行後に Azure VM が配置されるリソース グループを選択します。
[レプリケーション ストレージ アカウント] で、レプリケートされたデータを Azure に格納する Azure Storage アカウントを選択します。
次に、ストレージ アカウント用のプライベート エンドポイントを作成し、Azure Migrate に必要なストレージ アカウントにアクセスするためのアクセス許可を Recovery Services コンテナーのマネージド ID に付与する必要があります。 これは、先に進む前に必須です。
Hyper-V VM を Azure に移行するケースで、レプリケーション ストレージ アカウントの種類が Premium である場合、キャッシュ ストレージ アカウントには、Standard タイプの別のストレージ アカウントを選択する必要があります。 このケースでは、レプリケーション ストレージ アカウントとキャッシュ ストレージ アカウントの両方のプライベート エンドポイントを作成する必要があります。
続行する前に、レプリケーション プロバイダーをホストしているサーバーがプライベート エンドポイント経由でストレージ アカウントにネットワーク接続していることを確認してください。 ネットワーク接続の確認方法を参照してください。
ヒント
DNS レコードを手動で更新するには、ストレージ アカウントのプライベートリンク FQDN とプライベート IP アドレスを使用して Azure Migrate アプライアンス上の DNS ホストファイルを編集します。
[仮想ネットワーク] で、移行した Azure VM の Azure VNet またはサブネットを選択します。
[可用性オプション] で、以下を選択します。
可用性ゾーン。移行されたマシンをリージョン内の特定の可用性ゾーンにピン留めします。 このオプションを使用して、複数ノードのアプリケーション層を形成するサーバーを可用性ゾーン間で分散させます。 このオプションを選択した場合は、[コンピューティング] タブで選択した各マシンに使用する可用性ゾーンを指定する必要があります。このオプションは、移行用に選択したターゲット リージョンで Availability Zones がサポートされている場合にのみ使用できます。
可用性セット。移行されたマシンを可用性セットに配置します。 このオプションを使用するには、選択されたターゲット リソース グループに 1 つ以上の可用性セットが必要です。
[インフラストラクチャ冗長は必要ありません] オプション (移行されたマシンに対してこれらの可用性構成がいずれも不要な場合)。
[Azure ハイブリッド特典] で、
Azure ハイブリッド特典を適用しない場合は、 [いいえ] を選択します。 次に、 [次へ] を選択します。
アクティブなソフトウェア アシュアランスまたは Windows Server のサブスクリプションの対象となっている Windows Server マシンがあり、移行中のマシンにその特典を適用する場合は、 [はい] を選択します。 [次へ] を選択します。
[コンピューティング] で、VM の名前、サイズ、OS ディスクの種類、および可用性構成 (前の手順で選択した場合) を確認します。 VM は Azure の要件に準拠している必要があります。
VM サイズ: 評価の推奨事項を使用している場合は、[VM サイズ] ドロップダウンに推奨サイズが表示されます。 それ以外の場合は、Azure Migrate によって、Azure サブスクリプション内の最も近いサイズが選択されます。 または、 [Azure VM サイズ] でサイズを手動で選択します。
OS ディスク: VM の OS (ブート) ディスクを指定します。 OS ディスクは、オペレーティング システムのブートローダーとインストーラーがあるディスクです。
可用性セット:移行後に VM を Azure 可用性セットに配置する必要がある場合は、セットを指定します。 このセットは、移行用に指定するターゲット リソース グループ内に存在する必要があります。
[ディスク] で、Azure にレプリケートする必要がある VM ディスクを指定します。 [次へ] を選択します。
- レプリケーションからディスクを除外できます。
- ディスクを除外すると、移行後に Azure VM 上に存在しなくなります。
[タグ] で、移行した仮想マシン、ディスク、NIC にタグを追加します。
[レプリケーションの確認と開始] で設定を確認し、 [レプリケート] を選択して、サーバーの初期レプリケーションを開始します。
Note
レプリケーションが開始される前であれば、 [管理]>[マシンのレプリケート] でレプリケーションの設定をいつでも更新できます。 レプリケーションの開始後は、設定を変更することができません。
次に、手順に従い移行を実行します。 ]
Recovery Services コンテナーにアクセス許可を付与する
キャッシュ ストレージ アカウントまたはレプリケーション ストレージ アカウントに対する認証済みアクセスのために、Recovery Services コンテナーにアクセス許可を付与する必要があります。
Azure Migrate によって作成された Recovery Services コンテナーを特定し、必要なアクセス許可を付与するには、次の手順を実行します。
Recovery Services コンテナーとマネージド ID のオブジェクト ID を特定する
Recovery Services コンテナーの詳細は、移行およびモダン化ツールの [プロパティ] ページで確認できます。
Azure Migrate ハブに移動し、[移行およびモダン化] タイルの [概要] を選択します。
左側のウィンドウで、[プロパティ] を選択します。 Recovery Services コンテナーの名前とマネージド ID をメモします。 コンテナーの [接続の種類] は [プライベート エンドポイント] に、[レプリケーションの種類] は [その他] になります。 コンテナーにアクセス権を提供する際に、この情報が必要になります。
ストレージ アカウントにアクセスするためのアクセス許可
コンテナーのマネージド ID には、レプリケーションに必要なストレージ アカウントに対する以下のロールのアクセス許可を付与する必要があります。 この場合は、ストレージ アカウントを事前に作成しておく必要があります。
Azure Resource Manager のロールのアクセス許可は、ストレージ アカウントの種類によって異なります。
ストレージ アカウントの種類 | ロールのアクセス許可 |
---|---|
標準の型 | Contributor ストレージ BLOB データ共同作成者 |
プレミアムの型 | Contributor ストレージ BLOB データ所有者 |
レプリケーション用に選択したレプリケーション ストレージ アカウントまたはキャッシュ ストレージ アカウントに移動します。 左側のウィンドウで [アクセス制御 (IAM)] を選択します。
[+ 追加] を選択し、[ロールの割り当ての追加] を選択します。
[ロールの割り当ての追加] ページの [ロール] ボックスで、前述のアクセス許可リストから適切なロールを選択します。 先ほどメモしたコンテナーの名前を入力し、[保存] を選択します。
これらのアクセス許可に加え、Microsoft の信頼済みサービスへのアクセスも許可する必要があります。 ネットワーク アクセスが特定のネットワークに制限されている場合は、[ネットワーク] タブの [例外] セクションで、[信頼された Microsoft サービスによるこのストレージ アカウントに対するアクセスを許可します] を選択します。
ストレージ アカウントのプライベート エンドポイントを作成する
プライベート ピアリングによる ExpressRoute を使用してレプリケートを行うには、キャッシュ ストレージ アカウントまたはレプリケーション ストレージ アカウントのプライベート エンドポイントを作成します (対象サブリソース: BLOB)。
Note
プライベート エンドポイントは、汎用 v2 のストレージ アカウントでのみ作成できます。 価格情報については、「Azure ページ BLOB の価格」および「Azure Private Link の価格」を参照してください。
ストレージ アカウント用のプライベート エンドポイントは、Azure Migrate プロジェクトのプライベート エンドポイントと同じ仮想ネットワーク内、またはそのネットワークに接続されている別の仮想ネットワーク内に作成します。
[はい] を選択して、プライベート DNS ゾーンと統合します。 プライベート DNS ゾーンは、プライベート リンク上で、仮想ネットワークからストレージ アカウントに接続をルーティングする際に利用されます。 [はい] を選択すると、DNS ゾーンが仮想ネットワークに自動的にリンクされます。 また、作成される新しい IP と FQDN を解決するために DNS レコードも追加されます。 プライベート DNS ゾーンの詳細を参照してください。
プライベート エンドポイントを作成したユーザーがストレージ アカウント所有者でもある場合、プライベート エンドポイントの作成は自動承認されます。 そうでない場合、ストレージ アカウントの所有者がプライベート エンドポイントの使用を承認する必要があります。 要求されたプライベート エンドポイント接続を承認または拒否するには、ストレージ アカウント ページの [ネットワーク] にある [プライベート エンドポイント接続] に移動します。
続行する前に、プライベート エンドポイントの接続状態を確認します。
プライベート エンドポイントの作成後、[レプリケート]>[ターゲット設定]>[キャッシュ ストレージ アカウント] のドロップダウン リストを使用して、プライベート リンクでレプリケートするためのストレージ アカウントを選択します。
オンプレミスのレプリケーション アプライアンスのプライベート エンドポイントに、ストレージ アカウントへのネットワーク接続があることを確認します。 ネットワーク接続の確認方法の詳細を参照してください。
レプリケーション プロバイダーに、プライベート エンドポイントを介したストレージ アカウントへのネットワーク接続があることを確認します。 プライベート リンク接続を検証するには、レプリケーション プロバイダーのホストとなるオンプレミス サーバーからストレージ アカウント エンドポイント (プライベート リンク リソースの FQDN) の DNS 解決を実行し、その FQDN がプライベート IP アドレスに解決されることを確認します。 ネットワーク接続の確認方法を参照してください。
Note
Hyper-V VM を Azure に移行するケースで、レプリケーション ストレージ アカウントの種類が Premium である場合、キャッシュ ストレージ アカウントには、Standard タイプの別のストレージ アカウントを選択する必要があります。 このケースでは、レプリケーション ストレージ アカウントとキャッシュ ストレージ アカウントの両方のプライベート エンドポイントを作成する必要があります。
次のステップ
- VM の移行
- 移行プロセスを完了します。
- 移行後のベスト プラクティスを確認します。
この記事では、Azure プライベート エンドポイントを使用して VMware VM、Hyper-V VM、物理サーバー、AWS で実行されている VM、GCP で実行されている VM、または別の仮想化プロバイダー上で実行されている VM を移行するためのエージェントベースのレプリケーションの概念実証のデプロイ パスを示しています。
移行に備えてレプリケーション アプライアンスを設定する
次の図は、移行およびモダン化ツールを使用した、プライベート エンドポイントによるエージェントベースのレプリケーション ワークフローを示しています。
このツールは、レプリケーション アプライアンスを使用して、サーバーを Azure にレプリケートします。 移行に必要なリソースを作成するには、次の手順に従います。
- [マシンの検出]>[マシンは仮想化されていますか?] で、 [非仮想化/その他] を選択します。
- [ターゲット リージョン] で、マシンの移行先にする Azure リージョンを選択、確認します。
- [リソースの作成] を選択して、必要な Azure リソースを作成します。 リソースの作成中にページを閉じないでください。
- この手順により、バックグラウンドで Recovery Services コンテナーが作成され、そのコンテナーのマネージド ID が有効になります。 Recovery Services コンテナーは、サーバーのレプリケーション情報を含むエンティティであり、レプリケーション操作をトリガーするために使用されます。
- Azure Migrate プロジェクトにプライベート エンドポイント接続がある場合は、Recovery Services コンテナーにプライベート エンドポイントが作成されます。 この手順により、プライベート エンドポイントには、完全修飾ドメイン名 (FQDN) が 5 つ (Recovery Services コンテナーにリンクされたマイクロサービスごとに 1 つ) 追加されます。
- このパターンでは、次の 5 つのドメイン名がフォーマットされています: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com
- 既定では、Azure Migrate によって自動的にプライベート DNS ゾーンが作成され、Recovery Services コンテナーのマイクロサービス用に DNS A レコードが追加されます。 その後、このプライベート DNS は、プライベート エンドポイントの仮想ネットワークにリンクされます。
Note
レプリケーション アプライアンスを登録する前に、レプリケーション アプライアンスをホストするマシンからコンテナーのプライベート リンク FQDN に到達できることを確認します。 オンプレミスのレプリケーション アプライアンスがプライベート IP アドレスへのプライベート リンク FQDN を解決するために、追加の DNS 構成が必要になる場合があります。 ネットワーク接続の確認方法の詳細を参照してください。
接続を確認したら、アプライアンスのセットアップおよびキー ファイルをダウンロードし、インストール プロセスを実行して、Azure Migrate にそのアプライアンスを登録します。 レプリケーション アプライアンスを設定する方法の詳細を参照してください。 レプリケーション アプライアンスの設定後、これらの手順に従って、移行対象のマシンにモビリティ サービスをインストールします。
サーバーをレプリケートする
今度は、レプリケーションと移行の対象となるマシンを選択します。
Note
最大 10 台のマシンをまとめてレプリケートできます。 レプリケートするマシンがそれより多い場合は、10 台をひとまとまりとして同時にレプリケートしてください。
Azure Migrate プロジェクト >[サーバー、データベース、Web アプリ] > [移行およびモダン化] > [移行ツール] で、[レプリケート] を選択します。
[レプリケーション]>[基本]>[マシンは仮想化されていますか?] で、[非仮想化/その他] を選択します。
[オンプレミスのアプライアンス] で、自分が設定した Azure Migrate アプライアンスの名前を選択します。
[プロセス サーバー] で、レプリケーション アプライアンスの名前を選択します。
[ゲストの資格情報] で、前のレプリケーション インストーラーのセットアップ中に作成したダミー アカウントを選択し、Mobility Service を手動でインストールします (プッシュ インストールはサポートされていません)。 その後、 [次へ: 仮想マシン] を選択します。
[仮想マシン] の [評価から移行設定をインポートしますか?] は、既定の設定である [いいえ。移行設定を手動で指定します] のままにしておきます。
移行したい各 VM を選択します。 次に、[次へ: ターゲット設定] を選択します。
[ターゲット設定] で、サブスクリプション、移行先のターゲット リージョン、移行後に Azure VM が配置されるリソース グループを選択します。
[仮想ネットワーク] で、移行した Azure VM の Azure VNet またはサブネットを選択します。
[キャッシュ ストレージ アカウント] のドロップダウン リストを使用して、プライベート リンク経由でレプリケートするためのストレージ アカウントを選択します。
次に、ストレージ アカウント用のプライベート エンドポイントを作成し、Azure Migrate に必要なストレージ アカウントにアクセスするためのアクセス許可を Recovery Services コンテナーのマネージド ID に付与する必要があります。 これは、先に進む前に必須です。
続行する前に、レプリケーション アプライアンスをホストしているサーバーがプライベート エンドポイント経由でストレージ アカウントにネットワーク接続していることを確認してください。 ネットワーク接続の確認方法を参照してください。
ヒント
DNS レコードを手動で更新するには、ストレージ アカウントのプライベートリンク FQDN とプライベート IP アドレスを使用して Azure Migrate アプライアンス上の DNS ホストファイルを編集します。
[可用性オプション] で、以下を選択します。
可用性ゾーン。移行されたマシンをリージョン内の特定の可用性ゾーンにピン留めします。 このオプションを使用して、複数ノードのアプリケーション層を形成するサーバーを可用性ゾーン間で分散させます。 このオプションを選択した場合は、[コンピューティング] タブで選択した各マシンに使用する可用性ゾーンを指定する必要があります。このオプションは、移行用に選択したターゲット リージョンで Availability Zones がサポートされている場合にのみ使用できます。
可用性セット。移行されたマシンを可用性セットに配置します。 このオプションを使用するには、選択されたターゲット リソース グループに 1 つ以上の可用性セットが必要です。
[インフラストラクチャ冗長は必要ありません] オプション (移行されたマシンに対してこれらの可用性構成がいずれも不要な場合)。
[Disk encryption type](ディスク暗号化の種類) で、以下を選択します。
- プラットフォーム マネージド キーを使用した保存時の暗号化
- カスタマー マネージド キーを使用した保存時の暗号化
- プラットフォーム マネージド キーとカスタマー マネージド キーを使用した二重暗号化
注意
CMK を使用して VM をレプリケートするには、ターゲット リソース グループにディスク暗号化セットを作成する必要があります。 ディスク暗号化セット オブジェクトによって、SSE に使用する CMK を含む Key Vault にマネージド ディスクがマップされます。
[Azure ハイブリッド特典] で、
- Azure ハイブリッド特典を適用しない場合は [いいえ] を選択し、[次へ] を選択します。
- アクティブなソフトウェア アシュアランスまたは Windows Server のサブスクリプションの対象となっている Windows Server マシンがあり、移行中のマシンにその特典を適用する場合は、 [はい] を選択します。 [次へ] を選択します。
[コンピューティング] で、VM の名前、サイズ、OS ディスクの種類、および可用性構成 (前の手順で選択した場合) を確認します。 VM は Azure の要件に準拠している必要があります。
VM サイズ: 評価の推奨事項を使用している場合は、[VM サイズ] ドロップダウンに推奨サイズが表示されます。 それ以外の場合は、Azure Migrate によって、Azure サブスクリプション内の最も近いサイズが選択されます。 または、 [Azure VM サイズ] でサイズを手動で選択します。
OS ディスク: VM の OS (ブート) ディスクを指定します。 OS ディスクは、オペレーティング システムのブートローダーとインストーラーがあるディスクです。
可用性ゾーン:使用する可用性ゾーンを指定します。
可用性セット:使用する可用性セットを指定します。
[ディスク] で、VM ディスクを Azure にレプリケートするかどうかを指定し、Azure でのディスクの種類 (Standard SSD か HDD、または Premium マネージド ディスク) を選択します。 [次へ] を選択します。
- レプリケーションからディスクを除外できます。
- ディスクを除外すると、移行後に Azure VM 上に存在しなくなります。
[タグ] で、移行した仮想マシン、ディスク、NIC にタグを追加します。
[レプリケーションの確認と開始] で設定を確認し、 [レプリケート] を選択して、サーバーの初期レプリケーションを開始します。
Note
レプリケーションが開始される前であれば、 [管理]>[マシンのレプリケート] でレプリケーションの設定をいつでも更新できます。 レプリケーションの開始後は、設定を変更することができません。
次に、手順に従い移行を実行します。
Recovery Services コンテナーにアクセス許可を付与する
キャッシュ ストレージ アカウントまたはレプリケーション ストレージ アカウントに対する認証済みアクセスのために、Recovery Services コンテナーにアクセス許可を付与する必要があります。
Azure Migrate によって作成された Recovery Services コンテナーを特定し、必要なアクセス許可を付与するには、次の手順を実行します。
Recovery Services コンテナーとマネージド ID のオブジェクト ID を特定する
Recovery Services コンテナーの詳細は、[移行およびモダン化] ページで確認できます。
- Azure Migrate ハブに移動し、[移行およびモダン化] タイルの [概要] を選択します。
- 左側のウィンドウで、[プロパティ] を選択します。 Recovery Services コンテナーの名前とマネージド ID をメモします。 コンテナーの [接続の種類] は [プライベート エンドポイント] に、[レプリケーションの種類] は [その他] になります。 コンテナーにアクセス権を提供する際に、この情報が必要になります。
ストレージ アカウントにアクセスするためのアクセス許可
コンテナーのマネージド ID には、レプリケーションに必要なストレージ アカウントに対する以下のロールのアクセス許可を付与する必要があります。 この場合は、ストレージ アカウントを事前に作成しておく必要があります。
Azure Resource Manager のロールのアクセス許可は、ストレージ アカウントの種類によって異なります。
ストレージ アカウントの種類 | ロールのアクセス許可 |
---|---|
標準の型 | Contributor ストレージ BLOB データ共同作成者 |
プレミアムの型 | Contributor ストレージ BLOB データ所有者 |
- レプリケーション用に選択したレプリケーション ストレージ アカウントまたはキャッシュ ストレージ アカウントに移動します。 左側のウィンドウで [アクセス制御 (IAM)] を選択します。
- [+ 追加] を選択し、[ロールの割り当ての追加] を選択します。
- [ロールの割り当ての追加] ページの [ロール] ボックスで、前述のアクセス許可リストから適切なロールを選択します。 先ほどメモしたコンテナーの名前を入力し、[保存] を選択します。
- これらのアクセス許可に加え、Microsoft の信頼済みサービスへのアクセスも許可する必要があります。 ネットワーク アクセスが特定のネットワークに制限されている場合は、[ネットワーク] タブの [例外] セクションで、[信頼された Microsoft サービスによるこのストレージ アカウントに対するアクセスを許可します] を選択します。
ストレージ アカウントのプライベート エンドポイントを作成する
プライベート ピアリングによる ExpressRoute を使用してレプリケートを行うには、キャッシュ ストレージ アカウントまたはレプリケーション ストレージ アカウントのプライベート エンドポイントを作成します (対象サブリソース: BLOB)。
Note
プライベート エンドポイントは、汎用 v2 のストレージ アカウントでのみ作成できます。 価格情報については、「Azure ページ BLOB の価格」および「Azure Private Link の価格」を参照してください。
ストレージ アカウント用のプライベート エンドポイントは、Azure Migrate プロジェクトのプライベート エンドポイントと同じ仮想ネットワーク内、またはそのネットワークに接続されている別の仮想ネットワーク内に作成します。
[はい] を選択して、プライベート DNS ゾーンと統合します。 プライベート DNS ゾーンは、プライベート リンク上で、仮想ネットワークからストレージ アカウントに接続をルーティングする際に利用されます。 [はい] を選択すると、DNS ゾーンが仮想ネットワークに自動的にリンクされます。 また、作成される新しい IP と FQDN を解決するために DNS レコードも追加されます。 プライベート DNS ゾーンの詳細を参照してください。
プライベート エンドポイントを作成したユーザーがストレージ アカウント所有者でもある場合、プライベート エンドポイントの作成は自動承認されます。 そうでない場合、ストレージ アカウントの所有者がプライベート エンドポイントの使用を承認する必要があります。 要求されたプライベート エンドポイント接続を承認または拒否するには、ストレージ アカウント ページの [ネットワーク] にある [プライベート エンドポイント接続] に移動します。
続行する前に、プライベート エンドポイントの接続状態を確認します。
プライベート エンドポイントの作成後、[レプリケート]>[ターゲット設定]>[キャッシュ ストレージ アカウント] のドロップダウン リストを使用して、プライベート リンクでレプリケートするためのストレージ アカウントを選択します。
オンプレミスのレプリケーション アプライアンスのプライベート エンドポイントに、ストレージ アカウントへのネットワーク接続があることを確認します。 プライベート リンク接続を検証するには、レプリケーション アプライアンスのホストとなるオンプレミス サーバーからストレージ アカウント エンドポイント (プライベート リンク リソースの FQDN) の DNS 解決を実行し、その FQDN がプライベート IP アドレスに解決されることを確認します。 ネットワーク接続の確認方法を参照してください。
次のステップ
- VM の移行
- 移行プロセスを完了します。
- 移行後のベスト プラクティスを確認します。