物理サーバーと、AWS および GCP で稼働しているサーバーを検出する

この記事では、AWS、GCP、またはその他のクラウドで実行されている物理サーバーを検出するように Azure Migrate アプライアンスを設定する方法について説明します。

Azure Migrate アプライアンスは、Azure Migrate: Discovery and Assessment で次の目的で使用される軽量ツールです。

• オンプレミスのサーバーを検出する。
• 検出されたサーバーのメタデータとパフォーマンス データを Azure Migrate: Discovery and assessment に送信します。

前提条件

アプライアンスを設定する前に、次の手順に従って Azure Migrate プロジェクトを作成 します。

Azure Migrate アプライアンスを準備する

• Azure Migrate アプライアンスのハードウェア要件を確認します。
• アプライアンス VM が必要なすべてのエンドポイントに接続できることを確認 します。

Windows サーバーを準備する

Windows サーバーを検出し、ソフトウェア インベントリとエージェントレス依存関係分析を有効にするには、ドメインに参加しているサーバーのドメイン アカウントまたはドメインに参加していないサーバーのローカル アカウントを使用します。

ローカル ユーザー アカウントは、次の 2 つの方法のいずれかで作成できます。

オプション 1: 管理者アカウントを設定する

設定するには:

• サーバーの管理者権限を持つアカウントを作成します。
• このアカウントは、CIM 接続を使用して構成データとパフォーマンス データを収集するのに役立ちます。
• また、ソフトウェア インベントリ (インストールされているアプリケーションの検索) もサポートし、PowerShell リモート処理によるエージェントレスの依存関係分析を可能にします。

オプション 2: 最小特権の Windows ユーザー アカウントを設定する

• リモート管理ユーザー、パフォーマンス モニター ユーザー、パフォーマンス ログ ユーザーのグループに、ユーザー アカウントを追加する必要があります。
• リモート管理ユーザー グループを使用できない場合は、代わりにユーザーを WinRMRemoteWMIUsers_ group に追加します。
• アプライアンスがサーバーとの CIM 接続を作成し、必要な WMI クラスから構成データとパフォーマンス データを収集できるように、アカウントにはこれらのアクセス許可が必要です。
• 場合によっては、アカウントを適切なグループに追加した後でも、 UAC フィルター処理のために必要なデータが返されないことがあります。 これを修正するには、 CIMV2 名前空間 とターゲット サーバー上のサブ名前空間に対する適切なアクセス許可をユーザー アカウントに付与します。 次の 手順 に従って、必要なアクセス許可を設定できます。

注

• Windows Server 2008 および 2008 R2 の場合は、サーバー上に WMF 3.0 がインストールされていることを確認してください。
• Windows Server 上で SQL Server データベースを検出するために、Windows と SQL Server の両方の認証がサポートされています。
  アプライアンス構成マネージャーでは、両方の種類の資格情報を入力できます。
  Azure Migrate には、 sysadmin サーバー ロールの一部である Windows ユーザー アカウントが必要です。

Linux サーバーを準備する

Linux サーバーを検出する場合は、次の手順に従って、最小特権 sudo アカウントを設定できます。

最小限の特権を持つ Linux ユーザー アカウントを設定する

• 検出する Linux サーバーには sudo ユーザー アカウントが必要です。

• このアカウントは、構成データとパフォーマンス データの収集、ソフトウェア インベントリの実行 (インストールされているアプリケーションの検索)、SSH を使用したエージェントレス依存関係分析の有効化に役立ちます。

• sudo を使用するたびにパスワードを要求せずに必要なコマンドを実行できるように、アカウントの NOPASSWD を有効にしてください。

• sudoers ファイルを変更して、ユーザー アカウントのターミナル (requiretty) を無効にします。

• たとえば、 /etc/sudoers ファイルに次のようなエントリを追加できます。

AzMigrateLeastprivuser ALL=(ALL) NOPASSWD: /usr/sbin/dmidecode, /usr/sbin/fdisk -l, /usr/sbin/fdisk -l *, /usr/bin/ls -l /proc/*/exe, /usr/bin/netstat -atnp, /usr/sbin/lvdisplay ""
Defaults:AzMigrateLeastprivuser !requiretty

• 前述のパッケージのいずれかがターゲット Linux ディストリビューションで使用できない場合は、次のフォールバック コマンドを使用します。

- If /usr/sbin/dmidecode -s system-uuid is not available, add permissions to /usr/bin/cat /sys/class/dmi/id/product_uuid. 

- If /usr/sbin/dmidecode -t 1 isn't available, add permissions to /usr/sbin/lshw "" 

- If /usr/sbin/dmidecode system-manufacturer isn't available, add permissions to /usr/bin/cat /sys/devices/virtual/dmi/id/sys_vendor 

- If /usr/bin/netstat isn't available, add permissions to /usr/sbin/ss -atnp 

• ターゲット サーバーで実行されるコマンドの一覧と、それらのサーバーが収集する情報。 詳細については、こちらを参照してください。
• サポートされている Linux オペレーティング システムのディストリビューションの一覧を次に示します。

オペレーティング システム	バージョン
Red Hat Enterprise Linux	5.1、5.3、5.11、6.x、7.x、8.x、9.x、9.5
ウブントゥ	524.04, 22.04, 12.04, 14.04, 16.04, 18.04, 20.04, 22.04
Oracle Linux	6.1、6.7、6.8、6.9、7.2、7.3、7.4、7.5、7.6、7.7、7.8、7.9、8、8.1、8.3、8.5
SUSE Linux	10、11 SP4、12 SP1、12 SP2、12 SP3、12 SP4、15 SP2、15 SP3
Debian	7、8、9、10、11
アマゾンLinux	2.0.2021
CoreOS コンテナー	2345.3.0
Alma Linux	8.x、9.x
ロッキー・リナックス	8.x、9.x

注

• 最小特権の sudo アカウントを設定することをお勧めします。 上記のアクセス許可のスーパーセットを持つ任意のアカウント (ルートなど) も Linux 検出に使用できます。
• ルート以外のアカウントを設定するには、上記の手順に従うことをお勧めします。 setcapを使用して機能を設定することは推奨されなくなりました。

プロジェクト キーを生成する

プロジェクト キーを生成するには、次の手順に従います。

1. サーバー、データベース、Web アプリ>Azure Migrate: Discovery and assessment で、[検出] を選択します。

2. [サーバーの検出]>[お使いのサーバーは仮想化されていますか?] で、[物理またはその他 (AWS、GCP、Xen など)] を選択します。

3. プロジェクト キーを生成し、物理サーバーまたは仮想サーバーを検出するように設定する Azure Migrate アプライアンスの名前を入力します。 名前は、14 文字以下の英数字にする必要があります。

4. [ キーの生成] を選択して、必要な Azure リソースの作成を開始します。 リソースの作成中は、[サーバーの検出] ページを開いたままにします。

5. リソースが正常に作成されると、 プロジェクト キー が生成されます。

6. セットアップ時にアプライアンスを登録するために必要なキーをコピーします。

   

インストーラー スクリプトをダウンロードする

1. Azure Migrate アプライアンスのダウンロードで、[ダウンロード] を選択します。
2. セキュリティを確認する: インストールする前に、zip 形式のファイルが安全であることを確認します。 ファイルをダウンロードしたサーバーで、管理者としてコマンド ウィンドウを開きます。
3. 次のコマンドを実行して、zip 形式のファイルのハッシュを生成します。
   • C:\>CertUtil -HashFile <file_location> [Hashing Algorithm]
   • 例: C:\>CertUtil -HashFile C:\Users\administrator\Desktop\AzureMigrateInstaller.zip SHA256
4. 最新のアプライアンス バージョンとハッシュ値を確認して、それらが一致することを確認します。

ダウンロード	ハッシュ値
最新バージョン	c88e90691ebf87166243dafb2d3a18dd34066b4624595ee3f9b4fbe6885e81da

注

同じスクリプトを使用して、Azure パブリック クラウドと Azure Government クラウドの両方に物理アプライアンスを設定できます。

Azure Migrate インストーラー スクリプトを実行する

インストーラー スクリプトを実行するには:

1. アプライアンスをインストールするサーバー上のフォルダーに zip 形式のファイルを展開します。 Azure Migrate アプライアンスが既に存在するサーバーでスクリプトを実行していないことを確認します。

2. 管理者 (昇格された) 権限を持つそのサーバーで PowerShell を開きます。

3. zip 形式のダウンロードからファイルを抽出したフォルダーに移動します。 次のコマンドを使用して、 AzureMigrateInstaller.ps1 という名前のスクリプトを実行します。 PS C:\Users\administrator\Desktop\AzureMigrateInstaller> .\AzureMigrateInstaller.ps1

4. シナリオ、クラウド、接続性のオプションを選択し、目的の構成でアプライアンスをデプロイします。 たとえば、次に示す選択では、Azure パブリック クラウド上の既定の (パブリック エンドポイント) 接続を使用して、物理サーバー(または AWS、GCP、Xen など、他のクラウドで実行されているサーバー) を Azure Migrate プロジェクトに検出して評価するためのアプライアンスが設定されます。

   

5. インストーラー スクリプトでは以下が実行されます。

   1. エージェントと Web アプリケーションをインストールする。
   2. Windows ライセンス認証サービス、IIS、PowerShell ISE などの Windows ロールをインストールします。
   3. IIS 再書き込み可能モジュールをダウンロードしてインストールする。
   4. Azure Migrate の設定でレジストリ キー (HKLM) を更新します。
   5. パスの下に次のファイルを作成します。
      • 構成ファイル: %Programdata%\Microsoft Azure\Config
      • ログ ファイル: %Programdata%\Microsoft Azure\Logs

スクリプトが正常に実行されると、アプライアンス構成マネージャーが自動的に起動します。

注

問題が発生した場合は、 C:\ProgramData\Microsoft Azure\Logs\AzureMigrateScenarioInstaller_Timestamp.log to troubleshootでスクリプト ログを見つけることができます。

アプライアンスによる Azure へのアクセスを確認する

アプライアンスが パブリッククラウドと政府機関向けクラウドの Azure URL に接続されていることを確認します。

アプライアンスの構成

アプライアンスを初めて設定します。

1. アプライアンスに接続する任意のコンピューターでブラウザーを開きます。 アプライアンス Web アプリの URL:https://[アプライアンス名または IP アドレス]:44368 に移動します。 または、ショートカットを選択して、デスクトップからアプリを開きます。

2. ライセンス条項に同意し、パートナー情報を読みます。

前提条件を設定してアプライアンスを登録する

構成マネージャーで、[前提条件の 設定] を選択し、次の手順に従います。

1. 接続: アプライアンスは、サーバーがインターネットにアクセスできるかどうかを確認します。 サーバーでプロキシを使用する場合は、次の操作を行います。

   • [プロキシのセットアップ] を選択し、プロキシ アドレス (http://ProxyIPAddressまたはhttp://ProxyFQDN、FQDN は完全修飾ドメイン名を意味します) とリッスン ポートを入力します。
   • プロキシで認証が必要な場合は資格情報を入力します。
   • プロキシ設定を追加または変更する場合、またはプロキシまたは認証を無効にする場合は、[ 保存] を選択して変更を適用し、接続を再度確認します。

   注

   サポートされるのは HTTP プロキシのみです。

2. 時刻同期: アプライアンスの時刻がインターネット時刻と一致することを確認します。 これは、検出が正常に機能するために必要です。

3. 更新プログラムをインストールしてアプライアンスを登録する: 手順に従って自動更新を実行し、アプライアンスを登録します。

   

4. アプライアンスで自動更新を有効にするには、ポータルからコピーしたプロジェクト キーを貼り付けます。

5. キーがない場合は、 Azure Migrate: Discovery and assessment>Overview>Manage existing appliances に移動します。

6. プロジェクト キーの作成時に使用したアプライアンス名を選択し、そこに表示されているキーをコピーします。

7. アプライアンスはキーを検証し、自動更新サービスを開始します。 このサービスは、すべてのアプライアンス コンポーネントを最新バージョンに更新します。 更新が完了したら、[ アプライアンス サービスの表示 ] を選択して、アプライアンス サーバーで実行されているサービスの状態とバージョンを確認できます。

8. アプライアンスを登録するには、[ログイン] を選択します。 [ Azure ログインで続行] で 、[ コードのコピー] & [ログイン ] を選択してデバイス コードをコピーします。 Azure にサインインするには、このコードが必要です。 ブラウザーで、Azure サインイン プロンプトが表示された新しいタブが開きます。 ポップアップ ブロックをオフにして、プロンプトを表示してください。

   

9. 新しいブラウザー タブで、デバイス コードを貼り付け、Azure のユーザー名とパスワードを使用してサインインします。 PIN を使用してサインインすることはできません。

注

ログインせずにサインイン タブを誤って閉じた場合は、アプライアンス構成マネージャーのブラウザー タブを更新します。 デバイス コードと [ コードのコピー] ボタンと [ログイン] ボタンが再び表示されます。

1. 正常にサインインしたら、アプライアンス構成マネージャーを表示するブラウザー タブに戻ります。
2. 使用した Azure アカウントに、キーの生成中に作成された Azure リソースに対する適切なアクセス許可がある場合、アプライアンスは登録を開始します。
3. アプライアンスが正常に登録されたら、[詳細の 表示 ] を選択して登録情報を表示します。
4. 前提条件は、アプライアンスのセットアップ中にいつでも再実行して、すべての要件を満たしているかどうかを確認できます。

資格情報の追加

次に、アプライアンスを物理サーバーに接続し、検出を開始します。

1. Windows および Linux の物理サーバーまたは仮想サーバーを検出するための資格情報を指定し、[ 資格情報の追加] を選択します。

2. Windows サーバーの場合:

   1. ソースの種類として Windows Server を選択します。
   2. 資格情報のフレンドリ名を入力します。
   3. ユーザー名とパスワードを追加します。
   4. [保存] を選択します。

3. Linux サーバーにパスワードベースの認証を使用する場合は、ソースの種類として Linux Server (パスワードベース) を選択します。

   1. 資格情報のフレンドリ名を入力します。
   2. ユーザー名とパスワードを追加し、[保存] を選択 します。

4. Linux サーバーに SSH キーベースの認証を使用する場合:

   1. ソースの種類として Linux Server (SSH キーベース) を選択します。
   2. 資格情報のフレンドリ名を入力します。
   3. ユーザー名を追加します。
   4. SSH 秘密キー ファイルを参照して選択します。
   5. [保存] を選択します。

   注

   • Azure Migrate では、RSA、DSA、ECDSA、および ed25519 アルゴリズムで ssh-keygen コマンドを使用して作成された SSH 秘密キーがサポートされています。
   • パスフレーズを使用した SSH キーはサポートされていません。 パスフレーズなしでキーを使用します。
   • PuTTY によって作成された SSH 秘密キー ファイルはサポートされていません。
   • OpenSSH 形式の SSH 秘密キー ファイルをサポートしています。

5. 複数の資格情報を一度に追加するには、[ 追加 ] を選択して保存し、さらに資格情報を入力します。 アプライアンスは、物理サーバー検出用に複数の資格情報をサポートします。

注

既定では、アプライアンスは資格情報を使用して、インストールされているアプリケーション、ロール、および機能に関するデータを収集します。 また、最後の手順でこれらのアクションをスキップするためにスライダーをオフにしない限り、Windows および Linux サーバーから依存関係データも収集されます。

サーバーの詳細を追加する

1. 物理サーバーまたは仮想サーバーの詳細を指定 します。

2. [ 検出ソースの追加] を選択して、サーバーの IP アドレスまたは FQDN と、サーバーへの接続に使用する資格情報のフレンドリ名を入力します。

   1. アプライアンスでは、既定で WinRM ポート 5986 (HTTPS) を使用して Windows サーバーと通信し、Linux サーバーの場合はポート 22 (TCP) を使用します。
   2. ターゲット Hyper-V サーバーに HTTPS の前提条件 が設定されていない場合、アプライアンスは WinRM ポート 5985 (HTTP) に切り替えます。

   

   1. フォールバックなしで HTTPS 通信を使用するには、アプライアンス構成マネージャーで HTTPS プロトコルの切り替えをオンにします。
   2. チェック ボックスをオンにした後、ターゲット サーバーで前提条件が構成されていることを確認します。 サーバーに証明書がない場合、現在のサーバーと新しく追加されたサーバーの両方で検出が失敗します。
      1. WinRM HTTPS には、ローカル コンピューターのサーバー認証証明書が必要です。 証明書には、ホスト名と一致する CN が必要です。 有効期限が切れておらず、失効しておらず、自己署名されていてはいけません。 詳細については、こちらを参照してください。

3. 一度に 1 つの項目を追加 することも 、複数の項目を一緒に追加 することもできます。 CSV ファイルのインポートを使用して、サーバーの詳細を指定することもできます。

   

   1. [ 単一項目の追加] を選択した場合は、OS の種類を選択します。
   2. 資格情報用のフレンドリ名を入力し、サーバーのIPアドレスまたはFQDNを追加します。
   3. [保存] を選択します。
   4. [ 複数の項目の追加] を選択した場合は、サーバー の IP アドレスまたは FQDN を指定して、複数のレコードを一度に入力します。
   5. テキスト ボックスに資格情報のフレンドリ名を入力します。
   6. レコードを確認し、[ 保存] を選択します。
   7. [CSV のインポート] を選択した場合 (これは既定で選択されています)、CSV テンプレート ファイルをダウンロードします。
   8. サーバー の IP アドレスまたは FQDN を入力します。
   9. 資格情報のフレンドリ名を入力します。 次に、ファイルをアプライアンスにインポートします。
   10. レコードを確認し、[ 保存] を選択します。

4. [保存] を選択すると、アプライアンスによって追加されたサーバーへの接続が検証され、各サーバーの横にあるテーブルに検証の状態が表示されます。

   1. サーバーの検証が失敗した場合は、[状態] 列の [ 検証に失敗しました ] を選択してエラーを確認できます。 問題を修正し、もう一度検証します。
   2. サーバーを削除するには、[削除] を選択します。

5. 検出を開始する前に、いつでもサーバーへの接続を 再検証 できます。

6. 検出を開始する前に、スライダーをオフにして、追加されたサーバーのソフトウェア インベントリとエージェントレス依存関係分析をスキップできます。 このオプションはいつでも変更できます。

7. SQL Server インスタンスとデータベースを検出するには、追加の資格情報 (Windows ドメイン、ドメイン以外、または SQL 認証) を追加します。 その後、アプライアンスは、これらの資格情報を SQL サーバーに自動的にマップしようとします。 ドメイン資格情報を追加すると、ユーザー アカウントのロックアウトを防ぐために、アプライアンスによってドメインの Active Directory で認証されます。 ドメイン資格情報が有効かどうかを確認するには、次の手順に従います。

   1. Configuration Manager 資格情報テーブルに、ドメイン資格情報の 検証状態 が表示されます。 ドメイン資格情報のみ検証されます。
   2. ドメイン アカウントを使用する場合、ユーザー名は Down-Level 形式 (domain\username) である必要があります。 UPN 形式 (username@domain.com) はサポートされていません。
   3. 検証が失敗した場合は、[失敗] 状態を選択してエラーを表示できます。 問題を解決し、[資格情報の 再検証 ] を選択して再試行します。

検出を開始する

[ 検出の開始] を選択して、検証済みサーバーの検出を開始します。 検出が開始されたら、テーブル内の各サーバーの検出状態を確認できます。

検出のしくみ

• 100 台のサーバーを検出し、そのメタデータを Azure portal に表示するには、約 2 分かかります。
• サーバーの 検出が完了すると、ソフトウェア インベントリ (インストールされているアプリケーションの検出) が自動的に開始されます。
• インストールされているアプリケーションを検出する時間は、サーバーの数によって異なります。 500 台のサーバーの場合、ポータルの Azure Migrate プロジェクトにインベントリが表示されるまでに約 1 時間かかります。
• サーバーの資格情報は、ソフトウェア インベントリ中にエージェントレスの依存関係分析のためにチェックされ、検証されます。 サーバーの検出が完了したら、ポータルで エージェントレスの依存関係分析 を有効にすることができます。 検証に合格したサーバーのみを選択できます。

ポータルでサーバーを確認する

検出の完了後、サーバーがポータルに表示されることを確認できます。

1. Azure Migrate ダッシュボードを開きます。
2. サーバー、データベース、Web アプリ>Azure Migrate: Discovery and assessment ページで、検出されたサーバーの数を表示するアイコンを選択します。

ライセンス サポートの状態を表示する

検出 されたサーバー と検出 されたデータベース インスタンス のセクションから、環境のサポート体制に関するより深い分析情報を得ることができます。

オペレーティング システムのライセンス サポートの状態列には、オペレーティング システムがメインストリーム サポート、延長サポート、またはサポート対象外のいずれであるかを示します。 サポートの状態を選択すると、右側にウィンドウが開き、延長サポートまたはサポート対象外のサーバーとデータベースをセキュリティで保護するために実行できるアクションに関する明確なガイダンスが表示されます。

サポートが終了するまでの残りの期間を表示するには、列>サポートが終了するまでの日数>送信 を選択します。 サポートは列で終わり、残りの期間は月単位で表示されます。

[データベース インスタンス] セクションには、Azure Migrate で検出されたインスタンスの数が表示されます。 データベース インスタンスの詳細を表示する番号を選択します。 データベース インスタンス ライセンスのサポート状態には、各インスタンスのサポート状態が表示されます。 サポートの状態を選択すると、右側にウィンドウが開き、延長サポートまたはサポート対象外のサーバーとデータベースをセキュリティで保護するために実行できるアクションに関する明確なガイダンスが表示されます。

サポート終了までの月数を確認するには、列>サポート終了>送信 を選択します。 サポートは列 で終わり 、残りの期間は月単位で表示されます。

サーバーを削除する

検出の開始後、[検出 ソース の追加] テーブルでサーバー名を検索し、[削除] を選択することで、アプライアンス構成マネージャーから追加されたサーバーを 削除できます。

注

検出の開始後にサーバーを削除すると、継続的な検出と評価が停止されます。 このアクションは、サーバーを含む評価の信頼度評価に影響する可能性があります。 詳細については、こちらを参照してください。

次のステップ

Azure Migrate を使用して 物理サーバーの評価 を試す: 検出と評価。