你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何使用 Azure Migrate,通过 Azure 专用链接在专用网络上迁移服务器。 可以使用迁移和现代化工具,通过专用链接,经由 Azure ExpressRoute 专用对等互连或站点到站点 (S2S) VPN 连接以私密且安全的方式连接到 Azure Migrate。
本文介绍一个基于代理的复制的概念证明部署路径,使用 Azure 专用终结点迁移 VMware VM。
设置复制设备以进行迁移
下图介绍了使用迁移和现代化工具,通过专用终结点进行的基于代理的复制工作流。
该工具使用复制设备将服务器复制到 Azure。 请按照以下步骤创建迁移所需的资源。
- 在“发现计算机”“计算机是否已虚拟化?”中,选择“未虚拟化/其他”。
- 在“目标区域”中,选择并确认要向其迁移计算机的 Azure 区域。
- 选择“创建资源”,创建所需的 Azure 资源。 在创建资源期间,请勿关闭此页。
- 此步骤会在后台创建一个恢复服务保管库,并为该保管库启用一个托管标识。 恢复服务保管库是一个实体,它包含服务器的复制信息并用于触发复制操作。
- 如果 Azure Migrate 项目具有专用终结点连接,则会为恢复服务保管库创建专用终结点。 此步骤会向专用终结点添加五个完全限定的域名 (FQDN),每个域名对应一种链接到恢复服务保管库的微服务。
- 五个域名的格式如下:{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com
- 默认情况下,Azure Migrate 自动创建一个专用 DNS 区域,并为恢复服务保管库微服务添加 DNS A 记录。 这个专用 DNS 随后链接到专用终结点虚拟网络。
注释
在注册复制设备之前,请确保可从托管复制设备的计算机访问保管库的专用链接 FQDN。 本地复制设备可能需要其他 DNS 配置,才能将专用链接 FQDN 解析为其专用 IP 地址。 详细了解如何验证网络连接性。
验证连接性后,下载设备安装和密钥文件,运行安装过程,并将设备注册到 Azure Migrate。 详细了解如何设置复制设备。 设置复制设备后,按照这些说明在要迁移到的计算机上安装移动服务。
复制服务器
现在,选择要复制和迁移的计算机。
注释
最多可以同时复制 10 台计算机。 如果需要复制更多,则可以每批 10 台同时复制它们。
在 Azure Migrate 项目>“服务器、数据库和 Web 应用”“迁移和现代化”>“迁移工具”中,选择“复制”。
在“复制”“基础”>“计算机是否已虚拟化?中,选择“未虚拟化/其他”。
在“本地设备”中,选择已设置的 Azure Migrate 设备的名称。
在“进程服务器”中,选择复制设备的名称。
在“来宾凭据”中,选择以前在设置复制安装程序的过程中创建的虚拟帐户,以手动安装出行服务(不支持推送安装)。 然后选择“下一步: 虚拟机”。
在“虚拟机”中的“从评估中导入迁移设置?”内,保留默认设置“否,我将手动指定迁移设置”。
选择要迁移的每个 VM。 然后选择“下一步: 目标设置”。
在“目标设置”中,选择要迁移到的订阅、目标区域,以及迁移之后 Azure VM 所在的资源组。
在“虚拟网络”中,为迁移的 Azure VM 选择 Azure VNet/子网。
在“缓存存储帐户”中,使用下拉列表选择要通过专用链接复制的存储帐户。
接下来,为存储帐户创建一个私有终结点并向恢复服务保管库托管标识授予权限以访问 Azure Migrate 所需的存储帐户。 在你继续之前,这是强制性的。
在继续之前,请确保托管复制设备的服务器已通过专用终结点与存储帐户建立网络连接。 了解如何验证网络连接。
小窍门
可以通过使用存储帐户的专用链接 FQDN 和专用 IP 地址编辑 Azure Migrate 设备上的 DNS 主机文件来手动更新 DNS 记录。
在“可用性选项”中,选择:
可用性区域,将迁移的计算机固定到区域中的特定可用性区域。 使用此选项可跨可用性区域分配形成多节点应用程序层的服务器。 如果选择此选项,则需要在“计算”选项卡中指定用于每个选定计算机的可用性区域。仅当为迁移选择的目标区域支持可用性区域时,此选项才可用。
可用性集,将迁移的计算机放入可用性集。 若要使用此选项,所选的目标资源组必须具有一个或多个可用性集。
如果不需要为迁移的计算机使用其中任何可用性配置,则选择“无需基础结构冗余”选项。
在“磁盘加密类型”中,选择以下类型:
- 使用平台管理的密钥进行静态加密
- 使用客户管理的密钥进行静态加密
- 通过平台管理的密钥和客户管理的密钥进行双重加密
注释
要使用 CMK 复制 VM,需要在目标资源组下创建磁盘加密集。 磁盘加密集对象将托管磁盘映射到包含 CMK 的密钥保管库,以用于 SSE。
在“Azure 混合权益”中:
- 如果你不想应用 Azure 混合权益,请选择“否”,然后选择“下一步”。
- 如果你的 Windows Server 计算机享有有效软件保障或 Windows Server 订阅的权益,并且你想要将此权益应用到所要迁移的计算机,请选择“是”。 然后选择下一步。
在“计算”中,查看 VM 名称、大小、OS 磁盘类型和可用性配置(如果在上一步中选定)。 VM 必须符合 Azure 要求。
VM 大小:如果你正在使用评估建议,则 VM 大小下拉列表会显示建议大小。 否则,Azure Migrate 会根据 Azure 订阅中最接近的匹配项选择大小。 或者,在“Azure VM 大小”中选择手动大小。
OS 磁盘:为 VM 指定 OS(启动)磁盘。 OS 磁盘是包含操作系统引导加载程序和安装程序的磁盘。
可用性区域:指定要使用的可用性区域。
可用性集:指定要使用的可用性集。
在“磁盘”中,指定是否要将 VM 磁盘复制到 Azure,并选择 Azure 中的磁盘类型(标准 SSD/HDD 或高级托管磁盘)。 然后选择下一步。
- 可以从复制中排除磁盘。
- 如果你排除了磁盘,则在迁移后它们将不会出现在 Azure VM 中。
在“标记”中,向迁移的虚拟机、磁盘和 NIC 添加标记。
在“检查并开始复制”中检查设置,然后选择“复制”启动服务器的初始复制。
注释
在复制开始之前,随时可以在“管理”>“复制计算机”中更新复制设置。 开始复制后无法更改设置。
接下来,按照执行迁移的说明进行操作。
向恢复服务保管库授予访问权限
必须向恢复服务保管库授予相应权限,才能对缓存/复制存储帐户进行经过身份验证的访问。
若要识别 Azure Migrate 创建的恢复服务保管库,并授予所需权限,请执行以下步骤。
识别恢复服务保管库和托管标识对象 ID
可在“迁移和现代化”页上找到恢复服务保管库的详细信息。
- 转到“Azure Migrate”中心,在“迁移和现代化”磁贴上选择“概述”。
- 在左窗格中选择“属性”。 记下恢复服务保管库名称和托管标识 ID。 保管库的“连接类型”为“专用终结点”,“复制类型”为“其他” 。 提供对保管库的访问权限时,需要此信息。
访问存储帐户的权限
必须向保管库的托管标识授予复制所需的存储帐户的以下角色权限。 在这种情况下,必须提前创建存储帐户。
Azure 资源管理器的角色权限根据存储帐户的类型而有所不同。
| 存储帐户类型 | 角色权限 |
|---|---|
| 标准类型 |
参与者 存储 blob 数据参与者 |
| 高级类型 |
参与者 存储 blob 数据所有者 |
- 转到选择要进行复制的复制/缓存存储帐户。 在左窗格中,选择“访问控制(IAM)”。
- 选择“+ 添加”,然后选择“添加角色分配” 。
- 在“添加角色分配”页的“角色”框中,从前面所述的权限列表中选择相应的角色 。 输入之前记下的保管库的名称,然后选择“保存”。
- 除了这些权限之外,你还必须允许 Microsoft 受信任服务的访问。 如果网络访问限制为选中的网络,则在“网络”选项卡的“例外”部分中选择“允许受信任的 Microsoft 服务访问此存储帐户” 。
创建存储帐户的专用终结点
若要使用结合专用对等互连的 ExpressRoute 进行复制,请为缓存/复制存储帐户(目标子资源:blob)创建一个专用终结点。
注释
只能在常规用途 v2 存储帐户上创建专用终结点。 有关定价信息,请参阅 Azure 页 Blob 定价和 Azure 专用链接定价。
在与 Azure Migrate 项目专用终结点相同的虚拟网络或与此网络相连接的其他虚拟网络中创建存储帐户的专用终结点。
选择“是”,然后与专用 DNS 区域集成。 专用 DNS 区域有助于通过专用链接将虚拟网络的连接路由到存储帐户。 选择“是”会自动将该 DNS 区域链接到虚拟网络。 这还会添加 DNS 记录,用于解析创建的新 IP 和 FQDN。 详细了解专用 DNS 区域。
如果创建专用终结点的用户也是存储帐户所有者,则会自动批准创建专用终结点。 否则,存储帐户的所有者必须批准专用终结点才能使用。 要批准或拒绝请求的专用终结点连接,请在存储帐户页的“网络”下转到“专用终结点连接” 。
在继续操作之前,查看专用终结点连接状态的状态。
创建专用终结点后,使用“复制”“目标设置”>“缓存存储帐户”中的下拉列表,选择要通过专用链接进行复制的存储帐户 。
请确保本地复制设备与其专用终结点上的存储帐户有网络连接。 要验证专用链接的连接,请从托管复制设备的本地服务器执行存储帐户终结点(专用链接资源 FQDN)的 DNS 解析,并确保其解析为专用 IP 地址。 了解如何验证网络连接。