Freigeben über

Migrieren von Servern zu Azure mithilfe von Private Link (agentbasiert)

  • Artikel

In diesem Artikel wird beschrieben, wie Sie Azure Migrate verwenden, um Server über ein privates Netzwerk mithilfe von Azure Private Link zu migrieren. Sie können das Tool Migration und Modernisierung verwenden, um eine private und sichere Verbindung mit Azure Migrate über ein privates Azure ExpressRoute-Peering oder eine S2S-VPN-Verbindung (Site-to-Site) mithilfe von Private Link herzustellen.

Dieser Artikel zeigt einen Proof of Concept-Bereitstellungspfad für Agent-basierte Replikationen zum Migrieren Ihrer VMware-VMs, Hyper-V-VMs, physischen Server, VMs bei AWS, VMs bei GCP oder VMs, die bei einem anderen Virtualisierungsanbieter ausgeführt werden, mithilfe privater Azure-Endpunkte.

Einrichten einer Replikationsappliance für die Migration

Das folgende Diagramm veranschaulicht den Workflow bei der Agent-basierten Replikation mit privaten Endpunkten mithilfe des Migrations- und Modernisierungstools.

Das Tool verwendet eine Replikationsappliance, um Ihre Server in Azure zu replizieren. Führen Sie diese Schritte aus, um die erforderlichen Ressourcen für die Migration zu erstellen.

  1. Klicken Sie unter Computer ermitteln>Sind Ihre Computer virtualisiert? auf Nicht virtualisiert/Andere.
  2. Wählen Sie unter Zielregion die Azure-Region aus, zu der Sie die Computer migrieren möchten, und bestätigen Sie Ihre Auswahl.
  3. Wählen Sie Ressourcen generieren aus, um die erforderlichen Azure-Ressourcen zu erstellen. Schließen Sie die Seite nicht, während die Ressourcen erstellt werden.
    • In diesem Schritt werden ein Recovery Services-Tresor im Hintergrund erstellt und eine verwaltete Identität für den Tresor aktiviert. Ein Recovery Services-Tresor ist eine Entität, die die Replikationsinformationen von Servern enthält und zum Initiieren von Site Recovery-Vorgängen verwendet wird.
    • Wenn das Azure Migrate-Projekt über Konnektivität mit privaten Endpunkten verfügt, wird ein privater Endpunkt für den Recovery Services-Tresor erstellt. In diesem Schritt werden dem privaten Endpunkt fünf vollqualifizierte Domänennamen (FQDNs), einer für jeden Microservice, hinzugefügt, die mit dem Recovery Services-Tresor verknüpft sind.
    • Die fünf Domänennamen werden in diesem Muster formatiert: {Tresor-ID}-asr-pod01-{Typ}-.{Zielregionscode}.privatelink.siterecovery.windowsazure.com
    • Standardmäßig erstellt Azure Migrate automatisch eine private DNS-Zone und fügt DNS-A-Datensätze für die Microservices des Recovery Services-Tresors hinzu. Das private DNS wird dann mit dem virtuellen Netzwerk des privaten Endpunkts verknüpft.

Hinweis

Stellen Sie vor dem Registrieren der Replikationsappliance sicher, dass die FQDNs für private Links des Tresors über den Computer erreichbar sind, auf dem die Replikationsappliance gehostet wird. Möglicherweise ist eine zusätzliche DNS-Konfiguration erforderlich, damit die lokale Replikationsappliance die FQDNs für private Links in ihre privaten IP-Adressen auflösen kann. Informieren Sie sich, wie Sie die Netzwerkkonnektivität überprüfen.

Nachdem Sie die Konnektivität überprüft haben, laden Sie die Setup- und Schlüsseldatei der Appliance herunter, führen Sie den Installationsvorgang aus, und registrieren Sie die Appliance bei Azure Migrate. Informieren Sie sich über das Einrichten der Replikationsappliance. Nachdem Sie die Replikationsappliance eingerichtet haben, befolgen Sie diese Anweisungen, um den Mobilitätsdienst auf den Computern zu installieren, die Sie migrieren möchten.

Hinweis

Wenn für „Projekt migrieren“ private Endpunkte aktiviert sind, müssen Sie MySQL manuell auf dem Konfigurationsserver installieren. Führen Sie die hier beschriebenen Schritte aus, um die manuelle Installation durchzuführen.

Replizieren von Servern

Wählen Sie nun Computer für die Replikation und Migration aus.

Hinweis

Sie können bis zu zehn Computer gleichzeitig replizieren. Müssen Sie mehr Computer replizieren, führen Sie die Replikation in Batches mit jeweils zehn Computern durch.

  1. Wählen Sie im Azure Migrate-Projekt >Server, Datenbanken und Web-Apps>Migration und Modernisierung>Migrationstools die Option Replizieren aus.

  2. Wählen Sie unter Replizieren>Grundlagen>Sind Ihre Computer virtualisiert? die Option Nicht virtualisiert/Andere aus.

  3. Wählen Sie unter Lokale Appliance den Namen der Azure Migrate-Appliance aus, die Sie eingerichtet haben.

  4. Wählen Sie unter Prozessserver den Namen der Replikationsappliance aus.

  5. Wählen Sie unter Gastanmeldeinformationen das Dummykonto aus, das Sie zuvor während des Replikationsinstallationsprogramm-Setups erstellt haben, um den Mobilitätsdienst manuell zu installieren. (Die Pushinstallation wird nicht unterstützt.) Klicken Sie anschließend auf Weiter: Virtuelle Computer.

  6. Übernehmen Sie im Bereich Virtuelle Computer unter Migrationseinstellungen aus einer Bewertung importieren? die Standardeinstellung Nein, ich gebe die Migrationseinstellungen manuell an.

  7. Wählen Sie alle VMs aus, die Sie migrieren möchten. Wählen Sie dann Weiter: Zieleinstellungen aus.

  8. Wählen Sie unter Zieleinstellungen das Abonnement, die Zielregion für die Migration und die Ressourcengruppe aus, in der sich die Azure-VMs nach der Migration befinden.

  9. Wählen Sie unter Virtuelles Netzwerk das Azure-VNet/-Subnetz für die migrierten Azure-VMs aus.

  10. Verwenden Sie die Dropdownliste unter Cachespeicherkonto, um ein Speicherkonto auszuwählen, das über eine private Verbindung repliziert werden soll.

  11. Als Nächstes Erstellen Sie einen privaten Endpunkt für das Speicherkonto und gewähren der verwalteten Identität des Recovery Services-Tresors Berechtigungen, damit sie auf das für Azure Migrate erforderliche Speicherkonto zugreifen kann. Dies ist unbedingt erforderlich, bevor Sie fortfahren.

    • Stellen Sie vor dem Fortfahren sicher, dass der Server, auf dem die Replikationsappliance gehostet wird, über die privaten Endpunkte über Netzwerkkonnektivität mit den Speicherkonten verfügt. Erfahren Sie mehr über das Überprüfen der Netzwerkkonnektivität.

      Tipp

      Sie können die DNS-Einträge manuell aktualisieren, indem Sie die DNS-Datei „hosts“ auf der Azure Migrate-Appliance mit den FQDNs der privaten Verbindungen und den privaten IP-Adressen des Speicherkontos bearbeiten.

  12. Wählen Sie unter Verfügbarkeitsoptionen Folgendes aus:

    • Verfügbarkeitszone, um den migrierten Computer einer bestimmten Verfügbarkeitszone in der Region anzuheften. Verteilen Sie mit dieser Option Server, die eine Anwendungsebene mit mehreren Knoten bilden, über Verfügbarkeitszonen. Wenn Sie diese Option auswählen, müssen Sie die Verfügbarkeitszone angeben, die für jeden auf der Registerkarte „Compute“ ausgewählten Computer verwendet werden soll. Diese Option ist nur verfügbar, wenn die für die Migration ausgewählte Zielregion Verfügbarkeitszonen unterstützt.

    • Verfügbarkeitsgruppe, um den migrierten Computer in einer Verfügbarkeitsgruppe zu platzieren. Um diese Option verwenden zu können, muss die ausgewählte Zielressourcengruppe über mindestens eine Verfügbarkeitsgruppe verfügen.

    • Die Infrastrukturredundanzoption ist nicht erforderlich, wenn Sie keine dieser Verfügbarkeitskonfigurationen für die migrierten Computer benötigen.

  13. Wählen Sie unter Datenträgerverschlüsselungstyp Folgendes aus:

    • Verschlüsselung ruhender Daten mit plattformseitig verwaltetem Schlüssel
    • Verschlüsselung ruhender Daten mit kundenseitig verwaltetem Schlüssel
    • Mehrfachverschlüsselung mit plattformseitig und kundenseitig verwalteten Schlüsseln

    Hinweis

    Um VMs mit CMK zu replizieren, müssen Sie unter der Zielressourcengruppe einen Datenträgerverschlüsselungssatz erstellen. Ein Datenträgerverschlüsselungssatz-Objekt ordnet verwaltete Datenträger einer Key Vault-Instanz zu, die den für SSE zu verwendenden CMK enthält.

  14. Wählen Sie unter Azure-Hybridvorteil

    • Wählen Sie Nein aus, wenn Sie den Azure-Hybridvorteil nicht anwenden möchten, und wählen Sie dann Weiter aus.
    • Wählen Sie Ja aus, wenn Sie über Windows Server-Computer verfügen, die durch aktive Software Assurance- oder Windows Server-Abonnements abgedeckt sind, und den Vorteil auf die zu migrierenden Computer anwenden möchten. Wählen Sie Weiteraus.

  15. Überprüfen Sie in Compute Name, Größe, Betriebssystem- Datenträger und Verfügbarkeitskonfiguration der VM (falls im vorherigen Schritt ausgewählt). Die VMs müssen die Azure-Anforderungen erfüllen.

    • VM-Größe: Bei Verwendung von Bewertungsempfehlungen zeigt die Dropdownliste für die VM-Größe die empfohlene Größe. Andernfalls wählt Azure Migrate eine Größe basierend auf der größten Übereinstimmung im Azure-Abonnement aus. Alternativ können Sie unter Azure-VM-Größe manuell eine Größe auswählen.

    • Betriebssystemdatenträger: Geben Sie den Betriebssystemdatenträger (Startdatenträger) für die VM an. Der Betriebssystemdatenträger enthält den Bootloader und das Installationsprogramm des Betriebssystems.

    • Verfügbarkeitszone: Geben Sie die zu verwendende Verfügbarkeitszone an.

    • Verfügbarkeitsgruppe: Geben Sie die zu verwendende Verfügbarkeitsgruppe an.

  16. Geben Sie unter Datenträger an, ob die VM-Datenträger in Azure repliziert werden sollen, und wählen Sie den Datenträgertyp (SSD Standard/HDD Standard oder Managed Disks Premium) in Azure aus. Wählen Sie Weiteraus.

    • Sie können Datenträger von der Replikation ausschließen.
    • Wenn Sie Datenträger ausschließen, sind diese nach der Migration nicht auf der Azure-VM vorhanden.

  17. Unter Tags fügen Sie Ihren migrierten VMs, Datenträgern und NICs Tags hinzu.

  18. Überprüfen Sie unter Replikation prüfen und starten die Einstellungen, und klicken Sie dann auf Replizieren, um die erste Replikation für die Server zu starten.

    Hinweis

    Sie können die Replikationseinstellungen vor Beginn der Replikation jederzeit unter Verwalten>Aktuell replizierte Computer aktualisieren. Die Einstellungen können nach dem Beginn der Replikation nicht mehr geändert werden.

    Befolgen Sie anschließend die Anweisungen zum Migrieren.

Gewähren von Zugriffsberechtigungen für den Recovery Services-Tresor

Sie müssen dem Recovery Services-Tresor die Berechtigungen für den authentifizierten Zugriff auf das Cache-/Replikationsspeicherkonto gewähren.

Ermitteln Sie anhand der folgenden Schritte den Recovery Services-Tresor, der von Azure Migrate erstellt wurde, und gewähren Sie die erforderlichen Berechtigungen.

Ermitteln des Recovery Services-Tresors und der Objekt-ID der verwalteten Identität

Die Details zum Recovery Services-Tresor finden Sie auf der Seite Migration und Modernisierung.

  1. Navigieren Sie zum Azure Migrate-Hub, und wählen Sie auf der Kachel Migration und Modernisierung die Option Übersicht aus.
  2. Wählen Sie im linken Bereich Eigenschaften aus. Notieren Sie sich den Namen des Recovery Services-Tresors und die ID der verwalteten Identität. Für den Tresor sind Privater Endpunkt als Konnektivitätstyp und Andere als Replikationstyp festgelegt. Sie benötigen diese Informationen, wenn Sie Zugriff auf den Tresor gewähren.

Berechtigungen für den Zugriff auf das Speicherkonto

Der verwalteten Identität des Tresors müssen die folgenden Rollenberechtigungen für das Speicherkonto gewährt werden, das für die Replikation erforderlich ist. In diesem Fall müssen Sie das Speicherkonto im Voraus erstellen.

Die Rollenberechtigungen für Azure Resource Manager variieren je nach Typ des Speicherkontos.

Speicherkontotyp Rollenberechtigungen
Standardtyp Mitwirkender
Mitwirkender an Speicherblobdaten
Premium-Typ Mitwirkender
Besitzer von Speicherblobdaten
  1. Wechseln Sie zu dem Replikations-/Cachespeicherkonto, das für die Replikation ausgewählt wurde. Wählen Sie im linken Bereich Zugriffssteuerung (IAM) aus.
  2. Wählen Sie + Hinzufügen und anschließend Rollenzuweisung hinzufügen aus.
  3. Wählen Sie auf der Seite Rollenzuweisung hinzufügen im Feld Rolle die passende Rolle aus der oben genannten Berechtigungsliste aus. Geben Sie den zuvor notierten Tresornamen ein, und wählen Sie Speichern aus.
  4. Zusätzlich zu diesen Berechtigungen müssen Sie auch den Zugriff auf vertrauenswürdige Microsoft-Dienste zulassen. Wenn Ihr Netzwerkzugriff auf ausgewählte Netzwerke beschränkt ist, wählen Sie auf der Registerkarte Netzwerk im Abschnitt Ausnahmen die Option Vertrauenswürdigen Microsoft-Diensten den Zugriff auf dieses Speicherkonto erlauben aus.

Erstellen eines privaten Endpunkts für das Speicherkonto

Erstellen Sie einen privaten Endpunkt für die Cache-/Replikationsspeicherkonten, um die Replikation mithilfe von ExpressRoute mit privatem Peering zu ermöglichen (Zielunterressource: Blob).

Hinweis

Sie können private Endpunkte nur für ein Speicherkonto des Typs „Universell v2“ erstellen. Preisinformationen finden Sie unter Azure-Seitenblobs: Preise und Azure Private Link – Preise.

Erstellen Sie den privaten Endpunkt für das Speicherkonto im selben virtuellen Netzwerk wie der private Endpunkt des Azure Migrate-Projekts oder in einem anderen, mit diesem Netzwerk verbundenen virtuellen Netzwerk.

Wählen Sie Ja aus, und führen Sie die Integration mit einer privaten DNS-Zone aus. Die private DNS-Zone hilft beim Weiterleiten der Verbindungen aus dem virtuellen Netzwerk an das Speicherkonto über eine private Verbindung. Wenn Sie Ja auswählen, wird die DNS-Zone automatisch mit dem virtuellen Netzwerk verknüpft. Außerdem werden die DNS-Einträge für die Auflösung neuer IP-Adressen und FQDNs hinzugefügt, die erstellt werden. Informieren Sie sich weiter über private DNS-Zonen.

Wenn der Benutzer, der den privaten Endpunkt erstellt hat, auch der Besitzer des Speicherkontos ist, wird das Erstellen des privaten Endpunkts automatisch genehmigt. Andernfalls muss der Besitzer des Speicherkontos die Verwendung des privaten Endpunkts genehmigen. Navigieren Sie auf der Seite des Speicherkontos unter Netzwerk zu Verbindungen mit privatem Endpunkt, um eine angeforderte Verbindung mit einem privaten Endpunkt zu genehmigen oder abzulehnen.

Überprüfen Sie vor dem Fortfahren den Verbindungsstatus des privaten Endpunkts.

Nachdem Sie den privaten Endpunkt erstellt haben, wählen Sie über die Dropdownliste Replizieren>Zieleinstellungen>Cachespeicherkonto das Speicherkonto für die Replikation über eine private Verbindung aus.

Stellen Sie sicher, dass die lokale Replikationsappliance über Netzwerkkonnektivität mit dem Speicherkonto an dessen privaten Endpunkt verfügt. Führen Sie zum Überprüfen der privaten Verbindung von dem lokalen Server aus, auf dem die Replikationsappliance gehostet wird, eine DNS-Auflösung für die Endpunkte des Speicherkontos (Ressourcen-FQDNs der privaten Verbindung) durch, und vergewissern Sie sich, dass eine Auflösung in eine private IP-Adresse erfolgt. Erfahren Sie mehr über das Überprüfen der Netzwerkkonnektivität.

Nächste Schritte