次の方法で共有

Private Link を使用してサーバーを Azure に移行する (エージェントベース)

  • [アーティクル]

この記事では、Azure Private Link を使用したプライベート ネットワーク上で、Azure Migrate を使用してサーバーの移行を行う方法について説明します。 Private Link を使用すると、Azure ExpressRoute のプライベート ピアリングまたはサイト間 (S2S) VPN 接続で移行およびモダン化ツールを使用して、Azure Migrate にプライベートかつ安全に接続することができます。

この記事では、Azure プライベート エンドポイントを使用して VMware VMHyper-V VM物理サーバーAWS で実行されている VMGCP で実行されている VM、または別の仮想化プロバイダー上で実行されている VM を移行するためのエージェントベースのレプリケーションの概念実証のデプロイ パスを示しています。

移行に備えてレプリケーション アプライアンスを設定する

次の図は、移行およびモダン化ツールを使用した、プライベート エンドポイントによるエージェントベースのレプリケーション ワークフローを示しています。

このツールは、レプリケーション アプライアンスを使用して、サーバーを Azure にレプリケートします。 移行に必要なリソースを作成するには、次の手順に従います。

  1. [マシンの検出]>[マシンは仮想化されていますか?] で、 [非仮想化/その他] を選択します。
  2. [ターゲット リージョン] で、マシンの移行先にする Azure リージョンを選択、確認します。
  3. [リソースの作成] を選択して、必要な Azure リソースを作成します。 リソースの作成中にページを閉じないでください。
    • この手順により、バックグラウンドで Recovery Services コンテナーが作成され、そのコンテナーのマネージド ID が有効になります。 Recovery Services コンテナーは、サーバーのレプリケーション情報を含むエンティティであり、レプリケーション操作をトリガーするために使用されます。
    • Azure Migrate プロジェクトにプライベート エンドポイント接続がある場合は、Recovery Services コンテナーにプライベート エンドポイントが作成されます。 この手順により、プライベート エンドポイントには、完全修飾ドメイン名 (FQDN) が 5 つ (Recovery Services コンテナーにリンクされたマイクロサービスごとに 1 つ) 追加されます。
    • このパターンでは、次の 5 つのドメイン名がフォーマットされています: {Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com
    • 既定では、Azure Migrate によって自動的にプライベート DNS ゾーンが作成され、Recovery Services コンテナーのマイクロサービス用に DNS A レコードが追加されます。 その後、このプライベート DNS は、プライベート エンドポイントの仮想ネットワークにリンクされます。

Note

レプリケーション アプライアンスを登録する前に、レプリケーション アプライアンスをホストするマシンからコンテナーのプライベート リンク FQDN に到達できることを確認します。 オンプレミスのレプリケーション アプライアンスがプライベート IP アドレスへのプライベート リンク FQDN を解決するために、追加の DNS 構成が必要になる場合があります。 ネットワーク接続の確認方法の詳細を参照してください。

接続を確認したら、アプライアンスのセットアップおよびキー ファイルをダウンロードし、インストール プロセスを実行して、Azure Migrate にそのアプライアンスを登録します。 レプリケーション アプライアンスを設定する方法の詳細を参照してください。 レプリケーション アプライアンスの設定後、これらの手順に従って、移行対象のマシンにモビリティ サービスをインストールします。

サーバーをレプリケートする

今度は、レプリケーションと移行の対象となるマシンを選択します。

Note

最大 10 台のマシンをまとめてレプリケートできます。 レプリケートするマシンがそれより多い場合は、10 台をひとまとまりとして同時にレプリケートしてください。

  1. Azure Migrate プロジェクト >[サーバー、データベース、Web アプリ] > [移行およびモダン化] > [移行ツール] で、[レプリケート] を選択します。

  2. [レプリケーション]>[基本]>[マシンは仮想化されていますか?] で、[非仮想化/その他] を選択します。

  3. [オンプレミスのアプライアンス] で、自分が設定した Azure Migrate アプライアンスの名前を選択します。

  4. [プロセス サーバー] で、レプリケーション アプライアンスの名前を選択します。

  5. [ゲストの資格情報] で、前のレプリケーション インストーラーのセットアップ中に作成したダミー アカウントを選択し、Mobility Service を手動でインストールします (プッシュ インストールはサポートされていません)。 その後、 [次へ: 仮想マシン] を選択します。

  6. [仮想マシン][評価から移行設定をインポートしますか?] は、既定の設定である [いいえ。移行設定を手動で指定します] のままにしておきます。

  7. 移行したい各 VM を選択します。 次に、[次へ: ターゲット設定] を選択します。

  8. [ターゲット設定] で、サブスクリプション、移行先のターゲット リージョン、移行後に Azure VM が配置されるリソース グループを選択します。

  9. [仮想ネットワーク] で、移行した Azure VM の Azure VNet またはサブネットを選択します。

  10. [キャッシュ ストレージ アカウント] のドロップダウン リストを使用して、プライベート リンク経由でレプリケートするためのストレージ アカウントを選択します。

  11. 次に、ストレージ アカウント用のプライベート エンドポイントを作成し、Azure Migrate に必要なストレージ アカウントにアクセスするためのアクセス許可を Recovery Services コンテナーのマネージド ID に付与する必要があります。 これは、先に進む前に必須です。

    • 続行する前に、レプリケーション アプライアンスをホストしているサーバーがプライベート エンドポイント経由でストレージ アカウントにネットワーク接続していることを確認してください。 ネットワーク接続の確認方法を参照してください。

      ヒント

      DNS レコードを手動で更新するには、ストレージ アカウントのプライベートリンク FQDN とプライベート IP アドレスを使用して Azure Migrate アプライアンス上の DNS ホストファイルを編集します。

  12. [可用性オプション] で、以下を選択します。

    • 可用性ゾーン。移行されたマシンをリージョン内の特定の可用性ゾーンにピン留めします。 このオプションを使用して、複数ノードのアプリケーション層を形成するサーバーを可用性ゾーン間で分散させます。 このオプションを選択した場合は、[コンピューティング] タブで選択した各マシンに使用する可用性ゾーンを指定する必要があります。このオプションは、移行用に選択したターゲット リージョンで Availability Zones がサポートされている場合にのみ使用できます。

    • 可用性セット。移行されたマシンを可用性セットに配置します。 このオプションを使用するには、選択されたターゲット リソース グループに 1 つ以上の可用性セットが必要です。

    • [インフラストラクチャ冗長は必要ありません] オプション (移行されたマシンに対してこれらの可用性構成がいずれも不要な場合)。

  13. [Disk encryption type](ディスク暗号化の種類) で、以下を選択します。

    • プラットフォーム マネージド キーを使用した保存時の暗号化
    • カスタマー マネージド キーを使用した保存時の暗号化
    • プラットフォーム マネージド キーとカスタマー マネージド キーを使用した二重暗号化

    注意

    CMK を使用して VM をレプリケートするには、ターゲット リソース グループにディスク暗号化セットを作成する必要があります。 ディスク暗号化セット オブジェクトによって、SSE に使用する CMK を含む Key Vault にマネージド ディスクがマップされます。

  14. [Azure ハイブリッド特典] で、

    • Azure ハイブリッド特典を適用しない場合は [いいえ] を選択し、[次へ] を選択します。
    • アクティブなソフトウェア アシュアランスまたは Windows Server のサブスクリプションの対象となっている Windows Server マシンがあり、移行中のマシンにその特典を適用する場合は、 [はい] を選択します。 [次へ] を選択します。

  15. [コンピューティング] で、VM の名前、サイズ、OS ディスクの種類、および可用性構成 (前の手順で選択した場合) を確認します。 VM は Azure の要件に準拠している必要があります。

    • VM サイズ: 評価の推奨事項を使用している場合は、[VM サイズ] ドロップダウンに推奨サイズが表示されます。 それ以外の場合は、Azure Migrate によって、Azure サブスクリプション内の最も近いサイズが選択されます。 または、 [Azure VM サイズ] でサイズを手動で選択します。

    • OS ディスク: VM の OS (ブート) ディスクを指定します。 OS ディスクは、オペレーティング システムのブートローダーとインストーラーがあるディスクです。

    • 可用性ゾーン:使用する可用性ゾーンを指定します。

    • 可用性セット:使用する可用性セットを指定します。

  16. [ディスク] で、VM ディスクを Azure にレプリケートするかどうかを指定し、Azure でのディスクの種類 (Standard SSD か HDD、または Premium マネージド ディスク) を選択します。 [次へ] を選択します。

    • レプリケーションからディスクを除外できます。
    • ディスクを除外すると、移行後に Azure VM 上に存在しなくなります。

  17. [タグ] で、移行した仮想マシン、ディスク、NIC にタグを追加します。

  18. [レプリケーションの確認と開始] で設定を確認し、 [レプリケート] を選択して、サーバーの初期レプリケーションを開始します。

    Note

    レプリケーションが開始される前であれば、 [管理]>[マシンのレプリケート] でレプリケーションの設定をいつでも更新できます。 レプリケーションの開始後は、設定を変更することができません。

    次に、手順に従い移行を実行します。

Recovery Services コンテナーにアクセス許可を付与する

キャッシュ ストレージ アカウントまたはレプリケーション ストレージ アカウントに対する認証済みアクセスのために、Recovery Services コンテナーにアクセス許可を付与する必要があります。

Azure Migrate によって作成された Recovery Services コンテナーを特定し、必要なアクセス許可を付与するには、次の手順を実行します。

Recovery Services コンテナーとマネージド ID のオブジェクト ID を特定する

Recovery Services コンテナーの詳細は、[移行およびモダン化] ページで確認できます。

  1. Azure Migrate ハブに移動し、[移行およびモダン化] タイルの [概要] を選択します。
  2. 左側のウィンドウで、[プロパティ] を選択します。 Recovery Services コンテナーの名前とマネージド ID をメモします。 コンテナーの [接続の種類][プライベート エンドポイント] に、[レプリケーションの種類][その他] になります。 コンテナーにアクセス権を提供する際に、この情報が必要になります。

ストレージ アカウントにアクセスするためのアクセス許可

コンテナーのマネージド ID には、レプリケーションに必要なストレージ アカウントに対する以下のロールのアクセス許可を付与する必要があります。 この場合は、ストレージ アカウントを事前に作成しておく必要があります。

Azure Resource Manager のロールのアクセス許可は、ストレージ アカウントの種類によって異なります。

ストレージ アカウントの種類 ロールのアクセス許可
標準の型 Contributor
ストレージ BLOB データ共同作成者
プレミアムの型 Contributor
ストレージ BLOB データ所有者
  1. レプリケーション用に選択したレプリケーション ストレージ アカウントまたはキャッシュ ストレージ アカウントに移動します。 左側のウィンドウで [アクセス制御 (IAM)] を選択します。
  2. [+ 追加] を選択し、[ロールの割り当ての追加] を選択します。
  3. [ロールの割り当ての追加] ページの [ロール] ボックスで、前述のアクセス許可リストから適切なロールを選択します。 先ほどメモしたコンテナーの名前を入力し、[保存] を選択します。
  4. これらのアクセス許可に加え、Microsoft の信頼済みサービスへのアクセスも許可する必要があります。 ネットワーク アクセスが特定のネットワークに制限されている場合は、[ネットワーク] タブの [例外] セクションで、[信頼された Microsoft サービスによるこのストレージ アカウントに対するアクセスを許可します] を選択します。

ストレージ アカウントのプライベート エンドポイントを作成する

プライベート ピアリングによる ExpressRoute を使用してレプリケートを行うには、キャッシュ ストレージ アカウントまたはレプリケーション ストレージ アカウントのプライベート エンドポイントを作成します (対象サブリソース: BLOB)。

Note

プライベート エンドポイントは、汎用 v2 のストレージ アカウントでのみ作成できます。 価格情報については、「Azure ページ BLOB の価格」および「Azure Private Link の価格」を参照してください。

ストレージ アカウント用のプライベート エンドポイントは、Azure Migrate プロジェクトのプライベート エンドポイントと同じ仮想ネットワーク内、またはそのネットワークに接続されている別の仮想ネットワーク内に作成します。

[はい] を選択して、プライベート DNS ゾーンと統合します。 プライベート DNS ゾーンは、プライベート リンク上で、仮想ネットワークからストレージ アカウントに接続をルーティングする際に利用されます。 [はい] を選択すると、DNS ゾーンが仮想ネットワークに自動的にリンクされます。 また、作成される新しい IP と FQDN を解決するために DNS レコードも追加されます。 プライベート DNS ゾーンの詳細を参照してください。

プライベート エンドポイントを作成したユーザーがストレージ アカウント所有者でもある場合、プライベート エンドポイントの作成は自動承認されます。 そうでない場合、ストレージ アカウントの所有者がプライベート エンドポイントの使用を承認する必要があります。 要求されたプライベート エンドポイント接続を承認または拒否するには、ストレージ アカウント ページの [ネットワーク] にある [プライベート エンドポイント接続] に移動します。

続行する前に、プライベート エンドポイントの接続状態を確認します。

プライベート エンドポイントの作成後、[レプリケート]>[ターゲット設定]>[キャッシュ ストレージ アカウント] のドロップダウン リストを使用して、プライベート リンクでレプリケートするためのストレージ アカウントを選択します。

オンプレミスのレプリケーション アプライアンスのプライベート エンドポイントに、ストレージ アカウントへのネットワーク接続があることを確認します。 プライベート リンク接続を検証するには、レプリケーション アプライアンスのホストとなるオンプレミス サーバーからストレージ アカウント エンドポイント (プライベート リンク リソースの FQDN) の DNS 解決を実行し、その FQDN がプライベート IP アドレスに解決されることを確認します。 ネットワーク接続の確認方法を参照してください。

次のステップ