Azure へのオンプレミス VMware VM のディザスター リカバリーを設定する - モダン化

重要

Microsoft は、アクセス許可が最も少ないロールを使用することを推奨しています。 これにより、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つ役割であり、既存の役割を使用できないときは緊急シナリオに限定する必要があります。

この記事では、モダン化された VMware/物理マシン保護エクスペリエンスを使用して、Azure へのディザスター リカバリーのために、オンプレミスの VMware VM のレプリケーションを有効にする方法について説明します。

Azure Site Recovery クラシック リリースでディザスター リカバリーを設定する方法の詳細については、チュートリアルを参照してください。

これは、オンプレミスの VMware VM のディザスター リカバリーを Azure に設定する方法について説明するシリーズの 2 番目のチュートリアルです。 前のチュートリアルでは、Azure へのディザスター リカバリーのためにオンプレミスの Azure Site Recovery レプリケーション アプライアンスを準備しました。

このチュートリアルでは、以下の内容を学習します。

• ソース レプリケーションの設定を行う。
• レプリケーション ターゲット設定を設定する。
• VMware VM のレプリケーションを有効にする。

はじめに

VMware から Azure へのレプリケーションには、次の手順が含まれます。

• Azure portal にサインインします。
• Azure アカウントを準備する
• VM の検出を自動化するために、vCenter Server または vSphere ESXi ホストのアカウントを準備します。
• Recovery Services コンテナーを作成する
• インフラストラクチャの準備 - Azure Site Recovery レプリケーション アプライアンスをデプロイする
• レプリケーションを有効にする

Azure アカウントの準備

Azure Site Recovery レプリケーション アプライアンスを作成して登録するには、以下を備えた Azure アカウントが必要です。

• Azure サブスクリプションに対する共同作成者または所有者のアクセス許可。
• Microsoft Entra アプリを登録できるアクセス許可。
• エージェントレスの VMware 移行時に使用される Key Vault を作成するための、Azure サブスクリプションに対する所有者または共同作成者と、ユーザー アクセス管理者のアクセス許可。

無料の Azure アカウントを作成したばかりであれば、自分のサブスクリプションの所有者になっています。 サブスクリプションの所有者でない場合は、必要なアクセス許可について所有者と連携します。

次の手順を使用して、必要なアクセス許可を割り当てます。

1. Azure portal で「サブスクリプション」を検索し、 [サービス] の下の [サブスクリプション] 検索ボックスを選択して、必要な Azure サブスクリプションを検索します。

2. [サブスクリプション] ページで、Recovery Services コンテナーを作成したサブスクリプションを選択します。

3. サブスクリプションで、[アクセス制御 (IAM)]>[アクセスの確認] の順に選択します。 [アクセスの確認] で、適切なユーザー アカウントを検索します。

4. [ロールの割り当てを追加する] で、 [追加] を選択し、共同作成者または所有者のロールを選択してから、アカウントを選択します。 次に、 [保存] を選択します。

5. Azure Site Recovery レプリケーション アプライアンスを登録するには、お使いの Azure アカウントに Microsoft Entra アプリを登録するためのアクセス許可が必要です。

必要なアクセス許可を割り当てるには、次の手順に従います。

1. Azure portal で、[Microsoft Entra ID]>[ユーザー]>[ユーザー設定] に移動します。 [ユーザー設定] で、Microsoft Entra ユーザーがアプリケーションを登録できることを確認します (既定で [はい] に設定されています)。

2. [アプリの登録] 設定が [いいえ] に設定されている場合は、テナントまたはグローバル管理者に、必要なアクセス許可を割り当てるよう依頼してください。 テナント/グローバル管理者は、アプリケーションの登録のロールをアカウントに割り当てて、Microsoft Entra アプリの登録を許可する必要があります。

コンテナーに必要なアクセス許可を付与する

また、キャッシュ ストレージ アカウントにマネージド ID のアクセス許可を付与する必要もあります。 ストレージ アカウントは事前に作成し、レプリケーションを有効にするために同じアカウントを使用できます。

ストレージ アカウントの種類に応じて、次のロールのアクセス許可が存在することを確認します。

• Resource Manager ベースのストレージ アカウント (Standard タイプ):
  • Contributor
  • ストレージ BLOB データ共同作成者
• Resource Manager ベースのストレージ アカウント (Premium タイプ):
  • Contributor
  • ストレージ BLOB データ所有者

自動検出用のアカウントを準備する

Site Recovery では、次のことを実行するために、VMware サーバーへのアクセスが必要です。

• VM を自動的に検出します。 少なくとも読み取り専用のアカウントが必要です。
• レプリケーション、フェールオーバー、およびフェールバックを調整します。 ディスクを作成および削除する、VM の電源をオンにするなどの操作を実行できるアカウントが必要です。

次の手順に従って、このアカウントを作成します。

1. 専用のアカウントを使用するには、vCenter レベルでロールを作成します。 ロールに Azure_Site_Recovery のような名前を付けます。
2. 次の表にまとめられているアクセス許可をそのロールに割り当てます。
3. vCenter サーバーまたは vSphere ホストにユーザーを作成します。 ユーザーにロールを割り当てます。

VMware アカウントのアクセス許可

タスク	ロールとアクセス許可	詳細
VM 検出	読み取り専用以上の権限を持つユーザー データセンター オブジェクト -> 子オブジェクトへの伝達、ロール=読み取り専用	ユーザーはデータセンター レベルで割り当てられ、データセンター内のすべてのオブジェクトに対してアクセス権を持ちます。 アクセスを制限するには、子オブジェクトへの伝達特権を持つアクセスなしロールを子オブジェクト (vSphere ホスト、データストア、VM、ネットワーク) に割り当てます。
完全なレプリケーション、フェールオーバー、フェールバック	必要なアクセス許可を備えたロール (Azure_Site_Recovery) を作成し、このロールを VMware のユーザーまたはグループに割り当てる データ センター オブジェクト -> 子オブジェクトに伝播する、ロール=Azure_Site_Recovery データストア -> スペースを割り当てる、データストアを閲覧する、低レベルのファイル操作、ファイルを削除する、仮想マシン ファイルを更新する ネットワーク -> ネットワークを割り当てる リソース -> VM をリソース プールに割り当てる、電源が切れている VM を移行する、電源が入っている VM を移行する タスク -> タスクを作成する、タスクを更新する 仮想マシン -> 構成 仮想マシン -> 操作 -> 質問に回答する、デバイスの接続、CD メディアを設定する、フロッピー メディアを設定する、電源を切る、電源を入れる、VMware ツールをインストールする 仮想マシン -> インベントリ -> 作成する、登録する、登録を解除する 仮想マシン -> プロビジョニング -> 仮想マシンのダウンロードを許可する、仮想マシン ファイルのアップオードを許可する 仮想マシン -> スナップショット -> スナップショットを削除する、スナップショットを作成する、スナップショットを元に戻す	ユーザーはデータセンター レベルで割り当てられ、データセンター内のすべてのオブジェクトに対してアクセス権を持ちます。 アクセスを制限するには、子オブジェクトへの伝達特権を持つアクセスなしロールを子オブジェクト (vSphere ホスト、データストア、VM、ネットワーク) に割り当てます。

インフラストラクチャの準備 - Azure Site Recovery レプリケーション アプライアンスの設定

モビリティ エージェントの通信を開くために、オンプレミス環境で Azure Site Recovery レプリケーション アプライアンスを設定する必要があります。

VMware VM のレプリケーションを有効にする

Azure Site Recovery レプリケーション アプライアンスをコンテナーに追加した後で、マシンの保護を開始できます。

ストレージとネットワーク全体の前提条件を満たしていることを確認してください。

レプリケーションを有効にするには、次の手順を実行します。

1. [作業の開始] セクションで、 [Site Recovery] を選択します。 [VMware] セクションで、[Enable Replication (Modernized)](レプリケーションの有効化 (モダン化)) をクリックします。

2. Azure Site Recovery で保護するマシンの種類を選択します。

   Note

   モダン化では、サポートは仮想マシンに限定されています。

   

3. マシンの種類を選択した後、このコンテナーに登録されている Azure Site Recovery レプリケーション アプライアンスに追加された vCenter サーバーを選択します。

4. ソース マシンの名前を検索して保護します。 選択したマシンを確認するには、[選択したリソース] を選択します。

5. VM の一覧を選択した後、 [次へ] を選択してソースの設定に進みます。 ここでは、レプリケーション アプライアンスと VM の資格情報を選択します。 これらの資格情報を使用して、Azure Site Recovery レプリケーション アプライアンスによってマシン上のモビリティ エージェントをプッシュし、Azure Site Recovery の有効化を完了します。 正確な資格情報が選択されていることを確認してください。

   Note

   Linux OS の場合は、ルート資格情報を指定してください。 Windows OS の場合は、管理特権を持つユーザー アカウントを追加する必要があります。 これらの資格情報は、レプリケーションを有効にする操作中に、Mobility Service をソース マシンにプッシュするために使用されます。

   

6. [次へ] を選択して、ターゲット リージョンのプロパティを指定します。 既定では、コンテナー サブスクリプションとコンテナー リソース グループが選択されています。 任意のサブスクリプションとリソース グループを選択できます。 ソース マシンは、今後フェールオーバーするときに、このサブスクリプションとリソース グループにデプロイされます。

   

7. 次に、フェールオーバー時に使用するため、既存の Azure ネットワークを選択するか、新しいターゲット ネットワークを作成できます。 [新規作成] を選択すると、仮想ネットワークの作成コンテキスト ブレードにリダイレクトされ、アドレス空間とサブネットの詳細を指定するように求められます。 このネットワークは、前の手順で選択したターゲット サブスクリプションとターゲット リソース グループに作成されます。

8. 次に、テスト フェールオーバー ネットワークの詳細を指定します。

   Note

   テスト フェールオーバー ネットワークがフェールオーバー ネットワークと異なっていることを確認してください。 これは、実際の障害が発生した場合に、フェールオーバー ネットワークをすぐに使用できるようにするためです。

9. ストレージを選択します。

   • キャッシュ ストレージ アカウント: 次に、Azure Site Recovery がステージング目的で使用するキャッシュ ストレージ アカウントを選択します。ここでは、マネージド ディスクに変更を書き込む前に、ログのキャッシュと格納が行われます。

     既定では、コンテナー内の最初のレプリケーションの有効化操作のために、Azure Site Recovery が新しい LRS v1 タイプのストレージ アカウントを作成します。 次の操作では、同じキャッシュ ストレージ アカウントが再利用されます。

   • マネージド ディスク

     既定では、Standard HDD マネージド ディスクが Azure で作成されます。 [カスタマイズ] を選択すると、マネージド ディスクの種類をカスタマイズできます。 ビジネス要件に基づいてディスクの種類を選択します。 ソース マシン ディスクの IOPS に基づいて、適切なディスクの種類が選択されていることを確認します。 価格情報については、こちらのマネージド ディスクの価格に関するドキュメントを参照してください。

     Note

     レプリケーションを有効にする前に Mobility Service を手動でインストールしている場合は、ディスク レベルでマネージド ディスクの種類を変更できます。 それ以外の場合、既定では、マシン レベルで 1 つのマネージド ディスクの種類を選択できます

10. 必要に応じて、新しいレプリケーション ポリシーを作成します。

    既定のレプリケーション ポリシーは、3 日間の復旧ポイントリテンション期間とアプリ整合性復旧ポイントが既定で無効になっているコンテナーに作成されます。 RPO の要件に従って、新しいレプリケーション ポリシーを作成するか、既存のレプリケーション ポリシーを変更できます。

    • [新規作成] を選択します。

    • 名前を入力します。

    • [リテンション期間 (日数) ] の値を入力します。 入力できる値の範囲は 1 ～ 15 です。

    • 必要に応じてアプリ整合性の頻度を有効にし、ビジネス要件に従ってアプリ整合性スナップショットの頻度 (時間単位) の値を入力します。

    • [OK] を選択してポリシーを保存します。

    ポリシーが作成され、選択したソース マシンの保護に使用できるようになります。

11. レプリケーション ポリシーを選択した後、 [次へ] を選択します。 ソースとターゲットのプロパティを確認します。 [レプリケーションを有効にする] を選択して、操作を開始します。

    

    選択したマシンのレプリケーションを有効にするジョブが作成されます。 進行状況を追跡するには、Recovery Services コンテナーの Site Recovery ジョブに移動します。

アプライアンスの選択

• コンテナーに登録されている任意の Azure Site Recovery レプリケーション アプライアンスを選択して、マシンに保護することができます。
• 同じレプリケーション アプライアンスは、重大でない状態にある場合は、前方と後方の保護操作のどちらにも使用できます。 レプリケーションのパフォーマンスには影響しません。

次のステップ

レプリケーションを有効にした後は、ディザスター リカバリー訓練を実施して、すべてが予想どおりに動作することを確認します。