共用方式為

使用 Private Link 將伺服器移至 Azure(以代理程式為基礎 )

  • 發行項

本文說明如何使用 Azure Migrate 搭配 Azure Private Link,透過私人網路移轉伺服器。 您可以使用移轉和現代化工具搭配 Private Link,透過 Azure ExpressRoute 私人對等互連或站對站 (S2S) VPN 連線,私下安全地連線至 Azure Migrate。

本文說明代理程式型複寫的概念證明部署路徑,以使用 Azure 私人端點移轉您的 VMware VMHyper-V VM實體伺服器在 AWS 上執行的 VM在 GCP 上執行的 VM,或在其他虛擬化提供者上執行的 VM。

設定複寫設備進行移轉

下圖說明使用移轉和現代化工具搭配私人端點的代理程式型複寫工作流程。

此工具會使用複寫設備將您的伺服器複寫至 Azure。 請遵循下列步驟以建立移轉所需的資源。

  1. 在 [探索機器]>[機器是否已虛擬化?] 中,選取 [未虛擬化/其他]
  2. 在 [目標區域] 中,選取並確認機器移轉的目標 Azure 區域。
  3. 選取 [產生資源] 以建立必要的 Azure 資源。 在建立資源期間,請勿關閉頁面。
    • 此步驟會在背景建立復原服務保存庫,並啟用保存庫的受控識別。 復原服務保存庫是一個實體,其中包含伺服器的複寫資訊,可用來觸發複寫操作。
    • 如果 Azure Migrate 專案具有私人端點連線能力,則會為復原服務保存庫建立私人端點。 此步驟會將五個完整功能變數名稱 (FQDN) 新增至私人端點,各自對應連結至復原服務保存庫的每個微服務。
    • 這五個網域名稱會以下列模式格式化:{Vault-ID}-asr-pod01-{type}-.{target-geo-code}.privatelink.siterecovery.windowsazure.com
    • 根據預設,Azure Migrate 會自動建立私人 DNS 區域,並新增復原服務保存庫微服務的 DNS A 記錄。 接著,私人 DNS 會連結至私人端點虛擬網路。

注意

註冊複寫設備之前,請確定可從裝載複寫設備的機器連線至保存庫的私人連結 FQDN。 內部部署複寫設備可能需要額外的 DNS 設定,才能將私人連結 FQDN 解析為其私人 IP 位址。 深入了解如何確認網路連線

確認連線之後,請下載設備設定和金鑰檔案、執行安裝程式,並將設備註冊至 Azure Migrate。 了解如何設定複寫設備。 設定複寫設備之後,請遵循下列指示,在您要移轉的機器上安裝行動服務

複寫伺服器

現在,請選取複寫和移轉使用的機器。

注意

您最多可以一起複寫 10 部機器。 如果您需要複寫更多機器,請以 10 個一批的方式同時進行複寫。

  1. 在 Azure Migrate 專案 >[伺服器、資料庫和 Web 應用程式]>[移轉和現代化]>[移轉工具] 中,選取 [複寫]

  2. 在 [複寫]>[基本]>[您的電腦虛擬化了嗎?] 中,選取 [未虛擬化/其他]

  3. 在 [內部部署設備] 中,選取您設定的 Azure Migrate 設備的名稱。

  4. 在 [處理序伺服器] 中,選取複寫設備的名稱。

  5. 來賓認證中,請選取先前在複寫安裝程式安裝期間建立的虛擬帳戶以手動安裝行動服務 (不支援推送安裝)。 接著選取 [下一步:虛擬機器]

  6. 在 [虛擬機器] 的 [從評量匯入移轉設定?] 中,保留預設設定 [否,我將手動指定移轉設定]

  7. 選取您要移轉的每個 VM。 然後,選取 [下一步: 目標設定]

  8. 在 [目標設定] 中,選取訂用帳戶、要移轉的目標區域,以及 Azure VM 在移轉後所在的資源群組。

  9. 在 [虛擬網路] 中,選取已移轉 Azure VM 的 Azure VNet/子網路。

  10. 在 [快取儲存體帳戶] 中,使用下拉式清單選取要透過私人連結複寫的儲存體帳戶。

  11. 接下來,請建立儲存體帳戶的私人端點,並將授權給復原服務保存庫的受控識別,以存取 Azure Migrate 所需的儲存體帳戶。 這是在繼續進行之前必須執行的事項。

    • 在繼續進行之前,請確定裝載複寫設備的伺服器可透過私人端點連線到儲存體帳戶。 了解如何驗證網路連線能力

      提示

      若要手動更新 DNS 記錄,您可以在 Azure Migrate 設備上編輯 DNS 主機檔案,並使用儲存體帳戶的私人連結 FQDN 和私人 IP 位址。

  12. 可用性選項中,選取:

    • 可用性區域,將已遷移的機器釘選到該區域中特定的可用性區域。 使用此選項可將形成多節點應用程式層的伺服器散發到可用性區域。 如果選取此選項,則必須在計算索引標籤中指定要用於每部所選電腦的可用性區域。只有選取要移轉的目標區域支援可用性區域時,才可以使用此選項。

    • 可用性設定組,可將遷移的電腦放在可用性設定組中。 選取的目標資源群組必須有一或多個可用性設定組,才能使用此選項。

    • 如果您不需要為已遷移的電腦提供任何一種可用性設定,則不需要任何基礎結構備援選項。

  13. 磁碟加密類型中,選取:

    • 使用平台代控金鑰加密待用資料
    • 使用客戶自控金鑰加密待用資料
    • 使用平台管理和客戶管理的金鑰進行雙重加密

    注意

    若要使用 CMK 複寫 VM,您必須在目標資源群組下建立磁碟加密集。 磁碟加密設定物件會將受控磁碟對應至包含要用於 SSE 之 CMK 的 Key Vault。

  14. 在 [Azure Hybrid Benefit] 中:

    • 不套用 Azure Hybrid Benefit 時,請選取 [否] 並選取 [下一步]
    • 如果您有 Windows Server 機器涵蓋於有效的軟體保證或 Windows Server 訂用帳戶下,且您想要將權益套用至要移轉的機器,請選取 [是]。 然後選取 [下一步]。

  15. 請檢閱計算中的 VM 名稱、大小、OS 磁碟類型和可用性設定 (如果有在上一個步驟中選取)。 VM 必須符合 Azure 需求

    • VM 大小:如果您使用評估建議,[VM 大小] 下拉式清單會顯示建議的大小。 此外,Azure Migrate 會根據 Azure 訂閱選擇最符合的大小。 或者,您可以在 [Azure VM 大小] 中手動選擇大小。

    • OS 磁碟:指定 VM 的 OS (開機) 磁碟。 OS 磁碟是具有作業系統開機載入器和安裝程式的磁碟。

    • 可用性區域:指定要使用的可用性區域。

    • 可用性設定組:指定要使用的可用性設定組。

  16. 在 [磁碟] 中,指定是否應將 VM 磁碟複寫至 Azure,並選取 Azure 中的磁碟類型 (標準 SSD/HDD 或進階受控磁碟)。 然後選取 [下一步]。

    • 您可以排除磁碟複寫。
    • 若排除磁碟,移轉後磁碟即不會出現在 Azure VM。

  17. 在 [標籤] 中,將標籤新增至已移轉的虛擬機器、磁碟和 NIC。

  18. [檢閱並啟動複寫] 中檢閱設定,然後按一下 [複寫] 開始進行伺服器的初始複寫。

    注意

    您可以在複寫開始之前隨時更新複寫設定 (經由 [管理]>[複寫機器])。 在複寫啟動後,就無法變更設定。

    接下來,請遵循指示執行移轉

授與復原服務保存庫的存取權限

您必須授權給復原服務保存庫,才能驗證快取/複寫儲存體帳戶的存取權。

若要識別 Azure Migrate 所建立的復原服務保存庫並授與必要權限,請遵循下列步驟。

識別復原服務保存庫和受控識別物件識別碼

您可以在 [移轉和現代化] 頁面上,找到復原服務保存庫的詳細資料。

  1. 移至 [Azure Migrate] 中樞,然後在 [移轉和現代化] 圖格上,選取 [概觀]
  2. 選取左窗格中的 [屬性]。 記下復原服務保存庫名稱和受控識別識別碼。 保存庫將使用 [私人端點] 作為 [連線類型],且 [複寫類型] 為 [其他]。 在提供保存庫的存取權時,您會需要此資訊。

存取儲存體帳戶的權限

針對保存庫的受控識別,您必須在複寫所需的儲存體帳戶上授與下列角色權限。 在此情況下,您必須事先建立儲存體帳戶。

Azure Resource Manager 的角色權限會根據儲存體帳戶的類型而有所不同。

儲存體帳戶類型 角色權限
標準類型 參與者
儲存體 Blob 資料參與者
進階類型 參與者
儲存體 Blob 資料擁有者
  1. 移至為複寫選取的複寫/快取儲存體帳戶。 從左側窗格中,選取 [存取控制 (IAM)]
  2. 選取 [+ 新增],然後選取 [新增角色指派]
  3. 在 [角色] 方塊中的 [新增角色指派] 頁面上,從先前提及的權限清單中選取適當的角色。 輸入先前記下的保存庫名稱,然後選取 [儲存]
  4. 除了這些權限,您還必須允許 Microsoft 信任的服務存取。 如果您的網路存取受限於指定的網路,請在 [例外狀況] 區段中的 [網路] 索引標籤上,選取 [允許信任的 Microsoft 服務存取此儲存體帳戶]

針對儲存體帳戶建立私人端點

若要使用 ExpressRoute 搭配私人對等互連進行複寫,請為快取/複寫儲存體帳戶 (目標子資源:blob) 建立私人端點

注意

您只能在一般用途 v2 儲存體帳戶上建立私人端點。 如需定價資訊,請參閱 Azure 分頁 Blob 定價Azure Private Link 定價

在與 Azure Migrate 專案私人端點相同的虛擬網路,或連線至此網路的另一個虛擬網路中,為儲存體帳戶建立私人端點。

選取 [是],並與私人 DNS 區域整合。 私人 DNS 區域可協助透過私人連結,將連線從虛擬網路路由傳送至儲存體帳戶。 選取 [是] 會自動將 DNS 區域連結至虛擬網路。 此動作也會新增 DNS 記錄,以解析所建立的新 IP 和 FQDN。 深入了解私人 DNS 區域

如果建立私人端點的使用者也是儲存體帳戶的擁有者,則系統會自動核准私人端點建立。 否則,儲存體帳戶的擁有者必須核准私人端點的使用。 若要核准或拒絕要求的私人端點連線,請在 [網路] 下的 [儲存體帳戶] 頁面上,移至 [私人端點連線]

繼續之前,請先檢閱私人端點的連線狀態。

建立私人端點之後,請使用 [複寫]>[目標設定]>[快取儲存體帳戶] 中的下拉式清單,選取要透過私人連結複寫的儲存體帳戶。

確保內部部署複寫設備可在私人端點與儲存體帳戶建立網路連線。 若要驗證私人連結連線,請從裝載複寫設備的內部部署伺服器執行儲存體帳戶端點 (私人連結資源 FQDN) 的 DNS 解析,並確保可解析為私人 IP 位址。 了解如何驗證網路連線能力

下一步