产品更新
我们建议将Amazon应用程序迁移服务
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Azure 上安装服务器迁移连接器
使用以下信息在 Azure 上安装服务器迁移连接器,以便您能使用。Amazon SMS将虚拟机从 Azure 迁移到 Amazon EC2。
此信息只适用于由 Azure 托管的虚拟机。有关在其他环境中安装连接器的信息,请参阅 安装服务器迁移连接器。
迁移方案的注意事项
-
单个服务器迁移连接器设备只能迁移一个订阅和一个 Azure 区域中的 VM。
-
在部署 Server Migation Connector 设备后,您无法更改其订阅或区域,除非您在新订阅和区域中部署另一个连接器。
-
Amazon SMS支持部署任意数量的服务器迁移连接器设备 VM 以支持 parallel 地从多个 Azure 订阅和区域迁移。
-
服务器迁移连接器不支持 Azure 政府区域。
Azure 连接器的要求
-
Azure 连接器的建议 VM 大小为 F4s - 4 个 vCPU 和 8 GB RAM。确保在部署连接器的区域中有足够的 Azure CPU 配额。
-
可用于部署连接器的标准存储账户(不能是 Premium)。
-
可在其中部署连接器的虚拟网络。
-
端口 443 (HTTPS) 上的入站访问(建议从连接器的虚拟网络中访问或向公众开放(不推荐)),用于连接器注册和查看连接器控制面板。
-
用于访问 Amazon 服务、访问 Azure 服务、执行连接器操作系统更新等操作的出站 Internet 访问。
第 1 步:下载连接器安装脚本
AmazonSMS 提供了可下载 PowerShell 在 Azure 环境中部署连接器的脚本。该脚本由 Amazon 加密签名。完成此过程以运行 PowerShell 脚本并在 Azure 环境中自动安装连接器。该脚本需要 PowerShell 5.1 或更高版本。
Amazon 建议使用脚本化安装,但也可以手动安装连接器。有关更多信息,请参阅 (替代方案)手动部署服务器迁移连接器。
下载脚本和哈希文件
-
下载 PowerShell 来自以下 URL 的脚本和哈希文件:
-
在下载后,将文件传输到您计划运行该脚本的计算机上。
第 2 步:验证脚本文件的完整性和加密签名
在运行脚本之前,我们建议您验证其完整性和签名,从而确保在传输到您的计算机时没有对其进行更改。这些过程假定您已下载脚本和哈希文件,在打算运行脚本的计算机的桌面上安装了脚本和哈希文件,并且您以管理员身份进行登录。您可能需要修改过程来匹配您的设置。
使用加密哈希验证脚本完整性 (PowerShell)
-
使用下载的一个或两个哈希文件验证脚本文件的完整性。
-
要使用 MD5 哈希进行验证,请在 PowerShell Windows:
PS C:\Users\Administrator>
Get-FileHash aws-sms-azure-setup.ps1 -Algorithm MD5这应该返回类似于以下内容的信息:
Algorithm Hash --------- ---- MD5 1AABAC6D068EEF6EXAMPLEDF50A05CC8
-
要使用 SHA256 哈希进行验证,请在 PowerShell Windows:
PS C:\Users\Administrator>
Get-FileHash aws-sms-azure-setup.ps1 -Algorithm SHA256这应该返回类似于以下内容的信息:
Algorithm Hash --------- ---- SHA256 6B86B273FF34FCE19D6B804EFF5A3F574EXAMPLE22F1D49C01E52DDB7875B4B
-
-
将返回的哈希值与下载的文件
aws-sms-azure-setup.ps1.md5
和aws-sms-azure-setup.ps1.sha256
中提供的值进行比较。
接下来,使用 PowerShell 或 Windows 用户界面检查脚本文件是否包含来自的有效签名。Amazon.
检查脚本文件是否包含有效的加密签名 (PowerShell)
-
在 PowerShell Windows 中,运行以下命令:
PS C:\Users\Administrator>
Get-AuthenticodeSignature aws-sms-azure-setup.ps1 | Select *正确签名的脚本文件应返回类似以下内容的信息:
SignerCertificate : [Subject] CN="Amazon Web Services, Inc." ... [Issuer] CN=DigiCert EV Code Signing CA (SHA2), OU=www.digicert.com, O=DigiCert Inc, C=US ... TimeStamperCertificate : Status : Valid StatusMessage : Signature verified. Path : C:\Users\Administrator\Desktop\aws-sms-azure-setup.ps1 ...
检查脚本文件是否包含有效的加密签名 (Windows GUI)
-
在 Windows 资源管理器中,在脚本文件上打开上下文 (右键单击) 菜单,然后依次选择 Properties、Digital Signatures、Amazon Web Services 和 Details。
-
确认显示的信息包含 “This digital signature is OK” 和 “Amazon Web Services, Inc.” 是签名者。
第 3 步:运行脚本
从任何计算机运行此脚本 PowerShell 5.1 或更高版本安装。
如果您的 PowerShell 设置执行策略以验证签名的脚本,系统将会在您运行连接器配置脚本时提示您输入授权。验证该脚本是由 “Amazon Web Services, Inc.” 发布的。然后选择 “R” 来运行一次。您可以使用 Get-ExecutionPolicy 查看此设置并使用 Set-ExecutionPolicy 修改它。
PS C:\Users\Administrator>
.\aws-sms-azure-setup.ps1 -StorageAccountNamename
-ExistingVNetNamename
-SubscriptionIdid
-SubnetNamename
StorageAccountName
-
要部署连接器的存储账户的名称。
ExistingVNetName
-
要在其中部署连接器的虚拟网络的名称。
SubscriptionId
-
(可选)要使用的订阅的 ID。如果您未指定此参数,则使用账户的默认订阅。
SubnetName
-
(可选)虚拟网络中的子网的名称。如果您未指定此参数,则使用名为“default”的子网。
在脚本提示输入 Azure 登录名时,请使用具有部署该连接器的订阅的管理员权限的登录名。
在脚本完成时,将在您的账户中部署连接器。该脚本会输出连接器的私有 IP 地址以及连接器虚拟机的系统已分配身份的对象 ID。您需要这两项才能完成下一个步骤。
第 4 步:配置连接器
从在其中部署连接器的同一虚拟网络上的另一个虚拟机中,使用以下 URL 浏览到连接器的 Web 界面,其中包括您在上一步中获得的连接器的私有 IP 地址:
https://
ip-address-of-connector
配置 连接器
-
在连接器登录页面上,选择 Get started now (立即开始)。
-
阅读许可协议,选中复选框,然后选择 Next。
-
为连接器创建密码。密码必须符合显示的标准。选择 Next(下一步)。
-
在存储库的网络信息页面上,您可以找到有关执行网络相关任务(例如,设置)的说明。Amazon连接器的代理。选择 Next(下一步)。
-
在 Log Uploads (日志上传) 页面上,选择 Upload logs automatically (自动上传日志),然后选择 Next (下一步)。
-
在 Server Migration Service 页面上,提供以下信息:
-
适用于Amazon区域从列表中选择您的区域。
-
适用于Amazon凭证输入您在中创建的 IAM 凭证为服务器迁移连接器配置 IAM 用户. 选择 Next(下一步)。
-
-
在 Azure Account Verification (Azure 账户验证) 页面上,验证您的 Azure 订阅 ID 和位置是否正确。此连接器可根据此订阅和位置迁移虚拟机。提供连接器虚拟机的系统分配身份的对象 ID,它是作为部署脚本的输出提供的。
-
如果已成功设置连机器,则将显示 Congratulations (恭喜) 页面。要查看连机器的运行状况,请选择 Go to connector dashboard (转到连接器控制面板)。
-
要验证是否列出了您注册的连接器,请打开连接器Systems Manager 控制台上的页面。
(替代方案)手动部署服务器迁移连接器
完成此过程可在 Azure 环境中手动安装连接器。
手动安装连接器
-
以具有部署该连接器的订阅的管理员权限的用户身份登录到 Azure 门户。
-
确保您已准备好提供存储账户、其资源组、虚拟网络和 Azure 区域,如中所述。Azure 连接器的要求.
-
从下表中的 URL 下载连接器 VHD 和关联的文件。
-
使用与第 2 步:验证脚本文件的完整性和加密签名中描述的过程类似的过程,验证连接器 VHD 的加密完整性。
-
将连接器 VHD 和关联的文件上传到您的存储账户中。
-
使用以下参数值创建新的托管磁盘:
-
Resource Group:选择您的资源组
-
名称:任何名称-例如,sms-connector-disk-westus
-
区域:选择您的 Azure 区域
-
可用区:None(无)
-
源类型:Storage Blob(选择您在步骤 3.c 中上传的 VHD blob。)
-
OSType:Linux
-
Size:60GB/标准 HDD
-
-
选择 Create VM (创建虚拟机),以从创建的托管磁盘中创建新的虚拟机。分配以下参数值。
在 Basics (基本信息) 选项卡下面:
-
Resource Group:输入您的资源组
-
虚拟机名称:任何名称,例如 sms-connector-vm-westus
-
区域:选择您的 Azure 区域
-
Size:F4s
-
公共入站端口:None(无)
在 Disks (磁盘) 选项卡下面:
-
OS 磁盘类型:标准 HDD
在 Networking (联网) 选项卡下:
-
虚拟网络:输入您的虚拟网络名称
-
子网:保留为默认值,或选择特定子网
-
公有 IP:将保留为新
-
NIC 网络安全组:基本
-
公共入站端口:None(无)
-
接受其余字段的默认值。
在 Management (管理) 选项卡下:
-
启动诊断:On
-
OS 访客诊断:Off
-
诊断存储帐户:存储账户
-
System Add Managed Identity:On
-
启用自动关闭:Off
-
-
审核和创建虚拟机。这将是您的连接器虚拟机。
-
下载两个角色文档:
-
(重要提示)自定义角色文档。
编辑
SMSConnectorRole.json
。将name
字段更改为sms-connector-role-
subscription_id
。然后更改AssignableScopes
字段以与您的订阅 ID 匹配。编辑
SMSConnectorRoleSA.json
。将name
字段更改为sms-connector-role-
storage_account
。例如,如果您的账户为 testStorage,则名称字段必须为sms-connector-role-testStorage
。然后,更改AssignableScopes
字段以与您的订阅、资源组和存储账户值匹配。 -
创建角色定义。目前,无法从 Azure 门户中创建角色定义。您必须使用 Az CLI 或 Az PowerShell 对于这一步。利用 New-AzRoleDefinition
(Az PowerShell) 或 az role definition create (Az CLI) 命令,使用上一步中创建的 JSON 文件在您的订阅中创建这些自定义角色。 -
将角色分配给连接器虚拟机。在 Azure 门户中,选择 Storage Account (存储账户)、Access Control (访问控制)、Roles (角色)、Add (添加) 和 Add Role Assignment (添加角色分配)。选择角色
sms-connector-role
,分配对虚拟机 的访问权限,并从列表中选择连接器虚拟机的系统已分配身份。对角色sms-connector-role-
重复此过程。storage_account
-
重新启动连接器虚拟机以激活角色分配。
-
继续浏览 第 4 步:配置连接器。