Share via

Azure Storage Mover エージェントを登録する方法

  • [アーティクル]

Azure Storage Mover サービスは、サービスで構成した移行ジョブを実行するエージェントを利用します。 エージェントは、ソース ストレージに近い仮想化ホスト上で実行される仮想マシンベースのアプライアンスです。

Storage Mover リソースとの信頼関係を作成するには、エージェントを登録する必要があります。 この信頼により、エージェントは移行ジョブを安全に受信し、進行状況を報告できます。 エージェントの登録は、Storage Mover リソースのパブリック エンドポイントまたはプライベート エンドポイントを介して行うことができます。 プライベート エンドポイント (リソースへのプライベート リンクとも呼ばれます) は、Azure 仮想ネットワーク (VNet) にデプロイできます。

オンプレミスの企業ネットワークなど、他のネットワークから Azure VNET に接続できます。 この種類の接続は、Azure Express Route などの VPN 接続を介して行われます。 この方法の詳細については、Azure ExpressRouteAzure Private Link のドキュメントを参照してください。

重要

現在、Storage Mover は、Private Link 経由でエージェントから移行先ストレージ アカウントに移行データをルーティングするように構成できます。 ハイブリッド コンピューティングのハートビートと証明書は、仮想ネットワーク (VNet) 内のプライベート Azure Arc サービス エンドポイントにルーティングすることもできます。 一部の Storage Mover トラフィックは Private Link 経由でルーティングできないため、Storage Mover リソースのパブリック エンドポイント経由でルーティングされます。 このデータには、制御メッセージ、進行状況テレメトリ、コピー ログが含まれます。

この記事では、以前にデプロイされた Storage Mover エージェント仮想マシン (VM) を正常に登録する方法について説明します。

前提条件

Azure Storage Mover エージェントを登録する前に、次の 2 つの前提条件を満たす必要があります。

  1. Azure Storage Mover リソースをデプロイする必要があります。
    "ストレージ ムーバー リソースの作成" に関する記事の手順に従って、選択した Azure サブスクリプションとリージョンにこのリソースをデプロイします。

  2. Azure Storage Mover エージェント VM をデプロイする必要があります。
    Azure Storage Mover エージェント VM のデプロイに関する記事の手順に従って、エージェント VM を作成し、インターネットに接続します。

登録の概要

Image showing three components. The storage mover agent, deployed on-premises and close to the source data to be migrated. The storage mover cloud resource, deployed in an Azure resource group. And finally, a line connecting the two.

エージェント登録プロセスでは、エージェントと Storage Mover クラウド リソースの間に信頼が作成されます。 この信頼により、エージェントをリモートで管理し、実行する移行ジョブをそれに割り当てることができます。

登録は常にエージェントから開始されます。 セキュリティを確保するために、Storage Mover サービスにアクセスして信頼を確立できるのはエージェントだけです。 登録手順では、Azure 資格情報と以前にデプロイしたストレージ ムーバー リソースに対するアクセス許可が利用されます。 ストレージ ムーバー クラウド リソースまたはエージェント VM をまだデプロイしていない場合は、前提条件のセクションを参照してください。

手順 1: エージェント VM に接続する

エージェント VM はアプライアンスです。 このマシンで実行できる操作を制限する管理シェルが提供されます。 エージェントに接続すると、シェルによって、直接操作できるオプションが読み込まれ、提供されます。 ただし、エージェント VM は Linux ベースのアプライアンスであり、コピーと貼り付けの機能は、多くの場合、既定のホスト ウィンドウ内では機能しません。

ホスト ウィンドウを使用するのではなく、代わりに SSH 接続を使用することを検討してください。 この方法には、次の利点があります。

  • 任意の管理マシンからエージェント VM のシェルに接続でき、ホストにログインする必要はありません。
  • コピー/ペーストが完全にサポートされています。

エージェントと同じサブネット上のマシンから、ssh コマンドを実行します。

ssh <AgentIpAddress> -l admin

重要

新しくデプロイされた Storage Mover エージェントには、既定のパスワードがあります。
ローカル ユーザー: admin
既定のパスワード: admin

新しくデプロイされたエージェントに初めて接続するとすぐに、既定のパスワードを変更するように求められます。 新しいパスワードを書き留めます。これを回復するプロセスはありません。 パスワードを失うと、管理シェルからロックアウトされます。 クラウド管理では、このローカル管理者パスワードは必要ありません。 エージェントが以前に登録されていた場合は、引き続き移行ジョブに使用できます。 エージェントは使い捨てできます。 これらは実行している現在の移行ジョブが終わると、値がほとんど保持されません。 常に新しいエージェントをデプロイし、代わりにそれを使用して次の移行ジョブを実行できます。

手順 2: ネットワーク接続をテストする

エージェントはインターネットに接続されている必要があります。

管理シェルにログインすると、エージェントの接続状態をテストできます。

1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit

xdmsh> 2

メニュー項目 2) Network configuration (ネットワーク構成) を選択します。

1) Show network configuration
2) Update network configuration
3) Test network connectivity
4) Quit

Choice: 3

メニュー項目 3) Test network connectivity (ネットワーク接続のテスト) を選択します。

重要

ネットワーク接続テストで問題がない場合にのみ、登録手順に進んでください。

手順 3: エージェントを登録する

この手順では、Azure サブスクリプションにデプロイした Storage Mover リソースにエージェントを登録します。 エージェントの管理シェルに接続し、メニュー項目 4) Register (登録) を選択します。

1) System configuration
2) Network configuration
3) Service and job status
4) Register
5) Open restricted shell
6) Collect support bundle
7) Restart agent
8) Exit

xdmsh> 4

次の入力を求められます。

  • サブスクリプション ID

  • リソース グループ名

  • ストレージ ムーバーのリソース名

  • エージェント名: これは、Azure portal で表示されるエージェントの名前です。 このエージェント VM を明確に識別する名前を選択します。 リソースの名前付け規則を参照して、サポートされている名前を選びます。

  • プライベート リンク スコープ: プライベート ネットワークを利用している場合は、プライベート リンク スコープの完全修飾リソース ID を指定します。 Azure Private Link の詳細については、記事「Azure Private Link のドキュメント」を参照してください。

    重要

    Private Link 経由でデータを移行するように Storage Mover を構成した場合は、Private Link スコープの完全修飾リソース ID を指定する必要があります。 たとえば、/subscriptions/[GUID]/resourceGroups/myGroup/providers/Microsoft.HybridCompute/privateLinkScopes/myScope のようにします。

これらの値を指定すると、エージェントによって登録が試みられます。 登録プロセス中に、サブスクリプションと Storage Mover リソースへのアクセス許可を持つ資格情報を使用して Azure にサインインする必要があります。

重要

登録に使用する Azure 資格情報には、指定したリソース グループとストレージ ムーバー リソースに対する所有者アクセス許可が付与されている必要があります。

エージェントでは、認証に、Microsoft Entra ID とデバイス認証フローを利用します。

エージェントには、デバイスの認証 URL (https://microsoft.com/devicelogin) と一意のサインイン コードが表示されます。 インターネットに接続されたマシンで表示された URL に移動し、コードを入力し、認証情報を使用して Azure にサインインします。

エージェントに詳細な進行状況が表示されます。 登録が完了すると、Azure portal でエージェントを確認できます。 これは、エージェントを登録した Storage Mover リソースの [登録済みエージェント] の下に表示されます。

認証と承認

Azure によるシームレスな認証と、さまざまな Azure リソースへの承認を実現するために、エージェントは、次の Azure サービスに登録されます。

  • Azure Storage Mover (Microsoft.StorageMover)
  • Azure Arc (Microsoft.HybridCompute)

Azure Storage Mover サービス

Azure Storage mover サービスへの登録は、Azure サブスクリプションにデプロイしたストレージ ムーバー リソースを通じて表示され、ここから管理することができます。 登録されたエージェントは、Azure Resource Manager (ARM) リソースです。 このリソースは、登録プロセスを通してのみ作成できます。 リソースに関する詳細は、どの Azure Resource Manager クライアントからも問い合わせることができます。 ここでいうクライアントには、Azure portal、Az PowerShell モジュール PowerShell、Az PowerShell モジュール CLI が含まれます。

このリソースは、この Azure Resource Manager (ARM) リソースで表される特定のエージェント VM に移行ジョブを割り当てる必要がある場合に参照することができます。

Azure Arc サービス

エージェントは、Azure Arc サービスにも登録されています。 Arc は、この登録済みエージェントに Microsoft Entra マネージド ID を割り当てて維持するために使用されます。

Azure Storage Mover では、システム割り当てマネージド ID が使用されます。 マネージド ID は、Azure リソースでのみ使用できる、特殊な種類のサービス プリンシパルです。 マネージド ID が削除されると、対応するサービス プリンシパルも自動的に削除されます。

エージェントの登録を解除すると、削除プロセスが自動的に開始されます。 ただし、この ID を削除する方法は他にもあります。 ID を削除すると、登録済みエージェントが正常に機能しなくなるため、エージェントの登録解除が必要になります。 エージェントで Azure ID を取得し、適切に維持させる唯一の方法が、登録プロセスです。

Note

パブリック プレビュー中は、Azure Arc サービスへの登録に副次的な影響があります。 Server-Azure Arc 型の別のリソースも、ストレージ ムーバー リソースと同じリソース グループにデプロイされます。 このリソースを介してエージェントを管理することはできません。

Server-Azure Arc リソースを通じてストレージ ムーバー エージェントの一部を管理できるように見えるかもしれませんが、ほとんどの場合はできません。 エージェントの管理は、ストレージ ムーバー リソースの [登録されているエージェント] ペインまたはローカル管理シェルを通じてのみ行うことをお勧めします。

警告

Storage Mover リソースと同じリソース グループ内の登録済みエージェント用に作成された Azure Arc サーバー リソースを削除しないでください。 このリソースを安全に削除できるのは、このリソースに対応するエージェントの登録を解除したときのみです。

承認

登録されたエージェントからサブスクリプション内のいくつかのサービスやリソースにアクセスするには、認証を受ける必要があります。 この身元を証明するための手段が、マネージド ID です。 その後、Azure のサービスやリソースで、エージェントにアクセス許可が付与されているかを判断することができます。

エージェントと Storage Mover サービスの連携は、自動的に許可されます。 エージェントの登録解除などを行って、マネージド ID を破棄しない限り、この承認を確認したり、影響を与えたりすることはできません。

Just-In-Time 承認

移行ジョブの場合、ターゲット エンドポイントへのアクセスはおそらく、エージェントを承認する必要がある最も重要なリソースです。 認証は、ロールベースのアクセス制御によって行われます。 Azure BLOB コンテナーをターゲットとする場合、登録済みエージェントのマネージド ID は、(ストレージ アカウント全体ではなく) ターゲット コンテナーの組み込みロール Storage Blob Data Contributor に割り当てられます。 同様に、Azure ファイル共有ターゲットにアクセスする場合は、登録済みエージェントのマネージド ID が組み込みロール Storage File Data Privileged Contributor に割り当てられます。

これらの割り当ては、Azure portal の管理者のサインイン コンテキストで行われます。 そのため、管理者は、ターゲット コンテナーのロールベースのアクセス制御 (RBAC) コントロール プレーン ロール "所有者" のメンバーである必要があります。 この割り当ては、移行ジョブを開始するときに Just-In-Time で行われます。 この時点で、移行ジョブを実行するエージェントを選択したことになります。 この開始アクションの一環として、エージェントにはターゲット コンテナーのデータ プレーンに対するアクセス許可が付与されます。 エージェントには、ターゲット コンテナーの削除や機能の構成など、管理プレーン アクションを実行する権限はありません。

警告

移行ジョブを実行するために、特定のエージェントにアクセス許可が Just-In-Time で付与されます。 ただし、ターゲットへのアクセスに対するエージェントの承認は自動的には削除されません。 エージェントのマネージド ID を特定のターゲットから手動で削除するか、エージェントの登録を解除してサービス プリンシパルを破棄する必要があります。 このアクションにより、すべてのターゲット ストレージに対する承認と、Storage Mover および Azure Arc サービスと通信するエージェントの機能も削除されます。

次のステップ

データの移行に備えて、ソース エンドポイントとターゲット エンドポイントを定義します。

ソースおよびターゲット エンドポイントの作成と管理