Как работает диспетчер переноса данных?How does Migration Manager work?

Диспетчер переноса данных дает возможность централизованно управлять переносом крупных файловых ресурсов, настроив один или несколько компьютеров или виртуальных машин в качестве "агентов" переноса данных.The Migration Manager centralizes the management of large file share migrations by configuring one or more computers or virtual machines (VMs) as migration "agents". На каждом компьютере или виртуальной машине задачи миграции могут выполняться одновременно.Each computer or VM can be running migration tasks simultaneously.

Процесс пользователяUser process

Настройка агентаAgent setup

Пользователь загружает файл установки агента на локальный компьютер или виртуальную машину из диспетчера миграции в Центре администрирования SharePoint.From Migration Manager in the SharePoint admin center, the user downloads the agent setup file to a local computer or VM. При запуске файла установки агента будет предложено ввести два набора учетных данных: учетные данные администратора SharePoint для доступа к месту назначения и учетные данные Windows с доступом на чтение ко всем сетевым папкам, которые нужно перенести.The agent setup file prompts for two sets of credentials; the SharePoint Admin credentials to access your destination, and the Windows credentials that have read access to any of the network file shares you plan to migrate.

Такая пара учетных данных создает отношения доверия с диспетчером переноса данных.This pair of credentials creates a trust with Migration Manager. Теперь диспетчер переноса данных будет рассматривать этого агента в качестве доступного агента, которому можно автоматически назначать задачи миграции.Migration Manager now sees it as an available agent to which it can automatically distribute migrations tasks.

Создание задачиTask creation

После настройки агента любой пользователь, обладающий правом перехода в Центр администрирования SharePoint, может создавать задачи.After the user configures the agent, anyone with the permission to go into the SharePoint Admin center can create tasks.

Диспетчер переноса данных выполняет проверку подлинности в клиенте назначения и запрашивает расположение исходного файла и конечное расположение, в которое нужно перенести файлы.Migration Manager authenticates to the destination tenant and then prompts for the source file location and destination location where the files are to be migrated. После отправки задачи миграции нажатием кнопки "Миграция" сразу для всех переносимых файлов запускаются этапы сканирования, упаковки, отправки и импорта.After you submit the migration task by selecting Migrate, the scanning, packaging, uploading, and importing steps are performed in parallel across all the files provided for migration.

Процесс миграцииMigration Process

Проверка подлинностиAuthentication

Войдите в центр администрирования клиента в качестве администратора клиента или администратора SharePoint и перейдите в место назначения, в которое нужно перенести содержимое.Sign in to your tenant admin center as a either a tenant administrator or SharePoint admin user in the destination where you want to migrate content. Клиент свяжет задачи миграции с указанной учетной записью.The tenant associates the migration jobs you submit to this account.

СканированиеScan

После нажатия кнопки "Миграция" всегда выполняется сканирование каждого файла, даже если вы решили не переносить файлы (см. раздел "Параметры").After selecting Migrate, a scan is always performed on every file, even if you decide not to migrate your files (see Settings). В процессе сканирования проверяется наличие доступа к источникам данных и возможность записи в целевую среду SharePoint.The scan verifies that there is access to the data source and write access to the SharePoint destination. Помимо этого файлы проверяются на отсутствие проблем.It also scans the files for known potential issues.

УпаковкаPackaging

На этапе упаковки создается пакет контента, который содержит манифест.In the packaging stage, a content package is created that contains a manifest.

ОтправкаUpload

На этапе отправки пакет содержимого вместе с манифестом загружается в Azure.In the upload stage, the content package is uploaded to Azure with the manifest. Прежде чем задание миграции будет принято от контейнера Azure, предоставленного средой SharePoint, файлы и манифест будут зашифрованы по алгоритму AES-256-CBC.Before a migration job can be accepted from a SharePoint-provided Azure container, the files and manifest are encrypted at rest using the AES-256-CBC standard.

ИмпортImport

На этапе импорта ключ передается в службу SAS SharePoint.During the import phase, the key is provided to SharePoint SAS. При выборке и переносе данных взаимодействие происходит только между Azure и SharePoint.Only Azure and SharePoint are interacting to fetch and migrate the data to the destination. Этот процесс запускается заданием таймера и не препятствует формированию очереди заданий.This process is a timer job-based but does not prevent other jobs from being queued up. Во время импорта происходит обновление в режиме реального времени, а в рабочей папке создается отчет.A report is created in the working folder, and live updates are made during the import.

После завершения задания миграции для пользователя создаются отчеты, которые можно скачивать.After the migration job completes, reports are generated for the user and can be downloaded. При удалении задач выполняется удаление файлов отчетов.Report files are cleared when the user deletes the tasks.

СеансыSessions

Сведения о сеансе, включая сведения о задачах и параметрах, сохраняются в скрытом списке на сайте администратора клиента.The session's information, including the tasks and settings, is saved in the Tenant Admin site hidden list. При нажатии кнопки Выполнить для возобновления приостановленной задачи диспетчер переноса данных выдает агенту команду.When you click Run to resume a paused task, Migration Manager issues a command to the agent. Если задача миграции уже завершена, нажатие кнопки Выполнить перезапустит задачу с тем же источником, местом назначения и параметрами.If the migration task has already completed, clicking Run restarts the task with the same source, destination, and settings.

Шифрование и защитаEncryption and security

На этапах отправки и импорта происходит шифрование данных и создание контейнеров и ключей Azure.During the upload and import phases, data is encrypted and Azure containers and keys are generated.

Важно!

Служба SharePoint и ограниченное количество специалистов может запускать команды обслуживания, не имея при этом прямого доступа к учетным записям.The SharePoint service and a select number of engineers can run maintenance commands against them, but they do not have direct access to the accounts. Техники центра обработки данных не обладают знаниями о расположении данных на диске и не могут беспрепятственно получить доступ к оборудованию для подключения дисков.Datacenter technicians are not prepped with how data is laid out on disk and do not have ready access to equipment to mount disks. Все дисковые устройства, покидающие ЦОД, уничтожаются механическим способом.All drives are physically destroyed before leaving the datacenter. Во всех наших центрах обработки данных безопасность также обеспечивается и на физическом уровне.Physical security is also in place across all of our datacenters.

Каждый контейнер предназначен для своего клиента и не используется повторно.Each container is dedicated to the customer and not reused. Данные хранятся в BLOB-объекте Azure от 4 до 30 дней, а затем удаляются.The data is stored in the Azure blob from 4 to 30 days after which it is deleted. При удалении данных разрываются все ссылки на файлы, а затем выполняется обратимое удаление файлов.When the data is deleted, the files are de-linked and later soft-deleted from disk. Файл из учетной записи или с диска может совместно использоваться на нескольких серверах.A file in an account and on-disk may be shared across many servers. Для реплик применяется тот же самый алгоритм, включая создание резервных копий (с географической репликацией, если возможно).The same process is used for replicas, including backup copies (geo-replicated data if applicable).

Случайный одноразовый ключ контейнера, используемый по умолчанию, создается программно и действует только в течение трех дней.The random, single-use default container key is generated programmatically and is only valid for three days. Этот ключ единственный способ получить доступ к контейнеру.This key is the only way to gain access to the container. SharePoint никогда не хранит ключ.SharePoint never stores the key.

Контейнер хранится дольше, чем ключ,The container itself lives longer than the key. и удаляется в течение 30‒90 дней после даты создания.The container is purged anywhere from 30 to 90 days from its creation date. Контейнер размещается в общем хранилище Microsoft вне клиента, но в пределах региона Azure.The container is housed in a shared Microsoft storage outside the tenant but within the region. Он защищен с помощью ключа контейнера.It is protected using the container key. В случае клиентов, использующих Multi-Geo, контейнеры создаются с учетом URL-адреса назначения для указания будущего региона хранения.For multi-Geo customers, The containers are generated based on the destination URL to dictate in what Geo it will be stored.

В случае потери ключа или его получения посторонними людьми два механизма защиты предохранят ваши данные.If your key is lost or obtained by someone else, there are two defenses in place that protect you. Во-первых, в контейнере разрешены только операции чтения и записи.First, the container only enables read/write operations. В контейнере нет списка хранимых объектов, поэтому для того, чтобы прочитать или записать их, нужно обладать информацией о его содержимом.The container has no list, which means you need to know the details of the files stored in the container to read or write to them. Во-вторых, хранимые файлы зашифрованы алгоритмом AES-256-CBC в режиме сцепления шифрованных блоков.Secondly, the files are encrypted at rest with AES-256-CBC.

Важно!

Доступ к контейнеру могут получить только обладатели ключа.Only those who have the key have access to the container. У прочих пользователей той же подписки или клиента доступа нет.Other users in the subscription or the tenant do not have access.