所有非Amazon拥有的其它商标均为各自所有者的财产,这些所有者可能附属于Amazon、与Amazon有关联或由Amazon赞助,也可能不是如此。
AmazonWebServices文档中描述的AmazonWebServices服务或功能可能因区域而异。
要查看适用于中国区域的差异,请参阅中国的AmazonWebServices服务入门。
AmazonServerMigrationService用户指南 TableofContents 什么是AmazonSMS?
.......................................................................................................................
1定价..........................................................................................................................................
1 要求
..................................................................................................................................................
2一般要求....................................................................................................................................
2操作系统....................................................................................................................................
3卷类型和文件系统.......................................................................................................................
4为服务器迁移连接器配置IAM用户................................................................................................
5IAM用户的权限..........................................................................................................................
5限制..........................................................................................................................................
5映像格式............................................................................................................................
5正在启动............................................................................................................................
6联网..................................................................................................................................
6从MigrationHub导入应用程序.............................................................................................
6其他..................................................................................................................................
6许可选项....................................................................................................................................
7Linux许可.........................................................................................................................
7Windows许可....................................................................................................................
7其他要求....................................................................................................................................
8 安装连接器
........................................................................................................................................
9在VMware上安装......................................................................................................................
9在Hyper-V上安装....................................................................................................................
11关于服务器迁移连接器安装脚本...........................................................................................
12第1步:在ActiveDirectory中为服务器迁移连接器创建服务帐户.............................................13第2步:下载并部署服务器迁移连接器.................................................................................13第3步:下载并安装Hyper-V/SCVMM配置脚本....................................................................14第4步:验证脚本文件的完整性和加密签名...........................................................................15第5步:运行脚本.............................................................................................................
16第6步:配置连接器.........................................................................................................
17在Azure上安装.......................................................................................................................
18第1步:下载连接器安装脚本.............................................................................................
18第2步:验证脚本文件的完整性和加密签名...........................................................................19第3步:运行脚本.............................................................................................................
20第4步:配置连接器.........................................................................................................
20(替代方案)手动部署服务器迁移连接器...............................................................................21 使用控制台复制VM...........................................................................................................................
24复制服务器...............................................................................................................................
24恢复复制作业............................................................................................................................
25监控服务器复制作业..................................................................................................................
25删除复制作业............................................................................................................................
26 使用复制VMAmazonCLI...................................................................................................................
27迁移应用..........................................................................................................................................
31 使用应用迁移............................................................................................................................
31创建应用程序....................................................................................................................
32配置复制设置....................................................................................................................
32配置启动设置....................................................................................................................
33开始复制..........................................................................................................................
34启动应用程序....................................................................................................................
35生成CloudFormation模板..................................................................................................
35 从MigrationHub导入应用程序...................................................................................................
35CloudWatchEvents和Lambda..........................................................................................................
36 处理的CloudWatch事件规则AmazonSMS...................................................................................36用CloudTrail进行日志......................................................................................................................
38 CloudTrail中的AmazonSMS信息.............................................................................................
38了解AmazonSMS日志文件条目................................................................................................
39 iii AmazonServerMigrationService用户指南 安全性.............................................................................................................................................
40数据保护..................................................................................................................................
40静态加密..........................................................................................................................
41传输中加密.......................................................................................................................
41身份和访问管理.........................................................................................................................
41策略结构..........................................................................................................................
41示例策略..........................................................................................................................
42预定义的Amazon托管策略................................................................................................
43服务相关角色............................................................................................................................
43服务相关角色授予的权限....................................................................................................
43创建服务相关角色..............................................................................................................
43编辑服务相关角色..............................................................................................................
44删除服务相关角色..............................................................................................................
44传统IAM角色..................................................................................................................
44故障恢复能力............................................................................................................................
45基础设施安全性.........................................................................................................................
45合规性验证...............................................................................................................................
46 故障排除..........................................................................................................................................
47连接器的日志文件......................................................................................................................
47注册连接器时失败......................................................................................................................
48将虚拟机上传到AmazonS3时出现证书错误.................................................................................48升级连接器.......................................................................................................................
48重新注册连接器.................................................................................................................
48服务器迁移连接器无法连接到Amazon并且错误“PKIX路径构建失败”.................................................49此CA根证书不受信任...............................................................................................................
49在准备阶段复制运行失败............................................................................................................
50复制的AMI不支持某些实例类型进行启动.....................................................................................50ServeError:无法将基本磁盘上传到AmazonS3..............................................................................50ServeError:无法验证复制作业.....................................................................................................
50出现内部错误。确认Amazon凭据和虚拟机管理器凭据是正确的。
......................................................51与快照相关的错误(VMware)
.......................................................................................................
51检查点错误(Hyper-V).............................................................................................................
51增量复制增量超过1TB..............................................................................................................
51 发布说明..........................................................................................................................................
52适用于vCenter环境的发布........................................................................................................
52适用于Hyper-V/SCVMM环境的发布............................................................................................
53适用于Azure环境的发布...........................................................................................................
54 文档历史记录....................................................................................................................................
56......................................................................................................................................................
lvii iv AmazonServerMigrationService用户指南定价 什么是AmazonServerMigrationService? AmazonServerMigrationService(AmazonSMS)能够将您本地的VMwarevSphere、MicrosoftHyperV/SCVMM和Azure虚拟机自动迁移到Amazon云。AmazonSMS先将服务器VM增量复制为可直接在AmazonEC2上部署的Amazon系统映像(AMI)。
使用AMI,您可以轻松地测试并更新基于云的映像,然后再将它们部署到生产环境中。
通过使用AmazonSMS管理服务器迁移,您可以:•简化云迁移过程。
您只需在AmazonWebServicesManagementConsole中轻点几下鼠标,就可以开始迁 移一组服务器。
迁移开始后,AmazonSMS能够管理迁移过程的所有复杂性,包括将实时服务器的卷自动复制到Amazon并定期创建新的AMI。
您可以从控制台中的AMI快速启动EC2实例。
•编排多服务器迁移。
AmazonSMS通过允许您计划一组服务器(这组服务器构成了应用程序)的复制和跟踪进度来编排服务器的迁移。
您可以安排初始复制、配置复制间隔并使用控制台跟踪每个服务器的进度。
启动迁移的应用程序时,可以应用在启动期间运行的自定义配置脚本。
•逐步测试服务器迁移:有了对增量复制的支持,AmazonSMS允许您快速、可扩展地测试迁移后的服务器。
由于AmazonSMS利用增量复制,它只将更改传输到云中。
因此,您可以按迭代方式测试少量更改并节约网络带宽。
•支持最广泛使用的操作系统。
AmazonSMS支持复制包含Windows的操作系统映像及多种主要的Linux发行版。
•最大程度减少停机时间。
AmazonSMS增量复制可最大限度地减少最终切换期间应用程序停机时间造成的业务影响。
使用AmazonSMS时存在以下限制:•除非客户请求提高限制,否则每个账户50个并发VM迁移。
•每个VM(而非每个账户)的服务用量为90天,从VM的初始复制开始算起。
除非客户请求增加限制,否 则我们会在90天后终止进行中的复制。
•每个账户50个并发应用程序迁移,每个应用程序限制为10个组和50个服务器。
Note AmazonServerMigrationService需要TCP端口80、8080和443在您上打开。
Amazon账户。
请联系您的客户经理或使用记录案例AmazonSupport授权访问这些端口。
有关更多信息,请参阅中国的ICP。
定价 使用ServerMigrationService不额外收费。
您只需按标准费率支付迁移期间所使用的S3存储桶、EBS卷和数据传输费用,以及所运行的EC2实例费用。
有关更多信息,请参阅AmazonServerMigrationService定价。
1 AmazonServerMigrationService用户指南一般要求 AmazonServerMigrationService的要求 要借助ServerMigrationService将本地虚拟化服务器迁移到AmazonEC2,您的VMwarevSphere、MicrosoftHyper-V/SCVMM或MicrosoftAzure环境必须满足以下要求: 要求•一般要求(p.2)•操作系统(p.3)•卷类型和文件系统(p.4)•为服务器迁移连接器配置IAM用户(p.5)•IAM用户的权限(p.5)•限制(p.5)•用于的许可选项AmazonSMS(p.7)•其他要求(p.8) 一般要求 在设置AmazonSMS之前,请根据需要采取措施以满足以下所有要求。
所有VMs•在您要迁移的VM上禁用任何反病毒软件或入侵检测软件。
可在迁移过程完成后重新启用上述服务。
•断开连接到该VM的任何CD-ROM驱动器(包括虚拟及物理驱动器)。
WindowsVM •启用Remote(RDP)以进行远程访问。
•在VM上安装适当的.NETFramework版本。
请注意,如果需要,系统会自动在您的VM上安装.NET Framework4.5或更高版本。
Windows版本 .NETFramework版本 WindowsServer2008或早期版本 3.5或更高版本 WindowsServer2008R2或更高版本 4.5或更高版本 Windows8或更早版本 3.5或更高版本 Windows8.1或更高版本 4.5或更高版本 •在准备要迁移的MicrosoftWindowsVM时,请配置固定的分页文件大小并确保根卷上至少有6GiB可用空间。
这是成功安装驱动程序所必需的。
•确保您的主机防火墙(例如Windows防火墙)允许访问RDP。
否则,在迁移完成后,您将无法访问您的实例。
•应用以下修补程序: •RealTimeIsUniversal如果Windows中启用了注册表项,那么您无法更改系统时间
2 AmazonServerMigrationService用户指南操作系统 •WindowsServer2008、Windows7或WindowsServer2008R2中DST转换期间的高CPU使用率•只有以下实例类型支持32位 AMIs:t2.nano、t2.micro、t2.small、t2.medium、c3.large、t1.micro、m1.small、m1.medium和c1.medium。
如果您要迁移32位实例,将限于这些实例类型和支持这些实例的区域。
LinuxVM •启用安全外壳(SSH)以进行远程访问。
•确保您的主机防火墙(例如iptables)允许访问SSH。
否则,在迁移完成后,您将无法访问您的实例。
•确保您已配置了一个非根用户以使用基于密钥的公共SSH在导入您的实例后访问它。
使用基于密码的 SSH和通过SSH进行根登录都是可行的,但我们不推荐使用。
我们建议使用公共密钥和非根用户,因为它更安全。
你的Linux虚拟机将没有ec2-user作为迁移过程的一部分而创建的帐户。
•确保您的LinuxVM将GRUB(传统GRUB)或GRUB2作为其启动加载程序。
•确保您的LinuxVM的根卷使用以下文件系统之一:•EXT2•EXT3•EXT4•Btrfs•JFS•XFS•迁移的LinuxVM必须使用64位映像。
不支持迁移32位Linux映像。
•迁移的LinuxVM应使用默认内核以获得最佳结果。
使用自定义Linux内核的VM无法成功迁移。
•在准备要迁移的AmazonEC2LinuxVM时,请确保根卷上至少有250MiB的磁盘空间用于安装驱动程序和其他软件。
对VM进行程序修改 导入虚拟机时,Amazon修改文件系统,使导入的VM可供客户访问。
可以进行以下操作: •[Linux]在OS中直接安装CitrixPV驱动程序或修改initrd/initramfs以包含它们。
•[Linux]修改网络脚本以使用动态IP地址替换静态IP地址。
•[Linux]修改/etc/fstab、注释掉无效的条目并使用UUID替换设备名称。
如果找不到设备的匹配 UUID,会在设备描述中添加nofail选项。
导入后,我们需要更正设备名称并删除nofail。
最佳实践做法是,在准备要导入的VM时,建议您使用UUID而非设备名称来指定VM磁盘设备。
/etc/fstab中包含分布式文件系统类型(nfs、cifs、smbfs、vboxsf、sshfs等)的条目将被禁用。
•[Linux]修改默认条目和超时等GRUB启动加载程序设置。
•[Windows]修改注册表设置以使VM可启动。
写修改后的文件时,Amazon将原始文件保留在同一位置使用新名称。
操作系统 可以使用SMS将以下操作系统迁移到EC2: Windows(32位和64位) •含ServicePack1(SP1)的MicrosoftWindowsServer2003(标准版、数据中心版、企业版)或更高版本(32位和64位)
3 AmazonServerMigrationService用户指南卷类型和文件系统 •MicrosoftWindowsServer2003R2(标准版、数据中心版、企业版)(32位和64位)•MicrosoftWindowsServer2008(标准版、数据中心版、企业版)(32位和64位)•MicrosoftWindowsServer2008R2(标准版、Web服务器、数据中心版、企业版)(仅限64位)•MicrosoftWindowsServer2012(标准版、数据中心版)(仅限64位)•MicrosoftWindowsServer2012R2(Standard、Datacenter)(仅限64位)(不支持纳米服务器安装)•MicrosoftWindowsServer2016(标准版、数据中心版)(仅限64位)•MicrosoftWindowsServer1709(标准版、数据中心版)(仅限64位)•MicrosoftWindowsServer1803(标准版、数据中心版)(仅限64位)•MicrosoftWindowsServer2019(标准版、数据中心版)(仅限64位)•MicrosoftWindows7(家庭版、专业版、企业版、旗舰版)(美国英语)(32位和64位)•MicrosoftWindows8(家庭版、专业版、企业版)(美国英语)(32位和64位)•MicrosoftWindows8.1(专业版、企业版)(美国英语)(仅64位)•MicrosoftWindows10(家庭版、专业版、企业版、教育版)(美国英语)(仅64位) Linux/Unix(64位) •Ubuntu12.04、12.10、13.04、13.04、13.10、14.10、14.10、15.04、16.04、16.10、17.04、17.04、16.10、17.04、18.04 •
红帽企业Linux(RHEL)5.1-5.11、6.1-6.9、7.0-7.6(6.0缺少所需的驱动程序)•包含服务包1和内核2.6.32.12-0.7的SUSELinux企业服务器11•包含服务包2和内核3.0.13-0.27的SUSELinux企业服务器11•含ServicePack3和内核3.0.76-0.11、3.0.101-0.8或3.0.101-0.15的SUSELinux企业服务器11•包含服务包4和内核3.0.101-63的SUSELinux企业服务器11•包含内核的SUSELinux企业版Server12(包含内核)3.12.28-4•包含ServicePack1和内核3.12.49-11的SUSELinux企业版Server12•包含ServicePack2和内核4.4的SUSELinux企业服务器12•包含ServicePack3和内核4.4的SUSELinux企业服务器12•CentOS5.1-5.11、6.1-6.6、7.0-7.6(6.0缺少所需的驱动程序)•Debian6.0.0-6.0.8、7.0.0-7.8.0、8.0.0•带有el5uek内核后缀的甲骨文Linux5.10-5.11•OracleLinux6.1-6.10使用RHEL兼容的内核2.6.32或UEK内核3.8.13、4.1.12•OracleLinux7.0-7.6使用兼容RHEL的内核3.10.0或UEK内核3.8.13、4.1.12、4.14.35•Fedora服务器19-21 卷类型和文件系统 AmazonServerMigrationService支持迁移使用以下文件系统的Windows和Linux实例: 操作系统Windows 文件系统NTFS 架构32位 64位 分区表MBRGPTMBRGPT 支持的数据卷✔✔✔✔ 支持的引导卷✔ ✔✔(仅限VHDX)
4 AmazonServerMigrationService用户指南为服务器迁移连接器配置IAM用户 操作系统Linux/UNIX 文件系统 架构 分区表 ReFS 32位 MBR GPT 64位 MBR GPT ext2、ext3、ext4、64B位trfs、JFS、XFSMBR GPT 支持的数据卷支持的引导卷 ✔ ✔ ✔ ✔ ✔ 不支持具有使用EBS加密的卷的AMI。
在使用AmazonSMS迁移服务器时,默认情况下不会启用加密。
如果默认情况下已启用加密,并且您遇到增量复制失败,请关闭此功能。
为服务器迁移连接器配置IAM用户 在您的中为Server迁移连接器创建IAM用户Amazon帐户
1.为您的连接器创建新的IAM用户以便与之进行通信Amazon.保存生成的访问密钥和私有密钥以便在初始连接器设置期间使用。
有关管理IAM用户和权限的信息,请参阅在您的中创建IAM用户Amazon账户.
2.附加托管的IAM策略ServerMigrationConnector发给IAM用户。
有关更多信息,请参阅托管策略与内联策略。
IAM用户的权限 默认情况下,IAM用户没有使用所需的权限。
AmazonSMS.具有管理员权限的IAM用户已有完全访问权限。
AmazonSMS.否则,您可以添加Amazon管理的策略ess确保IAM用户具有使用所需的权限AmazonSMS. 限制 适用以下限制: 限制•映像格式(p.5)•正在启动(p.6)•联网(p.6)•从MigrationHub导入应用程序(p.6)•其他(p.6) 映像格式 •在迁移由Hyper-V/SCVMM托管的VM时,SMS支持第1代VM(使用VHD或VHDX磁盘格式)和第2代VM(仅限VHDX)。
•AmazonSMS不支持在运行任何版本的RHEL5(如果由VHDX磁盘支持)的Hyper-V上的VM。
我们建议您将此格式的磁盘转换为VHD以便迁移。
5 AmazonServerMigrationService用户指南正在启动 •AmazonSMS不支持混合使用VHD和VHDX磁盘文件的VM。
•在VMware上,AmazonSMS不支持使用原始设备映射(RDM)的VM。
仅支持VMDK磁盘映像。
正在启动 •UEFI/EFI启动分区仅支持采用VHDX映像格式的Windows启动卷。
否则,VM的启动卷必须使用主启动记录(MBR)分区。
在任一情况下,由于MBR的限制,启动卷都不能超过2TiB(未压缩)。
Note 当Amazon检测到带有UEFI启动分区的WindowsGPT启动卷,它会即时将其转换成为带有BIOS启动分区的MBR启动卷。
这是因为EC2不直接支持GPT启动卷。
•如果根分区与MBR位于不同的虚拟硬盘驱动器,已导入的VM可能无法启动。
•如果根分区与MBR位于不同的虚拟硬盘上,已迁移的VM可能无法启动。
•不支持迁移具有双启动配置的VM。
联网 •目前不支持多个网络接口。
您的VM在迁移后会拥有一个使用DHCP分配地址的虚拟网络接口。
您的实例会收到一个私有IP地址。
•即使子网采用自动分配公有IP地址的设置,迁移到VPC中的VM也不会收到公有IP地址。
但您可以向自己的账户分配一个弹性IP地址并将其关联到您的实例。
•不支持协议版本6(IPv6)IP地址。
从MigrationHub导入应用程序 •只有当SMS服务器目录中存在这些应用程序时,SMS才从AmazonMigrationHub导入应用程序相关的服务器。
因此,一些应用程序可能仅部分迁移。
•如果MigrationHub应用程序中的服务器都不在SMS服务器目录中,则导入将无提示失败,应用程序在SMS中不可见。
•导入的应用程序可以迁移,但不能在SMS中编辑。
但是,它们可以在MigrationHub中编辑。
其他 •对于附加有22个以上卷的VM,SMS复制任务将会失败。
•不支持具有使用EBS加密的卷的AMI。
在使用AmazonSMS迁移服务器时,默认情况下不会启用加密。
如果默认情况下已启用加密,并且您遇到增量复制失败,请关闭此功能。
•AmazonSMS创建使用硬件虚拟机(HVM)虚拟化的AMI。
它无法创建使用半虚拟化(PV)的AMI。
迁移的 VM内支持LinuxPVHVM驱动程序。
•作为P2V转换的结果而创建的VM不受支持。
通过在物理设备上执行Linux或Windows安装进程,然后 将Linux或Windows安装副本导入虚拟机,从而创建磁盘映像,则会发生P2V转换。
•AmazonSMS不会安装单个根I/O虚拟化(SR-IOV)驱动程序,除非导入MicrosoftWindowsServer2012 R2VM。
除非您计划使用提供更高性能(每秒数据包)、更短延迟和更低抖动的增强联网,否则不需要这些驱动程序。
对于MicrosoftWindowsServer2012R2VM,会在迁移过程中自动安装SR-IOV驱动程序。
•由于独立磁盘不受快照影响,AmazonSMS不支持在独立模式下对VMDK进行间隔复制。
•不支持导入使用UTF-16(或非ASCII)字符的Windows语言包。
在导入WindowsServer2003、WindowsServer2008和WindowsServer2012R1VM时,建议使用英语语言包。
•对于WindowsServer2003,请在迁移之前禁用Windows驱动程序签名检查。
6 AmazonServerMigrationService用户指南许可选项 用于的许可选项AmazonSMS 当您创建新的复制任务时,AmazonServerMigrationService控制台会提供Licensetype(许可证类型)选项。
如果您选择了与VM不兼容的许可证类型,复制任务将失败,并提供一条错误消息。
可能的值包括: •Auto(默认) 检测源系统操作系统(OS),并针对已迁移的虚拟机(VM)应用相应的许可证。
•Amazon 将源系统许可证替换为Amazon如果适用,在已迁移的VM上发放许可证。
•BYOL 如果适用,在已迁移的VM上保留源系统许可证。
可通过以下方式使用相同的许可AmazonSMSAPI和CLI。
例如: awssmscreate-replication-job--license-typevalue 的价值--license-type参数可以是AWS要么BYOL.保留该参数不设置与在控制台中选择Auto的效果相同。
Linux许可 Linux操作系统仅支持BYOL许可证。
选择汽车(默认值)表示SMS使用BYOL许可证。
已迁移的RedHatEnterpriseLinux(RHEL)VM必须使用Cloudess(BYOL)许可证。
有关更多信息,请参阅RedHat网站上的RedHatCloudess。
已迁移的SUSELinuxEnterpriseServerVM必须使用SUSE公有云程序(BYOS)许可证。
有关更多信息,请参阅SUSE公有云程序—自带订阅。
Windows许可 WindowsServer操作系统支持BYOL或Amazon许可证。
Windows客户端操作系统(例如Windows10)只支持BYOL许可证。
如果选择汽车(默认值)、AmazonSMS使用Amazon如果VM具有服务器操作系统,则许可证。
如果VM具有客户端操作系统,则将使用BYOL许可证。
如果您通过MSDN或每用户Windows软件保障使用BYOLMicrosoft许可证,则适用以下规则: •您的BYOL实例将以现行的AmazonEC2Linux实例定价进行定价,前提是您满足以下条件:•在专用主机上运行(专用主机)•使用AmazonSMS从源自您提供的软件二进制文件的VM中启动,这将受AmazonSMS当时有效的条款和功能的限制•将实例指定为BYOL实例•在指定的范围内运行实例Amazon地区和地点Amazon提供BYOL模型•使用您提供的或您的密钥管理系统中使用的Microsoft密钥进行激活 •您必须考虑的一个实际情况是,在启动AmazonEC2实例时,该实例可在可用区内的多台服务器中的任一服务器上运行。
这意味着,每次启动AmazonEC2实例(包括停止/启动)时,该实例可在可用区内的不同服务器上运行。
您必须根据Microsoft批量许可产品条款中所述的许可重新分配的限制来考虑这一事实,该条款在许可条款,或者查看您的特定使用权利来确定您的权利是否与此使用保持一致。
7 AmazonServerMigrationService用户指南其他要求 •您必须有资格在您与Microsoft签订的协议下(例如,在您的MSDN用户权利下或您的每用户Windows软件保障权利下)使用针对合适的Microsoft软件的BYOL计划。
您单独负责获得所有所需的许可证并遵守所有适用的Microsoft许可要求,包括PUR/PT。
此外,您必须已接受Microsoft的最终用户许可协议(MicrosoftEULA),并且一旦使用BYOL计划下的Microsoft软件,即表示您同意MicrosoftEULA。
•Amazon您建议您咨询您自己的法律顾问和其他顾问以了解并遵守适用的Microsoft许可要求。
不授权也不允许在违反您与Microsoft签订的协议的情况下使用服务(包括使用licenseType参数和BYOL标志)。
其他要求 VMwarevMotion支持AmazonServerMigrationService部分支持vMotion、StoragevMotion和基于虚拟机迁移的其他功能(如DRS和StorageDRS),但受到以下限制:•只要ServerMigrationConnector的vCenter服务帐户在目标ESXi主机、数据存储和数据中心上拥有足够 的权利,将虚拟机迁移到新的ESXi主机或数据存储器,将虚拟机迁移到新的ESXi主机或数据存储。
虚拟机本身位于新位置。
•复制运行处于活动状态(即正在进行虚拟机上传时)时,不支持将虚拟机迁移到新的ESXi主机、数据存储和/或数据中心。
•不支持将跨vCentervMotion与使用AmazonSMS. VMwarevSAN支持vSAN数据存储上的VM仅在Configurereplicationjobssettings页面上的Replicationjobtype设置为imemigration时受支持。
针对VMware虚拟卷(VVol)的支持Amazon不对迁移VMware虚拟卷提供支持。
不过某些实施可能适用。
包含快照的VMwareVMAmazonSMS在使用基于快照的备份软件的VM上仅支持一次性迁移。
同时,还应避免在通过AmazonSMS复制的VM上创建快照。
Hyper-V检查点AmazonSMS不支持具有现有检查点的虚拟机。
Hyper-V差异磁盘AmazonSMS不支持具有差异磁盘的虚拟机。
8 AmazonServerMigrationService用户指南在VMware上安装 安装服务器迁移连接器 服务器迁移连接器是您在本地虚拟化环境中安装的一种FreeBSDVM。
支持的平台为VMwarevSphere、MicrosoftHyper-V/SCVMM和dMicrosoftAzure。
目录•在VMware上安装服务器迁移连接器(p.9)•在Hyper-V上安装服务器迁移连接器(p.11)•在Azure上安装服务器迁移连接器(p.18) 在VMware上安装服务器迁移连接器 使用以下信息安装服务器迁移连接器,以便您能使用以下信息。
AmazonSMS将虚拟机从VMware环境迁移到AmazonEC2。
此信息仅适用于本地VMware环境中的虚拟机。
有关在其他环境中安装连接器的信息,请参阅安装服务器迁移连接器(p.9)。
VMware连接器要求 •vCenter5.1或更高版本(经验证最高支持6.7版本)•ESXi5.1或更高版本(经验证最高支持6.7版本)•最低8GiBRAM•最低可用磁盘存储容量为20GiB(精简配置)或250GiB(完全配置)•支持以下网络服务。
请注意,您可能需要重新配置防火墙以允许从连接器到这些服务的有状态出站连接。
•DNS-允许连接器发起到端口53的连接,以便进行名称解析。
•vCenter上的HTTPS-允许连接器发起到vCenter的端口443的安全Web连接。
您也可以自行配置非默 认端口。
如果您将vCenterServer配置为使用非默认端口,请指定vCenter的主机名和端口,并以冒号分隔(例如,HOSTNAME:PORT要么IP:PORT)在中的vCenter服务帐户页面连接器设置.•ESXi上的HTTPS-允许连接器发起到ESXi主机(包含您要迁移的VM)的端口443的安全Web连接。
•NTP-(可选)允许连接器出站访问端口123来进行时间同步。
如果连接器将其时钟与ESXi主机同步,则无需执行此操作。
为VMware环境设置连接器
1.打开AmazonServerMigrationService控制台并依次选择Connectors(连接器)和SMSConnectorsetupguide(SMSConnector设置指南)。
2.在存储库的Amazon设置服务器迁移连接“页面”,选择下载OVA下载适用于VMware环境的连接器。
您还可以使用提供的URL下载连接器。
连接器是已为在vCenter中部署准备就绪的、OVA格式的预配置FreeBSDVM。
3.设置您的vCenter服务账户。
创建一个vCenter用户,该用户必须拥有在VM上创建和删除快照的权限,以便能够将这些VM迁移Amazon然后下载他们的delta磁盘。
Note 作为最佳做法,建议您限制连接器服务账户的vCenter权限,仅允许该账户访问包含您要迁移的VM的那些vCenter数据中心。
我们还建议您锁定vCenter服务账户的权限,在vCenter中
9 AmazonServerMigrationService用户指南在VMware上安装 明确授予该用户针对不包含要迁移的任何虚拟机的主机、文件夹和数据存储的ess角色。
4.在vCenter中创建具有以下权限的角色: •Datastore>BrowsedatastoreandLowlevelfileoperations(Datastore.Browse和Datastore.FileManagement) •Host>Configuration>SystemManagement(Host.Config.SystemManagement)•vApp>Export(VApp.Export)•VirtualMachine>Snapshotmanagement>CreatesnapshotandRemoveSnapshot (VirtualMachine.State.CreateSnapshot和VirtualMachine.State.RemoveSnapshot)
5.按如下所述分配角色: a.将此vCenter角色分配给连接器用于登录vCenter的服务账户。
b.向此角色分配针对包含要迁移的虚拟机的数据中心的传播权限。
6.要手动验证您的vCenter服务账户的权限,请确保您可以使用连接器服务账户凭证登录到vSphere客户端。
然后,以OVF模板方式导出您的虚拟机,使用数据存储浏览器从包含您的虚拟机的数据存储中下载文件,然后查看您虚拟机的ESXi主机上Summary选项卡中的属性。
配置连接器
1.使用vSphere客户端将上一个步骤中下载的连接器OVA部署到VMware环境。
2.打开连接器的虚拟机控制台并使用ec2-user身份以及密码ec2pass进行登录。
在系统提示时提供新 密码。
3.获取连接器的IP地址,如下所示: a.运行sudosetup.rb命令。
此时将显示配置菜单: Chooseoneofthefollowingoptions:
1.Resetpassword2.worksettings3.Restartservices4.Factoryreset5.Deleteunusedupgrade-relatedfiles6.Enable/disableSSLcertificatevalidation7.Displayconnector'sSSLcertificate8.Generatelogbundle0.Exit Pleaseenteryouroption[1-9]: b.输入选项
2。
这将显示当前网络信息和一个用于更改网络设置的子菜单。
输出应与以下内容类似: workconfiguration:DHCPIP:192.0.2.100Netmask:255.255.254.0Gateway:192.0.2.1DNSserver1:192.0.2.200DNSserver2:192.0.2.201DNSsuffixsearchlist:Webproxy:notconfigured Reconfigurework:
1.ReneworacquireaDHCPlease2.SetupastaticIP3.Setupawebproxyformunication4.SetupaDNSsuffixsearchlist5.Exit Pleaseenteryouroption[1-5]: 10 AmazonServerMigrationService用户指南在Hyper-V上安装 您需要在以后的过程中输入此IP地址。
4.[可选]为连接器配置静态IP地址。
这样可以防止每次DHCP为连接器分配新地址时都必须重新配置 LAN上的受信任主机列表。
在RegionNetwork菜单中,输入选项
2.这将显示一个用于提供网络设置的窗体: 对于每个字段,提供一个合适的值并按Enter。
您应该可以看到类似于如下所示的输出内容: SettingupstaticIP:
1.EnterIPaddress:192.0.2.502.mask:255.255.254.03.Entergateway:192.0.2.14.EnterDNS1:192.0.2.2005.EnterDNS2:192.0.2.201 StaticIPaddressconfigured.
5.在连接器的网络配置菜单中,为DNS后缀搜索列表配置域后缀值。
6.如果您的环境使用Web代理访问互联网,请立即进行配置。
7.离开连接器控制台之前,请使用ping验证对局域网内外以下目标的网络访问权限: •在局域网内,通过主机名、FQDN和IP地址到ESXi主机和vCenter•在局域网之外,Amazon8.在Web浏览器中,通过其IP地址(ount,输入步骤3中的vCenter主机名、用户名和密码。
选择下一步。
14.接受vCenter证书后,完成注册,然后查看连接器配置控制面板。
15.验证Connectors页面中是否显示您已注册的连接器。
如果您在注册连接器时遇到问题,请联系smsservice@. 在Hyper-V上安装服务器迁移连接器 AmazonSMS支持两种模式下的迁移:从独立的Hyper-V服务器迁移,或从由SystemCenterVirtualMachineManager(SCVMM)托管的Hyper-V服务器迁移。
使用以下信息在Hyper-V上安装服务器迁移连接器,以便您能使用以下信息。
AmazonSMS将虚拟机从Hyper-V迁移到AmazonEC2。
此信息仅适用于本地Hyper-V环境中的虚拟机。
有关在其他环境中安装连接器的信息,请参阅安装服务器迁移连接器(p.9)。
迁移方案的注意事项 •适用于独立Hyper-V和SCVMM环境的安装过程是不可互换的。
•在SCVMM模式中配置时,一个服务器迁移连接器设备支持从一个SCVMM(它可以管理多个Hyper-V服 务器)迁移。
•在独立Hyper-V模式中配置时,一个服务器迁移连接器设备支持从多个Hyper-V服务器迁移。
•AmazonSMS支持部署任意数量的连接器设备,以支持同时从多个SCVMM和多个独立Hyper-V服务器进 行迁移。
11 AmazonServerMigrationService用户指南关于服务器迁移连接器安装脚本 Hyper-V连接器要求 •WindowsServer2012R2或WindowsServer2016上的Hyper-V角色•ActiveDirectory2012或更高版本•[可选]SCVMM2012SP1或SCVMM2016•最低8GiBRAM•最小可用磁盘存储300GiB•支持以下网络服务。
请注意,您可能需要重新配置防火墙以允许从连接器到这些服务的有状态出站连接。
•DNS-允许连接器发起到端口53的连接,以便进行名称解析。
•您的SCVMM或独立Hyper-V主机的WinRM端口5986上的HTTPS•连接器端口443上的入站HTTPS-允许连接器从包含您要迁移的VM的Hyper-V主机的端口443上接收 安全Web连接。
•NTP-(可选)允许连接器出站访问端口123来进行时间同步。
如果连接器将其时钟与Hyper-V主机同 步,则无需执行此操作。
目录•关于服务器迁移连接器安装脚本(p.12)•第1步:在ActiveDirectory中为服务器迁移连接器创建服务帐户(p.13)•第2步:下载并部署服务器迁移连接器(p.13)•第3步:下载并安装Hyper-V/SCVMM配置脚本(p.14)•第4步:验证脚本文件的完整性和加密签名(p.15)•第5步:运行脚本(p.16)•第6步:配置连接器(p.17) 关于服务器迁移连接器安装脚本 AmazonSMS配置脚本会自动创建适当的权限和网络连接,使得AmazonSMS能够在您的Hyper-V环境上执行任务。
您必须在迁移虚拟机过程中要使用的每个Hyper-V和SCVMM主机上以管理员身份运行该脚本。
当您运行该脚本时,它将执行以下操作:
1.[所有系统]检查WindowsRemoteManagement(WinRM)服务是否已在SCVMM和所有Hyper-V主机上启用,在必要时启用该服务,并将其设置为在引导时自动启动。
2.[所有系统]启用PowerShell远程处理,使得连接器能够在该主机上通过WinRM连接执行PowerShell命令。
3.[所有系统]创建自签名X.509证书,创建WinRMHTTPS侦听器,并将该证书绑定到侦听器。
4.[所有系统]创建防火墙规则以接受到WinRM侦听器的传入连接。
5.[所有系统]将连接器的IP地址或域名添加到WinRM配置内的信任主机列表中。
您必须已配置此IP地址或 域名,然后才能运行脚本以便通过交互方式来提供它。
6.[所有系统]启用针对WinRM的CredentialSecuritySupportProvider(CredSSP)身份验证。
7.[所有系统]向WinRMconfigSDDL上预配置的ActiveDirectory用户授予读取和执行权限。
此用户与在 下面的第1步:在ActiveDirectory中为服务器迁移连接器创建服务帐户(p.13)中介绍的服务账户相同。
8.[仅限独立Hyper-V]将ActiveDirectory用户添加到您的Hyper-V主机上的“Hyper-VAdministrators”和“RemoteManagementUsers”组中。
9.[仅限独立Hyper-V]提供对此Hyper-V托管的所有虚拟机数据文件夹的只读权限。
10.[仅限SCVMM]将“ExecuteMethods”、“Enableount”和“RemoteEnable”权限授予两个WMI对象(CIMV2和SCVMM)上的ActiveDirectory用户。
11.[仅限SCVMM]在SCVMM中创建一个有权限访问Hyper-V主机的权限委托管理员角色。
它会将该角色分配给ActiveDirectory用户。
您可以通过在SCVMM中编辑此角色来选择性地删除对主机的访问权限。
12 AmazonServerMigrationService用户指南第1步:在ActiveDirectory中为服务器迁移连接器创建服务帐户 12.[仅限SCVMM]检查SCVMM与Hyper-V主机之间是否存在安全(HTTPS)网络路径。
如果脚本未检测到安全通道,它会返回错误并生成供管理员用来保护通道的说明。
13.[仅限SCVMM]循环访问SCVMM托管的所有Hyper-V主机,并向ActiveDirectory用户授予针对每个Hyper-V主机上的所有虚拟机文件夹的只读权限。
第1步:在ActiveDirectory中为服务器迁移连接器创建服务帐户 服务器迁移连接器需要ActiveDirectory中的服务帐户。
由于连接器配置脚本在每个SCVMM和Hyper-V主机上运行,因此它会向此账户授予对这些主机的权限。
Note 在SCVMM模式下配置时,SCVMM主机及其管理的所有Hyper-V主机必须位于单个ActiveDirectory域中。
如果您有多个ActiveDirectory域,请为每个域配置连接器。
创建ActiveDirectory用户
1.在安装了您的ActiveDirectory林的Windows计算机上使用ActiveDirectory管理中心,创建新用户并向该用户分配密码。
2.将新用户添加到RemoteManagementUsers组。
第2步:下载并部署服务器迁移连接器 下载适用于Hyper-V和SCVMM的服务器迁移连接器将其安装到您的本地环境并将其安装到Hyper-V主机上。
为Hyper-V环境设置连接器
1.打开AmazonServerMigrationService控制台并依次选择Connectors(连接器)和SMSConnectorsetupguide(SMSConnector设置指南)。
2.在存储库的Amazon设置服务器迁移连接“页面”,选择下载VHDZIP下载Hyper-V的连接器。
3.将下载的连接器文件传输到您的Hyper-V主机,解压缩,并作为VM导入连接器。
4.打开连接器的虚拟机控制台并使用ec2-user身份以及密码ec2pass进行登录。
在系统提示时提供新 密码。
5.获取连接器的IP地址,如下所示: a.运行sudosetup.rb命令。
此时将显示配置菜单: Chooseoneofthefollowingoptions:
1.Resetpassword2.worksettings3.Restartservices4.Factoryreset5.Deleteunusedupgrade-relatedfiles6.Enable/disableSSLcertificatevalidation7.Displayconnector'sSSLcertificate8.Generatelogbundle0.Exit Pleaseenteryouroption[1-9]: b.输入选项
2。
这将显示当前网络信息和一个用于更改网络设置的子菜单。
输出应与以下内容类似: workconfiguration:DHCP 13 AmazonServerMigrationService用户指南第3步:下载并安装Hyper-V/SCVMM配置脚本 IP:192.0.2.100Netmask:255.255.254.0Gateway:192.0.2.1DNSserver1:192.0.2.200DNSserver2:192.0.2.201DNSsuffixsearchlist:Webproxy:notconfigured Reconfigurework:
1.ReneworacquireaDHCPlease2.SetupastaticIP3.Setupawebproxyformunication4.SetupaDNSsuffixsearchlist5.Exit Pleaseenteryouroption[1-5]: 您需要在以后的过程中输入此IP地址。
6.[可选]为连接器配置静态IP地址。
这样可以防止每次DHCP为连接器分配新地址时都必须重新配置 LAN上的受信任主机列表。
在RegionNetwork菜单中,输入选项
2.这将显示一个用于提供网络设置的窗体: 对于每个字段,提供一个合适的值并按Enter。
您应该可以看到类似于如下所示的输出内容: SettingupstaticIP:
1.EnterIPaddress:192.0.2.502.mask:255.255.254.03.Entergateway:192.0.2.14.EnterDNS1:192.0.2.2005.EnterDNS2:192.0.2.201 StaticIPaddressconfigured.
7.在连接器的网络配置菜单中,为DNS后缀搜索列表配置域后缀值。
8.如果您的环境使用Web代理访问互联网,请立即进行配置。
9.离开连接器控制台之前,请使用ping验证对局域网内外以下目标的网络访问权限: •在局域网内,通过主机名、FQDN和IP地址传送到Hyper-V主机和SCVMM•在局域网之外,Amazon 第3步:下载并安装Hyper-V/SCVMM配置脚本 AmazonSMS提供了可下载的PowerShell脚本,可使用该脚本配置Windows环境以便与服务器迁移连接器进行通信。
使用相同的脚本来配置独立Hyper-V或SCVMM。
该脚本由Amazon加密签名。
从以下URL下载脚本和哈希文件: 文件安装脚本MD5哈希SHA256哈希 URL/sms-connector/aws-sms-hyperv-setup.ps1/sms-connector/aws-sms-hyperv-setup.ps1.md5/sms-connector/aws-sms-hyperv-setup.ps1.sha256 在下载后,将下载的文件传输到您计划运行该脚本的计算机上。
14 AmazonServerMigrationService用户指南第4步:验证脚本文件的完整性和加密签名 第4步:验证脚本文件的完整性和加密签名 在运行脚本之前,我们建议您验证其完整性和签名。
这些步骤假定您已下载了脚本和哈希文件,已在您计划运行该脚本的计算机的桌面上安装,并且您以管理员身份登录。
您可能需要修改过程来匹配您的设置。
使用加密哈希验证脚本完整性(PowerShell)
1.使用所下载哈希文件中的一个或全部来验证脚本文件的完整性,从而确保它在传输到您的计算机时未经过更改。
a.要使用MD5哈希进行验证,请在PowerShell窗口中运行以下命令: PSC:\Users\Administrator>Get-FileHashaws-sms-hyperv-setup.ps1-AlgorithmMD5 这应该返回类似于以下内容的信息: Algorithm--------MD5 Hash---1AABAC6D068EEF6EXAMPLEDF50A05CC8 b.要使用SHA256哈希进行验证,请在PowerShell窗口中运行以下命令: PSC:\Users\Administrator>Get-FileHashaws-sms-hyperv-setup.ps1-AlgorithmSHA256 这应该返回类似于以下内容的信息: Algorithm--------SHA256 Hash---6B86B273FF34FCE19D6B804EFF5A3F574EXAMPLE22F1D49C01E52DDB7875B4B
2.将返回的哈希值与下载的文件aws-sms-hyperv-setup.ps1.md5和aws-sms-hypervsetup.ps1.sha256中提供的值进行比较。
接下来,使用Windows用户界面或PowerShell来检查脚本文件是否包含来自的有效签名。
Amazon. 检查脚本文件是否包含有效的加密签名(WindowsGUI)
1.在Windows资源管理器中,在脚本文件上打开上下文(右键单击)菜单,然后依次选择Properties、DigitalSignatures、AmazonWebServices和Details。
2.确认显示的信息包含“TisdigitalsignatureisOK”和“AmazonWebServices,Inc.”是签名者。
检查脚本文件是否包含有效的加密签名(PowerShell)•在PowerShell窗口中,运行以下命令: PSC:\Users\Administrator>Get-AuthenticodeSignatureaws-sms-hyperv-setup.ps1|Select* 正确签名的脚本文件应返回类似以下内容的信息: SignerCertificateO=DigiCertInc,C=US :[Subject]CN="AmazonWebServices,Inc."... [Issuer]CN=DigiCertEVCodeSigningCA(SHA2),OU=, 15 AmazonServerMigrationService用户指南第5步:运行脚本 ... TimeStamperCertificateStatusStatusMessagePath ... ::Valid:Signatureverified.:C:\Users\Administrator\\aws-sms-hyperv-setup.ps1 第5步:运行脚本 这些步骤假定您已将脚本下载到您计划运行该脚本的计算机的桌面上,并且您以管理员身份登录。
您可能需要修改所示的过程来匹配您的设置。
Note 如果您正在使用SCVMM,则必须先在计划从中迁移的每个Hyper-V主机上运行此脚本,然后在SCVMM上运行。
在每个主机上运行脚本
1.使用RDP,以管理员身份登录到您的SCVMM系统或独立Hyper-V主机。
2.使用以下PowerShell命令运行脚本: PSC:\Users\Administrator>.\aws-sms-hyperv-setup.ps1 Note 如果您的PowerShell执行策略设置为验证签名的脚本,则系统将会在您运行连接器配置脚本时提示您输入授权。
验证该脚本是由“AmazonWebServices,Inc.”发布的。
然后选择“R”来运行一次。
您可以使用Get-ExecutionPolicy查看此设置并使用Set-ExecutionPolicy修改它。
3.当脚本运行时,它将提示您输入一些信息。
请准备好答复以下提示: 脚本操作 提示的选项基于连接器的操作模式(从独立Hyper-V迁移还是使用SCVMM迁移),该操作模式决定了必须对您的Windows环境做出哪些更改。
客户提示
0。
Exit
1。
ReconfigurestandaloneHyper-V...
2.ReconfigureHyper-VmanagedbySCVMM...3.ReconfigureSCVMM...
4.Help/Support 提示输入连接器在与SCVMM和Hyper-V通信时将使用的ActiveDirectory用户。
EntertheADuserthattheconnectorwilluse(DOMAIN\user) 16 客户操作 选择0可退出脚本。
选择1可重新配置独立Hyper-V主机以允许迁移其来宾虚拟机。
选择2可重新配置Hyper-V主机以允许SCVMM管理其来宾虚拟机的迁移。
选择3可重新配置SCVMM以允许在其管理的所有Hyper-V主机上执行来宾虚拟机的迁移。
选项4链接到本文档以及AmazonSupport。
提供您之前配置的ActiveDirectory用户。
有关更多信息,请参阅第1步:在ActiveDirectory中为服务器迁移连接器创建服务帐户(p.13)。
AmazonServerMigrationService用户指南第6步:配置连接器 脚本操作提示输入连接器的IP地址或主机名。
在修改您的Windows环境提示进行确认。
客户提示 EntertheIPAddressorHostnameoftheconnectorappliance MakechangestoWindowssystemconfiguration?
(Enter"yes"or"no") 客户操作 提供您在连接器上配置的IP地址或主机名。
输入“yes”,然后按Enter以开始重新配置。
输入“no”会导致脚本退出。
第6步:配置连接器 当连接器配置成功运行后,浏览到连接器的Web界面: https://ip-address-of-connector/ 完成以下步骤以设置新连接器。
配置连接器
1.在连接器登录页面上,选择Getstartednow(立即开始)。
2.阅读许可协议,选中复选框,然后选择Next。
3.为连接器创建密码。
密码必须符合显示的标准。
选择下一步。
4.在存储库的网络信息页面上,您可以(还可以执行其他任务)向连接器分配静态IP地址(如果尚未完成 该操作)。
选择下一步。
5.在存储库的日志上传和升级“页面”,选择自动上传日志和ServerMigrationConnector自动升级,然后选 择下一步.6.在ServerMigrationService页面上,提供以下信息: •适用于Amazon区域在列表中选择您的区域。
•适用于Amazon凭证,输入您在中创建的IAM凭证IAM用户的权限(p.5).选择下一步。
7.在Chooseyour虚拟机managertype页面上,根据您的环境选择Microsoft®SystemCenterVirtualManager(SCVMM)或Microsoft®Hyper-
V。
选择VMware®vCenter如果您已安装Hyper-V连接器,则会导致出错。
选择下一步。
8.在存储库的Hyper-V:主机和服务帐户设置要么SCVMM:主机和服务帐户设置页面上,提供您在中创建的ActiveDirectory用户的账户信息。
第1步:在ActiveDirectory中为服务器迁移连接器创建服务帐户(p.13),包括用户名和密码.9.•[仅SCVMM]提供要由此连接器处理的SCVMM主机名,然后选择下一步.检查主机的证书,然后选 择Trust(信任)(如果证书是有效的)。
•[仅单机Hyper-V]为每个要由此连接器处理的主机提供Hyper-V主机名。
要添加其他主机,请使用加 号。
要检查每个主机的证书,请选择VerifyCertificate(验证证书),然后选择Trust(信任)(如果证书是有效的)。
选择下一步。
或者,您可以选择主机特定选项以针对SCVMM或Hyper-V主机证书Ignorehostnamemismatchandexpirationerrors...。
我们不建议在生产中覆盖安全性,但在测试期间可能会很有用。
Note 如果您的Hyper-V主机位于多个ActiveDirectory域中,我们建议您为每个域配置一个单独的连接器。
10.如果您已成功对连接器进行身份验证,您应该会看到恭喜您页.要查看连接器的运行状况,请选择转到连接器仪表板. 17 AmazonServerMigrationService用户指南在Azure上安装 11.要验证现在是否已列出您注册的连接器,请打开连接器页面上的AmazonServerMigrationService控制台。
如果您在注册连接器时遇到问题,请联系sms-service@. 在Azure上安装服务器迁移连接器 使用以下信息在Azure上安装服务器迁移连接器,以便您能使用以下信息。
AmazonSMS将虚拟机从Azure迁移到AmazonEC2。
此信息只适用于由Azure托管的虚拟机。
有关在其他环境中安装连接器的信息,请参阅安装服务器迁移连接器(p.9)。
迁移方案的注意事项 •单个服务器迁移连接器设备只能迁移一个订阅和一个Azure区域中的虚拟机。
•在部署Server迁移Connector设备后,无法更改其订阅或区域,除非您在新订阅和区域中部署另一个连 接器。
•AmazonSMS支持部署任意数量的服务器迁移连接器设备VM,以支持同时从多个Azure订阅和区域进行 迁移。
•服务器迁移连接器不支持Azure政府区域。
Azure连接器的要求 •Azure连接器的建议VM大小为F4s-4个vCPU和8GBRAM。
确保在部署连接器的区域中有足够的AzureCPU配额。
•可用于部署连接器的标准存储账户(不能是Premium)。
•可在其中部署连接器的虚拟网络。
•端口443(HTTPS)上的入站访问(建议从连接器的虚拟网络中访问或向公众开放(不推荐)),用于连接 器注册和查看连接器控制面板。
•用于访问Amazon服务、访问Azure服务、执行连接器操作系统更新等操作的出站访问。
目录•第1步:下载连接器安装脚本(p.18)•第2步:验证脚本文件的完整性和加密签名(p.19)•第3步:运行脚本(p.20)•第4步:配置连接器(p.20)•(替代方案)手动部署服务器迁移连接器(p.21) 第1步:下载连接器安装脚本 AmazonSMS提供一个可下载的Powershell脚本以在Azure环境中部署连接器。
该脚本由Amazon加密签名。
请完成该过程以运行该Powershell脚本,并在Azure环境中自动安装连接器。
该脚本需要使用PowerShell5.1或更高版本。
Note Amazon建议使用脚本化安装,但也可以手动安装连接器。
有关更多信息,请参阅(替代方案)手动部署服务器迁移连接器(p.21)。
下载脚本和哈希文件
1.从以下URL中下载Powershell脚本和哈希文件: 18 AmazonServerMigrationService用户指南第2步:验证脚本文件的完整性和加密签名 文件 URL 安装脚本 /sms-connector/aws-sms-azure-setup.ps1 MD5哈希 /sms-connector/aws-sms-azure-setup.ps1.md5 SHA256哈希/sms-connector/aws-sms-azure-setup.ps1.sha256
2.在下载后,将文件传输到您计划运行该脚本的计算机上。
第2步:验证脚本文件的完整性和加密签名 在运行脚本之前,我们建议您验证其完整性和签名,从而确保在传输到您的计算机时没有对其进行更改。
这些过程假定您已下载脚本和哈希文件,在打算运行脚本的计算机的桌面上安装了脚本和哈希文件,并且您以管理员身份进行登录。
您可能需要修改过程来匹配您的设置。
使用加密哈希验证脚本完整性(PowerShell)
1.使用下载的一个或两个哈希文件验证脚本文件的完整性。
a.要使用MD5哈希进行验证,请在PowerShell窗口中运行以下命令: PSC:\Users\Administrator>Get-FileHashaws-sms-azure-setup.ps1-AlgorithmMD5 这应该返回类似于以下内容的信息: Algorithm--------MD5 Hash---1AABAC6D068EEF6EXAMPLEDF50A05CC8 b.要使用SHA256哈希进行验证,请在PowerShell窗口中运行以下命令: PSC:\Users\Administrator>Get-FileHashaws-sms-azure-setup.ps1-AlgorithmSHA256 这应该返回类似于以下内容的信息: Algorithm--------SHA256 Hash---6B86B273FF34FCE19D6B804EFF5A3F574EXAMPLE22F1D49C01E52DDB7875B4B
2.将返回的哈希值与下载的文件aws-sms-azure-setup.ps1.md5和aws-sms-azuresetup.ps1.sha256中提供的值进行比较。
接下来,使用PowerShell或Windows用户界面检查脚本文件是否包含来自的有效签名。
Amazon.检查脚本文件是否包含有效的加密签名(PowerShell)•在PowerShell窗口中,运行以下命令: PSC:\Users\Administrator>Get-AuthenticodeSignatureaws-sms-azure-setup.ps1|Select* 正确签名的脚本文件应返回类似以下内容的信息: SignerCertificate :[Subject] 19 AmazonServerMigrationService用户指南第3步:运行脚本 O=DigiCertInc,C=US... TimeStamperCertificateStatusStatusMessagePath ... CN="AmazonWebServices,Inc."...[Issuer] CN=DigiCertEVCodeSigningCA(SHA2),OU=, ::Valid:Signatureverified.:C:\Users\Administrator\\aws-sms-azure-setup.ps1 检查脚本文件是否包含有效的加密签名(WindowsGUI)
1.在Windows资源管理器中,在脚本文件上打开上下文(右键单击)菜单,然后依次选择Properties、DigitalSignatures、AmazonWebServices和Details。
2.确认显示的信息包含“TisdigitalsignatureisOK”和“AmazonWebServices,Inc.”是签名者。
第3步:运行脚本 从安装了PowerShell5.1或更高版本的任何计算机运行此脚本。
Note如果您的PowerShell执行策略设置为验证签名的脚本,则系统将会在您运行连接器配置脚本时提示您输入授权。
验证该脚本是由“AmazonWebServices,Inc.”发布的。
然后选择“R”来运行一次。
您可以使用Get-ExecutionPolicy查看此设置并使用Set-ExecutionPolicy修改它。
PSC:\Users\Administrator>.\aws-sms-azure-setup.ps1ountNamenameExistingVNetNamename-SubscriptionIdidNamename ountName要部署连接器的存储账户的名称。
ExistingVNetName要在其中部署连接器的虚拟网络的名称。
SubscriptionId(可选)要使用的订阅的ID。
如果您未指定此参数,则使用账户的默认订阅。
Name(可选)虚拟网络中的子网的名称。
如果您未指定此参数,则使用名为“default”的子网。
在脚本提示输入Azure登录名时,请使用具有部署该连接器的订阅的管理员权限的登录名。
在脚本完成时,将在您的账户中部署连接器。
该脚本会输出连接器的私有IP地址以及连接器虚拟机的系统已分配身份的对象ID。
您需要这两项才能完成下一个步骤。
第4步:配置连接器 从在其中部署连接器的同一虚拟网络上的另一个虚拟机中,使用以下URL浏览到连接器的Web界面,其中包括您在上一步中获得的连接器的私有IP地址: https://ip-address-of-connector 20 AmazonServerMigrationService用户指南(替代方案)手动部署服务器迁移连接器 配置连接器
1.在连接器登录页面上,选择Getstartednow(立即开始)。
2.阅读许可协议,选中复选框,然后选择Next。
3.为连接器创建密码。
密码必须符合显示的标准。
选择下一步。
4.在存储库的网络信息页面上,您可以找到有关执行网络相关任务(例如设置网络相关任务)Amazon连 接器的代理。
选择下一步。
5.在LogUploads(日志上传)页面上,选择Uploadlogsautomatically(自动上传日志),然后选择Next (下一步)。
6.在ServerMigrationService页面上,提供以下信息: •适用于Amazon区域在列表中选择您的区域。
•适用于Amazon凭证,输入您在中创建的IAM凭证。
IAM用户的权限(p.5).选择下一步。
7.在AzureountVerification(Azure账户验证)页面上,验证您的Azure订阅ID和位置是否正确。
此连接器可根据此订阅和位置迁移虚拟机。
提供连接器虚拟机的系统分配身份的对象ID,它是作为部署脚本的输出提供的。
8.如果已成功设置连机器,则将显示Congratulations(恭喜)页面。
要查看连机器的运行状况,请选择Gotoconnectordashboard(转到连接器控制面板)。
9.要验证是否列出了您注册的连接器,请打开连接器“SystemsManager”控制台上的页面。
(替代方案)手动部署服务器迁移连接器 完成此过程可在Azure环境中手动安装连接器。
手动安装连接器
1.以具有部署该连接器的订阅的管理员权限的用户身份登录到Azure门户。
2.确保您已准备好提供存储账户、其资源组、虚拟网络和Azure区域,如中所述。
Azure连接器的要 求(p.18).3.从下表中的URL下载连接器VHD和关联的文件。
文件 URL 连接器VHD /release/AWS-SMS-Connector-forAzure.vhd MD5哈希 /sms-connector/AWS-SMS-Connector-forAzure.vhd.md5 SHA256哈希 /sms-connector/AWS-SMS-Connector-forAzure.vhd.sha256
4.使用与第2步:验证脚本文件的完整性和加密签名(p.19)中描述的过程类似的过程,验证连接器VHD的加密完整性。
5.将连接器VHD和关联的文件上传到您的存储账户中。
6.使用以下参数值创建新的托管磁盘: •ResourceGroup:选择您的资源组•名称:任何名称-例如,SMS-connector-disk-westus•区域:选择您的Azure区域•可用区:无•源类型:StorageBlob(选择您在步骤3.c中上传的VHDBlob。
) 21 AmazonServerMigrationService用户指南(替代方案)手动部署服务器迁移连接器 •OSType:Linux•Size:60GB/标准HDD7.选择CreateVM(创建虚拟机),以从创建的托管磁盘中创建新的虚拟机。
分配以下参数值。
在Basics(基本信息)选项卡下面: •ResourceGroup:输入您的资源组•虚拟机名称:任何名称,例如sms-Connector-vm-westus•区域:选择您的Azure区域•Size:F4s•PublicInboundPort:无 在Disks(磁盘)选项卡下面: •OS磁盘类型:标准HDD 在Networking(联网)选项卡下: •虚拟网络:输入您的虚拟网络名称•子网:保留默认值,或选择特定的子网•公有IP:将保留为新•NIC网络安全组:基本•PublicInboundPort:无•接受其余字段的默认值。
在Management(管理)选项卡下: •启动诊断:On•操作系统GuestM:Off•诊断存储帐户:存储账户•SystemAddManagedIdentity:On•启用自动关闭:Off8.审核和创建虚拟机。
这将是您的连接器虚拟机。
9.下载两个角色文档: •/sms-connector/SMSConnectorRole.json•/sms-connector/SMSConnectorRoleSA.json10.(重要提示)自定义角色文档。
编辑SMSConnectorRole.json。
将name字段更改为sms-connectorrole-subscription_id。
然后更改AssignableScopes字段以与您的订阅ID匹配。
编辑SMSConnectorRoleSA.json。
将name字段更改为sms-connectorrole-storage_ount。
例如,如果您的账户为testStorage,则名称字段必须为smsconnector-role-testStorage。
然后,更改AssignableScopes字段以与您的订阅、资源组和存储账户值匹配。
11.创建角色定义。
目前,无法从Azure门户中创建角色定义。
对于该步骤,您必须使用AzCLI或AzPowerShell。
利用New-AzRoleDefinition(AzPowerShell)或azroledefinitioncreate(AzCLI)命令,使用上一步中创建的JSON文件在您的订阅中创建这些自定义角色。
12.将角色分配给连接器虚拟机。
在Azure门户中,选择Storageount(存储账户)、essControl(访问控制)、Roles(角色)、Add(添加)和AddRoleAssignment(添加角色分配)。
选择角色sms- 22 AmazonServerMigrationService用户指南(替代方案)手动部署服务器迁移连接器 connector-role,分配对虚拟机的访问权限,并从列表中选择连接器虚拟机的系统已分配身份。
对角色sms-connector-role-storage_ount重复此过程。
13.重新启动连接器虚拟机以激活角色分配。
14.继续浏览第4步:配置连接器(p.20)。
23 AmazonServerMigrationService用户指南复制服务器 使用复制VMAmazonSMS控制台 您可以使用AmazonSMS控制台导入服务器目录并将本地服务器迁移到AmazonEC2。
对于使用AmazonCommandLineInterface(AmazonCLI),请参阅使用复制VMAmazonCLI的命令AmazonSMS(p.27). 注意事项 •将本地服务器复制到Amazon最多可以持续90天(每个服务器)。
使用时间从开始复制服务器时开始,到终止复制作业时结束。
90天之后,系统会自动终止您的复制作业。
您可以从AmazonWebServicesSupport请求一个扩展名。
•如果您启用了AmazonSMS和AmazonMigrationHubMMigrationHubationHub上也可以看到您的SMS服务器目录。
有关更多信息,请参阅从MigrationHub导入应用程序(p.35)。
•在复制过程中,AmazonSMS启用了服务器端加密的存储AmazonS3和一个存储桶,该策略用于在7天后删除存储桶中的所有项目。
AmazonSMS将服务器卷从您的环境复制到此存储桶,然后从这些卷创建EBS快照。
如果您不删除此存储桶,则AmazonSMS会将它用于此区域中的所有复制作业。
•在AMI创建过程中,AmazonSMS设置DeleteOnTermination属性的根卷为false,覆盖默认值。
您可以在终止实例后手动删除根卷,也可以将属性设置为true,以便AmazonEC2在实例终止时删除根卷。
有关更多信息,请参阅。
在实例终止时保留AmazonEBS卷中的AmazonEC2用户指南. 任务•复制服务器(p.24)•恢复复制作业(p.25)•监控服务器复制作业(p.25)•删除复制作业(p.26) 复制服务器 AmazonSMS自动将实时服务器卷复制到Amazon并根据需要创建Amazon系统映像(AMI)。
复制服务器
1.如所述安装服务器迁移连接器安装服务器迁移连接器(p.9).2.打开AmazonSMS控制台/servermigration/.3.在导航菜单中,选择Connectors。
验证您在虚拟化环境中部署的连接器所显示的状态是否正常。
4.如果您尚未导入目录,请依次选择Servers和Importservercatalog。
要反映在以前的导入操作之后在 VMware环境中添加的新服务器,请选择Re-importservercatalog。
这个过程最多需要一分钟。
5.选择要复制的服务器,然后选择Createreplicationjob。
6.在Configureserver-specificsettings页面上的Licensetype列中,选择要从复制作业创建的AMI的许 可类型。
Linux服务器只能使用自带许可(BYOL)。
Windows服务器可以使用由Amazon或者BYOL。
您还可以选择Auto(自动)以让AmazonSMS选择适当的许可证。
选择下一步。
7.在存储库的配置复制作业设置页面上,提供以下信息,然后选择下一步: •复制作业类型—指定复制间隔(每1-24小时)或者选择一次性迁移.•启动复制—选择立即立即启动复制在以后的日期和时间在指定的日期和时间(将来最多30天)开始 复制。
日期和时间是使用浏览器的本地时间指定的。
24 AmazonServerMigrationService用户指南恢复复制作业 •IAM服务角色—选择允许创建自动化角色拥有AmazonSMS代表您创建服务相关角色或者使用我自己的角色指定现有IAM角色。
有关更多信息,请参阅的服务相关角色AmazonSMS(p.43)。
如果此选项不会存在AmazonSMS已代表您创建了服务相关角色。
•说明—复制运行的描述。
•启用自动删除AMI—要启用自动删除AMI,请选择是并指定要保留的AMI的最大数量(从1-270 起)。
要禁用自动删除AMI,请选择否.•启用AMI加密—要启用AMI加密,请选择是并指定加密密钥(使用其密钥ID、Amazon资源名称或 别名)或留空以使用默认密钥进行EBS加密。
要禁用AMI加密,请选择否.•启用通知—选择是将AmazonSimpleNotifyService(AmazonSNS)配置为在复制作业完成、失败或 被删除时通知列表中的收件人。
有关更多信息,请参阅AmazonSimpleNotificationService开发人员指南。
•在连续失败时暂停复制作业—选择是将作业移动到PausedOnFailure状态,而不是立即到Failed状态,如果作业连续遭遇失败。
此选项不适用于一次性复制作业。
8.在存储库的审核页面上,检查您的设置并根据需要更新。
完成后,选择Create。
在设置复制作业后,将在指定的时间自动开始复制,并在指定的间隔内重复复制。
除了计划的复制运行外,您还可以每24小时启动至多两次按需复制运行。
在Replicationjobs页面上,选择一个作业,然后依次选择Actions和Startreplicationrun。
此时将启动不会对计划的复制运行有任何影响的复制运行,但在计划运行时按需运行仍在进行的情况除外。
在这种情况下,将跳过计划的运行并将其重新计划在下一个间隔。
如果前面的计划运行仍在进行时某一计划运行到期,则会出现相同的情况。
恢复复制作业 AmazonSMS可以在最大数量的连续计划复制作业失败后暂停复制作业。
尝试恢复处于PausedOnFailure状态的作业之前,请尝试确定并修复复制运行失败的根本原因。
有关更多信息,请参阅在准备阶段复制运行失败(p.50)。
恢复已暂停的复制作业
1.在AmazonSMS控制台中,选择Replicationjobs(复制作业)。
2.在搜索栏中,按PausedOnFailure筛选作业以确定所有已暂停的作业。
3.要恢复已暂停的作业,请选择该作业,然后依次选择Actions(操作)和Resumereplicationjob(恢复复 制作业)。
监控服务器复制作业 您可以管理和跟踪每个迁移的进度。
监控和修改服务器复制作业
1.在AmazonSMS控制台中,选择Replicationjobs(复制作业)。
可通过滚动表来查看所有复制作业。
在搜索栏中,可按特定值筛选表内容。
2.选择一个复制作业,以便在下方的窗格中查看有关该作业的详细信息。
Jobdetails选项卡显示有关当前复制运行的信息,包括该复制作业创建的最新AMI的ID。
Runhistory选项卡显示有关选定复制作业的所有复制运行的详细信息。
3.要更改任何作业参数,请在Replicationjobs页面上选择一个作业,然后依次选择Actions和Editreplicationjob。
在Editconfigurationjob表单中输入新信息后,选择Save以提交您的更改。
Note 您可能需要刷新页面,才能使更改可见。
25 AmazonServerMigrationService用户指南删除复制作业 删除复制作业 在复制完服务器后,可以删除复制作业。
这会停止复制作业并清除该服务创建的任何项目(例如,作业的S3存储桶)。
这不会删除由已停止的作业运行创建的任何AMI。
当您使用完连接器并且不再需要将其用于任何复制作业时,可以从AmazonSMS中将其取消关联。
关闭复制
1.选择Replicationjobs,再选择所需作业,然后依次选择Actions和Deletereplicationjobs。
在确认窗口 中,选择Delete。
Note您可能需要刷新页面,才能使更改可见。
2.要在不再需要服务器目录后将其清除,请依次选择Servers和Clearservercatalog。
3.要在不再需要连接器时取消其关联,请选择Connectors(连接器)并选择该连接器。
在其信息部分的右上 角选择Disassociate,然后在确认窗口中再次选择Disassociate。
26 AmazonServerMigrationService用户指南 使用复制VMAmazonCLI的命令AmazonSMS 您可以使用AmazonCommandLineInterface(AmazonCLI)来清点您的本地服务器并将其迁移到AmazonEC2。
对于使用AmazonSMS控制台,请参阅使用复制VMAmazonSMS控制台(p.24).先决条件•按照中所述安装服务器迁移连接器安装服务器迁移连接器(p.9).•如果您未使用AmazonSMS控制台开始复制作业,则必须使用以下create-service-linked-role命令创建所 需的服务相关角色。
awsiamcreate-service-linked-role--aws-service-name 有关更多信息,请参阅的服务相关角色AmazonSMS(p.43)。
注意事项•将本地服务器复制到Amazon最多可以持续90天(每个服务器)。
使用时间从开始复制服务器时开始, 到终止复制作业时结束。
90天之后,系统会自动终止您的复制作业。
您可以从AmazonWebServicesSupport请求一个扩展名。
•如果您启用了与之间的集成AmazonSMS和AmazonMigrationHub,您的SMS服务器目录也可以在MigrationHub上显示。
有关更多信息,请参阅从MigrationHub导入应用程序(p.35)。
•在复制过程中,AmazonSMS在启用了服务器端加密的存储AmazonS3和一个存储桶策略,该策略用于在7天后删除存储桶中的所有项目。
AmazonSMS将服务器卷从您的环境复制到此存储桶,然后从这些卷创建EBS快照。
如果您不删除此存储桶,则AmazonSMS会将它用于此区域中的所有复制作业。
•在AMI创建过程中,AmazonSMS设置DeleteOnTermination属性的根卷为false,覆盖默认值。
您可以在终止实例后手动删除根卷,也可以将属性设置为true,以便AmazonEC2在实例终止时删除根卷。
有关更多信息,请参阅。
在实例终止时保留AmazonEBS卷中的AmazonEC2用户指南. 使用CLI复制服务器
1.使用get-connectors命令获取注册给您的连接器的列表。
awssmsget-connectors
2.通过控制台安装并注册连接器后,使用import-server-catalog命令创建服务器清单。
这个过程最多需要一分钟。
awssmsimport-server-catalog
3.使用获取服务器命令显示可用于导入到AmazonEC2的服务器的列表。
awssmsget-servers 该输出值应该类似于以下内容: { 27 AmazonServerMigrationService用户指南 "serverList":[{"serverId":"s-12345678","serverType":"VIRTUAL_MACHINE","vmServer":{"vmManagerName":"","vmServerAddress":{"vmManagerId":"your-vcenter-instance-uuid","vmId":"vm-123"},"vmName":"your-linux-vm","vmPath":"/Datacenters/DC1/vm/VMFolderPath/your-linux-vm","vmManagerType":"vSphere"}},{"replicationJobTerminated":false,"serverId":"s-23456789","serverType":"VIRTUAL_MACHINE","replicationJobId":"sms-job-12345678","vmServer":{"vmManagerName":"","vmServerAddress":{"vmManagerId":"your-vcenter-instance-uuid","vmId":"vm-234"},"vmName":"YourWindowsVM","vmPath":"/Datacenters/DC1/vm/VMFolderPath/YourWindowsVM","vmManagerType":"vSphere"}} ]} 如果尚未导入服务器目录,您会看到类似以下内容的输出: {"lastModifiedOn":1477006131.856,"serverCatalogStatus":"NOTIMPORTED","serverList":[] } DELETED或EXPIRED目录状态也表示该目录不包含任何服务器。
4.选择要复制的服务器,记下服务器ID,并在create-replication-job命令中指定ID。
awssmscreate-replication-job--server-ids-12345678\--frequency12\--seed-replication-time2016-10-24T15:30:00-07:00\--role-nameAWSServiceRoleForSMS 复制作业设置完成后,它会在使用--seed-re