Azure Migrate 在一个中心位置提供多种工具,帮助你发现、评估应用、基础结构和工作负荷并将其迁移到 Azure。
本文总结了部署 Azure Migrate 设备时要遵循的最佳做法。 这些最佳做法有助于确保迁移的安全性。
资源组
为 Azure Migrate 项目设置专用资源组。 这种做法有助于隔离资源、分配基于角色的访问控制(RBAC)和清理 Azure Migrate 资源。
Server
若要避免与其他组件冲突,请在专用服务器上部署 Azure Migrate 设备。 不应在 Azure Migrate 设备服务器上安装其他应用程序。
设备类型
若要选择正确的 Azure Migrate 设备类型,请遵循以下最佳做法:
若要发现 VMware 资产,请使用支持无代理依赖项分析的 VMware 设备。 可以将同一设备用于无代理迁移。
若要发现 Hyper-V 环境,请使用支持无代理依赖性分析的 Hyper-V 工具。 可以使用同一设备进行迁移,但它需要在 Hyper-V 主机上安装代理。
若要发现物理服务器、AWS 服务器和 GCP 服务器,请使用支持无代理依赖分析的物理型号的设备。 若要迁移,需要辅助复制设备,并且应在目标计算机上安装代理。
网络
遵循以下网络最佳做法:
- 限制出站连接:Azure Migrate 设备需要在所选网络终结点上建立出站连接。 如果在本地配置了防火墙或代理服务器,请仅允许列出 所需的 URL 来限制设备上的出站连接。
限制端口访问:设备与以下设备通信:
- vCenter 服务器默认通过 TCP 端口 443(可自定义)。
- Hyper-V 主机在 WinRM 端口 5986/5985 上运行。
- 通过 TCP 端口 22 访问的 Linux 服务器。
设备服务器通过 SSL 端口 443 将收集的元数据发送到 Azure Migrate 发现和评估工具和 Azure Migrate 和现代化工具。
操作系统映像强化
按照这些建议强化 OS 映像:
将设备计算机加入域。
使用 PowerShell 安装脚本或 OVA/VHD 模板在受支持的 Windows Server 版本上部署 Azure Migrate 设备。
使用 安全基线强化 Azure Migrate 设备的 OS 映像。 下载 安全符合性工具包 ,以在 Azure Migrate 设备计算机上应用安全基线。 通过使用工具包,管理员可以:
- 将当前组策略对象(GPO)与Microsoft推荐的 GPO 基线或其他基线进行比较。
- 编辑其 GPO。
- 以 GPO 备份文件格式存储其 GPO。
- 通过域控制器应用 GPO,或将其直接注入测试台主机以测试其效果。
Credentials
在设备配置管理器上提供的所有凭据都存储在设备服务器本地,不会发送到 Azure。 存储在设备服务器上的凭据通过数据保护 API (DPAPI) 协议进行加密。
请按照以下建议处理凭据:
- 根据发现的工作负载,请专门针对计划将 Azure Migrate 设备用于的方案使用最低特权凭据。
- 使用域帐户减少发现所需的帐户总数。 此方法可减少管理多个用户帐户的作开销。 它还能够在发生安全漏洞时灵活更新凭据。
标识和访问管理
若要在本地或以远程方式访问设备配置管理器,则设备服务器上需要有具备管理权限的本地或域用户帐户。 对设备计算机的管理访问权限应限制为特权用户。
漏洞保护
默认情况下,设备服务器上启用自动更新服务,以自动修补与 Azure Migrate 相关的所有组件。 通过代理更新解决 Azure Migrate 设备上报告的任何漏洞。
若要帮助防止漏洞,请遵循以下建议:
- 始终启用自动更新服务,以帮助确保设备保持安全。
- 定期修补 Windows Server 以帮助保护 OS 层的安全。
相关内容
- 详细了解 Azure Migrate 工具。
- 使用 PowerShell 脚本部署 Azure Migrate 设备。