AWS Server Migration Service使用者指南

AWS Server Migration Service 使用者指南

AWS Server Migration Service: 使用者指南Copyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon 的商標和商業外觀不得用於任何非 Amazon 的產品或服務，也不能以任何可能造成客戶混淆、任何貶低或使Amazon 名譽受損的方式使用 Amazon 的商標和商業外觀。所有其他非 Amazon 擁有的商標均為其各自擁有者的財產，這些擁有者可能隸屬於 Amazon，或與 Amazon 有合作關係，亦或受到 Amazon 贊助。

AWS Server Migration Service 使用者指南

Table of Contents什麼是 AWS SMS？ ........................................................................................................................... 1

Pricing ...................................................................................................................................... 1需求 .................................................................................................................................................. 2

一般要求 .................................................................................................................................... 2作業系統 .................................................................................................................................... 3磁碟區類型和檔案系統 ................................................................................................................. 4設定伺服器移轉連接器的 IAM 使用者 ............................................................................................. 5IAM 使用者的許可 ....................................................................................................................... 5Limitations ................................................................................................................................. 5

映像格式 ............................................................................................................................ 5Booting ............................................................................................................................. 6Networking ........................................................................................................................ 6從 Migration Hub 匯入應用程式 ............................................................................................. 6Miscellaneous .................................................................................................................... 6

授權選項 .................................................................................................................................... 7適用於 Linux 的授權 ............................................................................................................ 7適用於 Windows 的授權 ....................................................................................................... 7

其他使用要求 ............................................................................................................................. 8安裝連接器 ........................................................................................................................................ 9

在 VMware 上安裝 ...................................................................................................................... 9在 Hyper-V 上安裝 .................................................................................................................... 11

關於 Server Migration Connector 安裝指令碼 ......................................................................... 12步驟 1：在使用中的目錄中建立伺服器移轉連接器的服務帳戶 .................................................... 13步驟 2：下載並部署 Server Migration Connector .................................................................... 13步驟 3：下載並安裝 Hyper-V/SCVMM 組態指令碼 .................................................................. 15步驟 4：驗證指令碼檔案的完整性和密碼編譯簽章 ................................................................... 15步驟 5：執行指令碼 ........................................................................................................... 16步驟 6：設定連接器 ........................................................................................................... 17

在 Azure 上安裝 ....................................................................................................................... 18步驟 1：下載連接器安裝指令碼 ........................................................................................... 19步驟 2：驗證指令碼檔案的完整性和密碼編譯簽章 ................................................................... 19步驟 3：執行指令碼 ........................................................................................................... 20步驟 4：設定連接器 ........................................................................................................... 21(替代) 手動部署伺服器移轉連接器 ........................................................................................ 21

使用主控台來複寫 VM ........................................................................................................................ 24複寫伺服器 ............................................................................................................................... 24繼續複寫任務 ............................................................................................................................ 25監視伺服器複寫工作 .................................................................................................................. 25刪除複寫任務 ............................................................................................................................ 26

使用複寫 VMAWS CLI ....................................................................................................................... 27遷移應用程式 .................................................................................................................................... 31

使用應用程式移轉 ...................................................................................................................... 31建立應用程式 .................................................................................................................... 32設定複寫設定 .................................................................................................................... 32設定啟動設定 .................................................................................................................... 33啟動複寫 .......................................................................................................................... 34啟動應用程式 .................................................................................................................... 35產生 CloudFormation 範本 .................................................................................................. 35

從 Migration Hub 匯入應用程式 ................................................................................................... 35CloudWatch Events Events 和 Lambda ................................................................................................ 36

處理 CloudWatch 件規則AWS SMS ............................................................................................. 36使用 CloudTrail 日誌日誌 ................................................................................................................... 38

AWS SMSCloudTrail 中的資訊 .................................................................................................... 38了解 AWS SMS 日誌檔案項目 .................................................................................................... 38

iii

AWS Server Migration Service 使用者指南

安全性 ............................................................................................................................................. 40資料保護 .................................................................................................................................. 40

靜態加密 .......................................................................................................................... 41傳輸中加密 ....................................................................................................................... 41

Identity and Access Management ................................................................................................ 41政策結構 .......................................................................................................................... 41政策範例 .......................................................................................................................... 42預先定義AWS受管政策 ....................................................................................................... 43

服務連結角色 ............................................................................................................................ 43服務連結角色授予的許可 .................................................................................................... 43建立服務連結角色 .............................................................................................................. 43編輯服務連結角色 .............................................................................................................. 43刪除服務連結角色 .............................................................................................................. 44舊版 IAM 角色 .................................................................................................................. 44

彈性 ........................................................................................................................................ 45基礎設施安全 ............................................................................................................................ 45合規驗證 .................................................................................................................................. 45

疑難排解 .......................................................................................................................................... 47連接器的記錄檔 ......................................................................................................................... 47註冊連接器時失敗 ...................................................................................................................... 48將虛擬機器上傳到 Amazon S3 時發生憑證錯誤 .............................................................................. 48

升級您的連接器 ................................................................................................................. 48重新註冊您的連接器 .......................................................................................................... 48

伺服器遷移連接器無法連線至AWS錯誤訊息為「PKIX 路徑建置失敗」 ............................................... 49此 CA 根憑證不受信任 ............................................................................................................... 49準備階段期間複寫執行失敗 ......................................................................................................... 50複寫的 AMI 不支援某些執行個體類型進行啟動 ............................................................................... 50伺服器：無法將基礎磁碟上傳到 Amazon S3 .................................................................................. 50伺服器：無法驗證複製工作 ......................................................................................................... 50發生內部錯誤。確認您的AWS認證和虛擬機器管理員認證是否正確。 ................................................. 51快照相關錯誤 (VMware) ............................................................................................................. 51檢查點錯誤 (Hyper-V) ................................................................................................................ 51增量複寫差異超過 1 TB .............................................................................................................. 51

版本備註 .......................................................................................................................................... 52vCenter 環境的版本 ................................................................................................................... 52Hyper-V/SCVMM 環境的版本 ...................................................................................................... 53Azure 環境的版本 ...................................................................................................................... 54

文件歷史記錄 .................................................................................................................................... 55....................................................................................................................................................... lvi

iv

AWS Server Migration Service 使用者指南Pricing

什麼是 AWS Server MigrationService？

AWS Server Migration Service(AWS SMS) 自動對現場部署 VMware vSphere、Microsoft Hyper-V/SCVMM和 Azure 虛擬機器執行遷移至AWS雲端。AWS SMS可逐步複寫您的伺服器 VM，做為可用於 Amazon EC2部署的雲端託管 Amazon Machine Imaine (AMI)。使用 AMI 可在生產過程中部署以雲端為基礎的映像前輕鬆地測試並更新映像。

使用 AWS SMS 來管理伺服器遷移，您可以：

• 簡化雲端遷移過程。 只需在 AWS Management Console 中點選，即可開始遷移一組伺服器。移轉啟動之後，AWS SMS管理所有遷移過程中的操作複雜性，包括自動將線上伺服器的數量複寫至AWS並定期建立新的 AMI。您可以在主控台從 AMI 快速啟動 EC2 執行個體。

• 協調多伺服器遷移：AWS SMS 允許您為構成整套「應用程式」的一組伺服器排定複寫並追蹤進度，據此協調伺服器遷移作業。您可以使用主控台來排定初次複寫、設定複寫的間隔並追蹤伺服器的進度。啟動遷移的應用程式時，您可以套用自訂組態指令碼供其在啟動期間執行。

• 以遞增方式測試伺服器移轉： 透過增量複寫的支援，AWS SMS可實現快速且可擴展性的遷移伺服器測試。由於AWS SMS使用增量複寫時，它只會將變更傳輸到雲端。因此，您可以反覆測試細微變更並儲存於網路頻寬上。

• 支援最廣為使用的作業系統。 AWS SMS 支援作業系統映像的複寫，包含 Windows 以及多種主要的 Linux發行版本。

• 減少停機時間。 逐步的 AWS SMS 複寫可在最後的新系統開始運作時間內降低應用程式停機時間對企業所造成的影響。

AWS SMS 的使用受到限制，如下所示：

• 每個帳戶可執行 50 個並行虛擬機器遷移，除非客戶請求增加限制。• 每個 VM (而不是每個帳戶) 有 90 天的服務使用時間，以 VM 初始複寫開始。我們會在 90 天之後終止持續

複寫，除非客戶請求增加限制。• 每一帳戶可執行 50 次並行應用程式遷移，各應用程式以 10 個群組和 50 部伺服器為限。

Pricing使用 Server Migration Service 不會產生其他費用。您將需支付使用 S3 儲存貯體、EBS 磁碟區、在遷移程序期間使用的資料傳輸、以及您執行的 EC2 執行個體等標準費用。若需詳細資訊，請參閱 AWS ServerMigration Service 定價。

1

AWS Server Migration Service 使用者指南一般要求

AWS Server Migration Service 的需求您的 VMware vSphere、Microsoft Hyper-V/SCVMM 或 Microsoft Azure 環境必須符合下列要求，才可使用Server Migration Service 來遷移現場部署虛擬伺服器至 Amazon EC2。

需求• 一般要求 (p. 2)• 作業系統 (p. 3)• 磁碟區類型和檔案系統 (p. 4)• 設定伺服器移轉連接器的 IAM 使用者 (p. 5)• IAM 使用者的許可 (p. 5)• Limitations (p. 5)• 授權選項AWS SMS (p. 7)• 其他使用要求 (p. 8)

一般要求設定 AWS SMS 之前，視需要採取動作以滿足下列所有要求。

所有 VM

• 您正在遷移的 VM 上需停用任何防毒軟體或入侵偵測軟體。這些服務可在遷移程序完成後重新啟用。• 中斷任何連接到 VM 的光碟機 (虛擬或實體)。

Windows VM

• 為遠端存取啟用遠端桌面 (RDP)。• 在 VM 上安裝適當版本的 .NET Framework。請注意，.NET Framework 4.5 或更新版本將會自動安裝在您

的 VM 上。

Windows 版本 .NET Framework 版本

Windows Server 2008 或更早版本 3.5 或更新版本

Windows Server 2008 R2 或更新版本 4.5 或更新版本

Windows 8 或舊版本 3.5 或更新版本

Windows 8.1 或更新版本 4.5 或更新版本

• 準備 Microsoft Windows VM 遷移時，請設定固定分頁檔大小，並確認根磁碟區至少有 6 GiB 的可用空間。這是成功安裝驅動程式的必要程序。

• 請確認您的主機防火牆 (例如 Windows 防火牆) 允許存取 RDP。否則，將無法遷移完成後存取執行個體。• 套用以下修補程序：

• 若您無法變更系統時間，如果RealTimeIsUniversal登錄項目已在 Windows 中啟用• 在 Windows Server 2008、Windows 7 或 Windows Server 2008 R2 中執行 DST 轉換期間的高 CPU 用

量• 下列執行個體類型是唯一支援 32 位元 AMIs 的執行個體類

型：t2.nano、t2.micro、t2.small、t2.medium、c3.large、t1.micro、m1.small、m1.medium

2

AWS Server Migration Service 使用者指南作業系統

和 c1.medium。若您要遷移 32 位元執行個體，將受限於這些執行個體類型以及支援這些執行個體的區域。

Linux VM

• 為遠端存取啟用 Secure Shell (SSH)。• 請確認您的主機防火牆 (例如 iptables) 允許存取 SSH。否則在遷移完成後，您將無法存取執行個體。• 確定已設定非根使用者，以在匯入執行個體後使用公開金鑰式 SSH 存取執行個體。透過 SSH 使用以密碼

為基礎的 SSH 和根登入都可能使用，但我們不建議使用。建議使用公開金鑰與非根使用者，因為這個方法比較安全。您的 Linux 虛擬機器不會有ec2-user帳戶在遷移程序中建立的一部分。

• 請確認您的 Linux VM 使用 GRUB (GRUB 舊版) 或 GRUB 2 做為其開機載入器。• 請確認您的 Linux VM 根磁碟區使用以下其中一個檔案系統：

• EXT2• EXT3• EXT4• Btrfs• JFS• XFS

• 已遷移的 Linux VM 必須使用 64 位元映像。不支援遷移 32 位元 Linux 映像。• 遷移的 Linux VM 應使用預設的核心以獲得最佳結果。使用自訂 Linux 核心的 VM 可能不會無法成功遷

移。• 當準備用於遷移的 Amazon EC2 Linux VM 時，請確認根磁碟區中至少有 250 MiB 可用的磁碟空間，以用

於安裝驅動程式和其他軟體。

以程式設計方式修改 VM

匯入虛擬機器時，AWS會修改檔案系統，讓客戶可存取已匯入的 VM。可能會發生下列動作：

• [Linux] 直接在作業系統上安裝 Citrix PV 驅動程式或修改 initrd/initramfs 以包含 Citrix PV 驅動程式。• [Linux] 修改網路指令碼， 以動態 IP 地址取代靜態 IP 地址。• [Linux] 修改 /etc/fstab，以註解保留無效項目並以 UUID 替換裝置名稱。如果找不到相符於裝置的

UUID，nofail選項將新增到裝置描述。您需要修正裝置的命名並在匯入後移除 nofail。根據最佳實務，在準備匯入 VM 時，我們建議您根據 UUID 來指定您的 VM 磁碟裝置，而不使用裝置名稱。

將停用 /etc/fstab 中的項目，該檔案包含分散式檔案系統類型 (nfs、cifs、smbfs、vboxsf、sshfs 等)。• [Linux] 修改 GRUB 開機載入器設定，例如預設項目和逾時。• [Windows] 修改登錄設定以讓 VM 可開機。

當寫一個修改過的文件時，AWS會以新名稱在相同位置保留原始檔案。

作業系統以下作業系統可使用 SMS 遷移到 EC2：

視窗 (32 位元與 64 位元)

• Microsoft Windows Server 2003 (Standard、Datacenter、Enterprise) Service Pack 1 (SP1) 或更新版本(32 與 64 位元)

• Microsoft Windows Server 2003 R2 (Standard、Datacenter、Enterprise) (32 與 64 位元)• Microsoft Windows Server 2008 (Standard、Datacenter、Enterprise) (32 與 64 位元)

3

AWS Server Migration Service 使用者指南磁碟區類型和檔案系統

• Microsoft Windows Server 2008 R2 (Standard、Web Server、Datacenter、Enterprise) (僅限 64 位元)• Microsoft Windows Server 2012 (Standard、Datacenter) (僅 64 位元)• Microsoft Windows Server 2012 R2 (Standard、Datacenter) (僅 64 位元) (不支援 Nano Server 安裝)• Microsoft Windows Server 2016 (Standard、Datacenter) (僅 64 位元)• Microsoft Windows Server 1709 (Standard、Datacenter) (僅 64 位元)• Microsoft Windows Server 1803 (Standard、Datacenter) (僅 64 位元)• Microsoft Windows Server 2019 (Standard、Datacenter) (僅 64 位元)• Microsoft Windows 7 (Home、Professional、Enterprise、Ultimate) (美式英文) (32 與 64 位元)• Microsoft Windows 8 (Home、Professional、Enterprise) (美式英文) (32 與 64 位元)• Microsoft Windows 8.1 (Professional、Enterprise) (美式英文) (僅 64 位元)• Microsoft Windows 10 (Home、Professional、Enterprise、Education) (美式英文) (僅限 64 位元)

Linux/Unix (64 位元)

• Ubuntu 12.04、12.10、13.04、13.10、14.04、14.10、15.04、16.04、16.10、17.04、18.04• Red Hat Enterprise Linux (RHEL) 5.1 至 5.11、6.1 至 6.9、7.0 至 7.6 (6.0 缺少必要的驅動程式)• SUSE Linux Enterprise Server 11 Service Pack 1 與 kernel 2.6.32.12-0.7• SUSE Linux Enterprise Server 11 Service Pack 2 與 kernel 3.0.13-0.27• SUSE Linux Enterprise Server 11 Service Pack 3 與 kernel 3.0.76-0.11、3.0.101-0.8 或 3.0.101-0.15• SUSE Linux Enterprise Server 11 Service Pack 4 與 kernel 3.0.101-63• SUSE Linux Enterprise Server 12 kernel 3.12.28-4• SUSE Linux Enterprise Server 12 Service Pack 1 與 kernel 3.12.49-11• SUSE Linux Enterprise Server 12 (含 Service Pack 2) 與 kernel 4.4• SUSE Linux Enterprise Server 12 (含 Service Pack 3) 與 kernel 4.4• CentOS 5.1 至 5.11、6.1 至 6.6、7.0 至 7.6 (6.0 缺少必要的驅動程式)• Debian 6.0.0 至 6.0.8、7.0.0 至 7.8.0、8.0.0• Oracle Linux 5.10 至 5.11 (含 el5uek 核心尾碼)• Oracle Linux 6.1 至 6.10 (使用 RHEL 相容核心 2.6.32 或 UEK 核心 3.8.13、4.1.12)• Oracle Linux 7.0 至 7.6 (使用 RHEL 相容核心 3.10.0 或 UEK 核心 3.8.13、4.1.12、4.14.35)• Fedora Server 19-21

磁碟區類型和檔案系統AWS Server Migration Service 支援使用以下檔案系統來遷移 Windows 和 Linux 執行個體：

作業系統 檔案系統 架構 分割區資料表 支援的資料磁碟區

支援的開機磁碟區

MBR ✔ ✔32 位元

GPT ✔  

MBR ✔ ✔

NTF

64 位元

GPT ✔ ✔ (僅限視頻高清 X)

Windows

ReFS 32 位元 MBR    

4

AWS Server Migration Service 使用者指南設定伺服器移轉連接器的 IAM 使用者

作業系統 檔案系統 架構 分割區資料表 支援的資料磁碟區

支援的開機磁碟區

GPT    

MBR ✔  64 位元

GPT ✔  

MBR ✔ ✔Linux/Unix Ex2、Ex3、Ex4、Btrf、JFS、XFS64 位元

GPT ✔  

不支援使用 EBS 加密且有磁碟區的 AMI。使用 AWS SMS 遷移伺服器時，請勿啟用預設加密。如果預設加密已啟用，而您遇到差異複寫失敗，請關閉此功能。

設定伺服器移轉連接器的 IAM 使用者若要在您的AWSaccount

1. 建立新的 IAM 使用者，以讓您的連接器與AWS。儲存產生的存取金鑰與私密金鑰以於初始連接器設定期間使用。如需管理 IAM 使用者與許可的詳細資訊，請參閱在您的AWS帳戶。

2. 附加受管理的 IAM 政策ServerMigrationConnector傳送給 IAM 使用者。如需詳細資訊，請參閱受管政策與內嵌政策。

IAM 使用者的許可根據預設，IAM 使用者沒有使用AWS SMS。具有管理員許可的 IAM 使用者已具有完整存取權AWS SMS。否則，您可以將AWS受管政策ServerMigrationServiceConsoleFullAccess以確保 IAM 使用者具有使用所需的許可AWS SMS。

Limitations具有下列限制。

限制• 映像格式 (p. 5)• Booting (p. 6)• Networking (p. 6)• 從 Migration Hub 匯入應用程式 (p. 6)• Miscellaneous (p. 6)

映像格式• 遷移由 Hyper-V/SCVMM 管理的 VM 時，SMS 支援第 1 代 VM (使用 VHD 或 VHDX 磁碟格式) 和第 2 代

VMs (僅使用 VHDX)。• 若以 VHDX 磁碟備份，AWS SMS 不支援在執行任何 RHEL 5 版本的 Hyper-V 上的 VM。我們建議將此格

式的磁碟轉換為 VHD 格式以進行遷移。

5

AWS Server Migration Service 使用者指南Booting

• AWS SMS 不支援具有混合 VHD 和 VHDX 磁碟檔案的 VM。• 在 VMware 上，AWS SMS 不支援使用區塊型設備映射 (RDM) 的 VM。僅支援 VMDK 磁碟映像。

Booting• 只有以 VHDX 做為影像格式 Windows 的開機磁碟區支援 UEFI/EFI 開機分割區。否則，VM 的開機磁碟區

必須使用主開機紀錄 (MBR) 分割區。在這兩種情況下，因受 MBR 限制，啟動磁碟區不能超過 2 TiB (未壓縮)。

Note

當 AWS 偵測到 Windows GPT 開機磁碟區與 UEFI 啟動分區，它將在無停機時間的前提下，隨時啟動分區使用 BIOS 到 MBR 啟動磁碟區。因為 EC2 不直接支援 GPT 開機磁碟區。

• 若根分割區非位於與 MBR 相同的虛擬硬碟，匯入的 VM 可能無法啟動。• 若根分割區非位於與 MBR 相同的虛擬磁碟，已遷移的 VM 可能無法啟動。• 不支援透過雙開機組態遷移 VM。

Networking• 目前不支援多個網路界面。遷移之後，您的 VM 將會有一個虛擬網路界面，使用 DHCP 來指定地址。您的

執行個體接收私有 IP 地址。• 遷移到 VPC 中的 VM 不會接收公有 IP 地址，無論子網路的自動指派公有 IP 設定為何。反之，您可以分

配彈性 IP 地址給您的帳戶，並將其與您的執行個體連結。• 不支援網際網路通訊協定第 6 版 (IPv6) 的 IP 地址。

從 Migration Hub 匯入應用程式• SMS 從 AWS Migration Hub 匯入的應用程式相關伺服器必須存在於 SMS 伺服器目錄。因此，這時可能只

能遷移部分的應用程式。• 如果 SMS 伺服器目錄中並不存在 Migration Hub 應用程式中的任何伺服器，匯入將會無提示地失敗，而

SMS 中將不會出現應用程式。• 匯入的應用程式可透過 SMS 進行遷移，在不能進行編輯。不過，這些應用程式可在遷移中心中進行編

輯。

Miscellaneous• 對於連接超過 22 個磁碟區的 VM，SMS 複寫任務將會失敗。• 不支援使用 EBS 加密且有磁碟區的 AMI。使用 AWS SMS 遷移伺服器時，請勿啟用預設加密。如果預設

加密已啟用，而您遇到差異複寫失敗，請關閉此功能。• AWS SMS 將建立使用硬體虛擬機器 (HVM) 虛擬化的 AMI。無法建立使用半虛擬 (PV) 虛擬化的 AMI。在

已遷移的 VM 中支援 Linux PVHVM 驅動程式。• 不支援做為 P2V 轉換結果而建立的 VM。在實體機器上執行 Linux 或 Windows 安裝程序而建立磁碟映

像，接著將 Linux 或 Windows 安裝複本匯入到 VM 時，會發生 P2V 轉換。• 除了以 Microsoft Windows Server 2012 R2 VM 匯入以外，AWS SMS 不會安裝單一根目錄 I/O 虛擬化

(SR-IOV) 驅動程式。除非您計劃使用可提供更高效能 (每秒封包數)、較低延遲率以及低抖動等增強聯網功能，否則不需要這些驅動程式。用於 Microsoft Windows Server 2012 R2 VM 時，將自動安裝 SR-IOV 驅動程式做為遷移程序的一部分。

• 由於獨立磁碟不受快照影響，AWS SMS 不支援在獨立模式中用於 VMDK 的間隔複寫。

6

AWS Server Migration Service 使用者指南授權選項

• 不支援使用 UTF-16 (或非 ASCII) 字元的 Windows 語言套件匯入。我們建議在匯入 Windows Server2003、Windows Server 2008 與 Windows Server 2012 R1 VM 使用英文語言套件。

• 對於 Windows Server 2003，在遷移前請先停用 Windows 驅動程式簽署檢查。

授權選項AWS SMS當您建立新的複寫任務時，AWS Server Migration Service 主控台提供的 License type (授權類型) 選項。如果您選擇的授權類型不相容於您的 VM，複寫任務將失敗並顯示錯誤訊息。可能值如下：

• Auto (自動) (預設)

偵測來源系統的作業系統 (OS) 並將適當的授權套用至遷移虛擬機器 (VM)。• AWS

將來源系統授權取代為AWS授權 (若適用)。• BYOL

若適用，在遷移 VM 上保留來源系統授權。

相同的授權選項可透過AWS SMSAPI 與 CLI。例如：

aws sms create-replication-job --license-type value

的值--license-type參數可以是AWS或BYOL。將該選項保持為未設定，與在主控台中選擇 Auto (自動) 的意義相同。

適用於 Linux 的授權Linux 作業系統僅支援 BYOL 授權。選擇Auto(預設) 表示 SMS 使用 BYOL 授權。

已遷移的 Red Hat Enterprise Linux (RHEL) VM 必須使用 Cloud Access (BYOL) 授權。如需詳細資訊，請參閱 Red Hat 網站中的 Red Hat Cloud Access。

已遷移的 SUSE Linux Enterprise Server VM 必須使用 SUSE Public Cloud Program (BYOS) 授權。如需詳細資訊，請參閱 SUSE Public Cloud Program—Bring Your Own Subscription (SUSE 公有雲端計畫 - 使用自己的訂閱)。

適用於 Windows 的授權Windows 伺服器作業系統支援 BYOL 或AWS授權。Windows 用戶端作業系統 (例如 Windows 10) 僅支援BYOL 授權。

若您選擇Auto(預設)、AWS SMS使用AWS授權 (若 VM 有伺服器作業系統)。若 VM 有用戶端作業系統，將使用 BYOL 授權。

無論您透過 MSDN 或 Windows Software Assurance Per User (依每一使用者為單位授與 Windows 存取權限)，當您使用 BYOL Microsoft 授權時，將套用下列規則：

• 您的 BYOL 執行個體依據現行的 Amazon EC2 Linux 執行個體定價來制定價格，前提是您符合以下條件：• 在專用主機上執行 (專用主機)• 啟動的 VM 來自您使用 AWS SMS 提供的軟體二進位程式碼，以 AWS SMS 當前的條款與功能為準• 指定執行個體做為 BYOL 執行個體• 在您指定的AWS區域，以及其中AWS提供 BYOL 型號

7

AWS Server Migration Service 使用者指南其他使用要求

• 使用您提供的 Microsoft 金鑰或在金鑰管理系統中使用的金鑰來啟用• 您必須考慮到當您啟動 Amazon EC2 執行個體時，可能在可用區域內任一個伺服器上執行。這表示每一

次您啟動 Amazon EC2 執行個體時 (包含停止/啟動)，它可能會在可用區域內不同的伺服器上執行。如Microsoft Volume Licensing Terms (Microsoft Volume Licensing Product Terms) 中所述，需根據授權重新指定的限制來考慮此情況，請參考授權條款，或參考特殊使用權利，以判定您是否有權使用。

• 您必須符合使用 BYOL 計畫的資格，在您與 Microsoft 的合約中需有適用的 Microsoft 軟體，例如在MSDN 使用者權利或者 Windows Software Assurance Per User Rights (依每一使用者為單位授與Windows 存取權限) 中。您有責任取得所有需要的授權，且須符合所有 Microsoft 授權要求，包含 PUR/PT。此外，您必須已接受 Microsoft 的最終使用者授權合約 (Microsoft EULA)，且只要使用 BYOL 計畫下的 Microsoft 軟體，即表示您同意 Microsoft EULA。

• AWS建議諮詢法務與其他顧問，以了解並遵循適用的 Microsoft 授權要求。服務的用量 (包括 licenseType(授權類型) 參數與 BYOL 旗標的使用) 若違反您與 Microsoft 之間的合約，將無法獲得授權或許可。

其他使用要求支援 VMware vMotion

AWS Server Migration Service 部分支援 vMotion、Storage vMotion 與其他功能，依不同虛擬機器遷移而定(如 DRS 和 Storage DRS) 且受下列限制規範：

• 若 Server Migration Connector 的 vCenter Service 帳戶在目的地 ESXi 主機、資料存放區和資料中心上具有足夠的權限，即支援在某個複寫執行結束後以及下一次複寫執行開始前，將虛擬機器移轉至新的 ESXi主機或資料存放區或資料存放區。虛擬機器本身位於新位置。

• 不支援在複寫執行運作中時，將虛擬機器遷移到新的 ESXi 主機、資料存放區和/或資料中心 (也就是在虛擬機器上傳進行中時)。

• 跨 vCenter vMotion 不支援搭配使用AWS SMS。

支援 VMware vSAN

只有在 Configure replication jobs settings (設定複寫任務設定) 頁面上的 Replication job type (複寫任務類型)設為 One-time migration (一次性遷移) 時，才可支援 vSAN 資料存放區上的 VM。

支援 VMware 虛擬磁碟區 (VVol)

AWS不支援遷移 VMware 虛擬磁碟區。但可進行部分實作。

VMware VM 快照

AWS SMS 僅支援在 VM 上進行一次性遷移，且使用快照式備份軟體。此外，避免藉由 AWS SMS 複製以在VM 建立快照。

Hyper-V 檢查點

AWS SMS不支援具有現有檢查點的虛擬機器。

Hyper-V 差異磁碟

AWS SMS不支援具有差異磁碟的虛擬機器。

8

AWS Server Migration Service 使用者指南在 VMware 上安裝

安裝 Server Migration Connector伺服器遷移連接器是安裝在您的現場部署虛擬化環境中的 FreeBSD VM。支援的平台包括 VMwarevSphere、Microsoft Hyper-V/SCVMM 和 Microsoft Azure。

內容• 在 VMware 上安裝 Server Migration Connector (p. 9)• 在 Hyper-V 上安裝 Server Migration Connector (p. 11)• 在 Azure 上安裝 Server Migration Connector (p. 18)

在 VMware 上安裝 Server Migration Connector使用下列資訊安裝 Server Migration Connector，以便您可以使用AWS SMS將 VM 從 VMware 環境遷移到Amazon EC2。

此資訊僅適用於現場部署 VMware 環境中的 VM。如需在其他環境安裝連接器的相關資訊，請參閱 安裝Server Migration Connector (p. 9)。

VMware 連接器要求

• vCenter 版本 5.1 或更高版本 (經驗證最高可至 6.7)• ESXi 版本 5.1 或更高版本 (經驗證最高可至 6.7)• 最低 8 GiB RAM• 最低的可用磁碟儲存空間為 20 GiB (精簡佈建) 或 250 GiB (完整佈建)• 支援以下網路服務。請注意，您可能需要重新設定防火牆來允許連接器與這些服務進行保留狀態的傳出連

線。• DNS-允許連接器啟動連線到連接埠 53 來執行名稱解析。• vCenter 上的 HTTPS-允許連接器啟動安全 Web 連線至 vCenter 的連接埠 443。您也可以自行決定是

否設定非預設連接埠。如果您的 vCenter 伺服器設定為使用非預設連接埠，請指定 vCenter 伺服器的主機名稱和連接埠，並以冒號分隔 (例如HOSTNAME:PORT或IP:PORT) 中的 [vCenter 服務帳戶] 頁面中的Connector 設定。

• ESXi 上的 HTTPS-允許連接器啟動與 ESXi 主機連接埠 443 之間的安全 Web 連線，ESXi 主機包含您想要遷移的 VM。

• NTP— 選擇允許連接器傳出存取連接埠 123，以進行時間同步。如果連接器同步其時鐘與 ESXi 主機，則此為非必要。

• 允許自連接器傳出連線至以下 URL 範圍：• *.amazonaws.com• *.aws.amazon.com

若要為 VMware 環境設定連接器

1. 開啟 AWS Server Migration Service 主控台並選擇 Connectors (連接器)、SMS Connector setup guide(SMS Connector 設定指南)。

2. 在AWSServer Migration Connector頁面上，選擇下載 OVA來下載適用於 VMware 環境的連接器。您也可以使用提供的 URL 來下載連接器。連接器是預先設定的 OVA 格式 FreeBSD VM，可用於在 vCenter中的部署。

9

AWS Server Migration Service 使用者指南在 VMware 上安裝

3. 設定您的 vCenter 服務帳戶。以所需權限來建立 vCenter 使用者，可建立和刪除需遷移至AWS並下載其差異磁碟。

Note

根據最佳實務，我們建議您限制 vCenter 用於連接器服務帳戶的權限，僅限包含您想要遷移的目的地 VM 之 vCenter 資料中心才可獲得權限。我們也建議您在沒有任何 VM 用於遷移的主機、資料夾與資料存放區上指定此使用者做為 vCenter 中的 NoAccess 角色，以鎖定您的vCenter 服務帳戶權限。

4. 使用以下權限在 vCenter 中建立角色：

• Datastore (資料存放區) > Browse datastore and Low level file operations (瀏覽資料存放區和低層級檔案操作) (Datastore.Browse 和 Datastore.FileManagement)

• Host (主機) > Configuration (組態) > System Management (系統管理)(Host.Config.SystemManagement)

• vApp > Export (匯出) (VApp.Export)• Virtual Machine (虛擬機器) > Snapshot management (快照管理) > Create snapshot and

Remove Snapshot (建立快照並移除快照) (VirtualMachine.State.CreateSnapshot 和VirtualMachine.State.RemoveSnapshot)

5. 指派角色，如下所示：

a. 將此 vCenter 角色指派給連接器的服務帳戶，以用來登入 vCenter。b. 指派使用資料中心的傳播權限給此角色，資料中心內含要遷移的 VM。

6. 若要手動驗證您的 vCenter 服務帳戶權限，請確認您可以使用連接器服務帳戶登入資料來登入 vSphereClient。接著將 VM 匯出為 OVF 範本，請使用資料存放區瀏覽器來自包含 VM 的資料存放區下載檔案，並在 VM 的 ESXi 主機檢視 Summary (摘要) 標籤的屬性。

如何設定 連接器

1. 使用 vSphere Client 在 VMware 環境中部署於之前程序中下載的連接器 OVA。2. 開啟連接器的虛擬機器主控台，並以密碼 ec2-user 登入為 ec2pass。如果出現提示，請提供新密

碼。3. 取得連接器的 IP 地址，如下所示：

a. 執行 sudo setup.rb 命令。這會顯示組態功能表：

Choose one of the following options: 1. Reset password 2. Reconfigure network settings 3. Restart services 4. Factory reset 5. Delete unused upgrade-related files 6. Enable/disable SSL certificate validation 7. Display connector's SSL certificate 8. Generate log bundle 0. ExitPlease enter your option [1-9]:

b. 輸入選項 2 (2)。此時會顯示目前的網路資訊及子選單，用於變更網路設定。輸出應類似以下內容：

Current network configuration: DHCPIP: 192.0.2.100Netmask: 255.255.254.0Gateway: 192.0.2.1DNS server 1: 192.0.2.200DNS server 2: 192.0.2.201DNS suffix search list: subdomain.example.com

10

AWS Server Migration Service 使用者指南在 Hyper-V 上安裝

Web proxy: not configured Reconfigure your network: 1. Renew or acquire a DHCP lease 2. Set up a static IP 3. Set up a web proxy for AWS communication 4. Set up a DNS suffix search list 5. ExitPlease enter your option [1-5]:

您必須在稍後的程序中輸入此 IP 位址。4. [選擇性] 為連接器設定靜態 IP 地址。這可防止您每次 DHCP 指派新位址給連接器時，必須重新設定

LAN 上的信任主機清單。

在 中重新設定您的網路功能表，輸入選項2。這會顯示一個表單以提供網路設定：

為各個欄位提供適當的值，然後按 Enter 鍵。您應該會看到類似下列的輸出：

Setting up static IP: 1. Enter IP address: 192.0.2.50 2. Enter netmask: 255.255.254.0 3. Enter gateway: 192.0.2.1 4. Enter DNS 1: 192.0.2.200 5. Enter DNS 2: 192.0.2.201 Static IP address configured.

5. 在連接器的網路組態功能表中，設定 DNS 尾碼搜尋清單的網域尾碼值。6. 如果您的環境使用網頁 Proxy 連線到網際網路，請立即進行設定。7. 離開連接器主控台之前，請使用ping，以驗證 LAN 內外對下列目標的網路存取：

• 在區域網路內部，依主機名稱、FQDN 和 IP 位址傳送至 ESXi 主機和 vCenter• 在區域網路外，前往AWS

8. 在 Web 瀏覽器中，以 IP 地址存取連接器 VM (https://連連連連 IP 連連/) 開啟安裝精靈，然後選擇立即開始。

9. 檢閱授權合約，選取核取方塊並選擇 Next (下一步)。10. 建立連接器的密碼。11. 選擇自動上傳日誌和Server Migration Connector。12. 適用於AWS區域，從清單中選擇您的區域。適用於AWS登入資料下，請輸入您在IAM 使用者的許

可 (p. 5)。選擇 Next (下一步)。13. vCenter Service Account (vCenter 服務帳戶) 欄位，請輸入步驟 3 的 vCenter 主機名稱、使用者名稱和

密碼。選擇 Next (下一步)。14. 在接受 vCenter 憑證後，請完成註冊，然後檢視連接器組態儀表板。15. 確認您註冊的連接器顯示於連接器(憑證已建立！) 頁面上的名稱有些許差異。如果您在註冊連接器時遇

到問題，請連絡sms-service@amazon.com。

在 Hyper-V 上安裝 Server Migration ConnectorAWS SMS 支援兩種遷移模式：從獨立 Hyper-V 伺服器遷移或從受 System Center Virtual Machine Manager(SCVMM) 的受管 Hyper-V 伺服器遷移。使用下列資訊在 Hyper-V 上安裝 Server Migration Connector，以便您可以使用AWS SMS將 VM 從 Hyper-V 遷移到 Amazon EC2。

此資訊僅適用於現場部署 Hyper-V 環境中的 VM。如需在其他環境安裝連接器的相關資訊，請參閱 安裝Server Migration Connector (p. 9)。

11

AWS Server Migration Service 使用者指南關於 Server Migration Connector 安裝指令碼

其他遷移情況考量

• 用於獨立 Hyper-V 和 SCVMM 環境的安裝程序不可互換。• 在 SCVMM 模式下設定，一個伺服器遷移連接器設備支援自一個 SCVMM (可能管理多個 Hyper-V 伺服器)

遷移。• 在獨立的 Hyper-V 模式下設定，一個伺服器遷移連接器設備支援自多個 Hyper-V 伺服器遷移。• AWS SMS支援部署任意數量的連接器設備來支援自多個 SCVMM 與多個獨立 Hyper-V 伺服器的平行遷

移。

Hyper-V 連接器要求

• 在 Windows Server 2012 R2 或 Windows Server 2016 上的 Hyper-V 角色• Active Directory 2012 或更高版本• [選用] SCVMM 2012 SP1 或 SCVMM 2016• 最低 8 GiB RAM• 最低可用的磁碟儲存空間為 300 GiB• 支援以下網路服務。請注意，您可能需要重新設定防火牆來允許連接器與這些服務進行保留狀態的傳出連

線。• DNS-允許連接器啟動連線到連接埠 53 來執行名稱解析。• 在您的 SCVMM 或獨立 Hyper-V 主機上的 WinRM 連接埠 5986 使用的 HTTPS• 連接器連接埠 443 上的傳入 HTTPS-允許連接器在連接埠 443 自 Hyper-V 主機接收安全的 Web 連線，

該主機包含您想要遷移的 VM。• NTP— 選擇允許連接器傳出存取連接埠 123，以進行時間同步。如果連接器同步其時鐘與 Hyper-V 主

機，則此為非必要。• 允許自連接器傳出連線至以下 URL 範圍：

• *.amazonaws.com• *.aws.amazon.com

內容• 關於 Server Migration Connector 安裝指令碼 (p. 12)• 步驟 1：在使用中的目錄中建立伺服器移轉連接器的服務帳戶 (p. 13)• 步驟 2：下載並部署 Server Migration Connector (p. 13)• 步驟 3：下載並安裝 Hyper-V/SCVMM 組態指令碼 (p. 15)• 步驟 4：驗證指令碼檔案的完整性和密碼編譯簽章 (p. 15)• 步驟 5：執行指令碼 (p. 16)• 步驟 6：設定連接器 (p. 17)

關於 Server Migration Connector 安裝指令碼AWS SMS 組態指令碼將自動建立適用的許可與網路連線，讓 AWS SMS 可在 Hyper-V 環境上執行任務。您必須以管理員身分在每個您想用於遷移 VM 的 Hyper-V 和 SCVMM 主機上執行指令碼。當您執行指令碼時，將執行以下操作：

1. [所有系統] 檢查 Windows 遠端管理 (WinRM) 服務是否於 SCVMM 和所有 Hyper-V 主機上啟用，若有需要請啟用並設定為開機時自動執行。

2. [所有系統]啟用 PowerShell 遠端，此選項允許連接器在該主機上透過 WinRM 連線來執行 PowerShell 命令。

3. [所有系統] 建立自我簽署的 X.509 憑證、建立 WinRM HTTPS 接聽程式並將憑證繫結至接聽程式。

12

AWS Server Migration Service 使用者指南步驟 1：在使用中的目錄中建立伺服器移轉連接器的服務帳戶

4. [所有系統] 建立防火牆規則以接受傳入 WinRM 接聽程式的連線。5. [所有系統]新增連接器的 IP 地址或網域名稱至 WinRM 組態中受信任的主機清單。在執行指令碼前，您必

須擁有此 IP 地址或網域名稱，才可以互動方式提供資訊。6. [所有系統] 以 WinRM 啟用登入資料安全性支援提供者 (CredSSP) 驗證。7. [所有系統] 對預先於 WinRM configSDDL 上設定的 Active Directory 使用者授予讀取和執行權限。這個使

用者與 步驟 1：在使用中的目錄中建立伺服器移轉連接器的服務帳戶 (p. 13)中所述的服務帳戶相同。8. [僅限獨立的 Hyper-V] 新增 Active Directory 使用者到 Hyper-V 主機上的 Hyper-V 管理員和遠端管理使用

者群組。9. [僅限獨立的 Hyper-V] 提供唯讀權限給所有由此 Hyper-V 管理的 VM 資料夾。10.[僅限 SCVMM] 授予「執行方法」、「啟用帳戶」和「遠端啟用」許可，給兩個 WMI 物件、CIMV2 以及

SCVMM 上的 Active Directory 使用者。11.[僅限 SCVMM] 在 SCVMM 中建立委託管理員角色，給予存取所有 Hyper-V 主機的權限。它會指派角色給

Active Directory 使用者。您可以在 SCVMM 編輯這個角色以選擇是否移除主機存取權限。12.[僅限 SCVMM] 檢查 SCVMM 和 Hyper-V 主機間是否存在安全 (HTTPS) 網路路徑。如果指令碼未偵測到

安全的管道，將傳回錯誤並顯示說明，協助管理員維持管道安全性。13.[僅限 SCVMM] 反覆來回所有由 SCVMM 管理的 Hyper-V 主機，並授予 Active Directory 使用者於每個

Hyper-V 主機上的所有 VM 資料夾執行唯讀權限。

步驟 1：在使用中的目錄中建立伺服器移轉連接器的服務帳戶Server Migration Connector 需要 Active Directory 中的服務帳戶。連接器組態指令碼在每個 SCVMM 和Hyper-V 主機執行，也將隨之授予這些主機存取此帳戶的權限。

Note

當在 SCVMM 模式下設定時，其管理的所有 SCVMM 主機和 Hyper-V 主機皆須位於單一的 ActiveDirectory 網域內。如果您有多個 Active Directory 網域，請為每個網域設定連接器。

建立 Active Directory 使用者

1. 若要在安裝 Active Directory 樹系的 Windows 電腦上使用 Active Directory 管理中心，須建立新的使用者並指派密碼。

2. 新增使用者至 Remote Management Users (遠端管理使用者) 群組。

步驟 2：下載並部署 Server Migration Connector下載適用於 Hyper-V 與 SCVMM 的 Server Migration Connector新增到您的現場部署環境並安裝至一個Hyper-V 主機。

若要為 Hyper-V 環境設定連接器

1. 開啟 AWS Server Migration Service 主控台並選擇 Connectors (連接器)、SMS Connector setup guide(SMS Connector 設定指南)。

2. 在AWSServer Migration Connector頁面上，選擇下載 VHD ZIP以下載 Hyper-V 的連接器。3. 傳輸已下載的連接器檔案到您的 Hyper-V 主機，請在解壓縮後匯入連接器做為 VM。4. 開啟連接器的虛擬機器主控台，並以密碼 ec2-user 登入為 ec2pass。如果出現提示，請提供新密

碼。5. 取得連接器的 IP 地址，如下所示：

a. 執行 sudo setup.rb 命令。這會顯示組態功能表：

13

AWS Server Migration Service 使用者指南步驟 2：下載並部署 Server Migration Connector

Choose one of the following options: 1. Reset password 2. Reconfigure network settings 3. Restart services 4. Factory reset 5. Delete unused upgrade-related files 6. Enable/disable SSL certificate validation 7. Display connector's SSL certificate 8. Generate log bundle 0. ExitPlease enter your option [1-9]:

b. 輸入選項 2 (2)。此時會顯示目前的網路資訊及子選單，用於變更網路設定。輸出應類似以下內容：

Current network configuration: DHCPIP: 192.0.2.100Netmask: 255.255.254.0Gateway: 192.0.2.1DNS server 1: 192.0.2.200DNS server 2: 192.0.2.201DNS suffix search list: subdomain.example.comWeb proxy: not configured Reconfigure your network: 1. Renew or acquire a DHCP lease 2. Set up a static IP 3. Set up a web proxy for AWS communication 4. Set up a DNS suffix search list 5. ExitPlease enter your option [1-5]:

您必須在稍後的程序中輸入此 IP 位址。6. [選擇性] 為連接器設定靜態 IP 地址。這可防止您每次 DHCP 指派新位址給連接器時，必須重新設定

LAN 上的信任主機清單。

在 中重新設定您的網路功能表，輸入選項2。這會顯示一個表單以提供網路設定：

為各個欄位提供適當的值，然後按 Enter 鍵。您應該會看到類似下列的輸出：

Setting up static IP: 1. Enter IP address: 192.0.2.50 2. Enter netmask: 255.255.254.0 3. Enter gateway: 192.0.2.1 4. Enter DNS 1: 192.0.2.200 5. Enter DNS 2: 192.0.2.201 Static IP address configured.

7. 在連接器的網路組態功能表中，設定 DNS 尾碼搜尋清單的網域尾碼值。8. 如果您的環境使用網頁 Proxy 連線到網際網路，請立即進行設定。9. 離開連接器主控台之前，請使用ping，以驗證 LAN 內外對下列目標的網路存取：

• 在區域網路內，依主機名稱、FQDN 和 IP 位址傳送至 Hyper-V 主機和 SCVMM• 在區域網路外，前往AWS

14

AWS Server Migration Service 使用者指南步驟 3：下載並安裝 Hyper-V/SCVMM 組態指令碼

步驟 3：下載並安裝 Hyper-V/SCVMM 組態指令碼AWS SMS提供一個可下載的 PowerShell 指令碼來設定 Windows 環境以支援與伺服器遷移連接器之間的通訊。使用相同的指令碼以設定獨立 Hyper-V 或 SCVMM。指令碼由 AWS 以密碼演算法簽署。

自以下 URL 下載指令碼和雜湊檔案：

檔案 URL

安裝指令碼 https://s3.amazonaws.com/sms-connector/aws-sms-hyperv-setup.ps1

MD5 雜湊 https://s3.amazonaws.com/sms-connector/aws-sms-hyperv-setup.ps1.md5

SHA256 雜湊 https://s3.amazonaws.com/sms-connector/aws-sms-hyperv-setup.ps1.sha256

下載之後，將已下載檔案傳輸至您計畫執行此指令碼的電腦。

步驟 4：驗證指令碼檔案的完整性和密碼編譯簽章執行指令碼之前，我們建議您驗證其完整性和簽章。這些程序假設您已下載指令碼與雜湊檔案，並將這些檔案安裝於您想要執行指令碼的電腦桌面上，且需以管理員身分登入。您可能需要修改程序以符合您的設定。

使用密碼編譯雜湊 (PowerShell) 驗證指令碼完整性

1. 使用一或兩個已下載的雜湊檔案來指令碼檔案的完整性，以確保傳輸到電腦的過程中未有變動。

a. 若要以 MD5 雜湊來驗證，請在 PowerShell 視窗中執行以下命令：

PS C:\Users\Administrator> Get-FileHash aws-sms-hyperv-setup.ps1 -Algorithm MD5

應會傳回類似以下內容的資訊：

Algorithm Hash--------- ----MD5 1AABAC6D068EEF6EXAMPLEDF50A05CC8

b. 若要以 SHA256 雜湊來驗證，請在 PowerShell 視窗中執行以下命令：

PS C:\Users\Administrator> Get-FileHash aws-sms-hyperv-setup.ps1 -Algorithm SHA256

應會傳回類似以下內容的資訊：

Algorithm Hash--------- ----SHA256 6B86B273FF34FCE19D6B804EFF5A3F574EXAMPLE22F1D49C01E52DDB7875B4B

2. 將傳回的雜湊值與下載的檔案 aws-sms-hyperv-setup.ps1.md5 和 aws-sms-hyperv-setup.ps1.sha256 中所提供的值相互比較。

接著，使用 Windows 使用者介面或 PowerShell 來確認指令碼檔案包含來自AWS。

檢查指令碼檔案是否包含有效的密碼編譯簽章 (Windows GUI)

1. 在 Windows 檔案總管中，以滑鼠右鍵按一下指令碼檔案開啟內容選單，並選擇 Properties (內容)、Digital Signatures (數位簽章)、Amazon Web Services 和 Details (詳細資訊)。

15

AWS Server Migration Service 使用者指南步驟 5：執行指令碼

2. 確認顯示的資訊包含「這個數位簽章已確認」且簽署「Amazon Web Services, Inc.」 是簽署者。

檢查指令碼檔案是否包含有效的密碼編譯簽章 (PowerShell)

• 在 PowerShell 視窗中執行下列命令：

PS C:\Users\Administrator> Get-AuthenticodeSignature aws-sms-hyperv-setup.ps1 | Select *

正確簽署的指令碼的檔案應傳回與以下內容相似的資訊：

SignerCertificate : [Subject] CN="Amazon Web Services, Inc." ... [Issuer] CN=DigiCert EV Code Signing CA (SHA2), OU=www.digicert.com, O=DigiCert Inc, C=US...

TimeStamperCertificate : Status : ValidStatusMessage : Signature verified.Path : C:\Users\Administrator\Desktop\aws-sms-hyperv-setup.ps1

...

步驟 5：執行指令碼此程序假設您已下載指令碼至您想要執行指令碼的電腦桌面上，且需以管理員身分登入。您可能需要修改顯示的程序以符合您的設定。

Note

如果您使用的是 SCVMM，必須先在每個您計劃遷出的 Hyper-V 主機上執行此指令碼，然後在SCVMM 上執行。

在各主機上執行指令碼

1. 使用 RDP 以管理員身分登入您的 SCVMM 系統或獨立 Hyper-V 主機。2. 使用下列 PowerShell 命令來執行指令碼：

PS C:\Users\Administrator> .\aws-sms-hyperv-setup.ps1

Note

如果您的 PowerShell 執行政策設為驗證已簽署的指令碼，系統會在您執行連接器組態指令碼時提示您輸入授權。請確認指令碼是由「Amazon Web Services, Inc.」所發佈 並選擇「R」運行一次。您可以使用 Get-ExecutionPolicy 檢視此設定，並使用 Set-ExecutionPolicy 進行修改。

3. 隨指令碼執行過程，將會提示您輸入其他資訊。請備妥資訊以回應以下提示：

指令碼動作 客戶提示 客戶動作

根據連接器的操作模式來提示一個選項 (自獨立 Hyper-V 遷移vs. 使用 SCVMM 遷移)，這將決

0。Exit (退出) 選擇 0 來退出指令碼。

16

AWS Server Migration Service 使用者指南步驟 6：設定連接器

指令碼動作 客戶提示 客戶動作定您的 Windows 環境需進行哪些變更。

1。Reconfigure standaloneHyper-V...(重新設定獨立 Hyper-V...)

2. Reconfigure Hyper-Vmanaged by SCVMM...(重新設定由 SCVMM 管理的 Hyper-V...)3. Reconfigure SCVMM...(重新設定 SCVMM...)

4. Help/Support(說明/支援)

選擇 1 來重新設定獨立 Hyper-V 主機，以允許訪客 VM 執行遷移。

選擇 2 來重新設定獨立 Hyper-V主機，以允許 SCVMM 管理訪客VM 執行的遷移。選擇 3 來重新設定 SCVMM，以允許訪客 VM 在所有其管理的Hyper-V 主機上執行遷移。

選項4連結到此文件與關於AWSSupport。

提示連接器在與 SCVMM 和Hyper-V 通訊時使用的 ActiveDirectory 使用者。

Enter the AD user that theconnector will use (DOMAIN\user) (輸入連接器將使用的 AD使用者 (網域\使用者))

提供您之前設定的 ActiveDirectory 使用者。如需詳細資訊，請參閱步驟 1：在使用中的目錄中建立伺服器移轉連接器的服務帳戶 (p. 13)。

提示連接器的 IP 地址或主機名稱。

Enter the IP Address orHostname of the connectorappliance (輸入連接器設備的 IP地址或主機名稱)

提供您在連接器上設定的 IP 地址或主機名稱。

修改您的 Windows 環境前提示確認。

Make changes to Windowssystem configuration? (Enter"yes" or "no")(是否對 Windows系統進行修改？(輸入「是」或「否」))

輸入「是」，然後按「Enter」開始重新設定。輸入「否」將退出指令碼。

步驟 6：設定連接器連接器組態成功執行後，瀏覽至連接器的 Web 界面：

https://ip-address-of-connector/

完成下列步驟來設定新連接器。

如何設定 連接器

1. 在連接器登陸頁面上選擇 Get started now (馬上開始)。2. 檢閱授權合約，選取核取方塊並選擇 Next (下一步)。3. 建立連接器的密碼。密碼必須符合顯示的條件。選擇 Next (下一步)。4. 在網路資訊頁面上，若您尚未設定，可以 (其中一項任務) 指定靜態 IP 地址到連接器 (如果您尚未設

定)。選擇 Next (下一步)。5. 在記錄檔上傳與升級頁面上，選取自動上傳日誌和Server Migration Connector，然後選擇下一頁。6. 在 Server Migration Service 頁面上，提供下列資訊：

• 適用於AWS區域，從清單中選擇您的區域。• 適用於AWS登入資料下，請輸入您在IAM 使用者的許可 (p. 5)。選擇 Next (下一步)。

17

AWS Server Migration Service 使用者指南在 Azure 上安裝

7. 在 Choose your VM manager type (選擇您的 VM 管理工具類型) 頁面，根據您的環境選取 Microsoft®System Center Virtual Manager (SCVMM) 或 Microsoft® Hyper-V。選擇VMware® vCenter導致錯誤發生。選擇 Next (下一步)。

8. 在Hyper-V：主機與服務帳戶設定或虛擬機器：主機與服務帳戶設定頁面上，提供您在步驟 1：在使用中的目錄中建立伺服器移轉連接器的服務帳戶 (p. 13)，包括使用者名稱和Password (密碼)。

9. • [僅限 SCVMM] 提供由此連接器提供的 SCVMM 主機名稱，然後選擇下一頁。檢查主機的憑證，若憑證有效則選擇 Trust (信任)。

• [僅限獨立 Hyper-V] 為每一個主機提供此連接器的 Hyper-V 主機名稱。使用加號以新增其他主機。如欲檢查各主機的憑證，請選擇 Verify Certificate (驗證憑證)，若憑證有效則選擇 Trust (信任)。選擇Next (下一步)。

或者，您可以選擇託管特定的選項，針對 SCVMM 或 Hyper-V 主機憑證忽略主機名稱不相符與過期錯誤…。我們不建議在生產環境中覆寫安全性，但測試期間覆寫安全性可能非常有效。

Note

如果您的 Hyper-V 主機位於多個 Active Directory 網域，我們建議您為各個網域設定個別的連接器。

10. 如果您成功向連接器驗證，應會看到恭喜您。(憑證已建立！) 頁面上的名稱有些許差異。若要檢視連接器的健全狀況狀態，請選擇移至連接器儀表板。

11. 若要確認您註冊的連接器已列於該處，請開啟連接器」頁面上的AWS Server Migration Service主控台。如果您在註冊連接器時遇到問題，請連絡sms-service@amazon.com。

在 Azure 上安裝 Server Migration Connector使用下列資訊在 Azure 上安裝 Server Migration Connector，以便您可以使用AWS SMS將 VM 從 Azure 遷移到 Amazon EC2。

此資訊僅適用於由 Azure 託管的 VM。如需在其他環境安裝連接器的相關資訊，請參閱 安裝 ServerMigration Connector (p. 9)。

其他遷移情況考量

• 單一伺服器遷移連接器設備只能遷移一個訂閱和一個 Azure 區域下的 VM。• 伺服器遷移連接器設備部署完成後，您就無法更改其訂閱或區域，除非您在新的訂閱和區域中部署另一個

連接器。• AWS SMS支援部署任意數量的伺服器遷移連接器設備 VM，以支援並行從多個 Azure 訂閱和區域進行遷

移。• 伺服器移轉連接器不支援 Azure 政府區域。

Azure 連接器要求

• 建議的 Azure 連接器 VM 大小是 F4s – 4 個 vCPU 和 8 GB RAM。請確定您在部署連接器的區域中有足夠的 Azure CPU 配額。

• 可以部署連接器的標準儲存帳戶 (不能是高級)。• 可以部署連接器的虛擬網路。• 連接埠 443 上的傳入存取 (HTTPS)，來自連接器的虛擬網路 (建議) 或開放給大眾 (不建議)，用於連接器註

冊和檢視連接器儀表板。• 對外網際網路存取以便存取 AWS 服務、Azure 服務、執行連接器 OS 更新，等等。

內容

18

AWS Server Migration Service 使用者指南步驟 1：下載連接器安裝指令碼

• 步驟 1：下載連接器安裝指令碼 (p. 19)• 步驟 2：驗證指令碼檔案的完整性和密碼編譯簽章 (p. 19)• 步驟 3：執行指令碼 (p. 20)• 步驟 4：設定連接器 (p. 21)• (替代) 手動部署伺服器移轉連接器 (p. 21)

步驟 1：下載連接器安裝指令碼AWS SMS 提供一個可下載的 PowerShell 指令碼，用於在您的 Azure 環境部署連接器。指令碼由 AWS 以密碼演算法簽署。請完成此程序來執行 Powershell 指令碼，並自動在您的 Azure 環境安裝連接器。指令碼需要PowerShell 5.1 或更新版本。

Note

AWS 建議使用指令碼方式安裝，但您也可以選擇手動安裝連接器。如需詳細資訊，請參閱(替代) 手動部署伺服器移轉連接器 (p. 21)。

下載指令碼和雜湊檔案

1. 自以下 URL 下載 PowerShell 指令碼和雜湊檔案：

檔案 URL

安裝指令碼 https://s3.amazonaws.com/sms-connector/aws-sms-azure-setup.ps1

MD5 雜湊 https://s3.amazonaws.com/sms-connector/aws-sms-azure-setup.ps1.md5

SHA256 雜湊 https://s3.amazonaws.com/sms-connector/aws-sms-azure-setup.ps1.sha256

2. 下載之後，將檔案傳輸至您計畫執行指令碼的電腦。

步驟 2：驗證指令碼檔案的完整性和密碼編譯簽章執行指令碼之前，我們建議您驗證其完整性和簽章，以確保傳輸到您電腦的過程中未經變更。這些程序假設您已下載指令碼與雜湊檔案，並將這些檔案安裝於您想要執行指令碼的電腦桌面上，且您需以管理員身分登入。您可能需要修改程序以符合您的設定。

使用密碼編譯雜湊 (PowerShell) 驗證指令碼完整性

1. 使用其中一個或兩個下載的雜湊檔案，驗證指令碼的完整性。

a. 若要以 MD5 雜湊來驗證，請在 PowerShell 視窗中執行以下命令：

PS C:\Users\Administrator> Get-FileHash aws-sms-azure-setup.ps1 -Algorithm MD5

應會傳回類似以下內容的資訊：

Algorithm Hash--------- ----MD5 1AABAC6D068EEF6EXAMPLEDF50A05CC8

b. 若要以 SHA256 雜湊來驗證，請在 PowerShell 視窗中執行以下命令：

PS C:\Users\Administrator> Get-FileHash aws-sms-azure-setup.ps1 -Algorithm SHA256

19

AWS Server Migration Service 使用者指南步驟 3：執行指令碼

應會傳回類似以下內容的資訊：

Algorithm Hash--------- ----SHA256 6B86B273FF34FCE19D6B804EFF5A3F574EXAMPLE22F1D49C01E52DDB7875B4B

2. 將傳回的雜湊值與下載的檔案 aws-sms-azure-setup.ps1.md5 和 aws-sms-azure-setup.ps1.sha256 中所提供的值相互比較。

接著，使用 PowerShell 或 Windows 使用者介面來確認指令碼檔案包含來自AWS。

檢查指令碼檔案是否包含有效的密碼編譯簽章 (PowerShell)

• 在 PowerShell 視窗中執行下列命令：

PS C:\Users\Administrator> Get-AuthenticodeSignature aws-sms-azure-setup.ps1 | Select *

正確簽署的指令碼的檔案應傳回與以下內容相似的資訊：

SignerCertificate : [Subject] CN="Amazon Web Services, Inc." ... [Issuer] CN=DigiCert EV Code Signing CA (SHA2), OU=www.digicert.com, O=DigiCert Inc, C=US...

TimeStamperCertificate : Status : ValidStatusMessage : Signature verified.Path : C:\Users\Administrator\Desktop\aws-sms-azure-setup.ps1

...

檢查指令碼檔案是否包含有效的密碼編譯簽章 (Windows GUI)

1. 在 Windows 檔案總管中，以滑鼠右鍵按一下指令碼檔案開啟內容選單，並選擇 Properties (內容)、Digital Signatures (數位簽章)、Amazon Web Services 和 Details (詳細資訊)。

2. 確認顯示的資訊包含「這個數位簽章已確認」且簽署「Amazon Web Services, Inc.」 是簽署者。

步驟 3：執行指令碼從安裝 PowerShell 5.1 或更新版本的電腦執行此指令碼。

Note

如果您的 PowerShell 執行政策設為驗證已簽署的指令碼，系統會在您執行連接器組態指令碼時提示您輸入授權。請確認指令碼是由「Amazon Web Services, Inc.」所發佈 並選擇「R」運行一次。您可以使用 Get-ExecutionPolicy 檢視此設定，並使用 Set-ExecutionPolicy 進行修改。

PS C:\Users\Administrator> .\aws-sms-azure-setup.ps1 -StorageAccountName name -ExistingVNetName name -SubscriptionId id -SubnetName name

StorageAccountName

您要部署連接器的儲存帳戶名稱。

20

AWS Server Migration Service 使用者指南步驟 4：設定連接器

ExistingVNetName

您要部署連接器的虛擬網路名稱。SubscriptionId

(選用) 要使用的訂閱 ID。如果您不指定此參數，系統會使用帳戶的預設訂閱。SubnetName

(選用) 虛擬網路中的子網路名稱。如果您不指定此參數，系統會使用名為「預設」的子網路。

當指令碼提示輸入 Azure 登入時，請使用對於您要部署連接器的訂閱具有管理員許可的登入身分。

指令碼完成後，連接器會部署在您的帳戶中。指令碼會列印出連接器的私有 IP 地址，以及連接器 VM 系統指派身分的物件 ID。您需要這兩項資訊來完成下一步。

步驟 4：設定連接器從您部署連接器的相同虛擬網路上的另一個 VM，使用下列 URL 瀏覽至連接器的 Web 界面 (此 URL 包含您在上個步驟中獲得的連接器私有 IP 地址)：

https://ip-address-of-connector

如何設定 連接器

1. 在連接器登陸頁面上選擇 Get started now (馬上開始)。2. 檢閱授權合約，選取核取方塊並選擇 Next (下一步)。3. 建立連接器的密碼。密碼必須符合顯示的條件。選擇 Next (下一步)。4. 在網路資訊頁面上，您可以找到執行網路相關任務的指示，例如設定AWSProxy 連接器。選擇 Next (下

一步)。5. 在 Log Uploads (日誌上傳) 頁面上，選取 Upload logs automatically (自動上傳日誌)，並選擇 Next (下

一步)。6. 在 Server Migration Service 頁面上，提供下列資訊：

• 適用於AWS區域，從清單中選擇您的區域。• 適用於AWS登入資料下，請輸入您在IAM 使用者的許可 (p. 5)。選擇 Next (下一步)。

7. 在 Azure Account Verification (Azure 帳戶驗證) 頁面上確認您的 Azure 訂閱 ID 和位置是否正確。此連接器可以在這個訂閱和位置下遷移 VM。提供連接器 VM 系統指派身分的物件 ID，此物件 ID 是以開發指令碼的輸出提供。

8. 如果您已順利設定連接器，系統將會顯示 Congratulations (恭喜) 頁面。選擇 Go to connectordashboard (移至連接器儀表板) 來檢視連接器的運作狀態。

9. 若要確認您註冊的連接器已列於該處，請開啟連接器] 頁面上的 [Systems Manager] 主控台。

(替代) 手動部署伺服器移轉連接器完成此程序以手動在 Azure 環境中安裝連接器。

手動安裝連接器

1. 以對於您要部署此連接器之具有管理員許可的使用者身分，登入 Azure 入口網站。2. 請確定您準備好提供儲存帳戶、其資源群組、虛擬網路和 Azure 區域，如Azure 連接器要求 (p. 18)。3. 從下表中的 URL 下載連接器 VHD 和關聯的檔案。

21

AWS Server Migration Service 使用者指南(替代) 手動部署伺服器移轉連接器

檔案 URL

連接器 VHD https://awssmsconnector.blob.core.windows.net/release/AWS-SMS-Connector-for-Azure.vhd

MD5 雜湊 https://s3.amazonaws.com/sms-connector/AWS-SMS-Connector-for-Azure.vhd.md5

SHA256 雜湊 https://s3.amazonaws.com/sms-connector/AWS-SMS-Connector-for-Azure.vhd.sha256

4. 使用類似 步驟 2：驗證指令碼檔案的完整性和密碼編譯簽章 (p. 19) 中所述的程序，驗證連接器 VHD的密碼編譯完整性。

5. 上傳連接器 VHD 和關聯檔案到您的儲存帳戶。6. 使用下列參數值，建立新的受管磁碟：

• Resource Group (資源群組)：選取您的資源群組• 名稱：任何名稱-例如，SMS-connector-connector-connector-westus• 區域：選取您的 Azure 區域• 可用區域：無• 來源類型：儲存區 Blob (選擇您在步驟 3.c 上傳的 VHD Blob)。• OSType：Linux• 大小：60 GB/標準 HDD

7. 選擇 Create VM (建立 VM) 以從您建立的受管磁碟中建立新的虛擬機器。指派下列參數值。

在 Basics (基本) 索引標籤下方：

• Resource Group (資源群組)：輸入您的資源群組• 虛擬機器名稱：任何名稱，例如 sms-connector-connector-vm-westus• 區域：選取您的 Azure 區域• 大小：F4s• 公有傳入連接埠：無

在 Disks (磁碟) 索引標籤下方：

• OS 磁碟類型：標準 HDD

在 Networking (聯網) 索引標籤下方：

• 虛擬網路：輸入您的虛擬網路名稱• 子網路：保留預設值，或選擇特定的子網路• 公有 IP：保留為新的• NIC 網路安全群組：基本• 公有傳入連接埠：無• 接受其餘欄位的預設值。

在 Management (管理) 索引標籤下方：

• 開機診斷：開啟• OS 訪客診斷：關閉

22

AWS Server Migration Service 使用者指南(替代) 手動部署伺服器移轉連接器

• 診斷儲存體帳戶：儲存體帳戶• 系統指派的受管身分：開啟• 啟用自動關機：關閉

8. 檢閱和建立 VM。這將是您的連接器 VM。9. 下載兩個角色文件：

• https://s3.amazonaws.com/sms-connector/SMSConnectorRole.json• https://s3.amazonaws.com/sms-connector/SMSConnectorRoleSA.json

10. (重要) 自訂角色文件。

編輯 SMSConnectorRole.json. 將 name 欄位變更為 sms-connector-role-subscription_id。接著變更 AssignableScopes 欄位，以符合您的訂閱 ID。

編輯 SMSConnectorRoleSA.json. 將 name 欄位變更為 sms-connector-role-storage_account。例如，如果您的帳戶是 testStorage，則名稱欄位必須是 sms-connector-role-testStorage。接著變更 AssignableScopes 欄位，以符合您的訂閱、資源群組和儲存帳戶的值。

11. 建立角色定義。目前無法從 Azure 入口網站建立角色定義。您必須在此步驟使用 Az CLI 或 AzPowershell。使用 New-AzRoleDefinition (Az PowerShell) 或 az role definition create (Az CLI) 命令以使用您在前一步驟建立的 JSON 檔案，在訂閱中建立這些自訂角色。

12. 指派角色到連接器 VM。在 Azure 入口網站，選擇 Storage Account (儲存帳戶) > Access Control(存取控制) > Roles (角色) > Add (新增) > Add Role Assignment (新增角色指派)。選擇角色 sms-connector-role、指派虛擬機器的存取權，然後從清單中選取連接器 VM 的系統指派身分。針對角色sms-connector-role-storage_account 重複此步驟。

13. 重新啟動連接器 VM 以啟用角色指派。14. 繼續進行步驟 4：設定連接器 (p. 21)。

23

AWS Server Migration Service 使用者指南複寫伺服器

使用複寫 VMAWS SMS主控台您可以使用AWS SMS主控台來匯入您的伺服器目錄並將您的現場部署伺服器遷移到 Amazon EC2。對於使用AWS Command Line Interface(AWS CLI)，請參閱使用複寫 VMAWS CLI的 命令AWS SMS (p. 27)。

Considerations

• 您可以將現場部署伺服器複寫到 AWS，每部伺服器長達 90 天。使用時間從伺服器複寫開始算起，到複寫任務終止為止。90 天之後，您的複寫任務會自動終止。您可以向 AWS Support 申請延長時限。

• 如果您已啟用AWS SMS和AWS Migration Hub，您的 SMS 伺服器目錄也會顯示在 Migration Hub。如需詳細資訊，請參閱從 Migration Hub 匯入應用程式 (p. 35)。

• 在複寫程序期間，AWS SMS會代表您在區域中建立 Amazon S3 儲存貯體，並啟用伺服器端加密，且使用儲存貯體政策在七天後刪除儲存貯體中的所有項目。AWS SMS將伺服器磁碟區從您的環境複製到此儲存貯體，然後從磁碟區建立 EBS 快照。如果您未刪除此儲存貯體，則 AWS SMS 會將其用於此區域中的所有複寫工作。

• 在 AMI 創建過程中，AWS SMS會設定DeleteOnTermination屬性設定為 false，覆寫預設值。您可以在終止執行個體後手動刪除根磁碟區，也可以將屬性設定為 true，以便 Amazon EC2 在執行個體終止時刪除根磁碟區。如需詳細資訊，請參閱「」在執行個體終止時保留 Amazon EBS 磁碟區中的Amazon EC2使用者指南。

工作• 複寫伺服器 (p. 24)• 繼續複寫任務 (p. 25)• 監視伺服器複寫工作 (p. 25)• 刪除複寫任務 (p. 26)

複寫伺服器AWS SMS會自動將即時伺服器磁碟區複製到AWS並根據需要創建 Amazon Machine Image (AMI)。

複寫伺服器

1. 安裝伺服器遷移連接器，如安裝 Server Migration Connector (p. 9)。2. 開啟AWS SMS主控台位於https://console.aws.amazon.com/servermigration/。3. 在導覽選單中，選擇 Connectors (連接器)。確認您在虛擬化環境中部署的連接器已顯示且為正常運作狀

態。4. 如果您尚未匯入目錄，請選擇 Servers (伺服器)、Import server catalog (匯入伺服器目錄)。為反映前次

匯入操作後新增於 VMware 環境中的伺服器，請選擇 Re-import server catalog (重新匯入伺服器目錄)。此程序最多需要 1 分鐘的時間。

5. 選取要複寫的伺服器，然後選擇 Create replication job (建立複寫任務)。6. 在 Configure server-specific settings (針對伺服器進行設定) 頁面的 License type (授權類型) 欄中，選

擇要從複寫任務中建立的 AMI 授權類型。Linux 伺服器只能使用自有授權 (BYOL)。Windows 伺服器可以使用AWS或 BYOL。您也可以選擇 Auto (自動) 來允許 AWS SMS 選擇適當的授權。選擇 Next (下一步)。

7. 在設定複寫任務設定頁面上，提供以下資訊，然後選擇下一頁：

• 複寫任務類型— 指定複寫間隔 (每 1 至 24 小時)，或選擇一次性遷移。

24

AWS Server Migration Service 使用者指南繼續複寫任務

• 啟動複寫執行— 選擇 ChooseImmediate以立即啟動複寫執行，或在稍後的日期和時間在指定的日期和時間 (未來 30 天內) 啟動複寫。日期和時間是使用瀏覽器的當地時間來指定。

• IAM 服務角色— 選擇 Choose允許自動化角色建立才能擁有AWS SMS代表您建立服務連結角色，或使用我自己的角色，以指定現有 IAM 角色。如需詳細資訊，請參閱的服務連結角色AWSSMS (p. 43)。此選項不存在，如果AWS SMS已代表您建立服務連結角色。

• 描述— 複寫執行的說明。• 啟用 AMI 自動刪除— 要啟用自動刪除 AMI，請選擇是，並指定要保留的 AMI 數目上限 (從 1-270)。

若要停用自動 AMI 刪除功能，請選擇否。• 啟用 AMI 加密— 要啟用 AMI 加密，請選擇是並指定加密金鑰 (使用其金鑰 ID、Amazon 資源名稱或

別名)，或保留空白以使用預設金鑰進行 EBS 加密。若要停用 AMI 加密，請選擇否。• 啟用通知— 選擇 Choose是，以設定 Amazon Splication (Amazon SNS) 以便在複寫任務完成、失敗

或刪除時通知清單的收件人複寫任務。如需詳細資訊，請參閱 Amazon Simple Notification Service 開發人員指南。

• 在連續故障時暫停複寫任務— 選擇 Choose是，將工作移至PausedOnFailure狀態，而不是立即Failed狀態，如果工作遇到連續失敗。此選項不適用於一次性複寫任務。

8. 在檢閱頁面上，檢閱您的設定並視需要更新。完成時，選擇 Create (建立映像)。在複寫任務設定後，複寫任務會在指定時間內自動啟動，並以指定的間隔重複執行。

除了排定的複寫執行外，在 24 小時期間內您也可以開始最多兩個隨選複寫執行。在 Replication jobs (複寫任務) 頁面上選擇一個任務並選擇 Actions (動作)、Start replication run (啟動複寫執行)。這會啟動複寫執行，不會影響您排定的複寫執行，除非隨選執行在排定執行的時間仍繼續運作。在這種情況下，將略過排定的執行並在下一個間隔時重新排程。如果之前的排程執行仍在進行中，則進行新的排程執行時會發生相同的情況。

繼續複寫任務在連續排程的複寫任務失敗次數達到上限之後，AWS SMS 可能會暫停複寫任務。在您嘗試恢復處於PausedOnFailure 狀態的任務之前，請先試著查明複寫執行失敗的根本原因，並進行修正。如需詳細資訊，請參閱準備階段期間複寫執行失敗 (p. 50)。

恢復已暫停的複寫任務

1. 在 AWS SMS 主控台，選擇 Replication jobs (複寫任務)。2. 在搜尋列中，依據 PausedOnFailure 篩選任務，以便找出所有暫停的任務。3. 若要恢復已暫停的任務，請選擇 Actions (動作)、Resume replication job (恢復複寫任務)。

監視伺服器複寫工作您可以管理和追蹤每個遷移的進度。

監控並修改伺服器複寫任務

1. 在 AWS SMS 主控台，選擇 Replication jobs (複寫任務)。您可以捲動表格來檢視所有複寫任務。在搜尋列中，可根據特定值來篩選表格內容。

2. 選取單一複寫任務在下方窗格中查看詳細資訊。Job details (任務詳細資訊) 標籤會顯示關於目前複寫執行的資訊，包括由複寫任務建立的最新 AMI ID。Run history (執行歷史記錄) 標籤將顯示與所選的複寫執行相關之所有複寫任務詳細資訊。

3. 若要變更任何工作參數，請在 Replication jobs (複寫任務) 頁面上選擇一個任務，並選擇 Actions (動作)、Edit replication job (編輯複寫任務)。在 Edit configuration job (編輯組態任務) 表單中輸入新的資訊後，選擇 Save (儲存) 遞交您的變更。

25

AWS Server Migration Service 使用者指南刪除複寫任務

Note

您可能需要重新整理頁面，以顯示變更內容。

刪除複寫任務完成複寫伺服器之後，您可以刪除複寫任務。這會停止複寫任務並清除任何由服務所建立的成品 (例如，任務的 S3 儲存貯體)。此動作不會刪除由已停止任務執行所建立的任何 AMI。當您用畢連接器，而且不會再將連接器用於任何複寫任務時，您可以取消其與 AWS SMS 的關聯。

關閉複寫

1. 選擇 Replication jobs (複寫任務) 並選取所需的任務，選擇 Actions (動作)，然後選擇 Delete replicationjobs (刪除複寫任務)。在確認視窗中，選擇 Delete (刪除)。

Note

您可能需要重新整理頁面，以顯示變更內容。2. 若不需要伺服器目錄並想要清除，請選擇 Servers (伺服器)、Clear server catalog (清除伺服器目錄)。3. 若要取消與不再需要連接器之間的關聯， 請選擇 Connectors (連接器)，然後選取連接器。從資訊區段的

右上角選擇 Disassociate (取消關聯)，然後在確認視窗中再次選擇 Disassociate (取消關聯)。

26

AWS Server Migration Service 使用者指南

使用複寫 VMAWS CLI的 命令AWSSMS

您可以使用AWS Command Line Interface(AWS CLI) 來進行清查，並將您的現場部署伺服器遷移至 AmazonEC2。對於使用AWS SMS主控台，請參閱。使用複寫 VMAWS SMS主控台 (p. 24)。

Prerequisites

• 安裝 Server Migration Connector安裝 Server Migration Connector (p. 9)。• 如果您尚未使用 AWS SMS 主控台啟動複寫工作，則必須使用下列 create-service-linked-role 命令來建立

必要的服務連結角色。

aws iam create-service-linked-role --aws-service-name sms.amazonaws.com

如需詳細資訊，請參閱的服務連結角色AWS SMS (p. 43)。

Considerations

• 您可以將現場部署伺服器複寫到 AWS，每部伺服器長達 90 天。使用時間從伺服器複寫開始算起，到複寫任務終止為止。90 天之後，您的複寫任務會自動終止。您可以向 AWS Support 申請延長時限。

• 如果您已啟用AWS SMS和AWS Migration Hub，您的 SMS Server 目錄也會顯示在 Migration Hub。如需詳細資訊，請參閱從 Migration Hub 匯入應用程式 (p. 35)。

• 在複寫程序期間，AWS SMS在區域中建立 Amazon S3 儲存貯體，並啟用伺服器端加密，且使用儲存貯體政策在七天後刪除儲存貯體中的所有項目。AWS SMS將伺服器磁碟區從您的環境複製到此儲存貯體，然後從磁碟區建立 EBS 快照。如果您未刪除此儲存貯體，則 AWS SMS 會將其用於此區域中的所有複寫工作。

• 在 AMI 創建過程中，AWS SMS會設定DeleteOnTermination屬性設定為 false，覆寫預設值。您可以在終止執行個體後手動刪除根磁碟區，也可以將屬性設定為 true，以便 Amazon EC2 在執行個體終止時刪除根磁碟區。如需詳細資訊，請參閱「」在執行個體終止時保留 Amazon EBS 磁碟區中的Amazon EC2使用者指南。

若要使用 CLI 來複寫伺服器

1. 使用 get-connectors 命令來取得已登錄的連接器清單。

aws sms get-connectors

2. 在透過主控台安裝且登錄連接器後，使用 import-server-catalog 命令來建立伺服器的庫存清單。此程序最多需要 1 分鐘的時間。

aws sms import-server-catalog

3. 使用取得伺服器命令來顯示可用於匯入到 Amazon EC2 的伺服器清單。

aws sms get-servers

輸出格式應類似以下內容：

{

27

AWS Server Migration Service 使用者指南

"serverList": [ { "serverId": "s-12345678", "serverType": "VIRTUAL_MACHINE", "vmServer": { "vmManagerName": "vcenter.yourcompany.com", "vmServerAddress": { "vmManagerId": "your-vcenter-instance-uuid", "vmId": "vm-123" }, "vmName": "your-linux-vm", "vmPath": "/Datacenters/DC1/vm/VM Folder Path/your-linux-vm", "vmManagerType": "vSphere" } }, { "replicationJobTerminated": false, "serverId": "s-23456789", "serverType": "VIRTUAL_MACHINE", "replicationJobId": "sms-job-12345678", "vmServer": { "vmManagerName": "vcenter.yourcompany.com", "vmServerAddress": { "vmManagerId": "your-vcenter-instance-uuid", "vmId": "vm-234" }, "vmName": "Your Windows VM", "vmPath": "/Datacenters/DC1/vm/VM Folder Path/Your Windows VM", "vmManagerType": "vSphere" } } ]}

如果您尚未匯入伺服器目錄，將看到類似以下內容的輸出：

{ "lastModifiedOn": 1477006131.856, "serverCatalogStatus": "NOT IMPORTED", "serverList": []}

「已刪除」或「已過期」的目錄狀態也會顯示在目錄中沒有任何伺服器。4. 選取要複寫的伺服器，記下該伺服器 ID，並在 create-replication-job 命令中指定此 ID。

aws sms create-replication-job --server-id s-12345678 \ --frequency 12 \ --seed-replication-time 2016-10-24T15:30:00-07:00 \ --role-name AWSServiceRoleForSMS

設定複寫任務之後，將在指定的時間自動開始複寫並使用 --seed-replication-time參數，將以Unix epoch 時間格式或者根據 ISO 8601 來顯示秒數。如需詳細資訊，請參閱指定 AWS CommandLine Interface 的參數值。之後，複寫將以 --frequency參數所指定的間隔重複執行，以小時顯示。

5. 您可以使用 get-replication-jobs 命令來檢視所有執行中的複寫任務詳細資訊。如果未指定任何參數，該命令會列出您的所有複寫任務。

此命令會傳回類似以下的輸出：

{ "replicationJobList": [

28

AWS Server Migration Service 使用者指南

{ "vmServer": { "vmManagerName": "vcenter.yourcompany.com", "vmServerAddress": { "vmManagerId": "your-vcenter-instance-uuid", "vmId": "vm-1234" }, "vmName": "VM name in vCenter", "vmPath": "/Datacenters/DC1/vm/VM Folder Path/VM name in vCenter" }, "replicationRunList": [ { "scheduledStartTime": 1487007010.0, "state": "Deleted", "type": "Automatic", "statusMessage": "Uploading", "replicationRunId": "sms-run-12345678" } ], "replicationJobId": "sms-job-98765432", "state": "Deleted", "frequency": 12, "seedReplicationTime": 1477007049.0, "roleName": "sms" }, { "vmServer": { "vmManagerName": "vcenter.yourcompany.com", "vmServerAddress": { "vmManagerId": "your-vcenter-instance-uuid", "vmId": "vm-2345" }, "vmName": "win2k12", "vmPath": "/Datacenters/DC1/vm/VM Folder Path/win2k12" }, "replicationRunList": [ { "scheduledStartTime": 1477008789.0, "state": "Active", "type": "Automatic", "statusMessage": "Converting", "replicationRunId": "sms-run-12345679" } ], "replicationJobId": "sms-job-23456789", "state": "Active", "frequency": 24, "seedReplicationTime": 1477008789.0, "roleName": "sms" } ]}

6. 您也可以使用 get-replication-runs 命令，擷取特定複寫任務的所有複寫執行詳細資訊。若要執行此作業，請依下列方式指定複寫任務 ID：

aws sms get-replication-runs --replication-job-id sms-job-12345678

此命令將傳回指定的複寫任務的所有複寫執行清單，以及該複寫任務的詳細資訊，類似下方格式：

{ "replicationRunList": [ {

29

AWS Server Migration Service 使用者指南

"scheduledStartTime": 1477310423.0, "state": "Active", "type": "Automatic", "statusMessage": "Converting", "replicationRunId": "sms-run-23456789" }, { "amiId": "ami-abcdefab", "state": "Completed", "completedTime": 1477227683.652, "scheduledStartTime": 1477224023.0, "replicationRunId": "sms-run-34567890", "type": "Automatic", "statusMessage": "Completed" }, { "amiId": "ami-efababcd", "state": "Completed", "completedTime": 1477144823.486, "scheduledStartTime": 1477137623.0, "replicationRunId": "sms-run-45678903", "type": "Automatic", "statusMessage": "Completed" } ]}

7. 若要在建立複寫任務後變更任何複寫任務的參數，請提供複寫任務 ID 與任何要變更的參數來使用update-replication-job 命令。

aws sms update-replication-job --replication-job-id sms-job-12345678 --frequency 24 --next-replication-run-start-time 2016-10-24T15:30:00-07:00

8. 除了排定的複寫執行外，在 24 小時期間內您也可以開始最多兩個隨選複寫執行。若要執行此動作，請使用 start-on-demand-replication-run 命令，便會立即開始執行複寫。如果另一個複寫執行目前正在運作中，即無法開始隨選複寫執行。

aws sms start-on-demand-replication-run --replication-job-id sms-job-12345678

如果排定的複寫執行預期將在隨選複寫執行運作時開始，將略過排定的執行並在下一個間隔時重新排程。

9. 完成複寫伺服器後，您可以使用 delete-replication-job 命令來停止複寫任務。這會停止複寫任務並清除任何由服務所建立的成品 (例如，任務的 S3 儲存貯體)。此動作不會刪除由已停止任務執行所建立的任何 AMI。

aws sms delete-replication-job --replication-job-id sms-job-12345678

10. 當您不再需要保留目錄伺服器時，請使用 delete-server-catalog 命令來清除由服務所保留的目錄伺服器。

aws sms delete-server-catalog

11. 當您用畢連接器後，使用 disassociate-connector 命令來自 AWS SMS 取消註冊連接器。在使用該連接器的所有複寫完成後才可呼叫此命令。

aws sms disassociate-connector --connector-id c-12345678901234567

30

AWS Server Migration Service 使用者指南使用應用程式移轉

遷移應用程式使用AWS SMSAWS Server Migration Service支援從現場部署資料中心將多伺服器應用程式堆疊自動遷移至 AmazonEC2。伺服器的遷移是透過複寫單部伺服器成為 Amazon Machine Image (AMI) 的方式完成，而應用程式的遷移則會複寫應用程式中的所有服務成為 AMI 並產生 AWS CloudFormation 範本以協調啟動各項服務。

應用程式還可再細分為群組，讓您能夠按照定義的順序啟動各層的伺服器。下圖提供以資料庫為後端的 web應用程式範例案例：

在此範例中，應用程式分成四個群組，每一群組各有三部伺服器。AWS CloudFormation 範本將按照以下順序啟動伺服器：資料庫、檔案伺服器、web 伺服器和應用程式伺服器。

在您的伺服器整編至應用程式並啟動各群組之後，您可以指定複寫頻率、提供組態指令碼及設定您要從中啟動指令碼的目標 VPC。當您啟動應用程式時，AWS SMS 將根據產生的範本對其進行設定。

應用程式的遷移仰賴 安裝 Server Migration Connector (p. 9)所述探索現場部署資源的程序。將伺服器類別目錄匯入AWS SMS使用伺服器移轉連接器，您可以設定應用程式、複寫和啟動的設定，以及監視移轉狀態應用程式的 區段AWS SMS主控台。您也可透過 AWS SMS API、AWS CLI 或 AWS 開發套件，使用 AWSSMS 專屬資源執行上述作業。

Considerations

• 您可以將現場部署伺服器複寫到 AWS，每部伺服器長達 90 天。使用時間從伺服器複寫開始算起，到複寫任務終止為止。90 天之後，您的複寫任務會自動終止。您可以向 AWS Support 申請延長時限。

• 在 AMI 創建過程中，AWS SMS會將DeleteOnTermination屬性設定為 false，覆寫預設值。您可以在終止執行個體後手動刪除根磁碟區，也可以將屬性設定為 true，以便 Amazon EC2 在執行個體終止時刪除根磁碟區。如需詳細資訊，請參閱「」執行個體終止時保留 Amazon EBS 磁碟區中的Amazon EC2 使用者指南。

• 支援從 Microsoft Azure 環境遷移應用程式，但適用於 Azure 的伺服器遷移連接器目前不保證應用程式中伺服器快照的緊密程度。

使用應用程式移轉您可執行以下任務。

31

AWS Server Migration Service 使用者指南建立應用程式

任務• 建立應用程式 (p. 32)• 設定複寫設定 (p. 32)• 設定啟動設定 (p. 33)• 啟動複寫 (p. 34)• 啟動應用程式 (p. 35)• 產生 CloudFormation 範本 (p. 35)

建立應用程式建立應用程式

1. 開啟AWS SMS主控台位於https://console.aws.amazon.com/servermigration/。2. 選擇 Applications (應用程式)。3. 選擇 Create new application (建立新的應用程式)。4. 在應用程式設定頁面上，提供以下資訊，然後選擇下一頁：

• Application name (應用程式名稱)— 指定應用程式名稱。• Application description (應用程式描述)— (選擇性) 指定應用程式的描述。• Role name (角色名稱)— 選擇允許自動化角色建立擁有AWS SMS代表您建立服務連結角色，

或使用我自己的角色以指定現有 IAM 角色。如需更多詳細資訊，請參閱 的服務連結角色AWSSMS (p. 43)。此選項不可為在AWS SMS已替您建立服務連結角色。

5. 在選取伺服器頁面上，選取要納入應用程式的可用伺服器。您可以使用搜尋列，根據特定值來篩選表格內容。選擇 Next: (下一步：) 新增伺服器到群組。

6. 在新增伺服器到群組頁面，您可以建立群組、刪除群組、新增選取自應用程式的伺服器至群組，以及從群組移除伺服器。未分組的伺服器會與預設群組相關聯。

完成以下步驟，新增一部或多部伺服器到新群組：

a. 選取要新增到新群組的伺服器。b. 選擇 Add servers to group (新增伺服器到群組)。c. 選擇新增至新群組，然後提供群組的名稱。d. 選擇 Add (新增)。伺服器清單隨即會顯示與您所選的每部伺服器相關聯的群組。

7. 如果您刪除群組，則伺服器會與預設群組相關聯。若要刪除群組，請完成下列步驟：

a. 選擇 Delete group (刪除群組)。b. 適用於要刪除的群組下，選擇群組。c. 選擇 Delete (刪除)。

8. 在新增標籤頁面，選擇性地標記您的應用程式。標籤是將傳播至應用程式啟動時建立的所有伺服器的索引鍵/值組。選擇下一步。

9. 在檢閱頁面上，視需要編輯您的設定。完成時，選擇 Create (建立映像)。從狀態頁面，您可以直接前往Configure 複製settings (進行複寫設定)。

設定複寫設定進行應用程式的複寫設定

1. 開啟AWS SMS主控台位於https://console.aws.amazon.com/servermigration/。2. 選擇應用程式以檢視可用的應用程式。

32

AWS Server Migration Service 使用者指南設定啟動設定

3. 選取應用程式名稱。4. 選擇 Actions (動作)、Configure replication settings (進行複寫設定)。5. 在 Replication settings (複寫設定) 頁面上提供以下資訊，然後選擇 Next (下一步)：

• 複寫工作類型— 指定複寫期間 (每 1 至 24 小時)，或選擇一次性遷移。• 啟動複寫執行— 選擇立即來排程複寫執行立即啟動，或在稍後的時間和日期在指定日期和時間開始複

寫，最多可在未來 30 天內。• 啟用自動刪除 AMI— 要啟用自動刪除 AMI，請選擇是，並指定要保留的 AMI 數目上限 (從 1-270)。若

要停用自動 AMI 刪除功能，請選擇否。• 啟用 AMI 加密— 要啟用 AMI 加密，請選擇是並指定加密金鑰 (使用其金鑰 ID、Amazon 資源名稱或

別名)，或保留空白以使用預設金鑰進行 EBS 加密。若要停用 AMI 加密，請選擇否。6. Server-specific settings (伺服器特定設定) 頁面會顯示應用程式伺服器及其群組成員資格。您可針對單獨

伺服器編輯以下伺服器設定，或選擇編輯多部伺服器以跨群組更新這些設定。完成時，選擇 Next (下一步)。

• 授權類型— 選擇Auto、AWS, 或BYOL。• 靜止— Splication] 擷取 VM 的快照之前，停止資料輸入/輸出並存放系統記憶體狀態。

7. 在檢閱頁面上，確認複寫設定，然後選擇Save (儲存)。從狀態頁面，您可以直接前往 Configure startsettings (組態啟動設定)。

設定啟動設定在您可以設定網路設定之前，您必須先設定虛擬私有雲、子網路和安全性群組，如RunInstancesAmazonEC2 API 操作。

進行應用程式的啟動設定

1. 開啟AWS SMS主控台位於https://console.aws.amazon.com/servermigration/。2. 選擇應用程式以檢視可用的應用程式。3. 選取您要設定的應用程式的名稱，然後選擇動作、設定啟動設定。4. 在設定啟動設定頁面上，提供以下資訊，然後選擇下一頁：

• IAM 角色 CloudFormation— 選擇允許自動化角色建立擁有AWS SMS代表您建立服務連結角色，或使用我自己的角色以指定現有 IAM 角色。如需更多詳細資訊，請參閱 的服務連結角色AWSSMS (p. 43)。此選項不可為在AWS SMS已替您建立服務連結角色。

• 複製後自動啟動— 選取此選項可在複寫完成後自動啟動應用程式。• 指定啟動順序— 設定群組的啟動順序。

5. 在設定目標實例詳細資訊頁面，您可針對單獨伺服器編輯以下伺服器設定，或選擇編輯多部伺服器以跨群組更新這些設定。完成時，選擇 Next (下一步)。

• 邏輯 ID— 指定AWS CloudFormation資源 ID 或保留預設值。此參數將做為 AWS SMS 針對該應用程式所產生的 CloudFormation 範本的邏輯 ID。如需詳細資訊，請參閱「」資源中的AWSCloudFormation使用者指南。

• 執行個體類型— 選取伺服器的 EC2 執行個體類型。此欄位為必填。• 金鑰對 (Key pair)— 選取連線至伺服器所需的 SSH key pair。此欄位為必填。如果 IAM 使用者

無ec2:DescribeKeyPairs，清單為空。• 組態指令碼— 位於 Amazon S3 中的組態指令碼，用於啟動作為應用程式啟動的 EC2 執行個體時將執

行。儲存貯體必須具有以下前置詞：sms-app-。• 指令碼類型— 選擇Shell 指令碼或PowerShell 指令碼。

6. 在設定目標網路和安全性頁面，您可針對單獨伺服器編輯以下伺服器設定，或選擇編輯多部伺服器以跨群組更新這些設定：

33

AWS Server Migration Service 使用者指南啟動複寫

• VPC— 應用程式的虛擬私有雲端。此欄位為必填。如果 IAM 使用者無ec2:DescribeVpcs，清單為空。

• 子網路— 應用程式的子網路。此欄位為必填。如果 IAM 使用者無ec2:DescribeSubnets，清單為空。

• 安全群組— 應用程式的安全群組。此欄位為必填。如果 IAM 使用者無ec2:DescribeSecurityGroups，清單為空。

• 可公開存取— 指出應用程式是否可從網際網路存取。

選擇應用程式驗證設定應用程式驗證，或檢閱跳到此程序的最後一步。7. (可選) 您可以使用在 EC2 執行個體上執行驗證指令碼AWS Systems Manager。在應用程式驗證頁面

上，提供下列資訊，然後選擇執行個體驗證來配置執行個體驗證，或檢閱跳至此程序的最後一個步驟：

• 驗證名稱— 驗證的名稱。• Valiate 指令碼— 在 Amazon S3 中，驗證指令碼的位置。儲存貯體必須具有以下前置詞：sms-app-。

• 指令碼類型— 選擇Shell 指令碼或PowerShell 指令碼。• SSM 受管理的執行個體— EC2 執行個體的 ID。執行個體必須由AWS Systems Manager並具有以下

標籤：使用者表示應用程式驗證 = true。• 輸出位置— Amazon S3 中用於驗證指令碼輸出的位置。儲存貯體必須具有以下前置詞：sms-app-。• 執行命令— 執行指令碼的命令 (例如，./script.sh。• 以分鐘為單位— 執行指令碼所需的時間上限 (從 1-480)。預設值為 15。

8. (選用) 您可以在 EC2 執行個體首次使用 Amazon EC2 使用者資料開機時執行指令碼。在實例驗證和應用程序監控頁面上，提供下列資訊，然後選擇下一頁：

• Permissions (許可)— 允許AWS SMS從 Amazon S3 取得驗證指令碼，並使用 EC2 使用者資料在執行個體上執行，您必須建立授與AWS SMS從許可伺服器移轉服務對於執行執行處理政策。選擇使用預設角色原則建立新角色擁有AWS SMS代表您建立角色 (IAM 使用者必須具有管理員權限) 或使用現有角色(IAM 使用者必須具有將該角色傳遞至ec2.amazonaws.com服務)。

• CloudWatch 應用程式監控— 選擇為此部署設定監視器和自動化深入解析以持續分析資料的應用程式問題跡象。如需詳細資訊，請參閱「」Amazon CloudWatch Application Insights中的AmazonCloudWatch 使用者指南。

• 驗證名稱— 驗證的名稱。• Valiate 指令碼— 在 Amazon S3 中，驗證指令碼的位置。儲存貯體必須具有以下前置詞：sms-app-。

• 指令碼類型— 選擇Shell 指令碼或PowerShell 指令碼。9. 在檢閱頁面上，確認啟動組態設定，然後選擇Save (儲存)。

啟動複寫開始複寫應用程式

1. 開啟AWS SMS主控台位於https://console.aws.amazon.com/servermigration/。2. 選擇應用程式以檢視可用的應用程式。3. 選擇要複寫的應用程式的名稱。4. 在應用程式詳細資訊頁面上，選擇 Actions (動作)、Start replication (開始複寫)。5. 在 Start replication (開始複寫) 視窗中，選擇 Start (啟動)。視磁碟大小而定，複寫可能需要 30 分鐘到幾

天的時間。在應用程式詳細資訊頁面上，您可以從 Replication status (複寫狀態) 欄位觀察複寫的狀態。如果複寫失敗，您可以透過查看 Replication status message (複寫狀態訊息) 欄位找出原因。

34

AWS Server Migration Service 使用者指南啟動應用程式

啟動應用程式啟動應用程式

1. 開啟AWS SMS主控台位於https://console.aws.amazon.com/servermigration/。2. 選擇 Applications (應用程式)。在 Applications (應用程式) 頁面上，您可以檢視可用的應用程式。3. 選擇要啟動的應用程式的名稱。4. 在應用程式詳細資訊頁面上，選擇 Actions (動作)、Launch application (啟動應用程式)。您必須先完成

複寫任務才能執行此動作。5. 在 Launch application (啟動應用程式) 視窗中，選擇 Launch (啟動)。在應用程式詳細資訊頁面上，您

可以從 Launch status (啟動狀態) 欄位觀察啟動的狀態。如果啟動失敗，您可以透過查看 Launch statusmessage (啟動狀態訊息) 欄位找出原因。

產生 CloudFormation 範本如果想要檢查在您啟動應用程式時自動產生的 AWS CloudFormation 範本，請使用以下程序。

為應用程式產生 AWS CloudFormation 範本

1. 開啟AWS SMS主控台位於https://console.aws.amazon.com/servermigration/。2. 選擇 Applications (應用程式)。在 Applications (應用程式) 頁面上，您可以檢視可用的應用程式。3. 選擇要為其建立範本的應用程式的名稱。4. 在應用程式詳細資訊頁面上，選擇 Actions (動作)、Generate template (產生範本)。您必須先完成複寫

任務才能執行此動作。5. 在 Generate template (產生範本) 視窗中，選擇 Generate (產生)。

從 Migration Hub 匯入應用程式應用程式遷移支援匯入和遷移 AWS Migration Hub 探索到的應用程式。

從 Migration Hub 匯入應用程式

1. 若要啟用應用程式類別目錄匯入，請完成AWS Server Migration Service指示。

Note

執行此動作時，SMS 伺服器目錄將匯出，並顯示於 Migration Hub。2. 在 SMS 主控台的 Applications (應用程式) 頁面中，選擇 Import applications (匯入應用程式)。3. 在 Import applications (匯入應用程式) 視窗中，您可以選擇在 Role name (角色名稱) 欄位中提供數值。

在未指定任何角色名稱時，將使用 sms 做為此預設角色名稱。選擇 Import (匯入)。

Note

SMS 從 Migration Hub 匯入的應用程式相關伺服器必須存在於 SMS 伺服器目錄中，而且不是現有 SMS 應用程式的一部分。因此，這時可能只能匯入部分的應用程式。

4. 匯入完成後，從 Migration Hub 匯入的應用程式會出現在應用程式資料表。匯入的應用程式可透過 SMS進行遷移，在不能進行編輯。不過，這些應用程式可在遷移中心進行編輯。完成編輯後，再重新匯入。

Note

如果應用程式正由 SMS 進行複寫或啟動，這時無法將其重新匯入。當此衝突發生時，請停止複寫或啟動，之後再重新匯入。

35

AWS Server Migration Service 使用者指南處理 CloudWatch 件規則AWS SMS

使用 Amazon CloudWatch Events 和AWS Lambda取代為AWS SMS

您可以使用 Amazon CloudWatch Events 搭配AWS Server Migration Service根據您的遷移工作流程將動作自動化。這需要您建立由 Lambda 承擔的 IAM 政策、處理事件的 Lambda 函數，以及比對傳入事件並將其路由至 Lambda 函數的 CloudWatch Events Events 規則。

處理 CloudWatch 件規則AWS SMS下列程序使用AWS Lambda監控的函數AWS SMS任務狀態將隨之變更，並於每次建立 AMI ID 後即啟動Amazon EC2 執行個體。

建立 Lambda 函數以監控任務狀態變更

1. 在以下網址開啟 IAM 主控台：https://console.aws.amazon.com/iam/。2. 建立 IAM 政策以提供許可，授予執行動作 (由 Lambda 呼叫) 並於 CloudWatch Events 叫用時寫

入 CloudWatch 日誌。以下範例提供許可授予執行 RunInstances 動作。將政策指派給要處理CloudWatch 事件的使用者所屬 IAM 角色。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource":"arn:aws:logs:*:*:*" }, { "Effect":"Allow", "Action":[ "ec2:RunInstances" ], "Resource":"*" } ]}

3. 開啟AWS Lambda主控台位於https://console.aws.amazon.com/lambda/。4. 選擇 Create function (建立函式)。

5. 為確保您能夠從 CloudWatch 主控台使用 Lambda 函數，請在 CloudWatch 事件發生的區域內建立該函數。如需詳細資訊，請參閱 AWS Lambda 開發人員指南。將函數命名為 LaunchInstanceFromAMI並選取 Python 2.7 做為執行時間。

6. 針對 Role (角色)，選取 Choose an existing role (選擇現有的角色)。從 Existing role (現有角色) 下方的可用角色清單中，選擇您剛對其新增政策的角色。

7. 選擇建立函數並定義一個類似如下的 Lambda 函數。此範例函數是以 Python 2.7 所撰寫，是由CloudWatch 事件時由叫用AWS SMS工作完成會傳送含有 AMI ID 的事件。函數一經叫用後，即會啟動該事件所在區域內的 t2.micro 執行個體。

36

AWS Server Migration Service 使用者指南處理 CloudWatch 件規則AWS SMS

# Sample Lambda function to launch an EC2 instance from all AMI ID's created from a # Server Migration Service replication job

import boto3

# main functiondef lambda_handler(event, context):

# create an ec2 client ec2 = boto3.client('ec2', region_name=event['region']) # match any event that returns an ami-id if 'ami-id' in event['detail']: imageId = event['detail']['ami-id']

# launch instance from the AMI ID ec2.run_instances( ImageId=imageId, MaxCount=123, MinCount=1, InstanceType='t2.micro' ) print 'launched instance with ami id: ' + imageId else: print 'did not launch instance'

8. 在 https://console.aws.amazon.com/cloudwatch/ 開啟 CloudWatch 主控台。9. 選擇 Events (事件)、Create rule (建立規則)。針對 Service Name (服務名稱)，選擇 Server Migration

Service (SMS)。針對 Event Type (事件類型)，選擇 Server Migration Job State Change (伺服器遷移任務狀態變更)。

10. 選擇 Target (目標)、Add Target (新增目標)。11. 針對 Lambda function (Lambda 函數)，選取您先前建立的 Lambda 函數，然後選擇 Configure details

(設定詳細資訊)。12. 在 Configure rule details (設定規則詳細資訊) 頁面上，針對 Name (名稱) 和 Description (描述) 輸入值。

選取 State (狀態) 核取方塊以啟用函數 (將其設定為 Enabled (啟用))。13. 選擇 Create rule (建立規則)。

您的規則現在應該會出現在 Rules (規則) 標籤上。如範例所示，設定的事件應會在您每次收到 AMI ID 時啟動 EC2 執行個體。

37

AWS Server Migration Service 使用者指南AWS SMSCloudTrail 中的資訊

使用 AWS CloudTrail 記錄 AWSServer Migration Service API 呼叫

AWS Server Migration Service 已與 AWS CloudTrail 整合，這項服務可提供由使用者、角色或 AWS SMS中的 AWS 服務所採取之動作的記錄。CloudTrail 會擷取所有 API 呼叫AWS SMS為事件。擷取的呼叫包括從 AWS SMS 主控台進行的呼叫，以及針對 AWS SMS API 操作的程式碼呼叫。如果您建立線索，就可以將 CloudTrail 事件持續交付至 Amazon S3 儲存貯體，包括AWS SMS。如果您不設定權杖，仍然可以透過CloudTrail 主控台中的 Event history (事件歷史記錄) 檢視最新的事件。您可以利用 CloudTrail 所收集的資訊來判斷向 AWS SMS 發出的請求，以及發出請求的 IP 地址、人員、時間和其他詳細資訊。

如需詳細資訊，請參閱《AWS CloudTrail 使用者指南》。

AWS SMSCloudTrail 中的資訊CloudTrail 已在您的AWS帳戶，當您建立帳戶時。當活動發生於AWS SMS時，系統便會將該活動記錄至CloudTrail 事件，並將其他AWS服務事件事件歷史記錄。您可以檢視、搜尋和下載 AWS 帳戶的最新事件。如需詳細資訊，請參閱使用 CloudTrail 事件歷史記錄檢視事件。

如需您 AWS 帳戶中正在進行事件的記錄 (包含 AWS SMS 的事件)，請建立線索。線索可讓 CloudTrail 將日誌檔案交付到 Amazon S3 儲存貯體。根據預設，當您在主控台建立追蹤記錄時，追蹤記錄會套用到所有AWS 區域。該追蹤會記錄來自所有區域的事件。AWS分割區，並將日誌檔案交付到您指定的 Amazon S3 儲存貯體。此外，您可以設定其他AWS服務，以進一步分析和處理 CloudTrail 日誌中所收集的事件資料。如需詳細資訊，請參閱下列內容：

• 建立追蹤的概觀• CloudTrail 支援的服務和整合• 設定 CloudTrail 的 Amazon SNS 通知• 接收多個區域的 CloudTrail 日誌檔案及接收多個帳戶的 CloudTrail 日誌檔案

All (全部)AWS SMS動作會記錄至 CloudTrail 記錄並記錄在中。AWS SMSAPI 參考。例如，呼叫至CreateReplicationJob、GetConnectors，以及ImportServerCatalog動作會在 CloudTrail 日誌檔案中產生項目。

每一筆事件或日誌項目都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項：

• 該請求是否透過根或 AWS Identity and Access Management (IAM) 使用者登入資料來提出。• 提出該請求時，是否使用了特定角色或聯合身分使用者的暫時安全登入資料。• 該請求是否由另一項 AWS 服務提出。

如需詳細資訊，請參閱 CloudTrail userIdentity 元素。

了解 AWS SMS 日誌檔案項目追蹤是一種組態，能讓事件以日誌檔案的形式交付到您指定的 Amazon S3 儲存貯體。CloudTrail 日誌檔案包含一個或多個日誌項目。一個事件為任何來源提出的單一請求，並包含請求動作、請求的日期和時間、請求參數等資訊。CloudTrail 日誌檔案並非依公有 API 呼叫的堆疊追蹤排序，因此不會以任何特定順序出現。

38

AWS Server Migration Service 使用者指南了解 AWS SMS 日誌檔案項目

以下範例顯示的是展示 CreateReplicationJob 動作的 CloudTrail 日誌項目。

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "0123456789abcdef01234", "arn": "arn:aws:iam::0123456789ab:user/sms-user", "accountId": "0123456789ab", "accessKeyId": "0123456789abcdef0123", "userName": "sms-user" }, "eventTime": "2018-09-04T16:34:49Z", "eventSource": "sms.amazonaws.com", "eventName": "CreateReplicationJob", "awsRegion": "us-east-1", "sourceIPAddress": "1.2.3.4", "userAgent": "aws-sdk-java/example-sdk-version Linux/example-kernel-version …", "requestParameters": { "roleName": "sms", "serverId": "s-01234567", "runOnce": true, "seedReplicationTime": "Sep 4, 2018 4:36:48 PM" }, "responseElements": { "replicationJobId": "sms-job-012345677" }, "requestID": "00000000-1111-2222-3333-444444444444", "eventID": "55555555-6666-7777-8888-999999999999", "eventType": "AwsApiCall", "recipientAccountId": "0123456789ab" }

39

AWS Server Migration Service 使用者指南資料保護

AWS Server Migration Service 中的安全性

雲端安全是 AWS 最重視的一環。身為 AWS 客戶的您，將能從資料中心和網路架構的建置中獲益，以滿足組織最為敏感的安全要求。

安全是 AWS 與您共同肩負的責任。共同責任模型將其描述為雲端的安全性和雲端中的安全性：

• 雲端的安全–AWS負責保護AWS中的服務AWSCloud CcloudAWS也會提供您可以安全使用的服務。第三方稽核人員會定期測試和驗證我們安全性的有效性，做為 AWS 合規計劃的一部分。若要了解適用於AWSServer Migration Service(AWS SMS)，請參閱AWS合規計劃的服務範圍。

• 雲端中的安全性— 您的責任取決於AWS服務。您也必須對其他因素負責，包括資料的機密性、您公司的要求和適用法律和法規

本文件有助於您了解如何在使用 AWS SMS 時套用共同的責任模型。它會示範如何設定 AWS SMS 以符合您的安全性和合規目標。您也將了解如何使用其他 AWS 服務，幫助您監控並保護 AWS SMS 資源。

內容• 中的資料保護AWS Server Migration Service (p. 40)• AWS Server Migration Service 的 Identity and Access Management (p. 41)• 的服務連結角色AWS SMS (p. 43)• AWS Server Migration Service 的復原功能 (p. 45)• AWS Server Migration Service 中的基礎設施安全 (p. 45)• AWS Server Migration Service 的合規驗證 (p. 45)

中的資料保護AWS Server Migration ServiceAWS 共同的責任模型適用於 AWS Server Migration Service 中的資料保護。如此模型所述，AWS 負責保護執行所有 AWS 雲端 的全球基礎設施。您必須負責維護在此基礎架構上託管之內容的控制權。此內容包括您所使用之 AWS 服務的安全性設定和管理工作。如需資料隱私權的詳細資訊，請參閱資料隱私權常見問答集。。如需有關歐洲資料保護的相關資訊，請參閱 AWS 安全性部落格上的 AWS 共同責任模型和 GDPR 部落格文章。

基於資料保護目的，我們建議您保護 AWS 帳戶 認證，並設定個別使用者帳戶AWS Identity and AccessManagement（我）。如此一來，每個使用者都只會獲得授予完成其任務所必須的許可。我們也建議您採用下列方式保護資料：

• 每個帳戶都使用多重驗證 (MFA)。• 使用 SSL/TLS 與 AWS 資源通訊。建議使用 TLS 1.2 或更新版本。• 使用 AWS CloudTrail 設定 API 和使用者活動記錄日誌。• 使用 AWS 加密解決方案，以及 AWS 服務內的所有預設安全控制。• 使用進階的受管安全服務 (例如 Amazon Macie)，協助探索和保護儲存在 Amazon S3 的個人資料。• 如果您在透過命令列介面或 API 存取 AWS 時，需要 FIPS 140-2 驗證的加密模組，請使用 FIPS 端點。如

需 FIPS 和 FIPS 端點的詳細資訊，請參閱聯邦資訊處理標準 (FIPS) 140-2 概觀。

40

AWS Server Migration Service 使用者指南靜態加密

我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊，放在標籤或自由格式的欄位中，例如名稱欄位。這包括當您使用 AWS SMS 或使用主控台、API、AWS CLI 或 AWS 開發套件的其他 AWS 服務。您在標籤或自由格式欄位中輸入的任何資料都可能用於計費或診斷記錄。如果您提供外部伺服器的 URL，我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含登入資料資訊。

靜態加密從內部部署環境複寫伺服器磁碟區時，AWS SMS 會將資料暫時存放在中繼 S3 儲存貯體中。複寫完成後，AWS SMS會刪除此資料存放 Amazon S3。否則，AWS SMS 並不會存放您的靜態資料。

傳輸中加密傳輸中的資料會使用 TLS 加密。這包括從用戶端到AWS SMS主控台、Amazon S3 的伺服器遷移連接器，以及AWS SMS。

AWS Server Migration Service 的 Identity andAccess Management

AWS Identity and Access Management(IAM) 是一個AWS服務，讓管理員能夠安全地控制對AWS的費用。IAM 管理員可以控制身分驗證 (已登入) 和授權 (具有許可) 來使用AWS的費用。IAM 可讓您在您的AWS帳戶。您可以控制使用者使用AWS的費用。您可以免費使用 IAM。

依預設，IAM 使用者沒有AWS Server Migration Service(AWS SMS) 資源和操作。允許 IAM 使用者管理AWS SMS資源，您必須建立 IAM 原則，明確將許可授予使用者，然後將該原則連線到需要該些許可的 IAM使用者或群組。

將政策連接到使用者或使用者群組時，政策會允許或拒絕使用者在特定資源上執行特定任務的許可。如需詳細資訊，請參閱「」政策和許可中的IAM 使用者指南指南。

政策結構IAM 政策為包含一或多個陳述式的 JSON 文件。每個陳述式的結構如下所示。

{ "Statement": [ { "Effect": "effect", "Action": "action", "Resource": "arn", "Condition": { "condition": { "key":"value" } } } ]}

陳述式由各種元素組成：

• Effect： 其效果可以是Allow或Deny。根據預設，IAM 使用者沒有使用資源和 API 動作的許可，因此所有請求均會遭到拒絕。明確允許覆寫預設值。明確拒絕覆寫任何允許.

• 動作：該操作是特定的AWS SMS您授予或拒絕許可的 API 動作。• Resource: 受動作影響的資源。對於 AWS SMS，您必須指定「*」做為資源。

41

AWS Server Migration Service 使用者指南政策範例

• Condition：條件為選擇性。您可以使用它們來控制何時政策開始生效。

政策範例在 IAM 政策陳述式中，您可以從任何支援 IAM 的服務指定任何 API 動作。對於 AWS SMS，請在 API 動作名稱使用下列前綴：sms:。

"Action": "sms:UpdateReplicationJob"

若要在單一陳述式中指定多個動作，請用逗號分隔，如下所示。

{ "Statement":[ { "Effect": "Allow", "Action": ["sms:action1", "sms:action2"], "Resource": "*" } ]}

您也可以使用萬用字元指定多個動作。例如，您可以指定名稱開頭有「Get」文字的所有 AWS SMS API 動作，如下所示：

{ "Statement":[ { "Effect": "Allow", "Action": "sms:Get*", "Resource": "*" } ]}

若要指定所有的 AWS SMS API 動作，請使用 * 萬用字元，如下所示：

{ "Statement":[ { "Effect": "Allow", "Action": "sms:*", "Resource": "*" } ]}

若要防止使用者在複寫後啟用自動啟動，請使用下列陳述式。這是不夠的省略sms:LaunchApp從允許動作列表中，因為使用者自動啟動，使用者不會呼叫LaunchApp直接。

{ "Statement":[ { "Effect": "Deny", "Action": "sms:LaunchApp", "Resource": "*" } ]

42

AWS Server Migration Service 使用者指南預先定義AWS受管政策

}

預先定義AWS受管政策AWS 建立的受管政策會針對常用案例授予必要的權限。您可以根據對AWS他們需要的

若要授與 IAM 使用者對AWS SMS功能，請連接下列政策：ServerMigrationServiceConsoleFullAccess。

的服務連結角色AWS SMSAWS SMS 使用服務連結角色，以取得代表您呼叫其他 AWS 服務所需的許可。如需詳細資訊，請參閱「」使用服務連結角色中的IAM 使用者指南。

在為 AWS SMS 引入服務連結角色之前，您必須建立兩個 IAM 角色以授與 AWS SMS 所需的許可。這些角色不再需要使用 AWS SMS。但是，為了完整起見會將其記錄在此處。如需詳細資訊，請參閱的舊版 IAM 角色AWS SMS (p. 44)。

服務連結角色授予的許可AWS SMS 會使用名為 AWSServiceRoleForSMS 的服務連結角色，以啟用 AWS SMS 來管理您的複寫工作。

AWSServiceRoleForSMS 信任 sms.amazonaws.com 服務主體擔任該角色。

此角色許可政策允許 AWS SMS 對指定資源完成下列動作：

• 使用特定 AWS SMS 動作來建立和管理複寫任務• 使用特定 AWS CloudFormation 動作來建立和管理 arn:aws:cloudformation:*:*:stack/sms-app-*/*• 使用特定 Amazon EC2 動作來管理快照和映像、啟動執行個體，以及管理符合下列標籤條件的執行個體：

ec2: ResourceTag/sms-app-*/*• 使用特定 AWS Systems Manager 動作在執行個體上執行指令碼• 在所有資源上使用 iam:GetRole，以及在 arn:aws:cloudformation:*:*:stack/sms-app-*/* 上使用iam:PassRole

• 使用特定 Amazon S3 動作來建立和管理 arn: *

建立服務連結角色您不需要手動建立 AWSServiceRoleForSMS 角色。當您使用 AWS Management Console 建立或更新複寫工作、應用程式或啟動組態時，選取 Allow automatic role creation (允許自動化角色建立) 選項時，AWSSMS 會為您建立此角色。

為了讓 AWS SMS 代替您建立服務連結角色，您必須具有必要的許可。如需詳細資訊，請參閱 IAM 使用者指南中的服務連結角色許可。

如果未使用主控台，則可以手動建立此服務連結角色。例如，使用下列 AWS CLI create-service-linked-role命令來建立 AWSServiceRoleForSMS。

aws iam create-service-linked-role --aws-service-name sms.amazonaws.com

編輯服務連結角色您可以編輯簡訊服務使用 IAM 加入。如需更多資訊，請參閱 IAM 使用者指南中的編輯服務連結角色。

43

AWS Server Migration Service 使用者指南刪除服務連結角色

刪除服務連結角色如果您不再需要使用 AWS SMS，建議您刪除 AWSServiceRoleForSMS 角色。服務連結角色只能在下列情況下刪除：

• 使用中複寫工作未使用服務連結角色• 與使用中複寫工作相關聯的應用程式未使用服務連結角色• 與 AWS CloudFormation 堆疊相關聯的應用程式未使用服務連結角色

您可以使用 IAM 主控台、IAM CLI 或 IAM API 刪除服務連結角色。如需詳細資訊，請參閱 IAM 使用者指南中的刪除服務連結角色。

刪除 AWSServiceRoleForSMS 角色之後，如果您啟動複寫工作，則 AWS SMS 會再次建立角色。

的舊版 IAM 角色AWS SMS在推出 AWSServiceRoleForSMS, 之前，您必須建立服務角色和啟動角色，才能授與它所需 AWS SMS 的許可。不再需要建立這些角色。

設定服務角色AWS SMS使用以下程序來建立 IAM 角色，該角色將授予許可給AWS SMS，將已遷移的資源放置到您的 Amazon EC2帳戶中。

若要建立 IAM 角色AWS SMS

1. 在以下網址開啟 IAM 主控台：https://console.aws.amazon.com/iam/。2. 在導覽窗格中，選擇 Roles (角色)、Create role (建立新角色)。3. UNDR選擇將使用此角色的服務中，選擇SMS、下一頁: Permissions (許可)。4. UNDR附加的權限原則，請確認原則ServerMigrationServiceRole為可見，然後選擇下一頁: Review (檢

閱)。5. 在 Review (檢閱) 下的 Role name (角色名稱) 中，輸入 sms。

Note

或者，您可以套用不同的名稱，但隨後每次建立複寫任務或應用程式時都必須明確指定角色名稱。

6. 選擇 Create Role (建立角色)。您現在應會在可用的角色清單中看到 sms 角色。

設定的啟動角色AWS SMS若您打算啟動應用程式，便需要有 AWS SMS 啟動角色。您將使用 PutAppLaunchConfiguration API指派此角色。此角色於呼叫 LaunchApp API 時由 AWS CloudFormation 所使用。

建立 AWS SMS 的啟動角色

1. 在以下網址開啟 IAM 主控台：https://console.aws.amazon.com/iam/。2. 在導覽窗格中，選擇 Roles (角色)、Create role (建立新角色)。3. UNDR選擇將使用此角色的服務中，選擇CloudFormation、下一頁: Permissions (許可)。4. UNDR附加的權限原則，請確認原則ServerMigrationServiceLaunchRole為可見，然後選擇下一頁:

Review (檢閱)。5. 在 Review (檢閱) 下的 Role name (角色名稱) 中，輸入 sms-launch。

44

AWS Server Migration Service 使用者指南彈性

Note

或者，您可以套用不同的名稱，但隨後每次建立應用程式的執行配置時都必須明確指定角色名稱。

6. 選擇 Create Role (建立角色)。您現在應會在可用的角色清單中看到 sms-launch 角色。

AWS Server Migration Service 的復原功能AWS 全球基礎設施是以 AWS 區域與可用區域為中心建置的。區域提供多個分開且隔離的實際可用區域，並以低延遲、高輸送量和高度備援網路連線相互連結。透過可用區域，您可以設計與操作的應用程式和資料庫，在可用區域之間自動容錯移轉而不會發生中斷。可用區域的可用性、容錯能力和擴充能力，均較單一或多個資料中心的傳統基礎設施還高。

如需 AWS 區域與可用區域的詳細資訊，請參閱 AWS 全球基礎設施。

AWS Server Migration Service 中的基礎設施安全作為受管理的服務，AWS SMS受到AWS全域網路安全性程序中所述Amazon Web Services：安全處理程序概觀白皮書。

您可使用 AWS 發佈的 API 呼叫，透過網路存取 AWS SMS。用戶端必須支援 Transport Layer Security(TLS) 1.0 或更新版本。建議使用 TLS 1.2 或更新版本。用戶端也必須支援具備完美轉送私密 (PFS) 的密碼套件，例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。現代系統 (如 Java 7 和更新版本) 大多會支援這些模式。

此外，請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者，您可以使用 AWSSecurity Token Service (AWS STS) 來產生暫時安全登入資料來簽署請求。

AWS Server Migration Service 的合規驗證第三方稽核人員會評估的安全與合規AWS服務作為多個AWS合規計劃的合規計劃，例如SOC、PCI、FedRAMP 和 HIPAA。

若要了解AWS Server Migration Service或其他AWS服務在特定合規計劃範圍內，請參閱AWS合規計劃的服務範圍。如需一般資訊，請參閱 AWS 合規計劃。

您可使用 AWS Artifact 下載第三方稽核報告。如需詳細資訊，請參閱 AWS Artifact 中的下載報告。

您使用 AWS 服務時的合規責任，取決於資料的機密性、您公司的合規目標，以及適用的法律和法規。AWS會提供以下資源協助您處理合規事宜：

• 安全與合規快速入門指南-這些部署指南討論在AWS以安全性和合規性為中心。• HIPAA 安全與合規的架構白皮書— 本白皮書說明公司如何使用AWS來建立符合 HIPAA 規範的應用程式。

Note

並非所有服務都符合 HIPAA 規範。• AWS合規資源— 這組手冊和指南可能適用於您的產業和位置。• 使用規則評估資源中的AWS Config開發人員指南—AWS Config服務會評估資源組態與內部實務、業界準

則和法規的合規狀態。• AWS Security Hub— 這個AWS服務可供您全面檢視您中的安全狀態。AWS，可助您檢查是否符合安全產

業標準和最佳實務。

45

AWS Server Migration Service 使用者指南合規驗證

• AWS Audit Manager— 這個AWS服務可協助您持續稽核您的AWS使用，以簡化風險管理方式，並符合法規和業界標準。

46

AWS Server Migration Service 使用者指南連接器的記錄檔

AWS SMS 故障診斷以下資訊可協助您針對使用 AWS SMS 時可能遇到的錯誤問題進行故障診斷。操作以下程序之前，請確認您的 SMS 設定以及您嘗試遷移的伺服器符合 AWS Server Migration Service 的需求 (p. 2) 所述的各項要求。

內容• 連接器的記錄檔 (p. 47)• 註冊連接器時失敗 (p. 48)• 將虛擬機器上傳到 Amazon S3 時發生憑證錯誤 (p. 48)• 伺服器遷移連接器無法連線至AWS錯誤訊息為「PKIX 路徑建置失敗」 (p. 49)• 此 CA 根憑證不受信任 (p. 49)• 準備階段期間複寫執行失敗 (p. 50)• 複寫的 AMI 不支援某些執行個體類型進行啟動 (p. 50)• 伺服器：無法將基礎磁碟上傳到 Amazon S3 (p. 50)• 伺服器：無法驗證複製工作 (p. 50)• 發生內部錯誤。確認您的AWS認證和虛擬機器管理員認證是否正確。 (p. 51)• 快照相關錯誤 (VMware) (p. 51)• 檢查點錯誤 (Hyper-V) (p. 51)• 增量複寫差異超過 1 TB (p. 51)

連接器的記錄檔伺服器遷移連接器提供記錄檔，您可以使用這些記錄檔來疑難排解在完成上傳到 Amazon S3 之前失敗的複寫工作。使用下列程序來下載連接器日誌檔。

下載連接器記錄檔

1. 在 Web 瀏覽器中，輸入連接器 VM 的 IP 地址。2. 登入連接器。3. 確認連接器已通過所有檢查。4. UNDERSSupport 連結中，選擇下載日誌服務包。5. 解壓縮日誌服務包中的檔案。

記錄服務包中包含下列連接器記錄檔：

• connector.log— 檢查連接器組態問題。• connectorsetup.log— 檢查有關初始組態的詳細資訊。• frontend.log— 檢查是否有連線到AWS端點。• metrics.log— 檢查輸送量統計資料和上傳速度 (請參閱UploadStats。• netstat.log— 檢查網路封包錯誤。• poller.log— 確認資料庫輪詢活動。

47

AWS Server Migration Service 使用者指南註冊連接器時失敗

• sms-replication-poller-log— 從驗證複寫任務到磁碟的檢閱活動會上傳到 Amazon S3。例如，您可以驗證上傳進度百分比，並檢閱複寫工作每個階段的開始和結束。

註冊連接器時失敗如果您在註冊連接器時遇到問題，請聯絡sms-service@amazon.com。

將虛擬機器上傳到 Amazon S3 時發生憑證錯誤連接器可能無法複寫您的 VM，因為 VM 所在的 ESXi 主機出現 SSL 憑證問題。如果發生這種情況，您會看到下列錯誤訊息顯示在最近執行的狀態訊息一節：「伺服器暴力：無法將基礎磁碟上傳至 S3。請再試一次。如果此問題仍存在，請聯絡AWSSupport：vSphere 憑證主機名稱不相符：<連連連連 .連連連連> 不符合任何主題替代名稱：[連連連連 .連連連連]。」

您可以完成下列任務來覆寫此 ESXi 主機憑證問題：

工作• 升級您的連接器 (p. 48)• 重新註冊您的連接器 (p. 48)

升級您的連接器此節提供客戶於手動升級連接器時使用。如果您之前已設定自動升級，請跳這些步驟並前往 重新註冊您的連接器 (p. 48)。

升級您的連接器

1. 開啟連接器主控台。2. 登入連接器。3. 選擇 Upgrade (升級)。4. 等候連接器完成升級至 1.0.11.13 或更新版本。

重新註冊您的連接器本節適用於所有遇到憑證不符問題的客戶。

重新註冊您的連接器

1. 開啟連接器主控台。2. 登入連接器。3. 在 中一般 Health區段中，檢查連接器版本是 1.0.11.13 或更新版本。4. 選擇Edit (編輯)AWS Server Migration Service設定。5. 在設定() 頁面，用於AWS區域，從清單中選擇所需的區域。適用於AWS登入資料，輸入您在設定指

南 (p. 9)。選擇 Next (下一步)。6. 在 vCenter Service Account (vCenter 服務帳戶) 頁面，輸入您於設定指南 (p. 9)步驟 3 所建立的

vCenter 主機名稱、使用者名稱和密碼。

48

AWS Server Migration Service 使用者指南伺服器遷移連接器無法連線至AWS錯誤訊息為「PKIX 路徑建置失敗」

7. 選取 Ignore hostname mismatch and expiration errors for vCenter and ESXi certificates (忽略 vCenter與 ESXi 憑證之主機名稱不符與過期錯誤) 核取方塊。選擇 Next (下一步)。

8. 完成註冊並檢視連接器組態儀表板。9. 在 AWS SMS 主控台刪除並重新啟動停滯的複寫工作。

伺服器遷移連接器無法連線至AWS錯誤訊息為「PKIX 路徑建置失敗」

在部分客戶環境中，安全的網路流量經由憑證的重新簽署機制來代理，用於稽核與管理用途。這可能會導致您的AWS認證失敗，連接器嘗試連絡AWS SMS。此錯誤訊息包含「PKIX 路徑建置失敗」，表示使用的是無效的憑證。

對於在此種環境中運作的連接器，重新簽署的憑證 (您的組織所信任並用於簽署輸出封包的使用者憑證) 須新增至連接器的信任存放區，如以下步驟所述：

新增重新簽署憑證到連接器信任存放區

1. 在您的連接器系統上，停用 FreeBSD 封包篩選條件並使用下列命令來啟用 SSH：

sudo service pf stopsudo service sshd onestart

2. 複製使用者憑證到連接器的方法如下：

scp userCertFile ec2-user@10.0.0.100:/tmp/

3. 新增使用者憑證至信任存放區：

keytool -importcert -keystore /usr/local/amazon/connector/config/jetty/trustStore -storepass AwScOnNeCtOr -file /tmp/userCertFileName -alias userCertName

4. 使用下列命令重新啟動服務 (AWS Management Portal for vCenter 部分)：

sudo setup.rb

選擇選項 3 並輸入「yes」。5. 重新啟用封包篩選器：

sudo service pf start

此 CA 根憑證不受信任當您存取現場部署安裝之虛擬機器的 IP 地址時，可能會收到下列訊息：

This CA Root certificate is not trusted. To enable trust,install this certificate in the Trusted Root CertificationsAuthorities store.

您可以放心忽略此訊息。

49

AWS Server Migration Service 使用者指南準備階段期間複寫執行失敗

準備階段期間複寫執行失敗在某些情況下，即使最近一次複寫執行已失敗，AWS SMS 仍會允許複寫任務繼續排定增量複寫執行。一旦達到允許的連續故障次數上限，預設的行為即是暫停複寫任務。任務可於四天內恢復，期限過後就會刪除。若發生這種情況，從最近一次複寫執行取得的 Amazon EBS 快照將與客戶帳戶共享，同時傳送一則狀態訊息告知複寫執行失敗。該則訊息包含快照 ID 並陳述失敗的原因。典型的狀態訊息內容大致如下：

EBS snapshot(s) created with snapshot ID(s): snap-12345678abcdefgh. Another run has been scheduled after the last run failed due to an import failure. 2 re-try run(s) remaining before the job will be failed.

複寫執行失敗 (包括首次啟動失敗) 的原因通常與使用 Amazon EC2 VM 匯入/匯出進行 VM 遷移時觀察到的故障密切相關。如需詳細資訊，請參閱對 VM Import/Export 進行故障診斷。

若您需要進一步求助解決問題，請聯絡 AWS Support。遷移失敗期間產生的 EBS 快照將與您的帳戶共享，且複寫任務的狀態訊息會附上快照 ID。請務必提供這些詳細資訊，當您聯絡AWSSupport。

複寫的 AMI 不支援某些執行個體類型進行啟動部分執行個體需要 ENA 支援。如果遷移不啟用 ENA 支援，則複寫的 AMI 不允許您啟動需要 ENA 支援的執行個體。

確定已啟用 ENA。如需詳細資訊，請參閱「」在 Windows 上啟用增強型聯網或在 Linux 上啟用增強型聯網在 Amazon EC2 文件中。

伺服器：無法將基礎磁碟上傳到 Amazon S3可能原因

• VMDK 無法快照，或虛擬機器已掛載 ISO。• 連接器將緩衝資料上傳到 Amazon S3 時，虛擬化管理程序 (Hyper-V 或 ESXi 主機) 的連線逾時。• 複寫任務將磁碟上傳到 Amazon S3 時正在執行維護。• 虛擬磁碟發生壓縮問題。• 虛擬化管理程序憑證發生驗證錯誤。• 連接器的狀態為Unhealthy。• 連接器無法連接AWS端點。

伺服器：無法驗證複製工作可能原因

• 虛擬機器路徑發生變更。• IAM 權限有變更。• 虛擬環境的使用者或帳戶權限有變更。• 沒有 WinRM (Hyper-V) 的設定問題。• 沒有 DNS 解析失敗。• 連接器虛擬機器上發生 NTP 組態錯誤。

50

AWS Server Migration Service 使用者指南發生內部錯誤。確認您的AWS認證和虛擬機器管理員認證是否正確。

發生內部錯誤。確認您的AWS認證和虛擬機器管理員認證是否正確。

可能原因

• IAM 權限不足以完成連接器設定。• 虛擬環境的使用者或帳戶權限不足。• IAM 角色發生問題AWS SMS。• 缺少先決條件。• 虛擬機器環境尚未準備好。• 設定連接器時使用特殊字元 (Hyper-V)。

快照相關錯誤 (VMware)可能原因

• VMDK 已設定為獨立磁碟。• ESXi 主機無法建立快照。• VMDK 已鎖定。• 快照鏈結已中斷。確保複寫執行之間沒有建立快照，無論是手動或協力廠商軟體。• 先前的複寫執行並未合併快照集。

檢查點錯誤 (Hyper-V)可能原因

• 虛擬機器具有現有的檢查點。• 有手動或協力廠商軟體建立的檢查點。• VHD 或 VHDX 已鎖定。• Hyper-V 主機無法建立檢查點。

增量複寫差異超過 1 TB連接器的設計是用來處理微小差異的經常性覆寫。連接器不支援大於 1 TB 的差異。如果您沒有定期複寫，差異可能會超過此限制，導致複寫執行失敗。

為避免發生此問題，請設定執行經常遞增複寫。如果無法經常複寫，您可以提高差異上傳限制。例如，在連接器上執行以下命令，以將 S3 上傳的組件大小從 25 MB 提高到 100 MB。出現提示時，請選取選項 3。

sudo sms-connector-config -set slotSizeMB 100sudo setup.rb

提高上傳限制會影響連接器的效能和記憶體用量。請勿在連接器上傳多個差異時提高上傳限制。

51

AWS Server Migration Service 使用者指南vCenter 環境的版本

伺服器遷移連接器的版本備註。下表說明伺服器遷移連接器的版本歷史記錄。

推出• vCenter 環境的版本 (p. 52)• Hyper-V/SCVMM 環境的版本 (p. 53)• Azure 環境的版本 (p. 54)

vCenter 環境的版本若要下載適用於 vCenter 環境最新的連接器，請開啟https://s3.amazonaws.com/sms-connector/AWS-SMS-Connector.ova。

發行日期 版本 註解

2020 年 4 月 28 日 1.0.13.245 • 已新增對歐洲 (米蘭) 區域的支援

2020 年 4 月 22 日 1.0.13.242 • 新增對非洲 (開普敦) 區域的支援

2020 年 3 月 23 日 1.0.13.227 • 修正在中東 (巴林) 區域封鎖遷移的錯誤

• 修正快照上傳期間檔案過早結束 (EOF) 錯誤

2019 年 5 月 29 日 1.0.13.106 • 修正因連線錯誤而封鎖連接器設備註冊的錯誤AWS

2019 年 5 月 3 日 1.0.13.90 • 修正在AWSGovCloud (美國東部) 區域

2018 年 12 月 12 日 1.0.13.15 • 新增對歐洲 (斯德哥爾摩) 區域的支援

2018 年 12 月 5 日 1.0.13.1 • 連接器針對應用程式遷移功能進行最佳化

2018 年 10 月 19 日 1.0.12.109 • 修復在內部部署基礎設施或網路中斷後，VM 磁碟上傳重新開始所造成的檔案過早結束(EOF)

2018 年 9 月 18 日 1.0.12.88 • 針對被現場部署網路停機干擾的 VM 磁碟傳輸，繼續執行修正

2018 年 6 月 11 日 1.0.12.3 • 使用 S3 資訊清單功能，新增支援磁碟大小大於 4 TB 的 VM

• 次要錯誤修正

52

AWS Server Migration Service 使用者指南Hyper-V/SCVMM 環境的版本

發行日期 版本 註解

2018 年 4 月 26 日 1.0.11.34 • 新增對南美洲 (聖保羅) 區域的支援

• 次要錯誤修正與效能改進

2018 年 1 月 29 日 1.0.10.x • 已新增對以下區域的支援：歐洲 (倫敦)、歐洲 (巴黎)、美國西部 (加利佛尼亞北部) 和中國 (北京)

• 次要錯誤修正與效能改進

2017 年 11 月 08 日 1.0.9.x • 改進磁碟上傳的復原能力• 次要錯誤修正與效能改進

2017 年 8 月 29 日 1.0.8.x • 新增法文、中文、韓文和日文語言支援

• 提升 VM 磁碟上傳速度• 次要錯誤修正

2017 年 6 月 02 日 1.0.7.12 • 已新增對AWSGovCloud (美國西部) 區域

2017 年 5 月 5 日 1.0.5.2 • 新增對 vCenter 5.1 的支援• 新增對一次性遷移的支援• 改進錯誤訊息和安全相關的錯

誤修正

2016 年 11 月 3 日 1.0.0.84 • 適用於 VMware 環境的 ServerMigration Connector 虛擬設備

• AWS Server Migration Service主控台，使用圖形界面來管理VM 遷移和 SMS 複寫任務。

• AWS Server Migration ServiceCLI，使用命令列管理 VM 遷移和 SMS 複寫任務

Hyper-V/SCVMM 環境的版本若要下載適用於 Hyper-V/SCVMM 環境最新的連接器，請開啟https://s3.amazonaws.com/sms-connector/AWS-SMS-Connector-for-SCVMM-HyperV.zip。

發行日期 版本 註解

2020 年 11 月 9 日 1.1.0.801 • 修正建立與共用之連接器記錄服務包程序的問題AWS以進行故障診斷。

2020 年 4 月 28 日 1.1.0.522 • 已新增對歐洲 (米蘭) 區域的支援

2020 年 4 月 22 日 1.1.0.515 • 新增對非洲 (開普敦) 區域的支援

53

AWS Server Migration Service 使用者指南Azure 環境的版本

發行日期 版本 註解

2020 年 4 月 6 日 1.1.0.505 • 已修正下列區域中的連接器註冊問題：中東 (巴林)、歐洲 (斯德哥爾摩) 和亞太區域 (香港)

• 已修正下載日誌套件的問題

2018 年 12 月 12 日 1.1.0.378 • 新增對歐洲 (斯德哥爾摩) 區域的支援

2018 年 12 月 5 日 1.1.0.364 • 連接器針對應用程式遷移功能進行最佳化

2018 年 10 月 9 日 1.1.0.357 • Windows Hyper-V 第 2 代 VM遷移

• 次要錯誤修正

2018 年 6 月 11 日 1.1.0.304 • 使用 S3 資訊清單功能，新增支援磁碟大小大於 4 TB 的 VM

• 次要錯誤修正

2018 年 4 月 25 日 1.1.0.287 • 新增對使用單一連接器從多個Hyper-V 伺服器遷移 VM 的支援

• 新增對南美洲 (聖保羅) 區域的支援

• 次要錯誤修正

2018 年 2 月 28 日 1.1.0.x • 已新增對以下區域的支援：歐洲 (倫敦)、歐洲 (巴黎)、美國西部 (加利佛尼亞北部) 和中國 (北京)

• 次要錯誤修正

2017 年 12 月 14 日 1.1.0.76 • 新增對 Microsoft Hyper-V 環境的支援

Azure 環境的版本若要下載適用於 Azure 環境最新的連接器，請開啟https://s3.amazonaws.com/sms-connector/aws-sms-azure-setup.ps1。

發行日期 版本 註解

2020 年 2 月 27 日 1.2.0.350 • 次要錯誤修正

2019 年 5 月 31 日 1.2.0.286 • 部署指令碼支援非預設訂閱• 次要錯誤修正與效能改進

2019 年 4 月 18 日 1.2.0.269 • 新增對 Microsoft Azure 環境的支援

54

AWS Server Migration Service 使用者指南

AWS SMS 的文件歷程記錄下表說明 AWS SMS 各版本。

update-history-change update-history-description update-history-date

應用程式驗證 (p. 55) 新增在啟動應用程式前驗證應用程式的支援。透過應用程式驗證，您可以使用AWS SystemsManager。透過執行個體驗證，您可以在 EC2 執行個體首次使用Amazon EC2 使用者資料開機時執行組態指令碼。

2020 年 8 月 10 日

支援 Azure (p. 55) 新增對 Microsoft Azure 的支援。 2019 年 4 月 18 日

與 整合 AWS MigrationHub (p. 55)

新增對匯入和移轉 Migration Hub所探索的應用程式的支援。

2019 年 2 月 22 日

遷移應用程式 (p. 55) 新增支援將伺服器群組整編為應用程式進行遷移，以及支援使用CloudFormation 自動啟動應用程式。

2018 年 12 月 5 日

支援較大的磁碟大小 (p. 55) 使用 S3 資訊清單功能，新增支援磁碟大小大於 4 TB 的 VM。

2018 年 6 月 11 日

使用單一連接器移轉多部伺服器 (p. 55)

新增對使用單一連接器從多個Hyper-V 伺服器遷移 VM 的支援。

2018 年 4 月 25 日

Hyper-V 支援 (p. 55) 新增對 Microsoft Hyper-V 環境的支援。

2017 年 12 月 14 日

上傳復原能力 (p. 55) 改進磁碟上傳的復原能力。 2017 年 11 月 8 日

提升上傳速度 (p. 55) 提升 VM 磁碟上傳速度。 2017 年 8 月 29 日

vCenter 5.1；一次性遷移；錯誤訊息；安全性 (p. 55)

新增對 vCenter 5.1 的支援。支援一次性遷移。改進錯誤訊息和安全相關的錯誤修正。

2017 年 5 月 5 日

初始版本 (p. 55) 適用於 VMware 環境的 ServerMigration Connector 虛擬設備。AWS Server MigrationService主控台，使用圖形界面來管理 VM 遷移和 SMS 複寫任務。AWS Server MigrationServiceCLI，使用命令列管理 VM遷移和 SMS 複寫任務。

2016 年 11 月 3 日

55

AWS Server Migration Service 使用者指南

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

lvi