VMwareからAzure Stackへのマイグレーション

この記事の内容

  • VMware(ESXi)環境上の仮想マシンをAzure Stack Hubへ移行する手順を紹介します
  • バックアップツール「Veeam」を使ったバックアップ&リストア方式でマイグレーションを実現します
  • Linuxサーバー(Webサーバー)はパブリックIPアドレス経由でシンプルに移行できます
  • Active Directory環境に参加しているサーバー(SharePoint・SQL Server)はVPN接続が必要になります
  • Azure Stack HubのネットワークはVPNなしでも外部公開できるという誤解を解説します

移行対象の環境構成

今回の移行元環境は、vCenterを持つESXi上で複数の仮想マシンが動作しています。具体的には以下の構成です。

  • Linuxサーバー:Webサーバー1台(シンプルなWebサイトをホスト)
  • Windows Server:Active Directory環境に参加したSharePoint 2016サーバー
  • SQL Server:SharePointのバックエンドDBサーバー

これらをAzure Stack Hub環境に移行していきます。

Azure Stack HubのネットワークとExternalネットワーク

Azure Stack Hubの構成において、最も外側にはExternalネットワークと呼ばれる外部接続用のネットワークが1つ存在します。このExternalネットワークとVMware側の環境が通常通り通信できる状態であることを前提として作業を進めます。

よくある誤解:VPNは必須ではない

Azure Stack Hubについて、「オンプレミスのネットワーク環境とAzure Stack Hub上の仮想マシンが通信するためにはVPNが必ず必要」と誤解されているケースが多く見られます。

実際には、仮想ネットワーク上にサーバーを配置してパブリックIPアドレスを割り当てるだけで外部からアクセス可能になります。Azure Stack Hubでパブリックを作成すると、Externalネットワークから固定のIPアドレスが払い出されます。

  • 仮想マシンを作成し、パブリックIPアドレスを付与する
  • そのパブリックIPアドレス経由で外部からアクセスできる

これがAzure Stack Hubの基本的なネットワーク構成です。

移行ツール:Veeam

今回のマイグレーションにはバックアップ製品のVeeamを使用します。Veeamで既存のVMware環境をバックアップし、そのデータをAzure Stack HubへリストアすることでVMの移行を実現します。

Veeamは、リストア先としてvCenter環境だけでなくAzure Stack Hubも登録可能であり、管理ポータルのUIからリストア先としてAzure Stack Hubを選択することができます。

LinuxサーバーのWebサーバー移行

事前準備

Azure Stack Hub側に以下を事前作成しておきます。

  • 仮想ネットワーク(Virtual Network)
  • ストレージアカウント

リストア手順

  1. Veeamのポータルからすべてのタスクでリストアのジョブを実行します
  2. リストアタイプとして「Azure Stack Hub」を選択します
  3. バックアップデータを選択し、リストア先のサブスクリプション・リソースグループ・ストレージアカウントを指定します
  4. 仮想マシンのサイズを選択します
  5. リストア先の仮想ネットワークを指定します
  6. パブリックIPアドレスを作成する設定を有効にします(External Network経由でアクセスするため)
  7. Network Security Groupを設定します(今回はなしで設定)
  8. 構成完了後、リストアと同時に仮想マシンを起動するオプションを有効にします

リストア後の確認

リストア完了後、ネットワークインターフェイスにパブリックIPアドレスが生成されていることを確認できます。作成された仮想マシンにはVeeamがリストアしたVHDファイルがアタッチされており、すでに稼働状態となっています。

パブリックIPアドレスでブラウザからアクセスすると、元のWebサイトが正常に表示されることを確認できます。

#http://<IP>

LinuxのようなActive Directoryに依存しないシステムであれば、リストア後に異なるIPアドレスになっても問題なく動作します。最終的にパブリックIPアドレスをDNSに紐付けてあげれば移行完了です。

Active Directory環境のサーバー移行(SharePoint・SQL Server)

VPNが必要なケース

Active Directoryに参加しているサーバーを同じ方法で単純にリストアすると、起動時にドメインコントローラーが見つからずに正常稼働しません。このため、オンプレミスのVMware環境とAzure Stack Hubの仮想ネットワーク間でVPN接続を確立する必要があります。

VPN構成の概要

  1. Azure Stack Hub側に仮想ネットワークゲートウェイを構築します
  2. ゲートウェイが持つパブリックIPアドレスに向けて、オンプレミス側(Windows Server 2016)でVPNを設定します(Windowsのルーティングおよびリモートアクセス機能を使用)
  3. Azure Stack Hub側にローカルネットワークゲートウェイオブジェクトを作成し、オンプレミス側のIPアドレスとアドレス空間を設定します

これにより、VMware環境とAzure Stack Hubの仮想ネットワーク間でシームレスにルーティングされる状態になります。

ルーティング設定例

オンプレミス側では、Azure Stack HubのゲートウェイIPアドレス(例:192.168.x.x)に対してルートを追加します。

route add <Azure Stack側アドレス空間> mask <サブネットマスク> <ゲートウェイIP> -p

DNSの設定

Active Directory環境では、仮想ネットワークのDNS設定が非常に重要です。Azure Stack Hub側の仮想ネットワークのDNSに、ドメインコントローラーのIPアドレスをカスタム設定します。これにより、リストアされた仮想マシンがActive Directoryにスムーズに参加できるようになります。

SharePoint・SQL ServerのリストアとVPNなし公開IPの扱い

VPN接続が確立された状態でVeeamからリストアを実行します。SharePoint・SQL Serverともにリストア先を以下のように設定します。

  • リソースグループ・ストレージアカウント:Azure Stack Hub環境のものを選択
  • 仮想ネットワーク:作成済みの仮想ネットワークを選択
  • パブリックIPアドレスの生成:不要(VPN経由でアクセスするため)
  • 仮想マシンは自動起動設定で起動

リストア後、仮想マシンがプライベートIPアドレスで起動し、VPN経由でオンプレミス側からドメインコントローラーを参照できる状態になります。SharePointのWebサービス部分はパブリックIPアドレス経由で外部公開する構成も可能です。

Active Directory依存を減らす設計の推奨

SharePointなどのシステムではActive Directoryによる認証が多く使われていますが、認証基盤をAzure Active Directory(Microsoft Entra ID)ベースに移行することで、VPN接続なしで構成できるようになります。

オンプレミスのActive Directory環境での認証構築はそろそろ終わりにして、Azure ADベースのアプリケーション構成を採用することで、よりシンプルなクラウド移行が実現できます。

まとめ

VMware環境からAzure Stack HubへのマイグレーションはVeeamを使ったバックアップ&リストア方式で実現できます。

  • Linuxなどの非AD依存サーバー:パブリックIPアドレスを付与するだけでシンプルに移行可能
  • Active Directory参加サーバー(SharePoint・SQL Server等):VPN接続の構築と仮想ネットワークのDNS設定が必要
  • Azure Stack HubのネットワークにVPNは必須ではない:パブリックIPアドレスを作成することで外部公開が可能

Azure Stack HubはオンプレミスのVMware環境から段階的に移行していくための現実的な選択肢です。将来的にはAzure AD(Entra ID)ベースの認証に移行することで、さらにシンプルなクラウドネイティブな構成を目指せます。