IBM Cloud Docs
Hyper Protect Virtual Servers VPCからオンプレミスへの安全なデータ移行

Hyper Protect Virtual Servers VPCからオンプレミスへの安全なデータ移行

この包括的なガイドでは、 IBM Cloud VPC 上で実行されている Hyper Protect Virtual Servers インスタンスからオンプレミス環境へデータを安全に移行するプロセスを説明します。

Hyper Protect Virtual Servers クラウドのデータ・ボリュームは、ユーザーが提供するシード値を使用して完全に暗号化され、発信元ユーザーだけがデータを復号化できるようになっている。 これらの暗号化されたボリュームは、完全な機密性を保ったままオンプレミス環境に転送することができる。 転送されたボリュームの復号化は、 IBM Confidential Computing Container Runtime または IBM Confidential Computing Container Runtime for Red Hat Virtualization Solutions のオンプレミス展開でのみ可能です。これは、 LUKS 復号化パスフレーズが HPVS インスタンスの Secure Execution バウンダリ内のみで生成されるためです。 セキュア実行バウンダリは、システム管理者やハイパーバイザーによるメモリダンプやアクセスの試みを含む、改ざんや検査からメモリ内の秘密を保護するように設計されている。 その結果、暗号化キーとパスフレーズは HPVS インスタンスのライフサイクルを通して分離され、保護されます。

このガイドに記載されている移行手順は、サービス終了(EOS)ウィンドウまでしか有効ではありません。 詳しくは、 サービス廃止のお知らせを ご覧ください。

前提条件

以下のことを確認してください:

  • VPC SE VSI HPVS インスタンス付きアクティブ IBM Cloud アカウント

  • VPC NON SE VSI qemu-utils パッケージがインストールされた IBM Cloud 上で動作する仮想サーバーインスタンス

  • VPC NON SE VSI VSIへの ssh を行うマシンのボリュームスナップショットを収容する十分なストレージスペース

  • VPC NON SE VSI VPC SE VSI クラウドとオンプレミスの両環境への管理アクセス

  • HPVSの配備に使用されるオリジナルの契約ファイルとシードファイル。 IBM Cloud

  • バックアップの確認:HPVS インスタンス上のデータの最新のバックアップを確認します ( IBM Cloud 展開)

  • ダウンタイムの計画:メンテナンス・ウィンドウをスケジュールし、移行中のボリュームの変更を避けることをお勧めします。

  • ネットワーク接続:ボリュームスナップショット用マシンとオンプレミスマシン間のセキュアな転送メカニズム(VPN、ダイレクトリンク、またはセキュアなファイル転送)を確保する

  • 必要なツール仮想サーバーインスタンスに qemu-utils をインストールします:

    • Ubuntu または Debian :

      sudo apt-get update && sudo apt-get install -y qemu-utils

    • RHELまたは CentOS:

      sudo yum install -y qemu-img

移行ワークフロー図

移行ワークフロー図
移行ワークフロー図

手順

ステップ1:暗号化されたディスクボリュームのスナップショットを取る

HPVS インスタンスに接続されている暗号化ディスクボリュームのボリュームスナップショットを取得します。 詳しくは、 Block Storage for VPC スナップショットの作成を 参照してください。

ステップ2:スナップショットを使用してQEMUで仮想サーバーインスタンスを作成する

スナップショットをインポートして仮想サーバーインスタンスを作成します。 詳細については、 コンソールでの仮想サーバーインスタンスの作成を 参照してください。

ステップ3:ボリュームの場所を特定する

  1. 仮想サーバーインスタンスにSSH接続します:

    ssh -i /path/to/private_key user@<VSI_IP_ADDRESS>

  2. lsblk コマンドを実行し、すべてのブロック・デバイスをリストアップする:

    lsblk

  3. アウトプットのボリュームを確認する:

    出力例:

    NAME    MAJ:MIN RM  SIZE RO TYPE MOUNTPOINTS
vda     254:0    0  100G  0 disk
├─vda1  254:1    0 99.9G  0 part /
├─vda14 254:14   0    3M  0 part
└─vda15 254:15   0  124M  0 part /boot/efi
vdb     254:16   0  368K  0 disk
vdc     254:32   0   44K  0 disk
vdd     254:48   0   10G  0 disk              ← new volume
├─vdd1  254:49   0   99M  0 part
└─vdd2  254:50   0  9.9G  0 part

    新しいボリュームは通常、最後にリストされたデバイス(この例では vdd )である。

  4. 次のステップで使用するため、デバイスパス(例: /dev/vdd )をメモしておきます。

ステップ4:ボリュームスナップショットの作成

QEMUツールを使用して、ボリュームの圧縮スナップショットを作成します。

  1. スナップショットを保存するディレクトリを作成します:

    sudo mkdir -p /var/lib/libvirt/images/hpvs/snap-image
cd /var/lib/libvirt/images/hpvs/snap-image

  2. qemu-img を使ってスナップショットを作成する:

    sudo qemu-img convert -p -f raw -O qcow2 /dev/vdd vdd.qcow2

    コマンドのパラメータ

    • -p:変換中に進行状況を表示する
    • -f raw:ソースフォーマット(未加工ブロックデバイス)
    • -O qcow2:出力形式( QCOW2 圧縮画像)
    • /dev/vdd:ソースデバイス(デバイスパスに置き換えてください)
    • vdd.qcow2:出力ファイル名

    このプロセスは、ボリュームの大きさによってはかなりの時間を要する。 10GBのボリュームは通常5-15分かかる。

  3. スナップショットが正常に作成されたことを確認します:

    ls -lh vdd.qcow2
qemu-img info vdd.qcow2

    期待される出力

    image: vdd.qcow2
file format: qcow2
virtual size: 10 GiB (10737418240 bytes)
disk size: 2.5 GiB
cluster_size: 65536

ステップ5:スナップショットをオンプレミスに転送する

スナップショットファイルをオンプレミス環境に安全に転送します。

scp vdd.qcow2 user@on-premises-host:/var/lib/libvirt/images/hpvs/snap-image/

ステップ6:オンプレミス仮想サーバーの設定

移行したボリュームを使用するように、オンプレミスの仮想サーバー構成を更新します。

  1. ドメインXML設定ファイルを探す:

    • HPVSの場合: hpvsnew.xml
    • HPCRの場合: hpcrnew.xml

  2. XMLファイルを編集して、ディスク構成を追加または更新する:

    HPVSの場合(hpvsnew.xml):

    <domain type='kvm'>
  <name>hpvs-migrated</name>


  <devices>



    <disk type='file' device='disk'>
      <driver name='qemu' type='qcow2' cache='none' iommu='on'/>
      <source file='/var/lib/libvirt/images/hpvs/snap-image/vdd.qcow2'/>
      <target dev='vdb' bus='virtio'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x07' function='0x0'/>
    </disk>
  </devices>
</domain>

    HPCRの場合(hpcrnew.xml):

    
<domain type='kvm'>
  <name>hpcr-migrated</name>


  <devices>



    <disk type='file' device='disk'>
      <driver name='qemu' type='qcow2' cache='none' iommu='on'/>
      <source file='/var/lib/libvirt/images/hpvs/snap-image/vdd.qcow2'/>
      <target dev='vdb' bus='virtio'/>
      <address type='pci' domain='0x0000' bus='0x00' slot='0x07' function='0x0'/>
    </disk>
  </devices>
</domain>

    設定パラメータ

    • type='file':ディスクソースはファイル
    • device='disk':デバイスタイプはディスク
    • driver name='qemu' type='qcow2': QCOW2 フォーマットの QEMU ドライバを使用
    • cache='none':データの整合性を高めるためにキャッシュを無効にする
    • iommu='on':セキュリティのためにIOMMUを有効にする
    • target dev='vdb':ゲスト内部のデバイス名
    • bus='virtio':より良いパフォーマンスのために VirtIO

  3. HPVS の初期導入時に使用したオリジナルの契約書とシードファイルがあることを確認してください。