이 문서에 따라 어플라이언스 구성 관리자에서 소프트웨어 인벤토리(설치된 애플리케이션 검색)를 수행하고, 에이전트 없는 종속성을 분석하며, 웹앱 및 SQL Server 인스턴스와 데이터베이스를 검색하는 여러 서버 자격 증명을 추가하는 방법에 대해 알아봅니다.
Azure Migrate 어플라이언스는 Azure Migrate: 검색 및 평가에서 온-프레미스 서버를 검색하고 서버 구성 및 성능 메타데이터를 Azure에 보내는 데 사용하는 간단한 어플라이언스입니다. 또한 어플라이언스를 사용하여 소프트웨어 인벤토리를 수행하고, 에이전트 없는 종속성을 분석하며, 웹앱, SQL Server 인스턴스와 데이터베이스를 검색할 수 있습니다.
비고
현재 ASP.NET 웹앱 검색은 VMware 환경에서 실행 중인 서버 검색 및 평가에 사용되는 어플라이언스에서만 사용할 수 있습니다.
이러한 기능을 사용하려면 다음 단계를 수행하여 서버 자격 증명을 제공할 수 있습니다. vCenter Server 및 Hyper-V 호스트/클러스터에서 실행되는 서버의 경우, 어플라이언스에서 검색 기능을 수행하기 위해 자격 증명을 서버에 자동으로 매핑하려고 시도합니다.
서버 자격 증명 추가
지원되는 서버 자격 증명 유형
어플라이언스 구성 관리자에서 도메인, 비도메인(Windows 또는 Linux), SQL Server 인증 자격 증명 등 여러 서버 자격 증명을 추가할 수 있습니다.
지원되는 서버 자격 증명 유형은 아래 표에 나와 있습니다.
| 자격 증명 유형 | 설명 |
|---|---|
| 도메인 자격 증명 |
자격 증명 추가 모달의 드롭다운에서 옵션을 선택하여 도메인 자격 증명을 추가할 수 있습니다. 도메인 자격 증명을 제공하려면 FQDN(정규화된 도메인 이름 ) 형식(예: prod.corp.contoso.com)으로 제공해야 하는 도메인 이름을 지정해야 합니다. 도메인 자격 증명을 제공하려면 FQDN(정규화된 도메인 이름) 형식(예: prod.corp.contoso.com)으로 도메인 이름을 지정합니다. 또한 자격 증명에 대한 친화적인 이름, 사용자 이름 및 암호를 제공해야 합니다. 세 어플라이언스 스택(VMware, Hyper-V 및 물리적)의 게스트 검색 섹션에서 도메인 자격 증명을 UPN 형식(username@domain.com)으로 제공해야 합니다. 물리적 어플라이언스에서 서버 메타데이터를 검색하고 SI 및 종속성 분석을 사용하도록 설정하려면 하위 수준 형식(domain\username)으로 도메인 자격 증명을 제공합니다. 이 시나리오에서는 UPN 형식(username@domain.com)이 지원되지 않습니다. 추가된 도메인 자격 증명은 도메인의 Active Directory에 대해 신뢰성이 있는지 자동으로 검사됩니다. 이 유효성 검사는 어플라이언스가 발견된 서버에 대해 도메인 자격 증명을 매핑하려고 시도할 때 계정 잠금을 방지하기 위한 것입니다. 도메인 컨트롤러를 사용하여 도메인 자격 증명의 유효성을 검사하려면 어플라이언스에서 도메인 이름을 확인할 수 있어야 합니다. 자격 증명을 추가하는 동안 올바른 도메인 이름을 제공했는지 확인하세요. 그렇지 않으면 유효성 검사가 실패합니다. 어플라이언스는 유효성 검사에 실패한 도메인 자격 증명을 매핑하려고 시도하지 않습니다. 검색을 시작하려면 성공적으로 유효성 검사된 도메인 자격 증명이 하나 이상 있거나 도메인이 아닌 자격 증명이 하나 이상 있어야 합니다. Windows 서버에 대해 자동으로 매핑된 도메인 자격 증명은 소프트웨어 인벤토리를 수행하는 데 사용되며 웹앱 및 SQL Server 인스턴스 및 데이터베이스(SQL Server 에서 Windows 인증 모드를 구성한 경우)를 검색하는 데 사용할 수도 있습니다. SQL Server에서 지원되는 인증 모드 유형에 대해 자세히 알아봅니다. |
| 비 도메인 자격 증명(Windows/Linux) |
자격 증명 추가 모달의 드롭다운에서 필요한 옵션을 선택하여 Windows(비 도메인) 또는 Linux(비 도메인)를 추가할 수 있습니다. 자격 증명, 사용자 이름, 암호에 대해 익숙한 이름을 지정해야 합니다. |
| SQL Server 인증 자격 증명 | 자격 증명 추가 모달의 드롭다운에서 옵션을 선택하여 SQL Server 인증자격 증명을 추가할 수 있습니다. 자격 증명, 사용자 이름, 암호에 대해 익숙한 이름을 지정해야 합니다. SQL Server에서 SQL Server 인증 모드를 구성한 경우 이 유형의 자격 증명을 추가하여 VMware 환경에서 실행 중인 SQL Server 인스턴스 및 데이터베이스를 검색할 수 있습니다. SQL Server에서 지원되는 인증 모드 유형에 대해 자세히 알아봅니다. SQL Server 인증 자격 증명을 사용하여 SQL Server 인스턴스와 데이터베이스를 검색하기 전에 어플라이언스에서 소프트웨어 인벤토리를 완료하여 서버에 설치된 SQL을 검색할 수 있게 하려면 유효성이 확인된 도메인 자격 증명이나 Windows(비도메인) 자격 증명을 하나 이상 제공해야 합니다. |
| PostgreSQL 인증 자격 증명 |
자격 증명 추가 대화 상자의 드롭다운에서 적절한 옵션을 선택하여 PostgreSQL 인증을 추가할 수 있습니다. 친숙한 이름, 사용자 이름 및 암호를 지정해야 합니다. 이러한 자격 증명은 PostgreSQL 서버가 암호 기반 인증(예: md5, scram-sha-256 또는 암호)으로 구성된 경우 사용자 환경에서 PostgreSQL 인스턴스 및 데이터베이스를 검색하는 데 사용됩니다. 어플라이언스가 소프트웨어 인벤토리를 완료하고 PostgreSQL 설치를 검색할 수 있도록 유효성이 검사된 도메인 자격 증명 또는 하나 이상의 Windows/Linux(비 도메인) 자격 증명을 하나 이상 제공해야 합니다. 이 단계 후에 어플라이언스는 PostgreSQL 인증 자격 증명을 사용하여 PostgreSQL 인스턴스 및 데이터베이스를 식별합니다. |
소프트웨어 인벤토리를 수행하고, 에이전트 없는 종속성을 분석하며, 웹앱, SQL Server 인스턴스와 데이터베이스를 검색하기 위해 Windows/Linux 자격 증명에 필요한 권한을 확인합니다.
필요한 사용 권한
아래 표에는 해당 기능을 수행하기 위해 어플라이언스에 제공된 서버 자격 증명에 필요한 권한이 있습니다.
| 기능 | Windows 자격 증명 | Linux 자격 증명 |
|---|---|---|
| 소프트웨어 인벤토리 | 게스트 사용자 계정 | 일반/일반 사용자 계정(nonsudo 액세스 권한) |
| SQL Server 인스턴스 및 데이터베이스 검색 | SQL Server 인스턴스 및 데이터베이스를 검색하려면 Windows/도메인 계정 또는 SQL Server 계정에 각 SQL Server 인스턴스에 대해 이러한 낮은 권한 읽기 권한이 필요합니다 . 낮은 권한 계정 프로비저닝 유틸리티를 사용하여 사용자 지정 계정을 만들거나 간단히 하기 위해 sysadmin 서버 역할의 멤버인 기존 계정을 사용할 수 있습니다. | 현재 지원되지 않음 |
| ASP.NET 웹앱 검색 | 관리 권한이 있는 도메인 또는 비도메인(로컬) 계정 | 현재 지원되지 않음 |
| 에이전트 없는 종속성 분석 | 관리 권한이 있는 도메인 또는 비도메인(로컬) 계정 | ls 및 netstat 명령을 실행할 수 있는 권한이 있는 Sudo 사용자 계정입니다. sudo 사용자 계정을 제공할 때 sudo 명령이 호출될 때마다 암호를 묻는 메시지를 표시하지 않고 계정에 대해 NOPASSWD 가 필요한 명령을 실행하도록 설정했는지 확인합니다. 또는 다음 명령을 사용하여 설정한 /bin/netstat 및 /bin/ls 파일에 대한 CAP_DAC_READ_SEARCH 및 CAP_SYS_PTRACE 권한이 있는 사용자 계정을 만들 수 있습니다.
sudo setcap CAP_DAC_READ_SEARCH,CAP_SYS_PTRACE=ep /bin/ls |
| PostgreSQL 인스턴스 및 데이터베이스 검색 | 각 PostgreSQL 인스턴스에서는 슈퍼 사용자 권한이 있거나 다음과 같은 최소 사용자 권한이 있는 PostgreSQL 사용자 계정을 사용합니다: 데이터베이스에 대한 CONNECT, pg_read_all_settings 및 관련 스키마에 대한 USAGE. |
각 PostgreSQL 인스턴스에서 슈퍼 사용자 권한 또는 다음과 같은 최소 사용자 권한으로 PostgreSQL 사용자 계정을 사용합니다: 데이터베이스에 대한 CONNECT, pg_read_all_settings 및 관련 스키마에 대한 USAGE. |
권장하는 자격 증명 제공 방법
- 필요한 권한이 있는 전용 도메인 사용자 계정을 만드는 것이 좋습니다. 이 계정은 소프트웨어 인벤토리, 에이전트 없는 종속성 분석 및 웹앱 검색, SQL Server 인스턴스 및 데이터베이스를 원하는 서버에서 수행하도록 범위가 지정됩니다.
- 소프트웨어 인벤토리를 시작하려면 성공적으로 유효성 검사된 도메인 자격 증명을 하나 이상 제공하거나 비도메인 자격 증명을 하나 이상 제공하는 것이 좋습니다.
- SQL Server에서 Windows 인증 모드를 구성한 경우 SQL Server 인스턴스와 데이터베이스를 검색하기 위해 도메인 자격 증명을 제공할 수 있습니다.
- SQL Server 인증 모드를 SQL Server에 구성한 경우 SQL Server 인증 자격 증명을 제공할 수 있지만 어플라이언스에서 먼저 소프트웨어 인벤토리를 완료할 수 있도록 유효성 검사가 완료된 도메인 자격 증명이나 Windows(비도메인) 자격 증명을 하나 이상 제공하는 것이 좋습니다.
어플라이언스의 자격 증명 처리
- 어플라이언스 구성 관리자에서 제공되는 모든 자격 증명은 어플라이언스 서버에 로컬로 저장되고 Azure로 보내지 않습니다.
- 어플라이언스 서버에 저장된 자격 증명은 DPAPI(데이터 보호 API)를 사용하여 암호화됩니다.
- 자격 증명을 추가한 다음에는 어플라이언스에서 자격 증명을 자동으로 매핑하여 개별 서버에서 검색을 수행하려고 합니다.
- 이 어플라이언스는 자격 증명에서 필요한 검색 데이터를 가져올 수 있을 때까지 모든 후속 검색 주기에 대해 서버에서 자동으로 매핑되는 자격 증명을 사용합니다. 자격 증명의 작동이 중지되면 어플라이언스는 추가된 자격 증명 목록에서 다시 매핑하여 서버에서 검색을 계속 시도합니다.
- 추가된 도메인 자격 증명은 도메인의 Active Directory에 대해 신뢰성이 있는지 자동으로 검사됩니다. 이는 어플라이언스가 검색된 서버에 대해 도메인 자격 증명을 매핑하려고 할 때 계정 잠금을 방지하기 위한 것입니다. 어플라이언스는 유효성 검사에 실패한 도메인 자격 증명을 매핑하려고 시도하지 않습니다.
- 이 어플라이언스에서 서버에 대해 도메인 또는 비도메인 자격 증명을 매핑할 수 없는 경우 프로젝트의 서버에 대해 "자격 증명을 사용할 수 없음" 상태가 표시됩니다.