Azure VMを他のサブスクリプションへ複製する場合、同一テナントへのコピーか別テナントへのコピーかで手順が変わってきます。
Japan Azure IaaS Core Support Blogブログに Azure VM の複製 / 移動方法ついてのまとめ という素晴らしい記事が公開されています。
こちらの「別のテナントへのVMの複製」手順で実現可能なのですが、以下のタイミングで一時的にどこからでもアクセスできる状態になります。
- マネージドディスクをエクスポートしたとき
- 転送先ストレージアカウントでSAS発行したとき
ここにネットワーク制限を加えることができないか検証したので手順を残します。
全体像
- こちらが全体像です
- ポイントは2つあり、赤枠で囲っている「クロステナントプライベートエンドポイント」と「Managed Diskネットワーク制御」です。これらを実装することで特定のvNet内に閉じた通信を可能としています
クロステナントプライベートエンドポイント
- 異なるテナント、異なるサブスクリプション間でプライベートエンドポイントを実装する方式です
- こちらは以前記事にまとめていますので参考ください
クロステナントのAzure Private Endpoint経由でBlob Storageに接続する
Managed Diskネットワーク制御
- Managed Diskをエクスポートするとエンドポイントが発行されますが、このエンドポイントにプライベートエンドポイントを実装する方式です
- こちらも以下の記事にまとめていますので参考ください
Azure Managed Diskのネットワーク設定を検討する
VHDファイル転送からVM起動まで
- 上記2つの設定を行うことで、特定のvNet内からのみのアクセスに絞ることができます
- vNet内にAzCopy用のVMを作って、プライベートエンドポイント経由でManaged Diskエンドポイントから別テナントのストレージアカウントSASエンドポイントにVHDファイルをコピーします
- 以降の手順はJapan Azure IaaS Core Support Blogブログの Azure VM からエクスポートした VHD ファイルを用いた複製 VM の作成方法 で実現できましたのでリンクさせて頂きます
以上です