你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍了使用已启用 Azure Arc 的 VMware vSphere通过 Azure Arc 管理 VMware vSphere VM 的先决条件和支持要求。
若要使用已启用 Arc 的 VMware vSphere,必须在 VMware vSphere 环境中部署 Azure Arc 资源网桥。 资源网桥在 VMware vCenter Server 与 Azure 之间提供持续连接。 将 VMware vCenter Server 连接到 Azure 后,资源网桥上的组件会发现 vCenter 清单。 可以在 Azure 中启用它们,并开始使用 Azure Arc 在其上执行虚拟硬件和来宾 OS 操作。
VMware vSphere 要求
若要使用已启用 Azure Arc 的 VMware vSphere,必须满足以下要求。
支持的 vCenter Server 版本
已启用 Azure Arc 的 VMware vSphere 适用于 vCenter Server 版本 7 和 8。
注意
已启用 Azure Arc 的 VMware vSphere 目前支持具有最多 9500 个 VM 的 vCenter。 如果 vCenter 具有的 VM 超过 9500 个,则此时不建议使用启用了 Arc 的 VMware vSphere。
所需的 vSphere 帐户权限
需要一个可执行以下操作的 vSphere 帐户:
- 读取所有清单。
- 将 VM 部署并更新到要与 Azure Arc 一起使用的所有资源池(或群集)、网络和 VM 模板。
重要说明
作为已启用 Azure Arc 的 VMware 加入脚本的一部分,系统会提示你提供一个 vSphere 帐户,用于在 ESXi 主机上部署 Azure Arc 资源网桥 VM。 此帐户将本地存储在 Azure Arc 资源网桥 VM 中,并作为 Kubernetes 机密进行静态加密。 vSphere 帐户允许已启用 Azure Arc 的 VMware 与 VMware vSphere 交互。 如果你的组织实行常规凭据轮换,则必须更新已启用 Azure Arc 的 VMware 中的凭据,以保持已启用 Azure Arc 的 VMware 与 VMware vSphere 之间的连接。
资源网桥资源要求
对于已启用 Arc 的 VMware vSphere,资源网桥具有以下最低虚拟硬件要求:
- 8 GB 内存
- 4 个 vCPU
- 可直接或通过代理访问 Internet 的外部虚拟交换机。 如果 Internet 访问是通过代理或防火墙进行的,请确保这些 URL 已加入到允许列表中。
资源网桥网络要求
通常,连接要求包括以下原则:
- 除非另有说明,否则所有连接都是 TCP 连接。
- 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
- 除非另有说明,否则所有连接都是出站连接。
若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。
Azure Arc 资源网桥 VM 需要以下防火墙 URL 例外:
出站连接性要求
为了实现管理机、Arc 资源桥接器 VM(初始部署的)、Arc 资源桥接器 VM 2(升级会使用不同的 VM IP 创建新 VM)以及控制平面 IP 与所需 Arc 资源桥接器 URL 之间的通信,必须将以下防火墙和代理 URL 加入允许列表。
重要说明
载入 Arc 资源桥时,必须为设备 VM 提供两个 IP 地址。 将其指定为以下任一项:
- IP 范围
- 两个单独的 IP(每个 VM 一个)
若要确保升级成功,所有设备 VM IP 必须具有对所需 URL 的出站访问权限。 请确保这些 URL 已列入网络允许列表。
防火墙/代理 URL 允许列表
| 服务 | 端口 | 网址 | 方向 | 说明 |
|---|---|---|---|---|
| SFS API 终结点 | 443 | msk8s.api.cdp.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 从 SFS 下载产品目录、产品位和 OS 映像。 |
| 资源网桥(设备)映像下载 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 下载 Arc 资源网桥 OS 映像。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 发现 Arc 资源网桥的容器映像。 |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 下载 Arc 资源网桥的容器映像。 |
| Windows NTP 服务器 | 123 | time.windows.com |
管理计算机和设备 VM IP(如果 Hyper-V 默认值为 Windows NTP)需要在 UDP 上建立出站连接 | 设备 VM 和管理计算机 (Windows NTP) 中的 OS 时间同步。 |
| Azure Resource Manager | 443 | management.azure.com |
管理计算机和设备 VM IP 需要出站连接。 | 管理 Azure 中的资源。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | Azure RBAC 所需。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理计算机和设备 VM IP 需要出站连接。 | 更新 ARM 令牌所需。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 更新 ARM 令牌所需。 |
| Azure Resource Manager | 443 | login.windows.net |
管理计算机和设备 VM IP 需要出站连接。 | 更新 ARM 令牌所需。 |
| 资源网桥(设备)数据平面服务 | 443 | *.dp.prod.appliances.azure.com |
设备 VM IP 需要出站连接。 | 与 Azure 中的资源提供程序通信。 |
| 资源网桥(设备)容器映像下载 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
设备 VM IP 需要出站连接。 | 需拉取容器映像。 |
| 托管标识 | 443 | *.his.arc.azure.com |
设备 VM IP 需要出站连接。 | 拉取系统分配的托管标识证书时必需。 |
| Azure Arc for Kubernetes 容器映像下载 | 443 | azurearcfork8s.azurecr.io |
设备 VM IP 需要出站连接。 | 拉取容器映像。 |
| ADHS 遥测服务 | 443 | adhs.events.data.microsoft.com |
设备 VM IP 需要出站连接。 | 定期从设备 VM 发送 Microsoft 所需的诊断数据。 |
| Microsoft 事件数据服务 | 443 | v20.events.data.microsoft.com |
设备 VM IP 需要出站连接。 | 从 Windows 发送诊断数据。 |
| Arc 资源网桥的日志收集 | 443 | linuxgeneva-microsoft.azurecr.io |
设备 VM IP 需要出站连接。 | 为设备托管组件推送日志。 |
| 资源网桥组件下载 | 443 | kvamanagementoperator.azurecr.io |
设备 VM IP 需要出站连接。 | 为设备托管组件拉取项目。 |
| Microsoft 开放源代码包管理器 | 443 | packages.microsoft.com |
设备 VM IP 需要出站连接。 | 下载 Linux 安装包。 |
| 自定义位置 | 443 | sts.windows.net |
设备 VM IP 需要出站连接。 | 自定义位置时必需。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
设备 VM IP 需要出站连接。 | 使用 Azure Arc 时必需。 |
| 诊断数据 | 443 | gcs.prod.monitoring.core.windows.net |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
| 诊断数据 | 443 | *.prod.microsoftmetrics.com |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
| 诊断数据 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
| 诊断数据 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
| Azure 门户 | 443 | *.arc.azure.net |
设备 VM IP 需要出站连接。 | 从 Azure 门户管理群集。 |
| Azure 服务总线 | 443 | *.servicebus.windows.net |
设备 VM IP 需要出站连接。 必须允许出站 WebSocket (wss://) 连接。 | 启用安全控制通道。 |
| Azure CLI | 443 | *.blob.core.windows.net |
管理计算机需要出站连接。 | 下载 Azure CLI 安装程序。 |
| Arc 扩展 | 443 | *.web.core.windows.net |
管理计算机需要出站连接。 | 下载 Arc 资源桥扩展。 |
| Azure Arc 代理 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理计算机需要出站连接。 | 用于 Arc 代理的数据平面。 |
| Python 包 | 443 |
pypi.org、*.pypi.org |
管理计算机需要出站连接。 | 验证 Kubernetes 和 Python 版本。 |
| Azure CLI | 443 |
pythonhosted.org、*.pythonhosted.org |
管理计算机需要出站连接。 | 用于 Azure CLI 安装的 Python 包。 |
入站连接性要求
必须在管理计算机、设备 VM IP 和控制平面 IP 中允许以下端口之间的通信。 确保这些端口已打开,并且流量不会通过代理路由,以便于部署和维护 Arc 资源网桥。
重要说明
在加入期间,需要为 Arc 资源网桥设备虚拟机提供两个 IP 地址 - 可以是一个 IP 范围,也可以是两个单独的 IP。 若要成功部署、操作和升级,请执行以下操作:
- 确保允许在管理计算机、设备 VM IP 和控制平面 IP 之间通过下面列出的所需端口进行通信。
- 不要通过这些连接的代理路由流量。
| 服务 | 端口 | IP/计算机 | 方向 | 说明 |
|---|---|---|---|---|
| SSH | 22 |
appliance VM IPs 和 Management machine |
双向 | 管理主机出站连接到设备 VM IP。 设备 VM IP 必须允许入站连接。 |
| Kubernetes API 服务器 | 6443 |
appliance VM IPs 和 Management machine |
双向 | 管理主机出站连接到设备 VM IP。 设备 VM IP 必须允许入站连接。 |
| SSH | 22 |
control plane IP 和 Management machine |
双向 | 用于部署和维护设备 VM。 |
| Kubernetes API 服务器 | 6443 |
control plane IP 和 Management machine |
双向 | 设备 VM 的管理。 |
| HTTPS | 443 |
private cloud control plane address 和 Management machine |
管理计算机需要出站连接。 | 与私有云(例如 VMware vCenter 地址和 vSphere 数据存储)通信。 |
| Kubernetes API 服务器 | 6443, 2379, 2380, 10250, 10257, 10259 |
appliance VM IPs (彼此) |
双向 | 需要进行设备虚拟机升级。 确保所有设备 VM IP 都通过这些端口相互建立出站连接。 |
| HTTPS | 443 |
private cloud control plane address 和 appliance VM IPs |
设备 VM IP 需要出站连接。 | 与私有云(例如 VMware vCenter 地址和 vSphere 数据存储)通信。 |
此外,VMware vSphere 需要以下项:
| 服务 | 端口 | 网址 | 方向 | 说明 |
|---|---|---|---|---|
| vCenter Server | 443 | vCenter 服务器的 URL | 设备 VM IP 和控制平面终结点需要出站连接。 | 由 vCenter 服务器用来与设备 VM 和控制平面通信。 |
| VMware 群集扩展 | 443 | azureprivatecloud.azurecr.io |
设备 VM IP 需要出站连接。 | 拉取 Microsoft.VMWare 和 Microsoft.AVS 群集扩展的容器映像。 |
| Azure CLI 和 Azure CLI 扩展 | 443 | *.blob.core.windows.net |
管理计算机需要出站连接。 | 下载 Azure CLI 安装程序和 Azure CLI 扩展。 |
| Azure Resource Manager | 443 | management.azure.com |
管理计算机需要出站连接。 | 在 Azure 中使用 ARM 创建/更新资源时需要。 |
| Azure Arc 代理的 Helm 图表 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理计算机需要出站连接。 | 用于下载 Arc 代理配置信息的数据平面终结点。 |
| Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
管理计算机需要出站连接。 | 提取和更新 Azure 资源管理器令牌所需的终结点。 |
有关 Azure ARC 功能和支持 Azure ARC 的服务的网络要求的完整列表,请参阅 AzureARC 网络要求(合并)。
Azure 角色/权限要求
与已启用 Arc 的 VMware vSphere 相关的操作所需的最低 Azure 角色如下所示:
| 操作 | 所需的最低角色 | 范围 |
|---|---|---|
| 将 vCenter Server 加入到 Arc | Azure Arc VMware 私有云加入 | 在要加入到的订阅或资源组上 |
| 管理启用了 Arc 的 VMware vSphere | Azure Arc VMware 管理员 | 在创建 vCenter 服务器资源的订阅或资源组上 |
| VM 预配 | Azure Arc VMware 私有云用户 | 在包含资源池/群集/主机、数据存储和虚拟网络资源的订阅或资源组上,或在资源本身上 |
| VM 预配 | Azure Arc VMware VM 参与者 | 在要预配 VM 的订阅或资源组上 |
| VM 操作 | Azure Arc VMware VM 参与者 | 在包含 VM 的订阅或资源组上,或在 VM 本身上 |
在同一作用域上具有更高权限的任何角色(如“所有者”或“参与者”)也允许你执行上面列出的操作。
来宾管理(Arc 代理)要求
使用已启用 Arc 的 VMware vSphere,可以在 VM 上大规模安装 Azure Connected Machine Agent,并在这些 VM 上使用 Azure 管理服务。 此功能还有其他要求。
若要启用来宾管理(安装 Arc Connected Machine Agent),请确保满足以下条件:
- VM 已开机。
- VM 已安装并正在运行 VMware 工具。
- 资源网桥有权访问运行 VM 的主机。
- VM 正在运行受支持的操作系统。
- VM 直接或通过代理建立 Internet 连接。 如果连接通过代理,请确保这些 URL 已加入允许列表中。
此外,请确保满足以下要求才能启用来宾管理。
支持的操作系统
请确保使用的是Azure Connected Machine Agent 正式支持的 Windows 或 Linux 操作系统版本。 仅支持 x86-64(64 位)体系结构。 x86(32 位)和基于 ARM 的体系结构(包括 arm64 上的 x86-64 仿真)并非受支持的运行环境。
软件要求
Windows 操作系统:
- 需要 .NET Framework 4.6 或更高版本。 下载 .NET Framework。
- 需要 Windows PowerShell 5.1。 下载 Windows Management Framework 5.1。
Linux 操作系统:
- systemd
- wget(用于下载安装脚本)
网络要求
Azure Arc 代理需要以下防火墙 URL 例外:
| 网址 | 说明 |
|---|---|
aka.ms |
用于在安装过程中解析下载脚本 |
packages.microsoft.com |
用于下载 Linux 安装包 |
download.microsoft.com |
用于下载 Windows 安装包 |
login.windows.net |
Microsoft Entra ID |
login.microsoftonline.com |
Microsoft Entra ID |
pas.windows.net |
Microsoft Entra ID |
management.azure.com |
Azure 资源管理器 - 创建或删除 Arc 服务器资源 |
*.his.arc.azure.com |
元数据和混合标识服务 |
*.guestconfiguration.azure.com |
扩展管理和来宾配置服务 |
guestnotificationservice.azure.com、*.guestnotificationservice.azure.com |
扩展和连接方案的通知服务 |
azgn*.servicebus.windows.net |
扩展和连接方案的通知服务 |
*.servicebus.windows.net |
对于 Windows Admin Center 和 SSH 方案 |
*.blob.core.windows.net |
下载启用了 Azure Arc 的服务器扩展的源 |
dc.services.visualstudio.com |
代理遥测 |