Überblick: System Center Virtual Machine Manager mit Azure Arc-Unterstützung
System Center Virtual Machine Manager (SCVMM) mit Azure Arc-Unterstützung ermöglicht es System Center-Kunden, ihre VMM-Umgebung mit Azure zu verbinden und VM-Self-Service-Vorgänge über das Azure-Portal durchzuführen. Der Azure Arc-fähige SCVMM erweitert die Azure-Steuerungsebene auf die von SCVMM verwaltete Infrastruktur und ermöglicht so die konsistente Nutzung der Azure-Sicherheits-, Governance- und Verwaltungsfunktionen über die von System Center verwalteten Immobilien und Azure.
System Center Virtual Machine Manager mit Azure Arc-Unterstützung ermöglicht es Ihnen auch, Ihre Hybridumgebung konsistent zu verwalten und Self-Service-VM-Vorgänge über das Azure-Portal auszuführen. Für Kunden von Microsoft Azure Pack ist diese Lösung als Alternative zum Ausführen von VM-Self-Service-Vorgängen vorgesehen.
System Center VMM mit Arc-Unterstützung ermöglicht Folgendes:
- Durchführen verschiedener VM-Lebenszyklusvorgänge wie Starten, Beenden, Anhalten und Löschen von VMs auf von SCVMM verwalteten VMs direkt aus Azure.
- Befähigen von Entwicklern und Anwendungsteams, mit rollenbasierter Zugriffssteuerung (RBAC) von Azure VM-Vorgänge bei Bedarf selbst zu verwalten.
- Durchsuchen Ihrer VMM-Ressourcen (VMs, Vorlagen, VM-Netzwerke und Speicher) in Azure, wobei Sie Ihre Infrastruktur in beiden Umgebungen in einem einzigen Fenster anzeigen können.
- Entdecken und Durchführen des Onboardings vorhandener von SCVMM verwalteter VMs in Azure.
- Installieren Sie den mit Arc verbundenen Computer-Agenten im großen Stil auf SCVMM-VMs, um sie zu steuern, zu schützen, zu konfigurieren und zu überwachen.
Hinweis
Weitere Anleitungen zu den verschiedenen Azure Arc-Diensten finden Sie unter Auswählen des richtigen Azure Arc-Diensts für Computer.
Bedarfsgerechtes Integrieren von Ressourcen in die Azure-Verwaltung
Azure-Dienste wie Microsoft Defender for Cloud, Azure Monitor, Azure Update Manager und Azure Policy bieten umfangreiche Funktionen zum Schützen, Überwachen, Patchen und Steuern von Ressourcen außerhalb von Azure über Arc.
Wenn Sie die Funktionen von SCVMM mit Arc-Unterstützung verwenden, um Ihren vom SCVMM gesteuerten Bestand zu ermitteln und den Arc-Agent im gewünschten Umfang zu installieren, können Sie das Onboarding Ihres gesamten System Center-Bestands in diesen Diensten vereinfachen.
Wie funktioniert dies?
Um einen System Center VMM-Verwaltungsserver mit Arc-Unterstützung zu versehen, stellen Sie die Azure Arc-Ressourcenbrücke in der VMM-Umgebung bereit. Die Arc-Ressourcenbrücke ist eine virtuelle Appliance, die den VMM-Verwaltungsserver mit Azure verbindet. Mit der Azure Arc-Ressourcenbrücke können Sie die SCVMM-Ressourcen (Clouds, VMs, Vorlagen usw.) in Azure darstellen und verschiedene Vorgänge mit ihnen durchführen.
Aufbau
Die folgende Abbildung zeigt die Architektur für das SCVMM mit Arc-Unterstützung:
Wie unterscheidet sich SCVMM mit Arc-Unterstützung von Arc-fähigen Servern?
- Azure Arc-fähige Server interagieren auf Gastbetriebssystemebene ohne Kenntnis des zugrunde liegenden Infrastrukturfabrics und der Virtualisierungsplattform, auf der sie ausgeführt werden. Da Arc-fähige Server auch Bare-Metal-Computer unterstützen, liegt in einigen Fällen nicht einmal ein Host-Hypervisor vor.
- SCVMM mit Azure Arc-Unterstützung ist eine Obermenge Arc-fähiger Server, die Verwaltungsfunktionen über das Gastbetriebssystem hinaus auf die VM selbst erweitert. Dadurch werden Lebenszyklusverwaltung und CRUD-Vorgänge (Create, Read, Update, Delete) auf einer SCVMM-VM bereitgestellt. Diese Funktionen zur Lebenszyklusverwaltung werden im Azure-Portal verfügbar gemacht und entsprechen dem normalen Verhalten einer Azure-VM. SCVMM mit Azure Arc-Unterstützung bietet auch die Verwaltung des Gastbetriebssystems. Dabei werden dieselben Komponenten verwendet, die auch von Servern mit Azure Arc-Unterstützung verwendet werden.
Sie haben die Flexibilität, mit einer der beiden Optionen zu beginnen oder die andere später nahtlos zu integrieren. Beide Optionen bieten dieselbe konsistente Erfahrung.
Unterstützte Szenarios
Die folgenden Szenarien werden in SCVMM mit Azure Arc-Unterstützung unterstützt:
- SCVMM-Administratoren können eine VMM-Instanz mit Azure verbinden und den Bestand an SCVMM-VMs in Azure durchsuchen.
- Administratoren können das Azure-Portal verwenden, um den SCVMM-Bestand zu durchsuchen und die SCVMM-Cloud, VMs, VM-Netzwerke und VM-Vorlagen in Azure zu registrieren.
- Administratoren können App-Teams bzw. Entwickler über Azure RBAC differenzierte Berechtigungen für diese SCVMM-Ressourcen erteilen.
- App-Teams können Azure-Schnittstellen (Portal, CLI oder REST-API) verwenden, um den Lebenszyklus von lokalen VMs zu verwalten, die sie für die Bereitstellung ihrer Anwendungen verwenden (CRUD, Starten/Beenden/Neu starten).
- Administratoren können Arc-Agenten auf SCVMM-VMs im großen Maßstab installieren und entsprechende Erweiterungen installieren, um Azure-Verwaltungsdienste wie Microsoft Defender for Cloud, Azure Update Manager, Azure Monitor usw. zu nutzen.
Hinweis
Azure Arc-aktivierter SCVMM unterstützt keine VMware vCenter-VMs, die von SCVMM verwaltet werden. Um VMware-VMs in Azure Arc einzubinden, empfehlen wir Ihnen die Verwendung von Azure Arc-fähigen VMware vSpherezu.
Unterstützte VMM-Versionen
SCVMM mit Azure Arc-Unterstützung funktioniert mit den VMM-Versionen 2019 und 2022 und unterstützt SCVMM-Verwaltungsserver mit maximal 15,000 VMS.
Unterstützte Regionen
SCVMM mit Azure Arc-Unterstützung wird derzeit in den folgenden Regionen unterstützt:
- East US
- USA (Ost) 2
- USA, Westen 2
- USA, Westen 3
- USA (Mitte)
- USA Süd Mitte
- UK, Süden
- Nordeuropa
- Europa, Westen
- Schweden, Mitte
- Asien, Südosten
- Australien (Osten)
Anforderungen an Ressourcenbrückennetzwerke
Für die Azure Arc-Ressourcenbrücken-VM sind die folgenden Firewall-URL-Ausnahmen erforderlich:
Ausgehende Konnektivität
Die unten aufgeführten Firewall- und Proxy-URLs müssen in die Positivliste aufgenommen werden, um die Kommunikation vom steuernden Computer, der Appliance-VM und der Steuerungsebenen-IP zu den erforderlichen Arc-Ressourcenbrücken-URLs zu ermöglichen.
Firewall/Proxy-URL-Positivliste
| Dienst | Port | URL | Richtung | Hinweise |
|---|---|---|---|---|
| SFS-API-Endpunkt | 443 | msk8s.api.cdp.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Laden Sie den Produktkatalog, Produktbits und Betriebssystemimages von SFS herunter. |
| Ressourcenbrücke (Appliance): Image-Download | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Herunterladen der Betriebssystemimages für die Arc-Ressourcenbrücke. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Laden Sie Containerimages für Arc Resource Bridge herunter. |
| Windows NTP Server | 123 | time.windows.com |
Die IP-Adressen von Verwaltungscomputern und Appliance-VMs (bei der Hyper-V-Standardeinstellung Windows NTP) benötigen eine ausgehende Verbindung für UDP | Synchronisierung der Betriebssystemzeit auf Appliance-VM und Verwaltungscomputer (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Verwalten von Ressourcen in Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich für Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
| Azure Resource Manager | 443 | login.windows.net |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
| Ressourcenbrücke (Appliance): Datenebenendienst | 443 | *.dp.prod.appliances.azure.com |
Appliance VMs IP benötigen eine ausgehende Verbindung. | Kommunizieren mit dem Ressourcenanbieter in Azure. |
| Ressourcenbrücke (Appliance): Download des Containerimages | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Pullen von Containerimages. |
| Verwaltete Identität | 443 | *.his.arc.azure.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten. |
| Download des Containerimages für Azure Arc für Kubernetes | 443 | azurearcfork8s.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pullen von Containerimages. |
| Azure Arc-Agent | 443 | k8connecthelm.azureedge.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Bereitstellen eines Azure Arc-Agents. |
| ADHS-Telemetriedienst | 443 | adhs.events.data.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten von der VM der Appliance an Microsoft. |
| Microsoft-Ereignisdatendienst | 443 | v20.events.data.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Senden von Diagnosedaten aus Windows. |
| Protokollsammlung für Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pushprotokolle für von der Appliance verwaltete Komponenten. |
| Ressourcenbrückenkomponenten herunterladen | 443 | kvamanagementoperator.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pullartefakte für von der Appliance verwaltete Komponenten. |
| Microsoft Open Source-Paketmanager | 443 | packages.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Laden Sie das Linux-Installationspaket herunter. |
| Benutzerdefinierter Speicherort | 443 | sts.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für benutzerdefinierten Speicherort. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für Azure Arc. |
| Benutzerdefinierter Speicherort | 443 | k8sconnectcsp.azureedge.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für benutzerdefinierten Speicherort. |
| Diagnosedaten | 443 | gcs.prod.monitoring.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
| Diagnosedaten | 443 | *.prod.microsoftmetrics.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
| Diagnosedaten | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
| Diagnosedaten | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
| Azure-Portal | 443 | *.arc.azure.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Verwalten eines Clusters im Azure-Portal. |
| Azure CLI und Erweiterung | 443 | *.blob.core.windows.net |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Laden Sie den Azure CLI Installer und die Erweiterung herunter. |
| Azure Arc-Agent | 443 | *.dp.kubernetesconfiguration.azure.com |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Für Arc-Agent verwendete Datenplane. |
| Python-Paket | 443 | pypi.org, *.pypi.org |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Validieren Sie Kubernetes- und Python-Versionen. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Python-Pakete für die Azure CLI-Installation. |
| SSH | 22 | Arc resource bridge appliance VM IPs |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Wird für die Problembehandlung der Appliance-VM verwendet. |
| Kubernetes-API-Server | 6443 | Arc resource bridge appliance VM IPs |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Verwaltung der Appliance-VM. |
Darüber hinaus erfordert SCVMM die folgende Ausnahme:
| Dienst | Port | URL | Richtung | Hinweise |
|---|---|---|---|---|
| SCVMM-Verwaltungsserver | 443 | URL des SCVMM-Verwaltungsservers. | Die IP-Adresse der Appliance-VM und der Endpunkt der Steuerungsebene benötigen eine ausgehende Verbindung. | Wird vom SCVMM-Server verwendet, um mit der Appliance-VM und der Steuerungsebene zu kommunizieren. |
| WinRM | WinRM-Portnummern (Standard: 5985 und 5986). | URL des WinRM-Diensts. | IP-Adressen im IP-Pool, die von der Appliance-VM und der Steuerungsebene verwendet werden, erfordern eine Verbindung mit dem VMM-Server. | Wird vom SCVMM-Server verwendet, um mit der Appliance-VM zu kommunizieren. |
Die Konnektivitätsanforderungen umfassen im Allgemeinen die folgenden Prinzipien:
- Alle Verbindungen sind TCP, sofern nicht anders angegeben.
- Alle HTTP-Verbindungen verwenden HTTPS und SSL/TLS mit offiziell signierten und überprüfbaren Zertifikaten.
- Sofern nicht anders angegeben, sind alle Verbindungen ausgehend.
Um einen Proxy zu verwenden, stellen Sie sicher, dass die Agenten und der Rechner, der den Onboarding-Prozess durchführt, die Netzwerkanforderungen in diesem Artikel erfüllen.
Eine vollständige Liste der Netzwerkanforderungen für Azure Arc-Features und Dienste mit Azure Arc-Unterstützung finden Sie unter Azure Arc-Netzwerkanforderungen (konsolidiert).
Datenresidenz
Bei SCVMM mit Azure Arc-Unterstützung werden keine Kundendaten außerhalb der Region gespeichert oder verarbeitet, in der der Kunde die Dienstinstanz bereitstellt.