Freigeben über

Systemanforderungen für Azure Arc-Ressourcenbrücken

In diesem Artikel werden die Systemanforderungen für die Bereitstellung der Azure Arc-Ressourcenbrücke beschrieben.

Arc-Ressourcenbrücke wird mit anderen Partnerprodukten wie Azure Local, Arc-fähigen VMware vSphere und Arc-fähigen System Center Virtual Machine Manager (SCVMM) verwendet. Für diese Produkte können zusätzliche Anforderungen gelten.

Erforderliche Azure-Berechtigungen

  • Für das Onboarding der Arc-Ressourcenbrücke müssen Sie über die Rolle Mitwirkender in der Ressourcengruppe verfügen.

  • Zum Lesen, Ändern und Löschen der Arc-Ressourcenbrücke müssen Sie über die Rolle " Mitwirkender " für die Ressourcengruppe verfügen.

Anforderungen an das Verwaltungstool

Azure CLI ist erforderlich, um die Azure Arc-Ressourcenbrücke in unterstützten privaten Cloudumgebungen bereitzustellen.

Bei der Bereitstellung der Arc-Ressourcenbrücke auf VMware muss Azure CLI 64-bit auf dem Verwaltungscomputer installiert sein, um die Bereitstellungsbefehle auszuführen.

Bei der Bereitstellung auf Azure Local sollte Azure CLI 32-bit auf dem Verwaltungscomputer installiert werden.

Die CLI-Erweiterung (arcappliance) muss auf der Arc-Appliance installiert werden, indem Sie den folgenden Befehl ausführen: az extension add --name arcappliance

Mindestanforderungen an die Ressourcen

Die Arc-Ressourcenbrücke weist die folgenden Mindestanforderungen an die Ressourcen auf:

  • 200 GB Speicherplatz
  • 4 vCPUs
  • 8 GB Arbeitsspeicher
  • unterstützte Speicherkonfiguration – Hybridspeicher (Flash und Festplatte) oder All-Flash-Speicher (SSDs oder NVMe)

Diese Mindestanforderungen ermöglichen die meisten Szenarien für Produkte, welche die Arc-Ressourcenbrücke verwenden. Informieren Sie sich in der Dokumentation des Produkts über die spezifischen Ressourcenanforderungen. Wenn nicht genügend Ressourcen zur Verfügung gestellt werden, kann es zu Fehlern bei der Bereitstellung oder dem Upgrade kommen.

Anforderungen an das IP-Adresspräfix (Subnetz)

Das IP-Adresspräfix (Subnetz), in dem die Arc-Ressourcenbrücke eingesetzt werden soll, muss mindestens /29 lauten. Das IP-Adresspräfix muss über genügend verfügbare IP-Adressen für die Gateway-IP, die IP der Steuerungsebene, die Appliance-VM-IP und die reservierte Appliance-VM-IP verfügen. Arc-Ressourcenbrücke verwendet nur die IP-Adressen, die dem IP-Poolbereich (Start IP, End IP) und der Control Plane IP zugewiesen sind. Es wird empfohlen, dass die End IP unmittelbar auf die Start-IP folgt. Beispiel: Start-IP-Adresse = 192.168.0.2, End-IP-Adresse = 192.168.0.3. Arbeiten Sie mit Ihren technischen Fachkräften für das Netzwerk zusammen, um sicherzustellen, dass ein Subnetz mit den erforderlichen verfügbaren IP-Adressen und IP-Adresspräfixen für die Arc-Ressourcenbrücke zur Verfügung steht.

Das IP-Adresspräfix ist der IP-Adressbereich des Subnetzes für das virtuelle Netz und die Subnetzmaske (IP-Maske) in CIDR-Notation, z. B. 192.168.7.1/29. Sie geben das IP-Adresspräfix (in CIDR-Notation) bei der Erstellung der Konfigurationsdateien für die Arc-Ressourcenbrücke an.

Wenden Sie sich an Ihren Netzwerktechniker, um das IP-Adresspräfix in CIDR-Notation zu erhalten. Ein IP-Subnetz-CIDR-Rechner kann verwendet werden, um diesen Wert zu erhalten.

Statische IP-Konfiguration

Wenn die Arc-Ressourcenbrücke in einer Produktionsumgebung eingesetzt wird, muss bei der Bereitstellung der Arc-Ressourcenbrücke eine statische Konfiguration verwendet werden. Die statische IP-Konfiguration wird verwendet, um der Steuerungsebene der Arc-Ressourcenbrücke, der Appliance-VM und der reservierten Appliance-VM drei statische IPs zuzuweisen (die sich im selben Subnetz befinden).

DHCP wird nur für Testzwecke in einer Testumgebung und nur für die VM-Verwaltung in Azure Local unterstützt. Es sollte nicht in einer Produktionsumgebung verwendet werden. DHCP wird von keiner anderen privaren Cloud mit Arc-Unterstützung unterstützt, auch nicht von VMware mit Arc-Unterstützung, Arc for AVS oder SCVMM mit Arc-Unterstützung.

Wenn Sie DHCP verwenden, müssen Sie die IP-Adressen reservieren, die von der Steuerungsebene und der Appliance VM verwendet werden. Außerdem müssen diese IPs außerhalb des zuweisbaren DHCP-IP-Bereichs liegen. Beispiel: Die IP der Steuerungsebene sollte als reservierte/ statische IP behandelt werden, die kein anderer Rechner im Netz verwendet oder von DHCP erhält. Wenn sich die IP der Steuerungsebene oder die IP der Appliance-VM ändert, wirkt sich dies auf die Verfügbarkeit und Funktionalität der Ressourcenbrücke aus.

Anforderungen an den Verwaltungscomputer

Der Computer, der zum Ausführen der Befehle zum Bereitstellen und Verwalten der Arc-Ressourcenbrücke verwendet wird, wird als Verwaltungscomputer bezeichnet.

Anforderungen an den Verwaltungscomputer:

  • Azure CLI x64 installiert

  • Kommunikation mit Steuerungsebenen-IP (SSH-TCP-Port 22, Kubernetes-API-Port 6443)

  • Kommunikation mit Appliance VM-IPs (SSH-TCP-Port 22, Kubernetes-API-Port 6443)

  • Kommunikation mit der reservierten Appliance VM-IPs (SSH-TCP-Port 22, Kubernetes-API-Port 6443)

  • Kommunikation über Port 443 mit der Verwaltungskonsole der privaten Cloud (z. B. VMware vCenter-Computer)

  • Interne und externe DNS-Auflösung. Der DNS-Server muss interne Namen auflösen, z. B. den vCenter-Endpunkt für vSphere oder den Endpunkt des Cloud-Agentendienstes für Azure Local. Der DNS-Server muss auch in der Lage sein, externe Adressen aufzulösen, die erforderliche URLs für die Bereitstellung sind.

  • Zugriff auf das Internet

Anforderungen an die IP-Adresse der Appliance VM

Die Arc-Ressourcenbrücke besteht aus einer Appliance-VM, die vor Ort eingesetzt wird. Die Appliance-VM hat Einblick in die lokale Infrastruktur und kann lokale Ressourcen (Gastmanagement) für die Projektion in Azure Resource Manager (ARM) taggen. Der VM der Appliance wird eine IP-Adresse aus dem Parameter k8snodeippoolstart im Befehl createconfig zugewiesen. Er kann in Partnerprodukten als Start Range IP, RB IP Start oder VM IP 1 bezeichnet werden. Die IP-Adresse der Appliance-VM ist die Start-IP-Adresse für den VM-Poolbereich der Appliance. Wenn Sie die Arc-Ressourcenbrücke zum ersten Mal bereitstellen, ist dies die IP-Adresse, die Ihrer Appliance-VM anfänglich zugewiesen ist. Der Bereich des VM-IP-Pools erfordert mindestens 2 IP-Adressen.

IP-Adressanforderungen für Appliance-VM:

  • Kommunikation mit dem Verwaltungscomputer (SSH-TCP-Port 22, Kubernetes-API-Port 6443).
  • Kommunikation mit dem Endpunkt für private Cloudverwaltung über Port 443 (z. B. VMware vCenter)
  • Internetverbindung mit den erforderlichen URLs, die in Proxy/Firewall aktiviert sind.
  • Statische IP zugewiesen und innerhalb des IP-Adresspräfixes.
  • Interne und externe DNS-Auflösung.
  • Bei Verwendung eines Proxyservers muss der Proxyserver von dieser IP und allen IPs innerhalb des VM-IP-Pools erreichbar sein.

Anforderungen an die reservierte VM-IP der Appliance

Die Arc-Ressourcenbrücke reserviert eine zusätzliche IP-Adresse, die für das VM-Upgrade der Appliance verwendet wird. Der reservierten Appliance VM IP wird über den Parameter k8snodeippoolend im Befehl az arcappliance createconfig eine IP-Adresse zugewiesen. Diese IP-Adresse kann als End Range IP, RB IP End oder VM IP 2 bezeichnet werden. Die reservierte Appliance-VM-IP ist die End-IP-Adresse für den Bereich des IP-Pools der Appliance-VM. Wenn Ihre Appliance-VM zum ersten Mal aktualisiert wird, ist dies die IP-Adresse, die Ihrer Appliance-VM nach dem Upgrade zugewiesen ist, und die anfängliche IP-Adresse der Appliance-VM wird an den IP-Pool zurückgegeben, der für ein zukünftiges Upgrade verwendet werden soll. Wenn Sie einen IP-Pool-Bereich angeben, der größer als zwei IP-Adressen ist, werden die zusätzlichen IPs reserviert.

Anforderungen an die reservierte VM-IP der Appliance:

  • Kommunikation mit dem Verwaltungscomputer (SSH-TCP-Port 22, Kubernetes-API-Port 6443).
  • Kommunikation mit dem Endpunkt für private Cloudverwaltung über Port 443 (z. B. VMware vCenter)
  • Internetverbindung mit den erforderlichen URLs, die in Proxy/Firewall aktiviert sind.
  • Statische IP zugewiesen und innerhalb des IP-Adresspräfixes.
  • Interne und externe DNS-Auflösung.
  • Bei Verwendung eines Proxyservers muss der Proxyserver von dieser IP und allen IPs innerhalb des VM-IP-Pools erreichbar sein.

Anforderungen der IP der Steuerungsebene

Die Appliance-VM hostet einen Management-Kubernetes-Cluster mit einer Steuerungsebene, die eine einzige statische IP-Adresse benötigt. Diese IP wird über den controlplaneendpoint-Parameter im createconfig-Befehl oder einen entsprechenden Befehl zur Erstellung von Konfigurationsdateien zugewiesen.

Anforderungen der IP der Steuerungsebene:

  • Kommunikation mit dem Verwaltungscomputer (SSH-TCP-Port 22, Kubernetes-API-Port 6443).
  • Statische IP-Adresse zugewiesen und innerhalb des IP-Adresspräfixes.
  • Bei Verwendung eines Proxyservers muss der Proxyserver von IPs innerhalb des IP-Adresspräfixes erreichbar sein, einschließlich der reservierten VM-IP der Appliance.

DNS-Server

DNS-Server müssen über eine Auflösung für interne und externe Endpunkte verfügen. Die VM der Appliance und die Steuerungsebene müssen den Verwaltungscomputer auflösen und umgekehrt. Alle drei IPs müssen in der Lage sein, die für die Bereitstellung erforderlichen URLs zu erreichen.

Tor

Die Gateway-IP ist die IP des Gateways für das Netzwerk, in dem die Arc-Ressourcenbrücke bereitgestellt wird. Die Gateway-IP sollte eine IP aus dem Subnetz sein, das im IP-Adresspräfix angegeben ist.

Beispiel einer Mindestkonfiguration für die Bereitstellung einer statischen IP

Das folgende Beispiel zeigt gültige Konfigurationswerte, die bei der Erstellung der Konfigurationsdatei für die Arc-Ressourcenbrücke übergeben werden können.

Beachten Sie, dass die IP-Adressen für das Gateway, die Steuerungsebene, die Appliance VM und den DNS-Server (für die interne Auflösung) innerhalb des IP-Adresspräfixes liegen. Der Start/das Ende des VM-IP-Pools ist sequenziell. Dieses wichtige Detail trägt zur erfolgreichen Bereitstellung der Appliance-VM bei.

IP-Adresspräfix (CIDR-Format): 192.168.0.0/29

Gateway-IP: 192.168.0.1

Start des VM-IP-Pools (IP-Format): 192.168.0.2

Ende des VM-IP-Pools (IP-Format): 192.168.0.3

Steuerebene IP: 192.168.0.4

DNS-Server (IP-Listenformat): 192.168.0.1, 10.0.0.5, 10.0.0.6

Benutzerkonto und Anmeldeinformationen

Die Arc-Ressourcenbrücke erfordert möglicherweise ein dediziertes Benutzerkonto mit den erforderlichen Rollen zum Anzeigen und Verwalten von Ressourcen in der lokalen privaten Cloud. In diesem Fall werden bei der Erstellung der Konfigurationsdateien die Parameter username und password benötigt. Die Kontoanmeldeinformationen werden dann als geheimer Schlüssel innerhalb der Appliance-VM gespeichert.

Warnung

Die Arc-Ressourcenbrücke kann nur ein Benutzerkonto verwenden, für das keine Multi-Faktor-Authentifizierung aktiviert wurde. Wenn das Benutzerkonto auf die regelmäßige Änderung von Kennwörtern festgelegt ist, müssen die Anmeldeinformationen sofort auf der Ressourcenbrücke aktualisiert werden. Für dieses Benutzerkonto kann auch eine Sperrrichtlinie festgelegt werden, um die lokale Infrastruktur zu schützen, falls die Anmeldeinformationen nicht aktualisiert werden und die Ressourcenbrücke mehrfach versucht, mit abgelaufenen Anmeldeinformationen auf das lokale Kontrollzentrum zuzugreifen.

Mit Arc-fähigen VMware benötigt die Arc-Ressourcenbrücke beispielsweise ein dediziertes Benutzerkonto für vCenter mit den erforderlichen Rollen. Wenn sich die Anmeldeinformationen für das Benutzerkonto ändern, müssen die in der Arc-Ressourcenbrücke gespeicherten Anmeldeinformationen sofort aktualisiert werden, indem sie vom az arcappliance update-infracredentials ausgeführt werden. Andernfalls wird die Appliance wiederholt versuchen, mit den abgelaufenen Anmeldeinformationen auf vCenter zuzugreifen, was zu einer Sperrung des Kontos führen kann.

Interne Zertifikate

Arc-Ressourcenbrücke enthält interne Zertifikate, die erforderlich sind, um eine sichere Kommunikation mit Azure aufrechtzuerhalten und interne Komponenten zu überprüfen. Diese Zertifikate erfordern, dass die Arc-Ressourcenbrücke online bleibt und eine dauerhafte Verbindung mit Azure aufrecht erhält. Wenn die Arc-Ressourcenbrücke länger als 45 Tage offline ist, besteht das Risiko, dass das Zertifikat abläuft und eine erneute Bereitstellung erforderlich ist, da das Zertifikat nicht wiederhergestellt werden kann. Die Arc-Ressourcenbrücke erfordert außerdem einmal alle sechs Monate ein Upgrade, um sicherzustellen, dass interne Zertifikate aktualisiert werden. Wenn die Arc-Ressourcenbrücke nicht aktualisiert werden kann und die Zertifikate ablaufen, ist eine erneute Bereitstellung erforderlich. Bitte lesen Sie die Wartungsseite , um wichtige Informationen zur Verwaltung Ihrer Arc-Ressourcenbrücke zu erhalten.

Konfigurationsdateien

Die Arc-Ressourcenbrücke besteht aus einer Appliance-VM, die in der lokalen Infrastruktur implementiert wird. Um die VM der Appliance zu verwalten, müssen die während der Bereitstellung generierten Konfigurationsdateien an einem sicheren Speicherort gespeichert und auf dem Verwaltungscomputer verfügbar sein.

Es gibt verschiedene Arten von Konfigurationsdateien, die auf der Infrastruktur vor Ort basieren.

Konfigurationsdateien für die Appliance

Beim Bereitstellen der Arc-Ressourcenbrücke werden drei Konfigurationsdateien erstellt: <appliance-name>-resource.yaml, <appliance-name>-appliance.yaml und <appliance-name>-infra.yaml.

Standardmäßig werden diese Dateien im aktuellen CLI-Verzeichnis generiert, in dem die Bereitstellungsbefehle ausgeführt werden. Diese Dateien sollten auf dem Verwaltungscomputer gespeichert werden, da sie für die Verwaltung der Appliance-VM erforderlich sind. Die Konfigurationsdateien verweisen aufeinander und sollten an demselben Speicherort gespeichert werden.

Die Az arcappliance CLI-Befehle, die auf den YAML-Konfigurationsdateien basieren, sind "az arcappliance delete", um die Arc-Ressourcenbrücke und ihre Azure-Back-End-Zuordnungen zu löschen, und "az arcappliance upgrade", um die Arc-Ressourcenbrücke manuell zu aktualisieren.

Kubeconfig

Die Appliance-VM hostet einen Kubernetes-Verwaltungscluster. Bei kubeconfig handelt es sich um eine Kubernetes-Konfigurationsdatei mit geringen Rechten, die für die Verwaltung der Appliance-VM verwendet wird. Standardmäßig wird es im aktuellen CLI-Verzeichnis erzeugt, wenn der deploy-Befehl abgeschlossen ist. Die Datei „kubeconfig“ sollte an einem sicheren Ort auf dem Verwaltungscomputer gespeichert werden, da sie für die Wartung der Appliance-VM erforderlich ist. Wenn „kubeconfig“ verloren geht, kann die Datei über den Befehl az arcappliance get-credentials abgerufen werden.

Wichtig

Nachdem die Arc-Ressourcenbrücken-VM erstellt wurde, können die Konfigurationseinstellungen nicht mehr geändert oder aktualisiert werden. Außerdem muss die Appliance-VM an dem Standort verbleiben, an dem sie ursprünglich bereitgestellt wurde. Der VM-Name der Arc-Ressourcenbrücke ist jedoch eine eindeutige GUID, die nicht umbenannt werden kann, da es sich um einen Bezeichner handelt, der für das cloudverwaltete Upgrade verwendet wird.

Nächste Schritte