Matriz de compatibilidad para VMware vSphere habilitado para Azure Arc
En este artículo se documentan los requisitos previos y de compatibilidad para usar VMware vSphere habilitado para Azure Arc para administrar las VM de VMware vSphere mediante Azure Arc.
Para usar VMware vSphere habilitado para Arc, debe implementar un puente de recursos de Azure Arc en el entorno de VMware vSphere. El puente de recursos proporciona una conexión continua entre VMware vCenter Server y Azure. Una vez que haya conectado VMware vCenter Server a Azure, los componentes del puente de recursos detectan el inventario de vCenter. Puede habilitarlos en Azure y empezar a realizar operaciones de hardware virtual y SO invitado en ellos mediante Azure Arc.
Requisitos de VMware vSphere
Se deben cumplir los siguientes requisitos para usar VMware vSphere habilitado para Azure Arc.
Versiones compatibles de vCenter Server
VMware vSphere habilitado para Azure Arc funciona con vCenter Server, versiones 7 y 8.
Nota:
Actualmente, VMware vSphere habilitado para Azure Arc admite vCenters con un máximo de 9500 máquinas virtuales. En este momento, si vCenter tiene más de 9500 máquinas virtuales, no se recomienda usar VMware vSphere habilitado para Arc con él.
Privilegios necesarios de cuenta de vSphere
Necesita una cuenta de vSphere que pueda:
- Leer todo el inventario.
- Implementar y actualizar las VM a todos los grupos de recursos (o clústeres), redes y plantillas de VM que desea usar con Azure Arc.
Importante
Como parte del script de incorporación de VMware habilitado para Azure Arc, se le pedirá que proporcione una cuenta de vSphere para implementar la máquina virtual de puente de recursos de Azure Arc en el host ESXi. Esta cuenta se almacenará localmente dentro de la máquina virtual del puente de recursos de Azure Arc y se cifrará como un secreto de Kubernetes en reposo. La cuenta de vSphere permite que VMware habilitado para Azure Arc interactúe con VMware vSphere. Si su organización lleva a cabo la rotación de credenciales rutinaria, debe actualizar las credenciales en VMware habilitado para Azure Arc para mantener la conexión entre VMware habilitado para Azure Arc y VMware vSphere.
Requisitos de recursos del puente de recursos
En el caso de VMware vSphere habilitado para Arc, el puente de recursos tiene los siguientes requisitos mínimos de hardware virtual:
- 8 GB de memoria
- 4 vCPU
- Un conmutador virtual externo que puede proporcionar acceso a Internet directamente o a través de un proxy. Si el acceso a Internet se realiza a través de un proxy o firewall, asegúrese de que estas direcciones URL estén permitidas.
Requisitos de red del puente de recursos
Por lo general, los requisitos de conectividad incluyen estos principios:
- Todas las conexiones son TCP a menos que se especifique lo contrario.
- Todas las conexiones HTTP usan HTTPS y SSL/TLS con certificados firmados oficialmente y verificables.
- Todas las conexiones son salientes a menos que se especifique lo contrario.
Para utilizar un proxy, compruebe que los agentes y la máquina que realiza el proceso de incorporación cumplen los requisitos de red indicados en este artículo.
Se necesitan las siguientes excepciones de direcciones URL de firewall para la máquina virtual del puente de recursos de Azure Arc:
Requisitos de conectividad de salida
El firewall y las URL de proxy que se indican a continuación deben incluirse en la lista de permitidos para permitir la comunicación desde el equipo de administración, la máquina virtual del dispositivo y la dirección IP del plano de control a las URL necesarias del puente de recursos de Arc.
Lista de permitidos del firewall/dirección URL del proxy
| Servicio | Puerto | URL | Dirección | Notas |
|---|---|---|---|---|
| Punto de conexión de la API de SFS | 443 | msk8s.api.cdp.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descargue el catálogo de productos, los bits de producto y las imágenes del sistema operativo de SFS. |
| Descarga de la imagen del puente de recursos (dispositivo) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descargue las imágenes de sistema operativo del puente de recursos de Arc. |
| Registro de contenedor de Microsoft | 443 | mcr.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descubrir imágenes de contenedores para el puente de recursos de Arc. |
| Registro de contenedor de Microsoft | 443 | *.data.mcr.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Descargar imágenes de contenedores para el puente de recursos de Arc. |
| Windows NTP Server | 123 | time.windows.com |
Las direcciones IP de máquina de administración y máquina virtual del dispositivo (si el valor predeterminado de Hyper-V es Windows NTP) necesita conexión saliente en UDP | Sincronización de tiempo del sistema operativo en la máquina virtual y administración del dispositivo (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Administración de recursos en Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Se necesita para RBAC de Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Necesario para actualizar los tokens de ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Necesario para actualizar los tokens de ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Las direcciones IP de máquina virtual de la máquina de administración y el dispositivo necesitan conexión saliente. | Necesario para actualizar los tokens de ARM. |
| Servicio de DataPlane del puente de recursos (dispositivo) | 443 | *.dp.prod.appliances.azure.com |
La dirección IP de las máquinas virtuales del dispositivo necesita una conexión de salida. | Comuníquese con el proveedor de recursos en Azure. |
| Descarga de la imagen de contenedor del puente de recursos (dispositivo) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Necesario para extraer imágenes de contenedor. |
| Identidad administrada | 443 | *.his.arc.azure.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Necesario para extraer certificados de identidad administrados que haya asignado el sistema. |
| Descarga de imágenes de contenedor de Azure Arc para Kubernetes | 443 | azurearcfork8s.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Extraer imágenes de contenedores. |
| Agente de Azure Arc | 443 | k8connecthelm.azureedge.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | implementar agente de Azure Arc. |
| Servicio de telemetría de ADHS | 443 | adhs.events.data.microsoft.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft desde la máquina virtual del dispositivo. |
| Servicio de datos de eventos de Microsoft | 443 | v20.events.data.microsoft.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Enviar datos de diagnóstico desde Windows. |
| Recopilación de registros para el puente de recursos de Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Registros de inserción para componentes administrados por el dispositivo. |
| Descarga de los componentes del puente de recursos | 443 | kvamanagementoperator.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Extraer artefactos para los componentes administrados por el dispositivo. |
| Administrador de paquetes de código abierto de Microsoft | 443 | packages.microsoft.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Descargue el paquete de instalación de Linux. |
| Ubicación personalizada | 443 | sts.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Se necesita para la ubicación personalizada. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Se necesita para Azure Arc. |
| Ubicación personalizada | 443 | k8sconnectcsp.azureedge.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Se necesita para la ubicación personalizada. |
| Datos de diagnóstico | 443 | gcs.prod.monitoring.core.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Datos de diagnóstico | 443 | *.prod.microsoftmetrics.com |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Datos de diagnóstico | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Datos de diagnóstico | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Envía periódicamente los datos de diagnóstico necesarios de Microsoft. |
| Azure portal | 443 | *.arc.azure.net |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Administrar clúster de Azure Portal. |
| Extensión de la CLI de Azure | 443 | *.blob.core.windows.net |
La máquina de administración necesita una conexión de salida. | Descargue el instalador y la extensión de la CLI de Azure. |
| Agente de Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
La máquina de administración necesita una conexión de salida. | Plano de datos usado para el agente de Arc. |
| Paquete de Python | 443 | pypi.org, *.pypi.org |
La máquina de administración necesita una conexión de salida. | Valide las versiones de Kubernetes y Python. |
| CLI de Azure | 443 | pythonhosted.org, *.pythonhosted.org |
La máquina de administración necesita una conexión de salida. | Paquetes de Python para la instalación de la CLI de Azure. |
Requisitos de conectividad de entrada
Se debe permitir la comunicación entre los puertos siguientes desde la máquina de administración, las direcciones IP de máquina virtual del dispositivo y las direcciones IP del plano de control. Asegúrese de que estos puertos están abiertos y que el tráfico no se enruta a través de un proxy para facilitar la implementación y el mantenimiento del puente de recursos de Arc.
| Servicio | Puerto | IP/machine | Dirección | Notas |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs y Management machine |
Bidireccional | Se usa para implementar y mantener la máquina virtual del dispositivo. |
| Servidor de la API de Kubernetes | 6443 | appliance VM IPs y Management machine |
Bidireccional | Administración de la máquina virtual del dispositivo. |
| SSH | 22 | control plane IP y Management machine |
Bidireccional | Se usa para implementar y mantener la máquina virtual del dispositivo. |
| Servidor de la API de Kubernetes | 6443 | control plane IP y Management machine |
Bidireccional | Administración de la máquina virtual del dispositivo. |
| HTTPS | 443 | private cloud control plane address y Management machine |
La máquina de administración necesita una conexión de salida. | Comunicación con el plano de control (por ejemplo: dirección VMware vCenter). |
Además, VMware VSphere requiere lo siguiente:
| Servicio | Puerto | URL | Dirección | Notas |
|---|---|---|---|---|
| vCenter Server | 443 | URL de vCenter Server | La IP de la máquina virtual del dispositivo y el punto de conexión del plano de control necesitan conexión de salida. | Lo usa el servidor vCenter para comunicarse con la máquina virtual del dispositivo y el plano de control. |
| Extensión de clúster de VMware | 443 | azureprivatecloud.azurecr.io |
Las IP de la máquina virtual del dispositivo necesitan una conexión de salida. | Extraiga imágenes de contenedor para la extensión de clúster Microsoft.VMWare y Microsoft.AVS. |
| CLI de Azure y extensiones de CLI de Azure | 443 | *.blob.core.windows.net |
La máquina de administración necesita una conexión de salida. | Descargue el instalador de CLI de Azure y las extensiones de CLI de Azure. |
| Azure Resource Manager | 443 | management.azure.com |
La máquina de administración necesita una conexión de salida. | Necesario para crear o actualizar recursos en Azure mediante ARM. |
| Gráfico de Helm para agentes de Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
La máquina de administración necesita una conexión de salida. | Punto de conexión del plano de datos para descargar la información de configuración de los agentes de Arc. |
| CLI de Azure | 443 | - login.microsoftonline.com - aka.ms |
La máquina de administración necesita una conexión de salida. | Necesario para capturar y actualizar tokens de Azure Resource Manager. |
Para obtener una lista completa de los requisitos de red para las características de Azure Arc y los servicios habilitados para Azure Arc, consulte Requisitos de red de Azure Arc (consolidados).
Requisitos de roles y permisos de Azure
Los roles mínimos de Azure necesarios para las operaciones relacionadas con VMware vSphere habilitado para Arc son los siguientes:
| Operación | Rol mínimo necesario | Ámbito |
|---|---|---|
| Incorporación de vCenter Server a Arc | Incorporación de nubes privadas de VMware habilitado para Azure Arc | En la suscripción o el grupo de recursos en el que desea realizar la incorporación |
| Administración de VMware vSphere habilitado para Arc | Administrador de VMware de Azure Arc | En la suscripción o el grupo de recursos donde se crea el recurso de vCenter Server |
| Aprovisionamiento de máquinas virtuales | Usuario de la nube privada de VMware de Azure Arc | En la suscripción o grupo de recursos que contiene el grupo de recursos, el clúster, el host, el almacén de datos y los recursos de red virtual, o en los mismos recursos. |
| Aprovisionamiento de máquinas virtuales | Colaborador de máquina virtual de Azure Arc VMware | En la suscripción o el grupo de recursos donde desea aprovisionar máquinas virtuales |
| Operaciones de máquina virtual | Colaborador de máquina virtual de Azure Arc VMware | En la suscripción o grupo de recursos que contiene la máquina virtual, o en la propia máquina virtual |
Los roles con permisos superiores en el mismo ámbito, como Propietario o Colaborador, también le permitirán realizar todas las operaciones enumeradas anteriormente.
Requisitos de administración de invitados (agente de Arc)
Con VMware vSphere habilitado para Arc, puede instalar el agente de máquinas conectadas a Arc en las máquinas virtuales a gran escala y usar los servicios de administración de Azure en las máquinas virtuales. Hay requisitos adicionales para esta capacidad.
Para habilitar la administración de invitados (instale el agente de máquina conectado a Arc), asegúrese de que se cumplen estos aspectos:
- La VM está encendida.
- La VM tiene las herramientas de VMware instaladas y en ejecución.
- El puente de recursos tiene acceso al host en el que se ejecuta la VM.
- La VM ejecuta un sistema operativo admitido.
- La máquina virtual tiene conectividad a Internet directamente o a través del proxy. Si la conexión se realiza a través de un proxy, asegúrese de que estas direcciones URL están permitidas.
Además, asegúrese de que se cumplen los siguientes requisitos para habilitar la administración de invitados.
Sistemas operativos admitidos
Asegúrese de que usa una versión de los sistemas operativos Windows o Linux que son compatibles oficialmente con el agente de Azure Connected Machine. Solo se admiten arquitecturas x86-64 (64 bits). Las arquitecturas basadas en x86 (32 bits) y ARM, incluida la emulación x86-64 en arm64, no son entornos operativos compatibles.
Requisitos de software
Sistemas operativos Windows:
- Se requiere .NET Framework 4.6 o posterior. Descargue .NET Framework.
- Se requiere Windows PowerShell 5.1. Descargue Windows Management Framework 5.1.
Sistemas operativos Linux:
- systemd
- wget (para descargar el script de instalación)
Requisitos de red
Se necesitan las siguientes excepciones de direcciones URL de firewall para los agentes de Azure Arc:
| URL | Descripción |
|---|---|
aka.ms |
Se usa para resolver el script de descarga durante la instalación |
packages.microsoft.com |
Se usa para descargar el paquete de instalación de Linux |
download.microsoft.com |
Se usa para descargar el paquete de instalación de Windows |
login.windows.net |
Microsoft Entra ID |
login.microsoftonline.com |
Microsoft Entra ID |
pas.windows.net |
Microsoft Entra ID |
management.azure.com |
Azure Resource Manager: para crear o eliminar el recurso del servidor de Arc |
*.his.arc.azure.com |
Metadatos y servicios de identidad híbridos |
*.guestconfiguration.azure.com |
Servicios de administración de extensiones y configuración de invitado |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Servicio de notificaciones para escenarios de extensión y conectividad |
azgn*.servicebus.windows.net |
Servicio de notificaciones para escenarios de extensión y conectividad |
*.servicebus.windows.net |
Para escenarios de Windows Admin Center y SSH |
*.blob.core.windows.net |
Origen de descarga para las extensiones de servidores habilitados para Azure Arc |
dc.services.visualstudio.com |
Telemetría del agente |