Requisitos del sistema del puente de recursos de Azure Arc

En este artículo se describen los requisitos del sistema para implementar el puente de recursos de Azure Arc.

El puente de recursos de Arc se usa con otros productos asociados, como Azure Stack HCI, VMware vSpherehabilitado para Arc y System Center Virtual Machine Manager (SCVMM) habilitado para Arc. Estos productos pueden tener requisitos adicionales.

Permisos de Azure necesarios

• Para incorporar el puente de recursos de Arc, debe tener el rol Colaborador en el grupo de recursos.

• Para leer, modificar y eliminar el puente de recursos de Arc, debe tener el rol Colaborador en el grupo de recursos.

Requisitos de la herramienta de administración

La CLI de Azure es necesaria para implementar Azure Arc Resource Bridge en entornos de nube privada compatibles.

Si se implementa un puente de recursos de Arc en VMware, es necesario instalar la CLI de Azure de 64 bits en el equipo de administración para ejecutar los comandos de implementación.

Si se implementa en Azure Stack HCI, la CLI de Azure de 32 bits debe instalarse en el equipo de administración.

La extensión de la CLI de Arc Appliance, arcappliance, debe instalarse en la CLI. Para ello, ejecute lo siguiente: az extension add --name arcappliance

Requisitos mínimos de recursos

El puente de recursos de Arc tiene los siguientes requisitos mínimos de recursos:

• Espacio en disco de 50 GB
• 4 vCPU
• 8 GB de memoria

Estos requisitos mínimos permiten la mayoría de los escenarios. Sin embargo, un producto asociado puede admitir un mayor número de conexiones de recursos al puente de recursos de Arc, lo que requiere que el puente tenga requisitos de recursos más altos. Si no se proporcionan recursos suficientes, se pueden producir errores durante la implementación, como errores de copia de disco. Revise la documentación del producto asociado para conocer los requisitos de recursos específicos.

Requisitos de prefijo de dirección IP (subred)

El prefijo de dirección IP (subred) donde se implementará el puente de recursos de Arc requiere un prefijo mínimo de /29. El prefijo de dirección IP debe tener suficientes direcciones IP disponibles para la dirección IP de puerta de enlace, la IP del plano de control, la IP de máquina virtual del dispositivo y la dirección IP reservada de la máquina virtual del dispositivo. El puente de recursos de Arc solo usa las direcciones IP asignadas al intervalo del grupo de direcciones IP (IP inicial, IP final) y la dirección IP del plano de control. Se recomienda que la dirección IP final siga inmediatamente a la dirección IP inicial. Por ejemplo: IP inicial = 192.168.0.2, IP final = 192.168.0.3. Trabaje con el ingeniero de red para asegurarse de que hay una subred disponible con las direcciones IP y el prefijo de dirección IP disponibles para el puente de recursos de Arc.

El prefijo de dirección IP es el intervalo de direcciones IP de la subred para la red virtual y la máscara de subred (máscara de IP) en notación CIDR, por ejemplo 192.168.7.1/29. Proporcione el prefijo de dirección IP (en notación CIDR) durante la creación de los archivos de configuración para el puente de recursos de Arc.

Consulte al ingeniero de red para obtener el prefijo de dirección IP en notación CIDR. Se puede usar una calculadora CIDR de subred de IP para obtener este valor.

Configuración de IP estática

Si implementa un puente de recursos de Arc en un entorno de producción, se debe usar la configuración estática al implementar el puente de recursos de Arc. La configuración de IP estática se usa para asignar tres direcciones IP estáticas (que se encuentran en la misma subred) al plano de control del puente de recursos de Arc, la máquina virtual del dispositivo y la máquina virtual reservada del dispositivo.

DHCP solo se admite en un entorno de prueba con fines de prueba solo para la administración de máquinas virtuales en Azure Stack HCI. No se debe usar en entornos de producción. DHCP no se admite en ninguna otra nube privada habilitada para Arc, como VMware habilitado para Arc, Arc para AVS o SCVMM habilitado para Arc.

Si usa DHCP, debe reservar las direcciones IP usadas por el plano de control y la máquina virtual del dispositivo. Además, estas direcciones IP deben estar fuera del intervalo DHCP asignable de direcciones IP. Por ejemplo: La dirección IP del plano de control debe tratarse como una dirección IP reservada o estática que ningún otro equipo de la red usará o recibirá de DHCP. Si cambia la dirección IP del plano de control o la dirección IP de máquina virtual del dispositivo, la disponibilidad y la funcionalidad del puente de recursos se verán afectadas.

Requisitos de la máquina de administración

La máquina que se usa para ejecutar los comandos para implementar y mantener el puente de recursos de Arc se denomina máquina de administración.

Requisitos de la máquina de administración:

• CLI de Azure x64 instalada

• Comunicación abierta a la dirección IP del plano de control

• Comunicación con direcciones IP de máquina virtual del dispositivo (puerto TCP SSH 22, puerto API de Kubernetes 6443)

• Comunicación con las direcciones IP reservadas de máquina virtual del dispositivo (puerto TCP SSH 22, puerto de API de Kubernetes 6443)

• comunicación a través del puerto 443 a la consola de administración de la nube privada (por ejemplo: máquina VMware vCenter)

• Resolución DNS interna y externa. El servidor DNS debe resolver nombres internos, como el punto de conexión de vCenter para vSphere o el punto de conexión de servicio del agente en la nube para Azure Stack HCI. El servidor DNS también debe ser capaz de resolver direcciones externas que son direcciones URL necesarias para la implementación.

• Acceso a Internet

Requisitos de dirección IP de la máquina virtual del dispositivo

El puente de recursos de Arc consta de una máquina virtual del dispositivo que se implementa en el entorno local. La máquina virtual del dispositivo tiene visibilidad sobre la infraestructura local y puede etiquetar los recursos locales (administración de invitados) para la proyección en Azure Resource Manager (ARM). A la máquina virtual del dispositivo se le asigna una dirección IP desde el parámetro k8snodeippoolstart en el comando createconfig. Se puede hacer referencia a ellos en los productos asociados como Dirección IP de intervalo de inicio, Inicio de IP de RB o IP de máquina virtual 1. La dirección IP de la máquina virtual del dispositivo es la dirección IP inicial para el rango del grupo de direcciones IP de la máquina virtual del dispositivo; Por lo tanto, cuando implemente por primera vez el puente de recursos de Arc, esta es la dirección IP asignada inicialmente a la máquina virtual del dispositivo. El intervalo del grupo de direcciones IP de máquina virtual requiere un mínimo de 2 direcciones IP.

Requisitos de dirección IP de la máquina virtual del dispositivo:

• Comunicación con la máquina de administración (puerto TCP SSH 22, puerto API de Kubernetes 6443)

• Comunicación con el punto de conexión de administración de la nube privada a través del puerto 443 (por ejemplo, VMware vCenter).

• Conectividad de Internet a las direcciones URL necesarias habilitadas en proxy o firewall.

• Dirección IP estática asignada y dentro del prefijo de dirección IP.

• Resolución DNS interna y externa.

• Si usa un proxy, el servidor proxy debe ser accesible desde esta dirección IP y todas las direcciones IP del grupo de direcciones IP de la máquina virtual.

Requisitos de dirección IP de máquina virtual del dispositivo reservado

El puente de recursos de Arc reserva una dirección IP adicional que se usará para la actualización de la máquina virtual del dispositivo. A la dirección IP de la máquina virtual del dispositivo reservado se le asigna una dirección IP a través del parámetro k8snodeippoolend en el comando az arcappliance createconfig. Esta dirección IP se puede denominar IP de intervalo final, Extremo IP de RB o IP de máquina virtual 2. La dirección IP de la máquina virtual del dispositivo reservado es la dirección IP final del intervalo de grupos de direcciones IP de la máquina virtual del dispositivo. Cuando la máquina virtual del dispositivo se actualiza por primera vez, esta es la dirección IP asignada a la máquina virtual del dispositivo después de la actualización y la dirección IP de máquina virtual del dispositivo inicial se devuelve al grupo de direcciones IP que se usará para una actualización futura. Si especifica un intervalo de grupos de IP mayor que dos direcciones IP, se reservan las direcciones IP adicionales.

Requisitos de dirección IP de máquina virtual del dispositivo reservado:

• Comunicación con la máquina de administración (puerto TCP SSH 22, puerto API de Kubernetes 6443)

• Comunicación con el punto de conexión de administración de la nube privada a través del puerto 443 (por ejemplo, VMware vCenter).

• Conectividad de Internet a las direcciones URL necesarias habilitadas en proxy o firewall.

• Dirección IP estática asignada y dentro del prefijo de dirección IP.

• Resolución DNS interna y externa.

• Si usa un proxy, el servidor proxy debe ser accesible desde esta dirección IP y todas las direcciones IP del grupo de direcciones IP de la máquina virtual.

Requisitos de dirección IP del plano de control

La máquina virtual del dispositivo hospeda un clúster de Kubernetes de administración con un plano de control que requiere una única dirección IP estática. Esta dirección IP se asigna desde el parámetro controlplaneendpoint en el comando createconfig o el comando equivalente de creación de archivos de configuración.

Requisitos de dirección IP del plano de control:

• Comunicación con el equipo de administración (puerto TCP SSH 22, puerto API de Kubernetes 6443).

• Dirección IP estática asignada y dentro del prefijo de dirección IP.

• Si usa un proxy, el servidor proxy debe ser accesible desde direcciones IP dentro del prefijo de dirección IP, incluida la dirección IP de la máquina virtual del dispositivo reservado.

Servidor DNS

Los servidores DNS deben tener resolución de puntos de conexión internos y externos. La máquina virtual del dispositivo y el plano de control deben resolver la máquina de administración y viceversa. Las tres direcciones IP deben poder acceder a las direcciones URL necesarias para la implementación.

Gateway

La dirección IP de la puerta de enlace es la dirección IP de la puerta de enlace de la red donde se implementa el puente de recursos de Arc. La dirección IP de la puerta de enlace debe ser una dirección IP desde la subred designada en el prefijo de dirección IP.

Ejemplo de configuración mínima para la implementación de direcciones IP estáticas

En el ejemplo siguiente se muestran valores de configuración válidos que se pueden pasar durante la creación de archivos de configuración para el puente de recursos de Arc.

Observe que las direcciones IP de la puerta de enlace, el plano de control, la máquina virtual del dispositivo y el servidor DNS (para la resolución interna) están dentro del prefijo de dirección IP. El Inicio/Final del grupo de direcciones IP de la máquina virtual son secuenciales. Este detalle clave ayuda a garantizar una implementación correcta de la máquina virtual del dispositivo.

Prefijo de dirección IP (formato CIDR): 192.168.0.0/29

Dirección IP de puerta de enlace: 192.168.0.1

Inicio del grupo de direcciones IP de máquina virtual (formato de dirección IP): 192.168.0.2

Fin del grupo de direcciones IP de máquina virtual (formato de dirección IP): 192.168.0.3

Dirección IP del plano de control: 192.168.0.4

Servidores DNS (formato de lista de dirección IP): 192.168.0.1, 10.0.0.5, 10.0.0.6

Cuenta de usuario y credenciales

El puente de recursos de Arc puede requerir una cuenta de usuario independiente con los roles necesarios para ver y administrar recursos en la infraestructura local (como VMware vSphere habilitado para Arc). Si es así, durante la creación de los archivos de configuración, se requerirán los parámetros username y password. Las credenciales de la cuenta se almacenan en un archivo de configuración localmente dentro de la máquina virtual del dispositivo.

Advertencia

El puente de recursos de Arc solo puede usar una cuenta de usuario que no tenga habilitada la autenticación multifactor. Si la cuenta de usuario está establecida para cambiar periódicamente las contraseñas, las credenciales deben actualizarse inmediatamente en el puente de recursos. Esta cuenta de usuario también se puede establecer con una directiva de bloqueo para proteger la infraestructura local, en caso de que las credenciales no se actualicen y el puente de recursos realice varios intentos de usar credenciales expiradas para acceder al centro de control local.

Por ejemplo, con VMware habilitado para Arc, el puente de recursos de Arc necesita una cuenta de usuario independiente para vCenter con los roles necesarios. Si cambian las credenciales de la cuenta de usuario, las credenciales almacenadas en el puente de recursos de Arc deben actualizarse inmediatamente mediante la ejecución de az arcappliance update-infracredentials desde el equipo de administración. De lo contrario, el dispositivo realizará intentos repetidos de usar las credenciales expiradas para acceder a vCenter, lo que provocará un bloqueo de la cuenta.

Archivos de configuración

El puente de recursos de Arc consta de una máquina virtual del dispositivo que se implementa en la infraestructura local. Para mantener la máquina virtual del dispositivo, los archivos de configuración generados durante la implementación deben guardarse en una ubicación segura y estar disponibles en el equipo de administración.

Hay varios tipos diferentes de archivos de configuración, en función de la infraestructura local.

Archivos de configuración del dispositivo

Se crean tres archivos de configuración al implementar el puente de recursos de Arc: <appliance-name>-resource.yaml, <appliance-name>-appliance.yaml y <appliance-name>-infra.yaml.

De manera predeterminada, estos archivos se generan en el directorio actual de la CLI de donde se ejecutan los comandos de implementación. Estos archivos se deben guardar en el equipo de administración porque son necesarios para mantener la máquina virtual del dispositivo. Los archivos de configuración se hacen referencia entre sí y deben almacenarse en la misma ubicación.

Kubeconfig

La máquina virtual del dispositivo hospeda un clúster de Kubernetes de administración. Kubeconfig es un archivo de configuración de Kubernetes con pocos privilegios que se usa para mantener la máquina virtual del dispositivo. De forma predeterminada, se genera en el directorio actual de la CLI cuando se completa el comando deploy. Kubeconfig debe guardarse en una ubicación segura en el equipo de administración, ya que es necesario para mantener la máquina virtual del dispositivo. Si se pierde kubeconfig, se puede recuperar ejecutando el comando az arcappliance get-credentials.

Archivo de configuración de inicio de sesión de HCI (solo Azure Stack HCI)

El puente de recursos de Arc usa una credencial de inicio de sesión de MOC denominada token de KVA (kvatoken.tok) para interactuar con Azure Stack HCI. El token de KVA se genera con los archivos de configuración del dispositivo al implementar el puente de recursos de Arc. Este token también se usa al recopilar registros para el puente de recursos de Arc, por lo que debe guardarse en una ubicación segura con el resto de los archivos de configuración del dispositivo. Este archivo se guarda en el directorio proporcionado durante la creación del archivo de configuración o en el directorio predeterminado de la CLI.

Pasos siguientes

• Descripción de los requisitos de red para el puente de recursos de Azure Arc.
• Consulte la Introducción al puente de recursos de Azure Arc para obtener más información sobre las características y las ventajas.
• Obtenga información sobre la configuración de seguridad y consideraciones para el puente de recursos de Azure Arc.