Requisitos del sistema del puente de recursos de Azure Arc
En este artículo se describen los requisitos del sistema para implementar el puente de recursos de Azure Arc.
El puente de recursos de Arc se usa con otros productos asociados, como Azure Stack HCI, VMware vSpherehabilitado para Arc y System Center Virtual Machine Manager (SCVMM) habilitado para Arc. Estos productos pueden tener requisitos adicionales.
Permisos de Azure necesarios
Para incorporar el puente de recursos de Arc, debe tener el rol Colaborador en el grupo de recursos.
Para leer, modificar y eliminar el puente de recursos de Arc, debe tener el rol Colaborador en el grupo de recursos.
Requisitos de la herramienta de administración
La CLI de Azure es necesaria para implementar Azure Arc Resource Bridge en entornos de nube privada compatibles.
Si se implementa un puente de recursos de Arc en VMware, es necesario instalar la CLI de Azure de 64 bits en el equipo de administración para ejecutar los comandos de implementación.
Si se implementa en Azure Stack HCI, la CLI de Azure de 32 bits debe instalarse en el equipo de administración.
La extensión de la CLI del dispositivo Arc, arcappliance
, debe instalarse ejecutando este comando: az extension add --name arcappliance
Requisitos mínimos de recursos
El puente de recursos de Arc tiene los siguientes requisitos mínimos de recursos:
- Espacio en disco de 200 GB
- 4 vCPU
- 8 GB de memoria
- configuración de almacenamiento compatible: almacenamiento híbrido (flash y HDD) o almacenamiento all-flash (SSD o NVMe)
Estos requisitos mínimos permiten la mayoría de los escenarios para los productos que usan el puente de recursos de Arc. Revise la documentación del producto para conocer los requisitos de recursos específicos. Si no se proporcionan recursos suficientes, se pueden producir errores durante la implementación o actualización.
Requisitos de prefijo de dirección IP (subred)
El prefijo de dirección IP (subred) donde se implementará el puente de recursos de Arc requiere un prefijo mínimo de /29. El prefijo de dirección IP debe tener suficientes direcciones IP disponibles para la dirección IP de puerta de enlace, la IP del plano de control, la IP de máquina virtual del dispositivo y la dirección IP reservada de la máquina virtual del dispositivo. El puente de recursos de Arc solo usa las direcciones IP asignadas al intervalo del grupo de direcciones IP (IP inicial, IP final) y la dirección IP del plano de control. Se recomienda que la dirección IP final siga inmediatamente a la dirección IP inicial. Por ejemplo: IP inicial = 192.168.0.2, IP final = 192.168.0.3. Trabaje con el ingeniero de red para asegurarse de que hay una subred disponible con las direcciones IP y el prefijo de dirección IP disponibles para el puente de recursos de Arc.
El prefijo de dirección IP es el intervalo de direcciones IP de la subred para la red virtual y la máscara de subred (máscara de IP) en notación CIDR, por ejemplo 192.168.7.1/29
. Proporcione el prefijo de dirección IP (en notación CIDR) durante la creación de los archivos de configuración para el puente de recursos de Arc.
Consulte al ingeniero de red para obtener el prefijo de dirección IP en notación CIDR. Se puede usar una calculadora CIDR de subred de IP para obtener este valor.
Configuración de IP estática
Si implementa un puente de recursos de Arc en un entorno de producción, se debe usar la configuración estática al implementar el puente de recursos de Arc. La configuración de IP estática se usa para asignar tres direcciones IP estáticas (que se encuentran en la misma subred) al plano de control del puente de recursos de Arc, la máquina virtual del dispositivo y la máquina virtual reservada del dispositivo.
DHCP solo se admite en un entorno de prueba con fines de prueba solo para la administración de máquinas virtuales en Azure Stack HCI. No se debe usar en entornos de producción. DHCP no se admite en ninguna otra nube privada habilitada para Arc, como VMware habilitado para Arc, Arc para AVS o SCVMM habilitado para Arc.
Si usa DHCP, debe reservar las direcciones IP usadas por el plano de control y la máquina virtual del dispositivo. Además, estas direcciones IP deben estar fuera del intervalo DHCP asignable de direcciones IP. Por ejemplo: La dirección IP del plano de control debe tratarse como una dirección IP reservada o estática que ningún otro equipo de la red usará o recibirá de DHCP. Si cambia la dirección IP del plano de control o la dirección IP de máquina virtual del dispositivo, la disponibilidad y la funcionalidad del puente de recursos se verán afectadas.
Requisitos de la máquina de administración
La máquina que se usa para ejecutar los comandos para implementar y mantener el puente de recursos de Arc se denomina máquina de administración.
Requisitos de la máquina de administración:
CLI de Azure x64 instalada
Comunicación con IP del plano de control (puerto TCP SSH 22, puerto API de Kubernetes 6443)
Comunicación con direcciones IP de máquina virtual del dispositivo (puerto TCP SSH 22, puerto API de Kubernetes 6443)
Comunicación con las direcciones IP reservadas de máquina virtual del dispositivo (puerto TCP SSH 22, puerto de API de Kubernetes 6443)
comunicación a través del puerto 443 a la consola de administración de la nube privada (por ejemplo: máquina VMware vCenter)
Resolución DNS interna y externa. El servidor DNS debe resolver nombres internos, como el punto de conexión de vCenter para vSphere o el punto de conexión de servicio del agente en la nube para Azure Stack HCI. El servidor DNS también debe ser capaz de resolver direcciones externas que son direcciones URL necesarias para la implementación.
Acceso a Internet
Requisitos de dirección IP de la máquina virtual del dispositivo
El puente de recursos de Arc consta de una máquina virtual del dispositivo que se implementa en el entorno local. La máquina virtual del dispositivo tiene visibilidad sobre la infraestructura local y puede etiquetar los recursos locales (administración de invitados) para la proyección en Azure Resource Manager (ARM). A la máquina virtual del dispositivo se le asigna una dirección IP desde el parámetro k8snodeippoolstart
en el comando createconfig
. Se puede hacer referencia a ellos en los productos asociados como Dirección IP de intervalo de inicio, Inicio de IP de RB o IP de máquina virtual 1. La IP de la máquina virtual del dispositivo es la dirección IP de inicio para el intervalo del grupo de IP de la máquina virtual del dispositivo, y esta IP se asigna inicialmente a su máquina virtual del dispositivo cuando implementa por primera vez el puente de recursos de Arc. El intervalo del grupo de direcciones IP de máquina virtual requiere un mínimo de 2 direcciones IP.
Requisitos de dirección IP de la máquina virtual del dispositivo:
- Comunicación con el equipo de administración (puerto TCP SSH 22, puerto API de Kubernetes 6443).
- Comunicación con el punto de conexión de administración de la nube privada a través del puerto 443 (como VMware vCenter).
- Conectividad de Internet a las direcciones URL necesarias habilitadas en proxy o firewall.
- Dirección IP estática asignada y dentro del prefijo de dirección IP.
- Resolución DNS interna y externa.
- Si usa un proxy, el servidor proxy debe ser accesible desde esta dirección IP y todas las direcciones IP del grupo de direcciones IP de la máquina virtual.
Requisitos de dirección IP de máquina virtual del dispositivo reservado
El puente de recursos de Arc reserva una dirección IP adicional que se usará para la actualización de la máquina virtual del dispositivo. A la dirección IP de la máquina virtual del dispositivo reservado se le asigna una dirección IP a través del parámetro k8snodeippoolend
en el comando az arcappliance createconfig
. Esta dirección IP se puede denominar IP de intervalo final, Extremo IP de RB o IP de máquina virtual 2. La dirección IP de la máquina virtual del dispositivo reservado es la dirección IP final del intervalo de grupos de direcciones IP de la máquina virtual del dispositivo. Cuando su máquina virtual se actualiza por primera vez, la IP reservada de la máquina virtual se asigna a su máquina virtual después de la actualización, y la IP inicial de la máquina virtual se devuelve al grupo de IP para ser usada en una futura actualización. Si especifica un intervalo de grupos de IP mayor que dos direcciones IP, se reservan las direcciones IP adicionales.
Requisitos de dirección IP de máquina virtual del dispositivo reservado:
- Comunicación con el equipo de administración (puerto TCP SSH 22, puerto API de Kubernetes 6443).
- Comunicación con el punto de conexión de administración de la nube privada a través del puerto 443 (como VMware vCenter).
- Conectividad de Internet a las direcciones URL necesarias habilitadas en proxy o firewall.
- Dirección IP estática asignada y dentro del prefijo de dirección IP.
- Resolución DNS interna y externa.
- Si usa un proxy, el servidor proxy debe ser accesible desde esta dirección IP y todas las direcciones IP del grupo de direcciones IP de la máquina virtual.
Requisitos de dirección IP del plano de control
La máquina virtual del dispositivo hospeda un clúster de Kubernetes de administración con un plano de control que requiere una única dirección IP estática. Esta dirección IP se asigna desde el parámetro controlplaneendpoint
en el comando createconfig
o el comando equivalente de creación de archivos de configuración.
Requisitos de dirección IP del plano de control:
- Comunicación con el equipo de administración (puerto TCP SSH 22, puerto API de Kubernetes 6443).
- Dirección IP estática asignada y dentro del prefijo de dirección IP.
- Si usa un proxy, el servidor proxy debe ser accesible desde direcciones IP dentro del prefijo de dirección IP, incluida la dirección IP de la máquina virtual del dispositivo reservado.
Servidor DNS
Los servidores DNS deben tener resolución de puntos de conexión internos y externos. La máquina virtual del dispositivo y el plano de control deben resolver la máquina de administración y viceversa. Las tres direcciones IP deben poder acceder a las direcciones URL necesarias para la implementación.
Gateway
La dirección IP de la puerta de enlace es la dirección IP de la puerta de enlace de la red donde se implementa el puente de recursos de Arc. La dirección IP de la puerta de enlace debe ser una dirección IP desde la subred designada en el prefijo de dirección IP.
Ejemplo de configuración mínima para la implementación de direcciones IP estáticas
En el ejemplo siguiente se muestran valores de configuración válidos que se pueden pasar durante la creación de archivos de configuración para el puente de recursos de Arc.
Observe que las direcciones IP de la puerta de enlace, el plano de control, la máquina virtual del dispositivo y el servidor DNS (para la resolución interna) están dentro del prefijo de dirección IP. El Inicio/Final del grupo de direcciones IP de la máquina virtual son secuenciales. Este detalle clave ayuda a garantizar una implementación correcta de la máquina virtual del dispositivo.
Prefijo de dirección IP (formato CIDR): 192.168.0.0/29
Dirección IP de puerta de enlace: 192.168.0.1
Inicio del grupo de direcciones IP de máquina virtual (formato de dirección IP): 192.168.0.2
Fin del grupo de direcciones IP de máquina virtual (formato de dirección IP): 192.168.0.3
Dirección IP del plano de control: 192.168.0.4
Servidores DNS (formato de lista de dirección IP): 192.168.0.1, 10.0.0.5, 10.0.0.6
Cuenta de usuario y credenciales
El puente de recursos de Arc puede requerir una cuenta de usuario independiente con los roles necesarios para ver y administrar recursos en la infraestructura local (como VMware vSphere habilitado para Arc). Si es así, durante la creación de los archivos de configuración, se requerirán los parámetros username
y password
. Las credenciales de la cuenta se almacenan en un archivo de configuración localmente dentro de la máquina virtual del dispositivo.
Advertencia
El puente de recursos de Arc solo puede usar una cuenta de usuario que no tenga habilitada la autenticación multifactor. Si la cuenta de usuario está establecida para cambiar periódicamente las contraseñas, las credenciales deben actualizarse inmediatamente en el puente de recursos. Esta cuenta de usuario también se puede establecer con una directiva de bloqueo para proteger la infraestructura local, en caso de que las credenciales no se actualicen y el puente de recursos realice varios intentos de usar credenciales expiradas para acceder al centro de control local.
Por ejemplo, con VMware habilitado para Arc, el puente de recursos de Arc necesita una cuenta de usuario independiente para vCenter con los roles necesarios. Si cambian las credenciales de la cuenta de usuario, las credenciales almacenadas en el puente de recursos de Arc deben actualizarse inmediatamente mediante la ejecución de az arcappliance update-infracredentials
desde el equipo de administración. De lo contrario, el dispositivo realizará intentos repetidos de usar las credenciales expiradas para acceder a vCenter, lo que provocará un bloqueo de la cuenta.
Archivos de configuración
El puente de recursos de Arc consta de una máquina virtual del dispositivo que se implementa en la infraestructura local. Para mantener la máquina virtual del dispositivo, los archivos de configuración generados durante la implementación deben guardarse en una ubicación segura y estar disponibles en el equipo de administración.
Hay varios tipos diferentes de archivos de configuración, en función de la infraestructura local.
Archivos de configuración del dispositivo
Se crean tres archivos de configuración al implementar el puente de recursos de Arc: <appliance-name>-resource.yaml
, <appliance-name>-appliance.yaml
y <appliance-name>-infra.yaml
.
De manera predeterminada, estos archivos se generan en el directorio actual de la CLI de donde se ejecutan los comandos de implementación. Estos archivos se deben guardar en el equipo de administración porque son necesarios para mantener la máquina virtual del dispositivo. Los archivos de configuración se hacen referencia entre sí y deben almacenarse en la misma ubicación.
Kubeconfig
La máquina virtual del dispositivo hospeda un clúster de Kubernetes de administración. Kubeconfig es un archivo de configuración de Kubernetes con pocos privilegios que se usa para mantener la máquina virtual del dispositivo. De forma predeterminada, se genera en el directorio actual de la CLI cuando se completa el comando deploy
. Kubeconfig debe guardarse en una ubicación segura en el equipo de administración, ya que es necesario para mantener la máquina virtual del dispositivo. Si se pierde kubeconfig, se puede recuperar ejecutando el comando az arcappliance get-credentials
.
Importante
Una vez creada la máquina virtual del puente de recursos de Arc, no se pueden modificar ni actualizar las opciones de configuración. Actualmente, la máquina virtual del dispositivo debe permanecer en la ubicación donde se implementó inicialmente. El nombre de la máquina virtual del puente de recursos de Arc es un GUID único que no se puede cambiar de nombre, ya que es un identificador que se usa para la actualización administrada por la nube.
Pasos siguientes
- Descripción de los requisitos de red para el puente de recursos de Azure Arc.
- Consulte la Introducción al puente de recursos de Azure Arc para obtener más información sobre las características y las ventajas.
- Obtenga información sobre la configuración de seguridad y consideraciones para el puente de recursos de Azure Arc.