Azure Arc リソース ブリッジのシステム要件

  • [アーティクル]

この記事では、Azure Arc リソース ブリッジをデプロイするためのシステム要件について説明します。

Arc リソース ブリッジは、Azure Stack HCIArc 対応 VMware vSphereArc 対応 System Center Virtual Machine Manager (SCVMM) など、他のパートナー製品と共に使用されます。 これらの製品には、追加の要件がある場合があります。

必要な Azure アクセス許可

  • Arc リソース ブリッジをオンボードするには、リソース グループの共同作成者ロールが必要です。

  • Arc リソース ブリッジの読み取り、変更、削除を行うには、リソース グループの共同作成者ロールが必要です。

管理ツールの要件

サポートされているプライベート クラウド環境に Azure Arc リソース ブリッジをデプロイするには、Azure CLI が必要です。

VMware に Arc リソース ブリッジをデプロイする場合、デプロイ コマンドを実行するには、管理マシンに Azure CLI 64 ビットをインストールする必要があります。

Azure Stack HCI にデプロイする場合は、Azure CLI 32 ビットを管理マシンにインストールする必要があります。

Arc Appliance CLI 拡張機能 arcappliance を CLI にインストールする必要があります。 これを行うには、次を実行します: az extension add --name arcappliance

最小リソース要件

Arc リソース ブリッジには、次の最小リソース要件があります。

  • 50 GB のディスク領域
  • 4 つの vCPU
  • 8 GB メモリ

これらの最小要件により、ほとんどのシナリオが有効になります。 ただし、パートナー製品では Arc リソース ブリッジへのより多くのリソース接続数がサポートされる場合があります。その場合、ブリッジのリソース要件が高くなる必要があります。 十分なリソースがないと、ディスク コピー エラーなど、デプロイ中にエラーが発生する可能性があります。 特定のリソース要件については、パートナー製品のドキュメントを確認してください。

IP アドレス プレフィックス (サブネット) の要件

Arc リソース ブリッジがデプロイされる IP アドレス プレフィックス (サブネット) には、最小プレフィックス /29 が必要です。 IP アドレス プレフィックスには、ゲートウェイ IP、コントロール プレーン IP、アプライアンス VM IP、予約済みアプライアンス VM IP の十分に使用できる IP アドレスが必要です。 Arc リソース ブリッジでは、IP プール範囲 (開始 IP、終了 IP) とコントロール プレーン IP に割り当てられた IP アドレスのみが使用されます。 終了 IP は、開始 IP のすぐ次にすることをお勧めします。 例: 開始 IP =192.168.0.2、終了 IP = 192.168.0.3。 ネットワーク エンジニアと協力して、Arc リソース ブリッジに必要な使用可能な IP アドレスと IP アドレス プレフィックスを持つ使用可能なサブネットがあることを確認してください。

IP アドレス プレフィックスは、仮想ネットワークのサブネットの IP アドレス範囲と、CIDR 表記のサブネット マスク (IP マスク) です (例: 192.168.7.1/29)。 Arc リソース ブリッジの構成ファイルの作成時に、IP アドレス プレフィックスを CIDR 表記で指定します。

ネットワーク エンジニアに問い合わせて、CIDR 表記の IP アドレス プレフィックスを取得してください。 この値を取得するために、IP サブネット CIDR 計算ツールを使用することができます。

静的 IP 構成

Arc リソース ブリッジを運用環境にデプロイする場合は、Arc リソース ブリッジをデプロイする際に静的構成を使用する必要があります。 静的 IP 構成は、Arc リソース ブリッジコントロール プレーン、アプライアンス VM、予約済みアプライアンス VM に 3 つの静的 IP (同じサブネット内にある) を割り当てるために使用されます。

DHCP は、Azure Stack HCI 上の VM 管理をテストする目的に限り、テスト環境でのみサポートされます。 運用環境では使用しないでください。 DHCP は、Arc 対応 VMware、Arc for AVS、Arc 対応 SCVMM など、他の Arc 対応プライベート クラウドではサポートされていません。

DHCP を使用する場合は、コントロール プレーンとアプライアンス VM で使用される IP アドレスを予約する必要があります。 さらに、これらの IP は、割り当て可能な DHCP 範囲の IP の範囲外である必要があります。 例: コントロール プレーン IP は、ネットワーク上の他のマシンが DHCP を使用または受信しない予約済み/静的 IP として扱う必要があります。 コントロール プレーン IP またはアプライアンス VM IP が変更された場合、リソース ブリッジの可用性と機能に影響が及びます。

管理マシンの要件

Arc リソース ブリッジのデプロイと保守にコマンドを実行するために使用されるマシンは、管理マシンと呼ばれます。

管理マシンの要件:

  • Azure CLI x64 がインストールされていること

  • コントロール プレーン IP への通信を開きます

  • アプライアンス VM IP への通信 (SSH TCP ポート 22、Kubernetes API ポート 6443)

  • 予約アプライアンス VM IP への通信 (SSH TCP ポート 22、Kubernetes API ポート 6443)

  • ポート 443 経由でプライベート クラウド管理コンソール (例: VMware vCenter マシン) への通信を開きます

  • 内部および外部の DNS 解決。 DNS サーバーは、vSphere の vCenter エンドポイントや Azure Stack HCI のクラウド エージェント サービス エンドポイントなどの内部名を解決する必要があります。 また、DNS サーバーは、外部アドレス (デプロイに必要な URL ) を解決できる必要があります。

  • インターネットへのアクセス

アプライアンス VM の IP アドレスの要件

Arc リソース ブリッジは、オンプレミスにデプロイされているアプライアンス VM で構成されます。 アプライアンス VM はオンプレミス インフラストラクチャを可視化し、Azure Resource Manager (ARM) へのプロジェクションのためにオンプレミス リソース (ゲスト管理) にタグを付けることができます。 アプライアンス VM には、createconfig コマンドの k8snodeippoolstart パラメーターから IP アドレスが割り当てられます。 パートナー製品では、開始範囲 IP、RB IP 開始、または VM IP 1 と呼ばれる場合があります。 アプライアンス VM IP は、アプライアンス VM の IP プール範囲の開始 IP アドレスです。そのため、Arc リソース ブリッジを初めてデプロイする場合、これはアプライアンス VM に最初に割り当てられた IP です。 VM IP プールの範囲には、少なくとも 2 つの IP アドレスが必要です。

アプライアンス VM の IP アドレスの要件:

  • 管理マシンとの通信 (SSH TCP ポート 22、Kubernetes API ポート 6443)

  • ポート 443 (VMware vCenter など) を介したプライベート クラウド管理エンドポイントとの通信。

  • プロキシ/ファイアウォールでは、必要な URL へのインターネット接続が有効になっています。

  • 静的 IP が割り当てられ、IP アドレス プレフィックス内にある。

  • 内部および外部の DNS 解決。

  • プロキシを使用する場合は、この IP と VM IP プール内のすべての IP からプロキシ サーバーに到達できる必要があります。

予約済みアプライアンス VM の IP 要件

Arc リソース ブリッジは、アプライアンス VM のアップグレードに使用する追加の IP アドレスを予約します。 予約アプライアンス VM IP には、az arcappliance createconfig コマンドの k8snodeippoolend パラメーターを使用して IP アドレスが割り当てられます。 この IP アドレスは、エンド レンジ IP、RB IP End、または VM IP 2 と呼ばれます。 予約アプライアンス VM IP は、アプライアンス VM の IP プール範囲の終了 IP アドレスです。 アプライアンス VM を初めてアップグレードする場合、これはアップグレード後にアプライアンス VM に割り当てられた IP であり、初期アプライアンス VM IP は、将来のアップグレードに使用される IP プールに返されます。 2 つの IP アドレスより大きい IP プール範囲を指定すると、追加の IP が予約されます。

予約アプライアンス VM の IP 要件:

  • 管理マシンとの通信 (SSH TCP ポート 22、Kubernetes API ポート 6443)

  • ポート 443 (VMware vCenter など) を介したプライベート クラウド管理エンドポイントとの通信。

  • プロキシ/ファイアウォールでは、必要な URL へのインターネット接続が有効になっています。

  • 静的 IP が割り当てられ、IP アドレス プレフィックス内にある。

  • 内部および外部の DNS 解決。

  • プロキシを使用する場合は、この IP と VM IP プール内のすべての IP からプロキシ サーバーに到達できる必要があります。

コントロール プレーン IP の要件

アプライアンス VM は、単一の静的 IP アドレスを必要とするコントロール プレーンを使用して、管理 Kubernetes クラスターをホストします。 この IP は、createconfig コマンドまたは同等の構成ファイル作成コマンドの controlplaneendpoint パラメーターから割り当てられます。

コントロール プレーン IP の要件:

  • 管理マシンとの通信 (SSH TCP ポート 22、Kubernetes API ポート 6443)。

  • 静的 IP アドレスが割り当てられ、 IP アドレス プレフィックス内にある。

  • プロキシを使用する場合、予約アプライアンス VM IP を含め、IP アドレス プレフィックス内の IP からプロキシ サーバーに到達できる必要があります。

DNS サーバー

DNS サーバーには、内部および外部のエンドポイント解決が必要です。 アプライアンス VM とコントロール プレーンは、管理マシンを解決する必要があります。その逆も同様です。 3 つの IP はすべて、デプロイに必要な URL に到達できる必要があります。

ゲートウェイ

ゲートウェイ IP は、Arc リソース ブリッジがデプロイされているネットワークのゲートウェイの IP です。 ゲートウェイ IP は、IP アドレス プレフィックスで指定されたサブネット内からの IP である必要があります。

静的 IP デプロイの最小構成の例

次の例は、Arc リソース ブリッジの構成ファイルの作成時に渡すことができる有効な構成値を示しています。

ゲートウェイ、コントロール プレーン、アプライアンス VM、DNS サーバー (内部解決用) の IP アドレスが IP アドレス プレフィックス内にあることを確認します。 VM IP プールの開始/終了はシーケンシャルです。 この重要な詳細は、アプライアンス VM のデプロイを成功させるために役立ちます。

IP アドレス プレフィックス (CIDR 形式): 192.168.0.0/29

ゲートウェイ IP: 192.168.0.1

VM IP プール スタート (IP 形式): 192.168.0.2

VM IP プール エンド (IP 形式): 192.168.0.3

コントロール プレーン IP: 192.168.0.4

DNS サーバー (IP リスト形式): 192.168.0.1、10.0.0.5、10.0.0.6

ユーザー アカウントと資格情報

Arc リソース ブリッジでは、オンプレミス インフラストラクチャ (Arc 対応 VMware vSphere など) のリソースを表示および管理するために必要なロールを持つ別のユーザー アカウントが必要になる場合があります。 その場合、構成ファイルの作成時に、username パラメーターと password パラメーターが必要になります。 その後、アカウントの資格情報は、アプライアンス VM 内のローカルの構成ファイルに格納されます。

警告

Arc リソース ブリッジでは、多要素認証が有効になっていないユーザー アカウントのみを使用できます。 ユーザー アカウントが定期的にパスワードを変更するように設定されている場合は、リソース ブリッジで資格情報をすぐに更新する必要があります。 資格情報が更新されず、リソース ブリッジが期限切れの資格情報を使用してオンプレミスのコントロール センターにアクセスしようとする場合に備えて、このユーザー アカウントを、オンプレミス インフラストラクチャを保護するためのロックアウト ポリシーを使用して設定することもできます。

たとえば、Arc 対応 VMware の場合、Arc リソース ブリッジには、必要なロールを持つ vCenter 用の個別のユーザー アカウントが必要です。 ユーザー アカウントの資格情報が変更された場合は、az arcappliance update-infracredentials管理マシンから を実行して、Arc リソース ブリッジに格納されている資格情報を直ちに更新する必要があります。 そうしない場合、アプライアンスは、期限切れの資格情報を使用して vCenter にアクセスしようと繰り返し試行し、その結果、アカウントがロックアウトされます。

構成ファイル

Arc リソース ブリッジは、オンプレミスのインフラストラクチャに展開されるアプライアンス VM で構成されます。 アプライアンス VM を管理するには、デプロイ時に生成された構成ファイルを安全な場所に保存し、管理マシンで使用できるようにする必要があります。

オンプレミスのインフラストラクチャごとに、いくつかの異なる種類の構成ファイルがあります。

アプライアンスの構成ファイル

Arc リソース ブリッジのデプロイ時に、<appliance-name>-resource.yaml<appliance-name>-appliance.yaml<appliance-name>-infra.yaml の 3 つの構成ファイルが作成されます。

既定では、これらのファイルは、デプロイ コマンドが実行されている現在の CLI ディレクトリに生成されます。 これらのファイルは、アプライアンス VM を管理するために必要であるため、管理マシン上に保存する必要があります。 構成ファイルは相互に参照し、同じ場所に保存する必要があります。

Kubeconfig

アプライアンス VM は、管理 Kubernetes クラスターをホストします。 kubeconfig は、アプライアンス VM の保守に使用される低特権の Kubernetes 構成ファイルです。 既定では、deploy コマンドが完了すると、現在の CLI ディレクトリに生成されます。 kubeconfig は、アプライアンス VM を保守するために必要であるため、管理マシンの安全な場所に保存する必要があります。 kubeconfig が失われた場合は、az arcappliance get-credentials コマンドを実行して取得できます。

HCI ログイン構成ファイル (Azure Stack HCI のみ)

Arc リソース ブリッジは、KVA トークン (kvatoken.tok) と呼ばれる MOC ログイン資格情報を使用して、Azure Stack HCI とやり取りします。 KVA トークンは、Arc リソース ブリッジのデプロイ時にアプライアンス構成ファイルと共に生成されます。 このトークンは、Arc リソース ブリッジのログを収集するときにも使用されるため、残りのアプライアンス構成ファイルを含む安全な場所に保存する必要があります。 このファイルは、構成ファイルの作成時に指定されたディレクトリまたは既定の CLI ディレクトリに保存されます。

次のステップ