Requisitos do sistema da ponte de recursos do Azure Arc

Este artigo descreve os requisitos do sistema para implantar a ponte de recursos do Azure Arc.

A ponte de recursos Arc é usada com outros produtos de parceiros, como Azure Stack HCI, VMware vSphere habilitado para Arc e System Center Virtual Machine Manager (SCVMM) habilitado para Arc. Estes produtos podem ter requisitos adicionais.

Permissões do Azure necessárias

• Para integrar a ponte de recursos do Arc, você deve ter a função de Colaborador para o grupo de recursos.

• Para ler, modificar e excluir a ponte de recursos Arc, você deve ter a função de Colaborador para o grupo de recursos.

Requisitos da ferramenta de gestão

A CLI do Azure é necessária para implantar a ponte de recursos do Azure Arc em ambientes de nuvem privada com suporte.

Se estiver implantando a ponte de recursos Arc no VMware, a CLI de 64 bits do Azure precisará ser instalada na máquina de gerenciamento para executar os comandos de implantação.

Se estiver implantando no Azure Stack HCI, a CLI do Azure de 32 bits deverá ser instalada na máquina de gerenciamento.

Arc Appliance CLI extensão, arcappliance, precisa ser instalado na CLI. Isso pode ser feito executando: az extension add --name arcappliance

Requisitos mínimos de recursos

A ponte de recursos do Arc tem os seguintes requisitos mínimos de recursos:

• 50 GB de espaço em disco
• 4 vCPUs
• 8 GB de memória

Esses requisitos mínimos permitem a maioria dos cenários. No entanto, um produto parceiro pode oferecer suporte a uma contagem de conexão de recursos mais alta com a ponte de recursos Arc, o que exige que a ponte tenha requisitos de recursos mais altos. A falha em fornecer recursos suficientes pode causar erros durante a implantação, como erros de cópia de disco. Analise a documentação do produto parceiro para obter requisitos de recursos específicos.

Requisitos de prefixo de endereço IP (sub-rede)

O prefixo de endereço IP (sub-rede) onde a ponte de recursos Arc será implantada requer um prefixo mínimo de /29. O prefixo do endereço IP deve ter endereços IP disponíveis suficientes para o IP do gateway, o IP do plano de controle, o IP da VM do dispositivo e o IP da VM do dispositivo reservado. A ponte de recursos Arc usa apenas os endereços IP atribuídos ao intervalo do pool de IP (IP INICIAL, IP final) e ao IP do plano de controle. Recomendamos que o IP final siga imediatamente o IP inicial. Ex: IP inicial = 192.168.0.2, IP final = 192.168.0.3. Trabalhe com seu engenheiro de rede para garantir que haja uma sub-rede disponível com os endereços IP disponíveis necessários e o prefixo de endereço IP para a ponte de recursos Arc.

O prefixo de endereço IP é o intervalo de endereços IP da sub-rede para a rede virtual e a máscara de sub-rede (Máscara de IP) na notação CIDR, por exemplo 192.168.7.1/29. Você fornece o prefixo de endereço IP (em notação CIDR) durante a criação dos arquivos de configuração para a ponte de recursos Arc.

Consulte seu engenheiro de rede para obter o prefixo do endereço IP na notação CIDR. Uma calculadora CIDR de sub-rede IP pode ser usada para obter esse valor.

Configuração de IP estático

Se estiver implantando a ponte de recursos do Arc em um ambiente de produção, a configuração estática deverá ser usada ao implantar a ponte de recursos do Arc. A configuração de IP estático é usada para atribuir três IPs estáticos (que estão na mesma sub-rede) ao plano de controle da ponte de recursos Arc, à VM do dispositivo e à VM do dispositivo reservado.

O DHCP só tem suporte em um ambiente de teste para fins de teste somente para gerenciamento de VM no Azure Stack HCI. Ele não deve ser usado em um ambiente de produção. O DHCP não é suportado em nenhuma outra nuvem privada habilitada para Arc, incluindo VMware habilitado para Arc, Arc for AVS ou SCVMM habilitado para Arc.

Se estiver usando DHCP, você deve reservar os endereços IP usados pelo plano de controle e pela VM do dispositivo. Além disso, esses IPs devem estar fora do intervalo DHCP atribuível de IPs. Ex: O IP do plano de controle deve ser tratado como um IP reservado/estático que nenhuma outra máquina na rede usará ou receberá do DHCP. Se o IP do plano de controle ou o IP da VM do dispositivo forem alterados, isso afetará a disponibilidade e a funcionalidade da ponte de recursos.

Requisitos da máquina de gerenciamento

A máquina usada para executar os comandos para implantar e manter a ponte de recursos Arc é chamada de máquina de gerenciamento.

Requisitos da máquina de gerenciamento:

• Azure CLI x64 instalado

• Comunicação com IP do plano de controle (porta TCP SSH 22, porta API Kubernetes 6443)

• Comunicação com IPs de VM de dispositivo (porta TCP SSH 22, porta 6443 da API do Kubernetes)

• Comunicação com os IPs reservados da VM do Appliance (porta TCP SSH 22, porta 6443 da API do Kubernetes)

• comunicação pela porta 443 para o console de gerenciamento de nuvem privada (por exemplo, máquina VMware vCenter)

• Resolução DNS interna e externa. O servidor DNS deve resolver nomes internos, como o ponto de extremidade vCenter para vSphere ou ponto de extremidade de serviço de agente de nuvem para Azure Stack HCI. O servidor DNS também deve ser capaz de resolver endereços externos que são URLs necessárias para implantação.

• Acesso à Internet

Requisitos de endereço IP da VM do dispositivo

A ponte de recursos do Arc consiste em uma VM de dispositivo implantada localmente. A VM do dispositivo tem visibilidade da infraestrutura local e pode marcar recursos locais (gerenciamento de convidados) para projeção no Azure Resource Manager (ARM). A VM do dispositivo recebe um endereço IP do k8snodeippoolstart parâmetro no createconfig comando. Pode ser referido em produtos parceiros como Start Range IP, RB IP Start ou VM IP 1. O IP da VM do dispositivo é o endereço IP inicial para o intervalo do pool de IP da VM do dispositivo; portanto, quando você implanta a ponte de recursos Arc pela primeira vez, esse é o IP inicialmente atribuído à VM do dispositivo. O intervalo do pool de IP da VM requer um mínimo de 2 endereços IP.

Requisitos de endereço IP da VM do dispositivo:

• Comunicação com a máquina de gerenciamento (SSH TCP porta 22, Kubernetes API porta 6443)

• Comunicação com o endpoint de gerenciamento de nuvem privada via Port 443 (como VMware vCenter).

• Conectividade com a Internet para URLs necessários ativada em proxy/firewall.

• IP estático atribuído e dentro do prefixo do endereço IP.

• Resolução DNS interna e externa.

• Se estiver usando um proxy, o servidor proxy deve ser acessível a partir desse IP e de todos os IPs dentro do pool de IP da VM.

Requisitos de IP de VM de dispositivo reservado

A ponte de recursos Arc reserva um endereço IP adicional a ser usado para a atualização da VM do dispositivo. O IP da VM do dispositivo reservado recebe um endereço IP através do k8snodeippoolend parâmetro no az arcappliance createconfig comando. Este endereço IP pode ser referido como IP de intervalo final, IP de fim de rede de rede de resolução de risco ou IP de VM 2. O IP de VM de dispositivo reservado é o endereço IP final para o intervalo de pool de IP de VM do dispositivo. Quando a VM do dispositivo é atualizada pela primeira vez, esse é o IP atribuído à VM do dispositivo após a atualização e o IP inicial da VM do dispositivo é retornado ao pool de IP para ser usado em uma atualização futura. Se especificar um intervalo de pool de IP maior que dois endereços IP, os IPs adicionais serão reservados.

Requisitos de IP da VM do dispositivo reservado:

• Comunicação com a máquina de gerenciamento (SSH TCP porta 22, Kubernetes API porta 6443)

• Comunicação com o endpoint de gerenciamento de nuvem privada via Port 443 (como VMware vCenter).

• Conectividade com a Internet para URLs necessários ativada em proxy/firewall.

• IP estático atribuído e dentro do prefixo do endereço IP.

• Resolução DNS interna e externa.

• Se estiver usando um proxy, o servidor proxy deve ser acessível a partir desse IP e de todos os IPs dentro do pool de IP da VM.

Requisitos IP do plano de controlo

A VM do dispositivo hospeda um cluster Kubernetes de gerenciamento com um plano de controle que requer um único endereço IP estático. Este IP é atribuído a partir do controlplaneendpoint parâmetro no createconfig comando ou comando de criação de arquivos de configuração equivalente.

Requisitos IP do plano de controle:

• Comunicação com a máquina de gerenciamento (SSH TCP porta 22, Kubernetes API porta 6443).

• Endereço IP estático atribuído e dentro do prefixo do endereço IP.

• Se estiver usando um proxy, o servidor proxy deve ser acessível a partir de IPs dentro do prefixo de endereço IP, incluindo o IP da VM do dispositivo reservado.

Servidor DNS

O(s) servidor(es) DNS(s) deve(m) ter resolução de ponto final interna e externa. A VM do dispositivo e o plano de controle precisam resolver a máquina de gerenciamento e vice-versa. Todos os três IPs devem ser capazes de alcançar as URLs necessárias para implantação.

Gateway

O IP do gateway é o IP do gateway para a rede onde a ponte de recursos Arc é implantada. O IP do gateway deve ser um IP de dentro da sub-rede designada no prefixo do endereço IP.

Exemplo de configuração mínima para implantação de IP estático

O exemplo a seguir mostra valores de configuração válidos que podem ser passados durante a criação do arquivo de configuração para a ponte de recursos Arc.

Observe que os endereços IP do gateway, do plano de controle, da VM do dispositivo e do servidor DNS (para resolução interna) estão dentro do prefixo do endereço IP. O Start/End do Pool de IP da VM é sequencial. Esse detalhe importante ajuda a garantir a implantação bem-sucedida da VM do dispositivo.

Prefixo de endereço IP (formato CIDR): 192.168.0.0/29

IP do gateway: 192.168.0.1

Início do Pool de IP da VM (formato IP): 192.168.0.2

Fim do Pool de IP da VM (formato IP): 192.168.0.3

IP do plano de controle: 192.168.0.4

Servidores DNS (formato de lista IP): 192.168.0.1, 10.0.0.5, 10.0.0.6

Conta de utilizador e credenciais

A ponte de recursos Arc pode exigir uma conta de usuário separada com as funções necessárias para visualizar e gerenciar recursos na infraestrutura local (como VMware vSphere habilitado para Arc). Em caso afirmativo, durante a criação dos arquivos de configuração, os username parâmetros e password serão necessários. As credenciais da conta são então armazenadas em um arquivo de configuração localmente na VM do dispositivo.

Aviso

A ponte de recursos do Arc só pode usar uma conta de usuário que não tenha a autenticação multifator habilitada. Se a conta de usuário estiver definida para alterar periodicamente as senhas, as credenciais deverão ser atualizadas imediatamente na ponte de recursos. Essa conta de usuário também pode ser definida com uma política de bloqueio para proteger a infraestrutura local, caso as credenciais não sejam atualizadas e a ponte de recursos faça várias tentativas de usar credenciais expiradas para acessar o centro de controle local.

Por exemplo, com o VMware habilitado para Arc, a ponte de recursos Arc precisa de uma conta de usuário separada para o vCenter com as funções necessárias. Se as credenciais da conta de usuário forem alteradas, as credenciais armazenadas na ponte de recursos do Arc deverão ser imediatamente atualizadas executando az arcappliance update-infracredentials a partir da máquina de gerenciamento. Caso contrário, o appliance fará repetidas tentativas de usar as credenciais expiradas para acessar o vCenter, o que resultará em um bloqueio da conta.

Arquivos de configuração

A ponte de recursos do Arc consiste em uma VM de dispositivo que é implantada na infraestrutura local. Para manter a VM do dispositivo, os arquivos de configuração gerados durante a implantação devem ser salvos em um local seguro e disponibilizados na máquina de gerenciamento.

Há vários tipos diferentes de arquivos de configuração, com base na infraestrutura local.

Arquivos de configuração do dispositivo

Três arquivos de configuração são criados ao implantar a ponte de recursos Arc: <appliance-name>-resource.yaml, <appliance-name>-appliance.yaml e <appliance-name>-infra.yaml.

Por padrão, esses arquivos são gerados no diretório CLI atual de onde os comandos de implantação são executados. Esses arquivos devem ser salvos na máquina de gerenciamento porque são necessários para manter a VM do dispositivo. Os arquivos de configuração fazem referência uns aos outros e devem ser armazenados no mesmo local.

Kubeconfig

A VM do dispositivo hospeda um cluster Kubernetes de gerenciamento. O kubeconfig é um arquivo de configuração do Kubernetes de baixo privilégio que é usado para manter a VM do dispositivo. Por padrão, ele é gerado no diretório CLI atual quando o deploy comando é concluído. O kubeconfig deve ser salvo em um local seguro na máquina de gerenciamento, pois é necessário para manter a VM do dispositivo. Se o kubeconfig for perdido, ele pode ser recuperado executando o az arcappliance get-credentials comando.

Importante

Depois que a VM da ponte de recursos Arc é criada, as definições de configuração não podem ser modificadas ou atualizadas. Além disso, a VM do dispositivo deve permanecer no local onde foi implantada inicialmente. Os recursos para permitir a configuração da VM do dispositivo e as alterações de local após a implantação estarão disponíveis em uma versão futura. No entanto, o nome da VM da ponte de recursos Arc é um GUID exclusivo que não pode ser renomeado, pois é um identificador usado para atualização gerenciada na nuvem.

Próximos passos

• Entenda os requisitos de rede para a ponte de recursos do Azure Arc.
• Analise a visão geral da ponte de recursos do Azure Arc para entender mais sobre recursos e benefícios.
• Saiba mais sobre a configuração de segurança e as considerações para a ponte de recursos do Azure Arc.