你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Arc 资源网桥网络系统要求
本文介绍 Azure Arc 资源网桥的系统要求。
Arc 资源网桥可与其他合作伙伴产品一起使用,例如 Azure Stack HCI、已启用 Arc 的 VMware vSphere,以及已启用 Arc 的 System Center Virtual Machine Manager (SCVMM)。 这些产品可能具有其他要求。
必需的 Azure 权限
管理工具要求
要在支持的私有云环境上部署 Azure Arc 资源网桥,需要使用 Azure CLI。
如果在 VMware 上部署 Arc 资源网桥,则需要在管理计算机上安装 Azure CLI(64 位)才能运行部署命令。
如果在 Azure Stack HCI 上部署,则应在管理计算机上安装 Azure CLI(32 位)。
需要在 CLI 上安装 Arc Appliance CLI 扩展 arcappliance。 可通过运行 az extension add --name arcappliance 实现
最低资源要求
Arc 资源网桥具有以下最低资源要求:
- 50 GB 磁盘空间
- 4 个 vCPU
- 8 GB 内存
这些最低要求支持大多数方案。 但合作伙伴产品可能支持与 Arc 资源网桥更高的资源连接计数,这要求网桥具有更高的资源要求。 未能提供足够的资源可能会导致部署期间出错,例如磁盘复制错误。 请查看合作伙伴产品的文档,了解特定的资源要求。
IP 地址前缀(子网)要求
部署 Arc 资源网桥的 IP 地址前缀(子网)需要前缀最小为 /29。 IP 地址前缀必须有足够的可用 IP 地址,以便用于网关 IP、控制平面 IP、设备 VM IP 和预留设备 VM IP。 Arc 资源网桥仅使用分配到 IP 池范围(起始 IP、结束 IP)和控制平面 IP 的 IP 地址。 我们建议紧接在起始 IP 之后指定结束 IP。 例如:起始 IP = 192.168.0.2,结束 IP = 192.168.0.3。 请与网络工程师合作,确保有一个可用的子网,其中包含 Arc 资源网桥所需的可用 IP 地址和 IP 地址前缀。
IP 地址前缀是虚拟网络子网的 IP 地址范围和采用 CIDR 表示法的子网掩码(IP 掩码),例如 192.168.7.1/29。 可在创建 Arc 资源网桥的配置文件期间提供 IP 地址前缀(采用 CIDR 表示法)。
请咨询网络工程师,获取采用 CIDR 表示法的 IP 地址前缀。 可使用 IP 子网 CIDR 计算器获取此值。
静态 IP 配置
如果将 Arc 资源网桥部署到生产环境,则必须在部署 Arc 资源网桥时使用静态配置。 静态 IP 配置用于将三个静态 IP(在同一子网中)分配给 Arc 资源网桥控制平面、设备 VM 和预留设备 VM。
仅支持在测试环境中使用 DHCP,并仅将其用于 Azure Stack HCI 上的 VM 管理测试目的。 不应在生产环境中使用它。 任何其他已启用 Arc 的私有云(包括已启用 Arc 的 VMware、AVS Arc 或已启用 Arc 的 SCVMM)上都不支持 DHCP。
如果使用 DHCP,则必须保留控制平面和设备 VM 使用的 IP 地址。 此外,这些 IP 必须超出可分配的 DHCP IP 范围。 例如:控制平面 IP 应被视为保留/静态 IP,网络上的任何其他计算机都不会使用 DHCP 或从 DHCP 接收信息。 如果控制平面 IP 或设备 VM IP 发生更改,这会影响资源网桥的可用性和功能。
管理计算机要求
用于运行用于部署和维护 Arc 资源网桥的命令的计算机称为管理计算机。
管理计算机要求:
已安装 Azure CLI x64
与控制平面 IP 建立通信
与设备 VM IP 通信(SSH TCP 端口 22、Kubernetes API 端口 6443)
与保留的设备 VM IP 通信(SSH TCP 端口 22、Kubernetes API 端口 6443)
通过端口 443 与私有云管理控制台(例如 VMware vCenter 计算机)通信
内部和外部 DNS 解析。 DNS 服务器必须解析内部名称,例如 vSphere 的 vCenter 终结点或 Azure Stack HCI 的云代理服务终结点。 DNS 服务器还必须能够解析部署所需 URL 的外部地址。
Internet 访问权限
设备 VM IP 地址要求
Arc 资源网桥包含本地部署的设备 VM。 设备 VM 可以查看本地基础结构,并且可以标记本地资源(来宾管理),以投影到 Azure 资源管理器 (ARM) 中。 设备 VM 从 createconfig 命令中的 k8snodeippoolstart 参数中分配 IP 地址。 合作伙伴产品中可能称其为“开始范围 IP”、“RB IP 启动”或“VM IP 1”。 设备 VM IP 是设备 VM IP 池范围的起始 IP 地址;因此,首次部署 Arc 资源网桥时,这是最初分配给设备 VM 的 IP。 VM IP 池范围至少需要 2 个 IP 地址。
设备 VM IP 地址要求:
与管理计算机通信(SSH TCP 端口 22、Kubernetes API 端口 6443)
通过端口 443(例如 VMware vCenter)与私有云管理终结点通信。
与代理/防火墙中启用的所需 URL 建立 Internet 连接。
静态 IP 已分配且位于 IP 地址前缀内。
内部和外部 DNS 解析。
如果使用代理,则必须可从此 IP 和 VM IP 池中的所有 IP 访问代理服务器。
预留设备 VM IP 要求
Arc 资源网桥会保留一个额外的 IP 地址供升级设备 VM 时使用。 预留设备 VM IP 通过 az arcappliance createconfig 命令中的 k8snodeippoolend 参数分配 IP 地址。 此 IP 地址可能称为“结束范围 IP”、“RB IP 结束”或 VM IP 2。 预留设备 VM IP 是设备 VM IP 池范围的结束 IP 地址。 首次升级设备 VM 时,这是会在升级后分配给设备 VM 的 IP,初始设备 VM IP 将返回到 IP 池,供将来升级使用。 如果指定大于两个 IP 地址的 IP 池范围,则保留其他 IP。
预留设备 VM IP 要求:
与管理计算机通信(SSH TCP 端口 22、Kubernetes API 端口 6443)
通过端口 443(例如 VMware vCenter)与私有云管理终结点通信。
与代理/防火墙中启用的所需 URL 建立 Internet 连接。
静态 IP 已分配且位于 IP 地址前缀内。
内部和外部 DNS 解析。
如果使用代理,则必须可从此 IP 和 VM IP 池中的所有 IP 访问代理服务器。
控制平面 IP 要求
设备 VM 使用需要单个静态 IP 地址的控制平面来托管管理 Kubernetes 群集。 此 IP 是使用 createconfig 命令或等效配置文件创建命令中的 controlplaneendpoint 参数分配的。
控制平面 IP 要求:
与管理计算机通信(SSH TCP 端口 22、Kubernetes API 端口 6443)。
静态 IP 地址已分配且位于 IP 地址前缀内。
如果使用代理,代理服务器必须可从 IP 地址前缀内的所有 IP(包括预留设备 VM IP)访问。
DNS 服务器
DNS 服务器必须具有内部和外部终结点解析。 设备 VM 和控制平面需要解析管理计算机,反之亦然。 这三个 IP 必须能够访问部署的所需 URL。
网关
网关 IP 是部署 Arc 资源网桥的网络的网关 IP。 网关 IP 应是 IP 地址前缀中指定的子网内的 IP。
静态 IP 部署的最低配置示例
以下示例演示了在为 Arc 资源网桥创建配置文件期间传递的有效配置值。
请注意,网关、控制平面、设备 VM 和 DNS 服务器(用于内部解析)的 IP 地址位于 IP 地址前缀内。 VM IP 池启动/结束是连续的。 此关键详细信息有助于确保成功部署设备 VM。
IP 地址前缀(CIDR 格式):192.168.0.0/29
网关 IP:192.168.0.1
VM IP 池起始(IP 格式):192.168.0.2
VM IP 池结束(IP 格式):192.168.0.3
控制平面 IP:192.168.0.4
DNS 服务器(IP 列表格式):192.168.0.1, 10.0.0.5, 10.0.0.6
用户帐户和凭据
Arc 资源网桥可能需要具有必要角色的单独用户帐户才能查看和管理本地基础结构中的资源(例如已启用 Arc 的 VMware vSphere)。 如果是这样,在创建配置文件期间,将需要 username 和 password 参数。 然后,帐户凭据存储在设备 VM 本地的配置文件中。
警告
Arc 资源网桥只能使用未启用多重身份验证的用户帐户。 如果用户帐户设置为定期更改密码,则必须在资源网桥上立即更新凭据。 还可为该用户帐户设置锁定策略,以保护本地基础结构,以防凭证未更新并且资源网桥多次尝试使用过期凭证来访问本地控制中心。
例如,借助已启用 Arc 的 VMware,Arc 资源网桥需要为具有必要角色的 vCenter 提供单独的用户帐户。 如果用户帐户的凭据发生更改,则必须通过从管理计算机运行 az arcappliance update-infracredentials 来立即更新存储在 Arc 资源网桥中的凭据。 否则,设备将反复尝试使用过期的凭据访问 vCenter,这将导致帐户被锁定。
配置文件
Arc 资源网桥由部署到本地基础结构的设备 VM 组成。 若要维护设备 VM,部署期间生成的配置文件需要保存在安全的位置,并在管理计算机上可用。
根据本地基础结构,有多种不同类型的配置文件。
设备配置文件
部署 Arc 资源网桥时会创建三个配置文件:<appliance-name>-resource.yaml、<appliance-name>-appliance.yaml 和 <appliance-name>-infra.yaml。
默认情况下,这些文件在运行部署命令的当前 CLI 目录中生成。 这些文件应保存在管理计算机上,因为它们是维护设备 VM 所必需的。 配置文件相互引用,应存储在同一位置。
Kubeconfig
设备 VM 托管管理 Kubernetes 群集。 Kubeconfig 是一个低特权 Kubernetes 配置文件,用于维护设备 VM。 默认情况下,deploy 命令完成后,将在当前 CLI 目录中生成该文件。 Kubeconfig 应保存在管理计算机上的安全位置,因为它是维护设备 VM 所必需的。 如果 kubeconfig 丢失,可以通过运行 az arcappliance get-credentials 命令来检索它。
HCI 登录配置文件(仅限 Azure Stack HCI)
Arc 资源网桥使用名为 KVA 令牌 (kvatoken.tok) 的 MOC 登录凭据与 Azure Stack HCI 交互。 部署 Arc 资源网桥时,KVA 令牌随设备配置文件一起生成。 收集 Arc 资源网桥的日志时也会使用此令牌,因此应将其与其余设备配置文件一起保存在安全位置。 可将此文件保存在创建配置文件时提供的目录中或默认 CLI 目录中。
后续步骤
- 了解 Azure Arc 资源网桥的网络要求。
- 查看 Azure Arc 资源网桥概述,详细了解功能和优势。
- 了解 Azure Arc 资源网桥的安全配置和注意事项。