你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

已启用 Arc 的 System Center Virtual Machine Manager 的概述

已启用 Azure Arc 的 System Center Virtual Machine Manager (SCVMM) 使 System Center 客户能够将其 VMM 环境连接到 Azure,并从 Azure 门户执行 VM 自助服务操作。 已启用 Azure Arc 的 SCVMM 将 Azure 控制平面扩展到 SCVMM 托管基础结构,并允许跨 System Center 托管资产和 Azure 按一致的方式使用 Azure 安全、治理和管理功能。

借助已启用 Azure Arc 的 System Center Virtual Machine Manager,还可以以一致的方式管理混合环境并通过 Azure 门户执行自助服务 VM 操作。 对于 Microsoft Azure Pack 客户,此解决方案旨在作为执行 VM 自助服务操作的替代方案。

使用已启用 Arc 的 System Center VMM,可以执行以下操作:

  • 执行各种 VM 生命周期操作,比如直接从 Azure 启动、停止、暂停、删除 SCVMM 托管的 VM 上的 VM。
  • 使用 Azure 基于角色的访问控制 (RBAC),使开发人员和应用程序团队能够按需自行执行 VM 操作。
  • 在 Azure 中浏览 VMM 资源(VM、模板、VM 网络和存储),在两个环境中为你的基础结构提供单一窗格视图。
  • 发现现有的 SCVMM 托管 VM 并将其加入 Azure。
  • 在 SCVMM VM 上大规模安装已连接 Arc 的计算机代理以治理、保护、配置和监视它们

将资源大规模载入 Azure 管理

Microsoft Defender for Cloud、Azure Monitor、Azure 更新管理器和 Azure Policy 等 Azure 服务提供了一组丰富的功能,用于通过 Arc 保护、监视、修补和治理 Azure 外的资源。

通过使用已启用 Arc 的 SCVMM 功能来发现 SCVMM 托管资产和大规模安装 Arc 代理,可以简化将整个 System Center 资产载入这些服务的过程。

工作原理

要为 System Center VMM 管理服务器启用 Arc,可以在 VMM 环境中部署 Azure Arc 资源网桥。 Arc 资源网桥是一个虚拟设备,可以将 VMM 管理服务器连接到 Azure。 使用 Azure Arc 资源网桥,你能够在 Azure 中表示 SCVMM 资源(云、VM、模板等)并对其执行各种操作。

体系结构

下图显示了已启用 Arc 的 SCVMM 的体系结构:

已启用 Arc 的 SCVMM - 体系结构的屏幕截图。

已启用 Arc 的 SCVMM 与已启用 Arc 的服务器有何不同

  • 已启用 Azure Arc 的服务器在来宾操作系统级别进行交互,无法识别底层基础结构构造和它们所在的虚拟化平台。 由于已启用 Arc 的服务器也支持裸机计算机,因此在某些情况下,甚至可能没有主机虚拟机监控程序。
  • 已启用 Azure Arc 的 SCVMM 是已启用 Arc 的服务器的超集,可将管理功能从来宾操作系统扩展到 VM 本身。 这在 SCVMM VM 上提供了生命周期管理和 CRUD(创建、读取、更新和删除)操作。 这些生命周期管理功能在 Azure 门户中公开,界面类似于常规 Azure VM。 已启用 Azure Arc 的 SCVMM 还提供来宾操作系统管理 - 事实上,它使用的组件与已启用 Azure Arc 的服务器相同。

你可以灵活地从任一选项开始,或在以后合并另一个选项,而不会造成任何中断。 通过这两个选项,可享受相同的一致体验。

支持的方案

已启用 Azure Arc 的 SCVMM 支持以下场景:

  • SCVMM 管理员可以将 VMM 实例连接到 Azure,并在 Azure 中浏览 SCVMM 虚拟机清单。
  • 管理员可以使用 Azure 门户浏览 SCVMM 清单,并将 SCVMM 云、虚拟机、VM 网络和 VM 模板注册到 Azure。
  • 管理员可以通过 Azure RBAC 向应用团队/开发人员提供对这些 SCVMM 资源的细化权限。
  • 应用团队可以使用 Azure 接口(门户、CLI 或 REST API)来管理用于部署其应用程序的本地 VM 的生命周期(CRUD、启动/停止/重新启动)。
  • 管理员可以在 SCVMM VM 上大规模安装 Arc 代理,并安装相应的扩展以使用 Microsoft Defender for Cloud、Azure 更新管理器、Azure Monitor 等 Azure 管理服务。

注意

已启用 Azure Arc 的 SCVMM 不支持 SCVMM 管理的 VMware vCenter VM。 若要将 VMware VM 加入 Azure Arc,建议使用已启用 Azure Arc 的 VMware vSphere

支持的 VMM 版本

已启用 Azure Arc 的 SCVMM 适用于 VMM 2019 和 2022 版本,并支持最多有 15,000 个 VM 的 SCVMM 管理服务器。

支持的区域

以下区域目前支持已启用 Azure Arc 的 SCVMM:

  • 美国东部
  • 美国东部 2
  • 美国西部 2
  • 美国西部 3
  • 美国中部
  • 美国中南部
  • 英国南部
  • 北欧
  • 西欧
  • 瑞典中部
  • 东南亚
  • 澳大利亚东部

资源网桥网络要求

Azure Arc 资源网桥 VM 需要以下防火墙 URL 例外:

出站连接

必须将下面的防火墙和代理 URL 加入允许列表中,以便启用从管理计算机、设备 VM 和控制平面 IP 到所需 ARC 资源桥 URL 的通信。

防火墙/代理 URL 允许列表

服务 端口 URL 方向 说明
SFS API 终结点 443 msk8s.api.cdp.microsoft.com 管理计算机和设备 VM IP 需要出站连接。 从 SFS 下载产品目录、产品位和 OS 映像。
资源网桥(设备)数据平面服务 443 https://*.dp.prod.appliances.azure.com 设备 VM IP 需要出站连接。 与 Azure 中的资源提供程序通信。
资源网桥(设备)容器映像下载 443 *.blob.core.windows.net, https://ecpacr.azurecr.io 设备 VM IP 需要出站连接。 需拉取容器映像。
托管标识 443 *.his.arc.azure.com 设备 VM IP 需要出站连接。 拉取系统分配的托管标识证书时必需。
资源网桥(设备)映像下载 443 msk8s.sb.tlu.dl.delivery.mp.microsoft.com 管理计算机和设备 VM IP 需要出站连接。 下载 Arc 资源网桥 OS 映像。
Azure Arc for Kubernetes 容器映像下载 443 https://azurearcfork8s.azurecr.io 设备 VM IP 需要出站连接。 需拉取容器映像。
ADHS 遥测服务 443 adhs.events.data.microsoft.com 设备 VM IP 需要出站连接。 定期从设备 VM 发送 Microsoft 所需的诊断数据。
Microsoft 事件数据服务 443 v20.events.data.microsoft.com 设备 VM IP 需要出站连接。 从 Windows(例如 Windows Server 或 Azure Stack HCI)发送诊断数据。
Arc 资源网桥的日志收集 443 linuxgeneva-microsoft.azurecr.io 设备 VM IP 需要出站连接。 为设备托管组件推送日志。
Azure Arc for Kubernetes 容器映像下载 443 https://azurearcfork8sdev.azurecr.io 设备 VM IP 需要出站连接。 拉取容器映像。
资源网桥组件下载 443 kvamanagementoperator.azurecr.io 设备 VM IP 需要出站连接。 为设备托管组件拉取项目。
Microsoft 容器注册表 443 https://mcr.microsoft.com 管理计算机和设备 VM IP 需要出站连接。 下载 Arc 资源网桥的容器映像。
Microsoft 开放源代码包管理器 443 packages.microsoft.com 设备 VM IP 需要出站连接。 下载 Linux 安装包。
自定义位置 443 sts.windows.net 设备 VM IP 需要出站连接。 自定义位置群集扩展使用所需。
Python 包 443 pypi.org*.pypi.org 管理计算机需要出站连接。 验证 Kubernetes 和 Python 版本。
Azure CLI 443 pythonhosted.org*.pythonhosted.org 管理计算机需要出站连接。  用于 Azure CLI 安装的 Python 包。
诊断数据 443 gcs.prod.monitoring.core.windows.net 设备 VM IP 需要出站连接。 定期发送 Microsoft 所需的诊断数据。
Windows NTP 服务器 123 time.windows.com 设备 VM 和管理计算机(如果 Hyper-V 默认值为 Windows NTP)需要在 UDP 上建立出站连接 设备 VM 和管理计算机 (Windows NTP) 中的 OS 时间同步。

此外,SCVMM 还需要以下例外项:

服务 端口 URL 方向 说明
SCVMM 管理服务器 443 SCVMM 管理服务器的 URL。 设备 VM IP 和控制平面终结点需要出站连接。 由 SCVMM 服务器用来与设备 VM 和控制平面通信。
WinRM WinRM 端口号(默认值:5985 和 5986)。 WinRM 服务的 URL。 设备 VM 和控制平面使用的 IP 池中的 IP 需要与 VMM 服务器进行连接。 由 SCVMM 服务器用来与设备 VM 通信。

通常,连接要求包括以下原则:

  • 除非另有说明,否则所有连接都是 TCP 连接。
  • 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
  • 除非另有说明,否则所有连接都是出站连接。

若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。

有关 Azure ARC 功能和支持 Azure ARC 的服务的网络要求的完整列表,请参阅 AzureARC 网络要求(合并)

数据驻留

已启用 Azure Arc 的 SCVMM 不会在客户部署服务实例的区域之外存储/处理客户数据。

后续步骤

创建 Azure Arc VM