已啟用 Azure Arc 的 VMware vSphere 的支援矩陣
本文說明使用已啟用 Azure Arc 的 VMware vSphere 透過 Azure Arc 來管理 VMware vSphere VM 的必要條件和支援需求。
若要使用已啟用 Arc 的 VMware vSphere,您必須在 VMware vSphere 環境中部署 Azure Arc 資源橋接器。 資源橋接器會提供 VMware vCenter Server 與 Azure 之間的持續連線。 將 VMware vCenter Server 連線至 Azure 後,資源橋接器上的元件就會探索您的 vCenter 清查。 您可以在 Azure 中加以啟用,並使用 Azure Arc 開始對其執行虛擬硬體和客體 OS 作業。
VMware vSphere 需求
必須符合下列需求,才能使用已啟用 Azure Arc 的 VMware vSphere。
支援的 vCenter Server 版本
已啟用 Azure Arc 的 VMware vSphere 可與 vCenter Server 第 7 版和第 8 版搭配運作。
注意
已啟用 Azure Arc 的 VMware vSphere 目前支援最多有 9500 個 VM 的 vCenter。 如果您的 vCenter 有超過 9500 個 VM,目前不建議對其使用已啟用 Arc 的 VMware vSphere。
必要的 vSphere 帳戶權限
您需要可執行下列動作的 vSphere帳戶:
- 讀取所有清查。
- 將 VM 部署至所有要與 Azure Arc 搭配使用的資源集區 (或叢集)、網路和 VM 範本,並加以更新。
重要
在已啟用 Azure Arc 的 VMware 上線指令碼中,系統會提示您提供 vSphere 帳戶,以在 ESXi 主機上部署 Azure Arc 資源橋接器 VM。 此帳戶會儲存在本機 Azure Arc 資源橋接器 VM 中,並以待用 Kubernetes 秘密加密。 vSphere 帳戶可讓已啟用 Azure Arc 的 VMware 與 VMware vSphere 互動。 如果您的組織實行例行認證輪替,您必須更新已啟用 Azure Arc 的 VMware 中的認證,以維護已啟用 Azure Arc 的 VMware 與 VMware vSphere 之間的連線。
資源橋接器資源需求
對於已啟用 Arc 的 VMware vSphere,資源橋接器具有下列最低虛擬硬體需求:
- 8 GB 的記憶體
- 4 個 vCPU
- 可讓您直接存取網際網路或透過 Proxy 存取的外部虛擬交換器。 如果是透過 Proxy 或防火牆存取網際網路,請確定這些 URL 已列入允許清單中。
資源橋接器網路需求
一般而言,連線需求包括下列原則:
- 所有連線皆為 TCP,除非另有指定。
- 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
- 所有連線皆為輸出,除非另有指定。
若要使用 Proxy,請確認執行上線程序的代理程式和機器符合本文中的網路需求。
Azure Arc 資源橋接器 VM 需要下列防火牆 URL 例外狀況:
輸出連線能力需求
以下防火牆和 Proxy URL 必須列入允許清單中,才能啟用從管理機器、設備 VM 及控制平面 IP 到必要 Arc 資源橋接器 URL 的通訊。
防火牆/Proxy URL 允許清單
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| SFS API 端點 | 443 | msk8s.api.cdp.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 從 SFS 下載產品目錄、產品位元和 OS 映像。 |
| 資源橋接器 (設備) 映像下載 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 下載 Arc Resource Bridge OS 映射。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 探索 Arc 資源橋接器的容器映像。 |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 下載 Arc 資源橋接器的容器映像。 |
| Windows NTP 伺服器 | 123 | time.windows.com |
管理機器與設備 VM IP (如果 Hyper-V 預設值為 Windows NTP) 需要透過 UDP 的輸出連線 | 設備 VM 與管理機器 (Windows NTP) 中的 OS 時間同步。 |
| Azure Resource Manager | 443 | management.azure.com |
管理機器與設備 VM IP 需要輸出連線。 | 管理 Azure 中的資源。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | Azure RBAC 的必要項目。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理機器與設備 VM IP 需要輸出連線。 | 更新 ARM 權杖的必要項目。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 更新 ARM 權杖的必要項目。 |
| Azure Resource Manager | 443 | login.windows.net |
管理機器與設備 VM IP 需要輸出連線。 | 更新 ARM 權杖的必要項目。 |
| 資源橋接器 (設備) 資料平面服務 | 443 | *.dp.prod.appliances.azure.com |
設備 VM IP 需要輸出連線。 | 與 Azure 中的資源提供者通訊。 |
| 資源橋接器 (設備) 容器映像下載 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像的必要項目。 |
| 受控識別 | 443 | *.his.arc.azure.com |
設備 VM IP 需要輸出連線。 | 提取系統指派受控識別憑證的必要項目。 |
| 適用於 Kubernetes 的 Azure Arc 容器映像下載 | 443 | azurearcfork8s.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像。 |
| Azure Arc 代理程式 | 443 | k8connecthelm.azureedge.net |
設備 VM IP 需要輸出連線。 | 部署 Azure Arc 代理程式。 |
| ADHS 遙測服務 | 443 | adhs.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 定期從設備 VM 傳送 Microsoft 所需的診斷資料。 |
| Microsoft 事件資料服務 | 443 | v20.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 從 Windows 傳送診斷資料。 |
| Arc 資源橋接器的記錄集合 | 443 | linuxgeneva-microsoft.azurecr.io |
設備 VM IP 需要輸出連線。 | 推送設備受控元件的記錄。 |
| 資源橋接器元件下載 | 443 | kvamanagementoperator.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取設備受控元件的成品。 |
| Microsoft 開放原始碼套件管理員 | 443 | packages.microsoft.com |
設備 VM IP 需要輸出連線。 | 下載 Linux 安裝套件。 |
| 自訂位置 | 443 | sts.windows.net |
設備 VM IP 需要輸出連線。 | 自訂位置的必要項目。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
設備 VM IP 需要輸出連線。 | Azure Arc 的必要項目。 |
| 自訂位置 | 443 | k8sconnectcsp.azureedge.net |
設備 VM IP 需要輸出連線。 | 自訂位置的必要項目。 |
| 診斷資料 | 443 | gcs.prod.monitoring.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| 診斷資料 | 443 | *.prod.microsoftmetrics.com |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| 診斷資料 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| 診斷資料 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| Azure 入口網站 | 443 | *.arc.azure.net |
設備 VM IP 需要輸出連線。 | 從 Azure 入口網站管理叢集。 |
| Azure CLI 與延伸模組 | 443 | *.blob.core.windows.net |
管理機器需要輸出連線。 | 下載 Azure CLI 安裝程式和延伸模組。 |
| Azure Arc 代理程式 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理機器需要輸出連線。 | 用於 Arc 代理程式的資料平面。 |
| Python 套件 | 443 | pypi.org, *.pypi.org |
管理機器需要輸出連線。 | 驗證 Kubernetes 和 Python 版本。 |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
管理機器需要輸出連線。 | 適用於 Azure CLI 安裝的 Python 套件。 |
輸入連線能力需求
必須允許從管理機器、設備 VM IP 和控制平面 IP 進行下列連接埠之間的通訊。 請確定這些連接埠已開啟,且流量不會透過 Proxy 路由傳送,以利 Arc 資源橋接器的部署和維護。
| 服務 | 通訊埠 | IP/機器 | 方向 | 注意事項 |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs 和 Management machine |
雙向 | 用於部署及維護設備 VM。 |
| Kubernetes API 伺服器 | 6443 | appliance VM IPs 和 Management machine |
雙向 | 管理設備 VM。 |
| SSH | 22 | control plane IP 和 Management machine |
雙向 | 用於部署及維護設備 VM。 |
| Kubernetes API 伺服器 | 6443 | control plane IP 和 Management machine |
雙向 | 管理設備 VM。 |
| HTTPS | 443 | private cloud control plane address 和 Management machine |
管理機器需要輸出連線。 | 與控制平面通訊 (例如:VMware vCenter 位址)。 |
此外,VMware VSphere 需要下列各項:
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| vCenter Server | 443 | vCenter Server 的 URL | 設備 VM IP 和控制平面端點都需要輸出連線。 | 供 vCenter Server 用來與設備 VM 和控制平面通訊。 |
| VMWare 叢集延伸模組 | 443 | azureprivatecloud.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取 Microsoft.VMWare 和 Microsoft.AVS 叢集延伸模組的容器影像。 |
| Azure CLI 和 Azure CLI 延伸模組 | 443 | *.blob.core.windows.net |
管理機器需要輸出連線。 | 下載 Azure CLI 安裝程式和 Azure CLI 延伸模組。 |
| Azure Resource Manager | 443 | management.azure.com |
管理機器需要輸出連線。 | 需要使用 ARM 在 Azure 中建立/更新資源。 |
| 適用於 Azure Arc 代理程式的 Helm 圖表 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理機器需要輸出連線。 | 用來下載 Arc 代理程式設定資訊的資料平面端點。 |
| Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
管理機器需要輸出連線。 | 擷取和更新 Azure Resource Manager 權杖的必要項目。 |
如需 Azure Arc 功能和已啟用 Azure Arc 的服務的網路需求完整清單,請參閱 Azure Arc 網路需求 (合併)。
Azure 角色/權限需求
與已啟用 Arc 的 VMware vSphere 相關的作業所需的最低 Azure 角色如下:
| 運算 | 所需的最低角色 | 範圍 |
|---|---|---|
| 將 vCenter Server 上線至 Arc | Azure Arc VMware 私人雲端上線 | 在您要上線到的訂用帳戶或資源群組上 |
| 管理已啟用 Arc 的 VMware vSphere | Azure Arc VMware 管理員 | 在建立 vCenter Server 資源的訂用帳戶或資源群組上 |
| VM 佈建 | Azure Arc VMware 私人雲端使用者 | 在包含資源集區/叢集/主機、資料存放區和虛擬網路資源的訂用帳戶或資源群組上,或在資源本身上 |
| VM 佈建 | Azure Arc VMware VM 參與者 | 在要佈建 VM 的訂用帳戶或資源群組上 |
| VM 作業 | Azure Arc VMware VM 參與者 | 在包含 VM 的訂用帳戶或資源群組上,或在 VM 本身上 |
在相同範圍具有較高權限的任何角色 (例如擁有者或參與者),也都可讓您執行上述作業。
來賓管理 (Arc 代理程式) 需求
透過已啟用 Arc 的 VMware vSphere,您可以在 VM 上大規模安裝 Arc 連線的機器代理程式,並在 VM 上使用 Azure 管理服務。 此功能還有其他需求。
若要啟用來賓管理 (安裝 Arc 連線的機器代理程式),請確定下列事項:
- VM 已開啟電源。
- VM 已安裝 VMware 工具並執行中。
- 資源橋接器可存取 VM 執行所在的主機。
- VM 正在執行支援的作業系統。
- VM 可直接連線至網際網路或透過 Proxy 連線。 如果是透過 Proxy 連線,請確定這些 URL 已列入允許清單中。
此外,請確定已符合下列需求,以啟用來賓管理。
受支援的作業系統
請確定您使用的是 Azure Connected Machine 代理程式正式支援的 Windows 或 Linux 作業系統版本。 只有 x86-64 (64 位元) 架構受支援。 x86 (32 位元) 和 ARM 型架構 (包括 arm64 上的 x86-64 列舉) 並非支援的作業環境。
軟體需求
Windows 作業系統:
- 需要 .NET Framework 4.6 或更新版本。 下載 .NET Framework。
- 需要 Windows PowerShell 5.1。 下載 Windows Management Framework 5.1。
Linux 作業系統:
- systemd
- wget (下載安裝指令碼)
網路需求
Azure Arc 代理程式需要下列防火牆 URL 例外狀況:
| URL | 說明 |
|---|---|
aka.ms |
用來在安裝期間解析下載指令碼 |
packages.microsoft.com |
用來下載 Linux 安裝套件 |
download.microsoft.com |
用來下載 Windows 安裝套件 |
login.windows.net |
Microsoft Entra ID |
login.microsoftonline.com |
Microsoft Entra ID |
pas.windows.net |
Microsoft Entra ID |
management.azure.com |
Azure Resource Manager - 建立或刪除 Arc 伺服器資源 |
*.his.arc.azure.com |
中繼資料和混合式識別服務 |
*.guestconfiguration.azure.com |
延伸模組管理和客體設定服務 |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
延伸模組和連線案例的通知服務 |
azgn*.servicebus.windows.net |
延伸模組和連線案例的通知服務 |
*.servicebus.windows.net |
用於 Windows Admin Center 和 SSH 案例 |
*.blob.core.windows.net |
已啟用 Azure Arc 的伺服器延伸模組的下載來源 |
dc.services.visualstudio.com |
代理程式遙測 |