Azure Arc 資源網橋系統需求

  • 發行項

本文說明部署 Azure Arc 資源網橋的系統需求。

Arc 資源網橋與其他合作夥伴產品搭配使用,例如 Azure Stack HCI已啟用 Arc 的 VMware vSphere已啟用 Arc 的 System Center Virtual Machine Manager(SCVMM)。 這些產品可能會有其他需求。

必要的 Azure 權限

管理工具需求

需要 Azure CLI 才能在支援的私人雲端環境上部署 Azure Arc 資源網橋。

如果在 VMware 上部署 Arc 資源網橋,則必須在管理電腦上安裝 Azure CLI 64 位,才能執行部署命令。

如果在 Azure Stack HCI 上部署,則應該在管理電腦上安裝 Azure CLI 32 位。

Arc Appliance CLI 延伸模組 arcappliance必須安裝在 CLI 上。 執行下列作業即可完成: az extension add --name arcappliance

最低資源需求

Arc 資源網橋具有下列最低資源需求:

  • 50 GB 磁碟空間
  • 4 個 vCPU
  • 8 GB 記憶體

這些最低需求可啟用大部分案例。 不過,合作夥伴產品可能會支援 Arc 資源網橋的資源連線計數較高,這需要網橋具有較高的資源需求。 無法提供足夠的資源可能會導致部署期間發生錯誤,例如磁碟複製錯誤。 檢閱合作夥伴產品的檔,以取得特定資源需求。

IP 位址前置綴 (子網) 需求

部署 Arc 資源網橋的 IP 位址前綴(子網)需要 /29 的最小前置詞。 IP 位址前綴必須有足夠的可用 IP 位址,才能用於閘道 IP、控制平面 IP、設備 VM IP 和保留裝置 VM IP。 Arc 資源網橋只會使用指派給IP集區範圍的IP位址(起始IP、結束IP)和控制平面IP。 我們建議您立即遵循 [開始IP] 的 [結束IP]。 例如:啟動 IP =192.168.0.2、結束 IP = 192.168.0.3。 請與您的網路工程師合作,以確保 Arc 資源網橋具有必要可用 IP 位址和 IP 位址前綴的可用子網。

IP 位址前置碼是 CIDR 表示法中虛擬網路和子網遮罩 (IP Mask) 的子網 IP 位址範圍,例如 192.168.7.1/29。 在建立 Arc 資源網橋的組態檔時,您會提供 IP 位址前置詞 (CIDR 表示法)。

請洽詢您的網路工程師,以取得 CIDR 表示法中的 IP 位址前綴。 IP 子網 CIDR 計算機可用來取得此值。

靜態IP組態

如果將 Arc 資源網橋部署至生產環境,則必須在部署 Arc 資源網橋時使用靜態設定。 靜態IP組態可用來將三個靜態IP指派給Arc資源網橋控制平面、設備 VM 和保留設備 VM。

只有在測試環境中才支援 DHCP,以便只針對 Azure Stack HCI 上的 VM 管理進行測試。 它不應該用於生產環境。 任何其他已啟用 Arc 的私人雲端都不支援 DHCP,包括已啟用 Arc 的 VMware、AVS 的 Arc 或已啟用 Arc 的 SCVMM。

如果使用 DHCP,您必須保留控制平面和設備 VM 所使用的 IP 位址。 此外,這些 IP 必須超出可指派的 DHCP IP 範圍。 例如:控制平面IP應視為保留/靜態IP,網路上沒有其他電腦將使用或接收 DHCP。 如果控制平面IP或設備 VM IP 變更,這會影響資源網橋可用性和功能。

管理機器需求

用來執行命令以部署和維護Arc資源網橋的電腦稱為 管理機器

管理機器需求:

  • 已安裝 Azure CLI x64

  • 開啟對控制平面IP的通訊

  • 與設備 VM IP 的通訊(SSH TCP 連接埠 22、Kubernetes API 埠 6443)

  • 與保留設備 VM IP 的通訊(SSH TCP 連接埠 22、Kubernetes API 連接埠 6443)

  • 透過埠 443 與私人雲端管理控制台的通訊(例如:VMware vCenter 機器)

  • 內部和外部 DNS 解析。 DNS 伺服器必須解析內部名稱,例如 vSphere 的 vCenter 端點或 Azure Stack HCI 的雲端代理程式服務端點。 DNS 伺服器也必須能夠解析部署所需 URL 的外部位址

  • 網際網路存取

設備 VM IP 位址需求

Arc 資源網橋是由內部部署的設備 VM 所組成。 設備 VM 可查看內部部署基礎結構,並可標記內部部署資源(來賓管理),以投影至 Azure Resource Manager (ARM)。 設備 VM 會從 k8snodeippoolstart 命令中的 createconfig 參數指派 IP 位址。 合作夥伴產品中可能會將其稱為 [開始範圍 IP]、[RB IP 開始] 或 [VM IP 1]。 設備 VM IP 是設備 VM IP 集區的起始 IP 位址;因此,當您第一次部署 Arc 資源網橋時,這是最初指派給設備 VM 的 IP。 VM IP 集區範圍至少需要 2 個 IP 位址。

裝置 VM IP 位址需求:

  • 與管理機器通訊(SSH TCP 埠 22、Kubernetes API 連接埠 6443)

  • 透過埠 443 與私人雲端管理端點通訊(例如 VMware vCenter)。

  • 在 Proxy/防火牆中啟用所需 URL 的因特網連線

  • 已指派靜態IP,並在IP位址前綴內。

  • 內部和外部 DNS 解析。

  • 如果使用 Proxy,則必須從此 IP 和 VM IP 集區中的所有 IP 連線 Proxy 伺服器。

保留設備 VM IP 需求

Arc 資源網橋會保留用於設備 VM 升級的額外 IP 位址。 保留設備 VM IP 會透過 k8snodeippoolend 命令中的 az arcappliance createconfig 參數指派 IP 位址。 此IP位址可稱為「結束範圍IP」、「RB IP 結束」或「VM IP 2」。 保留設備 VM IP 是設備 VM IP 集區範圍的結束 IP 位址。 第一次升級設備 VM 時,這是指派給設備 VM 升級後的 IP,並將初始設備 VM IP 傳回至 IP 集區,以供日後升級使用。 如果指定大於兩個IP位址的IP集區範圍,則會保留額外的IP。

保留裝置 VM IP 需求:

  • 與管理機器通訊(SSH TCP 埠 22、Kubernetes API 連接埠 6443)

  • 透過埠 443 與私人雲端管理端點通訊(例如 VMware vCenter)。

  • 在 Proxy/防火牆中啟用所需 URL 的因特網連線

  • 已指派靜態IP,並在IP位址前綴內。

  • 內部和外部 DNS 解析。

  • 如果使用 Proxy,則必須從此 IP 和 VM IP 集區中的所有 IP 連線 Proxy 伺服器。

控制平面IP需求

設備 VM 會裝載管理 Kubernetes 叢集,其中包含需要單一靜態 IP 位址的控制平面。 這個IP是從 controlplaneendpoint 命令中的 createconfig 參數指派,或對等的組態檔建立命令。

控制平面IP需求:

  • 與管理機器通訊(SSH TCP 埠 22、Kubernetes API 埠 6443)。

  • 指派的靜態 IP 位址,並在 IP 位址前綴內。

  • 如果使用 Proxy,Proxy 伺服器必須可從 IP 位址前綴內的 IP 連線,包括保留設備 VM IP。

DNS 伺服器

DNS 伺服器必須具有內部和外部端點解析。 設備 VM 和控制平面需要解析管理機器,反之亦然。 這三個IP都必須能夠連線到部署所需的URL。

閘道

閘道IP是部署Arc資源網橋之網路的閘道IP。 網關IP應該是IP位址前綴中所指定子網內的IP。

靜態IP部署的最小組態範例

下列範例顯示可在建立Arc資源網橋的組態檔期間傳遞的有效組態值。

請注意,閘道、控制平面、設備 VM 和 DNS 伺服器的 IP 位址位於 IP 位址前綴內。 VM IP 集區開始/結束是循序的。 此重要詳細數據有助於確保設備 VM 的成功部署。

IP 位址前置綴 (CIDR 格式): 192.168.0.0/29

閘道 IP:192.168.0.1

VM IP 集區開始時間(IP 格式):192.168.0.2

VM IP 集區結束 (IP 格式):192.168.0.3

控制平面IP:192.168.0.4

DNS 伺服器(IP 清單格式):192.168.0.1、10.0.0.5、10.0.0.6

用戶帳戶和認證

Arc 資源網橋可能需要具有必要角色的個別用戶帳戶,才能檢視和管理內部部署基礎結構中的資源(例如已啟用 Arc 的 VMware vSphere)。 如果是,在建立組態檔期間, username 將需要 和 password 參數。 然後帳戶認證會儲存在設備 VM 本機的組態檔中。

警告

Arc 資源網橋只能使用未啟用多重要素驗證的用戶帳戶。 如果使用者帳戶設定為定期變更密碼, 則必須在資源網橋上立即更新認證。 您也可以使用鎖定原則來設定此用戶帳戶,以保護內部部署基礎結構,以防認證未更新,而資源網橋會多次嘗試使用過期的認證來存取內部部署控制中心。

例如,使用已啟用 Arc 的 VMware,Arc 資源網橋需要具有必要角色的 vCenter 個別用戶帳戶。 如果使用者帳戶的認證變更,則必須從管理計算機執行 az arcappliance update-infracredentials ,立即更新儲存在Arc資源網橋中的認證。 否則,設備會重複嘗試使用過期的認證來存取 vCenter,這會導致帳戶鎖定。

組態檔

Arc 資源網橋是由內部部署基礎結構中部署的設備 VM 所組成。 若要維護設備 VM,部署期間產生的組態檔必須儲存在安全的位置,並在管理計算機上提供。

根據內部部署基礎結構,有數種不同類型的組態檔。

設備組態檔

部署 Arc 資源網橋時會建立三個組態檔: <appliance-name>-resource.yaml<appliance-name>-appliance.yaml<appliance-name>-infra.yaml

根據預設,這些檔案會在執行部署命令的目前 CLI 目錄中產生。 這些檔案應該儲存在管理計算機上,因為它們需要維護設備 VM。 組態檔會彼此參考,而且應該儲存在相同的位置。

Kubeconfig

設備 VM 裝載管理 Kubernetes 叢集。 kubeconfig 是低許可權 Kubernetes 組態檔,用來維護設備 VM。 根據預設,它會在命令完成時 deploy ,在目前的 CLI 目錄中產生。 kubeconfig 應該儲存在管理計算機上的安全位置,因為它需要維護設備 VM。 如果 kubeconfig 遺失,則可以執行 az arcappliance get-credentials 命令來擷取它。

HCI 登入設定檔 (僅限 Azure Stack HCI)

Arc 資源網橋會使用名為 KVA 令牌的 MOC 登入認證 (kvatoken.tok) 來與 Azure Stack HCI 互動。 部署 Arc 資源網橋時,KVA 令牌會隨著設備組態檔產生。 收集Arc資源網橋的記錄時也會使用此令牌,因此它應該與設備組態檔的其餘部分一起儲存在安全的位置。 此檔案會儲存在組態檔建立或預設 CLI 目錄期間提供的目錄中。

下一步