已啟用 Arc 的 System Center Virtual Machine Manager 概觀
已啟用 Azure Arc 的 System Center Virtual Machine Manager (SCVMM) 可讓 System Center 客戶將其 VMM 環境連線至 Azure,並從 Azure 入口網站 執行 VM 自助式作業。 已啟用 Azure Arc 的 SCVMM 會將 Azure 控制平面延伸至 SCVMM 受控基礎結構,讓 Azure 安全性、治理和管理功能一致地跨 System Center 受控資產和 Azure 使用。
已啟用 Azure Arc 的 System Center Virtual Machine Manager 也可讓您一致地管理混合式環境,並透過 Azure 入口網站 執行自助式 VM 作業。 針對 Microsoft Azure Pack 客戶,此解決方案是執行 VM 自助作業的替代方案。
已啟用 Arc 的 System Center VMM 可讓您:
- 執行各種 VM 生命週期作業,例如直接從 Azure 啟動、停止、暫停和刪除 SCVMM 受控 VM 上的 VM。
- 使用 Azure 角色型存取控制(RBAC),讓開發人員和應用程式小組視需要自行執行 VM 作業。
- 在 Azure 中瀏覽您的 VMM 資源(VM、範本、VM 網路和記憶體),為您提供兩個環境基礎結構的單一窗格檢視。
- 探索現有的 SCVMM 受控 VM 並將其上線至 Azure。
- 在SCVMM VM上大規模安裝Arc連接的機器代理程式,以 控管、保護、設定及監視它們。
注意
如需 Azure Arc 供應專案不同服務的詳細資訊,請參閱 為機器選擇正確的 Azure Arc 服務。
大規模將資源上線至 Azure 管理
適用於雲端的 Microsoft Defender、Azure 監視器、Azure 更新管理員和 Azure 原則 等 Azure 服務提供一組豐富的功能,可透過 Arc 保護、監視、修補及控管 Azure 資源。
藉由使用已啟用 Arc 的 SCVMM 功能來探索您的 SCVMM 受控資產,並大規模安裝 Arc 代理程式,您可以簡化將整個 System Center 資產上架到這些服務。
如何運作?
若要啟用 Arc 功能 System Center VMM 管理伺服器,請在 VMM 環境中部署 Azure Arc 資源網橋 。 Arc 資源網橋是將 VMM 管理伺服器連線至 Azure 的虛擬設備。 Azure Arc 資源網橋可讓您代表 Azure 中的 SCVMM 資源(雲端、VM、範本等),並對其執行各種作業。
架構
下圖顯示已啟用 Arc 的 SCVMM 架構:
已啟用 Arc 的 SCVMM 與已啟用 Arc 的伺服器如何不同
- 已啟用 Azure Arc 的伺服器會在客體作業系統層級上互動,而不知道基礎結構網狀架構及其執行位置的虛擬化平臺。 由於已啟用 Arc 的伺服器也支援裸機機器,因此在某些情況下,甚至可能不是主機 Hypervisor。
- 已啟用 Azure Arc 的 SCVMM 是已啟用 Arc 的伺服器超集,其會將客體作業系統以外的管理功能延伸至 VM 本身。 這會在 SCVMM VM 上提供生命週期管理和 CRUD (建立、讀取、更新和刪除) 作業。 這些生命週期管理功能會公開在 Azure 入口網站 中,看起來和感覺就像一般 Azure VM 一樣。 已啟用 Azure Arc 的 SCVMM 也提供客體作業系統管理,事實上,它會使用與已啟用 Azure Arc 的伺服器相同的元件。
您可以彈性地從任一選項開始,或稍後再納入另一個選項,而不會有任何中斷。 透過這兩個選項,您將享有相同的一致體驗。
支援的案例
已啟用 Azure Arc 的 SCVMM 支援下列案例:
- SCVMM 系統管理員可以將 VMM 實例連線至 Azure,並在 Azure 中瀏覽 SCVMM 虛擬機清查。
- 管理員 istrators 可以使用 Azure 入口網站 來流覽 SCVMM 清查,並將 SCVMM 雲端、虛擬機、VM 網路和 VM 範本註冊至 Azure。
- 管理員 istrators 可以透過 Azure RBAC,為這些 SCVMM 資源提供應用程式小組/開發人員精細的許可權。
- 應用程式小組可以使用 Azure 介面(入口網站、CLI 或 REST API)來管理用於部署其應用程式的內部部署 VM 生命週期(CRUD、啟動/停止/重新啟動)。
- 管理員 istrators 可以大規模在 SCVMM VM 上安裝 Arc 代理程式,並安裝對應的擴充功能,以使用 Azure 管理服務,例如 適用於雲端的 Microsoft Defender、Azure 更新管理員、Azure 監視器等。
注意
已啟用 Azure Arc 的 SCVMM 不支援由 SCVMM 管理的 VMware vCenter VM。 若要將 VMware VM 上線至 Azure Arc,建議您使用 已啟用 Azure Arc 的 VMware vSphere。
支援的 VMM 版本
已啟用 Azure Arc 的 SCVMM 可與 VMM 2019 和 2022 版本搭配運作,並支援最多 15,000 部 VM 的 SCVMM 管理伺服器。
支援的區域
下列區域目前支援已啟用 Azure Arc 的 SCVMM:
- 美國東部
- 美國東部 2
- 美國西部 2
- 美國西部 3
- 美國中部
- 美國中南部
- 英國南部
- 北歐
- 西歐
- 瑞典中部
- 東南亞
- 澳大利亞東部
資源網橋網路需求
Azure Arc 資源網橋 VM 需要下列防火牆 URL 例外狀況:
輸出連線
下列防火牆和 Proxy URL 必須列入允許清單,才能啟用從管理計算機、設備 VM 及控制平面 IP 到所需 Arc 資源網橋 URL 的通訊。
防火牆/Proxy URL 允許清單
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| SFS API 端點 | 443 | msk8s.api.cdp.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 從 SFS 下載產品目錄、產品位和 OS 映像。 |
| 資源網橋 (設備) 映射下載 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 下載 Arc Resource Bridge OS 映像。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 下載 Arc 資源網橋的容器映像。 |
| Windows NTP Server | 123 | time.windows.com |
管理機器和設備 VM IP(如果 Hyper-V 預設值為 Windows NTP),需要在 UDP 上進行輸出連線 | 設備 VM 和管理電腦中的 OS 時間同步處理(Windows NTP)。 |
| Azure Resource Manager | 443 | management.azure.com |
管理機器和設備 VM IP 需要輸出連線。 | 管理 Azure 中的資源。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | Azure RBAC 的必要專案。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理機器和設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| Azure Resource Manager | 443 | login.windows.net |
管理機器和設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| 資源網橋 (設備) 數據平面服務 | 443 | *.dp.prod.appliances.azure.com |
設備 VM IP 需要輸出連線。 | 與 Azure 中的資源提供者通訊。 |
| 資源網橋 (設備) 容器映射下載 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像的必要專案。 |
| 受控識別 | 443 | *.his.arc.azure.com |
設備 VM IP 需要輸出連線。 | 需要提取系統指派的受控識別憑證。 |
| 適用於 Kubernetes 的 Azure Arc 容器映像下載 | 443 | azurearcfork8s.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像。 |
| Azure Arc 代理程式 | 443 | k8connecthelm.azureedge.net |
設備 VM IP 需要輸出連線。 | 部署 Azure Arc 代理程式。 |
| ADHS 遙測服務 | 443 | adhs.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 定期從設備 VM 傳送 Microsoft 必要的診斷數據。 |
| Microsoft 事件數據服務 | 443 | v20.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 從 Windows 傳送診斷數據。 |
| Arc Resource Bridge 的記錄收集 | 443 | linuxgeneva-microsoft.azurecr.io |
設備 VM IP 需要輸出連線。 | 設備受控元件的推播記錄。 |
| 資源網橋元件下載 | 443 | kvamanagementoperator.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取設備受控元件的成品。 |
| Microsoft 開放原始碼 套件管理員 | 443 | packages.microsoft.com |
設備 VM IP 需要輸出連線。 | 下載 Linux 安裝套件。 |
| 自訂位置 | 443 | sts.windows.net |
設備 VM IP 需要輸出連線。 | 自定義位置的必要專案。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
設備 VM IP 需要輸出連線。 | Azure Arc 的必要專案。 |
| 自訂位置 | 443 | k8sconnectcsp.azureedge.net |
設備 VM IP 需要輸出連線。 | 自定義位置的必要專案。 |
| 診斷資料 | 443 | gcs.prod.monitoring.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| 診斷資料 | 443 | *.prod.microsoftmetrics.com |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| 診斷資料 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| 診斷資料 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| Azure 入口網站 | 443 | *.arc.azure.net |
設備 VM IP 需要輸出連線。 | 從 Azure 入口網站 管理叢集。 |
| Azure CLI 和擴充功能 | 443 | *.blob.core.windows.net |
管理計算機需要輸出連線。 | 下載 Azure CLI 安裝程式和擴充功能。 |
| Azure Arc 代理程式 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理計算機需要輸出連線。 | 用於 Arc 代理程式的數據平面。 |
| Python 套件 | 443 | pypi.org, *.pypi.org |
管理計算機需要輸出連線。 | 驗證 Kubernetes 和 Python 版本。 |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
管理計算機需要輸出連線。 | 適用於 Azure CLI 安裝的 Python 套件。 |
| SSH | 22 | Arc resource bridge appliance VM IPs |
管理計算機需要輸出連線。 | 用於針對設備 VM 進行疑難解答。 |
| Kubernetes API 伺服器 | 6443 | Arc resource bridge appliance VM IPs |
管理計算機需要輸出連線。 | 設備 VM 的管理。 |
此外,SCVMM 需要下列例外狀況:
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| SCVMM 管理伺服器 | 443 | SCVMM 管理伺服器的 URL。 | 設備 VM IP 和控制平面端點需要輸出連線。 | SCVMM 伺服器用來與設備 VM 和控制平面通訊。 |
| WinRM | WinRM 埠號碼 (預設值:5985 和 5986)。 | WinRM 服務的 URL。 | 設備 VM 和控制平面所使用的 IP 集區中的 IP 需要與 VMM 伺服器連線。 | SCVMM 伺服器用來與設備 VM 通訊。 |
一般而言,連線需求包括下列原則:
- 除非另有指定,否則所有連線都是 TCP。
- 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
- 除非另有指定,否則所有連線都會輸出。
若要使用 Proxy,請確認執行上線程式的代理程式和電腦符合本文中的網路需求。
如需 Azure Arc 功能和已啟用 Azure Arc 服務之網路需求的完整清單,請參閱 Azure Arc 網路需求(合併)。
資料落地
已啟用 Azure Arc 的 SCVMM 不會在客戶部署服務實例的區域之外儲存/處理客戶數據。