已啟用 Arc 的 System Center Virtual Machine Manager 的概觀
已啟用 Azure Arc 的 System Center Virtual Machine Manager (SCVMM),可讓 System Center 客戶將其 VMM 環境連線到 Azure,並從 Azure 入口網站執行 VM 自助作業。 已啟用 Azure Arc 的 SCVMM 可將 Azure 控制平面延伸至 SCVMM 受控基礎結構,讓您能夠在 System Center 受控資產與 Azure 間一致地使用 Azure 安全性、治理和管理功能。
已啟用 Azure Arc 的 System Center Virtual Machine Manager 也可讓您透過 Azure 入口網站以一致的方式管理混合式環境,以及執行自助 VM 作業。 對於 Microsoft Azure Pack 客戶,此解決方案旨在作為執行 VM 自助作業的替代方案。
已啟用 Arc 的 System Center VMM 可讓您:
- 執行各種 VM 生命週期作業,例如直接從 Azure 啟動、停止、暫停及刪除 SCVMM 受控 VM 上的 VM。
- 讓開發人員和應用程式小組能夠使用 Azure 角色型存取控制 (RBAC) 自主執行 VM 作業。
- 在 Azure 中瀏覽 VMM 資源 (VM、範本、VM 網路和儲存體),讓您以單一窗格檢視兩個環境的基礎結構。
- 探索現有的 SCVMM 受控 VM,並將其上線至 Azure。
- 在 SCVMM VM 上大規模安裝已連接 Arc 的機器代理程式,以治理、保護、設定和監視 VM。
注意
如需 Azure Arc 供應專案不同服務的詳細資訊,請參閱 為機器選擇正確的 Azure Arc 服務。
大規模將資源上線至 Azure 管理
Azure 服務 (例如,適用於雲端的 Microsoft Defender、Azure 監視器、Azure 更新管理員和 Azure 原則) 提供一組豐富的功能,讓您可以透過 Arc 來保護、監視、修補及治理 Azure 外部資源。
使用已啟用 Arc 的 SCVMM 功能來探索您的 SCVMM 受控資產,並大規模安裝 Arc 代理程式,可以簡化將整個 System Center 資產上線至這些服務的流程。
如何運作?
若要啟用 System Center VMM 管理伺服器中的 Arc 服務,請在 VMM 環境中部署 Azure Arc 資源橋接器。 Arc 資源橋接器是虛擬設備,可將 VMM 管理伺服器連線至 Azure。 Azure Arc 資源橋接器可讓您在 Azure 中顯示 SCVMM 資源 (雲端、VM、範本等),並對其執行各種作業。
架構
下圖顯示已啟用 Arc 的 SCVMM 結構:
已啟用 Arc 的 SCVMM 與已啟用 Arc 的伺服器有何不同
- 已啟用 Azure Arc 的伺服器會在客體作業系統層級上互動,而無須知悉其執行所在的基礎結構網狀架構和虛擬化平台。 由於已啟用 Arc 的伺服器也支援裸機機器,因此在某些情況下,甚至可能沒有主機 Hypervisor。
- 已啟用 Azure Arc 的 SCVMM 是已啟用 Arc 的伺服器的超集,可將管理功能擴充到客體作業系統以外的 VM 本身。 這會在 SCVMM VM 上提供生命週期管理和 CRUD (建立、讀取、更新和刪除) 作業。 這些生命週期管理功能公開於 Azure 入口網站中,外觀和風格就像一般的 Azure VM 一樣。 已啟用 Azure Arc 的 SCVMM 也提供客體作業系統管理;事實上,它會使用與已啟用 Azure Arc 的伺服器相同的元件。
您可以靈活地從任一選項開始,或後續再納入另一個選項,而不造成任何干擾。 有了這兩個選項,您將享有相同的一致體驗。
支援的案例
已啟用 Azure Arc 的 SCVMM 支援下列案例:
- SCVMM 管理員可以將 VMM 執行個體連線至 Azure,並在 Azure 中瀏覽 SCVMM 虛擬機器詳細目錄。
- 管理員可以使用 Azure 入口網站來瀏覽 SCVMM 詳細目錄,並將 SCVMM 雲端、虛擬機器、VM 網路和 VM 範本註冊到 Azure。
- 管理員可以透過 Azure RBAC,為應用程式小組/開發人員提供這些 SCVMM 資源的精細權限。
- 應用程式小組可以使用 Azure 介面 (入口網站、CLI 或 REST API),來管理可用於部署其應用程式的內部部署 VM 生命週期 (CRUD、啟動/停止/重新啟動)。
- 管理員可在 SCVMM VM 上大規模安裝 Arc 代理程式,並安裝對應的延伸模組以使用 Azure 管理服務,例如適用於雲端的 Microsoft Defender、Azure 更新管理員、Azure 監視器等等。
注意
已啟用 Azure Arc 的 SCVMM 不支援由 SCVMM 管理的 VMware vCenter VM。 若要將 VMware VM 上線至 Azure Arc,建議您使用已啟用 Azure Arc 的 VMware vSphere。
支援的 VMM 版本
已啟用 Azure Arc 的 SCVMM 可與 VMM 2019 和 2022 版本搭配運作,且支援最多具有 15,000 個 VM 的 SCVMM 管理伺服器。
支援的區域
目前,下列區域支援已啟用 Azure Arc 的 SCVMM:
- 美國東部
- 美國東部 2
- 美國西部 2
- 美國西部 3
- 美國中部
- 美國中南部
- 英國南部
- 北歐
- 西歐
- 瑞典中部
- 東南亞
- 澳大利亞東部
資源橋接器網路需求
Azure Arc 資源橋接器 VM 需要下列防火牆 URL 例外狀況:
輸出連線需求
以下防火牆和 Proxy URL 必須列入允許清單中,才能啟用從管理機器、設備 VM 及控制平面 IP 到必要 Arc 資源橋接器 URL 的通訊。
防火牆/Proxy URL 允許清單
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| SFS API 端點 | 443 | msk8s.api.cdp.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 從 SFS 下載產品目錄、產品位元和 OS 映像。 |
| 資源橋接器 (設備) 映像下載 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 下載 Arc Resource Bridge OS 映射。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 下載 Arc 資源橋接器的容器映像。 |
| Windows NTP 伺服器 | 123 | time.windows.com |
管理機器和設備 VM IP(如果 Hyper-V 預設值為 Windows NTP),需要在 UDP 上進行輸出連線 | 設備 VM 與管理機器 (Windows NTP) 中的 OS 時間同步。 |
| Azure Resource Manager | 443 | management.azure.com |
管理機器與設備 VM IP 需要輸出連線。 | 管理 Azure 中的資源。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | Azure RBAC 的必要專案。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理機器與設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| Azure Resource Manager | 443 | login.windows.net |
管理機器與設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| 資源橋接器 (設備) 資料平面服務 | 443 | *.dp.prod.appliances.azure.com |
設備 VM IP 需要輸出連線。 | 與 Azure 中的資源提供者通訊。 |
| 資源橋接器 (設備) 容器映像下載 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像的必要項目。 |
| 受控識別 | 443 | *.his.arc.azure.com |
設備 VM IP 需要輸出連線。 | 提取系統指派受控識別憑證的必要項目。 |
| 適用於 Kubernetes 的 Azure Arc 容器映像下載 | 443 | azurearcfork8s.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像。 |
| Azure Arc 代理程式 | 443 | k8connecthelm.azureedge.net |
設備 VM IP 需要輸出連線。 | 部署 Azure Arc 代理程式。 |
| ADHS 遙測服務 | 443 | adhs.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 定期從設備 VM 傳送 Microsoft 所需的診斷資料。 |
| Microsoft 事件資料服務 | 443 | v20.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 從 Windows 傳送診斷數據。 |
| Arc 資源橋接器的記錄集合 | 443 | linuxgeneva-microsoft.azurecr.io |
設備 VM IP 需要輸出連線。 | 推送設備受控元件的記錄。 |
| 資源橋接器元件下載 | 443 | kvamanagementoperator.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取設備受控元件的成品。 |
| Microsoft 開放原始碼套件管理員 | 443 | packages.microsoft.com |
設備 VM IP 需要輸出連線。 | 下載 Linux 安裝套件。 |
| 自訂位置 | 443 | sts.windows.net |
設備 VM IP 需要輸出連線。 | 自定義位置的必要專案。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
設備 VM IP 需要輸出連線。 | Azure Arc 的必要專案。 |
| 自訂位置 | 443 | k8sconnectcsp.azureedge.net |
設備 VM IP 需要輸出連線。 | 自定義位置的必要專案。 |
| 診斷資料 | 443 | gcs.prod.monitoring.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| 診斷資料 | 443 | *.prod.microsoftmetrics.com |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| 診斷資料 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| 診斷資料 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| Azure 入口網站 | 443 | *.arc.azure.net |
設備 VM IP 需要輸出連線。 | 從 Azure 入口網站 管理叢集。 |
| Azure CLI 和擴充功能 | 443 | *.blob.core.windows.net |
管理機器需要輸出連線。 | 下載 Azure CLI 安裝程式和擴充功能。 |
| Azure Arc 代理程式 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理機器需要輸出連線。 | 用於 Arc 代理程式的數據平面。 |
| Python 套件 | 443 | pypi.org, *.pypi.org |
管理機器需要輸出連線。 | 驗證 Kubernetes 和 Python 版本。 |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
管理機器需要輸出連線。 | 適用於 Azure CLI 安裝的 Python 套件。 |
輸入連線需求
您必須在防火牆/Proxy 中列出下列埠,才能啟用管理計算機、設備 VM IP 和控制平面 IP 之間的通訊。 請確定這些埠已開啟,以利Arc資源網橋的部署和維護。
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs 和 Management machine |
雙向 | 用於部署和維護設備 VM。 |
| Kubernetes API 伺服器 | 6443 | appliance VM IPs 和 Management machine |
雙向 | 設備 VM 的管理。 |
| HTTPS | 443 | private cloud management console |
管理機器需要輸出連線。 | 與管理控制台通訊(例如 VMware vCenter Server)。 |
此外,SCVMM 需要下列例外:
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| SCVMM 管理伺服器 | 443 | SCVMM 管理伺服器的 URL。 | 設備 VM IP 和控制平面端點都需要輸出連線。 | 供 SCVMM 伺服器用來與設備 VM 和控制平面通訊。 |
| WinRM | WinRM 連接埠號碼 (預設值:5985 和 5986)。 | WinRM 服務的 URL。 | 設備 VM 和控制平面所使用的 IP 集區中的 IP 需要與 VMM 伺服器連線。 | 供 SCVMM 伺服器用來與設備 VM 通訊。 |
一般而言,連線需求包括下列原則:
- 所有連線皆為 TCP,除非另有指定。
- 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
- 所有連線皆為輸出,除非另有指定。
若要使用 Proxy,請確認執行上線程序的代理程式和機器符合本文中的網路需求。
如需 Azure Arc 功能和已啟用 Azure Arc 的服務的網路需求完整清單,請參閱 Azure Arc 網路需求 (合併)。
資料落地
已啟用 Azure Arc 的 SCVMM 不會在客戶部署服務執行個體所在區域以外的位置儲存/處理客戶資料。