已啟用 Azure Arc 的 VMware vSphere 支援矩陣
本文記載使用 已啟用 Azure Arc 的 VMware vSphere 透過 Azure Arc 管理 VMware vSphere VM 的必要條件和支援需求。
若要使用啟用 Arc 的 VMware vSphere,您必須在 VMware vSphere 環境中部署 Azure Arc 資源橋接器。 資源橋接器提供 VMware vCenter Server 與 Azure 之間的持續連線。 將 VMware vCenter Server 連線至 Azure 之後,資源橋接器上的元件就會探索您的 vCenter 詳細目錄。 您可以在 Azure 中啟用它們,並使用 Azure Arc 開始執行虛擬硬體和客體 OS 作業。
VMware vSphere 需求
必須符合下列需求,才能使用已啟用 Azure Arc 的 VMware vSphere。
支援的 vCenter Server 版本
已啟用 Azure Arc 的 VMware vSphere 可與 vCenter Server 7 和 8 版搭配運作。
注意
已啟用 Azure Arc 的 VMware vSphere 目前支援最多 9500 部 VM 的 vCenters。 如果您的 vCenter 有超過 9500 部 VM,則目前不建議使用已啟用 Arc 的 VMware vSphere。
必要的 vSphere 帳戶許可權
您需要 vSphere 帳戶,才能:
- 讀取所有清查。
- 將 VM 部署和更新至您想要搭配 Azure Arc 使用的所有資源集區(或叢集)、網路和 VM 範本。
此帳戶用於已啟用 Azure Arc 的 VMware vSphere 持續作業,以及部署 Azure Arc 資源網橋 VM。
重要
如果在上線之後對 vSphere 帳戶的認證有任何變更,請遵循 下列步驟 來更新 Arc Resource Bridge 和 VMware 叢集延伸模組中的認證。
資源網橋資源需求
針對已啟用 Arc 的 VMware vSphere,資源網橋具有下列最低虛擬硬體需求:
- 16 GB 的記憶體
- 4 個 vCPU
- 外部虛擬交換器,可直接或透過 Proxy 存取因特網。 如果因特網存取是透過 Proxy 或防火牆,請確定 這些 URL 已允許列出。
資源網橋網路需求
一般而言,連線需求包括下列原則:
- 除非另有指定,否則所有連線都是 TCP。
- 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
- 除非另有指定,否則所有連線都會輸出。
若要使用 Proxy,請確認執行上線程式的代理程式和電腦符合本文中的網路需求。
Azure Arc 資源網橋 VM 需要下列防火牆 URL 例外狀況:
輸出連線
下列防火牆和 Proxy URL 必須列入允許清單,才能啟用從管理計算機、設備 VM 及控制平面 IP 到所需 Arc 資源網橋 URL 的通訊。
防火牆/Proxy URL 允許清單
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| SFS API 端點 | 443 | msk8s.api.cdp.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 從 SFS 下載產品目錄、產品位和 OS 映像。 |
| 資源網橋 (設備) 映射下載 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 下載 Arc Resource Bridge OS 映像。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 下載 Arc 資源網橋的容器映像。 |
| Windows NTP Server | 123 | time.windows.com |
管理機器和設備 VM IP(如果 Hyper-V 預設值為 Windows NTP),需要在 UDP 上進行輸出連線 | 設備 VM 和管理電腦中的 OS 時間同步處理(Windows NTP)。 |
| Azure Resource Manager | 443 | management.azure.com |
管理機器和設備 VM IP 需要輸出連線。 | 管理 Azure 中的資源。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | Azure RBAC 的必要專案。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理機器和設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理機器和設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| Azure Resource Manager | 443 | login.windows.net |
管理機器和設備 VM IP 需要輸出連線。 | 需要更新 ARM 令牌。 |
| 資源網橋 (設備) 數據平面服務 | 443 | *.dp.prod.appliances.azure.com |
設備 VM IP 需要輸出連線。 | 與 Azure 中的資源提供者通訊。 |
| 資源網橋 (設備) 容器映射下載 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像的必要專案。 |
| 受控識別 | 443 | *.his.arc.azure.com |
設備 VM IP 需要輸出連線。 | 需要提取系統指派的受控識別憑證。 |
| 適用於 Kubernetes 的 Azure Arc 容器映像下載 | 443 | azurearcfork8s.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像。 |
| Azure Arc 代理程式 | 443 | k8connecthelm.azureedge.net |
設備 VM IP 需要輸出連線。 | 部署 Azure Arc 代理程式。 |
| ADHS 遙測服務 | 443 | adhs.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 定期從設備 VM 傳送 Microsoft 必要的診斷數據。 |
| Microsoft 事件數據服務 | 443 | v20.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 從 Windows 傳送診斷數據。 |
| Arc Resource Bridge 的記錄收集 | 443 | linuxgeneva-microsoft.azurecr.io |
設備 VM IP 需要輸出連線。 | 設備受控元件的推播記錄。 |
| 資源網橋元件下載 | 443 | kvamanagementoperator.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取設備受控元件的成品。 |
| Microsoft 開放原始碼 套件管理員 | 443 | packages.microsoft.com |
設備 VM IP 需要輸出連線。 | 下載 Linux 安裝套件。 |
| 自訂位置 | 443 | sts.windows.net |
設備 VM IP 需要輸出連線。 | 自定義位置的必要專案。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
設備 VM IP 需要輸出連線。 | Azure Arc 的必要專案。 |
| 自訂位置 | 443 | k8sconnectcsp.azureedge.net |
設備 VM IP 需要輸出連線。 | 自定義位置的必要專案。 |
| 診斷資料 | 443 | gcs.prod.monitoring.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| 診斷資料 | 443 | *.prod.microsoftmetrics.com |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| 診斷資料 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| 診斷資料 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 必要的診斷數據。 |
| Azure 入口網站 | 443 | *.arc.azure.net |
設備 VM IP 需要輸出連線。 | 從 Azure 入口網站 管理叢集。 |
| Azure CLI 和擴充功能 | 443 | *.blob.core.windows.net |
管理計算機需要輸出連線。 | 下載 Azure CLI 安裝程式和擴充功能。 |
| Azure Arc 代理程式 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理計算機需要輸出連線。 | 用於 Arc 代理程式的數據平面。 |
| Python 套件 | 443 | pypi.org, *.pypi.org |
管理計算機需要輸出連線。 | 驗證 Kubernetes 和 Python 版本。 |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
管理計算機需要輸出連線。 | 適用於 Azure CLI 安裝的 Python 套件。 |
| SSH | 22 | Arc resource bridge appliance VM IPs |
管理計算機需要輸出連線。 | 用於針對設備 VM 進行疑難解答。 |
| Kubernetes API 伺服器 | 6443 | Arc resource bridge appliance VM IPs |
管理計算機需要輸出連線。 | 設備 VM 的管理。 |
此外,VMware VSphere 需要下列例外狀況:
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| vCenter Server | 443 | vCenter 伺服器的 URL | 設備 VM IP 和控制平面端點需要輸出連線。 | vCenter 伺服器用來與設備 VM 和控制平面通訊。 |
| VMware 叢集擴充功能 | 443 | azureprivatecloud.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取 Microsoft.VMWare 和 Microsoft.AVS 叢集擴充功能的容器映射。 |
| Azure CLI 和 Azure CLI 擴充功能 | 443 | *.blob.core.windows.net |
管理計算機需要輸出連線。 | 下載 Azure CLI 安裝程式和 Azure CLI 延伸模組。 |
| Azure Resource Manager | 443 | management.azure.com |
管理計算機需要輸出連線。 | 使用ARM在 Azure 中建立/更新資源的必要專案。 |
| 適用於 Azure Arc 代理程式的 Helm 圖表 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理計算機需要輸出連線。 | 用來下載 Arc 代理程式設定資訊的數據平面端點。 |
| Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
管理計算機需要輸出連線。 | 擷取和更新 Azure Resource Manager 權杖的必要項目。 |
如需 Azure Arc 功能和已啟用 Azure Arc 服務之網路需求的完整清單,請參閱 Azure Arc 網路需求(合併)。
Azure 角色/許可權需求
啟用 Arc VMware vSphere 之作業所需的最低 Azure 角色如下所示:
| 運算 | 所需的最低角色 | 範圍 |
|---|---|---|
| 將 vCenter Server 上線至 Arc | Azure Arc VMware 私人雲端上線 | 在您要上線的訂用帳戶或資源群組上 |
| 管理員 註冊已啟用 Arc 的 VMware vSphere | Azure Arc VMware 管理員 istrator | 在建立 vCenter 伺服器資源的訂用帳戶或資源群組上 |
| VM 布建 | Azure Arc VMware 私人雲端使用者 | 在包含資源集區/叢集/主機、數據存放區和虛擬網路資源的訂用帳戶或資源群組上,或資源本身 |
| VM 布建 | Azure Arc VMware VM 參與者 | 在您要佈建 VM 的訂用帳戶或資源群組上 |
| VM 作業 | Azure Arc VMware VM 參與者 | 在包含 VM 的訂用帳戶或資源群組上,或 VM 本身 |
在相同範圍上具有較高許可權的任何角色,例如擁有者或參與者,也可讓您執行上面所列的作業。
來賓管理 (Arc 代理程式) 需求
使用已啟用 Arc 的 VMware vSphere,您可以大規模在 VM 上安裝 Arc 連線的電腦代理程式,並在 VM 上使用 Azure 管理服務。 這項功能還有其他需求。
若要啟用客體管理(安裝 Arc 連線的電腦代理程式),請確定下列事項:
- VM 已開啟電源。
- VM 已安裝並執行 VMware 工具。
- 資源網橋可以存取 VM 執行所在的主機。
- VM 正在執行 支援的作業系統。
- VM 直接或透過 Proxy 進行因特網連線。 如果連線是透過 Proxy,請確定 這些 URL 已允許列出。
此外,請確定符合下列需求,才能啟用來賓管理。
受支援的作業系統
請確定您使用 Azure 連線 電腦代理程式正式支援的 Windows 或 Linux 作業系統版本。 只有 x86-64 (64 位元) 架構受支援。 不支援 x86(32 位)和 ARM 架構,包括 arm64 上的 x86-64 模擬。
軟體需求
Windows 操作系統:
- 需要 NET Framework 4.6 或更新版本。 下載 .NET Framework。
- 需要 Windows PowerShell 5.1。 下載 Windows Management Framework 5.1.。
Linux 作業系統:
- systemd
- wget (下載安裝指令碼)
網路需求
Azure Arc 代理程式需要下列防火牆 URL 例外狀況:
| URL | 說明 |
|---|---|
aka.ms |
用來在安裝期間解析下載指令碼 |
packages.microsoft.com |
用來下載Linux安裝套件 |
download.microsoft.com |
用來下載 Windows 安裝套件 |
login.windows.net |
Microsoft Entra ID |
login.microsoftonline.com |
Microsoft Entra ID |
pas.windows.net |
Microsoft Entra ID |
management.azure.com |
Azure Resource Manager - 建立或刪除 Arc 伺服器資源 |
*.his.arc.azure.com |
中繼資料和混合式識別服務 |
*.guestconfiguration.azure.com |
延伸模組管理和客體設定服務 |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
擴充功能和連線案例的通知服務 |
azgn*.servicebus.windows.net |
擴充功能和連線案例的通知服務 |
*.servicebus.windows.net |
針對 Windows 管理員 中心和 SSH 案例 |
*.blob.core.windows.net |
下載已啟用 Azure Arc 的伺服器擴充功能來源 |
dc.services.visualstudio.com |
代理程序遙測 |