Azure Arc 対応 System Center Virtual Machine Manager のサポート マトリックス
この記事では、Azure Arc 対応 System Center Virtual Machine Manager (SCVMM) を使って SCVMM による管理対象のオンプレミス VM を Azure Arc を介して管理するための前提条件とサポート要件について説明します。
Arc 対応 SCVMM を使用するには、SCVMM による管理の対象の環境内に Azure Arc Resource Bridge をデプロイする必要があります。 この Resource Bridge によって、SCVMM 管理サーバーと Azure の間の継続的な接続が可能になります。 SCVMM 管理サーバーが Azure に接続された状態になると、Resource Bridge 上のコンポーネントによって SCVMM 管理サーバー インベントリが検出されます。 これらを Azure で有効にすると、これらに対する仮想ハードウェアとゲスト OS の操作を Azure Arc を使用して実行できるようになります。
System Center Virtual Machine Manager の要件
Arc 対応 SCVMM を使用するには、次の要件が満たされている必要があります。
サポートされている SCVMM のバージョン
Azure Arc 対応 SCVMM は VMM 2019 と 2022 のバージョンで動作し、最大 15,000 の VM の SCVMM 管理サーバーをサポートします。
Azure Arc リソース ブリッジの前提条件
Note
VMM サーバーが Windows Server 2016 マシンで実行されている場合は、Open SSH パッケージがインストールされていることを確認します。 古いバージョンのアプライアンス (バージョンが 0.2.25 未満) をデプロイすると、エラー「Appliance cluster is not deployed with AAD authentication」(アプライアンス クラスターが AAD 認証でデプロイされていない) で Arc 操作が失敗します。 この問題を修正するには、オンボード スクリプトの最新バージョンをダウンロードして Resource Bridge をもう一度デプロイしてください。 プライベート リンクを使用した Azure Arc リソース ブリッジのデプロイは現在サポートされていません。
| 要件 | 詳細 |
|---|---|
| Azure | Azure サブスクリプション "所有者/共同作成者" ロールを持つ上記のサブスクリプションのリソース グループ。 |
| SCVMM | バージョン 2019 以降を実行している SCVMM 管理サーバーが必要です。 RAM の最小空き容量が 32 GB で、空きディスク領域が 100 GB の 4 つの vCPU を備えたプライベート クラウドまたはホスト グループ。 サポートされているストレージ構成は、ハイブリッド ストレージ (フラッシュ、HDD) とオール フラッシュ ストレージ (SSD、NVMe) です。 直接またはプロキシ経由でインターネットにアクセスできる VM ネットワーク。 アプライアンス VM は、この VM ネットワークを使用してデプロイされます。 サポートされているのは静的 IP 割り当てだけです。DHCP を使用した動的 IP 割り当てはサポートされていません。 静的 IP 割り当ては、以下のいずれかの方法で実行できます。 1.VMM IP プール: こちらの手順に従って VMM 静的 IP プールを作成し、静的 IP プールに少なくとも 3 つの IP アドレスがあることを確認します。 SCVMM サーバーがファイアウォールの内側にある場合は、この IP プール内のすべての IP とコントロール プレーン IP が WinRM ポートを通して通信することを許可する必要があります。 既定の WinRM ポートは 5985 と 5986 です。 2.カスタム IP 範囲: VM ネットワークに 3 つの連続する空き IP アドレスがあることを確認します。 SCVMM サーバーがファイアウォールの内側にある場合は、この IP 範囲内のすべての IP とコントロール プレーン IP が WinRM ポートを通して通信することを許可する必要があります。 既定の WinRM ポートは 5985 と 5986 です。 VM ネットワークが VLAN で構成されている場合は、その VLAN ID が入力として必要です。 Azure Arc リソース ブリッジには必要なサイトに対する内部および外部の DNS 解決が必要であり、静的ゲートウェイ IP と DNS サーバーの IP アドレス用のオンプレミスの管理マシンが必要です。 リソース ブリッジのデプロイを実行する SCVMM 管理者アカウントの書き込みアクセス許可を持つライブラリ共有。 |
| SCVMM アカウント | VMM が管理するすべてのオブジェクトに対してすべての管理アクションを実行できる SCVMM 管理者アカウント。 ユーザーは、SCVMM サーバーのローカル管理者アカウントに属している必要があります。 SCVMM サーバーが高可用性構成にインストールされている場合、ユーザーはすべての SCVMM クラスター ノードのローカル管理者アカウントに属している必要があります。 これは、Azure Arc 対応 SCVMM の継続的な運用と、Arc Resource Bridge VM のデプロイに使用されます。 |
| ワークステーション | ワークステーションを使用してヘルパー スクリプトを実行します。 ワークステーションに 64 ビットの Azure CLI がインストールされていることを確認します。 スクリプトを Linux マシンから実行するときは、デプロイに要する時間が少し長くなり、パフォーマンスの問題が発生することがあります。 |
Resource Bridge のネットワーク要件
Azure Arc Resource Bridge VM には、次のファイアウォール URL の例外が必要です。
送信接続の要件
以下のファイアウォールとプロキシ URL は、管理マシン、アプライアンス VM、コントロール プレーン IP から必要な Arc リソース ブリッジ URL への通信を有効にするために、許可リストに載せる必要があります。
ファイアウォール/プロキシ URL 許可リスト
| サービス | [ポート] | URL | 方向 | メモ |
|---|---|---|---|---|
| SFS API エンドポイント | 443 | msk8s.api.cdp.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | SFS から製品カタログ、製品ビット、OS イメージをダウンロードします。 |
| リソース ブリッジ (アプライアンス) イメージのダウンロード | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc Resource Bridge OS イメージをダウンロードします。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc リソース ブリッジのコンテナー イメージを検出します。 |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc リソース ブリッジのコンテナー イメージをダウンロードします。 |
| Windows NTP サーバー | 123 | time.windows.com |
管理マシンとアプライアンス VM IP (Hyper-V の既定値が Windows NTP の場合) には UDP での送信接続が必要です | アプライアンス VM と管理マシン (Windows NTP) での OS 時刻同期。 |
| Azure Resource Manager | 443 | management.azure.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Azure でのリソースの管理。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Azure RBAC に必要です。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| Azure Resource Manager | 443 | login.windows.net |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| リソース ブリッジ (アプライアンス) データプレーン サービス | 443 | *.dp.prod.appliances.azure.com |
アプライアンス VM IP には送信接続が必要です。 | Azure 内でリソース プロバイダーと通信します。 |
| リソース ブリッジ (アプライアンス) コンテナー イメージのダウンロード | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | コンテナー イメージをプルするために必要です。 |
| マネージド ID | 443 | *.his.arc.azure.com |
アプライアンス VM IP には送信接続が必要です。 | システム割り当てマネージド ID 証明書をプルするために必須。 |
| Azure Arc for Kubernetes コンテナー イメージのダウンロード | 443 | azurearcfork8s.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | コンテナー イメージのプル。 |
| Azure Arc エージェント | 443 | k8connecthelm.azureedge.net |
アプライアンス VM IP には送信接続が必要です。 | Azure Arc エージェントをデプロイします。 |
| ADHS テレメトリ サービス | 443 | adhs.events.data.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データをアプライアンス VM から Microsoft に定期的に送信します。 |
| Microsoft イベント データ サービス | 443 | v20.events.data.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | Windows から診断データを送信します。 |
| Arc リソース ブリッジのログ収集 | 443 | linuxgeneva-microsoft.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | アプライアンス管理コンポーネントのログをプッシュします。 |
| リソース ブリッジ コンポーネントのダウンロード | 443 | kvamanagementoperator.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | アプライアンスのマネージド コンポーネントの成果物をプルします。 |
| Microsoft オープン ソース パッケージ マネージャー | 443 | packages.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | Linux インストール パッケージをダウンロードします。 |
| カスタムの場所 | 443 | sts.windows.net |
アプライアンス VM IP には送信接続が必要です。 | カスタムの場所に必要です。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
アプライアンス VM IP には送信接続が必要です。 | Azure Arc に必要です。 |
| カスタムの場所 | 443 | k8sconnectcsp.azureedge.net |
アプライアンス VM IP には送信接続が必要です。 | カスタムの場所に必要です。 |
| 診断データ | 443 | gcs.prod.monitoring.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.microsoftmetrics.com |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.hot.ingest.monitor.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.warm.ingest.monitor.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| Azure portal | 443 | *.arc.azure.net |
アプライアンス VM IP には送信接続が必要です。 | Azure portal からクラスターを管理します。 |
| Azure CLI と拡張機能 | 443 | *.blob.core.windows.net |
管理マシンには送信接続が必要です。 | Azure CLI インストーラーと拡張機能をダウンロードします。 |
| Azure Arc エージェント | 443 | *.dp.kubernetesconfiguration.azure.com |
管理マシンには送信接続が必要です。 | Arc エージェントで使用されるデータプレーン。 |
| Python パッケージ | 443 | pypi.org、*.pypi.org |
管理マシンには送信接続が必要です。 | Kubernetes と Python のバージョンを検証します。 |
| Azure CLI | 443 | pythonhosted.org、 *.pythonhosted.org |
管理マシンには送信接続が必要です。 | Azure CLI インストール用の Python パッケージ。 |
受信接続の要件
管理マシン、アプライアンス VM の IP、コントロール プレーンの IP から、次のポート間の通信を許可する必要があります。 Arc リソース ブリッジのデプロイとメンテナンスを容易にするために、これらのポートが開いていることと、トラフィックがプロキシ経由でルーティングされていないことを確認します。
| サービス | ポート | IP/マシン | 方向 | ノート |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs および Management machine |
双方向 | アプライアンス VM のデプロイと保守に使用されます。 |
| Kubernetes API サーバー | 6443 | appliance VM IPs および Management machine |
双方向 | アプライアンス VM の管理。 |
| SSH | 22 | control plane IP および Management machine |
双方向 | アプライアンス VM のデプロイと保守に使用されます。 |
| Kubernetes API サーバー | 6443 | control plane IP および Management machine |
双方向 | アプライアンス VM の管理。 |
| HTTPS | 443 | private cloud control plane address および Management machine |
管理マシンには送信接続が必要です。 | コントロール プレーンとの通信 (例: VMware vCenter アドレス)。 |
Note
SSL プロキシを構成し、プロキシがない場合の除外リストを表示するには、「追加のネットワーク要件」を参照してください。
さらに、SCVMM には次の例外が必要です。
| サービス | [ポート] | URL | 方向 | メモ |
|---|---|---|---|---|
| SCVMM 管理サーバー | 443 | SCVMM 管理サーバーの URL。 | アプライアンス VM IP とコントロール プレーン エンドポイントには送信接続が必要です。 | アプライアンス VM およびコントロール プレーンと通信するために SCVMM サーバーによって使用されます。 |
| WinRM | WinRM ポート番号 (既定値: 5985 と 5986)。 | WinRM サービスの URL。 | アプライアンス VM とコントロール プレーンで使用される IP プール内の IP には、VMM サーバーとの接続が必要です。 | アプライアンス VM と通信するために SCVMM サーバーによって使用されます。 |
一般に、接続要件には次の原則が含まれます。
- 特に指定がない限り、すべての接続は TCP です。
- すべての HTTP 接続では、公式に署名された検証可能な証明書と共に HTTPS と SSL/TLS が使用されます。
- 特に指定がない限り、すべての接続はアウトバウンドです。
プロキシを使用するには、オンボード プロセスを実行しているエージェントとマシンがこの記事のネットワーク要件を満たしていることを確認します。
Azure Arc 機能と Azure Arc 対応サービスのネットワーク要件の完全な一覧については、「Azure Arc ネットワークの要件」(統合) を参照してください。
Azure ロール/アクセス許可の要件
Arc 対応 SCVMM に関連する操作に必要な最小限の Azure ロールは次のとおりです。
| 操作 | 必要最小限のロール | スコープ |
|---|---|---|
| SCVMM 管理サーバーを Arc にオンボードする | Azure Arc SCVMM プライベート クラウド オンボーディング | オンボード先のサブスクリプションまたはリソース グループ |
| Arc 対応 SCVMM を管理する | Azure Arc SCVMM 管理者 | SCVMM 管理サーバー リソースが作成されるサブスクリプションまたはリソース グループ |
| VM のプロビジョニング | Azure Arc SCVMM プライベート クラウド ユーザー | SCVMM クラウド、データストア、仮想ネットワークのリソースが含まれるサブスクリプションまたはリソース グループ、またはそのリソース自体 |
| VM のプロビジョニング | Azure Arc SCVMM VM 共同作成者 | VM をプロビジョニングするサブスクリプションまたはリソース グループ |
| VM 操作 | Azure Arc SCVMM VM 共同作成者 | VM を含むサブスクリプションまたはリソース グループ、または VM 自体 |
所有者または共同作成者などの、同じスコープのより高いアクセス許可を持つロールでも、上記の操作を実行できます。
Azure Connected Machine エージェント (Guest Management) の要件
SCVMM VM 用に Arc エージェントを大規模にインストールする前に、次のことを確認してください。
- Resource Bridge が実行中状態である必要があります。
- SCVMM 管理サーバーは、接続されている状態である必要があります。
- ユーザー アカウントには、Azure Arc 対応 SCVMM 管理者ロールに含まれるアクセス許可が付与されている必要があります。
- すべてのターゲット マシンが次の状態になっています。
- 電源がオンになっており、リソース ブリッジに VM を実行しているホストへのネットワーク接続がある。
- サポート対象のオペレーティング システムが実行されている。
- ファイアウォールを介して接続してインターネットでの通信ができ、これらの URL がブロックされていない。
サポートされている SCVMM のバージョン
Azure Arc 対応 SCVMM では、次の方法で管理される VM での Arc エージェントの直接インストールがサポートされています。
- SCVMM 2022 UR1 以降のバージョンの SCVMM サーバーまたはコンソール
- SCVMM 2019 UR5 以降のバージョンの SCVMM サーバーまたはコンソール
その他のバージョンの SCVMM で管理されている VM については、スクリプトを使用して Arc エージェントをインストールしてください。
重要
SCVMM 管理サーバーと SCVMM コンソールは、同じ長期サービス チャネル (LTSC) および更新プログラム ロールアップ (UR) バージョンに維持することをお勧めします。
サポートされるオペレーティング システム
Azure Arc 対応 SCVMM では、実行しているオペレーティング システムが Windows Server 2022、2019、2016、2012R2、Windows 10、Windows 11 である VM での Arc エージェントの直接インストールがサポートされています。 その他の Windows および Linux オペレーティング システムの場合は、スクリプトを使用して Arc エージェントをインストールしてください。
ソフトウェア要件
Windows オペレーティング システム:
- Microsoft では、最新バージョンの Windows Management Framework 5.1 を実行することをお勧めします。
Linux オペレーティング システム:
- systemd
- wget (インストール スクリプトをダウンロードするため)
- openssl
- gnupg (Debian ベースのシステムのみ)
ネットワーク要件
Azure Arc エージェントには、次のファイアウォール URL の例外が必要です。
| URL | 説明 |
|---|---|
aka.ms |
インストール中にダウンロード スクリプトを解決するために使用されます |
packages.microsoft.com |
Linux インストール パッケージをダウンロードするために使用されます |
download.microsoft.com |
Windows のインストール パッケージをダウンロードするために使用されます |
login.windows.net |
Microsoft Entra ID |
login.microsoftonline.com |
Microsoft Entra ID |
pas.windows.net |
Microsoft Entra ID |
management.azure.com |
Azure Resource Manager - Arc サーバー リソースを作成または削除します |
*.his.arc.azure.com |
メタデータとハイブリッド ID サービス |
*.guestconfiguration.azure.com |
拡張機能管理とゲスト構成サービス |
guestnotificationservice.azure.com、*.guestnotificationservice.azure.com |
拡張機能と接続のシナリオ用の通知サービス |
azgn*.servicebus.windows.net |
拡張機能と接続のシナリオ用の通知サービス |
*.servicebus.windows.net |
Windows Admin Center と SSH のシナリオの場合 |
*.blob.core.windows.net |
Azure Arc 対応サーバー拡張機能のダウンロード元 |
dc.services.visualstudio.com |
エージェント テレメトリ |
次のステップ
System Center Virtual Machine Manager 管理サーバーを Azure Arc に接続します。