Matriz de suporte do System Center Virtual Machine Manager habilitado para Azure Arc
Este artigo documenta os pré-requisitos e os requisitos de suporte para usar o System Center Virtual Machine Manager (SCVMM) habilitado para Azure Arc para gerenciar suas VMs locais gerenciadas pelo SCVMM por meio do Azure Arc.
Para usar o SCVMM habilitado para Arc, você precisa implantar uma Ponte de Recursos do Azure Arc no seu ambiente gerenciado pelo SCVMM. A Ponte de Recursos fornece uma conexão contínua entre o servidor de gerenciamento do SCVMM e o Azure. Depois que você conectar o servidor de gerenciamento do SCVMM ao Azure, os componentes da Ponte de Recursos descobrirão o inventário em seu servidor de gerenciamento do SCVMM. Você pode habilitá-los no Azure e começar a realizar operações de hardware virtual e de sistema operacional convidado usando o Azure Arc.
Requisitos do System Center Virtual Machine Manager
Para usar o SCVMM habilitado para Arc, é necessário atender os requisitos a seguir.
Versões do SCVMM com suporte
O SCVMM habilitado para Azure Arc funciona com as versões 2019 e 2022 do VMM e dá suporte a servidores de gerenciamento do SCVMM com um máximo de 15.000 VMs.
Pré-requisitos da ponte de recursos do Azure Arc
Observação
Se o servidor do VMM estiver em execução no computador Windows Server 2016, verifique se o pacote SSH aberto está instalado. Se você implantar uma versão mais antiga do dispositivo (uma versão inferior à 0.2.25), ocorrerá uma falha na operação do Arc com o erro O cluster do dispositivo não está implantado com a autenticação do AAD. Para corrigir esse problema, baixe a última versão do script de integração e implante a Ponte de Recursos novamente. Atualmente, não há suporte para a implantação da Ponte de Recursos do Azure Arc usando o link privado.
| Requisito | Detalhes |
|---|---|
| Azure | Uma assinatura do Azure Um grupo de recursos na assinatura acima, em que você tenha a função Proprietário/Colaborador. |
| SCVMM | Você precisa de um serviço de gerenciamento do SCVMM executando a versão 2019 ou posterior. Uma nuvem privada ou um grupo de hosts com uma capacidade mínima livre de 32 GB de RAM e quatro vCPUs com 100 GB de espaço livre em disco. A configuração de armazenamento com suporte são armazenamento híbrido (flash e HD) ou armazenamento totalmente flash (SSDs ou NVMe). Uma rede de VMs com acesso à Internet, diretamente ou por meio de proxy. A VM do dispositivo será implantada usando essa rede de VMs. Só há suporte para alocação de IP estático; não há suporte para alocação de IP dinâmico usando DHCP. A alocação de IP estático pode ser realizada por uma das seguintes abordagens: 1. Pool de IPs do VMM: Siga estas etapas para criar um pool de IPs estáticos do VMM e certifique-se de que o pool de IPs estáticos tenha pelo menos três endereços IP. Se o servidor SCVMM estiver atrás de um firewall, todos os IPs desse Pool de IPs e o IP do Plano de Controle devem ter permissão para se comunicar por meio de portas WinRM. As portas WinRM padrão são 5985 e 5986. 2. Faixa de IPs personalizados: Certifique-se de que sua rede de VMs tenha três endereços IP livres contínuos. Se o seu servidor SCVMM estiver atrás de um firewall, todos os IPs nesse intervalo de IPs e o IP do plano de controle devem ter permissão para se comunicar por meio de portas WinRM. As portas WinRM padrão são 5985 e 5986. Se a rede da VM estiver configurada com uma VLAN, a ID da VLAN será exigida como entrada. O Ponte de Recursos do Azure Arc requer resolução de DNS interna e externa para os sites necessários e a máquina de gerenciamento local para o IP do gateway estático e o(s) endereço(s) IP do(s) seu(s) servidor(es) DNS são necessários. Um compartilhamento de biblioteca com permissão de gravação para a conta de administrador do SCVMM por meio da qual a implantação da Ponte de Recursos será executada. |
| Contas do SCVMM | Uma conta do administrador do SCVMM que possa executar todas as ações administrativas em todos os objetos que o VMM gerencia. O usuário deve fazer parte da conta de administrador local no servidor SCVMM. Se o servidor SCVMM estiver instalado em uma configuração de alta disponibilidade, o usuário deverá fazer parte das contas de administrador local em todos os nós de cluster SCVMM. Isso será usado para a operação contínua do SCVMM habilitado para Azure Arc, bem como para a implantação da VM da Ponte de Recursos do Arc. |
| Estação de Trabalho | A estação de trabalho será usada para executar o script auxiliar. Certifique-se de que você tenha a CLI do Azure de 64 bits instalada na estação de trabalho. Ao executar o script em um computador Linux, a implantação demora um pouco mais e você pode enfrentar problemas de desempenho. |
Requisitos de rede da Ponte de Recursos
As seguintes exceções de URL de firewall são necessárias para a VM da Ponte de Recursos do Azure Arc:
Requisitos de conectividade de saída
As URLs do firewall e do proxy abaixo devem estar na lista de permissões para permitir a comunicação do computador de gerenciamento, da VM do dispositivo e do IP do plano de controle com as URLs necessárias da ponte de recursos do Arc.
Lista de permitidos de URL de Firewall/Proxy
| Serviço | Porta | URL | Direção | Observações |
|---|---|---|---|---|
| Ponto de extremidade da API SFS | 443 | msk8s.api.cdp.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Baixe o catálogo de produtos, os bits do produto e as imagens do sistema operacional do SFS. |
| Download de imagem de ponte de recursos (dispositivo) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Baixe as imagens do sistema operacional de ponte de recursos do Arc. |
| Registro de Contêiner da Microsoft | 443 | mcr.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Descubra imagens de contêiner para o Arc Resource Bridge. |
| Registro de Contêiner da Microsoft | 443 | *.data.mcr.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Faça o download de imagens de contêineres para a Ponte de Recursos do Arc. |
| Windows NTP Server | 123 | time.windows.com |
Os IPs da VM do dispositivo e do computador de gerenciamento (se o padrão do Hyper-V for o NTP do Windows) precisam de uma conexão de saída UDP | Sincronização de tempo do sistema operacional no computador VM e Gerenciamento do dispositivo (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Gerenciar recursos no Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Obrigatório para o RBAC do Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
| Serviço de Plano de dados de ponte de recursos (dispositivo) | 443 | *.dp.prod.appliances.azure.com |
O IP das VMs do dispositivo precisa da conexão de saída. | Comunique-se com o provedor de recursos no Azure. |
| Download de imagem de contêiner de ponte de recursos (dispositivo) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Necessário para efetuar pull de imagens de contêiner. |
| Identidade Gerenciada | 443 | *.his.arc.azure.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Necessário para efetuar pull dos certificados de Identidade Gerenciada atribuída pelo sistema. |
| Download da imagem de contêiner do Azure Arc para Kubernetes | 443 | azurearcfork8s.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Efetuar pull de imagens de contêineres. |
| Agente do Azure Arc | 443 | k8connecthelm.azureedge.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Implanta o agente do Azure Arc. |
| Serviço de telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft da VM do dispositivo. |
| Serviço de dados de eventos da Microsoft | 443 | v20.events.data.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envie dados de diagnóstico do Windows. |
| Coleta de registros para a Ponte de Recursos do Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Registros de envio para componentes gerenciados pelo Dispositivo. |
| Download dos componentes da ponte de recursos | 443 | kvamanagementoperator.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Efetuar pull de artefatos para os componentes gerenciados do Dispositivo. |
| Gerenciador de pacotes de código aberto da Microsoft | 443 | packages.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Faça o download do pacote de instalação do Linux. |
| Local Personalizado | 443 | sts.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Obrigatório para o Local Personalizado. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Obrigatório para o Azure Arc. |
| Local Personalizado | 443 | k8sconnectcsp.azureedge.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Obrigatório para o Local Personalizado. |
| Dados de diagnóstico | 443 | gcs.prod.monitoring.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.microsoftmetrics.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Portal do Azure | 443 | *.arc.azure.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Gerencia clusters a partir do portal do Azure. |
| Extensão e CLI do Azure | 443 | *.blob.core.windows.net |
O computador de gerenciamento precisa de uma conexão de saída. | Baixe o instalador e a extensão da CLI do Azure. |
| Agente do Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
O computador de gerenciamento precisa de uma conexão de saída. | Plano de dados usado para o agente do Arc. |
| Pacote do Python | 443 | pypi.org, *.pypi.org |
O computador de gerenciamento precisa de uma conexão de saída. | Validar as versões do Kubernetes e do Python. |
| CLI do Azure | 443 | pythonhosted.org, *.pythonhosted.org |
O computador de gerenciamento precisa de uma conexão de saída. | Pacotes Python para instalação da CLI do Azure. |
Requisitos de conectividade de entrada
A comunicação entre as seguintes portas deve ser permitida a partir da máquina de gerenciamento, dos IPs da VM do Dispositivo e dos IPs do painel de controle. Verifique se essas portas estão abertas e se o tráfego não está sendo roteado por meio de um proxy para facilitar a implantação e a manutenção da ponte de recursos Arc.
| Serviço | Porta | IP/computador | Direção | Observações |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs e Management machine |
Bidirecional | Usado para implantar e manter a VM do dispositivo. |
| Servidor de API do Kubernetes | 6443 | appliance VM IPs e Management machine |
Bidirecional | Gerenciamento da VM do dispositivo. |
| SSH | 22 | control plane IP e Management machine |
Bidirecional | Usado para implantar e manter a VM do dispositivo. |
| Servidor de API do Kubernetes | 6443 | control plane IP e Management machine |
Bidirecional | Gerenciamento da VM do dispositivo. |
| HTTPS | 443 | private cloud control plane address e Management machine |
O computador de gerenciamento precisa de uma conexão de saída. | Comunicação com o painel de controle (ex.: endereço do VMware vCenter). |
Observação
Para configurar o proxy SSL e exibir a lista de exclusão para nenhum proxy, confira Requisitos adicionais de rede.
Além disso, o SCVMM requer a seguinte exceção:
| Serviço | Porta | URL | Direção | Observações |
|---|---|---|---|---|
| Servidor de gerenciamento SCVMM | 443 | URL do servidor de gerenciamento SCVMM. | O IP da VM do dispositivo e o ponto de extremidade do painel de controle precisam ter uma conexão de saída. | Usado pelo servidor SCVMM para se comunicar com a VM do dispositivo e o plano de controle. |
| WinRM | Números da porta WinRM (Padrão: 5985 e 5986). | URL do serviço WinRM. | Os IPs no pool de IP usados pela VM do dispositivo e pelo painel de controle precisam de conexão com o servidor VMM. | Usado pelo servidor SCVMM para se comunicar com a VM do dispositivo. |
Geralmente os requisitos de conectividade incluem esses princípios.
- Todas as conexões são TCP, a menos que especificado de outra forma.
- Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
- Todas as conexões são de saída, a menos que especificado de outra forma.
Para usar um proxy, verifique se os agentes e o computador que está executando o processo de integração atendem aos requisitos de rede descritos neste artigo.
Para obter uma lista completa dos requisitos de rede para recursos do Azure Arc e serviços habilitados para Azure Arc, consulte Requisitos de rede do Azure Arc (Consolidado).
Requisitos de função/permissão do Azure
As funções mínimas do Azure necessárias para operações relacionadas ao SCVMM habilitado para Arc são as seguintes:
| Operação | Função mínima necessária | Escopo |
|---|---|---|
| Como integrar o Servidor de Gerenciamento do SCVMM ao Arc | Integração de nuvens privadas do SCVMM do Azure Arc | Na assinatura ou no grupo de recursos no qual você deseja fazer a integração |
| Como administrar o SCVMM habilitado para Arc | Administrador do SCVMM do Azure Arc | Na assinatura ou no grupo de recursos em que o recurso de servidor de gerenciamento do SCVMM é criado |
| Provisionamento de VM | Usuário de nuvem privada do SCVMM do Azure Arc | Na assinatura ou no grupo de recursos que contém os recursos de nuvem, armazenamento de dados e rede virtual do SCVMM, ou nos próprios recursos |
| Provisionamento de VM | Colaborador de VM do SCVMM do Azure Arc | Na assinatura ou no grupo de recursos em que você deseja provisionar as VMs |
| Operações de VM | Colaborador de VM do SCVMM do Azure Arc | Na assinatura ou no grupo de recursos que contém a VM ou na própria VM |
Todas as funções com permissões superiores no mesmo escopo, como Proprietário ou Colaborador, também permitirão que você execute as operações listadas acima.
Requisitos do Azure Connected Machine Agent (gerenciamento de convidados)
Verifique o seguinte antes de instalar os agentes do Arc em escala em VMs SCVMM:
- A Ponte de Recursos deve estar no estado de execução.
- O serviço de gerenciamento do SCVMM deve estar no estado Conectado.
- A conta de usuário deve ter permissões listadas na função Administrador do SCVMM habilitado para Azure Arc.
- Todos os computadores de destino devem estar:
- Ligados e a ponte de recursos ter conectividade de rede com o host que está executando a VM.
- Executando um sistema operacional com suporte.
- Poder se conectar por meio do firewall para se comunicar pela internet e garantir que essas URLs não estão bloqueadas.
Versões do SCVMM com suporte
O SCVMM habilitado para Azure Arc permite a instalação direta de agentes Arc em VMs gerenciadas por:
- SCVMM 2022 UR1 ou versões posteriores do servidor ou console do SCVMM
- SCVMM 2019 UR5 ou versões posteriores do servidor ou console do SCVMM
Para VMs gerenciadas por outras versões do SCVMM, instale os agentes Arc por meio do script.
Importante
Recomendamos manter o servidor de gerenciamento do SCVMM e o console do SCVMM na mesma versão LTSC (Canal de Manutenção de Longo Prazo) e UR (Pacote cumulativo de atualizações).
Sistemas operacionais compatíveis
O SCVMM habilitado para Azure Arc permite a instalação direta de agentes Arc em VMs que usam os sistemas operacionais Windows Server 2022, 2019, 2016, 2012R2, Windows 10 e Windows 11. Para outros sistemas operacionais Windows e Linux, instale os agentes Arc por meio do script.
Requisitos de software
Sistemas operacionais Windows:
- A Microsoft recomenda a execução da versão mais recente, Windows Management Framework 5.1.
Sistemas operacionais Linux:
- systemd
- wget (para baixar o script de instalação)
- openssl
- gnupg (somente sistemas baseados em Debian)
Requisitos de rede
As seguintes exceções de URL de firewall são necessárias para os agentes do Azure Arc:
| URL | Descrição |
|---|---|
aka.ms |
Usado para resolver o script de download durante a instalação |
packages.microsoft.com |
Usado para baixar o pacote de instalação do Linux |
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows |
login.windows.net |
Microsoft Entra ID |
login.microsoftonline.com |
ID do Microsoft Entra |
pas.windows.net |
Microsoft Entra ID |
management.azure.com |
Azure Resource Manager – Para criar ou excluir o recurso de servidor do Arc |
*.his.arc.azure.com |
Serviços de identidade híbrida e metadados |
*.guestconfiguration.azure.com |
Serviços de configuração de convidado e gerenciamento de extensão |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Serviço de notificação para cenários de extensão e conectividade |
azgn*.servicebus.windows.net |
Serviço de notificação para cenários de extensão e conectividade |
*.servicebus.windows.net |
Para casos do Windows Admin Center e do SSH |
*.blob.core.windows.net |
Baixar a fonte para extensões de servidores habilitados para o Azure Arc |
dc.services.visualstudio.com |
Telemetria do agente |
Próximas etapas
Conecte o servidor de gerenciamento do System Center Virtual Machine Manager ao Azure Arc.