Matriz de suporte para VMware vSphere habilitado para Azure Arc
Este artigo documenta os pré-requisitos e os requisitos de suporte para usar o VMware vSphere habilitado para Azure Arc para gerenciar suas VMs VMware vSphere por meio do Azure Arc.
Para usar o VMware vSphere compatível com o Arc, tem de implementar um bridge de recursos do Azure Arc no ambiente do VMware vSphere. O bridge de recursos fornece uma ligação contínua entre o VMware vCenter Server e o Azure. Depois de ligar o VMware vCenter Server ao Azure, os componentes no bridge de recursos descobrem o seu inventário do vCenter. Pode ativá-los no Azure e começar a executar operações de hardware virtual e de SO convidado nos mesmos com o Azure Arc.
Requisitos do VMware vSphere
Os requisitos a seguir devem ser atendidos para usar o VMware vSphere habilitado para Azure Arc.
Versões suportadas do vCenter Server
O VMware vSphere habilitado para Azure Arc funciona com as versões 7 e 8 do vCenter Server.
Nota
Atualmente, o VMware vSphere habilitado para Azure Arc oferece suporte a vCenters com um máximo de 9500 VMs. Se o vCenter tiver mais de 9500 VMs, não é recomendado usar o VMware vSphere habilitado para Arc com ele neste momento.
Privilégios de conta vSphere necessários
Você precisa de uma conta vSphere que possa:
- Leia todo o inventário.
- Implante e atualize VMs em todos os pools de recursos (ou clusters), redes e modelos de VM que você deseja usar com o Azure Arc.
Importante
Como parte do script de integração VMware habilitado para Azure Arc, você será solicitado a fornecer uma conta vSphere para implantar a VM de ponte resouce do Azure Arc no host ESXi. Essa conta será armazenada localmente na VM da ponte de recursos do Azure Arc e criptografada como um segredo do Kubernetes em repouso. A conta vSphere permite que o VMware habilitado para Azure Arc interaja com o VMware vSphere. Se sua organização pratica a rotação de credenciais de rotina, você deve atualizar as credenciais no VMware habilitado para Azure Arc para manter a conexão entre o VMware habilitado para Azure Arc e o VMware vSphere.
Requisitos de recursos de ponte de recursos
Para VMware vSphere habilitado para Arc, a ponte de recursos tem os seguintes requisitos mínimos de hardware virtual:
- 8 GB de memória
- 4 vCPUs
- Um comutador virtual externo que pode fornecer acesso à internet diretamente ou através de um proxy. Se o acesso à Internet for feito através de um proxy ou firewall, certifique-se de que estes URLs estão na lista de permissões.
Requisitos de rede de ponte de recursos
Geralmente, os requisitos de conectividade incluem estes princípios:
- Todas as conexões são TCP, a menos que especificado de outra forma.
- Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
- Todas as conexões são de saída, a menos que especificado de outra forma.
Para usar um proxy, verifique se os agentes e a máquina que executa o processo de integração atendem aos requisitos de rede neste artigo.
As seguintes exceções de URL de firewall são necessárias para a VM de ponte de recursos do Azure Arc:
Requisitos de conectividade de saída
As URLs de firewall e proxy abaixo devem ser permitidas para permitir a comunicação da máquina de gerenciamento, VM do Appliance e IP do Plano de Controle para as URLs de ponte de recursos Arc necessárias.
Lista de permissões de URL de firewall/proxy
| Serviço | Porta | URL | Direção | Notas |
|---|---|---|---|---|
| Ponto de extremidade da API SFS | 443 | msk8s.api.cdp.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Transfira o catálogo de produtos, bits de produtos e imagens do SO a partir do SFS. |
| Download de imagens da ponte de recursos (appliance) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Faça o download das imagens do sistema operacional Arc Resource Bridge. |
| Registro de contêiner da Microsoft | 443 | mcr.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Descubra imagens de contêiner para o Arc Resource Bridge. |
| Registro de contêiner da Microsoft | 443 | *.data.mcr.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Faça o download de imagens de contêiner para o Arc Resource Bridge. |
| Servidor Windows NTP | 123 | time.windows.com |
Máquina de gerenciamento & IPs de VM do dispositivo (se o padrão do Hyper-V for Windows NTP) precisam de conexão de saída no UDP | Sincronização de tempo do SO na VM do dispositivo & Máquina de gestão (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Gerencie recursos no Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para o Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Máquina de gerenciamento & IPs de VM do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens ARM. |
| Serviço de plano de dados de ponte de recursos (dispositivo) | 443 | *.dp.prod.appliances.azure.com |
O IP das VMs do dispositivo precisa de conexão de saída. | Comunique-se com o provedor de recursos no Azure. |
| Download de imagem de contêiner de ponte de recursos (dispositivo) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para extrair imagens de contêiner. |
| Identidade Gerida | 443 | *.his.arc.azure.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para obter certificados de Identidade Gerenciada atribuídos pelo sistema. |
| Download de imagem de contêiner do Azure Arc for Kubernetes | 443 | azurearcfork8s.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Puxe imagens de contêiner. |
| Agente do Azure Arc | 443 | k8connecthelm.azureedge.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | implantar o agente do Azure Arc. |
| Serviço de telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft da VM do dispositivo. |
| Serviço de dados de eventos da Microsoft | 443 | v20.events.data.microsoft.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envie dados de diagnóstico do Windows. |
| Coleta de logs para o Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Push logs para componentes gerenciados pelo Appliance. |
| Download de componentes da ponte de recursos | 443 | kvamanagementoperator.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Extraia artefatos para componentes gerenciados pelo Appliance. |
| Gerenciador de pacotes de código aberto da Microsoft | 443 | packages.microsoft.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Faça o download do pacote de instalação do Linux. |
| Localização personalizada | 443 | sts.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para localização personalizada. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para o Azure Arc. |
| Localização personalizada | 443 | k8sconnectcsp.azureedge.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Necessário para localização personalizada. |
| Dados de diagnóstico | 443 | gcs.prod.monitoring.core.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.microsoftmetrics.com |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Portal do Azure | 443 | *.arc.azure.net |
Os IPs de VM do dispositivo precisam de conexão de saída. | Gerencie o cluster a partir do portal do Azure. |
| Azure CLI & Extensão | 443 | *.blob.core.windows.net |
A máquina de gerenciamento precisa de conexão de saída. | Baixe o instalador e a extensão da CLI do Azure. |
| Azure Arc Agent | 443 | *.dp.kubernetesconfiguration.azure.com |
A máquina de gerenciamento precisa de conexão de saída. | Dataplane usado para o agente Arc. |
| Pacote Python | 443 | pypi.org, *.pypi.org |
A máquina de gerenciamento precisa de conexão de saída. | Valide as versões Kubernetes e Python. |
| CLI do Azure | 443 | pythonhosted.org, *.pythonhosted.org |
A máquina de gerenciamento precisa de conexão de saída. | Pacotes Python para instalação da CLI do Azure. |
Requisitos de conectividade de entrada
A comunicação entre as seguintes portas deve ser permitida a partir da máquina de gerenciamento, dos IPs da VM do Appliance e dos IPs do Plano de Controle. Certifique-se de que essas portas estejam abertas e que o tráfego não esteja sendo roteado por meio de um proxy para facilitar a implantação e a manutenção da ponte de recursos Arc.
| Serviço | Porta | IP/máquina | Direção | Notas |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs e Management machine |
Bidirecional | Usado para implantar e manter a VM do dispositivo. |
| Servidor da API do Kubernetes | 6443 | appliance VM IPs e Management machine |
Bidirecional | Gerenciamento da VM do dispositivo. |
| SSH | 22 | control plane IP e Management machine |
Bidirecional | Usado para implantar e manter a VM do dispositivo. |
| Servidor da API do Kubernetes | 6443 | control plane IP e Management machine |
Bidirecional | Gerenciamento da VM do dispositivo. |
| HTTPS | 443 | private cloud control plane address e Management machine |
A máquina de gerenciamento precisa de conexão de saída. | Comunicação com o plano de controle (ex: endereço VMware vCenter). |
Além disso, o VMware VSphere requer o seguinte:
| Serviço | Porta | URL | Direção | Notas |
|---|---|---|---|---|
| vCenter Server | 443 | URL do servidor vCenter | O IP da VM do dispositivo e o ponto de extremidade do plano de controle precisam de conexão de saída. | Usado pelo servidor vCenter para se comunicar com a VM do Appliance e o plano de controle. |
| Extensão VMware Cluster | 443 | azureprivatecloud.azurecr.io |
Os IPs de VM do dispositivo precisam de conexão de saída. | Puxe imagens de contêiner para Microsoft.VMWare e Microsoft.AVS Cluster Extension. |
| Azure CLI e Azure CLI Extensions | 443 | *.blob.core.windows.net |
A máquina de gerenciamento precisa de conexão de saída. | Baixe o Instalador da CLI do Azure e as extensões da CLI do Azure. |
| Azure Resource Manager | 443 | management.azure.com |
A máquina de gerenciamento precisa de conexão de saída. | Necessário para criar/atualizar recursos no Azure usando ARM. |
| Gráfico de leme para agentes do Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
A máquina de gerenciamento precisa de conexão de saída. | Ponto de extremidade do plano de dados para baixar as informações de configuração dos agentes Arc. |
| CLI do Azure | 443 | - login.microsoftonline.com - aka.ms |
A máquina de gerenciamento precisa de conexão de saída. | É necessário obter e atualizar os tokens do Azure Resource Manager. |
Para obter uma lista completa dos requisitos de rede para recursos do Azure Arc e serviços habilitados para Azure Arc, consulte Requisitos de rede do Azure Arc (Consolidado).
Requisitos de função/permissão do Azure
As funções mínimas do Azure necessárias para operações relacionadas ao VMware vSphere habilitado para Arc são as seguintes:
| Operação | Função mínima exigida | Scope |
|---|---|---|
| Integração do vCenter Server ao Arc | Azure Arc VMware Private Clouds Onboarding | Na subscrição ou no grupo de recursos em que pretende integrar |
| Administrando o VMware vSphere habilitado para Arc | Azure Arc VMware Administrator | Na assinatura ou grupo de recursos onde o recurso de servidor vCenter é criado |
| Provisionamento de VM | Usuário do Azure Arc VMware Private Cloud | Na assinatura ou grupo de recursos que contém o pool de recursos/cluster/host, armazenamento de dados e recursos de rede virtual ou nos próprios recursos |
| Provisionamento de VM | Azure Arc VMware VM Contributor | Na assinatura ou grupo de recursos em que você deseja provisionar VMs |
| Operações VM | Azure Arc VMware VM Contributor | Na assinatura ou grupo de recursos que contém a VM ou na própria VM |
Quaisquer funções com permissões mais altas no mesmo escopo, como Proprietário ou Colaborador, também permitirão que você execute as operações listadas acima.
Requisitos de gerenciamento de convidados (agente Arc)
Com o VMware vSphere habilitado para Arc, você pode instalar o agente de máquina conectado Arc em suas VMs em escala e usar os serviços de gerenciamento do Azure nas VMs. Existem requisitos adicionais para esta capacidade.
Para habilitar o gerenciamento de convidados (instale o agente de máquina conectado Arc), verifique o seguinte:
- A VM está ligada.
- A VM tem as ferramentas VMware instaladas e em execução.
- A ponte de recursos tem acesso ao host no qual a VM está sendo executada.
- A VM está executando um sistema operacional suportado.
- VM tem conectividade com a Internet diretamente ou através de proxy. Se a conexão for por meio de um proxy, verifique se essas URLs estão listadas como permitidas.
Além disso, certifique-se de que os requisitos abaixo sejam atendidos para permitir o gerenciamento de hóspedes.
Sistemas operativos suportados
Certifique-se de que está a utilizar uma versão dos sistemas operativos Windows ou Linux oficialmente suportada para o agente Azure Connected Machine. Apenas são suportadas arquiteturas x86-64 (64 bits). As arquiteturas x86 (32 bits) e baseadas em ARM, incluindo emulação x86-64 no arm64, não são ambientes operacionais suportados.
Requisitos de software
Sistemas operativos Windows:
- NET Framework 4.6 ou posterior é necessário. (Transfira o .NET Framework).
- É necessário o Windows PowerShell 5.1. Baixe o Windows Management Framework 5.1..
Sistemas operacionais Linux:
- systemd
- wget (para transferir o script de instalação)
Requisitos de rede
As seguintes exceções de URL de firewall são necessárias para os agentes do Azure Arc:
| URL | Descrição |
|---|---|
aka.ms |
Usado para resolver o script de download durante a instalação |
packages.microsoft.com |
Usado para baixar o pacote de instalação do Linux |
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows |
login.windows.net |
Microsoft Entra ID |
login.microsoftonline.com |
Microsoft Entra ID |
pas.windows.net |
Microsoft Entra ID |
management.azure.com |
Azure Resource Manager - para criar ou excluir o recurso do servidor Arc |
*.his.arc.azure.com |
Serviços de metadados e identidade híbrida |
*.guestconfiguration.azure.com |
Serviços de gerenciamento de extensões e configuração de convidados |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Serviço de notificação para cenários de extensão e conectividade |
azgn*.servicebus.windows.net |
Serviço de notificação para cenários de extensão e conectividade |
*.servicebus.windows.net |
Para cenários do Windows Admin Center e SSH |
*.blob.core.windows.net |
Fonte de download para extensões de servidores habilitadas para Azure Arc |
dc.services.visualstudio.com |
Telemetria do agente |