你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
已启用 Azure Arc 的 System Center Virtual Machine Manager 的支持矩阵
本文介绍使用已启用 Azure Arc 的 System Center Virtual Machine Manager (SCVMM) 通过 Azure Arc 管理 SCVMM 托管本地 VM 的先决条件和支持要求。
若要使用已启用 Arc 的 SCVMM,必须在 SCVMM 托管环境中部署 Azure Arc 资源网桥。 资源网桥在 SCVMM 管理服务器与 Azure 之间提供持续连接。 将 SCVMM 管理服务器连接到 Azure 后,资源网桥上的组件会发现 SCVMM 管理服务器清单。 可以在 Azure 中启用它们,并开始使用 Azure Arc 在其上执行虚拟硬件和来宾操作系统操作。
System Center Virtual Machine Manager 要求
若要使用已启用 Arc 的 SCVMM,必须满足以下要求。
支持的 SCVMM 版本
已启用 Azure Arc 的 SCVMM 适用于 VMM 2019 和 2022 版本,并支持最多有 15,000 个 VM 的 SCVMM 管理服务器。
Azure Arc 资源网桥先决条件
注意
如果 VMM 服务器在 Windows Server 2016 计算机上运行,请确保已安装 Open SSH 包。 如果部署旧版本的设备(版本低于 0.2.25),Arc 操作会失败并显示错误“未使用 AAD 身份验证部署设备群集”。 若要解决此问题,请下载最新版本的加入脚本并再次部署资源网桥。 目前不支持使用专用链接的 Azure Arc 资源桥部署。
要求 | 详细信息 |
---|---|
Azure | 一个 Azure 订阅 上述订阅中的资源组,你在该订阅中具有所有者/参与者角色。 |
SCVMM | 需要运行版本 2019 或更高版本的 SCVMM 管理服务器。 一个私有云或主机组,包含至少 32 GB RAM 可用容量,4 个 vCPU 和 100 GB 可用磁盘空间。 支持的存储配置是混合存储(闪存和 HDD)和全闪存存储(SSD 或 NVMe)。 可直接或通过代理访问 Internet 的 VM 网络。 设备 VM 将使用此 VM 网络进行部署。 仅支持静态 IP 分配;不支持使用 DHCP 进行动态 IP 分配。 静态 IP 分配可以通过以下方法之一执行: 1. VMM IP 池:按照这些步骤创建 VMM 静态 IP 池,并确保静态 IP 池至少有四个 IP 地址。 如果 SCVMM 服务器位于防火墙后面,则应允许此 IP 池中的所有 IP 以及控制平面 IP 通过 WinRM 端口进行通信。 默认 WinRM 端口为 5985 和 5986。 2. 自定义 IP 范围:确保 VM 网络具有三个连续的免费 IP 地址。 如果 SCVMM 服务器位于防火墙后面,则应允许此 IP 范围中的所有 IP 以及控制平面 IP 通过 WinRM 端口进行通信。 默认 WinRM 端口为 5985 和 5986。 如果 VM 网络配置了 VLAN,则需要输入 VLAN ID。 Azure Arc 资源网桥需要对所需站点和本地管理计算机进行内部和外部 DNS 解析,以根据需要获取静态网关 IP 和 DNS 服务器的 IP 地址。 一个对 SCVMM 管理员帐户具有写入权限的库共享,将通过该共享执行资源桥部署。 |
SCVMM 帐户 | 可以对 VMM 管理的所有对象执行所有管理操作的 SCVMM 管理员帐户。 该用户帐户应是 SCVMM 服务器中的本地管理员组的成员。 如果 SCVMM 服务器安装在高可用性配置中,则用户应是所有 SCVMM 群集节点中本地管理员帐户的一部分。 这将用于对已启用 Azure Arc 的 SCVMM 进行持续操作,以及部署 Arc 资源网桥 VM。 |
工作站 | 工作站将用于运行帮助程序脚本。 确保在工作站上安装了 64 位 Azure CLI。 从 Linux 计算机执行脚本时,部署需要更长时间,并且可能会遇到性能问题。 |
资源网桥网络要求
Azure Arc 资源网桥 VM 需要以下防火墙 URL 例外:
出站连接性要求
必须将下面的防火墙和代理 URL 加入允许列表中,以便启用从管理计算机、设备 VM 和控制平面 IP 到所需 ARC 资源桥 URL 的通信。
防火墙/代理 URL 允许列表
服务 | 端口 | URL | 方向 | 说明 |
---|---|---|---|---|
SFS API 终结点 | 443 | msk8s.api.cdp.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 从 SFS 下载产品目录、产品位和 OS 映像。 |
资源网桥(设备)映像下载 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 下载 Arc 资源网桥 OS 映像。 |
Microsoft 容器注册表 | 443 | mcr.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 发现 Arc 资源网桥的容器映像。 |
Microsoft 容器注册表 | 443 | *.data.mcr.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 下载 Arc 资源网桥的容器映像。 |
Windows NTP 服务器 | 123 | time.windows.com |
管理计算机和设备 VM IP(如果 Hyper-V 默认值为 Windows NTP)需要在 UDP 上建立出站连接 | 设备 VM 和管理计算机 (Windows NTP) 中的 OS 时间同步。 |
Azure Resource Manager | 443 | management.azure.com |
管理计算机和设备 VM IP 需要出站连接。 | 管理 Azure 中的资源。 |
Microsoft Graph | 443 | graph.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | Azure RBAC 所需。 |
Azure Resource Manager | 443 | login.microsoftonline.com |
管理计算机和设备 VM IP 需要出站连接。 | 更新 ARM 令牌所需。 |
Azure Resource Manager | 443 | *.login.microsoft.com |
管理计算机和设备 VM IP 需要出站连接。 | 更新 ARM 令牌所需。 |
Azure Resource Manager | 443 | login.windows.net |
管理计算机和设备 VM IP 需要出站连接。 | 更新 ARM 令牌所需。 |
资源网桥(设备)数据平面服务 | 443 | *.dp.prod.appliances.azure.com |
设备 VM IP 需要出站连接。 | 与 Azure 中的资源提供程序通信。 |
资源网桥(设备)容器映像下载 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
设备 VM IP 需要出站连接。 | 需拉取容器映像。 |
托管标识 | 443 | *.his.arc.azure.com |
设备 VM IP 需要出站连接。 | 拉取系统分配的托管标识证书时必需。 |
Azure Arc for Kubernetes 容器映像下载 | 443 | azurearcfork8s.azurecr.io |
设备 VM IP 需要出站连接。 | 拉取容器映像。 |
Azure Arc 代理 | 443 | k8connecthelm.azureedge.net |
设备 VM IP 需要出站连接。 | 部署 Azure Arc 代理。 |
ADHS 遥测服务 | 443 | adhs.events.data.microsoft.com |
设备 VM IP 需要出站连接。 | 定期从设备 VM 发送 Microsoft 所需的诊断数据。 |
Microsoft 事件数据服务 | 443 | v20.events.data.microsoft.com |
设备 VM IP 需要出站连接。 | 从 Windows 发送诊断数据。 |
Arc 资源网桥的日志收集 | 443 | linuxgeneva-microsoft.azurecr.io |
设备 VM IP 需要出站连接。 | 为设备托管组件推送日志。 |
资源网桥组件下载 | 443 | kvamanagementoperator.azurecr.io |
设备 VM IP 需要出站连接。 | 为设备托管组件拉取项目。 |
Microsoft 开放源代码包管理器 | 443 | packages.microsoft.com |
设备 VM IP 需要出站连接。 | 下载 Linux 安装包。 |
自定义位置 | 443 | sts.windows.net |
设备 VM IP 需要出站连接。 | 自定义位置时必需。 |
Azure Arc | 443 | guestnotificationservice.azure.com |
设备 VM IP 需要出站连接。 | 使用 Azure Arc 时必需。 |
自定义位置 | 443 | k8sconnectcsp.azureedge.net |
设备 VM IP 需要出站连接。 | 自定义位置时必需。 |
诊断数据 | 443 | gcs.prod.monitoring.core.windows.net |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
诊断数据 | 443 | *.prod.microsoftmetrics.com |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
诊断数据 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
诊断数据 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
设备 VM IP 需要出站连接。 | 定期发送 Microsoft 所需的诊断数据。 |
Azure 门户 | 443 | *.arc.azure.net |
设备 VM IP 需要出站连接。 | 从 Azure 门户管理群集。 |
Azure CLI 和扩展 | 443 | *.blob.core.windows.net |
管理计算机需要出站连接。 | 下载 Azure CLI 安装程序和扩展。 |
Azure Arc 代理 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理计算机需要出站连接。 | 用于 Arc 代理的数据平面。 |
Python 包 | 443 | pypi.org 、*.pypi.org |
管理计算机需要出站连接。 | 验证 Kubernetes 和 Python 版本。 |
Azure CLI | 443 | pythonhosted.org 、*.pythonhosted.org |
管理计算机需要出站连接。 | 用于 Azure CLI 安装的 Python 包。 |
入站连接性要求
必须在管理计算机、设备 VM IP 和控制平面 IP 中允许以下端口之间的通信。 确保这些端口已打开,并且流量不会通过代理路由,以便于部署和维护 Arc 资源网桥。
服务 | 端口 | IP/计算机 | 方向 | 说明 |
---|---|---|---|---|
SSH | 22 | appliance VM IPs 和 Management machine |
双向 | 用于部署和维护设备 VM。 |
Kubernetes API 服务器 | 6443 | appliance VM IPs 和 Management machine |
双向 | 设备 VM 的管理。 |
SSH | 22 | control plane IP 和 Management machine |
双向 | 用于部署和维护设备 VM。 |
Kubernetes API 服务器 | 6443 | control plane IP 和 Management machine |
双向 | 设备 VM 的管理。 |
HTTPS | 443 | private cloud control plane address 和 Management machine |
管理计算机需要出站连接。 | 与控制平面(例如 VMware vCenter 地址)通信。 |
注意
若要配置 SSL 代理并查看无代理的排除列表,请参阅其他网络要求。
此外,SCVMM 还需要以下例外项:
服务 | 端口 | URL | 方向 | 说明 |
---|---|---|---|---|
SCVMM 管理服务器 | 443 | SCVMM 管理服务器的 URL。 | 设备 VM IP 和控制平面终结点需要出站连接。 | 由 SCVMM 服务器用来与设备 VM 和控制平面通信。 |
WinRM | WinRM 端口号(默认值:5985 和 5986)。 | WinRM 服务的 URL。 | 设备 VM 和控制平面使用的 IP 池中的 IP 需要与 VMM 服务器进行连接。 | 由 SCVMM 服务器用来与设备 VM 通信。 |
通常,连接要求包括以下原则:
- 除非另有说明,否则所有连接都是 TCP 连接。
- 所有 HTTP 连接都使用 HTTPS 和 SSL/TLS,并带有正式签名和可验证的证书。
- 除非另有说明,否则所有连接都是出站连接。
若要使用代理,请验证执行加入流程的代理和电脑满足本文中所述的网络要求。
有关 Azure ARC 功能和支持 Azure ARC 的服务的网络要求的完整列表,请参阅 AzureARC 网络要求(合并)。
Azure 角色/权限要求
与已启用 Arc 的 SCVMM 相关的操作所需的最低 Azure 角色如下所示:
操作 | 所需的最低角色 | 范围 |
---|---|---|
将 SCVMM 管理服务器加入 Arc | Azure Arc SCVMM 私有云加入 | 在要加入到的订阅或资源组上 |
管理已启用 Arc 的 SCVMM | Azure Arc SCVMM 管理员 | 在创建 SCVMM 管理服务器资源的订阅或资源组上 |
VM 预配 | Azure Arc SCVMM 私有云用户 | 在包含 SCVMM 云、数据存储和虚拟网络资源的订阅或资源组上,或在资源本身上 |
VM 预配 | Azure Arc SCVMM VM 参与者 | 在要预配 VM 的订阅或资源组上 |
VM 操作 | Azure Arc SCVMM VM 参与者 | 在包含 VM 的订阅或资源组上,或在 VM 本身上 |
在同一作用域上具有更高权限的任何角色(如“所有者”或“参与者”)也允许你执行上面列出的操作。
Azure Connected Machine Agent(来宾管理)要求
在为 SCVMM VM 大规模安装 Arc 代理之前,请确保满足以下条件:
- 资源网桥必须处于运行状态。
- SCVMM 管理服务器必须处于连接状态。
- 用户帐户必须具有已启用 Azure Arc 的 SCVMM 管理员角色中列出的权限。
- 所有目标计算机均:
支持的 SCVMM 版本
已启用 Azure Arc 的 SCVMM 支持在通过以下方式托管的 VM 中直接安装 Arc 代理:
- SCVMM 2022 UR1 或更高版本的 SCVMM 服务器或控制台
- SCVMM 2019 UR5 或更高版本的 SCVMM 服务器或控制台
对于由其他 SCVMM 版本托管的 VM,通过脚本安装 Arc 代理。
重要
建议在相同的长期服务通道 (LTSC) 和更新汇总 (UR) 版本中维护 SCVMM 管理服务器和 SCVMM 控制台。
受支持的操作系统
已启用 Azure Arc 的 SCVMM 支持在运行 Windows Server 2022、2019、2016、2012R2、Windows 10 和 Windows 11 操作系统的 VM 中直接安装 Arc 代理。 对于其他 Windows 和 Linux 操作系统,通过脚本安装 Arc 代理。
软件要求
Windows 操作系统:
- Microsoft 建议运行最新版本的 Windows Management Framework 5.1。
Linux 操作系统:
- systemd
- wget(用于下载安装脚本)
- openssl
- gnupg(仅限基于 Debian 的系统)
网络要求
Azure Arc 代理需要以下防火墙 URL 例外:
URL | 描述 |
---|---|
aka.ms |
用于在安装过程中解析下载脚本 |
packages.microsoft.com |
用于下载 Linux 安装包 |
download.microsoft.com |
用于下载 Windows 安装包 |
login.windows.net |
Microsoft Entra ID |
login.microsoftonline.com |
Microsoft Entra ID |
pas.windows.net |
Microsoft Entra ID |
management.azure.com |
Azure 资源管理器 - 创建或删除 Arc 服务器资源 |
*.his.arc.azure.com |
元数据和混合标识服务 |
*.guestconfiguration.azure.com |
扩展管理和来宾配置服务 |
guestnotificationservice.azure.com 、*.guestnotificationservice.azure.com |
扩展和连接方案的通知服务 |
azgn*.servicebus.windows.net |
扩展和连接方案的通知服务 |
*.servicebus.windows.net |
对于 Windows Admin Center 和 SSH 方案 |
*.blob.core.windows.net |
下载启用了 Azure Arc 的服务器扩展的源 |
dc.services.visualstudio.com |
代理遥测 |