Matrice di supporto per Microsoft System Center Virtual Machine Manager abilitato per Azure Arc
Questo articolo fornisce i prerequisiti e i requisiti di supporto per l'uso di System Center Virtual Machine Manager (SCVMM) abilitato per Azure Arc per la gestione delle macchine virtuali locali gestite da SCVMM tramite Azure Arc.
Per usare SCVMM abilitato per Arc, è necessario distribuire un bridge di risorse di Azure Arc nell'ambiente gestito da SCVMM. Il bridge di risorse fornisce una connessione continua tra il server di gestione di SCVMM e Azure. Dopo aver connesso il server di gestione di SCVMM ad Azure, i componenti del bridge di risorse individuano l'inventario del server di gestione di SCVMM. È possibile abilitare i componenti in Azure e iniziare a eseguire le operazioni dell’hardware virtuale e del sistema operativo guest tramite Azure Arc.
Requisiti di System Center Virtual Machine Manager
Per usare SCVMM abilitato per Arc, è necessario soddisfare i requisiti seguenti.
Versioni di SCVMM supportate
SCVMM abilitato per Azure Arc funziona con le versioni VMM 2019 e 2022 e supporta server di gestione SCVMM con un massimo di 15.000 macchine virtuali.
Prerequisiti del bridge di risorse di Azure Arc
Nota
Se il server VMM è in esecuzione in un computer Windows Server 2016, assicurarsi che sia installato il pacchetto Open SSH. Se si distribuisce una versione precedente dell'appliance (versione precedente alla 0.2.25), l'operazione Arc non riesce, restituendo l’errore Cluster appliance non viene distribuito con l'autenticazione AAD. Per risolvere questo problema, scaricare la versione più recente dello script di onboarding e distribuire di nuovo il bridge di risorse. La distribuzione del bridge di risorse di Azure Arc tramite collegamento privato non è attualmente supportata.
| Requisito | Dettagli |
|---|---|
| Azure | Una sottoscrizione di Azure. Un gruppo di risorse nella sottoscrizione precedente in cui si ha il ruolo di Proprietario/Collaboratore. |
| (SCVMM) | È necessario un server di gestione SCVMM versione 2019 o successiva. Un cloud privato o un gruppo host con una capacità minima di 32 GB di RAM, 4 vCPU con 100 GB di spazio libero su disco. Le configurazioni di archiviazione supportate sono l'archiviazione ibrida (flash e HDD) e l'archiviazione all-flash (SSD o NVMe). Una rete delle macchine virtuali con accesso a Internet, direttamente o tramite proxy. La macchina virtuale dell'appliance verrà distribuita usando questa rete delle macchine virtuali. È supportata solo l'allocazione di IP statici; l'allocazione di IP dinamici tramite DHCP non è supportata. L'allocazione di IP statici può essere eseguita con uno degli approcci seguenti: 1. Pool IP VMM: Seguire questa procedura per creare un pool di indirizzi IP statici VMM e assicurarsi che il pool di indirizzi IP statici abbia almeno tre indirizzi IP. Se il server SCVMM è protetto da firewall, tutti gli indirizzi IP in questo pool IP e l'IP del piano di controllo devono essere autorizzati a comunicare tramite le porte WinRM. Le porte WinRM predefinite sono 5985 e 5986. 2. Intervallo IP personalizzato: Assicurarsi che la rete VM abbia tre indirizzi IP gratuiti continui. Se il server SCVMM è protetto da firewall, tutti gli indirizzi IP in questo intervallo IP e l'IP del piano di controllo devono essere autorizzati a comunicare tramite le porte WinRM. Le porte WinRM predefinite sono 5985 e 5986. Se la rete VM è configurata con una VLAN, l'ID VLAN è necessario come input. Il bridge di risorse di Azure Arc richiede una risoluzione DNS interna ed esterna per i siti necessari e il computer di gestione locale per l'IP del gateway statico e gli indirizzi IP dei server DNS sono necessari. Condivisione di libreria con autorizzazione di scrittura per l'account amministratore SCVMM tramite il quale verrà eseguita la distribuzione del bridge di risorse. |
| Account SCVMM | Un account amministratore SCVMM in grado di eseguire tutte le azioni amministrative su tutti gli oggetti gestiti da VMM. L'utente deve far parte dell'account amministratore locale nel server SCVMM. Se il server SCVMM è installato in una configurazione a disponibilità elevata, l'utente deve far parte degli account amministratore locale in tutti i nodi del cluster SCVMM. Verrà usato per il funzionamento continuativo di SCVMM abilitato per Azure Arc e per la distribuzione della macchina virtuale del bridge di risorse di Arc. |
| Workstation | La workstation verrà usata per eseguire lo script helper. Assicurarsi di avere installato l'interfaccia della riga di comando di Azure a 64 bit nella workstation. Si noti che, quando si esegue lo script da un computer Linux, la distribuzione potrebbe richiedere un po' più di tempo e potrebbero verificarsi problemi di prestazioni. |
Requisiti di rete del bridge di risorse
Sono necessarie le eccezioni dell'URL del firewall seguenti per la macchina virtuale del bridge di risorse di Azure Arc:
Requisiti di connettività in uscita
Gli URL del firewall e del proxy seguenti devono essere compresi nell'elenco elementi consentiti per abilitare la comunicazione dal computer di gestione, dalla macchina virtuale dell'appliance e dall'IP del piano di controllo agli URL necessari del bridge di risorse di Arc.
Elenco di indirizzi consentiti dell'URL del firewall/proxy
| Servizio | Porta | URL | Direzione | Note |
|---|---|---|---|---|
| Endpoint API SFS | 443 | msk8s.api.cdp.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare il catalogo dei prodotti, i bit di prodotto e le immagini del sistema operativo da SFS. |
| Download dell'immagine del bridge di risorse (appliance) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare le immagini del sistema operativo del bridge di risorse di Arc. |
| Registro Container Microsoft | 443 | mcr.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Individuare le immagini del contenitore per il bridge di risorse Arc. |
| Registro Container Microsoft | 443 | *.data.mcr.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare le immagini del contenitore per il bridge di risorse di Arc. |
| Server NTP Windows | 123 | time.windows.com |
Gli IP della macchina di gestione e della macchina virtuale dell’appliance (se l'impostazione predefinita di Hyper-V è NTP Windows) richiedono una connessione in uscita in UDP | Sincronizzazione dell'ora del sistema operativo nella macchina virtuale dell'appliance e nel computer di gestione (NTP Windows). |
| Azure Resource Manager | 443 | management.azure.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Gestire le risorse in Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per il controllo degli accessi in base al ruolo di Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
| Servizio Dataplane del bridge di risorse (appliance) | 443 | *.dp.prod.appliances.azure.com |
L'IP delle macchine virtuali dell'appliance richiede una connessione in uscita. | Comunicare con il provider di risorse in Azure. |
| Download dell'immagine del contenitore del bridge di risorse (appliance) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per eseguire il pull delle immagini del contenitore. |
| Identità gestita | 443 | *.his.arc.azure.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per eseguire il pull dei certificati di identità gestita assegnata dal sistema. |
| Download dell'immagine del contenitore di Azure Arc per Kubernetes | 443 | azurearcfork8s.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il pull delle immagini del contenitore. |
| Agente Azure Arc | 443 | k8connecthelm.azureedge.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | distribuire l'agente di Azure Arc. |
| Servizio di telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft dalla macchina virtuale dell'appliance. |
| Servizio dati degli eventi Microsoft | 443 | v20.events.data.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Inviare dati di diagnostica da Windows. |
| Raccolta di log per il bridge di risorse di Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il push dei log per i componenti gestiti dell'appliance. |
| Download dei componenti del bridge di risorse | 443 | kvamanagementoperator.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il pull degli artefatti per i componenti gestiti dell'appliance. |
| Gestione pacchetti open source di Microsoft | 443 | packages.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Scaricare il pacchetto di installazione di Linux. |
| Posizione personalizzata | 443 | sts.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per la posizione personalizzata. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per Azure Arc. |
| Posizione personalizzata | 443 | k8sconnectcsp.azureedge.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per la posizione personalizzata. |
| Dati di diagnostica | 443 | gcs.prod.monitoring.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Dati di diagnostica | 443 | *.prod.microsoftmetrics.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Dati di diagnostica | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Dati di diagnostica | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Azure portal | 443 | *.arc.azure.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Gestire il cluster dal portale di Azure. |
| Estensione e interfaccia della riga di comando di Azure | 443 | *.blob.core.windows.net |
Il computer di gestione richiede la connessione in uscita. | Scaricare il programma di installazione e l'estensione dell'interfaccia della riga di comando di Azure. |
| Agente Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
Il computer di gestione richiede la connessione in uscita. | Dataplane usato per l'agente Arc. |
| Pacchetto Python | 443 | pypi.org, *.pypi.org |
Il computer di gestione richiede la connessione in uscita. | Convalidare le versioni di Kubernetes e Python. |
| Interfaccia della riga di comando di Azure | 443 | pythonhosted.org, *.pythonhosted.org |
Il computer di gestione richiede la connessione in uscita. | Installazione dei pacchetti Python per l'interfaccia della riga di comando di Azure. |
Requisiti di connettività in entrata
Le comunicazioni tra le porte seguenti devono essere consentite dal computer di gestione, dagli IP della macchina virtuale dell'appliance e dagli IP del piano di controllo. Assicurarsi che queste porte siano aperte e che il traffico non venga instradato tramite un proxy per facilitare la distribuzione e la manutenzione del bridge di risorse Arc.
| Servizio | Porta | IP/computer | Direzione | Note |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs e Management machine |
Bidirezionale | Usato per la distribuzione e la gestione della macchina virtuale dell'appliance. |
| Server API Kubernetes | 6443 | appliance VM IPs e Management machine |
Bidirezionale | Gestione della macchina virtuale dell'appliance. |
| SSH | 22 | control plane IP e Management machine |
Bidirezionale | Usato per la distribuzione e la gestione della macchina virtuale dell'appliance. |
| Server API Kubernetes | 6443 | control plane IP e Management machine |
Bidirezionale | Gestione della macchina virtuale dell'appliance. |
| HTTPS | 443 | private cloud control plane address e Management machine |
Il computer di gestione richiede la connessione in uscita. | Comunicazione con il piano di controllo (ad esempio, indirizzo VMware vCenter). |
Nota
Per configurare il proxy SSL e per visualizzare l'elenco di esclusione per nessun proxy, vedere Requisiti di rete aggiuntivi.
SCVMM richiede inoltre l'eccezione seguente:
| Servizio | Porta | URL | Direzione | Note |
|---|---|---|---|---|
| Server di gestione SCVMM | 443 | URL del server di gestione SCVMM. | L'IP della macchina virtuale dell'appliance e l'endpoint del piano di controllo richiedono una connessione in uscita. | Usato dal server SCVMM per comunicare con la macchina virtuale dell'appliance e il piano di controllo. |
| WinRM | Numeri di porta WinRM (valori predefiniti: 5985 e 5986). | URL del servizio WinRM. | Gli indirizzi IP nel pool IP usato dalla macchina virtuale dell'appliance e il piano di controllo richiedono la connessione con il server VMM. | Usato dal server SCVMM per comunicare con la macchina virtuale dell'appliance. |
In genere, i requisiti di connettività includono i principi seguenti:
- Tutte le connessioni sono TCP, se non diversamente specificato.
- Tutte le connessioni HTTP usano i protocolli HTTPS e SSL/TLS con certificati firmati e verificabili ufficialmente.
- Tutte le connessioni sono in uscita, se non diversamente specificato.
Per usare un proxy, verificare che gli agenti e il computer che eseguono il processo di onboarding soddisfino i requisiti di rete riportati in questo articolo.
Per un elenco completo dei requisiti di rete per le funzionalità di Azure Arc e i servizi abilitati per Azure Arc, vedere Requisiti di rete di Azure Arc (consolidati).
Requisiti del ruolo o dell'autorizzazione di Azure
I ruoli minimi di Azure necessari per le operazioni correlate alla piattaforma SCVMM abilitata per Arc sono i seguenti:
| Operazione | Ruolo minimo necessario | Scope |
|---|---|---|
| Onboarding del server di gestione di SCVMM in Arc | Onboarding dei cloud privati di SCVMM in Azure Arc | Nella sottoscrizione o nel gruppo di risorse in cui si vuole eseguire l'onboarding |
| Amministrazione di SCVMM abilitato per Arc | Ruolo di amministratore di SCVMM in Azure Arc | Nella sottoscrizione o nel gruppo di risorse in cui viene creata la risorsa del server di gestione di SCVMM |
| Provisioning della macchina virtuale | Utente del cloud privato di SCVMM in Azure Arc | Nella sottoscrizione o nel gruppo di risorse che contiene il cloud, l’archivio dati e le risorse della rete virtuale di SCVMM o nelle risorse stesse |
| Provisioning della macchina virtuale | Collaboratore macchina virtuale di SCVMM in Azure Arc | Nella sottoscrizione o nel gruppo di risorse in cui si vuole eseguire il provisioning delle macchine virtuali |
| Operazioni delle macchine virtuali | Collaboratore macchina virtuale di SCVMM in Azure Arc | Nella sottoscrizione o nel gruppo di risorse che contiene la macchina virtuale o nella macchina virtuale stessa |
Tutti i ruoli con autorizzazioni più elevate nello stesso ambito, ad esempio Proprietario o Collaboratore, consentiranno anche di eseguire le operazioni elencate in precedenza.
Requisiti dell'agente del computer connesso di Azure (Gestione guest)
Prima di installare gli agenti Arc su larga scala per le macchine virtuali SCVMM, verificare quanto segue:
- Il bridge di risorse deve essere in esecuzione.
- Il server di gestione SCVMM deve trovarsi in uno stato connesso.
- L'account utente deve disporre delle autorizzazioni elencate nel ruolo di amministratore di SVCMM abilitato per Azure Arc.
- Tutti i computer di destinazione sono:
- Il bridge di risorse è acceso e dispone della connettività di rete con l'host che esegue la macchina virtuale.
- Eseguono un sistema operativo supportato.
- Sono in grado di connettersi tramite il firewall per comunicare in Internet e questi URL non sono bloccati.
Versioni di SCVMM supportate
SCVMM abilitato per Azure Arc supporta l'installazione diretta degli agenti di Arc nelle macchine virtuali gestite da:
- SCVMM 2022 UR1 o versioni successive del server o della console SCVMM
- SCVMM 2019 UR5 o versioni successive del server o della console SCVMM
Per le macchine virtuali gestite da altre versioni di SCVMM, installare gli agenti di Arc tramite lo script.
Importante
È consigliabile mantenere il server di gestione SCVMM e la console SCVMM nella stessa versione Long-Term Servicing Channel (LTSC) e Aggiornamento Rollup (UR).
Sistemi operativi supportati
SCVMM abilitato per Azure Arc supporta l'installazione diretta degli agenti di Arc nelle macchine virtuali che eseguono sistemi operativi Windows Server 2022, 2019, 2016, 2012R2, Windows 10 e Windows 11. Per altri sistemi operativi Windows e Linux, installare gli agenti di Arc tramite lo script.
Requisiti software
Sistemi operativi Windows:
- Microsoft consiglia di eseguire la versione più recente, Windows Management Framework 5.1.
Sistemi operativi Linux:
- systemd
- wget (per scaricare lo script di installazione)
- openssl
- gnupg (solo sistemi basati su Debian)
Requisiti di rete
Per gli agenti di Azure Arc sono necessarie le eccezioni dell'URL del firewall seguenti:
| URL | Descrizione |
|---|---|
aka.ms |
Usate per risolvere lo script di download durante l'installazione |
packages.microsoft.com |
Usate per scaricare il pacchetto di installazione di Linux |
download.microsoft.com |
Usato per scaricare il pacchetto di installazione di Windows |
login.windows.net |
Microsoft Entra ID |
login.microsoftonline.com |
Microsoft Entra ID |
pas.windows.net |
Microsoft Entra ID |
management.azure.com |
Azure Resource Manager - per creare o eliminare la risorsa server di Arc |
*.his.arc.azure.com |
Metadati e servizi di identità ibrida |
*.guestconfiguration.azure.com |
Gestione delle estensioni e servizi di configurazione guest |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Servizio di notifica per scenari di estensione e connettività |
azgn*.servicebus.windows.net |
Servizio di notifica per scenari di estensione e connettività |
*.servicebus.windows.net |
Per gli scenari di Windows Admin Center e SSH |
*.blob.core.windows.net |
Scaricare l'origine per le estensioni dei server abilitati per Azure Arc |
dc.services.visualstudio.com |
Telemetria dell'agente |
Passaggi successivi
Connettere il server di gestione di System Center Virtual Machine Manager ad Azure Arc.