已啟用 Azure Arc 的 System Center Virtual Machine Manager 的支援矩陣
本文記載了使用已啟用 Azure Arc 的 System Center Virtual Machine Manager (SCVMM) 透過 Azure Arc 管理您的 SCVMM 受控內部部署 VM 的必要條件和支援需求。
若要使用已啟用 Arc 的 SCVMM,您必須在您的 SCVMM 受控環境中部署 Azure Arc 資源橋接器。 資源橋接器提供您的 SCVMM 管理伺服器與 Azure 之間的持續連線。 將您的 SCVMM 管理伺服器連線到 Azure 之後,資源橋接器上的元件就會探索您的 SCVMM 管理伺服器清單。 您可以在 Azure 中啟用它們,並使用 Azure Arc 開始對其執行虛擬硬體和客體 OS 作業。
System Center Virtual Machine Manager 需求
必須符合下列需求才能使用已啟用 Arc 的 SCVMM。
支援的 SCVMM 版本
已啟用 Azure Arc 的 SCVMM 可與 VMM 2019 和 2022 版本搭配運作,且支援最多具有 15,000 個 VM 的 SCVMM 管理伺服器。
Azure Arc 資源橋接器必要條件
注意
如果 VMM 伺服器在 Windows Server 2016 機器上執行,請確實安裝開啟 SSH 套件。 如果您部署舊版設備 (版本小於 0.2.25),Arc 作業會失敗,並出現錯誤未使用 AAD 驗證來部署設備叢集。 若要修正此問題,請下載最新版的上線指令碼,然後重新部署資源橋接器。 目前不支援使用私人連結來部署 Azure Arc 資源橋接器。
| 需求 | 詳細資料 |
|---|---|
| Azure | Azure 訂用帳戶 您在上述訂用帳戶中具有「擁有者/參與者」角色的資源群組。 |
| SCVMM | 您需要執行 2019 版或更新版本的 SCVMM 管理伺服器。 最小可用容量為 32 GB 的 RAM、4 個 vCPU 且有 100 GB 可用磁碟空間的私人雲端或主機群組。 支援的儲存體設定 - 混合式儲存體 (快閃和 HDD) 和全快閃儲存體 (SSD 或 NVMe)。 可直接或透過 Proxy 來存取網際網路的 VM 網路。 設備 VM 將使用此 VM 網路進行部署。 僅支持靜態 IP 配置;不支援使用 DHCP 的動態 IP 配置。 靜態 IP 設定可以透過下列其中一種方法來執行: 1.VMM IP 集區:請遵循這些步驟來建立 VMM 靜態 IP 集區,並確保靜態 IP 集區有至少三個 IP 位址。 如果 SCVMM 伺服器位於防火牆後方,則應允許此 IP 集區中的所有 IP 和控制平面 IP 透過 WinRM 連接埠進行通訊。 預設 WinRM 連接埠為 5985 和 5986。 2.自訂 IP 範圍:請確定您的 VM 網路有三個連續免費 IP 位址。 如果 SCVMM 伺服器位於防火牆後方,則應允許此 IP 範圍中的所有 IP 和控制平面 IP 透過 WinRM 連接埠進行通訊。 預設 WinRM 連接埠為 5985 和 5986。 如果 VM 網路是以 VLAN 設定,則需要 VLAN 識別碼作為輸入。 Azure Arc 資源網橋需要內部和外部 DNS 解析,才能解析所需的站台和靜態閘道 IP 的內部部署管理機器,以及 DNS 伺服器的 IP 位址。 具有 SCVMM 系統管理員帳戶寫入權限的程式庫共用,系統會透過此帳戶來部署資源橋接器。 |
| SCVMM 帳戶 | 可在 VMM 管理的所有物件上執行所有系統管理動作的 SCVMM 系統管理員帳戶。 使用者應該是 SCVMM 伺服器中本機系統管理員帳戶的一部分。 如果 SCVMM 伺服器安裝在高可用性設定中,則使用者應該是所有 SCVMM 叢集節點中本機系統管理員帳戶的一部分。 系統會使用此帳戶來持續操作已啟用 Azure Arc 的 SCVMM 及部署 Arc 資源橋接器 VM。 |
| 工作站 | 我們會使用工作站來執行協助程式指令碼。 請確定您已在工作站上安裝了 64 位元的 Azure CLI。 您從 Linux 機器執行指令碼時,部署需要比較久的時間才能完成,而且您可能會遇到效能問題。 |
資源橋接器網路需求
Azure Arc 資源橋接器 VM 需要以下的防火牆 URL 例外狀況:
輸出連線能力需求
以下防火牆和 Proxy URL 必須列入允許清單中,才能啟用從管理機器、設備 VM 及控制平面 IP 到必要 Arc 資源橋接器 URL 的通訊。
防火牆/Proxy URL 允許清單
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| SFS API 端點 | 443 | msk8s.api.cdp.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 從 SFS 下載產品目錄、產品位元和 OS 映像。 |
| 資源橋接器 (設備) 映像下載 | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 下載 Arc Resource Bridge OS 映射。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 探索 Arc 資源橋接器的容器映像。 |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 下載 Arc 資源橋接器的容器映像。 |
| Windows NTP 伺服器 | 123 | time.windows.com |
管理機器與設備 VM IP (如果 Hyper-V 預設值為 Windows NTP) 需要透過 UDP 的輸出連線 | 設備 VM 與管理機器 (Windows NTP) 中的 OS 時間同步。 |
| Azure Resource Manager | 443 | management.azure.com |
管理機器與設備 VM IP 需要輸出連線。 | 管理 Azure 中的資源。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | Azure RBAC 的必要項目。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理機器與設備 VM IP 需要輸出連線。 | 更新 ARM 權杖的必要項目。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理機器與設備 VM IP 需要輸出連線。 | 更新 ARM 權杖的必要項目。 |
| Azure Resource Manager | 443 | login.windows.net |
管理機器與設備 VM IP 需要輸出連線。 | 更新 ARM 權杖的必要項目。 |
| 資源橋接器 (設備) 資料平面服務 | 443 | *.dp.prod.appliances.azure.com |
設備 VM IP 需要輸出連線。 | 與 Azure 中的資源提供者通訊。 |
| 資源橋接器 (設備) 容器映像下載 | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像的必要項目。 |
| 受控識別 | 443 | *.his.arc.azure.com |
設備 VM IP 需要輸出連線。 | 提取系統指派受控識別憑證的必要項目。 |
| 適用於 Kubernetes 的 Azure Arc 容器映像下載 | 443 | azurearcfork8s.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取容器映像。 |
| Azure Arc 代理程式 | 443 | k8connecthelm.azureedge.net |
設備 VM IP 需要輸出連線。 | 部署 Azure Arc 代理程式。 |
| ADHS 遙測服務 | 443 | adhs.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 定期從設備 VM 傳送 Microsoft 所需的診斷資料。 |
| Microsoft 事件資料服務 | 443 | v20.events.data.microsoft.com |
設備 VM IP 需要輸出連線。 | 從 Windows 傳送診斷資料。 |
| Arc 資源橋接器的記錄集合 | 443 | linuxgeneva-microsoft.azurecr.io |
設備 VM IP 需要輸出連線。 | 推送設備受控元件的記錄。 |
| 資源橋接器元件下載 | 443 | kvamanagementoperator.azurecr.io |
設備 VM IP 需要輸出連線。 | 提取設備受控元件的成品。 |
| Microsoft 開放原始碼套件管理員 | 443 | packages.microsoft.com |
設備 VM IP 需要輸出連線。 | 下載 Linux 安裝套件。 |
| 自訂位置 | 443 | sts.windows.net |
設備 VM IP 需要輸出連線。 | 自訂位置的必要項目。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
設備 VM IP 需要輸出連線。 | Azure Arc 的必要項目。 |
| 自訂位置 | 443 | k8sconnectcsp.azureedge.net |
設備 VM IP 需要輸出連線。 | 自訂位置的必要項目。 |
| 診斷資料 | 443 | gcs.prod.monitoring.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| 診斷資料 | 443 | *.prod.microsoftmetrics.com |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| 診斷資料 | 443 | *.prod.hot.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| 診斷資料 | 443 | *.prod.warm.ingest.monitor.core.windows.net |
設備 VM IP 需要輸出連線。 | 定期傳送 Microsoft 所需的診斷資料。 |
| Azure 入口網站 | 443 | *.arc.azure.net |
設備 VM IP 需要輸出連線。 | 從 Azure 入口網站管理叢集。 |
| Azure CLI 與延伸模組 | 443 | *.blob.core.windows.net |
管理機器需要輸出連線。 | 下載 Azure CLI 安裝程式和延伸模組。 |
| Azure Arc 代理程式 | 443 | *.dp.kubernetesconfiguration.azure.com |
管理機器需要輸出連線。 | 用於 Arc 代理程式的資料平面。 |
| Python 套件 | 443 | % | 管理機器需要輸出連線。 | 驗證 Kubernetes 和 Python 版本。 |
| Azure CLI | 443 | % | 管理機器需要輸出連線。 | 適用於 Azure CLI 安裝的 Python 套件。 |
輸入連線能力需求
必須允許從管理機器、設備 VM IP 和控制平面 IP 進行下列連接埠之間的通訊。 請確定這些連接埠已開啟,且流量不會透過 Proxy 路由傳送,以利 Arc 資源橋接器的部署和維護。
| 服務 | 通訊埠 | IP/機器 | 方向 | 注意事項 |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs 和 Management machine |
雙向 | 用於部署及維護設備 VM。 |
| Kubernetes API 伺服器 | 6443 | appliance VM IPs 和 Management machine |
雙向 | 管理設備 VM。 |
| SSH | 22 | control plane IP 和 Management machine |
雙向 | 用於部署及維護設備 VM。 |
| Kubernetes API 伺服器 | 6443 | control plane IP 和 Management machine |
雙向 | 管理設備 VM。 |
| HTTPS | 443 | private cloud control plane address 和 Management machine |
管理機器需要輸出連線。 | 與控制平面通訊 (例如:VMware vCenter 位址)。 |
注意
若要設定 SSL Proxy 並檢視無 Proxy 的排除清單,請參閱其他網路需求。
此外,SCVMM 需要下列例外:
| 服務 | 通訊埠 | URL | 方向 | 注意事項 |
|---|---|---|---|---|
| SCVMM 管理伺服器 | 443 | SCVMM 管理伺服器的 URL。 | 設備 VM IP 和控制平面端點都需要輸出連線。 | 供 SCVMM 伺服器用來與設備 VM 和控制平面通訊。 |
| WinRM | WinRM 連接埠號碼 (預設值:5985 和 5986)。 | WinRM 服務的 URL。 | 設備 VM 和控制平面所使用的 IP 集區中的 IP 需要與 VMM 伺服器連線。 | 供 SCVMM 伺服器用來與設備 VM 通訊。 |
一般而言,連線需求包括下列原則:
- 所有連線皆為 TCP,除非另有指定。
- 所有 HTTP 連線都會使用具有正式簽署和可驗證憑證的 HTTPS 和 SSL/TLS。
- 所有連線皆為輸出,除非另有指定。
若要使用 Proxy,請確認執行上線程序的代理程式和機器符合本文中的網路需求。
如需 Azure Arc 功能和已啟用 Azure Arc 的服務的網路需求完整清單,請參閱 Azure Arc 網路需求 (合併)。
Azure 角色/權限需求
與已啟用 Arc 的 SCVMM 相關的作業所需的最低 Azure 角色如下:
| 運算 | 所需的最低角色 | Scope |
|---|---|---|
| 將您的 SCVMM 管理伺服器上線至 Arc | Azure Arc SCVMM 私人雲端上線 | 在您要上線到的訂用帳戶或資源群組上 |
| 管理已啟用 Arc 的 SCVMM | Azure Arc SCVMM 系統管理員 | 在建立 SCVMM 管理伺服器資源的訂用帳戶或資源群組上 |
| VM 佈建 | Azure Arc SCVMM 私人雲端使用者 | 在包含 SCVMM 雲端、資料存放區和虛擬網路資源的訂用帳戶或資源群組上,或在資源本身上 |
| VM 佈建 | Azure Arc SCVMM VM 參與者 | 在要佈建 VM 的訂用帳戶或資源群組上 |
| VM 作業 | Azure Arc SCVMM VM 參與者 | 在包含 VM 的訂用帳戶或資源群組上,或在 VM 本身上 |
在相同範圍具有較高權限的任何角色 (例如擁有者或參與者),也都可讓您執行上述作業。
Azure 連線機器代理程式 (來賓管理) 需求
在大規模安裝適用於 SCVMM VM 的 Arc 代理程式之前,請先確定下列事項:
- 資源橋接器必須處於執行中狀態。
- SCVMM 管理伺服器必須處於連線狀態。
- 使用者帳戶必須具有已啟用 Azure Arc 的 SCVMM 系統管理員角色中所列的權限。
- 所有目標機器都:
支援的 SCVMM 版本
已啟用 Azure Arc 的 SCVMM 支援在由下項管理的 VM 中直接安裝 Arc 代理程式:
- SCVMM 2022 UR1 或更新版本的 SCVMM 伺服器或主控台
- SCVMM 2019 UR5 或更新版本的 SCVMM 伺服器或主控台
對於由其他 SCVMM 版本管理的 VM,請透過指令碼安裝 Arc 代理程式。
重要
建議您在同一個長期維護通道 (LTSC) 和更新彙總套件 (UR) 版本中維護 SCVMM 管理伺服器和 SCVMM 主控台。
受支援的作業系統
已啟用 Azure Arc 的 SCVMM 支援在執行 Windows Server 2022、2019、2016、2012R2、Windows 10 和 Windows 11 作業系統的 VM 中直接安裝 Arc 代理程式。 對於其他 Windows 和 Linux 作業系統,請透過指令碼安裝 Arc 代理程式。
軟體需求
Windows 作業系統:
- Microsoft 建議執行最新版本,即 Windows Management Framework 5.1。
Linux 作業系統:
- systemd
- wget (下載安裝指令碼)
- openssl
- gnupg (僅限 Debian 型系統)
網路需求
Azure Arc 代理程式需要以下的防火牆 URL 例外狀況:
| URL | 說明 |
|---|---|
aka.ms |
用來在安裝期間解析下載指令碼 |
packages.microsoft.com |
用來下載 Linux 安裝套件 |
download.microsoft.com |
用來下載 Windows 安裝套件 |
login.windows.net |
Microsoft Entra ID |
login.microsoftonline.com |
Microsoft Entra ID |
pas.windows.net |
Microsoft Entra ID |
management.azure.com |
Azure Resource Manager - 建立或刪除 Arc 伺服器資源 |
*.his.arc.azure.com |
中繼資料和混合式識別服務 |
*.guestconfiguration.azure.com |
延伸模組管理和客體設定服務 |
| % | 延伸模組和連線案例的通知服務 |
azgn*.servicebus.windows.net |
延伸模組和連線案例的通知服務 |
*.servicebus.windows.net |
用於 Windows Admin Center 和 SSH 案例 |
*.blob.core.windows.net |
已啟用 Azure Arc 的伺服器延伸模組的下載來源 |
dc.services.visualstudio.com |
代理程式遙測 |
下一步
將您的 System Center Virtual Machine Manager 管理伺服器連線到 Azure Arc。