Unterstützungsmatrix für VMware vSphere mit Azure Arc-Unterstützung
In diesem Artikel werden die Voraussetzungen und Unterstützungsanforderungen für die Verwendung von VMware vSphere mit Azure Arc-Unterstützung zur Verwaltung Ihrer VMware vSphere-VMs über Azure Arc dokumentiert.
Um Arc-aktiviertes VMware vSphere zu verwenden, müssen Sie eine Azure Arc-Ressourcenbrücke in Ihrer VMware vSphere-Umgebung bereitstellen. Die Ressourcenbrücke stellt eine aktive Verbindung zwischen Ihrer VMware vCenter Server-Instanz und Azure bereit. Nachdem Sie Ihre VMware vCenter Server-Instanz mit Azure verbunden haben, erkennen Komponenten auf der Ressourcenbrücke Ihren vCenter-Bestand. Sie können ihn in Azure aktivieren und mit der Ausführung virtueller Hardware- und Gastbetriebssystemvorgänge mit Azure Arc beginnen.
VMware vSphere-Anforderungen
Die folgenden Anforderungen müssen erfüllt sein, um VMware vSphere mit Azure Arc-Unterstützung verwenden zu können.
Unterstützte vCenter Server-Versionen
VMware vSphere mit Azure Arc-Unterstützung funktioniert mit den Versionen 7 und 8 von vCenter Server.
Hinweis
VMware vSphere mit Azure Arc-Unterstützung unterstützt derzeit vCenter-Instanzen mit maximal 9.500 VMs. Wenn Ihre vCenter-Instanz mehr als 9.500 VMs enthält, wird derzeit davon abgeraten, VMware vSphere mit Arc-Unterstützung zu verwenden.
Erforderliche vSphere-Kontoberechtigungen
Sie benötigen ein vSphere-Konto, das Folgendes kann:
- Lesen des gesamten Bestands.
- Bereitstellen und Aktualisieren von VMs für alle Ressourcenpools (oder Cluster), Netzwerke und Vorlagen für virtuelle Computer, die Sie mit Azure Arc verwenden möchten.
Wichtig
Im Rahmen des Onboarding-Skripts für VMware mit Azure Arc-Unterstützng werden Sie aufgefordert, ein vSphere-Konto für die Bereitstellung der Ressourcenbrücken-VM für Azure Arc auf dem ESXi-Host anzugeben. Dieses Konto wird lokal in der Ressourcenbrücken-VM für Azure Arc gespeichert und als Kubernetes-Geheimschlüssel im Ruhezustand verschlüsselt. Mit dem vSphere-Konto kann VMware mit Azure Arc-Unterstützung mit VMware vSphere interagieren. Wenn Ihre Organisation die Routinerotation von Anmeldeinformationen praktiziert, müssen Sie die Anmeldeinformationen in VMware mit Azure Arc-Unterstützung aktualisieren, um die Verbindung zwischen VMware mit Azure Arc-Unterstützung und VMware vSphere aufrechtzuerhalten.
Ressourcenbrücken-Ressourcenanforderungen
Für Arc-fähiges VMware vSphere gelten für Ressourcenbrücken die folgenden Mindestanforderungen an virtuelle Hardware:
- 8 GB Arbeitsspeicher
- 4 vCPUs
- Ein externer virtueller Switch, der Zugriff auf das Internet direkt oder über einen Proxy ermöglichen kann. Wenn der Internetzugriff über einen Proxy oder eine Firewall erfolgt, stellen Sie sicher, dass diese URLs auf der Positivliste enthalten sind.
Anforderungen an Ressourcenbrückennetzwerke
Die Konnektivitätsanforderungen umfassen im Allgemeinen die folgenden Prinzipien:
- Alle Verbindungen sind TCP, sofern nicht anders angegeben.
- Alle HTTP-Verbindungen verwenden HTTPS und SSL/TLS mit offiziell signierten und überprüfbaren Zertifikaten.
- Sofern nicht anders angegeben, sind alle Verbindungen ausgehend.
Um einen Proxy zu verwenden, stellen Sie sicher, dass die Agenten und der Rechner, der den Onboarding-Prozess durchführt, die Netzwerkanforderungen in diesem Artikel erfüllen.
Für die Azure Arc-Ressourcenbrücken-VM sind die folgenden Firewall-URL-Ausnahmen erforderlich:
Anforderungen für ausgehende Konnektivität
Die unten aufgeführten Firewall- und Proxy-URLs müssen in die Positivliste aufgenommen werden, um die Kommunikation vom steuernden Computer, der Appliance-VM und der Steuerungsebenen-IP zu den erforderlichen Arc-Ressourcenbrücken-URLs zu ermöglichen.
Firewall/Proxy-URL-Positivliste
| Dienst | Port | URL | Richtung | Hinweise |
|---|---|---|---|---|
| SFS-API-Endpunkt | 443 | msk8s.api.cdp.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Laden Sie den Produktkatalog, Produktbits und Betriebssystemimages von SFS herunter. |
| Ressourcenbrücke (Appliance): Image-Download | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Herunterladen der Betriebssystemimages für die Arc-Ressourcenbrücke. |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Entdecken Sie Containerimages für Arc Resource Bridge. |
| Microsoft Container Registry | 443 | *.data.mcr.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Laden Sie Containerimages für Arc Resource Bridge herunter. |
| Windows NTP Server | 123 | time.windows.com |
Die IP-Adressen von Verwaltungscomputern und Appliance-VMs (bei der Hyper-V-Standardeinstellung Windows NTP) benötigen eine ausgehende Verbindung für UDP | Synchronisierung der Betriebssystemzeit auf Appliance-VM und Verwaltungscomputer (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Verwalten von Ressourcen in Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich für Azure RBAC. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
| Azure Resource Manager | 443 | login.windows.net |
Verwaltungscomputer und Appliance-VM-IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Aktualisieren von ARM-Token. |
| Ressourcenbrücke (Appliance): Datenebenendienst | 443 | *.dp.prod.appliances.azure.com |
Appliance VMs IP benötigen eine ausgehende Verbindung. | Kommunizieren mit dem Ressourcenanbieter in Azure. |
| Ressourcenbrücke (Appliance): Download des Containerimages | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Pullen von Containerimages. |
| Verwaltete Identität | 443 | *.his.arc.azure.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich zum Pullen vom System zugewiesener Zertifikate für verwaltete Identitäten. |
| Download des Containerimages für Azure Arc für Kubernetes | 443 | azurearcfork8s.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pullen von Containerimages. |
| Azure Arc-Agent | 443 | k8connecthelm.azureedge.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Bereitstellen eines Azure Arc-Agents. |
| ADHS-Telemetriedienst | 443 | adhs.events.data.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten von der VM der Appliance an Microsoft. |
| Microsoft-Ereignisdatendienst | 443 | v20.events.data.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Senden von Diagnosedaten aus Windows. |
| Protokollsammlung für Arc Resource Bridge | 443 | linuxgeneva-microsoft.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pushprotokolle für von der Appliance verwaltete Komponenten. |
| Ressourcenbrückenkomponenten herunterladen | 443 | kvamanagementoperator.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pullartefakte für von der Appliance verwaltete Komponenten. |
| Microsoft Open Source-Paketmanager | 443 | packages.microsoft.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Laden Sie das Linux-Installationspaket herunter. |
| Benutzerdefinierter Speicherort | 443 | sts.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für benutzerdefinierten Speicherort. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für Azure Arc. |
| Benutzerdefinierter Speicherort | 443 | k8sconnectcsp.azureedge.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Erforderlich für benutzerdefinierten Speicherort. |
| Diagnosedaten | 443 | gcs.prod.monitoring.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
| Diagnosedaten | 443 | *.prod.microsoftmetrics.com |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
| Diagnosedaten | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
| Diagnosedaten | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Sendet in regelmäßigen Abständen erforderliche Diagnosedaten an Microsoft. |
| Azure-Portal | 443 | *.arc.azure.net |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Verwalten eines Clusters im Azure-Portal. |
| Azure CLI und Erweiterung | 443 | *.blob.core.windows.net |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Laden Sie den Azure CLI Installer und die Erweiterung herunter. |
| Azure Arc-Agent | 443 | *.dp.kubernetesconfiguration.azure.com |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Für Arc-Agent verwendete Datenplane. |
| Python-Paket | 443 | pypi.org, *.pypi.org |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Validieren Sie Kubernetes- und Python-Versionen. |
| Azure CLI | 443 | pythonhosted.org, *.pythonhosted.org |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Python-Pakete für die Azure CLI-Installation. |
Anforderungen für eingehende Konnektivität
Die Kommunikation zwischen den folgenden Ports muss vom Verwaltungscomputer, VM-IPs der Appliance und Steuerebenen-IPs zulässig sein. Stellen Sie sicher, dass diese Ports geöffnet sind und der Datenverkehr nicht über einen Proxy weitergeleitet wird, um die Bereitstellung und Wartung der Arc-Ressourcenbrücke zu erleichtern.
| Dienst | Port | IP/Computer | Richtung | Hinweise |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs und Management machine |
Bidirektional | Wird zum Bereitstellen und Warten der Appliance-VM verwendet |
| Kubernetes-API-Server | 6443 | appliance VM IPs und Management machine |
Bidirektional | Verwaltung der Appliance-VM |
| SSH | 22 | control plane IP und Management machine |
Bidirektional | Wird zum Bereitstellen und Warten der Appliance-VM verwendet |
| Kubernetes-API-Server | 6443 | control plane IP und Management machine |
Bidirektional | Verwaltung der Appliance-VM |
| HTTPS | 443 | private cloud control plane address und Management machine |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Kommunikation mit Steuerebene (z. B. VMware vCenter-Adresse). |
Darüber hinaus erfordert VMware VSphere Folgendes:
| Dienst | Port | URL | Richtung | Hinweise |
|---|---|---|---|---|
| vCenter Server | 443 | URL des vCenter-Servers | Die IP-Adresse der Appliance-VM und der Endpunkt der Steuerungsebene benötigen eine ausgehende Verbindung. | Wird vom vCenter-Server verwendet, um mit der Appliance-VM und der Steuerungsebene zu kommunizieren. |
| VMware-Clustererweiterung | 443 | azureprivatecloud.azurecr.io |
Appliance VM IPs benötigen eine ausgehende Verbindung. | Pullen Sie Containerimages für die Clustererweiterungen „Microsoft.VMWare“ und „Microsoft.AVS“. |
| Azure-Befehlszeilenschnittstelle und Azure CLI-Erweiterungen | 443 | *.blob.core.windows.net |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Laden Sie das Installationsprogramm für die Azure-Befehlszeilenschnittstelle und die Azure CLI-Erweiterungen herunter. |
| Azure Resource Manager | 443 | management.azure.com |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Diese sind für das Erstellen und Aktualisieren von Ressourcen in Azure mit ARM erforderlich. |
| Helm-Chart für Azure Arc-Agents | 443 | *.dp.kubernetesconfiguration.azure.com |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Endpunkt auf Datenebene zum Herunterladen der Konfigurationsinformationen von Arc-Agents. |
| Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
Der Verwaltungscomputer benötigt eine ausgehende Verbindung. | Erforderlich zum Abrufen und Aktualisieren von Azure Resource Manager-Token. |
Eine vollständige Liste der Netzwerkanforderungen für Azure Arc-Features und Dienste mit Azure Arc-Unterstützung finden Sie unter Azure Arc-Netzwerkanforderungen (konsolidiert).
Anforderungen in Bezug auf Azure-Rollen/Berechtigungen
Die folgenden Azure-Rollen sind mindestens für Vorgänge im Zusammenhang mit VMware vSphere mit Arc-Unterstützung erforderlich:
| Vorgang | Mindestens erforderliche Rolle | Umfang |
|---|---|---|
| Durchführen des Onboardings Ihres vCenter-Servers in Arc | Onboarding privater Azure Arc VMware-Clouds | Im Abonnement oder in der Ressourcengruppe, in dem bzw. der das Onboarding durchgeführt werden soll |
| Verwalten von VMware vSphere mit Azure Arc-Unterstützung | Azure Arc VMware Administrator | Im Abonnement oder in der Ressourcengruppe, in dem bzw. der die vCenter-Serverressource erstellt wird |
| VM-Bereitstellung | Azure Arc VMware Private Cloud User | In dem Abonnement oder der Ressourcengruppe, das bzw. die den Ressourcenpool/Cluster/Host, den Datenspeicher und die Ressourcen des virtuellen Netzwerks enthält, oder in den Ressourcen selbst |
| VM-Bereitstellung | Azure Arc VMware VM Contributor | Im Abonnement oder in der Ressourcengruppe, in der Sie VMs bereitstellen möchten |
| VM-Vorgänge | Azure Arc VMware VM Contributor | Im Abonnement oder in der Ressourcengruppe, das bzw. die die VM enthält, oder in der VM selbst |
Alle Rollen mit höheren Berechtigungen für den gleichen Bereich (z. B. die Rolle „Besitzer“ oder „Mitwirkender“) ermöglichen es Ihnen ebenfalls, alle oben aufgeführten Vorgänge auszuführen.
Anforderungen an die Gastverwaltung (Arc-Agent)
Mit Arc-aktiviertem VMware vSphere können Sie den Arc Connected Machine-Agent auf Ihren VMs im großen Stil installieren und Azure-Verwaltungsdienste auf den VMs verwenden. Für diese Funktion müssen zusätzliche Anforderungen erfüllt werden.
Um Gastverwaltung zu aktivieren (Installieren des Arc Connected Machine-Agent), stellen Sie Folgendes sicher
- Die VM ist eingeschaltet.
- Die VM verfügt über installierte und aktive VMware-Tools.
- Die Ressourcenbrücke besitzt Zugriff auf den Host, auf dem die VM ausgeführt wird.
- Die VM verfügt über ein unterstütztes Betriebssystem.
- Die VM verfügt über eine direkte Internetverbindung oder eine Internetverbindung über einen Proxy. Wenn die Verbindung über einen Proxy erfolgt, stellen Sie sicher, dass diese URLs auf der Positivliste enthalten sind.
Achten Sie außerdem darauf, dass die nachstehenden Anforderungen erfüllt sind, um die Gastverwaltung zu ermöglichen.
Unterstützte Betriebssysteme
Stellen Sie sicher, dass Sie eine Version der Windows- oder Linux-Betriebssysteme verwenden, die für den Azure Connected Machine-Agent offiziell unterstützt werden. Es werden nur x86-64-Architekturen (64-Bit) unterstützt. x86- (32-Bit) und ARM-basierte Architekturen, einschließlich x86-64-Emulation auf arm64, sind keine unterstützten Betriebssystemumgebungen.
Softwareanforderungen
Windows-Betriebssysteme:
- .NET Framework 4.6 oder höher ist erforderlich. Laden Sie .NET Framework herunter.
- Windows PowerShell 5.1 ist erforderlich. Laden Sie Windows Management Framework 5.1 herunter.
Linux-Betriebssysteme:
- systemd
- wget (zum Herunterladen des Installationsskripts)
Netzwerkanforderungen
Für die Azure Arc-Agents sind die folgenden Firewall-URL-Ausnahmen erforderlich:
| URL | Beschreibung |
|---|---|
aka.ms |
Wird verwendet, um das Downloadskript während der Installation aufzulösen. |
packages.microsoft.com |
Wird zum Herunterladen des Linux-Installationspakets verwendet. |
download.microsoft.com |
Wird zum Herunterladen des Windows-Installationspakets verwendet. |
login.windows.net |
Microsoft Entra ID |
login.microsoftonline.com |
Microsoft Entra ID |
pas.windows.net |
Microsoft Entra ID |
management.azure.com |
Azure Resource Manager: Zum Erstellen oder Löschen der Arc-Serverressource |
*.his.arc.azure.com |
Metadaten- und Hybrididentitätsdienste |
*.guestconfiguration.azure.com |
Erweiterungs- und Gastkonfigurationsdienste |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien |
azgn*.servicebus.windows.net |
Benachrichtigungsdienst für Erweiterungs- und Konnektivitätsszenarien |
*.servicebus.windows.net |
Für Windows Admin Center- und SSH-Szenarien |
*.blob.core.windows.net |
Herunterladen der Quelle für die Erweiterungen für Azure Arc-fähige Server |
dc.services.visualstudio.com |
Agent-Telemetrie |