Azure Arc 対応 VMware vSphere のサポート マトリックス
この記事では、Azure Arc 対応 VMware vSphere を使って、Azure Arc を介して VMware vSphere VM を管理するための前提条件とサポート要件について説明します。
Arc 対応 VMware vSphere を使用するには、VMware vSphere 環境に Azure Arc リソース ブリッジをデプロイする必要があります。 リソース ブリッジによって、VMware vCenter Server と Azure の間の継続的な接続が提供されます。 VMware vCenter Server を Azure に接続すると、リソース ブリッジ上のコンポーネントによって vCenter インベントリが検出されます。 これらを Azure で有効にし、Azure Arc を使用して、これらに対する仮想ハードウェアとゲスト OS の動作の実行を開始できます。
VMware vSphere の要件
Azure Arc 対応 VMware vSphere を使用するには、次の要件を満たす必要があります。
サポートされている vCenter Server のバージョン
Azure Arc 対応 VMware vSphere は、vCenter Server バージョン 7 および 8 と連携します。
Note
Azure Arc 対応 VMware vSphere は、現時点で最大 9,500 の VM を備えた vCenter をサポートしています。 vCenter に 9,500 を超える VM がある場合、現時点で Arc 対応 VMware vSphere を使用することはお勧めしません。
必要な vSphere アカウント特権
以下を実行できる vSphere アカウントが必要です。
- すべてのインベントリを読み取る。
- Azure Arc で使用するすべてのリソース プール (またはクラスター)、ネットワーク、VM テンプレートに VM をデプロイして更新する。
重要
Azure Arc 対応 VMware オンボード スクリプトの一部として、ESXi ホストに Azure Arc リソース ブリッジ VM をデプロイするための vSphere アカウントを指定するように求められます。 このアカウントは、Azure Arc リソース ブリッジ VM 内にローカルに保存され、保存時には Kubernetes シークレットとして暗号化されます。 この vSphere アカウントは、Azure Arc 対応 VMware が VMware vSphere とやり取りすることを可能にします。 組織で定期的な資格情報のローテーションを実施している場合は、Azure Arc 対応 VMware と VMware vSphere の間の接続を維持するために、Azure Arc 対応 VMware の資格情報を更新する必要があります。
リソース ブリッジのリソース要件
Arc 対応 VMware vSphere の場合、リソース ブリッジには次の最小の仮想ハードウェア要件があります。
- 16 GB のメモリ
- 4 つの vCPU
- インターネットに直接またはプロキシ経由でアクセスできる外部仮想スイッチ。 インターネット アクセスがプロキシまたはファイアウォールを介している場合、これらの URL が許可リストに登録されていることを確認します。
リソース ブリッジのネットワーク要件
一般に、接続要件には次の原則が含まれます。
- 特に指定がない限り、すべての接続は TCP です。
- すべての HTTP 接続では、公式に署名された検証可能な証明書と共に HTTPS と SSL/TLS が使用されます。
- 特に指定がない限り、すべての接続はアウトバウンドです。
プロキシを使用するには、オンボード プロセスを実行しているエージェントとマシンがこの記事のネットワーク要件を満たしていることを確認します。
Azure Arc リソース ブリッジ VM には、次のファイアウォール URL の例外が必要です。
アウトバウンド接続の要件
以下のファイアウォールとプロキシ URL は、管理マシン、アプライアンス VM、コントロール プレーン IP から必要な Arc リソース ブリッジ URL への通信を有効にするために、許可リストに載せる必要があります。
ファイアウォール/プロキシ URL 許可リスト
| サービス | [ポート] | URL | 方向 | メモ |
|---|---|---|---|---|
| SFS API エンドポイント | 443 | msk8s.api.cdp.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | SFS から製品カタログ、製品ビット、OS イメージをダウンロードします。 |
| リソース ブリッジ (アプライアンス) イメージのダウンロード | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc Resource Bridge OS イメージをダウンロードします。 |
| Microsoft Container Registry | 443 | mcr.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Arc リソース ブリッジのコンテナー イメージをダウンロードします。 |
| Windows NTP サーバー | 123 | time.windows.com |
管理マシンとアプライアンス VM IP (Hyper-V の既定値が Windows NTP の場合) には UDP での送信接続が必要です | アプライアンス VM と管理マシン (Windows NTP) での OS 時刻同期。 |
| Azure Resource Manager | 443 | management.azure.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Azure でのリソースの管理。 |
| Microsoft Graph | 443 | graph.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | Azure RBAC に必要です。 |
| Azure Resource Manager | 443 | login.microsoftonline.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| Azure Resource Manager | 443 | *.login.microsoft.com |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| Azure Resource Manager | 443 | login.windows.net |
管理マシンとアプライアンス VM IP には送信接続が必要です。 | ARM トークンの更新が必要です。 |
| リソース ブリッジ (アプライアンス) データプレーン サービス | 443 | *.dp.prod.appliances.azure.com |
アプライアンス VM IP には送信接続が必要です。 | Azure 内でリソース プロバイダーと通信します。 |
| リソース ブリッジ (アプライアンス) コンテナー イメージのダウンロード | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | コンテナー イメージをプルするために必要です。 |
| マネージド ID | 443 | *.his.arc.azure.com |
アプライアンス VM IP には送信接続が必要です。 | システム割り当てマネージド ID 証明書をプルするために必須。 |
| Azure Arc for Kubernetes コンテナー イメージのダウンロード | 443 | azurearcfork8s.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | コンテナー イメージのプル。 |
| Azure Arc エージェント | 443 | k8connecthelm.azureedge.net |
アプライアンス VM IP には送信接続が必要です。 | Azure Arc エージェントをデプロイします。 |
| ADHS テレメトリ サービス | 443 | adhs.events.data.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データをアプライアンス VM から Microsoft に定期的に送信します。 |
| Microsoft イベント データ サービス | 443 | v20.events.data.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | Windows から診断データを送信します。 |
| Arc リソース ブリッジのログ収集 | 443 | linuxgeneva-microsoft.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | アプライアンス管理コンポーネントのログをプッシュします。 |
| リソース ブリッジ コンポーネントのダウンロード | 443 | kvamanagementoperator.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | アプライアンスのマネージド コンポーネントの成果物をプルします。 |
| Microsoft オープン ソース パッケージ マネージャー | 443 | packages.microsoft.com |
アプライアンス VM IP には送信接続が必要です。 | Linux インストール パッケージをダウンロードします。 |
| カスタムの場所 | 443 | sts.windows.net |
アプライアンス VM IP には送信接続が必要です。 | カスタムの場所に必要です。 |
| Azure Arc | 443 | guestnotificationservice.azure.com |
アプライアンス VM IP には送信接続が必要です。 | Azure Arc に必要です。 |
| カスタムの場所 | 443 | k8sconnectcsp.azureedge.net |
アプライアンス VM IP には送信接続が必要です。 | カスタムの場所に必要です。 |
| 診断データ | 443 | gcs.prod.monitoring.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.microsoftmetrics.com |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.hot.ingest.monitor.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| 診断データ | 443 | *.prod.warm.ingest.monitor.core.windows.net |
アプライアンス VM IP には送信接続が必要です。 | 必要な診断データを Microsoft に定期的に送信します。 |
| Azure portal | 443 | *.arc.azure.net |
アプライアンス VM IP には送信接続が必要です。 | Azure portal からクラスターを管理します。 |
| Azure CLI と拡張機能 | 443 | *.blob.core.windows.net |
管理マシンには送信接続が必要です。 | Azure CLI インストーラーと拡張機能をダウンロードします。 |
| Azure Arc エージェント | 443 | *.dp.kubernetesconfiguration.azure.com |
管理マシンには送信接続が必要です。 | Arc エージェントで使用されるデータプレーン。 |
| Python パッケージ | 443 | pypi.org、*.pypi.org |
管理マシンには送信接続が必要です。 | Kubernetes と Python のバージョンを検証します。 |
| Azure CLI | 443 | pythonhosted.org、*.pythonhosted.org |
管理マシンには送信接続が必要です。 | Azure CLI インストール用の Python パッケージ。 |
受信接続の要件
管理マシン、アプライアンス VM の IP、コントロール プレーンの IP から、次のポート間の通信を許可する必要があります。 Arc リソース ブリッジのデプロイとメンテナンスを容易にするために、これらのポートが開いていることと、トラフィックがプロキシ経由でルーティングされていないことを確認します。
| サービス | ポート | IP/マシン | 方向 | ノート |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs および Management machine |
双方向 | アプライアンス VM のデプロイと保守に使用されます。 |
| Kubernetes API サーバー | 6443 | appliance VM IPs および Management machine |
双方向 | アプライアンス VM の管理。 |
| SSH | 22 | control plane IP および Management machine |
双方向 | アプライアンス VM のデプロイと保守に使用されます。 |
| Kubernetes API サーバー | 6443 | control plane IP および Management machine |
双方向 | アプライアンス VM の管理。 |
| HTTPS | 443 | private cloud control plane address および Management machine |
管理マシンには送信接続が必要です。 | コントロール プレーンとの通信 (例: VMware vCenter アドレス)。 |
さらに、VMware VSphere には以下が必要です。
| サービス | [ポート] | URL | 方向 | メモ |
|---|---|---|---|---|
| vCenter Server | 443 | vCenter Server の URL | アプライアンス VM IP とコントロール プレーン エンドポイントには送信接続が必要です。 | アプライアンス VM とコントロール プレーンとの通信に vCenter サーバーによって使用されます。 |
| VMware クラスターの拡張機能 | 443 | azureprivatecloud.azurecr.io |
アプライアンス VM IP には送信接続が必要です。 | Microsoft.VMWare および Microsoft.AVS クラスター拡張機能のコンテナー イメージをプルします。 |
| Azure CLI および Azure CLI 拡張機能 | 443 | *.blob.core.windows.net |
管理マシンには送信接続が必要です。 | Azure CLI インストーラーと Azure CLI の拡張機能をダウンロードします。 |
| Azure Resource Manager | 443 | management.azure.com |
管理マシンには送信接続が必要です。 | ARM を使用して Azure でリソースを作成または更新するために必要です。 |
| Azure Arc エージェントの Helm Chart | 443 | *.dp.kubernetesconfiguration.azure.com |
管理マシンには送信接続が必要です。 | Arc エージェントの構成情報をダウンロードするためのデータ プレーン エンドポイント。 |
| Azure CLI | 443 | - login.microsoftonline.com - aka.ms |
管理マシンには送信接続が必要です。 | Azure Resource Manager トークンをフェッチし、更新するために必要です。 |
Azure Arc 機能と Azure Arc 対応サービスのネットワーク要件の完全な一覧については、「Azure Arc ネットワークの要件」(統合) を参照してください。
Azure ロール/アクセス許可の要件
Arc 対応 VMware vSphere に関連する操作に必要な最小限の Azure ロールは次のとおりです。
| 操作 | 必要最小限のロール | スコープ |
|---|---|---|
| Arc への vCenter Server のオンボード | Azure Arc VMware プライベート クラウドのオンボード | オンボード先のサブスクリプションまたはリソース グループ |
| Arc 対応 VMware vSphere の管理 | Azure Arc VMware 管理者 | vCenter サーバー リソースが作成されるサブスクリプションまたはリソース グループ |
| VM のプロビジョニング | Azure Arc VMware プライベート クラウド ユーザー | リソース プール/クラスター/ホスト、データストア、仮想ネットワーク リソースを含むサブスクリプションまたはリソース グループ、またはリソース自体 |
| VM のプロビジョニング | Azure Arc VMware VM 共同作成者 | VM をプロビジョニングするサブスクリプションまたはリソース グループ |
| VM 操作 | Azure Arc VMware VM 共同作成者 | VM を含むサブスクリプションまたはリソース グループ、または VM 自体 |
所有者または共同作成者などの、同じスコープのより高いアクセス許可を持つロールでも、上記の操作を実行できます。
ゲスト管理 (Arc エージェント) の要件
Arc 対応 VMware vSphere を使用すると、Arc 接続マシン エージェントを VM に大規模にインストールし、VM 上で Azure 管理サービスを使用できます。 この機能には追加の要件があります。
ゲスト管理を有効にする (Arc 接続マシン エージェントをインストールする) には、次のことを確認します。
- VM の電源がオンになっている。
- VM に VMware ツールがインストールされ、実行されている。
- VM が実行されているホストにリソース ブリッジがアクセスできる。
- VM でサポート対象のオペレーティング システムが実行されている。
- VM から直接またはプロキシ経由でインターネットに接続できる。 接続がプロキシ経由の場合は、これらの URL が許可リストに登録されていることを確認します。
さらに、ゲスト管理を有効にするために、次の要件が満たされていることを確認してください。
サポートされるオペレーティング システム
Azure Connected Machine エージェントで正式にサポートされているオペレーティング システム (Windows または Linux) のバージョンを使用していることを確認します。 x86-64 (64 ビット) アーキテクチャのみがサポートされています。 x86 (32 ビット) および ARM ベースのアーキテクチャ (arm64 上の x86-64 エミュレーションを含む) は、サポートされている運用環境ではありません。
ソフトウェア要件
Windows オペレーティング システム:
- .NET Framework 4.6 以降が必要です (.NET Framework のダウンロード)。
- Windows PowerShell 5.1 が必要です。 (Windows Management Framework 5.1 のダウンロード)。
Linux オペレーティング システム:
- systemd
- wget (インストール スクリプトをダウンロードするため)
ネットワーク要件
Azure Arc エージェントには、次のファイアウォール URL の例外が必要です。
| URL | 説明 |
|---|---|
aka.ms |
インストール中にダウンロード スクリプトを解決するために使用されます |
packages.microsoft.com |
Linux インストール パッケージをダウンロードするために使用されます |
download.microsoft.com |
Windows のインストール パッケージをダウンロードするために使用されます |
login.windows.net |
Microsoft Entra ID |
login.microsoftonline.com |
Microsoft Entra ID |
pas.windows.net |
Microsoft Entra ID |
management.azure.com |
Azure Resource Manager - Arc サーバー リソースを作成または削除します |
*.his.arc.azure.com |
メタデータとハイブリッド ID サービス |
*.guestconfiguration.azure.com |
拡張機能管理とゲスト構成サービス |
guestnotificationservice.azure.com、*.guestnotificationservice.azure.com |
拡張機能と接続のシナリオ用の通知サービス |
azgn*.servicebus.windows.net |
拡張機能と接続のシナリオ用の通知サービス |
*.servicebus.windows.net |
Windows Admin Center と SSH のシナリオの場合 |
*.blob.core.windows.net |
Azure Arc 対応サーバー拡張機能のダウンロード元 |
dc.services.visualstudio.com |
エージェント テレメトリ |