Matriz de suporte para vSphere VMware habilitado para Azure Arc
Este artigo documenta os pré-requisitos e os requisitos de suporte para usar o VMware vSphere habilitado para Azure Arc para gerenciar suas VMs VMware vSphere pelo Azure Arc.
Para usar o VMware vSphere habilitado para Arc, você precisa implantar uma ponte de recursos do Azure Arc no ambiente do VMware vSphere. A ponte de recursos fornece uma conexão contínua entre o VMware vCenter Server e o Azure. Depois que você conectar o VMware vCenter Server ao Azure, os componentes da ponte de recursos descobrirão seu inventário do vCenter. Você pode habilitá-los no Azure e começar a executar operações de hardware virtual e de SO convidado neles usando o Azure Arc.
Requisitos do VMware vSphere
Os requisitos a seguir devem ser atendidos para usar o VMware vSphere habilitado para Azure Arc.
Versões compatíveis do vCenter Server
O VMware vSphere habilitado para Azure Arc funciona com as versões 7 e 8 do vCenter Server.
Observação
Atualmente, o VMware vSphere habilitado para Azure Arc fornece suporte aos vCenters com no máximo 9.500 VMs. Se o vCenter tiver mais de 9.500 VMs, não é recomendável usar o VMware vSphere habilitado para Arc com ele neste momento.
Privilégios de conta do vSphere necessários
Você precisa de uma conta do vSphere que possa fazer o seguinte:
- Ler todo o inventário.
- Implantar e atualizar VMs em todos os pools de recursos (ou clusters), redes e modelos de VM que serão usados com o Azure Arc.
Importante
Como parte do script de integração do VMware habilitado para Azure Arc, você será solicitado a fornecer uma conta do vSphere para implantar a VM de ponte de redirecionamento do Azure Arc no host ESXi. Essa conta será armazenada localmente na VM da ponte de recursos do Azure Arc e criptografada como um segredo do Kubernetes em repouso. A conta do vSphere permite que o VMware habilitado para Azure Arc interaja com o VMware vSphere. Se sua organização pratica a rotação de credenciais de rotina, você precisa atualizar as credenciais no VMware habilitado para Azure Arc para manter a conexão entre o VMware vSphere e o VMware habilitado para Azure Arc.
Requisitos de recursos da ponte de recursos
Para o vSphere VMware habilitado para Arc, a ponte de recursos tem os requisitos mínimos de hardware virtual a seguir:
- 8 GB de memória
- 4 vCPUs
- Um comutador virtual externo que possa fornecer acesso à Internet diretamente ou por meio de um proxy. Se o acesso à Internet for obtido por meio de um proxy ou um firewall, verifique se estas URLs estão na lista de permissões.
Requisitos de rede da ponte de recursos
Geralmente os requisitos de conectividade incluem esses princípios.
- Todas as conexões são TCP, a menos que especificado de outra forma.
- Todas as conexões HTTP usam HTTPS e SSL/TLS com certificados oficialmente assinados e verificáveis.
- Todas as conexões são de saída, a menos que especificado de outra forma.
Para usar um proxy, verifique se os agentes e o computador que está executando o processo de integração atendem aos requisitos de rede descritos neste artigo.
As seguintes exceções de URL de firewall são necessárias para a VM da ponte de recursos do Azure Arc:
Requisitos de conectividade de saída
As URLs do firewall e do proxy abaixo devem estar na lista de permissões para permitir a comunicação do computador de gerenciamento, da VM do dispositivo e do IP do plano de controle com as URLs necessárias da ponte de recursos do Arc.
Lista de permitidos de URL de Firewall/Proxy
| Serviço | Porta | URL | Direção | Observações |
|---|---|---|---|---|
| Ponto de extremidade da API SFS | 443 | msk8s.api.cdp.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Baixe o catálogo de produtos, os bits do produto e as imagens do sistema operacional do SFS. |
| Download de imagem de ponte de recursos (dispositivo) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Baixe as imagens do sistema operacional de ponte de recursos do Arc. |
| Registro de Contêiner da Microsoft | 443 | mcr.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Descubra imagens de contêiner para o Arc Resource Bridge. |
| Registro de Contêiner da Microsoft | 443 | *.data.mcr.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Faça o download de imagens de contêineres para a Ponte de Recursos do Arc. |
| Windows NTP Server | 123 | time.windows.com |
Os IPs da VM do dispositivo e do computador de gerenciamento (se o padrão do Hyper-V for o NTP do Windows) precisam de uma conexão de saída UDP | Sincronização de tempo do sistema operacional no computador VM e Gerenciamento do dispositivo (Windows NTP). |
| Azure Resource Manager | 443 | management.azure.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Gerenciar recursos no Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Obrigatório para o RBAC do Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Os IPs de VM do computador de gerenciamento e do dispositivo precisam de conexão de saída. | Necessário para atualizar tokens do ARM. |
| Serviço de Plano de dados de ponte de recursos (dispositivo) | 443 | *.dp.prod.appliances.azure.com |
O IP das VMs do dispositivo precisa da conexão de saída. | Comunique-se com o provedor de recursos no Azure. |
| Download de imagem de contêiner de ponte de recursos (dispositivo) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Necessário para efetuar pull de imagens de contêiner. |
| Identidade Gerenciada | 443 | *.his.arc.azure.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Necessário para efetuar pull dos certificados de Identidade Gerenciada atribuída pelo sistema. |
| Download da imagem de contêiner do Azure Arc para Kubernetes | 443 | azurearcfork8s.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Efetuar pull de imagens de contêineres. |
| Agente do Azure Arc | 443 | k8connecthelm.azureedge.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Implanta o agente do Azure Arc. |
| Serviço de telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft da VM do dispositivo. |
| Serviço de dados de eventos da Microsoft | 443 | v20.events.data.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envie dados de diagnóstico do Windows. |
| Coleta de registros para a Ponte de Recursos do Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Registros de envio para componentes gerenciados pelo Dispositivo. |
| Download dos componentes da ponte de recursos | 443 | kvamanagementoperator.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Efetuar pull de artefatos para os componentes gerenciados do Dispositivo. |
| Gerenciador de pacotes de código aberto da Microsoft | 443 | packages.microsoft.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Faça o download do pacote de instalação do Linux. |
| Local Personalizado | 443 | sts.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Obrigatório para o Local Personalizado. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Obrigatório para o Azure Arc. |
| Local Personalizado | 443 | k8sconnectcsp.azureedge.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Obrigatório para o Local Personalizado. |
| Dados de diagnóstico | 443 | gcs.prod.monitoring.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.microsoftmetrics.com |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Dados de diagnóstico | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Envia periodicamente os dados de diagnóstico necessários da Microsoft. |
| Portal do Azure | 443 | *.arc.azure.net |
Os IPs da VM do dispositivo precisam da conexão de saída. | Gerencia clusters a partir do portal do Azure. |
| Extensão e CLI do Azure | 443 | *.blob.core.windows.net |
O computador de gerenciamento precisa de uma conexão de saída. | Baixe o instalador e a extensão da CLI do Azure. |
| Agente do Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
O computador de gerenciamento precisa de uma conexão de saída. | Plano de dados usado para o agente do Arc. |
| Pacote do Python | 443 | pypi.org, *.pypi.org |
O computador de gerenciamento precisa de uma conexão de saída. | Validar as versões do Kubernetes e do Python. |
| CLI do Azure | 443 | pythonhosted.org, *.pythonhosted.org |
O computador de gerenciamento precisa de uma conexão de saída. | Pacotes Python para instalação da CLI do Azure. |
Requisitos de conectividade de entrada
A comunicação entre as seguintes portas deve ser permitida a partir da máquina de gerenciamento, dos IPs da VM do Dispositivo e dos IPs do painel de controle. Verifique se essas portas estão abertas e se o tráfego não está sendo roteado por meio de um proxy para facilitar a implantação e a manutenção da ponte de recursos Arc.
| Serviço | Porta | IP/computador | Direção | Observações |
|---|---|---|---|---|
| SSH | 22 | appliance VM IPs e Management machine |
Bidirecional | Usado para implantar e manter a VM do dispositivo. |
| Servidor de API do Kubernetes | 6443 | appliance VM IPs e Management machine |
Bidirecional | Gerenciamento da VM do dispositivo. |
| SSH | 22 | control plane IP e Management machine |
Bidirecional | Usado para implantar e manter a VM do dispositivo. |
| Servidor de API do Kubernetes | 6443 | control plane IP e Management machine |
Bidirecional | Gerenciamento da VM do dispositivo. |
| HTTPS | 443 | private cloud control plane address e Management machine |
O computador de gerenciamento precisa de uma conexão de saída. | Comunicação com o painel de controle (ex.: endereço do VMware vCenter). |
Além disso, o VMware VSphere requer o seguinte:
| Serviço | Porta | URL | Direção | Observações |
|---|---|---|---|---|
| vCenter Server | 443 | URL do vCenter Server | O IP da VM do dispositivo e o ponto de extremidade do painel de controle precisam ter uma conexão de saída. | Usado pelo vCenter Server para se comunicar com a VM do dispositivo e o painel de controle. |
| Extensão de Cluster do VMware | 443 | azureprivatecloud.azurecr.io |
Os IPs da VM do dispositivo precisam da conexão de saída. | Efetuar pull de imagens de contêiner para Microsoft.VMWare e Extensão de Cluster Microsoft.AVS. |
| CLI do Azure e Extensões da CLI do Azure | 443 | *.blob.core.windows.net |
O computador de gerenciamento precisa de uma conexão de saída. | Baixe o instalador e a extensões da CLI do Azure. |
| Azure Resource Manager | 443 | management.azure.com |
O computador de gerenciamento precisa de uma conexão de saída. | Necessário para criar/atualizar recursos no Azure usando o ARM. |
| Gráfico do Helm para agentes do Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
O computador de gerenciamento precisa de uma conexão de saída. | Ponto de extremidade do plano de dados para baixar as informações de configuração dos agentes do Arc. |
| CLI do Azure | 443 | - login.microsoftonline.com - aka.ms |
O computador de gerenciamento precisa de uma conexão de saída. | Necessário para buscar e atualizar tokens do Azure Resource Manager. |
Para obter uma lista completa dos requisitos de rede para recursos do Azure Arc e serviços habilitados para Azure Arc, consulte Requisitos de rede do Azure Arc (Consolidado).
Requisitos de função/permissão do Azure
As funções mínimas do Azure necessárias para operações relacionadas ao VMware vSphere habilitado para Arc são as seguintes:
| Operação | Função mínima necessária | Escopo |
|---|---|---|
| Integração do vCenter Server ao Arc | Integração de nuvens privadas do VMware do Azure Arc | Na assinatura ou no grupo de recursos no qual você deseja fazer a integração |
| Como administrar o VMware vSphere habilitado para Arc | Administrador do VMware do Azure Arc | Na assinatura ou no grupo de recursos em que o recurso do vCenter Server é criado |
| Provisionamento de VM | Usuário de Nuvem Privada do VMware do Azure Arc | Na assinatura ou no grupo de recursos que contém o pool de recursos/o cluster/o host, nos recursos de armazenamento de dados e de rede virtual ou nos próprios recursos |
| Provisionamento de VM | Colaborador de VM do VMware de Azure Arc | Na assinatura ou no grupo de recursos em que você deseja provisionar as VMs |
| Operações de VM | Colaborador de VM do VMware de Azure Arc | Na assinatura ou no grupo de recursos que contém a VM ou na própria VM |
Todas as funções com permissões superiores no mesmo escopo, como Proprietário ou Colaborador, também permitirão que você execute as operações listadas acima.
Requisitos de gerenciamento de convidado (agente do Arc)
Com o VMware vSphere habilitado para Arc, você pode instalar o agente do computador conectado ao Arc nas suas VMs em escala e usar os serviços de gerenciamento do Azure nas VMs. Há requisitos adicionais para essa funcionalidade.
Para habilitar o gerenciamento de convidado (instalar o agente do computador conectado ao Arc), verifique o seguinte:
- A VM está ligada.
- A VM tem as ferramentas do VMware instaladas e em execução.
- A ponte de recursos tem acesso ao host no qual a VM está em execução.
- A VM está executando um sistema operacional compatível.
- A VM tem conectividade com a Internet diretamente ou por meio de proxy. Se a conexão for feita por meio de um proxy, verifique se estas URLs estão na lista de permissões.
Além disso, verifique se os requisitos abaixo foram atendidos para habilitar o gerenciamento de convidados.
Sistemas operacionais compatíveis
Certifique-se de estar usando uma versão dos sistemas operacionais Windows ou Linux com suporte oficial para o agente do Azure Connected Machine. Há suporte apenas para arquiteturas x86-64 (64 bits). As arquiteturas x86 (32 bits) e baseadas em ARM, incluindo a emulação x86-64 no arm64, não são ambientes operacionais compatíveis.
Requisitos de software
Sistemas operacionais Windows:
- É necessário o NET Framework 4.6 ou posterior. Baixe o .NET Framework.
- O Windows PowerShell 5.1 é necessário. Baixe o Windows Management Framework 5.1.
Sistemas operacionais Linux:
- systemd
- wget (para baixar o script de instalação)
Requisitos de rede
As seguintes exceções de URL de firewall são necessárias para os agentes do Azure Arc:
| URL | Descrição |
|---|---|
aka.ms |
Usado para resolver o script de download durante a instalação |
packages.microsoft.com |
Usado para baixar o pacote de instalação do Linux |
download.microsoft.com |
Usado para baixar o pacote de instalação do Windows |
login.windows.net |
Microsoft Entra ID |
login.microsoftonline.com |
ID do Microsoft Entra |
pas.windows.net |
Microsoft Entra ID |
management.azure.com |
Azure Resource Manager – Para criar ou excluir o recurso de servidor do Arc |
*.his.arc.azure.com |
Serviços de identidade híbrida e metadados |
*.guestconfiguration.azure.com |
Serviços de configuração de convidado e gerenciamento de extensão |
guestnotificationservice.azure.com, *.guestnotificationservice.azure.com |
Serviço de notificação para cenários de extensão e conectividade |
azgn*.servicebus.windows.net |
Serviço de notificação para cenários de extensão e conectividade |
*.servicebus.windows.net |
Para casos do Windows Admin Center e do SSH |
*.blob.core.windows.net |
Baixar a fonte para extensões de servidores habilitados para o Azure Arc |
dc.services.visualstudio.com |
Telemetria do agente |