Azure Arc 資源橋接器的系統需求

  • 發行項

本文說明部署 Azure Arc 資源橋接器的系統需求。

Arc 資源橋接器與其他合作夥伴產品搭配使用,例如 Azure Stack HCI已啟用 Arc 的 VMware vSphere,以及 已啟用 Arc 的 System Center Virtual Machine Manager (SCVMM)。 這些產品可能會有其他需求。

必要的 Azure 權限

  • 若要讓 Arc 資源橋接器上線,您必須擁有資源群組中的參與者角色。

  • 若要讀取、修改和刪除 Arc 資源橋接器,您必須在資源群組中具有參與者角色。

管理工具需求

需要 Azure CLI 才能在支援的私人雲端環境中部署 Azure Arc 資源橋接器。

如果在 VMware 上部署 Arc 資源橋接器,必須在管理電腦上安裝 Azure CLI 64 位元,才能執行部署命令。

如果在 Azure Stack HCI 上部署,則應該在管理電腦上安裝 Azure CLI 32 位。

必須藉由執行以下命令來安裝 Arc 設備 CLI 延伸模組 arcapplianceaz extension add --name arcappliance

最低資源需求

Arc 資源橋接器有下列最低資源需求:

  • 200 GB 磁碟空間
  • 4 個 vCPU
  • 8 GB 記憶體
  • 支援的儲存體設定 - 混合式儲存體 (快閃和 HDD) 或全快閃儲存體 (SSD 或 NVMe)

這些最低需求可支援大部分使用 Arc 資源橋接器的產品案例。 檢閱產品的文件,以了解特定資源需求。 無法提供足夠的資源可能會導致部署或升級期間發生錯誤。

IP 位址前置詞 (子網路) 需求

部署 Arc 資源橋接器的 IP 位址前置詞 (子網路) 需要最小前置詞為 /29。 IP 位址前置詞必須有足夠的可用 IP 位址,才能用於網路閘道 IP、控制平面 IP、設備 VM IP 和保留設備 VM IP。 Arc 資源橋接器只會使用指派給 IP 集區範圍 (開始 IP、結束 IP) 的 IP 位址和控制平面 IP。 我們建議結束 IP 應緊接在開始 IP 之後。 例如:開始 IP = 192.168.0.2,結束 IP = 192.168.0.3。 請與您的網路工程師合作,以確保 Arc 資源橋接器具有必需的可用 IP 位址和 IP 位址前置慈的可用子網路。

IP 位址前置詞是 CIDR 標記法中虛擬網路和子網路遮罩 (IP 遮罩) 的子網路 IP 位址範圍,例如 192.168.7.1/29。 在建立 Arc 資源橋接器的組態檔時,您會提供 IP 位址前置詞 (以 CIDR 標記法)。

請洽詢您的網路工程師,以取得 CIDR 標記法中的 IP 位址前置詞。 IP 子網路 CIDR 計算機可用來取得此值。

靜態 IP 組態

如果將 Arc 資源橋接器部署至生產環境,則必須在部署 Arc 資源橋接器時使用靜態設定。 靜態 IP 設定可用來將三個靜態 IP 指派給 Arc 資源橋接器控制平面、設備 VM 和保留設備 VM。

只有在測試環境中才支援 DHCP,以便只針對 Azure Stack HCI 上的 VM 管理進行測試。 不應該在實際執行環境中使用。 任何其他已啟用 Arc 的私人雲端都不支援 DHCP,包括已啟用 Arc 的 VMware、AVS 的 Arc,或已啟用 Arc 的 SCVMM。

如果使用 DHCP,您必須保留控制平面和設備 VM 所使用的 IP 位址。 此外,這些 IP 必須超出可指派的 DHCP IP 範圍。 例如:控制平面 IP 應視為保留/靜態 IP,其在網路上沒有其他電腦將使用或從 DHCP 接收。 如果控制平面 IP 或設備 VM IP 變更,則這會影響資源橋接器可用性和功能。

管理機器需求

用來執行命令以部署和維護 Arc 資源橋接器的機器稱為管理機器

管理機器需求:

  • 已安裝Azure CLI x64

  • 與控制平面 IP 的通訊 (SSH TCP 通訊埠 22、Kubernetes API 連接埠 6443)

  • 與設備 VM IP 的通訊 (SSH TCP 通訊埠 22、Kubernetes API 埠 連接埠 6443)

  • 與保留設備 VM IP 的通訊 (SSH TCP 通訊埠 22、Kubernetes API 連接埠 6443)

  • 透過連接埠 443 與私人雲端管理主控台建立的通訊 (例如:VMware vCenter 機器)

  • 內部和外部 DNS 解析。 DNS 伺服器必須解析內部名稱,例如 vSphere 的 vCenter 端點或 Azure Stack HCI 的雲端代理程式服務端點。 DNS 伺服器也必須能夠解析外部位址,即部署所需 的 URL

  • 網際網路存取

設備 VM IP 位址需求

Arc 資源橋接器是由部署到內部部署的設備 VM 所組成。 設備 VM 可查看內部部署基礎結構,並可標記內部部署資源 (來賓管理),以投影至 Azure Resource Manager (ARM)。 設備 VM 會透過 createconfig 命令中的 k8snodeippoolstart 參數指派 IP 位址。 合作夥伴產品中可能會將其稱為「開始範圍 IP」、「RB IP 開始」或「VM IP 1」。 設備 VM IP 是設備 VM IP 集區範圍的開始 IP 位址,當您第一次部署 Arc 資源橋接器時,系統一開始會指派這個 IP 給設備 VM。 VM IP 集區範圍至少需要 2 個 IP 位址。

設備 VM IP 位址需求:

  • 與管理機器的通訊 (SSH TCP 通訊埠 22、Kubernetes API 連接埠 6443)。
  • 透過連接埠 443 與私人雲端管理端點建立的通訊 (例如 VMware vCenter)。
  • 在 proxy/防火牆中啟用必要 URL 的網際網路連線。
  • 指派的靜態 IP,並在 IP 位址首碼內。
  • 內部和外部 DNS 解析。
  • 如果使用 Proxy,則 Proxy 伺服器必須從此 IP 和 VM IP 集區中的所有 IP 連線。

已保留的設備 VM IP 需求

Arc 資源橋接器會保留用於設備 VM 升級的額外 IP 位址。 已保留的設備 VM IP 是透過 az arcappliance createconfig 命令中的 k8snodeippoolend 參數指派 IP 位址。 此 IP 位址可稱為結束範圍 IP、RB IP 結束,或 VM IP 2。 已保留的設備 VM IP 是設備 VM IP 集區範圍的結束 IP 位址。 第一次升級設備 VM 時,系統會在升級後指派保留的設備 VM IP 給設備 VM,並將一開始的設備 VM IP 歸還給 IP 集區,以供日後升級使用。 如果指定大於兩個 IP 位址的 IP 集區範圍,則會保留額外的 IP。

已保留的設備 VM IP 需求:

  • 與管理機器的通訊 (SSH TCP 通訊埠 22、Kubernetes API 連接埠 6443)。
  • 透過連接埠 443 與私人雲端管理端點建立的通訊 (例如 VMware vCenter)。
  • 在 proxy/防火牆中啟用必要 URL 的網際網路連線。
  • 指派的靜態 IP,並在 IP 位址首碼內。
  • 內部和外部 DNS 解析。
  • 如果使用 Proxy,則 Proxy 伺服器必須從此 IP 和 VM IP 集區中的所有 IP 連線。

控制平面 IP 需求

設備 VM 會裝載管理 Kubernetes 叢集,其具有需要單一靜態 IP 位址的控制平面。 此 IP 是從 createconfig 命令或對等組態檔建立命令中的 controlplaneendpoint 參數指派。

控制平面 IP 需求:

  • 與管理機器的通訊 (SSH TCP 通訊埠 22、Kubernetes API 連接埠 6443)。
  • 指派的靜態 IP 位址,並在 IP 位址首碼內。
  • 如果使用 Proxy,Proxy 伺服器必須是可從 IP 位址前置詞內的 IP 連線,包括保留設備 VM IP。

DNS 伺服器

DNS 伺服器必須具有內部和外部端點解析。 設備 VM 和控制平面需要解析管理機器,反之亦然。 這三個 IP 都必須能夠連線到部署所需的 URL。

閘道

閘道 IP 是部署 Arc 資源橋接器所在網路的閘道 IP。 網路閘道 IP 應該是 IP 位址前置詞中所指定子網路內的 IP。

靜態 IP 部署的最小組態範例

下列範例顯示可在建立 Arc 資源橋接器的組態檔期間傳遞的有效設定值。

請注意,網路閘道、控制平面、設備 VM 和 DNS 伺服器 (針對內部解析) 的 IP 位址在 IP 位址前置詞內。 VM IP 集區的開始/結束是循序的。 此重要細節有助於確保設備 VM 部署成功。

IP 位址前置詞 (CIDR 格式):192.168.0.0/29

閘道 IP:192.168.0.1

VM IP 集區開始 (IP 格式):192.168.0.2

VM IP 集區結束 (IP 格式):192.168.0.3

控制平面 IP:192.168.0.4

DNS 伺服器 (IP 清單格式):192.168.0.1、10.0.0.5、10.0.0.6

AD 使用者帳戶及認證

Arc 資源橋接器可能需要具有必要角色的個別使用者帳戶,才能檢視和管理內部部署基礎結構中的資源 (例如已啟用 Arc 的 VMware vSphere)。 如果是,在建立設定檔期間,則需要 usernamepassword 參數。 然後帳戶認證會儲存在設備 VM 本機的組態檔中。

警告

Arc 資源橋接器只能使用未啟用多重要素驗證的使用者帳戶。 如果使用者帳戶設定為定期變更密碼,則必須立即在資源橋接器上更新認證。 您也可以使用鎖定原則來設定此使用者帳戶,以保護內部部署基礎結構,以防認證未更新,而資源橋接器會多次嘗試使用過期的認證來存取內部部署控制中心。

例如,使用已啟用 Arc 的 VMware,Arc 資源橋接器需要具有必要角色的 vCenter 個別使用者帳戶。 如果使用者帳戶的認證變更,則必須透過從管理機器執行 az arcappliance update-infracredentials,立即更新儲存在 Arc 資源橋接器中的認證。 否則,設備會重複嘗試使用過期的認證來存取 vCenter,這會導致帳戶鎖定。

組態檔

Arc 資源橋接器是由部署到內部部署基礎結構的設備 VM 所組成。 若要維護設備 VM,部署期間產生的組態檔必須儲存在安全的位置,並在管理機器上提供。

根據內部部署基礎結構,有數種不同類型的組態檔。

設備組態檔

部署 Arc 資源橋接器時會建立三個組態檔:<appliance-name>-resource.yaml<appliance-name>-appliance.yaml<appliance-name>-infra.yaml

根據預設,這些檔案會在執行部署命令所在的目前 CLI 目錄中產生。 這些檔案應該儲存在管理機器上,因為這些檔案是維護設備 VM 的必要項目。 組態檔會彼此參考,而且應該儲存在相同的位置。

Kubeconfig

設備 VM 裝載管理 Kubernetes 叢集。 kubeconfig 是低權限 Kubernetes 組態檔,用來維護設備 VM。 根據預設,當 deploy 命令完成時,會在目前的 CLI 目錄中產生。 kubeconfig 應該儲存在管理機器上的安全位置,因為它是維護設備 VM 所需。 如果 kubeconfig 遺失,則可以藉由執行 az arcappliance get-credentials 命令來擷取它。

重要

建立 Arc 資源橋接器 VM 之後,就無法修改或更新組態設定。 目前,設備 VM 必須停留在最初部署所在的位置。 Arc 資源橋接器 VM 名稱是無法重新命名的唯一 GUID,因為這是用於雲端管理升級的識別碼。

下一步