Configuration requise pour le pont de ressources Azure Arc
Cet article décrit la configuration requise pour le déploiement du pont de ressources Azure Arc.
Le pont de ressources Arc est utilisé avec d’autres produits partenaires, tels que Azure Stack HCI, VMware vSphere compatible avec Arcet Microsoft System Center Virtual Machine Manager (SCVMM) compatible avec Arc. Ces produits peuvent avoir des exigences supplémentaires.
Autorisations Azure nécessaires
Pour intégrer le pont de ressources Arc, vous devez avoir un rôle Contributeur pour le groupe de ressources.
Pour lire, modifier et supprimer le pont de ressources Arc, vous devez avoir un rôle Contributeur pour le groupe de ressources.
Configuration requise de l’outil de gestion
Azure CLI est requis pour déployer le pont de ressources Azure Arc sur les environnements de cloud privé pris en charge.
Si vous déployez un pont de ressources Arc sur VMware, Azure CLI 64 bits doit être installé sur la machine de gestion pour exécuter les commandes de déploiement.
Si vous déployez sur Azure Stack HCI, Azure CLI 32 bits doit être installé sur la machine de gestion.
L’extension CLI de l’appliance Arc, arcappliance, doit être installée sur l’interface CLI. Pour ce faire, exécutez : az extension add --name arcappliance
Configuration minimale requise
Le pont de ressources Arc a les besoins en ressources minimum suivants :
- 50 Go d’espace disque
- 4 processeurs virtuels
- 8 Go de mémoire
Cette configuration minimale permet la plupart des scénarios. Toutefois, un produit partenaire peut prendre en charge un nombre de connexions de ressources plus élevé au pont de ressources Arc, entraînant des besoins en ressources plus élevés. L’échec de la fourniture de ressources suffisantes peut entraîner des erreurs pendant le déploiement, telles que des erreurs de copie de disque. Consultez la documentation du produit partenaire pour connaître les besoins spécifiques en ressources.
Configuration requise pour le préfixe d’adresse IP (sous-réseau)
Le préfixe d’adresse IP (sous-réseau) où le pont de ressources Arc sera déployé nécessite un préfixe minimal de /29. Le préfixe d’adresse IP doit avoir suffisamment d’adresses IP disponibles pour l’adresse IP de la passerelle, l’adresse IP du plan de contrôle, l’adresse IP de la machine virtuelle de l’appliance virtuelle et l’adresse IP de l’appliance réservée. Le pont de ressources Arc utilise uniquement les adresses IP affectées à la plage de pools IP (adresse IP de début, adresse IP de fin) et l’adresse IP du plan de contrôle. Il est recommandé que l’adresse IP de fin suive immédiatement l’adresse IP de début. Par exemple : adresse IP de début = 192.168.0.2, adresse IP de fin = 192.168.0.3. Consultez votre ingénieur réseau pour vous assurer qu’il existe un sous-réseau disponible avec les adresses IP disponibles et le préfixe d’adresse IP requis pour le pont de ressources Arc.
Le préfixe d’adresse IP est la plage d’adresses IP du sous-réseau pour le réseau virtuel et le masque de sous-réseau (masque IP) en notation CIDR, par exemple 192.168.7.1/29. Vous fournissez le préfixe d’adresse IP (en notation CIDR) lors de la création des fichiers de configuration pour le pont de ressources Arc.
Consultez votre ingénieur réseau pour obtenir le préfixe d’adresse IP en notation CIDR. Une calculatrice CIDR de sous-réseau IP peut être utilisée pour obtenir cette valeur.
Configuration IP statique
Si vous déployez un pont de ressources Arc dans un environnement de production, la configuration statique doit être utilisée lors du déploiement du pont de ressources Arc. La configuration IP statique est utilisée pour affecter trois adresses IP statiques (qui se trouvent dans le même sous-réseau) au plan de contrôle du pont de ressources Arc, à la machine virtuelle de l’appliance virtuelle et à la machine virtuelle de l’appliance réservée.
Le protocole DHCP est uniquement pris en charge dans un environnement de test à des fins de test pour la gestion des machines virtuelles sur Azure Stack HCI. Il ne doit pas être utilisé dans un environnement de production. Le protocole DHCP n’est pas pris en charge sur un autre cloud privé compatible avec Arc, y compris VMware, Arc pour AVS ou SCVMM compatible avec Arc.
Si vous utilisez le DHCP, vous devez réserver les adresses IP utilisées par le plan de contrôle et la machine virtuelle de l’appliance. En outre, ces adresses IP doivent être en dehors de la plage DHCP assignable d’adresses IP. Ex : l’adresse IP du plan de contrôle doit être traitée comme une adresse IP réservée/statique qu’aucune autre machine du réseau n’utilisera ou recevra de DHCP. Si l’adresse IP du plan de contrôle ou de la machine virtuelle de l’appliance change, la disponibilité et la fonctionnalité du pont de ressources sont impactées.
Configuration requise pour la machine de gestion
La machine utilisée pour exécuter les commandes pour déployer et gérer le pont des ressources Arc est appelée machine de gestion.
Configuration requise pour la machine de gestion :
Azure CLI x64 est installé
Communication ouverte vers l’adresse IP du plan de contrôle
Communication aux adresses IP de la machine virtuelle de l’appliance (port TCP SSH 22, port API Kubernetes 6443)
Communication aux adresses IP de la machine virtuelle de l’appliance réservée (port TCP SSH 22, port API Kubernetes 6443)
communication sur le port 443 vers la console de gestion du cloud privé (par exemple, machine VMware vCenter)
Résolution DNS interne et externe. Le serveur DNS doit résoudre les noms internes, comme le point de terminaison vCenter pour vSphere ou le point de terminaison de l’agent cloud pour Azure Stack HCI. Le serveur DNS doit également pouvoir résoudre les adresses externes qui sont des URL requises pour le déploiement.
Accès à Internet
Configuration requise pour l’adresse IP de la machine virtuelle de l’appliance
Le pont de ressources Arc se compose d’une machine virtuelle d’appliance déployée localement. La machine virtuelle de l’appliance a une visibilité sur l’infrastructure locale et peut baliser les ressources locales (gestion des invités) pour la projection dans Azure Resource Manager (ARM). La machine virtuelle de l’appliance est attribuée depuis le paramètre k8snodeippoolstart dans la commande createconfig. Il peut être désigné dans les produits partenaires en tant qu’adresse IP de plage de démarrage, IP de démarrage RB ou adresse IP de machine virtuelle 1. L’adresse IP de la machine virtuelle de l’appliance est l’adresse IP de départ de la plage de pools d’adresses IP de la machine virtuelle de l’appliance ; par conséquent, lorsque vous déployez le pont de ressources Arc pour la première fois, il s’agit de l’adresse IP initialement affectée à votre machine virtuelle d’appliance. La plage de pools d’adresses IP de machine virtuelle nécessite un minimum de 2 adresses IP.
Configuration requise pour l’adresse IP de la machine virtuelle de l’appliance :
Communication avec la machine de gestion (port TCP SSH 22, port d’API Kubernetes 6443)
Communcation avec le point de terminaison de gestion du cloud privé via le port 443 (tel que VMware vCenter).
Connectivité Internet aux URL requises activées dans le proxy/pare-feu.
Adresse IP statique affectée et dans le préfixe de l’adresse IP.
Résolution DNS interne et externe.
Si vous utilisez un proxy, le serveur proxy doit être accessible à partir de cette adresse IP et de toutes les adresses IP du pool d’adresses IP de la machine virtuelle.
Configuration requise pour l’adresse IP de la machine virtuelle de l’appliance réservée
Le pont de ressources Arc réserve une adresse IP supplémentaire à utiliser pour la mise à niveau de la machine virtuelle de l’appliance. L’adresse IP de la machine virtuelle de l’appliance réservée est attribuée via le paramètre k8snodeippoolend dans la commande az arcappliance createconfig. Cette adresse IP peut être appelée adresse IP de fin de la plage, adresse IP de fin de RB ou adresse IP de machine virtuelle 2. L’adresse IP de la machine virtuelle de l’appliance réservée est l’adresse IP de fin de la plage de pools d’adresses IP de la machine virtuelle de l’appliance. Lorsque votre machine virtuelle d’appliance est mise à niveau pour la première fois, il s’agit de l’adresse IP affectée à votre machine virtuelle après la mise à niveau et l’adresse IP initiale de la machine virtuelle de l’appliance est retournée au pool d’adresses IP à utiliser pour une prochaine mise à niveau. Si vous spécifiez une plage de pools d’adresses IP supérieure à deux adresses IP, les adresses IP supplémentaires sont réservées.
Configuration requise pour l’adresse IP de la machine virtuelle de l’appliance réservée :
Communication avec la machine de gestion (port TCP SSH 22, port d’API Kubernetes 6443)
Communcation avec le point de terminaison de gestion du cloud privé via le port 443 (tel que VMware vCenter).
Connectivité Internet aux URL requises activées dans le proxy/pare-feu.
Adresse IP statique affectée et dans le préfixe de l’adresse IP.
Résolution DNS interne et externe.
Si vous utilisez un proxy, le serveur proxy doit être accessible à partir de cette adresse IP et de toutes les adresses IP du pool d’adresses IP de la machine virtuelle.
Configuration requise pour l’adresse IP du plan de contrôle
La machine virtuelle de l’appliance héberge un cluster de gestion Kubernetes avec un plan de contrôle qui nécessite une adresse IP statique unique. Cette adresse IP est attribuée à partir du paramètre controlplaneendpoint dans la commande createconfig ou la commande de création de fichiers de configuration équivalente.
Configuration requise pour l’adresse IP du plan de contrôle :
Communication avec la machine de gestion (port TCP SSH 22, port d’API Kubernetes 6443).
Adresse IP statique affectée et dans le préfixe de l’adresse IP.
Si vous utilisez un proxy, le serveur proxy doit être accessible à partir des adresses IP du préfixe d’adresse IP, y compris l’adresse IP de la machine virtuelle de l’appliance réservée.
Serveur DNS
Les serveurs DNS doivent avoir une résolution de point de terminaison interne et externe. La machine virtuelle et le plan de contrôle de l’appliance doivent résoudre la machine de gestion et vice versa. Les trois adresses IP doivent pouvoir atteindre les URL requises pour le déploiement.
Passerelle
L’adresse IP de la passerelle est l’adresse IP de la passerelle pour le réseau où le pont de ressources Arc est déployé. L’adresse IP de la passerelle doit être une adresse IP à partir du sous-réseau désigné dans le préfixe d’adresse IP.
Exemple de configuration minimale pour le déploiement d’adresses IP statiques
L’exemple suivant montre des valeurs de configuration valides qui peuvent être passées lors de la création du fichier de configuration pour le pont de ressources Arc.
Notez que les adresses IP pour la passerelle, le plan de contrôle, la machine virtuelle de l’appliance et le serveur DNS (pour la résolution interne) se trouvent dans le préfixe d’adresse IP. Le début ou la fin du pool d’adresses IP de machine virtuelle est séquentiel. Ce détail clé permet de garantir le déploiement réussi de la machine virtuelle de l’appliance.
Préfixe d’adresse IP (format CIDR) : 192.168.0.0/29
Adresse IP de la passerelle : 192.168.0.1
Début du pool d’adresses IP de machine virtuelle : 192.168.0.2
Fin du pool d’adresses IP de machine virtuelle (format IP) : 192.168.0.3
Adresse IP du plan de contrôle : 192.168.0.4
Serveurs DNS (format de liste IP) : 192.168.0.1, 10.0.0.5, 10.0.0.6
Informations d’identification et compte d’utilisateur
Le pont de ressources Arc peut nécessiter un compte d’utilisateur distinct avec les rôles nécessaires pour afficher et gérer les ressources dans l’infrastructure locale (par exemple, VMware vSphere compatible avec Arc). Dans ce cas, lors de la création des fichiers de configuration, les paramètres username et password sont requis. Les informations d’identification du compte sont ensuite stockées dans un fichier de configuration local dans la machine virtuelle de l’appliance.
Avertissement
Un pont de ressources Arc peut uniquement utiliser un compte d’utilisateur sur lequel ’authentification multifacteur n’est pas activée. Si le compte d’utilisateur est défini pour changer périodiquement de mot de passe, les informations d’identification doivent être immédiatement mises à jour sur le pont de ressources. Ce compte d’utilisateur peut également être défini avec une stratégie de verrouillage pour protéger l’infrastructure locale, si les informations d’identification ne sont pas mises à jour et que le pont de ressources tente plusieurs fois d’utiliser des informations d’identification expirées pour accéder au centre de contrôle local.
Par exemple, avec VMware compatible avec Arc, le pont de ressources Arc a besoin d’un compte d’utilisateur distinct pour vCenter avec les rôles nécessaires. Si les informations d’identification pour le compte d’utilisateur changent, les informations d’identification stockées dans le pont de ressources Arc doivent être immédiatement mises à jour en exécutant az arcappliance update-infracredentials à partir de la machine de gestion . Sinon, l’appliance effectue des tentatives répétées d’utilisation des informations d’identification expirées pour accéder à vCenter, ce qui entraîne un verrouillage du compte.
Fichiers de configuration
Le pont de ressources Arc se compose d’une machine virtuelle d’appliance déployée dans l’infrastructure locale. Pour gérer la machine virtuelle de l’appliance, les fichiers de configuration générés pendant le déploiement doivent être enregistrés dans un emplacement sécurisé et mis à disposition sur la machine de gestion.
Il existe plusieurs types de fichiers de configuration différents, en fonction de l’infrastructure locale.
Fichiers de configuration des appliances
Trois fichiers de configuration sont créés lors du déploiement du pont de ressources Arc : <appliance-name>-resource.yaml, <appliance-name>-appliance.yaml et <appliance-name>-infra.yaml.
Par défaut, ces fichiers sont générés dans le répertoire CLI actuel de l’emplacement d’exécution des commandes de déploiement. Ces fichiers doivent être enregistrés sur la machine de gestion car ils sont nécessaires à la maintenance de la machine virtuelle de l’appliance. Les fichiers de configuration font référence les uns aux autres et doivent être stockés dans le même emplacement.
Kubeconfig
La machine virtuelle de l’appliance héberge un cluster de gestion Kubernetes. Kubeconfig est un fichier de configuration Kubernetes à faible privilège utilisé pour gérer la machine virtuelle de l’appliance. Par défaut, il est généré dans le répertoire CLI actuel lorsque deploy se termine. Ce fichier kubeconfig doit être enregistré dans un emplacement sécurisé de la machine de gestion, car il est nécessaire à la maintenance de la machine virtuelle de l’appliance. Si le fichier kubeconfig est perdu, vous pouvez le récupérer en exécutant la commande az arcappliance get-credentials.
Fichier de configuration de connexion HCI (Azure Stack HCI uniquement)
Le pont de ressources Arc utilise des informations d’identification de connexion MOC appelées jeton KVA (kvatoken.tok) pour interagir avec Azure Stack HCI. Le jeton KVA est généré avec les fichiers de configuration de l’appliance lors du déploiement du pont de ressources Arc. Ce jeton est également utilisé lors de la collecte des journaux d’activité pour le pont de ressources Arc. Il doit donc être enregistré dans un emplacement sécurisé avec le reste des fichiers de configuration de l’appliance. Ce fichier est enregistré dans le répertoire fourni lors de la création du fichier de configuration ou du répertoire CLI par défaut.
Étapes suivantes
- Comprendre les configurations réseau requises pour le pont de ressources Azure Arc.
- Consultez la vue d’ensemble du pont de ressources Azure Arc pour en savoir plus sur ses fonctionnalités et ses avantages.
- Découvrez configuration de la sécurité et des considérations relatives au pont de ressources Azure Arc.