Panoramica di System Center Virtual Machine Manager abilitato per Azure Arc
System Center Virtual Machine Manager (SCVMM) abilitato per Azure Arc consente ai clienti di System Center di connettere l'ambiente VMM ad Azure ed eseguire operazioni self-service delle macchine virtuali dal portale di Azure. SCVMM abilitato per Azure Arc estende il piano di controllo di Azure all'infrastruttura gestita SCVMM, consentendo l'uso di funzionalità di sicurezza, governance e gestione di Azure in modo coerente in System Center Managed Estate e Azure.
System Center Virtual Machine Manager abilitato per Azure Arc consente anche di gestire l'ambiente ibrido in modo coerente ed eseguire operazioni sulle macchine virtuali self-service tramite il portale di Azure. Per i clienti di Microsoft Azure Pack, questa soluzione è concepita come alternativa per eseguire operazioni self-service sulle macchine virtuali.
System Center VMM abilitato per Arc consente di:
- Eseguire varie operazioni del ciclo di vita delle macchine virtuali, ad esempio avvio, arresto, sospensione ed eliminazione di macchine virtuali in macchine virtuali gestite da SCVMM direttamente da Azure.
- Consentire agli sviluppatori e ai team dell'applicazione di eseguire operazioni self-service delle macchine virtuali su richiesta usando il controllo degli accessi in base al ruolo di Azure.
- Esplorare le risorse VMM (VM, modelli, reti VM e archiviazione) in Azure, offrendo una visualizzazione a riquadro singolo per l'infrastruttura in entrambi gli ambienti.
- Individuare ed eseguire l'onboarding di macchine virtuali esistenti gestite da SCVMM in Azure.
- Installare gli agenti di computer connessi ad Arc su larga scala nelle macchine virtuali SCVMM per gestirle, proteggerle, configurarle e monitorarle.
Nota
Per altre informazioni sui diversi servizi offerti da Azure Arc, vedere Scelta del servizio Azure Arc appropriato per i computer.
Eseguire l'onboarding delle risorse nella gestione di Azure su larga scala
I servizi di Azure, ad esempio Microsoft Defender for Cloud, Monitoraggio di Azure, Azure Update Manager e Criteri di Azure, offrono un set completo di funzionalità per proteggere, monitorare, applicare patch e gestire le risorse off-Azure tramite Arc.
Usando le funzionalità di SCVMM abilitate per Arc per individuare l'ambiente gestito da SCVMM e installare l'agente Arc su larga scala, è possibile semplificare l'onboarding dell'intero ambiente System Center in questi servizi.
Come funziona?
Per abilitare un server di gestione VMM di System Center abilitato per Arc, distribuire il bridge di risorse di Azure Arc nell'ambiente VMM. Il bridge di risorse Arc è un'appliance virtuale che connette il server di gestione VMM ad Azure. Il bridge di risorse di Azure Arc consente di rappresentare le risorse SCVMM (cloud, macchine virtuali, modelli e così via) in Azure ed eseguire varie operazioni su di esse.
Architettura
L'immagine seguente mostra l'architettura di SCVMM abilitata per Arc:
Differenze tra SCVMM e server abilitati per Arc
- I server abilitati per Azure Arc interagiscono a livello di sistema operativo guest, senza conoscere l'infrastruttura sottostante e la piattaforma di virtualizzazione su cui sono in esecuzione. Poiché i server abilitati per Arc supportano anche computer bare metal, in alcuni casi potrebbe non esserci nemmeno un hypervisor host.
- SCVMM abilitato per Azure Arc è un superset di server abilitati per Arc che estende le funzionalità di gestione oltre il sistema operativo guest alla macchina virtuale stessa. In questo modo, la gestione del ciclo di vita e le operazioni CRUD (Creazione, Lettura, Aggiornamento ed Eliminazione) sono possibili in una macchina virtuale SCVMM. Le funzionalità di gestione del ciclo di vita sono esposte nel portale Azure e hanno lo stesso aspetto di una normale macchina virtuale di Azure. SCVMM abilitato per Azure Arc offre anche la gestione del sistema operativo guest, infatti usa gli stessi componenti dei server abilitati per Azure Arc.
È possibile iniziare con entrambe le opzioni o incorporare l'altra in un secondo momento senza interruzioni. Con entrambe le opzioni, è possibile beneficiare della stessa esperienza coerente.
Scenari supportati
Gli scenari seguenti sono supportati in SCVMM abilitato per Azure Arc:
- Gli amministratori di SCVMM possono connettere un'istanza di VMM ad Azure ed esplorare l'inventario delle macchine virtuali SCVMM in Azure.
- Gli amministratori possono usare il portale di Azure per esplorare l'inventario SCVMM e registrare cloud SCVMM, macchine virtuali e reti e modelli di macchine virtuali in Azure.
- Gli amministratori possono fornire autorizzazioni specifiche per team/sviluppatori di app per tali risorse SCVMM tramite il controllo degli accessi in base al ruolo di Azure.
- I team delle app possono usare le interfacce di Azure (portale, interfaccia della riga di comando o API REST) per gestire il ciclo di vita delle macchine virtuali locali usate per la distribuzione delle applicazioni (CRUD, Avvio/Arresto/Riavvio).
- Gli amministratori possono installare gli agenti Arc in macchine virtuali SCVMM su larga scala e installare le estensioni corrispondenti per usare i servizi di gestione di Azure come Microsoft Defender for Cloud, Azure Update Manager, Monitoraggio di Azure e così via.
Nota
SCVMM abilitato per Azure Arc non supporta macchine virtuali VMware vCenter gestite da SCVMM. Per eseguire l'onboarding di macchine virtuali VMware in Azure Arc, è consigliabile usare VMware vSphere abilitato per Azure Arc.
Versioni di VMM supportate
SCVMM abilitato per Azure Arc funziona con le versioni VMM 2019 e 2022 e supporta server di gestione SCVMM con un massimo di 15.000 macchine virtuali.
Aree geografiche supportate
SCVMM con abilitazione di Azure Arc è attualmente supportato nelle aree seguenti:
- Stati Uniti orientali
- Stati Uniti orientali 2
- West US 2
- Stati Uniti occidentali 3
- Stati Uniti centrali
- Stati Uniti centro-meridionali
- Regno Unito meridionale
- Europa settentrionale
- Europa occidentale
- Svezia centrale
- Asia sud-orientale
- Australia orientale
Requisiti di rete del bridge di risorse
Sono necessarie le eccezioni dell'URL del firewall seguenti per la macchina virtuale del bridge di risorse di Azure Arc:
Connettività in uscita
Gli URL del firewall e del proxy seguenti devono essere compresi nell'elenco elementi consentiti per abilitare la comunicazione dal computer di gestione, dalla macchina virtuale dell'appliance e dall'IP del piano di controllo agli URL necessari del bridge di risorse di Arc.
Elenco di indirizzi consentiti dell'URL del firewall/proxy
| Servizio | Porta | URL | Direzione | Note |
|---|---|---|---|---|
| Endpoint API SFS | 443 | msk8s.api.cdp.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare il catalogo dei prodotti, i bit di prodotto e le immagini del sistema operativo da SFS. |
| Download dell'immagine del bridge di risorse (appliance) | 443 | msk8s.sb.tlu.dl.delivery.mp.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare le immagini del sistema operativo del bridge di risorse di Arc. |
| Registro Container Microsoft | 443 | mcr.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Scaricare le immagini del contenitore per il bridge di risorse di Arc. |
| Server NTP Windows | 123 | time.windows.com |
Gli indirizzi IP delle macchine virtuali di gestione e dell'appliance (se l'impostazione predefinita di Hyper-V è Windows NTP) richiedono una connessione in uscita in UDP | Sincronizzazione dell'ora del sistema operativo nella macchina virtuale dell'appliance e nel computer di gestione (NTP Windows). |
| Azure Resource Manager | 443 | management.azure.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Gestire le risorse in Azure. |
| Microsoft Graph | 443 | graph.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per il controllo degli accessi in base al ruolo di Azure. |
| Azure Resource Manager | 443 | login.microsoftonline.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
| Azure Resource Manager | 443 | *.login.microsoft.com |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
| Azure Resource Manager | 443 | login.windows.net |
Gli IP delle macchine virtuali del computer di gestione e dell'appliance richiedono una connessione in uscita. | Obbligatorio per aggiornare i token ARM. |
| Servizio Dataplane del bridge di risorse (appliance) | 443 | *.dp.prod.appliances.azure.com |
L'IP delle macchine virtuali dell'appliance richiede una connessione in uscita. | Comunicare con il provider di risorse in Azure. |
| Download dell'immagine del contenitore del bridge di risorse (appliance) | 443 | *.blob.core.windows.net, ecpacr.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per eseguire il pull delle immagini del contenitore. |
| Identità gestita | 443 | *.his.arc.azure.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per eseguire il pull dei certificati di identità gestita assegnata dal sistema. |
| Download dell'immagine del contenitore di Azure Arc per Kubernetes | 443 | azurearcfork8s.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il pull delle immagini del contenitore. |
| Agente Azure Arc | 443 | k8connecthelm.azureedge.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | distribuire l'agente di Azure Arc. |
| Servizio di telemetria ADHS | 443 | adhs.events.data.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft dalla macchina virtuale dell'appliance. |
| Servizio dati degli eventi Microsoft | 443 | v20.events.data.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Inviare dati di diagnostica da Windows. |
| Raccolta di log per il bridge di risorse di Arc | 443 | linuxgeneva-microsoft.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il push dei log per i componenti gestiti dell'appliance. |
| Download dei componenti del bridge di risorse | 443 | kvamanagementoperator.azurecr.io |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Eseguire il pull degli artefatti per i componenti gestiti dell'appliance. |
| Gestione pacchetti open source di Microsoft | 443 | packages.microsoft.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Scaricare il pacchetto di installazione di Linux. |
| Percorso personalizzato | 443 | sts.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per la posizione personalizzata. |
| Azure Arc | 443 | guestnotificationservice.azure.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per Azure Arc. |
| Percorso personalizzato | 443 | k8sconnectcsp.azureedge.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Obbligatorio per la posizione personalizzata. |
| Dati di diagnostica | 443 | gcs.prod.monitoring.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Dati di diagnostica | 443 | *.prod.microsoftmetrics.com |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Dati di diagnostica | 443 | *.prod.hot.ingest.monitor.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Dati di diagnostica | 443 | *.prod.warm.ingest.monitor.core.windows.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Invia periodicamente i dati di diagnostica richiesti da Microsoft. |
| Azure portal | 443 | *.arc.azure.net |
Gli IP della macchina virtuale dell'appliance richiedono una connessione in uscita. | Gestire il cluster da portale di Azure. |
| Interfaccia della riga di comando e estensione di Azure | 443 | *.blob.core.windows.net |
Il computer di gestione richiede la connessione in uscita. | Scaricare il programma di installazione e l'estensione dell'interfaccia della riga di comando di Azure. |
| Agente di Azure Arc | 443 | *.dp.kubernetesconfiguration.azure.com |
Il computer di gestione richiede la connessione in uscita. | Dataplane usato per l'agente Arc. |
| Pacchetto Python | 443 | pypi.org, *.pypi.org |
Il computer di gestione richiede la connessione in uscita. | Convalidare le versioni di Kubernetes e Python. |
| Interfaccia della riga di comando di Azure | 443 | pythonhosted.org, *.pythonhosted.org |
Il computer di gestione richiede la connessione in uscita. | Installazione dei pacchetti Python per l'interfaccia della riga di comando di Azure. |
| SSH | 22 | Arc resource bridge appliance VM IPs |
Il computer di gestione richiede la connessione in uscita. | Usato per la risoluzione dei problemi della macchina virtuale dell'appliance. |
| Server API Kubernetes | 6443 | Arc resource bridge appliance VM IPs |
Il computer di gestione richiede la connessione in uscita. | Gestione della macchina virtuale dell'appliance. |
SCVMM richiede inoltre l'eccezione seguente:
| Servizio | Porta | URL | Direzione | Note |
|---|---|---|---|---|
| Server di gestione SCVMM | 443 | URL del server di gestione SCVMM. | L'IP della macchina virtuale dell'appliance e l'endpoint del piano di controllo richiedono una connessione in uscita. | Usato dal server SCVMM per comunicare con la macchina virtuale dell'appliance e il piano di controllo. |
| WinRM | Numeri di porta WinRM (valori predefiniti: 5985 e 5986). | URL del servizio WinRM. | Gli indirizzi IP nel pool IP usato dalla macchina virtuale dell'appliance e il piano di controllo richiedono la connessione con il server VMM. | Usato dal server SCVMM per comunicare con la macchina virtuale dell'appliance. |
In genere, i requisiti di connettività includono i principi seguenti:
- Tutte le connessioni sono TCP, se non diversamente specificato.
- Tutte le connessioni HTTP usano i protocolli HTTPS e SSL/TLS con certificati firmati e verificabili ufficialmente.
- Tutte le connessioni sono in uscita, se non diversamente specificato.
Per usare un proxy, verificare che gli agenti e il computer che eseguono il processo di onboarding soddisfino i requisiti di rete riportati in questo articolo.
Per un elenco completo dei requisiti di rete per le funzionalità di Azure Arc e i servizi abilitati per Azure Arc, vedere Requisiti di rete di Azure Arc (consolidati).
Residenza dei dati
SCVMM abilitato per Azure Arc non archivia/elabora i dati dei clienti all'esterno dell'area in cui il cliente distribuisce l'istanza del servizio.