Share via

Azure Arc 資源橋接器的系統需求

  • 發行項

本文說明部署 Azure Arc 資源橋接器的系統需求。

Arc 資源橋接器與其他合作夥伴產品搭配使用,例如 Azure Stack HCI已啟用 Arc 的 VMware vSphere,以及 已啟用 Arc 的 System Center Virtual Machine Manager (SCVMM)。 這些產品可能會有其他需求。

必要的 Azure 權限

  • 若要讓 Arc 資源橋接器上線,您必須擁有資源群組中的參與者角色。

  • 若要讀取、修改和刪除 Arc 資源橋接器,您必須在資源群組中具有參與者角色。

管理工具需求

需要 Azure CLI 才能在支援的私人雲端環境中部署 Azure Arc 資源橋接器。

如果在 VMware 上部署 Arc 資源橋接器,必須在管理電腦上安裝 Azure CLI 64 位元,才能執行部署命令。

如果在 Azure Stack HCI 上部署,則應該在管理電腦上安裝 Azure CLI 32 位。

Arc Appliance CLI 延伸模組 arcappliance,必須安裝在 CLI 上。 方法是執行:az extension add --name arcappliance

最低資源需求

Arc 資源橋接器有下列最低資源需求:

  • 50 GB 磁碟空間
  • 4 個 vCPU
  • 8 GB 記憶體

這些最低需求可支援大部分案例。 不過,合作夥伴產品可能支援 Arc 資源橋接器的資源連線計數較高,這需要橋接器具有較高的資源需求。 無法提供足夠的資源可能會導致部署期間發生錯誤,例如磁碟複製錯誤。 檢閱合作夥伴產品的文件,以取得特定資源需求。

IP 位址前置詞 (子網路) 需求

部署 Arc 資源橋接器的 IP 位址前置詞 (子網路) 需要最小前置詞為 /29。 IP 位址前置詞必須有足夠的可用 IP 位址,才能用於網路閘道 IP、控制平面 IP、設備 VM IP 和保留設備 VM IP。 Arc 資源網橋只會使用指派給IP集區範圍的IP位址(起始IP、結束IP)和控制平面IP。 我們建議您立即遵循 [開始IP] 的 [結束IP]。 例如:啟動 IP =192.168.0.2、結束 IP = 192.168.0.3。 請與您的網路工程師合作,以確保 Arc 資源橋接器具有必需的可用 IP 位址和 IP 位址前置慈的可用子網路。

IP 位址前置詞是 CIDR 標記法中虛擬網路和子網路遮罩 (IP 遮罩) 的子網路 IP 位址範圍,例如 192.168.7.1/29。 在建立 Arc 資源橋接器的組態檔時,您會提供 IP 位址前置詞 (以 CIDR 標記法)。

請洽詢您的網路工程師,以取得 CIDR 標記法中的 IP 位址前置詞。 IP 子網路 CIDR 計算機可用來取得此值。

靜態 IP 組態

如果將 Arc 資源橋接器部署至生產環境,則必須在部署 Arc 資源橋接器時使用靜態設定。 靜態 IP 設定可用來將三個靜態 IP 指派給 Arc 資源橋接器控制平面、設備 VM 和保留設備 VM。

只有在測試環境中才支援 DHCP,以便只針對 Azure Stack HCI 上的 VM 管理進行測試。 它不應該用於生產環境。 任何其他已啟用 Arc 的私人雲端都不支援 DHCP,包括已啟用 Arc 的 VMware、AVS 的 Arc,或已啟用 Arc 的 SCVMM。

如果使用 DHCP,您必須保留控制平面和設備 VM 所使用的 IP 位址。 此外,這些 IP 必須超出可指派的 DHCP IP 範圍。 例如:控制平面 IP 應視為保留/靜態 IP,其在網路上沒有其他電腦將使用或從 DHCP 接收。 如果控制平面IP或設備 VM IP 變更,這會影響資源網橋可用性和功能。

管理機器需求

用來執行命令以部署和維護 Arc 資源橋接器的機器稱為管理機器

管理機器需求:

  • 已安裝Azure CLI x64

  • 與控制平面IP的通訊(SSH TCP埠 22、Kubernetes API 埠 6443)

  • 與設備 VM IP 的通訊(SSH TCP 連接埠 22、Kubernetes API 埠 6443)

  • 與保留設備 VM IP 的通訊(SSH TCP 連接埠 22、Kubernetes API 連接埠 6443)

  • 透過埠 443 與私人雲端管理控制台的通訊(例如:VMware vCenter 機器)

  • 內部和外部 DNS 解析。 DNS 伺服器必須解析內部名稱,例如 vSphere 的 vCenter 端點或 Azure Stack HCI 的雲端代理程式服務端點。 DNS 伺服器也必須能夠解析外部位址,即部署所需 的 URL

  • 網際網路存取

設備 VM IP 位址需求

Arc 資源橋接器是由部署到內部部署的設備 VM 所組成。 設備 VM 可查看內部部署基礎結構,並可標記內部部署資源 (來賓管理),以投影至 Azure Resource Manager (ARM)。 設備 VM 會從 k8snodeippoolstart 命令中的 createconfig 參數指派 IP 位址。 合作夥伴產品中可能會將其稱為 [開始範圍 IP]、[RB IP 開始] 或 [VM IP 1]。 設備 VM IP 是設備 VM IP 集區的起始 IP 位址;因此,當您第一次部署 Arc 資源網橋時,這是最初指派給設備 VM 的 IP。 VM IP 集區範圍至少需要 2 個 IP 位址。

設備 VM IP 位址需求:

  • 與管理機器通訊(SSH TCP 埠 22、Kubernetes API 連接埠 6443)

  • 透過埠 443 與私人雲端管理端點通訊(例如 VMware vCenter)。

  • 在 proxy/防火牆中啟用必要 URL 的網際網路連線。

  • 已指派靜態IP,並在IP位址前綴內。

  • 內部和外部 DNS 解析。

  • 如果使用 Proxy,則 Proxy 伺服器必須從此 IP 和 VM IP 集區中的所有 IP 連線。

已保留的設備 VM IP 需求

Arc 資源橋接器會保留用於設備 VM 升級的額外 IP 位址。 已保留的設備 VM IP 是透過 az arcappliance createconfig 命令中的 k8snodeippoolend 參數指派 IP 位址。 此 IP 位址可稱為結束範圍 IP、RB IP 結束,或 VM IP 2。 已保留的設備 VM IP 是設備 VM IP 集區範圍的結束 IP 位址。 第一次升級設備 VM 時,這是指派給設備 VM 升級後的 IP,並將初始設備 VM IP 傳回至 IP 集區,以供日後升級使用。 如果指定大於兩個 IP 位址的 IP 集區範圍,則會保留額外的 IP。

已保留的設備 VM IP 需求:

  • 與管理機器通訊(SSH TCP 埠 22、Kubernetes API 連接埠 6443)

  • 透過埠 443 與私人雲端管理端點通訊(例如 VMware vCenter)。

  • 在 proxy/防火牆中啟用必要 URL 的網際網路連線。

  • 已指派靜態IP,並在IP位址前綴內。

  • 內部和外部 DNS 解析。

  • 如果使用 Proxy,則 Proxy 伺服器必須從此 IP 和 VM IP 集區中的所有 IP 連線。

控制平面 IP 需求

設備 VM 會裝載管理 Kubernetes 叢集,其具有需要單一靜態 IP 位址的控制平面。 此 IP 是從 createconfig 命令或對等組態檔建立命令中的 controlplaneendpoint 參數指派。

控制平面 IP 需求:

  • 與管理機器通訊(SSH TCP 埠 22、Kubernetes API 埠 6443)。

  • 指派的靜態 IP 位址,並在 IP 位址前綴內。

  • 如果使用 Proxy,Proxy 伺服器必須是可從 IP 位址前置詞內的 IP 連線,包括保留設備 VM IP。

DNS 伺服器

DNS 伺服器必須具有內部和外部端點解析。 設備 VM 和控制平面需要解析管理機器,反之亦然。 這三個 IP 都必須能夠連線到部署所需的 URL。

閘道

閘道IP是部署Arc資源網橋之網路的閘道IP。 網路閘道 IP 應該是 IP 位址前置詞中所指定子網路內的 IP。

靜態 IP 部署的最小組態範例

下列範例顯示可在建立 Arc 資源橋接器的組態檔期間傳遞的有效設定值。

請注意,網路閘道、控制平面、設備 VM 和 DNS 伺服器 (針對內部解析) 的 IP 位址在 IP 位址前置詞內。 VM IP 集區開始/結束是循序的。 此重要細節有助於確保設備 VM 部署成功。

IP 位址前置詞 (CIDR 格式):192.168.0.0/29

閘道 IP:192.168.0.1

VM IP 集區開始 (IP 格式):192.168.0.2

VM IP 集區結束 (IP 格式):192.168.0.3

控制平面IP:192.168.0.4

DNS 伺服器 (IP 清單格式):192.168.0.1、10.0.0.5、10.0.0.6

AD 使用者帳戶及認證

Arc 資源橋接器可能需要具有必要角色的個別使用者帳戶,才能檢視和管理內部部署基礎結構中的資源 (例如已啟用 Arc 的 VMware vSphere)。 如果是,在建立組態檔期間,將需要 usernamepassword 參數。 然後帳戶認證會儲存在設備 VM 本機的組態檔中。

警告

Arc 資源橋接器只能使用未啟用多重要素驗證的使用者帳戶。 如果使用者帳戶設定為定期變更密碼,則必須立即在資源橋接器上更新認證。 您也可以使用鎖定原則來設定此使用者帳戶,以保護內部部署基礎結構,以防認證未更新,而資源橋接器會多次嘗試使用過期的認證來存取內部部署控制中心。

例如,使用已啟用 Arc 的 VMware,Arc 資源橋接器需要具有必要角色的 vCenter 個別使用者帳戶。 如果使用者帳戶的認證變更,則必須透過從管理機器執行 az arcappliance update-infracredentials,立即更新儲存在 Arc 資源橋接器中的認證。 否則,設備會重複嘗試使用過期的認證來存取 vCenter,這會導致帳戶鎖定。

組態檔

Arc 資源橋接器是由部署到內部部署基礎結構的設備 VM 所組成。 若要維護設備 VM,部署期間產生的組態檔必須儲存在安全的位置,並在管理機器上提供。

根據內部部署基礎結構,有數種不同類型的組態檔。

設備組態檔

部署 Arc 資源網橋時會建立三個組態檔: <appliance-name>-resource.yaml<appliance-name>-appliance.yaml<appliance-name>-infra.yaml

根據預設,這些檔案會在執行部署命令的目前 CLI 目錄中產生。 這些檔案應該儲存在管理計算機上,因為它們需要維護設備 VM。 組態檔會彼此參考,而且應該儲存在相同的位置。

Kubeconfig

設備 VM 裝載管理 Kubernetes 叢集。 kubeconfig 是低權限 Kubernetes 組態檔,用來維護設備 VM。 根據預設,當 deploy 命令完成時,會在目前的 CLI 目錄中產生。 kubeconfig 應該儲存在管理機器上的安全位置,因為它是維護設備 VM 所需。 如果 kubeconfig 遺失,則可以藉由執行 az arcappliance get-credentials 命令來擷取它。

重要

建立Arc資源網橋 VM之後,就無法修改或更新組態設定。 此外,設備 VM 必須停留在最初部署所在的位置。 未來版本將提供設備 VM 設定和位置變更的功能。 不過,Arc 資源網橋 VM 名稱是無法重新命名的唯一 GUID,因為它是用於雲端管理升級的標識符。

下一步