Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo descreve os requisitos do sistema para implantar a ponte de recursos do Azure Arc.
A ponte de recursos Arc é usada com outros produtos de parceiros, como Azure Local, VMware vSphere habilitado para Arc e System Center Virtual Machine Manager (SCVMM) habilitado para Arc. Estes produtos podem ter requisitos adicionais.
Permissões do Azure necessárias
Para integrar a ponte de recursos do Arc, você deve ter a função de Colaborador para o grupo de recursos.
Para ler, modificar e excluir a ponte de recursos Arc, você deve ter a função de Colaborador para o grupo de recursos.
Requisitos da ferramenta de gestão
A CLI do Azure é necessária para implantar a ponte de recursos do Azure Arc em ambientes de nuvem privada com suporte.
Se estiver implantando a ponte de recursos Arc no VMware, a CLI de 64 bits do Azure precisará ser instalada na máquina de gerenciamento para executar os comandos de implantação.
Se estiver implantando no Azure Local, a CLI do Azure de 32 bits deverá ser instalada na máquina de gerenciamento.
A extensão da CLI do dispositivo Arc, arcappliance, precisa ser instalada executando este comando: az extension add --name arcappliance
Requisitos mínimos de recursos
A ponte de recursos do Arc tem os seguintes requisitos mínimos de recursos:
- 200 GB de espaço em disco
- 4 vCPUs (processadores virtuais)
- 8 GB de memória
- configuração de armazenamento suportada - armazenamento híbrido (flash e HDD) ou armazenamento totalmente flash (SSDs ou NVMe)
Esses requisitos mínimos permitem a maioria dos cenários para produtos que usam a ponte de recursos Arc. Analise a documentação do produto para obter requisitos de recursos específicos. A falha em fornecer recursos suficientes pode causar erros durante a implantação ou atualização.
Requisitos de prefixo de endereço IP (sub-rede)
O prefixo de endereço IP (sub-rede) onde a ponte de recursos Arc será implantada requer um prefixo mínimo de /29. O prefixo do endereço IP deve ter endereços IP disponíveis suficientes para o IP do gateway, o IP do plano de controle, o IP da VM do dispositivo e o IP da VM do dispositivo reservado. A ponte de recursos Arc usa apenas os endereços IP atribuídos ao intervalo do pool de IP (IP INICIAL, IP final) e ao IP do plano de controle. Recomendamos que o IP final siga imediatamente o IP inicial. Ex: IP inicial = 192.168.0.2, IP final = 192.168.0.3. Trabalhe com seu engenheiro de rede para garantir que haja uma sub-rede disponível com os endereços IP disponíveis necessários e o prefixo de endereço IP para a ponte de recursos Arc.
O prefixo de endereço IP é o intervalo de endereços IP da sub-rede para a rede virtual e a máscara de sub-rede (Máscara de IP) na notação CIDR, por exemplo 192.168.7.1/29. Você fornece o prefixo de endereço IP (em notação CIDR) durante a criação dos arquivos de configuração para a ponte de recursos Arc.
Consulte seu engenheiro de rede para obter o prefixo do endereço IP na notação CIDR. Uma calculadora CIDR de sub-rede IP pode ser usada para obter esse valor.
Configuração de IP estático
Se estiver implantando a ponte de recursos do Arc em um ambiente de produção, a configuração estática deverá ser usada ao implantar a ponte de recursos do Arc. A configuração de IP estático é usada para atribuir três IPs estáticos (que estão na mesma sub-rede) ao plano de controle da ponte de recursos Arc, à VM do dispositivo e à VM do dispositivo reservado.
O DHCP só tem suporte em um ambiente de teste para fins de teste somente para gerenciamento de VM no Azure Local. Ele não deve ser usado em um ambiente de produção. O DHCP não é suportado em nenhuma outra nuvem privada habilitada para Arc, incluindo VMware habilitado para Arc, Arc for AVS ou SCVMM habilitado para Arc.
Se estiver usando DHCP, você deve reservar os endereços IP usados pelo plano de controle e pela VM do dispositivo. Além disso, os IPs devem estar fora do intervalo de IPs disponível para DHCP. Ex: O IP do plano de controle deve ser tratado como um IP reservado/estático que nenhuma outra máquina na rede usará ou receberá do DHCP. Se o IP do plano de controle ou o IP da VM do dispositivo forem alterados, isso afetará a disponibilidade e a funcionalidade da ponte de recursos.
Requisitos da máquina de gerenciamento
A máquina usada para executar os comandos para implantar e manter a ponte de recursos Arc é chamada de máquina de gerenciamento.
Requisitos da máquina de gerenciamento:
Azure CLI x64 instalado
Comunicação ao IP do plano de controlo (porta SSH TCP 22, porta API Kubernetes 6443)
Comunicação com IPs de VM de dispositivo (porta TCP SSH 22, porta 6443 da API do Kubernetes)
Comunicação com os IPs reservados da VM do Appliance (porta TCP SSH 22, porta 6443 da API do Kubernetes)
comunicação pela porta 443 para o console de gerenciamento de nuvem privada (por exemplo, máquina VMware vCenter)
Resolução DNS interna e externa. O servidor DNS deve resolver nomes internos, como o ponto de extremidade vCenter do vSphere ou o ponto de extremidade do serviço de agente de nuvem do Azure Local. O servidor DNS também deve ser capaz de resolver endereços externos que são URLs necessárias para implantação.
Acesso à Internet
Requisitos de endereço IP da VM do dispositivo
A ponte de recursos do Arc consiste em uma VM de dispositivo implantada localmente. A VM do dispositivo tem visibilidade da infraestrutura local e pode marcar recursos locais (gerenciamento de convidados) para projeção no Azure Resource Manager (ARM). A máquina virtual do dispositivo recebe um endereço IP a partir do parâmetro k8snodeippoolstart no comando createconfig. Pode ser referido em produtos parceiros como Start Range IP, RB IP Start ou VM IP 1. O IP da VM do dispositivo é o endereço IP inicial para o intervalo do pool de IP da VM do dispositivo, e esse IP é inicialmente atribuído à VM do dispositivo quando você implanta a ponte de recursos Arc pela primeira vez. O intervalo do pool de IP da VM requer pelo menos 2 endereços IP.
Requisitos de endereço IP da VM do dispositivo:
- Comunicação com a máquina de gerenciamento (SSH TCP porta 22, Kubernetes API porta 6443).
- Comunicação com o endpoint de gerenciamento de nuvem privada via Port 443 (como VMware vCenter).
- Conectividade à Internet para URLs requeridos ativada no proxy/firewall.
- IP estático atribuído e dentro do prefixo do endereço IP.
- Resolução DNS interna e externa.
- Se estiver usando um proxy, o servidor proxy deve ser acessível a partir desse IP e de todos os IPs dentro do pool de IP da VM.
Requisitos de IP de VM de dispositivo reservado
A ponte de recursos Arc reserva um endereço IP adicional a ser usado para a atualização da VM do dispositivo. O IP reservado da VM do dispositivo recebe um endereço IP através do parâmetro k8snodeippoolend no comando az arcappliance createconfig. Este endereço IP pode ser referido como IP de intervalo final, IP Final da RB ou IP de VM 2. O IP reservado da VM do appliance é o endereço IP final para a faixa de pool de IP da VM do appliance. Quando a VM do dispositivo é atualizada pela primeira vez, o IP da VM do dispositivo reservado é atribuído à VM do dispositivo após a atualização e o IP da VM do dispositivo inicial é retornado ao pool de IP para ser usado para uma atualização futura. Se especificar um intervalo de pool de IP maior que dois endereços IP, os IPs adicionais serão reservados.
Requisitos de IP da VM do dispositivo reservado:
- Comunicação com a máquina de gerenciamento (SSH TCP porta 22, Kubernetes API porta 6443).
- Comunicação com o endpoint de gerenciamento de nuvem privada via Port 443 (como VMware vCenter).
- Conectividade à Internet para URLs requeridos ativada no proxy/firewall.
- IP estático atribuído e dentro do prefixo do endereço IP.
- Resolução DNS interna e externa.
- Se estiver usando um proxy, o servidor proxy deve ser acessível a partir desse IP e de todos os IPs dentro do pool de IP da VM.
Requisitos IP do plano de controlo
A VM do dispositivo hospeda um cluster Kubernetes de gerenciamento com um plano de controle que requer um único endereço IP estático. Este IP é atribuído pelo parâmetro controlplaneendpoint no comando createconfig ou no comando de criação de arquivos de configuração equivalente.
Requisitos IP do plano de controle:
- Comunicação com a máquina de gerenciamento (SSH TCP porta 22, Kubernetes API porta 6443).
- O endereço IP estático foi atribuído e está dentro do prefixo do endereço IP.
- Se estiver usando um proxy, o servidor proxy deve ser acessível a partir de IPs dentro do prefixo de endereço IP, incluindo o IP da VM do dispositivo reservado.
Servidor DNS
Os servidores DNS devem ter resolução de ponto final interna e externa. A VM do dispositivo e o plano de controle precisam resolver a máquina de gerenciamento e vice-versa. Todos os três IPs devem ser capazes de alcançar as URLs necessárias para implantação.
Porta de entrada
O IP do gateway é o IP do gateway para a rede na qual a ponte de recursos Arc é implantada. O IP do gateway deve ser um IP de dentro da sub-rede designada no prefixo do endereço IP.
Exemplo de configuração mínima para implantação de IP estático
O exemplo a seguir mostra valores de configuração válidos que podem ser passados durante a criação do arquivo de configuração para a ponte de recursos Arc.
Observe que os endereços IP do gateway, do plano de controle, da VM do dispositivo e do servidor DNS (para resolução interna) estão dentro do prefixo do endereço IP. O Start/End do Pool de IP da VM é sequencial. Esse detalhe importante ajuda a garantir a implantação bem-sucedida da VM do dispositivo.
Prefixo de endereço IP (formato CIDR): 192.168.0.0/29
IP do gateway: 192.168.0.1
Início do Pool de IP da VM (formato IP): 192.168.0.2
Fim do Pool de IP da VM (formato IP): 192.168.0.3
IP do plano de controle: 192.168.0.4
Servidores DNS (formato de lista IP): 192.168.0.1, 10.0.0.5, 10.0.0.6
Conta de utilizador e credenciais
A ponte de recursos Arc pode exigir uma conta de usuário dedicada com as funções necessárias para exibir e gerenciar recursos na nuvem privada local. Em caso afirmativo, durante a criação dos arquivos de configuração, os parâmetros username e password são necessários. As credenciais da conta são então armazenadas como um segredo na VM do dispositivo.
Aviso
A ponte de recursos do Arc só pode usar uma conta de usuário que não tenha a autenticação multifator habilitada. Se a conta de usuário estiver definida para alterar periodicamente as senhas, as credenciais deverão ser atualizadas imediatamente na ponte de recursos. Essa conta de usuário também pode ser definida com uma política de bloqueio para proteger a infraestrutura local, caso as credenciais não sejam atualizadas e a ponte de recursos faça várias tentativas de usar credenciais expiradas para acessar o centro de controle local.
Por exemplo, com o VMware Arc-Enabled, o Arc Resource Bridge precisa de uma conta de utilizador dedicada para o vCenter com as funções necessárias. Se as credenciais da conta de usuário forem alteradas, as credenciais armazenadas na ponte de recursos do Arc deverão ser imediatamente atualizadas executando az arcappliance update-infracredentials a partir da máquina de gerenciamento. Caso contrário, o appliance faz repetidas tentativas de usar as credenciais expiradas para acessar o vCenter, o que pode resultar em um bloqueio da conta.
Certificados Internos
A ponte de recursos Arc contém certificados internos que são necessários para manter uma comunicação segura com o Azure e verificar os componentes internos. Esses certificados exigem que a ponte de recursos Arc permaneça online e mantenha uma conexão persistente com o Azure. Se a ponte de recursos Arc estiver offline por mais de 45 dias, há um risco de que o certificado expire, exigindo uma reimplantação, pois o certificado é irrecuperável. A ponte de recursos do Arc também requer uma atualização a cada seis meses para garantir que os certificados internos sejam atualizados. Se a Arc ponte de recursos não puder ser atualizada e os certificados expirarem, será necessária uma nova implementação. Consulte a página Manutenção para obter informações importantes para manter sua ponte de recursos do Arc.
Arquivos de configuração
A ponte de recursos do Arc consiste em uma VM de dispositivo que é implantada na infraestrutura local. Para manter a VM do dispositivo, os arquivos de configuração gerados durante a implantação devem ser salvos em um local seguro e disponíveis na máquina de gerenciamento.
Há vários tipos diferentes de arquivos de configuração, com base na infraestrutura local.
Arquivos de configuração do dispositivo
Três arquivos de configuração são criados ao implantar a ponte de recursos Arc: <appliance-name>-resource.yaml, <appliance-name>-appliance.yaml e <appliance-name>-infra.yaml.
Por padrão, esses arquivos são gerados no diretório CLI atual de onde os comandos de implantação são executados. Esses arquivos devem ser salvos na máquina de gerenciamento porque são necessários para manter a VM do dispositivo. Os arquivos de configuração fazem referência uns aos outros e devem ser armazenados no mesmo local.
Os comandos CLI az arcappliance que utilizam arquivos de configuração YAML são 'az arcappliance delete' para eliminar a ponte de recursos Arc e suas associações de back-end do Azure e 'az arcappliance upgrade' para atualizar manualmente a ponte de recursos Arc.
Kubeconfig
A VM do dispositivo hospeda um cluster Kubernetes de gerenciamento. O kubeconfig é um arquivo de configuração do Kubernetes de baixo privilégio que é usado para manter a VM do dispositivo. Por padrão, ele é gerado no diretório CLI atual quando o deploy comando é concluído. O kubeconfig deve ser salvo em um local seguro na máquina de gerenciamento, pois é necessário para manter a VM do dispositivo. Se o kubeconfig for perdido, ele pode ser recuperado executando o az arcappliance get-credentials comando.
Importante
Depois que a VM da ponte de recursos Arc é criada, as definições de configuração não podem ser modificadas ou atualizadas. Atualmente, a VM do dispositivo deve permanecer no local onde foi implantada inicialmente. O nome da VM da ponte de recursos Arc é um GUID exclusivo que não pode ser renomeado, porque é um identificador usado para atualização gerenciada na nuvem.
Próximos passos
- Entenda os requisitos de rede para a ponte de recursos do Azure Arc.
- Analise a visão geral da ponte de recursos do Azure Arc para entender mais sobre recursos e benefícios.
- Saiba mais sobre a configuração de segurança e as considerações para a ponte de recursos do Azure Arc.