你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

为 Azure VMware 解决方案私有云部署已启用 Arc 的 VMware vSphere

2025-07-21

在本文中，你将了解如何为 Azure VMware 解决方案私有云部署已启用 Arc 的 VMware vSphere。设置所需的组件后，就可通过 Azure 门户在 Azure VMware 解决方案 vCenter Server 中执行操作了。

通过已启用 Arc 的 Azure VMware 解决方案，可以执行以下操作：

识别 VMware vSphere 资源（VM、模板、网络、数据存储、群集/主机/资源池），并向 Arc 大规模注册这些资源。
直接从 Azure 执行不同的虚拟机 (VM) 操作（例如创建、重设大小、删除），并在 VMware VM 上按照与 Azure 一致的方式执行重启电源操作（例如启动/停止/重启）。
使用基于角色的访问控制，让开发人员和应用程序团队能够按需执行 VM 操作。
安装已连接 Arc 的计算机代理来治理、保护、配置和监视它们。
在 Azure 中浏览 VMware vSphere 资源（vms、模板、网络和存储）

Prerequisites

若要部署 Arc for Azure VMware 解决方案，需要确保满足以下先决条件。

以下注册功能用于通过 Azure CLI 进行提供程序注册。

  az provider register --namespace Microsoft.ConnectedVMwarevSphere   
  az provider register --namespace Microsoft.ExtendedLocation  
  az provider register --namespace Microsoft.KubernetesConfiguration   
  az provider register --namespace Microsoft.ResourceConnector    
  az provider register --namespace Microsoft.AVS

或者，你可以登录到订阅，然后按照以下步骤操作。

导航到“资源提供程序”选项卡。
注册上面提到的资源提供程序。

重要说明

不能在单独的资源组中创建资源。确保使用在其中创建了 Azure VMware 解决方案私有云的同一个资源组来创建资源。

需要以下项目，以确保您已准备好开始入门流程，以便为 Azure VMware 解决方案部署 Arc Resource Bridge。

在开始加入过程之前，请验证区域支持。支持适用于本地 VMware vSphere 的 Arc 的所有区域支持适用于 Azure VMware 解决方案的 Arc。有关详细信息，请参阅已启用 Azure Arc 的 VMware vSphere。
可访问 Internet 的管理 VM，该 VM 与 vCenter Server 直接连接。
使用 Azure Arc 管理 Azure VMware 解决方案虚拟机的支持矩阵。
在继续部署之前，请确保满足 Azure Arc 资源桥系统要求。
可访问 Internet 的管理 VM，该 VM 与 vCenter Server 直接连接。
从管理 VM 中，确认你有权访问 vCenter Server 和 NSX Manager 门户。
你在其中具有所有者或参与者角色的订阅中的资源组。
一个未使用的 NSX 网段，它是用来部署适用于 Azure VMware 解决方案的 Arc OVA 的静态网段。如果不存在未使用的 NSX 网段，系统会创建一个。
必须将防火墙和代理 URL 加入允许列表，才能实现从管理计算机和设备 VM 到所需 ARC 资源桥 URL 的通信。有关更多详细信息，请参阅 “确保 Azure Arc 资源桥系统要求 ”。

此外，Azure VMware 解决方案需要以下各项：

服务	港口	URL	方向	注释
aka.ms 短链接	443	`https://aka.ms/*`	从管理 VM 出站	用于 Azure CLI 安装程序和重定向
GitHub（存储库）	443	`https://github.com/vmware/govmomi/` 或 `https://github.com/`	从管理 VM 出站	GitHub 发布文件和存储库
GitHub 原始内容	443	`https://raw.githubusercontent.com/Azure/azure-cli/` 或 `https://raw.githubusercontent.com/`	从管理 VM 出站	从 GitHub 访问原始文件

vCenter Server 要求
- 验证 vCenter Server 版本是否为 7.0 或更高版本。
- 确保可从管理 VM 访问 vCenter Server。管理 VM 必须能够使用 FQDN 或 IP 地址访问 vCenter 服务器。
- 资源池或至少容量为 16 GB RAM 和 4 个 vCPU 的群集。
- 至少具有 100 GB 可用磁盘空间的数据存储，可通过资源池或群集使用。
注意
- 目前不支持专用终结点。
- 客户只有可用的静态 IP 地址;目前不提供 DHCP 支持。

如果要使用自定义 DNS，请使用以下步骤：

在 Azure VMware 解决方案私有云中，导航到 DNS 页面，在“工作负荷网络”下，选择“DNS”，并在“DNS 区域”选项卡下标识默认转发器区域。
编辑转发器区域以添加自定义 DNS 服务器 IP。将自定义 DNS 添加为第一个 IP 后，它会允许请求直接转发到第一个 IP 并减少重试次数。

部署注意事项

如果将 Azure VMware 解决方案中的软件作为 Azure 中的私有云运行，则可提供在 Azure 外部运行环境无法实现的好处。对于在虚拟机 (VM) 中运行的软件（例如 SQL Server 和 Windows Server），在 Azure VMware 解决方案中运行提供了更多的价值，例如免费的扩展安全更新 (ESU)。

要利用在 Azure VMware 解决方案中运行带来的优势，请使用本文启用 Arc 并将该体验与 Azure VMware 解决方案私有云完全集成。或者，通过以下机制启用 Arc 的 VM 无法创建必要的属性来将 VM 和软件注册为 Azure VMware 解决方案的一部分，并会导致 SQL Server ESU 针对以下项进行计费：

已启用 Arc 的服务器
已启用 Arc 的 VMware vSphere
由 Azure Arc 启用的 SQL Server

Azure 角色和权限

与已启用 Arc 的 VMware vSphere 相关的操作所需的最低 Azure 角色如下所示：

Operation	所需的最低角色	Scope
将 vCenter Server 加入到 Arc	Azure Arc VMware 私有云加入	在要加入到的订阅或资源组上
管理启用了 Arc 的 VMware vSphere	Azure Arc VMware 管理员	在创建 vCenter 服务器资源的订阅或资源组上
VM 预配	Azure Arc VMware 私有云用户	在包含资源池/群集/主机、数据存储和虚拟网络资源的订阅或资源组上，或在资源本身上
VM 预配	Azure Arc VMware VM 参与者	在要预配 VM 的订阅或资源组上
VM 操作	Azure Arc VMware VM 参与者	在包含 VM 的订阅或资源组上，或在 VM 本身上

对同一范围具有较高权限的任何角色（如所有者或参与者）也可以允许您执行上述操作。

入职流程

按照以下步骤完成加入适用于 Azure VMware 解决方案的 Azure Arc 的过程。

登录到管理 VM 并从以下位置的压缩文件中提取内容。提取的文件包含用于安装软件的脚本。
打开“config_avs.json”文件并填充所有变量。

配置 JSON
```
{
  "subscriptionId": "",
  "resourceGroup": "",
  "applianceControlPlaneIpAddress": "",
  "privateCloud": "",
  "isStatic": true,
  "staticIpNetworkDetails": {
   "networkForApplianceVM": "",
   "networkCIDRForApplianceVM": "",
   "k8sNodeIPPoolStart": "",
   "k8sNodeIPPoolEnd": "",
   "gatewayIPAddress": ""
  }
}
```
- 分别填充 subscriptionId、resourceGroup 和 privateCloud 名称。
- isStatic 始终为 true。
- networkForApplianceVM 是 Arc 设备 VM 段的名称。如果它尚不存在，则会创建一个。
- networkCIDRForApplianceVM 是 Arc 设备 VM 段的 IP CIDR。它应该是唯一的，不会影响 Azure VMware 解决方案管理 IP CIDR 的其他网络。
- GatewayIPAddress 是 Arc 设备 VM 段的网关。
- applianceControlPlaneIpAddress 是 Kubernetes API 服务器的 IP 地址，它应是提供的段 IP CIDR 的一部分。它不应该是 K8s 节点池 IP 范围的一部分。
- k8sNodeIPPoolStart、k8sNodeIPPoolEnd 是要分配到设备 VM 的 IP 池的起始和结束 IP。两者需要在 networkCIDRForApplianceVM 内。
- k8sNodeIPPoolStart、k8sNodeIPPoolEnd、gatewayIPAddress、applianceControlPlaneIpAddress 为可选。可以选择跳过所有可选字段，或为所有字段提供值。如果选择不提供可选字段，则必须将 /28 地址空间用于 networkCIDRForApplianceVM，并以第一个 Ip 作为网关。
- 如果提供了所有参数，则必须将防火墙和代理 URL 加入 K8sNodeIPPoolStart 和 k8sNodeIPPoolEnd 之间 IP 的允许列表。
- 如果要跳过可选字段，则对于段中的以下 IP，必须将防火墙和代理 URL 加入允许列表。如果 networkCIDRForApplianceVM 为 x.y.z.1/28，则要加入允许列表的 IP 将介于 x.y.z.11 - x.y.z.14 之间。请参阅 Azure Arc 资源网桥网络要求。 
JSON 示例
```
{ 
  "subscriptionId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", 
  "resourceGroup": "test-rg", 
  "privateCloud": "test-pc", 
  "isStatic": true, 
  "staticIpNetworkDetails": { 
   "networkForApplianceVM": "arc-segment", 
   "networkCIDRForApplianceVM": "10.14.10.1/28" 
  } 
} 
```
运行安装脚本。可以选择从 Windows 或基于 Linux 的跳转盒/VM 设置此预览版。

运行以下命令来执行安装脚本。
- 基于 Windows 的 Jumpbox/VM
- 基于 Linux 的 Jumpbox/VM
脚本未签名，因此我们需要绕过 PowerShell 中的执行策略。运行以下命令。
```
Set-ExecutionPolicy -Scope Process -ExecutionPolicy ByPass; .\run.ps1 -Operation onboard -FilePath {config-json-path}
```
添加脚本的执行权限并运行以下命令。
```
$ chmod +x run.sh  
$ sudo bash run.sh onboard {config-json-path} 
```
会在资源组中创建更多 Azure 资源。
- 资源网桥
- 自定义位置
- VMware vCenter Server
SSL 代理配置

如果使用某个代理，则必须将 Arc 资源网桥配置为使用该代理才能连接到 Azure 服务。此方法要求通过脚本在载入过程中指定其他参数。

重要说明

Arc 资源网桥仅支持直接（显式）代理，包括未经身份验证的代理、具有基本身份验证的代理、SSL 终止代理和 SSL 直通代理。

{ 

  "subscriptionId": "", 

  "resourceGroup": "", 

  "privateCloud": "", 

  "isStatic": true, 

  "staticIpNetworkDetails": { 

    "networkForApplianceVM": "", 

    "networkCIDRForApplianceVM": "" 

  }, 

  "applianceProxyDetails": { 

    "http": "", 

    "https": "", 

    "noProxy": "", 

    "certificateFilePath": "" 

  }, 

  "managementProxyDetails": { 

    "http": "", 

    "https": "", 

    "noProxy": "", 

    "certificateFilePath": "" 

  } 

} 
 

applianceProxyDetails - Provide the proxy details that needs to be used for the deployment of Arc Appliance in the network. 

managementProxyDetails - Provide the proxy details need to be used on management VM for running of the script. Provide these details only if you want to set or override the existing proxy settings on management VM. 

"http" - Proxy server address for http requests. 

"https" - Proxy server address for https requests. 

"noProxy" - The list of addresses that should be excluded from proxy. The endpoints those need to be excluded for Arc Deployment for both appliance and management VM are -localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16, <esxihost endpoints common suffix> 

"certificateFilePath" - The certificate that has to be used for authentication if it is an SSL proxy. 

For more details on proxy configuration for Arc Deployment, Please check https://learn.microsoft.com/en-us/azure/azure-arc/resource-bridge/network-requirements#ssl-proxy-configuration 

 
Example: 
{ 

{  

  "subscriptionId": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",  

  "resourceGroup": "test-rg",  

  "privateCloud": "test-pc",  

  "isStatic": true,  

  "staticIpNetworkDetails": {  

   "networkForApplianceVM": "arc-segment",  

   "networkCIDRForApplianceVM": "10.14.10.1/28"  

  }  

} , 

 "applianceProxyDetails": { 

    "http": "http://contoso-proxy.com", 

    "https": "https://contoso-proxysecured.com", 

    "noProxy": "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.5edef8ac24a6b4567785cd.australiaeast.avs.azure.com", 

    "certificateFilePath": "C:\Users\sampleUser.sslProxy.crt" 

  }, 

  "managementProxyDetails": { 

    "http": " http://contoso-proxy.com ", 

    "https": "https://contoso-proxysecured.com", 

    "noProxy": "localhost,127.0.0.1,.svc,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,.5edef8ac24a6b4567785cd.australiaeast.avs.azure.com", 

    "certificateFilePath": “C:\Users\sampleUser.sslProxy.crt" 

} 

}

重要说明

成功安装 Azure Arc 资源网桥后，建议在便于检索的位置保留资源网桥 config.yaml 文件的副本。稍后可能需要这些文件，以便在资源桥上运行命令，执行管理操作（例如 az arc appliance upgrade）。可以在运行脚本时所在的文件夹中找到三个 .yaml 文件（配置文件）。

成功运行脚本后，可检查状态来查看现在是否配置了 Azure Arc。若要验证私有云是否启用了 Arc，请执行以下操作：

在左侧导航栏中，找到“操作”。
选择“Azure Arc”。
Azure Arc 状态显示为“已配置”。

要在部署失败后进行恢复，请：

如果 Azure Arc 资源网桥部署失败，请参阅 Azure Arc 资源网桥故障排除指南。虽然 Azure Arc 资源网桥部署失败的原因有很多，但其中一个原因是 KVA 超时错误。详细了解 KVA 超时错误以及如何进行故障排除。

发现 VMware vSphere 基础结构资源并将其投影到 Azure

在私有云上成功部署 Arc 设备后，可以执行以下操作。

在左侧导航栏中的“操作”>“Azure Arc”下，从私有云中查看状态。
要查看私有云中的 VMware vSphere 基础结构资源，请在左侧导航栏中选择“私有云”，然后选择“Azure Arc vCenter Server 资源”。
通过导航“私有云”>“Arc vCenter Server 资源”>“虚拟机”，发现 VMware vSphere 基础结构资源并将其投影到 Azure。
与在 VM 中一样，客户可以在 Azure 中启用网络、模板、资源池和数据存储。

在 Azure 中启用虚拟机、资源池、群集、主机、数据存储、网络和 VM 模板

将 Azure VMware 解决方案私有云连接到 Azure 后，可以从 Azure 门户浏览 vCenter Server 清单。本部分介绍如何使这些资源启用 Azure。

注意

在 VMware vSphere 资源上启用 Azure Arc 是 vCenter Server 上的只读操作。它不会在 vCenter Server 中更改资源。

在 Azure VMware 解决方案私有云的左侧导航中，找到“vCenter Server 清单”。
选择要启用的资源，然后选择“在 Azure 中启用”。
选择你的 Azure 订阅和资源组，然后选择“启用”。

启用后就开始部署并在 Azure 中创建资源，从而在 Azure 中为 VMware vSphere 资源创建代表性对象。这样，就可以通过基于角色的访问控制精细地管理谁可访问这些资源。

对一个或多个虚拟机、网络、资源池和 VM 模板资源重复之前的步骤。

此外，对于虚拟机，还有另一部分用于配置 VM 扩展。这使来宾管理能够促进在 VM 上安装更多 Azure 扩展。启用此操作的步骤如下：

选择“启用来宾管理”。
为 Arc 代理选择一个连接方法。
为 VM 提供管理员/根目录访问用户名和密码。

如果选择以单独的步骤启用来宾管理，或者 VM 扩展安装步骤出现问题，请参阅启用来宾管理和在已启用 Arc 的 VM 上安装扩展。

后续步骤

若要管理已启用 Arc 的 Azure VMware 解决方案，请参阅管理已启用 Arc 的 Azure VMware 私有云 - Azure VMware 解决方案
若要从 Azure 中删除已启用 Arc 的 Azure VMware 解决方案资源，请参阅从 Azure 中删除已启用 Arc 的 Azure VMware 解决方案 vSphere 资源 - Azure VMware 解决方案。

通过

为 Azure VMware 解决方案私有云部署已启用 Arc 的 VMware vSphere

Prerequisites

部署注意事项

Azure 角色和权限

入职流程

发现 VMware vSphere 基础结构资源并将其投影到 Azure

在 Azure 中启用虚拟机、资源池、群集、主机、数据存储、网络和 VM 模板

后续步骤

反馈

其他资源