Configuración de Amazon Elastic VMware Service - Amazon Elastic VMware Service
Inscríbase en AWSCreación de un usuario de IAMCree un rol de IAM para delegar el permiso de Amazon EVS a un usuario de IAMInscríbase en un AWS plan Business, AWS Enterprise On-Ramp o AWS Enterprise SupportComprobación de las cuotas de Planifique los tamaños de CIDR de VPCCrear una VPC con subredesConfigurar la tabla de enrutamiento principal de la VPCConfigure el conjunto de opciones de DHCP de su VPCCrear y configurar la infraestructura de VPC Route ServerCree una pasarela de tránsito para la conectividad localCrear una reserva de EC2 capacidad en AmazonConfigure el AWS CLICrear un Amazon EC2 key pairPrepara tu entorno para VMware Cloud Foundation (VCF)Adquiera las claves de licencia de VCFVMware Requisitos previos de HCX

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de Amazon Elastic VMware Service

Para usar Amazon EVS, necesitará configurar otros AWS servicios, así como configurar su entorno para cumplir con los requisitos de VMware Cloud Foundation (VCF). Para obtener una lista resumida de los requisitos previos de implementación, consulte. Lista de verificación de requisitos previos para el despliegue de Amazon EVS

Temas

Inscríbase en AWS

Si no tienes una Cuenta de AWS, sigue estos pasos para crearla.

  1. Abre el https://portal.aws.amazon.com/billing/registro.

  2. Siga las instrucciones que se le indiquen.

Creación de un usuario de IAM

  1. Inicie sesión en la consola de IAM como propietario de la cuenta; para ello, seleccione el usuario raíz e introduzca la dirección de correo electrónico de su AWS cuenta. En la siguiente página, escriba su contraseña.

    nota

    Le recomendamos que siga la práctica recomendada de utilizar el usuario de IAM Administrator como se indica a continuación y guardar de forma segura las credenciales de usuario raíz. Inicie sesión como usuario raíz únicamente para realizar algunas tareas de administración de servicios y de cuentas.

  2. En el panel de navegación, selecciona Usuarios y, a continuación, selecciona Crear usuario.

  3. En Nombre de usuario, escriba Administrator.

  4. Seleccione la casilla de verificación situada junto al acceso a AWS la consola de administración. A continuación, seleccione Custom password (Contraseña personalizada) y luego escriba la nueva contraseña en el cuadro de texto.

  5. (Opcional) De forma predeterminada, AWS requiere que el nuevo usuario cree una contraseña nueva al iniciar sesión por primera vez. Puede quitar la marca de selección de la casilla de verificación situada junto a User must create a new password at next sign-in (El usuario debe crear una nueva contraseña en el siguiente inicio de sesión) para permitir al nuevo usuario restablecer su contraseña después de iniciar sesión.

  6. Elija Next: Permissions.

  7. En Set permissions (Establecer permisos), elija Add user to group (Añadir usuario a grupo).

  8. Elija Create group (Crear grupo).

  9. En el cuadro de diálogo Create group (Crear grupo), en Group name (Nombre del grupo) escriba Administrators.

  10. Elija Filtrar políticas y, a continuación, seleccione la función AWS managed -job para filtrar el contenido de la tabla.

  11. En la lista de políticas, active la casilla de verificación correspondiente AdministratorAccess. A continuación, elija Create group (Crear grupo).

    nota

    Debe activar el acceso de usuario y rol de IAM a Billing antes de poder usar AdministratorAccess los permisos para acceder a la consola de AWS Billing and Cost Management. Para ello, siga las instrucciones que se indican en el paso 1 del tutorial sobre cómo delegar el acceso a la consola de facturación.

  12. Retroceda a la lista de grupos y active la casilla de verificación del nuevo grupo. Elija Refresh si es necesario para ver el grupo en la lista.

  13. Elija Next: Tags (Siguiente: Etiquetas).

  14. (Opcional) Añadir metadatos al rol asociando las etiquetas como pares de clave-valor. Para obtener más información sobre la utilización de etiquetas en IAM, consulte Etiquetado de entidades de IAM en la Guía del usuario de IAM.

  15. Elija Next: Review (Siguiente: Revisión) para ver la lista de suscripciones a grupos que se van a añadir al nuevo usuario. Cuando esté listo para continuar, elija Create user (Crear usuario).

Puede utilizar este mismo proceso para crear más grupos y usuarios y dar a sus usuarios acceso a los recursos de su AWS cuenta. Para obtener información sobre el uso de políticas que restringen los permisos de los usuarios a AWS recursos específicos, consulte Administración de acceso y ejemplos de políticas.

Cree un rol de IAM para delegar el permiso de Amazon EVS a un usuario de IAM

Puede usar roles para delegar el acceso a sus recursos. AWS Con las funciones de IAM, puede establecer relaciones de confianza entre su cuenta de confianza y otras cuentas de AWS confianza. La cuenta de confianza es propietaria del recurso al que se va a acceder y la cuenta de confianza contiene los usuarios que necesitan acceder al recurso.

Tras crear la relación de confianza, un usuario de IAM o una aplicación de la cuenta de confianza pueden utilizar la operación de la AssumeRole API AWS Security Token Service (AWS STS). Esta operación proporciona credenciales de seguridad temporales que permiten el acceso a AWS los recursos de su cuenta. Para obtener más información, consulte Crear un rol para delegar permisos a un usuario de IAM en la Guía del AWS Identity and Access Management usuario.

Siga estos pasos para crear un rol de IAM con una política de permisos que permita el acceso a las operaciones de Amazon EVS.

nota

Amazon EVS no admite el uso de un perfil de instancia para transferir una función de IAM a una EC2 instancia.

IAM console

  1. Ve a la consola de IAM.

  2. En el menú de la izquierda, selecciona Políticas.

  3. Elija Crear política.

  4. En el editor de políticas, cree una política de permisos que permita las operaciones de Amazon EVS. Para ver una política de ejemplo, consulte Cree y gestione un entorno Amazon EVS. Para ver todas las acciones, recursos y claves de condición de Amazon EVS disponibles, consulte Acciones en la referencia de autorización de servicio.

  5. Elija Siguiente.

  6. En Nombre de la política, introduzca un nombre de política significativo para identificar esta política.

  7. Revise los permisos definidos en esta política.

  8. (Opcional) Agregue etiquetas para ayudar a identificar, organizar o buscar este recurso.

  9. Elija Crear política.

  10. En el menú de la izquierda, selecciona Funciones.

  11. Seleccione Crear rol.

  12. En Tipo de entidad de confianza, elija Cuenta de AWS.

  13. En An Cuenta de AWS , especifique la cuenta en la que desea realizar las acciones de Amazon EVS y seleccione Siguiente.

  14. En la página Añadir permisos, seleccione la política de permisos que creó anteriormente y pulse Siguiente.

  15. En Nombre del rol, introduzca un nombre significativo para identificar este rol.

  16. Revise la política de confianza y asegúrese de que la correcta Cuenta de AWS aparezca como principal.

  17. (Opcional) Agregue etiquetas para ayudar a identificar, organizar o buscar este recurso.

  18. Seleccione Crear rol.

AWS CLI

  1. Copie el siguiente contenido en un archivo JSON de política de confianza. Para el ARN principal, sustituya el ID y el nombre del ejemplo por su propio Cuenta de AWS Cuenta de AWS ID y service-user nombre de usuario de IAM.

    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/service-user" 
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Creación del rol. evs-environment-role-trust-policy.jsonSustitúyalo por el nombre del archivo de la política de confianza.

    aws iam create-role \
  --role-name myAmazonEVSEnvironmentRole \
  --assume-role-policy-document file://"evs-environment-role-trust-policy.json"

  3. Cree una política de permisos que permita las operaciones de Amazon EVS y asocie la política al rol. Reemplace myAmazonEVSEnvironmentRole por el nombre de su rol. Para ver una política de ejemplo, consulte Cree y gestione un entorno Amazon EVS. Para ver todas las acciones, recursos y claves de condición de Amazon EVS disponibles, consulte Acciones en la referencia de autorización de servicio.

    aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEVSEnvironmentPolicy \
  --role-name myAmazonEVSEnvironmentRole

Inscríbase en un AWS plan Business, AWS Enterprise On-Ramp o AWS Enterprise Support

Amazon EVS requiere que los clientes estén inscritos en un plan AWS Business, AWS Enterprise On-Ramp o Enterprise AWS Support para recibir acceso continuo al soporte técnico y a la orientación arquitectónica. AWS Business Support es el nivel de AWS soporte mínimo que cumple con los requisitos de Amazon EVS. Si tiene cargas de trabajo críticas para la empresa, le recomendamos que se inscriba en los planes Enterprise On-Ramp o AWS AWS Enterprise Support. Para obtener más información, consulte Compare AWS Support Plans.

importante

Se produce un error en la creación del entorno de Amazon EVS si no se suscribe a un plan AWS Business, AWS Enterprise On-Ramp o Enterprise AWS Support.

Comprobación de las cuotas de

Para habilitar la creación del entorno Amazon EVS, asegúrese de que su cuenta tenga las cuotas mínimas requeridas a nivel de cuenta. Para obtener más información, consulte Cuotas de servicio de Amazon EVS.

importante

Se produce un error en la creación del entorno de Amazon EVS si el valor de la cuota de recuento de hosts por entorno de EVS no es de al menos 4.

Planifique los tamaños de CIDR de VPC

Al crear un entorno Amazon EVS, debe especificar un bloque CIDR de VPC. El bloque CIDR de la VPC no se puede cambiar una vez creado el entorno y necesitará tener suficiente espacio reservado para alojar las subredes y los hosts de EVS necesarios que Amazon EVS cree durante la implementación del entorno. Como resultado, es fundamental planificar cuidadosamente el tamaño del bloque de CIDR, teniendo en cuenta los requisitos de Amazon EVS y sus futuras necesidades de escalado antes de la implementación. Amazon EVS requiere un bloque CIDR de VPC con un tamaño mínimo de /22 de máscara de red para dejar espacio suficiente para las subredes y los hosts de EVS necesarios. Para obtener más información, consulte Consideraciones sobre las redes de Amazon EVS.

importante

Asegúrese de tener suficiente espacio de direcciones IP para la subred de VPC y las subredes de VLAN que Amazon EVS crea para los dispositivos VCF. El bloque CIDR de la VPC debe tener un tamaño mínimo de /22 para permitir suficiente espacio para las subredes y los hosts de EVS necesarios.

nota

Amazon EVS no es compatible IPv6 en este momento.

Crear una VPC con subredes

Amazon EVS implementa su entorno en una VPC que usted proporciona. Esta VPC debe contener una subred para el acceso al servicio Amazon EVS (). Subred de acceso al servicio Para ver los pasos para crear una VPC con subredes para Amazon EVS, consulte. Cree una VPC con subredes y tablas de enrutamiento

Configurar la tabla de enrutamiento principal de la VPC

Las subredes VLAN de Amazon EVS están asociadas implícitamente a la tabla de enrutamiento principal de la VPC. Para habilitar la conectividad con los servicios dependientes, como el DNS o los sistemas locales, para una implementación correcta del entorno, debe configurar la tabla de enrutamiento principal para permitir el tráfico a estos sistemas. Para obtener más información, consulte Asocie de forma explícita las subredes VLAN de Amazon EVS a una tabla de enrutamiento de VPC.

importante

Amazon EVS admite el uso de una tabla de enrutamiento personalizada solo después de crear el entorno de Amazon EVS. No se deben utilizar tablas de enrutamiento personalizadas durante la creación del entorno de Amazon EVS, ya que esto puede provocar problemas de conectividad.

Requisitos de ruta de puerta de enlace

Configure las rutas para estos tipos de puerta de enlace en función de sus requisitos de conectividad:

  • Puerta de enlace NAT (NGW)

    • Opcional para el acceso a Internet solo de salida.

    • Debe estar en una subred pública con acceso a una pasarela de Internet.

    • Agregue rutas desde subredes privadas y subredes VLAN de EVS a la puerta de enlace NAT.

    • Para obtener más información, consulte Trabajar con puertas de enlace NAT en la Guía del usuario de Amazon VPC.

  • Pasarela de tránsito (TGW)

    • Necesario para la conectividad local a través de AWS Direct Connect y AWS Site-to-Site VPN.

    • Agregue rutas para los rangos de redes locales.

    • Configure la propagación de rutas si utiliza BGP.

    • Para obtener más información, consulte Pasarelas de tránsito en Amazon VPC Transit Gateways en la Guía del usuario de Amazon VPC.

Prácticas recomendadas

  • Documente todas las configuraciones de la tabla de rutas.

  • Utilice convenciones de nomenclatura coherentes.

  • Audite periódicamente sus tablas de rutas.

  • Pruebe la conectividad después de realizar cambios.

  • Realice una copia de seguridad de las configuraciones de la tabla de rutas

  • Supervise el estado y la propagación de las rutas.

Para obtener más información sobre cómo trabajar con tablas de enrutamiento, consulte Configurar tablas de enrutamiento en la Guía del usuario de Amazon VPC.

Configure el conjunto de opciones de DHCP de su VPC

importante

La implementación de su entorno falla si no cumple estos requisitos de Amazon EVS:

  • Incluya una dirección IP del servidor DNS principal y una dirección IP del servidor DNS secundario en el conjunto de opciones de DHCP.

  • Incluya una zona de búsqueda directa de DNS con registros A para cada dispositivo de administración de VCF y host de Amazon EVS de su implementación.

  • Incluya una zona de búsqueda inversa de DNS con registros PTR para cada dispositivo de administración de VCF y host de Amazon EVS de su implementación.

  • Configure la tabla de rutas principal de la VPC para garantizar que exista una ruta a sus servidores DNS.

  • Asegúrese de que el registro de su nombre de dominio sea válido y no haya caducado, y de que no existan nombres de host o direcciones IP duplicados.

  • Configure sus grupos de seguridad y listas de control de acceso a la red (ACLs) para permitir que Amazon EVS se comunique con:

    • Servidores DNS a través TCP/UDP del puerto 53.

    • Subred VLAN de administración de hosts a través de HTTPS y SSH.

    • Subred de VLAN de administración a través de HTTPS y SSH.

Para obtener más información, consulte Configure los servidores DNS y NTP mediante el conjunto de opciones DHCP de VPC.

Crear y configurar la infraestructura de VPC Route Server

Amazon EVS utiliza Amazon VPC Route Server para habilitar el enrutamiento dinámico basado en BGP a su red subyacente de VPC. Debe especificar un servidor de rutas que comparta rutas con al menos dos puntos finales del servidor de rutas de la subred de acceso al servicio. El ASN del mismo nivel configurado en los pares del servidor de rutas debe coincidir y las direcciones IP del mismo nivel deben ser únicas.

importante

La implementación de su entorno falla si no cumple estos requisitos de Amazon EVS para la configuración del servidor de rutas de VPC:

  • Debe configurar al menos dos puntos finales del servidor de rutas en la subred de acceso al servicio.

  • Al configurar el Border Gateway Protocol (BGP) para la puerta de enlace de nivel 0, el valor de ASN del mismo nivel del servidor de rutas de la VPC debe coincidir con el valor del ASN del mismo nivel de NSX Edge.

  • Al crear los dos servidores de rutas homólogos, debe utilizar una dirección IP única de la VLAN de enlace superior de NSX para cada punto final. Estas dos direcciones IP se asignarán a los bordes de NSX durante la implementación del entorno Amazon EVS.

  • Al habilitar la propagación del servidor de rutas, debe asegurarse de que todas las tablas de rutas que se propaguen tengan al menos una asociación de subred explícita. El anuncio de rutas BGP falla si las tablas de rutas propagadas no tienen una asociación de subred explícita.

nota

Para la detección de actividad entre pares de Route Server, Amazon EVS solo admite el mecanismo BGP keepalive predeterminado. Amazon EVS no admite la detección de reenvío bidireccional (BFD) de varios saltos.

Requisitos previos

Antes de comenzar, necesitará:

  • Una subred de VPC para su servidor de rutas.

  • Permisos de IAM para administrar los recursos del servidor de rutas de VPC.

  • Un valor ASN de BGP para el servidor de rutas (ASN del lado de Amazon). El valor debe estar en el rango de 1 a 4294967295.

  • Un ASN homólogo para emparejar el servidor de rutas con la puerta de enlace NSX de nivel 0. Los valores de ASN del mismo nivel introducidos en el servidor de rutas y en la puerta de enlace NSX de nivel 0 deben coincidir. El ASN predeterminado de un dispositivo NSX Edge es 65000.

Pasos

Para ver los pasos para configurar el servidor de rutas de VPC, consulte el tutorial de introducción a Route Server.

nota

Si utiliza una puerta de enlace NAT o una puerta de enlace de tránsito, asegúrese de que el servidor de rutas esté configurado correctamente para propagar las rutas de NSX a las tablas de rutas de la VPC.

nota

Le recomendamos que habilite las rutas persistentes para la instancia del servidor de rutas con una duración de persistencia de entre 1 y 5 minutos. Si está habilitada, las rutas se conservarán en la base de datos de enrutamiento del servidor de rutas incluso si finalizan todas las sesiones de BGP.

nota

El estado de conectividad de BGP estará inactivo hasta que el entorno Amazon EVS esté implementado y operativo.

Cree una pasarela de tránsito para la conectividad local

Puede configurar la conectividad de su centro de datos local Direct Connect con su AWS infraestructura mediante una puerta de enlace de tránsito asociada o mediante un accesorio de AWS Site-to-Site VPN a una puerta de enlace de tránsito. Para obtener más información, consulte Configurar la conectividad de red local (opcional).

Crear una reserva de EC2 capacidad en Amazon

Amazon EVS lanza instancias Amazon EC2 i4i.metal que representan ESXi los hosts de su entorno Amazon EVS. Para asegurarse de que dispone de suficiente capacidad de instancias i4i.metal cuando la necesite, le recomendamos que solicite una reserva de capacidad de Amazon EC2 . Puede crear una reserva de capacidad en cualquier momento y decidir cuándo debe iniciarse. Puede solicitar una reserva de capacidad para su uso inmediato o puede solicitar una reserva de capacidad para una fecha futura. Para obtener más información, consulte Reserva de capacidad informática con reservas de capacidad EC2 bajo demanda en la Guía del usuario de Amazon Elastic Compute Cloud.

Configure el AWS CLI

AWS CLI Es una herramienta de línea de comandos con la que trabajar Servicios de AWS, incluida Amazon EVS. También se utiliza para autenticar a los usuarios o roles de IAM para acceder al entorno de virtualización de Amazon EVS y a otros AWS recursos desde su máquina local. Para aprovisionar AWS recursos desde la línea de comandos, debe obtener un identificador de clave de AWS acceso y una clave secreta para utilizarlos en la línea de comandos. A continuación, debe configurar estas credenciales en la AWS CLI. Para obtener más información, consulte Configuración AWS CLI en la Guía del AWS Command Line Interface usuario de la versión 2.

Crear un Amazon EC2 key pair

Amazon EVS utiliza un Amazon EC2 key pair que usted proporciona durante la creación del entorno para conectarse a sus hosts. Para crear un par de claves, sigue los pasos de Crear un par de claves para tu Amazon EC2 instancia en la Guía del Amazon Elastic Compute Cloud usuario.

Prepara tu entorno para VMware Cloud Foundation (VCF)

Antes de implementar su entorno Amazon EVS, este debe cumplir con los requisitos de infraestructura de VMware Cloud Foundation (VCF). Para ver los requisitos previos detallados del VCF, consulte el libro de trabajo de planificación y preparación en la documentación del VMware producto de Cloud Foundation.

También debes familiarizarte con los requisitos de VCF 5.2.1. Para obtener más información, consulte las notas de la versión de VCF 5.2.1

nota

Por el momento, Amazon EVS solo es compatible con la versión 5.2.1.x de VCF.

Adquiera las claves de licencia de VCF

Para utilizar Amazon EVS, debe proporcionar una clave de solución de VCF y una clave de licencia de vSAN. La clave de la solución VCF debe tener al menos 256 núcleos. La clave de licencia de vSAN debe tener al menos 110 TiB de capacidad de vSAN. Para obtener más información sobre las licencias de VCF, consulte Administrar las claves de licencia en VMware Cloud Foundation en la Guía de administración de VMware Cloud Foundation.

importante

Utilice la interfaz de usuario de SDDC Manager para gestionar la solución VCF y las claves de licencia de vSAN. Amazon EVS requiere que mantenga claves de licencia de vSAN y de solución VCF válidas en SDDC Manager para que el servicio funcione correctamente.

nota

Su licencia VCF estará disponible para Amazon EVS en todas AWS las regiones para garantizar el cumplimiento de la licencia. Amazon EVS no valida las claves de licencia. Para validar las claves de licencia, visite el soporte de Broadcom.

VMware Requisitos previos de HCX

Puede usar VMware HCX para migrar sus cargas de trabajo VMware basadas existentes a Amazon EVS. Antes de usar VMware HCX con Amazon EVS, asegúrese de haber completado las siguientes tareas previas.

nota

VMware HCX no está instalado en el entorno EVS de forma predeterminada.

  • Antes de poder utilizar VMware HCX con Amazon EVS, se deben cumplir los requisitos mínimos de base de red. Para obtener más información, consulte los requisitos mínimos de red subyacente en la Guía del VMware usuario de HCX.

  • Confirme que VMware NSX esté instalado y configurado en el entorno. Para obtener más información, consulte la Guía de instalación de VMware NSX.

  • Asegúrese de que el VMware HCX esté activado e instalado en el entorno. Para obtener más información sobre la activación e instalación de VMware HCX, consulte Introducción a VMware HCX en la Guía de introducción a HCX. VMware

  • Si necesita una conexión a Internet con el HCX, debe completar los siguientes requisitos previos:

    • Asegúrese de que su cuota de IPAM para la longitud de la máscara de red de bloques IPv4 CIDR públicos contiguos proporcionada por Amazon sea de /28 o superior.

      importante

      Para la conectividad a Internet HCX, Amazon EVS requiere el uso del bloque IPv4 CIDR de un grupo de IPAM público con una longitud de máscara de red igual o superior a /28. El uso de cualquier bloque CIDR con una longitud de máscara de red inferior a /28 provocará problemas de conectividad del HCX. Para obtener más información sobre cómo aumentar las cuotas de IPAM, consulte Cuotas de su IPAM.

    • Cree un IPAM y un grupo de IPv4 IPAM público con un CIDR que tenga una longitud mínima de máscara de red de /28.

    • Asigne al menos dos direcciones IP elásticas (EIPs) del grupo de IPAM para los dispositivos HCX Manager y HCX Interconnect (HCX-IX). Asigne una dirección IP elástica adicional para cada dispositivo de red HCX que necesite implementar.

    • Añada el bloque IPv4 CIDR público como CIDR adicional a su VPC.

Para obtener más información sobre la configuración de HCX, consulte y. Elija su opción de conectividad HCX Opciones de conectividad HCX