View a markdown version of this page

Configuration du service Amazon Elastic VMware - Service Amazon Elastic VMware
Inscrivez-vous pour un AWS compteCréez un rôle IAM pour déléguer l'autorisation Amazon EVS à un utilisateur IAMInscrivez-vous pour un AWS Affaires, AWS Enterprise On-Ramp, ou AWS Plan de support aux entreprisesVérifiez les quotasPlanifier les tailles de CIDR VPCCréation d'un VPC avec des sous-réseauxConfiguration de la table de routage principale du VPCConfigurer le jeu d'options DHCP de votre VPCCréation et configuration de l'infrastructure du serveur de routage VPCCréation d'une passerelle de transit pour la connectivité sur siteCréation d'une réservation de capacité Amazon EC2Configurez le AWS CLICréez un Amazon EC2 paire de clésPréparez votre environnement pour VMware Cloud Foundation (VCF)Acquisition de clés de licence VCFPrérequis pour VMware HCX

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration du service Amazon Elastic VMware

Pour utiliser Amazon EVS, vous devez configurer d'autres AWS services, ainsi que configurer votre environnement afin de répondre aux exigences de VMware Cloud Foundation (VCF). Pour une liste récapitulative des conditions préalables au déploiement, voir. Liste de contrôle préalable au déploiement d'Amazon EVS

Rubriques

Inscrivez-vous pour un AWS compte

Pour commencer AWS, vous avez besoin d'un AWS compte. Pour plus d'informations sur la création d'un AWS compte, voir Commencer à utiliser un AWS compte dans le Guide de référence sur la gestion des AWS comptes.

Créez un rôle IAM pour déléguer l'autorisation Amazon EVS à un utilisateur IAM

Vous pouvez utiliser des rôles pour déléguer l'accès à vos AWS ressources. Avec les rôles IAM, vous pouvez établir des relations de confiance entre votre compte de confiance et d'autres comptes de AWS confiance. Le compte de confiance possède la ressource à laquelle accéder, et le compte de confiance contient les utilisateurs qui ont besoin d'accéder à la ressource.

Après avoir créé la relation de confiance, un utilisateur IAM ou une application du compte sécurisé peut utiliser l'opération d'AssumeRoleAPI AWS Security Token Service (AWS STS). Cette opération fournit des informations de sécurité temporaires qui permettent d'accéder aux AWS ressources de votre compte. Pour plus d'informations, consultez la section Créer un rôle pour déléguer des autorisations à un utilisateur IAM dans le Guide de l' Gestion des identités et des accès AWS utilisateur.

Suivez ces étapes pour créer un rôle IAM avec une politique d'autorisation qui autorise l'accès aux opérations Amazon EVS.

Note

Amazon EVS ne prend pas en charge l'utilisation d'un profil d'instance pour transmettre un rôle IAM à une instance EC2.

Exemple
IAM console

  1. Accédez à la console IAM.

  2. Dans le menu de gauche, sélectionnez Politiques.

  3. Choisissez Create Policy (Créer une politique).

  4. Dans l'éditeur de politique, créez une politique d'autorisation qui active les opérations Amazon EVS. Pour un exemple de politique, consultez Création et gestion d'un environnement Amazon EVS. Pour consulter toutes les actions, ressources et clés de condition Amazon EVS disponibles, consultez la section Actions de la référence d'autorisation de service.

  5. Choisissez Suivant.

  6. Sous Nom de la politique, entrez un nom de politique significatif pour identifier cette stratégie.

  7. Passez en revue les autorisations définies dans cette politique.

  8. (Facultatif) Ajoutez des balises pour identifier, organiser ou rechercher cette ressource.

  9. Choisissez Create Policy (Créer une politique).

  10. Dans le menu de gauche, choisissez Rôles.

  11. Choisissez Créer un rôle.

  12. Pour Type d'entité de confiance, sélectionnez Compte AWS.

  13. Sous An Compte AWS , spécifiez le compte sur lequel vous souhaitez effectuer des actions Amazon EVS et choisissez Next.

  14. Sur la page Ajouter des autorisations, sélectionnez la politique d'autorisation que vous avez créée précédemment et choisissez Suivant.

  15. Sous Nom du rôle, entrez un nom significatif pour identifier ce rôle.

  16. Passez en revue la politique de confiance et assurez-vous que le bon Compte AWS est indiqué comme principal.

  17. (Facultatif) Ajoutez des balises pour identifier, organiser ou rechercher cette ressource.

  18. Choisissez Créer un rôle.

AWS CLI

  1. Copiez le contenu suivant dans un fichier JSON de politique de confiance. Pour l'ARN principal, remplacez l' Compte AWS ID et le service-user nom d'exemple par vos propres Compte AWS ID et nom d'utilisateur IAM.

    {
  "Version":"2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/service-user" 
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Créez le rôle. evs-environment-role-trust-policy.jsonRemplacez-le par le nom de votre fichier de politique de confiance.

    aws iam create-role \
  --role-name myAmazonEVSEnvironmentRole \
  --assume-role-policy-document file://"evs-environment-role-trust-policy.json"

  3. Créez une politique d'autorisation qui active les opérations Amazon EVS et associez la politique au rôle. Remplacez myAmazonEVSEnvironmentRole par le nom de votre rôle. Pour un exemple de politique, consultez Création et gestion d'un environnement Amazon EVS. Pour consulter toutes les actions, ressources et clés de condition Amazon EVS disponibles, consultez la section Actions de la référence d'autorisation de service.

    aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEVSEnvironmentPolicy \
  --role-name myAmazonEVSEnvironmentRole

Inscrivez-vous pour un AWS Affaires, AWS Enterprise On-Ramp, ou AWS Plan de support aux entreprises

Amazon EVS exige que les clients soient inscrits à un plan AWS Business On-Ramp, AWS Enterprise ou AWS Enterprise Support pour bénéficier d'un accès continu au support technique et aux conseils architecturaux. AWS Business Support est le niveau de AWS support minimum qui répond aux exigences d'Amazon EVS. Si vous avez des charges de travail critiques, nous vous recommandons de souscrire à des plans On-Ramp Enterprise AWS ou Enterprise AWS Support. Pour plus d'informations, voir Comparer les plans de AWS support.

Important

La création de l'environnement Amazon EVS échoue si vous ne souscrivez pas à un plan AWS Business On-Ramp, AWS Enterprise ou AWS Enterprise Support.

Vérifiez les quotas

Pour permettre la création d'un environnement Amazon EVS, assurez-vous que votre compte dispose des quotas minimaux requis au niveau du compte. Pour de plus amples informations, veuillez consulter Quotas de service Amazon EVS.

Important

La création de l'environnement Amazon EVS échoue si le nombre d'hôtes par valeur de quota d'environnement EVS n'est pas d'au moins 4.

Planifier les tailles de CIDR VPC

Lorsque vous créez un environnement Amazon EVS, vous devez spécifier un bloc d'adresse CIDR VPC. Le bloc d'adresse CIDR VPC ne peut pas être modifié une fois l'environnement créé et doit disposer de suffisamment d'espace réservé pour accueillir les sous-réseaux et hôtes EVS requis créés par Amazon EVS lors du déploiement de l'environnement. Par conséquent, il est essentiel de planifier soigneusement la taille des blocs CIDR, en tenant compte des exigences d'Amazon EVS et de vos futurs besoins de dimensionnement avant le déploiement. Amazon EVS nécessite un bloc d'adresse CIDR VPC d'une taille minimale de masque réseau /22 afin de laisser suffisamment d'espace pour les sous-réseaux et hôtes EVS requis. Pour de plus amples informations, veuillez consulter Considérations relatives à la mise en réseau Amazon EVS.

Important

Assurez-vous de disposer d'un espace d'adresse IP suffisant pour votre sous-réseau VPC et pour les sous-réseaux VLAN créés par Amazon EVS pour les appliances VCF. Le bloc d'adresse CIDR VPC doit avoir une taille minimale de masque réseau /22 pour laisser suffisamment d'espace aux sous-réseaux et hôtes EVS requis.

Note

Amazon EVS ne prend pas en charge le protocole IPv6 pour le moment.

Création d'un VPC avec des sous-réseaux

Amazon EVS déploie votre environnement dans un VPC que vous fournissez. Ce VPC doit contenir un sous-réseau pour l'accès au service Amazon EVS (). Sous-réseau d’accès au service Pour savoir comment créer un VPC avec des sous-réseaux pour Amazon EVS, consultez. Création d'un VPC avec des sous-réseaux et des tables de routage

Configuration de la table de routage principale du VPC

Les sous-réseaux VLAN Amazon EVS sont implicitement associés à la table de routage principale du VPC. Pour permettre la connectivité aux services dépendants tels que le DNS ou les systèmes sur site afin de réussir le déploiement de l'environnement, vous devez configurer la table de routage principale pour autoriser le trafic vers ces systèmes. Pour de plus amples informations, veuillez consulter Associez explicitement des sous-réseaux VLAN Amazon EVS à une table de routage VPC.

Important

Amazon EVS prend en charge l'utilisation d'une table de routage personnalisée uniquement après la création de l'environnement Amazon EVS. Les tables de routage personnalisées ne doivent pas être utilisées lors de la création de l'environnement Amazon EVS, car cela peut entraîner des problèmes de connectivité.

Exigences relatives aux itinéraires de passerelle

Configurez les itinéraires pour ces types de passerelles en fonction de vos besoins en matière de connectivité :

  • Passerelle NAT (NGW)

    • Facultatif pour l'accès Internet sortant uniquement.

    • Doit se trouver dans un sous-réseau public avec accès à une passerelle Internet.

    • Ajoutez des routes à partir de sous-réseaux privés et de sous-réseaux VLAN EVS à la passerelle NAT.

    • Pour plus d'informations, consultez la section Travailler avec les passerelles NAT dans le guide de l'utilisateur Amazon VPC.

  • Passerelle de transit (TGW)

    • Nécessaire pour la connectivité sur site via AWS Direct Connect et AWS Site-to-Site VPN.

    • Ajoutez des itinéraires pour les plages de réseaux sur site.

    • Configurez la propagation de l'itinéraire si vous utilisez BGP.

    • Pour plus d'informations, consultez la section Passerelles de transit dans Amazon VPC Transit Gateways dans le guide de l'utilisateur Amazon VPC.

Bonnes pratiques

  • Documentez toutes les configurations de table de routage.

  • Utilisez des conventions de dénomination cohérentes.

  • Auditez régulièrement vos tables de routage.

  • Testez la connectivité après avoir apporté des modifications.

  • Sauvegardez les configurations des tables de routage.

  • Surveillez l'état de l'itinéraire et la propagation.

Pour plus d'informations sur l'utilisation des tables de routage, consultez Configurer les tables de routage dans le guide de l'utilisateur Amazon VPC.

Configurer le jeu d'options DHCP de votre VPC

Important

Le déploiement de votre environnement échoue si vous ne répondez pas aux exigences Amazon EVS suivantes :

  • Incluez une adresse IP de serveur DNS principal et une adresse IP de serveur DNS secondaire dans le jeu d'options DHCP.

  • Incluez une zone de recherche directe DNS avec des enregistrements A pour chaque appliance de gestion VCF et hôte Amazon EVS de votre déploiement.

  • Incluez une zone de recherche inversée DNS avec des enregistrements PTR pour chaque appliance de gestion VCF et hôte Amazon EVS de votre déploiement.

  • Configurez la table de routage principale du VPC pour vous assurer qu'il existe une route vers vos serveurs DNS.

  • Assurez-vous que l’enregistrement de votre nom de domaine est valide et n’a pas expiré, et qu’il n’existe pas de nom d’hôte ou d’adresse IP en double.

  • Configurez vos groupes de sécurité et vos listes de contrôle d'accès réseau (ACL) pour permettre à Amazon EVS de communiquer avec :

    • Serveurs DNS via TCP/UDP le port 53.

    • Sous-réseau VLAN de gestion de l'hôte via HTTPS et SSH.

    • Sous-réseau VLAN de gestion via HTTPS et SSH.

Pour de plus amples informations, veuillez consulter Configuration des serveurs DNS et NTP à l’aide du jeu d’options DHCP du VPC.

Création et configuration de l'infrastructure du serveur de routage VPC

Amazon EVS utilise Amazon VPC Route Server pour BGP-based activer le routage dynamique vers votre réseau sous-jacent VPC. Vous devez spécifier un serveur de routage qui partage des itinéraires vers au moins deux points de terminaison du serveur de routage dans le sous-réseau d'accès au service. L’ASN pair configuré sur les pairs du serveur de routage doit correspondre et les adresses IP des pairs doivent être uniques.

Important

Le déploiement de votre environnement échoue si vous ne répondez pas aux exigences Amazon EVS suivantes pour la configuration du serveur de routage VPC :

  • Vous devez configurer au moins deux points de terminaison du serveur de routage dans le sous-réseau d'accès au service.

  • Lors de la configuration du protocole BGP (Border Gateway Protocol) pour la Tier-0 passerelle, la valeur ASN du pair du serveur de routage VPC doit correspondre à la valeur ASN du pair NSX Edge.

  • Lorsque vous créez les deux homologues du serveur de routage, vous devez utiliser une adresse IP unique provenant du VLAN de liaison montante NSX pour chaque point de terminaison. Ces deux adresses IP seront attribuées aux NSX Edge lors du déploiement de l'environnement Amazon EVS.

  • Lorsque vous activez la propagation par le serveur de routage, vous devez vous assurer que toutes les tables de routage propagées possèdent au moins une association de sous-réseau explicite. La publicité de route BGP échoue si les tables de routage propagées n'ont pas d'association de sous-réseau explicite.

Note

Pour la détection de la réactivité entre pairs du serveur Route, Amazon EVS prend uniquement en charge le mécanisme BGP keepalive par défaut. Amazon EVS ne prend pas en charge la détection du transfert bidirectionnel (BFD) à sauts multiples.

Conditions préalables

Avant de commencer, vous avez besoin des éléments suivants :

  • Un sous-réseau VPC pour votre serveur de routage.

  • Autorisations IAM pour gérer les ressources du serveur de routage VPC.

  • Une valeur BGP ASN pour le serveur Amazon-side de route (ASN). Cette valeur doit se situer dans la plage 1-4294967295.

  • Un ASN homologue pour associer votre serveur de routage à la passerelle NSX Tier-0 . Les valeurs ASN homologues saisies dans le serveur de routage et dans NSX Tier-0 Gateway doivent correspondre. L'ASN par défaut pour un dispositif NSX Edge est 65000.

Étapes

Pour connaître les étapes de configuration du serveur de routage VPC, consultez le didacticiel de démarrage du serveur de routage.

Note

Si vous utilisez une passerelle NAT ou une passerelle de transit, assurez-vous que votre serveur de routage est correctement configuré pour propager les routes NSX vers les tables de routage VPC.

Note

Nous vous recommandons d'activer les itinéraires persistants pour l'instance du serveur de routage avec une durée de persistance comprise entre 1 et 5 minutes. Si cette option est activée, les itinéraires seront conservés dans la base de données de routage du serveur de routage même si toutes les sessions BGP se terminent.

Note

L'état de connectivité BGP sera indisponible jusqu'à ce que l'environnement Amazon EVS soit déployé et opérationnel.

Création d'une passerelle de transit pour la connectivité sur site

Vous pouvez configurer la connectivité entre votre centre de données sur site et votre AWS infrastructure à l'aide Direct Connect d'une passerelle de transit associée ou d'une AWS Site-to-Site connexion VPN à une passerelle de transit. Pour de plus amples informations, veuillez consulter Configuration de la connectivité réseau sur site (facultatif).

Création d'une réservation de capacité Amazon EC2

Amazon EVS lance des instances métalliques Amazon EC2 qui sont les hôtes ESX de votre environnement Amazon EVS. Pour vous assurer que vous disposez d'une capacité suffisante lorsque vous ajoutez des hôtes, nous vous recommandons de demander une réservation de capacité Amazon EC2. Vous pouvez créer une réserve de capacité à tout moment, et vous pouvez choisir la date à laquelle elle commence. Vous pouvez demander une réservation de capacité pour une utilisation immédiate, ou vous pouvez demander une réservation de capacité pour une date future. Pour plus d'informations, consultez la section Reserve computing capacity with EC2 On-Demand Capacity Reservations dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

Configurez le AWS CLI

AWS CLI Il s'agit d'un outil de ligne de commande permettant de travailler avec Services AWS, notamment, Amazon EVS. Il est également utilisé pour authentifier les utilisateurs ou les rôles IAM afin d'accéder à l'environnement de virtualisation Amazon EVS et à d'autres AWS ressources depuis votre machine locale. Pour provisionner AWS des ressources depuis la ligne de commande, vous devez obtenir un ID de clé d' AWS accès et une clé secrète à utiliser dans la ligne de commande. Vous devez ensuite configurer ces informations d’identification dans l’ AWS CLI. Pour plus d'informations, voir Configurer le AWS CLI dans le guide de l' AWS Command Line Interface utilisateur pour la version 2.

Créez un Amazon EC2 paire de clés

Amazon EVS utilise une paire de Amazon EC2 clés que vous fournissez lors de la création de l'environnement pour vous connecter à vos hôtes. Pour créer une paire de clés, suivez les étapes décrites dans la section Créer une paire de clés pour votre Amazon EC2 instance dans le guide de Amazon Elastic Compute Cloud l'utilisateur.

Préparez votre environnement pour VMware Cloud Foundation (VCF)

Avant de déployer votre environnement Amazon EVS, celui-ci doit répondre aux exigences d'infrastructure de VMware Cloud Foundation (VCF). Pour obtenir des informations détaillées sur les prérequis VCF, consultez le manuel de planification et de préparation de la documentation du produit VMware Cloud Foundation.

Vous devez également vous familiariser avec les exigences de VCF 5.2.x. Consultez les notes de mise à jour de VCF 5.2.x pour obtenir des informations de version pertinentes.

Note

Pour plus d'informations sur les versions VCF fournies par Amazon EVS, consultez. Versions VCF et types d'instances EC2 fournis par Amazon EVS

Acquisition de clés de licence VCF

Pour utiliser Amazon EVS, vous devez fournir une clé de solution VCF et une clé de licence vSAN. Les exigences spécifiques relatives au nombre de cœurs et à la capacité vSAN dépendent du type d'instance que vous sélectionnez. Pour plus de détails sur les seuils minimaux de cœur et de capacité pour votre type d'instance, consultez la section Abonnements VCF relative à votre configuration. Pour plus d'informations sur les licences VCF, consultez la section Gestion des clés de licence dans VMware Cloud Foundation dans le guide d'administration de VMware Cloud Foundation.

Important

Utilisez l'interface utilisateur du SDDC Manager pour gérer la solution VCF et les clés de licence vSAN. Amazon EVS exige que vous conserviez des clés de solution VCF et de licence vSAN valides dans SDDC Manager pour que le service fonctionne correctement.

Note

Votre licence VCF sera mise à la disposition d'Amazon EVS dans toutes les AWS régions pour garantir la conformité des licences. Amazon EVS ne valide pas les clés de licence. Pour valider les clés de licence, consultez le support de Broadcom.

Prérequis pour VMware HCX

Vous pouvez utiliser VMware HCX pour migrer vos VMware-based charges de travail existantes vers Amazon EVS. Avant d'utiliser VMware HCX avec Amazon EVS, assurez-vous que les tâches préalables suivantes ont été effectuées.

Note

VMware HCX n'est pas installé dans l'environnement EVS par défaut.

  • Avant de pouvoir utiliser VMware HCX avec Amazon EVS, les exigences minimales en matière de sous-couche réseau doivent être satisfaites. Pour plus d'informations, consultez la section Configuration minimale requise pour la sous-couche réseau dans le guide de l'utilisateur de VMware HCX.

  • Vérifiez que VMware NSX est installé et configuré dans l'environnement. Pour plus d'informations, consultez le guide d'installation de VMware NSX.

  • Assurez-vous que VMware HCX est activé et installé dans l'environnement. Pour plus d'informations sur l'activation et l'installation de VMware HCX, consultez la section À propos de la mise en route avec VMware HCX dans le guide de démarrage avec VMware HCX.

  • Si vous avez besoin d'une connexion Internet HCX, vous devez effectuer les tâches préalables suivantes :

    • Assurez-vous que votre quota IPAM pour la longueur du masque de réseau de blocs CIDR IPv4 public Amazon-provided contigu est de /28 ou plus.

      Important

      Pour la connectivité Internet HCX, Amazon EVS nécessite l'utilisation d'un bloc d'adresse CIDR IPv4 provenant d'un pool IPAM public dont la longueur du masque réseau est supérieure ou égale à /28. L'utilisation de n'importe quel bloc CIDR dont la longueur du masque réseau est inférieure à /28 entraînera des problèmes de connectivité HCX. Pour plus d'informations sur l'augmentation des quotas IPAM, consultez la section Quotas pour votre IPAM.

    • Créez un pool IPAM et un pool IPAM IPv4 public avec un CIDR dont la longueur de masque réseau minimale est de /28.

    • Allouez au moins deux adresses IP élastiques (EIP) du pool IPAM pour les appliances HCX Manager et HCX Interconnect (). HCX-IX Allouez une adresse IP élastique supplémentaire pour chaque appliance réseau HCX que vous devez déployer.

    • Ajoutez le bloc d'adresse CIDR IPv4 public en tant que CIDR supplémentaire à votre VPC.

Pour plus d'informations sur la configuration de HCX, reportez-vous aux sections Choisissez votre option de connectivité HCX etOptions de connectivité HCX.