Configurazione di Amazon Elastic VMware Service - VMware Servizio Amazon Elastic
Iscriviti per AWSCrea un utente IAMCrea un ruolo IAM per delegare l'autorizzazione Amazon EVS a un utente IAMIscriviti a un piano AWS Business, AWS Enterprise On-Ramp o Enterprise AWS SupportControlla le quotePianifica le dimensioni del VPC CIDRCrea un VPC con sottoretiConfigurare la tabella di routing principale del VPCConfigura il set di opzioni DHCP del tuo VPCCrea e configura l'infrastruttura VPC Route ServerCrea un gateway di transito per la connettività localeCrea una prenotazione EC2 di capacità AmazonConfigura il AWS CLICrea una Amazon EC2 key pairPrepara il tuo ambiente per VMware Cloud Foundation (VCF)Acquisisci le chiavi di licenza VCFVMware Prerequisiti HCX

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di Amazon Elastic VMware Service

Per utilizzare Amazon EVS, dovrai configurare altri AWS servizi e configurare il tuo ambiente per soddisfare i requisiti di VMware Cloud Foundation (VCF). Per un elenco di controllo riassuntivo dei prerequisiti di distribuzione, consulta. Elenco di controllo dei prerequisiti per l'implementazione di Amazon EVS

Argomenti

Iscriviti per AWS

Se non ne hai uno Account AWS, completa i seguenti passaggi per crearne uno.

  1. Apri la https://portal.aws.amazon.com/billing/registrazione.

  2. Segui le istruzioni online.

Crea un utente IAM

  1. Accedi alla console IAM come proprietario dell'account selezionando Utente root e inserendo l'indirizzo email AWS del tuo account. Nella pagina successiva, inserisci la password.

    Nota

    È fortemente consigliato rispettare la best practice sull'utilizzo dell'utente IAM Administrator di seguito e conservare in un luogo sicuro le credenziali dell'utente root. Accedi come utente root solo per eseguire alcune attività di gestione dell'account e del servizio.

  2. Nel riquadro di navigazione, scegli Utenti, quindi scegli Crea utente.

  3. In Nome utente, inserisci Administrator.

  4. Seleziona la casella di controllo accanto all'accesso alla console di AWS gestione. Quindi scegli Password personalizzata e inserisci la nuova password nella casella di testo.

  5. (Facoltativo) Per impostazione predefinita, AWS richiede al nuovo utente di creare una nuova password al primo accesso. Puoi deselezionare la casella di controllo accanto a User must create a new password at next sign-in (L'utente deve creare una nuova password al prossimo accesso) per consentire al nuovo utente di reimpostare la propria password dopo aver effettuato l'accesso.

  6. Scegli Successivo: Autorizzazioni.

  7. In Imposta autorizzazioni, seleziona Aggiungi l'utente al gruppo.

  8. Seleziona Crea gruppo.

  9. Nella finestra di dialogo Crea gruppo, per Nome gruppo inserisci Administrators.

  10. Scegli Filter policies, quindi seleziona AWS managed -job function per filtrare il contenuto della tabella.

  11. Nell'elenco delle politiche, seleziona la casella di controllo per AdministratorAccess. Seleziona quindi Crea gruppo.

    Nota

    È necessario attivare l'accesso di utenti e ruoli IAM alla fatturazione prima di poter utilizzare le AdministratorAccess autorizzazioni per accedere alla console di AWS Billing and Cost Management. A questo scopo, segui le istruzioni nella fase 1 del tutorial sulla delega dell'accesso alla console di fatturazione.

  12. Nell'elenco dei gruppi seleziona la casella di controllo per il tuo nuovo gruppo. Se necessario, seleziona Aggiorna per visualizzare il gruppo nell'elenco.

  13. Scegli Successivo: Tag.

  14. (Facoltativo) Aggiungi metadati all'utente collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'uso dei tag in IAM, consulta Assegnazione di tag a entità IAM nella Guida per l'utente di IAM.

  15. Seleziona Successivo: Rivedi per visualizzare l'elenco dei membri del gruppo da aggiungere al nuovo utente. Quando sei pronto per continuare, seleziona Crea utente.

Puoi utilizzare lo stesso processo per creare più gruppi e utenti e per consentire ai tuoi utenti di accedere alle risorse del tuo AWS account. Per ulteriori informazioni sull'utilizzo di politiche che limitano le autorizzazioni degli utenti a AWS risorse specifiche, consulta Gestione degli accessi e politiche di esempio.

Crea un ruolo IAM per delegare l'autorizzazione Amazon EVS a un utente IAM

Puoi utilizzare i ruoli per delegare l'accesso alle tue risorse. AWS Con i ruoli IAM, puoi stabilire relazioni di fiducia tra il tuo account fiduciario e altri account AWS affidabili. L'account affidabile possiede la risorsa a cui accedere e l'account affidabile contiene gli utenti che devono accedere alla risorsa.

Dopo aver creato la relazione di trust, un utente IAM o un'applicazione dell'account affidabile può utilizzare l'operazione AssumeRole API AWS Security Token Service (AWS STS). Questa operazione fornisce credenziali di sicurezza temporanee che consentono l'accesso alle AWS risorse del tuo account. Per ulteriori informazioni, consulta Creare un ruolo per delegare le autorizzazioni a un utente IAM nella Guida per l'utente. AWS Identity and Access Management

Segui questi passaggi per creare un ruolo IAM con una politica di autorizzazioni che consenta l'accesso alle operazioni di Amazon EVS.

Nota

Amazon EVS non supporta l'uso di un profilo di istanza per passare un ruolo IAM a un' EC2 istanza.

IAM console

  1. Vai alla console IAM.

  2. Nel menu a sinistra, scegli Politiche.

  3. Scegli Crea policy.

  4. Nell'editor delle politiche, crea una politica di autorizzazioni che abiliti le operazioni di Amazon EVS. Per un esempio di policy, consulta Crea e gestisci un ambiente Amazon EVS. Per visualizzare tutte le azioni, le risorse e le chiavi di condizione di Amazon EVS disponibili, consulta Azioni nel Service Authorization Reference.

  5. Scegli Next (Successivo).

  6. In Nome della politica, inserisci un nome di politica significativo per identificare questa politica.

  7. Rivedi le autorizzazioni definite in questa politica.

  8. (Facoltativo) Aggiungi tag per identificare, organizzare o cercare questa risorsa.

  9. Scegli Crea policy.

  10. Nel menu a sinistra, scegli Ruoli.

  11. Scegli Crea ruolo.

  12. Per Tipo di entità affidabile, scegli Account AWS.

  13. In An Account AWS , specifica l'account su cui desideri eseguire le azioni Amazon EVS e scegli Avanti.

  14. Nella pagina Aggiungi autorizzazioni, seleziona la politica di autorizzazione che hai creato in precedenza e scegli Avanti.

  15. In Nome ruolo, inserisci un nome significativo per identificare questo ruolo.

  16. Esamina la politica di fiducia e assicurati che quella corretta Account AWS sia elencata come principale.

  17. (Facoltativo) Aggiungi tag per identificare, organizzare o cercare questa risorsa.

  18. Scegli Crea ruolo.

AWS CLI

  1. Copia i seguenti contenuti in un file JSON di policy di fiducia. Per l'ARN principale, sostituisci l'ID e il service-user nome di esempio con il tuo Account AWS Account AWS ID e il tuo nome utente IAM.

    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/service-user" 
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Crea il ruolo. evs-environment-role-trust-policy.jsonSostituiscilo con il nome del file della politica di fiducia.

    aws iam create-role \
  --role-name myAmazonEVSEnvironmentRole \
  --assume-role-policy-document file://"evs-environment-role-trust-policy.json"

  3. Crea una politica di autorizzazioni che abiliti le operazioni di Amazon EVS e associa la policy al ruolo. Sostituisci myAmazonEVSEnvironmentRole con il nome del tuo ruolo. Per un esempio di policy, consulta Crea e gestisci un ambiente Amazon EVS. Per visualizzare tutte le azioni, le risorse e le chiavi di condizione di Amazon EVS disponibili, consulta Azioni nel Service Authorization Reference.

    aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEVSEnvironmentPolicy \
  --role-name myAmazonEVSEnvironmentRole

Iscriviti a un piano AWS Business, AWS Enterprise On-Ramp o Enterprise AWS Support

Amazon EVS richiede che i clienti siano iscritti a un piano AWS Business, AWS Enterprise On-Ramp o Enterprise AWS Support per ricevere accesso continuo al supporto tecnico e alla guida architetturale. AWS Business Support è il livello di AWS supporto minimo che soddisfa i requisiti di Amazon EVS. Se hai carichi di lavoro critici per l'azienda, ti consigliamo di iscriverti ai piani Enterprise On-Ramp o AWS Enterprise Support. AWS Per ulteriori informazioni, consulta Compare AWS Support Plans.

Importante

La creazione dell'ambiente Amazon EVS non riesce se non ti iscrivi a un piano AWS Business, AWS Enterprise On-Ramp o Enterprise AWS Support.

Controlla le quote

Per consentire la creazione dell'ambiente Amazon EVS, assicurati che il tuo account disponga delle quote minime richieste a livello di account. Per ulteriori informazioni, consulta Quote di servizio Amazon EVS.

Importante

La creazione dell'ambiente Amazon EVS non riesce se il numero di host per valore di quota dell'ambiente EVS non è almeno 4.

Pianifica le dimensioni del VPC CIDR

Quando crei un ambiente Amazon EVS, devi specificare un blocco CIDR VPC. Il blocco VPC CIDR non può essere modificato dopo la creazione dell'ambiente e dovrà disporre di spazio sufficiente per ospitare le sottoreti e gli host EVS richiesti che Amazon EVS crea durante la distribuzione dell'ambiente. Di conseguenza, è fondamentale pianificare attentamente la dimensione del blocco CIDR, tenendo conto dei requisiti di Amazon EVS e delle future esigenze di scalabilità prima della distribuzione. Amazon EVS richiede un blocco CIDR VPC con una dimensione minima di /22 netmask per consentire spazio sufficiente per le sottoreti e gli host EVS richiesti. Per ulteriori informazioni, consulta Considerazioni sulla rete Amazon EVS.

Importante

Assicurati di disporre di uno spazio di indirizzi IP sufficiente sia per la sottorete VPC che per le sottoreti VLAN create da Amazon EVS per le appliance VCF. Il blocco VPC CIDR deve avere una dimensione minima di /22 netmask per consentire spazio sufficiente per le sottoreti e gli host EVS richiesti.

Nota

Amazon EVS non supporta IPv6 al momento.

Crea un VPC con sottoreti

Amazon EVS implementa il tuo ambiente in un VPC fornito da te. Questo VPC deve contenere una sottorete per l'accesso al servizio Amazon EVS (). Sottorete di accesso al servizio Per i passaggi per creare un VPC con sottoreti per Amazon EVS, consulta. Crea un VPC con sottoreti e tabelle di routing

Configurare la tabella di routing principale del VPC

Le sottoreti VLAN di Amazon EVS sono associate implicitamente alla tabella di routing principale del VPC. Per abilitare la connettività a servizi dipendenti come DNS o sistemi locali per una corretta implementazione dell'ambiente, è necessario configurare la tabella di routing principale per consentire il traffico verso questi sistemi. Per ulteriori informazioni, consulta Associa esplicitamente le sottoreti VLAN di Amazon EVS a una tabella di routing VPC.

Importante

Amazon EVS supporta l'uso di una tabella di routing personalizzata solo dopo la creazione dell'ambiente Amazon EVS. Le tabelle di routing personalizzate non devono essere utilizzate durante la creazione dell'ambiente Amazon EVS, poiché ciò potrebbe causare problemi di connettività.

Requisiti del percorso del gateway

Configura i percorsi per questi tipi di gateway in base ai tuoi requisiti di connettività:

  • Gateway NAT (NGW)

    • Opzionale per l'accesso a Internet solo in uscita.

    • Deve trovarsi in una sottorete pubblica con accesso tramite gateway Internet.

    • Aggiungi percorsi da sottoreti private e sottoreti VLAN EVS al gateway NAT.

    • Per ulteriori informazioni, consulta Lavora con i gateway NAT nella Amazon VPC User Guide.

  • Transit Gateway (TGW)

Best practice

  • Documenta tutte le configurazioni delle tabelle di routing.

  • Usa convenzioni di denominazione coerenti.

  • Controlla regolarmente le tabelle delle rotte.

  • Verifica la connettività dopo aver apportato le modifiche.

  • Esegui il backup delle configurazioni della tabella dei percorsi.

  • Monitora lo stato e la propagazione delle rotte.

Per ulteriori informazioni sull'utilizzo delle tabelle di routing, consulta Configure route tables nella Amazon VPC User Guide.

Configura il set di opzioni DHCP del tuo VPC

Importante

L'implementazione del tuo ambiente fallisce se non soddisfi questi requisiti di Amazon EVS:

  • Includi un indirizzo IP del server DNS primario e un indirizzo IP del server DNS secondario nel set di opzioni DHCP.

  • Includi una zona di ricerca diretta DNS con record A per ogni appliance di gestione VCF e host Amazon EVS nella tua distribuzione.

  • Includi una zona di ricerca inversa DNS con record PTR per ogni appliance di gestione VCF e host Amazon EVS nella tua distribuzione.

  • Configura la tabella di routing principale del VPC per assicurarti che esista un percorso verso i tuoi server DNS.

  • Assicurati che la registrazione del nome di dominio sia valida e non scaduta e che non esistano nomi host o indirizzi IP duplicati.

  • Configura i gruppi di sicurezza e le liste di controllo degli accessi alla rete (ACLs) per consentire ad Amazon EVS di comunicare con:

    • Server DNS sulla TCP/UDP porta 53.

    • Sottorete VLAN di gestione dell'host tramite HTTPS e SSH.

    • Sottorete VLAN di gestione tramite HTTPS e SSH.

Per ulteriori informazioni, consulta Configurazione dei server DNS e NTP utilizzando il set di opzioni VPC DHCP.

Crea e configura l'infrastruttura VPC Route Server

Amazon EVS utilizza Amazon VPC Route Server per abilitare il routing dinamico basato su BGP verso la tua rete overlay VPC. È necessario specificare un server di routing che condivida le rotte verso almeno due endpoint del server di routing nella sottorete di accesso al servizio. L'ASN peer configurato sui peer del server di routing deve corrispondere e gli indirizzi IP del peer devono essere univoci.

Importante

L'implementazione del tuo ambiente fallisce se non soddisfi questi requisiti di Amazon EVS per la configurazione del VPC Route Server:

  • È necessario configurare almeno due endpoint del server di routing nella sottorete di accesso al servizio.

  • Quando si configura Border Gateway Protocol (BGP) per il gateway Tier-0, il valore ASN peer di VPC Route Server deve corrispondere al valore ASN peer di NSX Edge.

  • Quando si creano i due peer del server di routing, è necessario utilizzare un indirizzo IP univoco dalla VLAN uplink NSX per ogni endpoint. Questi due indirizzi IP verranno assegnati ai perimetri NSX durante l'implementazione dell'ambiente Amazon EVS.

  • Quando abiliti la propagazione del Route Server, devi assicurarti che tutte le tabelle di routing che vengono propagate abbiano almeno un'associazione di sottorete esplicita. La pubblicità delle rotte BGP fallisce se le tabelle di routing propagate non hanno un'associazione di sottorete esplicita.

Nota

Per il rilevamento della peer liveness di Route Server, Amazon EVS supporta solo il meccanismo keepalive BGP predefinito. Amazon EVS non supporta il rilevamento dell'inoltro bidirezionale (BFD) multi-hop.

Prerequisiti

Prima di iniziare è necessario disporre di quanto segue:

  • Una sottorete VPC per il tuo server di routing.

  • Autorizzazioni IAM per gestire le risorse del VPC Route Server.

  • Un valore ASN BGP per il server di routing (ASN lato Amazon). Questo valore deve essere compreso tra 1 e 4294967295.

  • Un ASN peer-to-peer per il routing server con il gateway NSX Tier-0. I valori ASN peer inseriti nel route server e nel gateway NSX Tier-0 devono corrispondere. L'ASN predefinito per un'appliance NSX Edge è 65000.

Fasi

Per i passaggi per configurare il Route Server VPC, consulta il tutorial introduttivo di Route Server.

Nota

Se utilizzi un gateway NAT o un gateway di transito, assicurati che il server di routing sia configurato correttamente per propagare le route NSX alle tabelle di routing VPC.

Nota

Ti consigliamo di abilitare le route persistenti per l'istanza del route server con una durata persistente compresa tra 1 e 5 minuti. Se abilitata, le rotte verranno conservate nel database di routing del server di routing anche se tutte le sessioni BGP terminano.

Nota

Lo stato della connettività BGP sarà inattivo fino a quando l'ambiente Amazon EVS non sarà distribuito e operativo.

Crea un gateway di transito per la connettività locale

È possibile configurare la connettività tra il data center locale e l' AWS infrastruttura utilizzando Direct Connect un gateway di transito associato o utilizzando un allegato AWS Site-to-Site VPN a un gateway di transito. Per ulteriori informazioni, consulta Configurare la connettività di rete locale (opzionale).

Crea una prenotazione EC2 di capacità Amazon

Amazon EVS lancia istanze Amazon EC2 i4i.metal che rappresentano gli host ESXi nel tuo ambiente Amazon EVS. Per assicurarti di disporre di una capacità di istanze i4i.metal sufficiente quando ne hai bisogno, ti consigliamo di richiedere una Amazon EC2 Capacity Reservation. Puoi creare una prenotazione della capacità in qualsiasi momento e scegliere quando avviarla. È possibile richiedere una prenotazione di capacità per l'uso immediato oppure è possibile richiedere una prenotazione di capacità per date future. Per ulteriori informazioni, consulta Reserve computing capacity with EC2 On-Demand Capacity Reservations nella Amazon Elastic Compute Cloud User Guide.

Configura il AWS CLI

AWS CLI È uno strumento da riga di comando con cui lavorare Servizi AWS, incluso Amazon EVS. Viene anche utilizzato per autenticare utenti o ruoli IAM per l'accesso all'ambiente di virtualizzazione Amazon EVS e ad altre AWS risorse dal computer locale. Per fornire AWS risorse dalla riga di comando, è necessario ottenere un ID della chiave di AWS accesso e una chiave segreta da utilizzare nella riga di comando. Quindi è necessario configurare queste credenziali nella AWS CLI. Per ulteriori informazioni, consulta Configurare la versione 2 AWS CLI nella Guida per AWS Command Line Interface l'utente.

Crea una Amazon EC2 key pair

Amazon EVS utilizza una coppia di Amazon EC2 key pair fornita durante la creazione dell'ambiente per connettersi ai tuoi host. Per creare una coppia di chiavi, segui i passaggi su Crea una coppia di chiavi per la tua Amazon EC2 istanza nella Guida per l' Amazon Elastic Compute Cloud utente.

Prepara il tuo ambiente per VMware Cloud Foundation (VCF)

Prima di distribuire l'ambiente Amazon EVS, l'ambiente deve soddisfare i requisiti dell'infrastruttura VMware Cloud Foundation (VCF). Per i prerequisiti VCF dettagliati, consulta la cartella di lavoro di pianificazione e preparazione nella documentazione del prodotto Cloud Foundation. VMware

È inoltre necessario acquisire familiarità con i requisiti di VCF 5.2.1. Per ulteriori informazioni, consulta le note di rilascio di VCF 5.2.1

Nota

Al momento Amazon EVS supporta solo la versione VCF 5.2.1.x.

Acquisisci le chiavi di licenza VCF

Per utilizzare Amazon EVS, devi fornire una chiave di soluzione VCF e una chiave di licenza vSAN. La chiave della soluzione VCF deve avere almeno 256 core. La chiave di licenza vSAN deve avere almeno 110 TiB di capacità vSAN. Per ulteriori informazioni sulle licenze VCF, consulta Managing License Keys in VMware Cloud Foundation nella Cloud Foundation Administration Guide. VMware

Importante

Utilizza l'interfaccia utente SDDC Manager per gestire la soluzione VCF e le chiavi di licenza vSAN. Amazon EVS richiede il mantenimento di una soluzione VCF valida e delle chiavi di licenza vSAN in SDDC Manager per il corretto funzionamento del servizio.

Nota

La tua licenza VCF sarà disponibile per Amazon EVS in tutte le AWS regioni per garantire la conformità delle licenze. Amazon EVS non convalida le chiavi di licenza. Per convalidare le chiavi di licenza, visita l'assistenza Broadcom.

VMware Prerequisiti HCX

Puoi usare VMware HCX per migrare i carichi di lavoro VMware basati esistenti su Amazon EVS. Prima di utilizzare VMware HCX con Amazon EVS, assicurati che le seguenti attività preliminari siano state completate.

Nota

VMware Per impostazione predefinita, HCX non è installato nell'ambiente EVS.

  • Prima di poter utilizzare VMware HCX con Amazon EVS, è necessario soddisfare i requisiti minimi di rete. Per ulteriori informazioni, consulta i requisiti minimi di Network Underlay nella Guida per l'utente di HCX. VMware

  • Verificare che VMware NSX sia installato e configurato nell'ambiente. Per ulteriori informazioni, consulta la Guida all'installazione di VMware NSX.

  • Assicurati che VMware HCX sia attivato e installato nell'ambiente. Per ulteriori informazioni sull'attivazione e l'installazione di VMware HCX, consulta Informazioni introduttive con HCX nella Guida introduttiva a VMware HCX. VMware

  • Se è necessaria la connettività Internet HCX, è necessario completare le seguenti attività preliminari:

    • Assicurati che la tua quota IPAM per la lunghezza della netmask del blocco IPv4 CIDR pubblico contiguo fornita da Amazon sia /28 o superiore.

      Importante

      Per la connettività Internet HCX, Amazon EVS richiede l'uso del blocco IPv4 CIDR da un pool IPAM pubblico con una lunghezza della maschera di rete pari o superiore a /28. L'uso di qualsiasi blocco CIDR con una lunghezza della maschera di rete inferiore a /28 comporterà problemi di connettività HCX. Per ulteriori informazioni sull'aumento delle quote IPAM, consulta Quote per l'IPAM.

    • Crea un IPAM e un pool IPv4 IPAM pubblico con CIDR con una lunghezza minima della maschera di rete di /28.

    • Alloca almeno due indirizzi IP elastici (EIPs) dal pool IPAM per i dispositivi HCX Manager e HCX Interconnect (HCX-IX). Assegna un indirizzo IP elastico aggiuntivo per ogni appliance di rete HCX da distribuire.

    • Aggiungi il blocco IPv4 CIDR pubblico come CIDR aggiuntivo al tuo VPC.

Per ulteriori informazioni sulla configurazione di HCX, consulta e. Scegli la tua opzione di connettività HCX Opzioni di connettività HCX