Amazon Elastic VMware Service のセットアップ - Amazon Elastic VMware サービス
にサインアップする AWSIAM ユーザーの作成Amazon EVS アクセス許可を IAM ユーザーに委任する IAM ロールを作成するAWS Business、 AWS Enterprise On-Ramp、または AWS Enterprise Support プランにサインアップするクォータをチェックするVPC CIDR サイズの計画サブネットを使用して VPC を作成するVPC メインルートテーブルを設定するVPC の DHCP オプションセットを設定するVPC Route Server インフラストラクチャの作成と設定オンプレミス接続用のトランジットゲートウェイを作成するAmazon EC2 キャパシティ予約を作成するのセットアップ AWS CLIAmazon EC2 キーペアを作成するVMware Cloud Foundation (VCF) 用の環境を準備するVCF ライセンスキーの取得VMware HCX の前提条件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Elastic VMware Service のセットアップ

Amazon EVS を使用するには、他の AWS サービスを設定し、VMware Cloud Foundation (VCF) の要件を満たすように環境を設定する必要があります。デプロイの前提条件の概要チェックリストについては、「」を参照してくださいAmazon EVS デプロイの前提条件チェックリスト

トピック

にサインアップする AWS

がない場合は AWS アカウント、次の手順を実行して作成します。

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

IAM ユーザーの作成

  1. ルートユーザーを選択し、アカウントの E メールアドレスを入力して、 AWS アカウント所有者として IAM コンソールにサインインします。次のページでパスワードを入力します。

    注記

    以下の IAM の Administrator ユーザーの使用に関するベストプラクティスに従って、ルートユーザーの認証情報は安全な場所に保管しておくことを強くお勧めします。ルートユーザーとしてのサインインは、いくつかのアカウントとサービスの管理タスクの実行にのみ使用してください。

  2. ナビゲーションペインで、ユーザーを選択し、ユーザーの作成を選択します。

  3. [ユーザー名] に「Administrator」と入力します。

  4. AWS マネジメントコンソールアクセスの横にあるチェックボックスをオンにします。[Custom password (カスタムパスワード)] を選択し、その後テキストボックスに新しいパスワードを入力します。

  5. (オプション) デフォルトでは、 AWS は、初回サインイン時に新しいパスワードを作成する必要があります。[User must create a new password at next sign-in] (ユーザーは次回のサインイン時に新しいパスワードを作成する必要がある) の隣にあるチェックボックスのチェックを外して、新しいユーザーがサインインしてからパスワードをリセットできるようにできます。

  6. [Next: Permissions] (次のステップ: 許可) を選択します。

  7. [Set permissions] (許可の設定) で、Add user to group (ユーザーをグループに追加) を選択します。

  8. [Create group] (グループの作成) を選択します。

  9. [Create group] (グループの作成) ダイアログボックスで、Group name (グループ名) に「Administrators」と入力します。

  10. フィルターポリシーを選択し、 AWS マネージド - ジョブ関数を選択してテーブルコンテンツをフィルタリングします。

  11. ポリシーリストで、[AdministratorAccess] のチェックボックスをオンにします。その後、[Create group] (グループの作成) を選択します。

    注記

    アクセスAdministratorAccess許可を使用して Billing and Cost Management コンソールにアクセスする前に、IAM ユーザーとロールの AWS Billing へのアクセスを有効にする必要があります。これを行うには、請求コンソールへのアクセス権の委任に関するチュートリアルのステップ 1 の手順に従ってください。

  12. グループのリストに戻り、新しいグループのチェックボックスをオンにします。必要に応じて [Refresh] (更新) を選択し、リスト内のグループを表示します。

  13. [Next: Tags] (次へ: タグ) を選択します。

  14. (オプション) タグをキーバリューペアとしてアタッチして、メタデータをユーザーに追加します。IAM でのタグの使用の詳細については、IAM ユーザーガイドの「IAM リソースのタグ付け」を参照してください。

  15. [Next: Review] (次のステップ: 確認) を選択して、新しいユーザーに追加されるグループメンバーシップのリストを表示します。続行する準備ができたら、[Create user] (ユーザーの作成) を選択します。

これと同じプロセスを使用して、より多くのグループとユーザーを作成し、ユーザーに AWS アカウントリソースへのアクセスを許可できます。ユーザーアクセス許可を特定の AWS リソースに制限するポリシーの使用については、「アクセス管理」と「ポリシーの例」を参照してください。

Amazon EVS アクセス許可を IAM ユーザーに委任する IAM ロールを作成する

ロールを使用して、 AWS リソースへのアクセスを委任できます。IAM ロールを使用すると、信頼するアカウントと他の AWS 信頼されたアカウントとの間に信頼関係を確立できます。信頼するアカウントはアクセスするリソースを所有し、信頼されたアカウントにはリソースへのアクセスを必要とするユーザーが含まれます。

信頼関係を作成すると、信頼されたアカウントの IAM ユーザーまたはアプリケーションは AWS Security Token Service (AWS STS) AssumeRole API オペレーションを使用できます。このオペレーションは、アカウントの AWS リソースへのアクセスを可能にする一時的なセキュリティ認証情報を提供します。詳細については、「 AWS Identity and Access Management ユーザーガイド」の「IAM ユーザーにアクセス許可を委任するロールを作成する」を参照してください。

Amazon EVS オペレーションへのアクセスを許可するアクセス許可ポリシーを持つ IAM ロールを作成するには、次の手順に従います。

注記

Amazon EVS では、インスタンスプロファイルを使用して EC2 インスタンスに IAM ロールを渡すことはサポートされていません。

IAM console

  1. IAM コンソールに移動します。

  2. 左側のメニューで、ポリシーを選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. ポリシーエディタで、Amazon EVS オペレーションを有効にするアクセス許可ポリシーを作成します。ポリシーの例についてはAmazon EVS 環境の作成と管理を参照してください。使用可能なすべての Amazon EVS アクション、リソース、および条件キーを表示するには、「サービス認可リファレンス」の「アクション」を参照してください。

  5. [次へ] を選択します。

  6. ポリシー名に、このポリシーを識別するためのわかりやすいポリシー名を入力します。

  7. このポリシーで定義されているアクセス許可を確認します。

  8. (オプション) このリソースの識別、整理、検索に役立つタグを追加します。

  9. [Create policy] (ポリシーの作成) を選択します。

  10. 左側のメニューで、ロールを選択します。

  11. [ロールの作成] を選択してください。

  12. Trusted エンティティタイプで、 を選択します AWS アカウント。

  13. で、Amazon AWS アカウント EVS アクションを実行するアカウントを指定し、へを選択します。

  14. アクセス許可の追加ページで、以前に作成したアクセス許可ポリシーを選択し、次へを選択します。

  15. ロール名 に、このロールを識別する意味のある名前を入力します。

  16. 信頼ポリシーを確認し、正しい AWS アカウント がプリンシパルとしてリストされていることを確認します。

  17. (オプション) このリソースの識別、整理、検索に役立つタグを追加します。

  18. [ロールの作成] を選択してください。

AWS CLI

  1. 次の内容を信頼ポリシー JSON ファイルにコピーします。プリンシパル ARN の場合、サンプル AWS アカウント ID とservice-user名前を独自の AWS アカウント ID と IAM ユーザー名に置き換えます。

    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/service-user" 
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. ロールを作成します。を信頼ポリシーファイル名evs-environment-role-trust-policy.jsonに置き換えます。

    aws iam create-role \
  --role-name myAmazonEVSEnvironmentRole \
  --assume-role-policy-document file://"evs-environment-role-trust-policy.json"

  3. Amazon EVS オペレーションを有効にし、ポリシーをロールにアタッチするアクセス許可ポリシーを作成します。myAmazonEVSEnvironmentRole をロール名前で置き換えます。ポリシーの例についてはAmazon EVS 環境の作成と管理を参照してください。使用可能なすべての Amazon EVS アクション、リソース、および条件キーを表示するには、「サービス認可リファレンス」の「アクション」を参照してください。

    aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEVSEnvironmentPolicy \
  --role-name myAmazonEVSEnvironmentRole

AWS Business、 AWS Enterprise On-Ramp、または AWS Enterprise Support プランにサインアップする

Amazon EVS では、お客様が AWS Business、 AWS Enterprise On-Ramp、または AWS Enterprise Support プランに登録して、テクニカルサポートとアーキテクチャガイダンスに継続的にアクセスする必要があります。 AWS Business Support は、Amazon EVS の要件を満たす最小 AWS サポート階層です。ビジネスクリティカルなワークロードがある場合は、 AWS Enterprise On-Ramp プランまたは AWS Enterprise Support プランに登録することをお勧めします。詳細については、AWS 「サポートプランの比較」を参照してください。

重要

AWS Business、 AWS Enterprise On-Ramp、または AWS Enterprise Support プランにサインアップしないと、Amazon EVS 環境の作成は失敗します。

クォータをチェックする

Amazon EVS 環境の作成を有効にするには、アカウントに最低限必要なアカウントレベルのクォータがあることを確認します。詳細については、「Amazon EVS サービスクォータ」を参照してください。

重要

EVS 環境クォータあたりのホスト数が 4 以上の場合、Amazon EVS 環境の作成は失敗します。

VPC CIDR サイズの計画

Amazon EVS 環境を作成するときは、VPC CIDR ブロックを指定する必要があります。環境の作成後に VPC CIDR ブロックを変更することはできません。また、環境のデプロイ中に Amazon EVS が作成する必要な EVS サブネットとホストに対応するのに十分なスペースを確保する必要があります。そのため、デプロイ前に Amazon EVS の要件と将来のスケーリングのニーズを考慮して、CIDR ブロックサイズを慎重に計画することが重要です。Amazon EVS では、必要な EVS サブネットとホストに十分なスペースを確保するために、最小サイズが /22 ネットマスクの VPC CIDR ブロックが必要です。詳細については、「Amazon EVS ネットワークに関する考慮事項」を参照してください。

重要

VPC サブネットと Amazon EVS が VCF アプライアンス用に作成する VLAN サブネットの両方に十分な IP アドレス空間があることを確認します。VPC CIDR ブロックは、必要な EVS サブネットとホストに十分なスペースを確保するために、最小サイズが /22 ネットマスクである必要があります。

注記

Amazon EVS は現在 IPv6 をサポートしていません。

サブネットを使用して VPC を作成する

Amazon EVS は、指定した VPC に環境をデプロイします。この VPC には、Amazon EVS サービスアクセス () 用のサブネットが含まれている必要がありますサービスアクセスサブネット。Amazon EVS のサブネットを使用して VPC を作成する手順については、「」を参照してくださいサブネットとルートテーブルを使用して VPC を作成する

VPC メインルートテーブルを設定する

Amazon EVS VLAN サブネットは、VPC メインルートテーブルに暗黙的に関連付けられます。環境のデプロイを成功させるために DNS やオンプレミスシステムなどの依存サービスへの接続を有効にするには、これらのシステムへのトラフィックを許可するようにメインルートテーブルを設定する必要があります。詳細については、「Amazon EVS VLAN サブネットを VPC ルートテーブルに明示的に関連付ける」を参照してください。

重要

Amazon EVS は、Amazon EVS 環境の作成後にのみカスタムルートテーブルの使用をサポートします。Amazon EVS 環境の作成中にカスタムルートテーブルを使用しないでください。接続に問題がある可能性があります。

ゲートウェイルートの要件

接続要件に基づいて、これらのゲートウェイタイプのルートを設定します。

  • NAT ゲートウェイ (NGW)

    • アウトバウンドのみのインターネットアクセスにはオプション。

    • インターネットゲートウェイにアクセスできるパブリックサブネットに存在する必要があります。

    • プライベートサブネットと EVS VLAN サブネットから NAT ゲートウェイにルートを追加します。

    • 詳細については、「Amazon VPC ユーザーガイド」の「NAT ゲートウェイの使用」を参照してください。

  • トランジットゲートウェイ (TGW)

ベストプラクティス

  • すべてのルートテーブル設定を文書化します。

  • 一貫した命名規則を使用します。

  • ルートテーブルを定期的に監査します。

  • 変更を加えた後に接続をテストします。

  • ルートテーブル設定をバックアップします。

  • ルートのヘルスと伝播をモニタリングします。

ルートテーブルの操作の詳細については、「Amazon VPC ユーザーガイド」の「ルートテーブルの設定」を参照してください。

VPC の DHCP オプションセットを設定する

重要

これらの Amazon EVS 要件を満たしていない場合、環境のデプロイは失敗します。

  • DHCP オプションセットにプライマリ DNS サーバーの IP アドレスとセカンダリ DNS サーバーの IP アドレスを含めます。

  • デプロイに各 VCF 管理アプライアンスと Amazon EVS ホストの A レコードを含む DNS フォワードルックアップゾーンを含めます。

  • デプロイに各 VCF 管理アプライアンスと Amazon EVS ホストの PTR レコードを含む DNS リバースルックアップゾーンを含めます。

  • VPC のメインルートテーブルを設定して、DNS サーバーへのルートが存在することを確認します。

  • ドメイン名の登録が有効で有効期限が切れておらず、重複するホスト名や IP アドレスが存在しないことを確認します。

  • Amazon EVS が以下と通信できるように、セキュリティグループとネットワークアクセスコントロールリスト (ACLs) を設定します。

    • TCP/UDP ポート 53 経由の DNS サーバー。

    • HTTPS および SSH 経由で管理 VLAN サブネットをホストします。

    • HTTPS および SSH 経由の管理 VLAN サブネット。

詳細については、「VPC DHCP オプションセットを使用して DNS サーバーと NTP サーバーを設定する」を参照してください。

VPC Route Server インフラストラクチャの作成と設定

Amazon EVS は Amazon VPC Route Server を使用して、VPC アンダーレイネットワークへの BGP ベースの動的ルーティングを有効にします。サービスアクセスサブネット内の少なくとも 2 つのルートサーバーエンドポイントにルートを共有するルートサーバーを指定する必要があります。ルートサーバーピアで設定されたピア ASN は一致する必要があり、ピア IP アドレスは一意である必要があります。

重要

VPC Route Server 設定の次の Amazon EVS 要件を満たしていない場合、環境のデプロイは失敗します。

  • サービスアクセスサブネットには、少なくとも 2 つのルートサーバーエンドポイントを設定する必要があります。

  • Tier-0 ゲートウェイのボーダーゲートウェイプロトコル (BGP) を設定する場合、VPC Route Server ピア ASN 値は NSX Edge ピア ASN 値と一致する必要があります。

  • 2 つのルートサーバーピアを作成するときは、エンドポイントごとに NSX アップリンク VLAN の一意の IP アドレスを使用する必要があります。これらの 2 つの IP アドレスは、Amazon EVS 環境のデプロイ中に NSX エッジに割り当てられます。

  • Route Server の伝播を有効にするときは、伝播されるすべてのルートテーブルに少なくとも 1 つの明示的なサブネットの関連付けがあることを確認する必要があります。伝播されたルートテーブルに明示的なサブネットの関連付けがない場合、BGP ルートアドバタイズは失敗します。

注記

Route Server ピアライブネス検出の場合、Amazon EVS はデフォルトの BGP キープアライブメカニズムのみをサポートします。Amazon EVS は、マルチホップ双方向転送検出 (BFD) をサポートしていません。

前提条件

開始するには、以下が必要です。

  • ルートサーバーの VPC サブネット。

  • VPC Route Server リソースを管理するための IAM アクセス許可。

  • ルートサーバーの BGP ASN 値 (Amazon 側 ASN)。この値は 1~4294967295 の範囲で指定する必要があります。

  • NSX Tier-0 ゲートウェイとルートサーバーをピアリングするピア ASN。ルートサーバーと NSX Tier-0 ゲートウェイに入力されたピア ASN 値は一致する必要があります。NSX Edge アプライアンスのデフォルトの ASN は 65000 です。

ステップ

VPC Route Server をセットアップする手順については、Route Server の開始方法チュートリアルを参照してください。

注記

NAT ゲートウェイまたはトランジットゲートウェイを使用している場合は、NSX ルートを VPC ルートテーブル (複数可) に伝達するようにルートサーバーが正しく設定されていることを確認します。

注記

ルートサーバーインスタンスの永続ルートを有効にし、永続期間を 1~5 分にすることをお勧めします。有効にすると、すべての BGP セッションが終了しても、ルートはルートサーバーのルーティングデータベースに保持されます。

注記

BGP 接続ステータスは、Amazon EVS 環境がデプロイされて動作するまでダウンします。

オンプレミス接続用のトランジットゲートウェイを作成する

関連付けられたトランジットゲートウェイ Direct Connect を使用するか、トランジットゲートウェイへの AWS Site-to-Site VPN アタッチメントを使用して、オンプレミスデータセンターの AWS インフラストラクチャへの接続を設定できます。詳細については、「オンプレミスネットワーク接続を設定する (オプション)」を参照してください。

Amazon EC2 キャパシティ予約を作成する

Amazon EVS は、Amazon EVS 環境で ESXi ホストを表す Amazon EC2 ESXi.metal インスタンスを起動します。必要なときに十分な i4i.metal インスタンス容量を確保できるように、Amazon EC2 キャパシティ予約をリクエストすることをお勧めします。キャパシティ予約はいつでも作成でき、開始時期を選択できます。即時使用のためにキャパシティ予約をリクエストすることも、将来の日付のキャパシティ予約をリクエストすることもできます。詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」のEC2 オンデマンドキャパシティ予約でコンピューティングキャパシティを予約する」を参照してください。

のセットアップ AWS CLI

AWS CLI は、Amazon EVS を含む AWS のサービスを操作するためのコマンドラインツールです。また、ローカルマシンから Amazon EVS 仮想化環境やその他の AWS リソースにアクセスするための IAM ユーザーまたはロールを認証するために使用されます。コマンドラインから AWS リソースをプロビジョニングするには、コマンドラインで使用する AWS アクセスキー ID とシークレットキーを取得する必要があります。次に、これらの認証情報を AWS CLIで設定する必要があります。詳細については、「 バージョン 2 ユーザーガイド AWS CLI」の「 のセットアップ AWS Command Line Interface 」を参照してください。

Amazon EC2 キーペアを作成する

Amazon EVS は、環境の作成時に指定した Amazon EC2 キーペアを使用してホストに接続します。キーペアを作成するには、「 Amazon Elastic Compute Cloud ユーザーガイド」のAmazon EC2 「インスタンスのキーペアを作成する」の手順に従います。

VMware Cloud Foundation (VCF) 用の環境を準備する

Amazon EVS 環境をデプロイする前に、環境が VMware Cloud Foundation (VCF) インフラストラクチャ要件を満たしている必要があります。VCF の詳細な前提条件については、VMware Cloud Foundation 製品ドキュメントの「計画と準備ワークブック」を参照してください。

また、VPC 5.2.1 の要件にも精通する必要があります。詳細については、「VPC 5.2.1 リリースノート」を参照してください。

注記

Amazon EVS は、現時点では VCF バージョン 5.2.1.x のみをサポートしています。

VCF ライセンスキーの取得

Amazon EVS を使用するには、VPC ソリューションキーと vSAN ライセンスキーを提供する必要があります。VCF ソリューションキーには、少なくとも 256 コアが必要です。vSAN ライセンスキーには、少なくとも 110 TiB の vSAN 容量が必要です。VCF ライセンスの詳細については、VMware Cloud Foundation 管理ガイドの「VMware Cloud Foundation でのライセンスキーの管理」を参照してください。 VMware

重要

SDDC Manager ユーザーインターフェイスを使用して、VPC ソリューションと vSAN ライセンスキーを管理します。Amazon EVS では、サービスが正しく機能するためには、有効な VCF ソリューションと vSAN ライセンスキーを SDDC Manager に維持する必要があります。

注記

VCF ライセンスは、ライセンスコンプライアンスのためにすべての AWS リージョンで Amazon EVS で利用できます。Amazon EVS はライセンスキーを検証しません。ライセンスキーを検証するには、Broadcom サポートにアクセスしてください。

VMware HCX の前提条件

VMware HCX を使用して、既存の VMware ベースのワークロードを Amazon EVS に移行できます。Amazon EVS で VMware HCX を使用する前に、次の前提条件タスクが完了していることを確認してください。

注記

デフォルトでは、VMware HCX は EVS 環境にインストールされません。

  • Amazon EVS で VMware HCX を使用する前に、最小限のネットワークアンダーレイ要件を満たす必要があります。詳細については、VMware HCX ユーザーガイドの「ネットワークアンダーレイの最小要件」を参照してください。

  • VMware NSX が環境にインストールおよび設定されていることを確認します。詳細については、VMware NSX インストールガイドを参照してください。

  • VMware HCX がアクティブ化され、環境にインストールされていることを確認します。VMware HCX のアクティブ化とインストールの詳細については、VMware HCX 入門ガイドの VMware「VMware HCX の開始方法」を参照してください。 VMware

  • HCX インターネット接続が必要な場合は、次の前提条件タスクを完了する必要があります。

    • Amazon が提供する連続したパブリック IPv4 CIDR ブロックネットマスク長の IPAM クォータが /28 以上であることを確認します。

      重要

      HCX インターネット接続の場合、Amazon EVS はネットマスク長が /28 以上のパブリック IPAM プールから IPv4 CIDR ブロックを使用する必要があります。ネットマスク長が /28 未満の CIDR ブロックを使用すると、HCX 接続の問題が発生します。IPAM クォータの増加の詳細については、「IPAM のクォータ」を参照してください。

    • 最小ネットマスク長が /28 の CIDR を持つ IPAM とパブリック IPv4 IPAM プールを作成します。

    • HCX Manager および HCX Interconnect (HCX-IX) アプライアンスの IPAM プールから少なくとも 2 つの Elastic IP アドレス (EIPs) を割り当てます。デプロイする必要がある HCX ネットワークアプライアンスごとに追加の Elastic IP アドレスを割り当てます。

    • パブリック IPv4 CIDR ブロックを追加の CIDR として VPC に追加します。

HCX のセットアップの詳細については、HCX 接続オプションを選択する「」および「」を参照してくださいHCX 接続オプション