Configurando o Amazon Elastic VMware Service - Amazon Elastic VMware Service
Inscreva-se para AWSCriar um usuário do IAMCrie uma função do IAM para delegar a permissão do Amazon EVS a um usuário do IAMInscreva-se em um plano AWS Business, AWS Enterprise On-Ramp ou Enterprise AWS SupportVerifique as cotasPlanejar tamanhos de CIDR de VPCCrie uma VPC com sub-redesConfigurar a tabela de rotas principal da VPCConfigure o conjunto de opções DHCP da sua VPCCrie e configure a infraestrutura do VPC Route ServerCrie um gateway de trânsito para conectividade localCrie uma reserva de EC2 capacidade da AmazonConfigure o AWS CLICrie um Amazon EC2 key pairPrepare seu ambiente para o VMware Cloud Foundation (VCF)Adquira chaves de licença VCFVMware Pré-requisitos do HCX

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurando o Amazon Elastic VMware Service

Para usar o Amazon EVS, você precisará configurar outros AWS serviços, bem como configurar seu ambiente para atender aos requisitos do VMware Cloud Foundation (VCF). Para obter uma lista de verificação resumida dos pré-requisitos de implantação, consulte. Lista de verificação de pré-requisitos de implantação do Amazon EVS

Tópicos

Inscreva-se para AWS

Se você não tiver um Conta da AWS, conclua as etapas a seguir para criar um.

  1. Abra a https://portal.aws.amazon.com/billing/inscrição.

  2. Siga as instruções online.

Criar um usuário do IAM

  1. Faça login no console do IAM como proprietário da conta, escolhendo Usuário raiz e inserindo o endereço de e-mail AWS da sua conta. Na próxima página, insira a senha.

    nota

    Recomendamos seguir as melhores práticas para utilizar o usuário do IAM Administrator a seguir e armazenar as credenciais do usuário raiz com segurança. Cadastre-se como o usuário raiz apenas para executar algumas tarefas de gerenciamento de serviços e contas.

  2. No painel de navegação, escolha Usuários e, em seguida, escolha Criar usuário.

  3. Em Nome do usuário, digite Administrator.

  4. Marque a caixa de seleção ao lado do acesso ao AWS Management Console. Então, selecione Custom password (Senha personalizada), e insira sua nova senha na caixa de texto.

  5. (Opcional) Por padrão, AWS exige que o novo usuário crie uma nova senha ao fazer login pela primeira vez. Você pode desmarcar a caixa de seleção próxima de User must create a new password at next sign-in (O usuário deve criar uma senha no próximo login) para permitir que o novo usuário redefina a senha depois de fazer login.

  6. Escolha Próximo: Permissões.

  7. Em Set permissions (Conceder permissões), escolha Add user to group (Adicionar usuário ao grupo).

  8. Escolha Create group (Criar grupo).

  9. Na caixa de diálogo Create group (Criar grupo), em Group name (Nome do grupo), digite Administrators.

  10. Escolha Políticas de filtro e, em seguida, selecione a função -job AWS gerenciada para filtrar o conteúdo da tabela.

  11. Na lista de políticas, marque a caixa de seleção para AdministratorAccess. A seguir escolha Criar grupo.

    nota

    Você deve ativar o acesso de usuário e função do IAM ao Billing antes de poder usar as AdministratorAccess permissões para acessar o console AWS Billing and Cost Management. Para fazer isso, siga as instruções na etapa 1 do tutorial sobre como delegar acesso ao console de faturamento.

  12. Suporte a lista de grupos, selecione a caixa de seleção para seu novo grupo. Escolha Refresh (Atualizar) caso necessário, para ver o grupo na lista.

  13. Escolha Next: Tags (Próximo: etiquetas).

  14. (Opcional) Adicione metadados ao usuário anexando tags como pares de chave-valor. Para obter mais informações sobre como usar etiquetas no IAM, consulte Marcar entidades do IAM no Guia do usuário do IAM.

  15. Escolha Next: Review (Próximo: Análise) para ver uma lista de associações de grupos a serem adicionadas ao novo usuário. Quando você estiver pronto para continuar, escolha Create user (Criar usuário).

Você pode usar esse mesmo processo para criar mais grupos e usuários e dar aos usuários acesso aos recursos AWS da sua conta. Para saber mais sobre o uso de políticas que restringem as permissões do usuário a AWS recursos específicos, consulte Gerenciamento de acesso e exemplos de políticas.

Crie uma função do IAM para delegar a permissão do Amazon EVS a um usuário do IAM

Você pode usar funções para delegar acesso aos seus AWS recursos. Com as funções do IAM, você pode estabelecer relações de confiança entre sua conta confiável e outras contas AWS confiáveis. A conta confiável é proprietária do recurso a ser acessado, e a conta confiável contém os usuários que precisam acessar o recurso.

Depois de criar a relação de confiança, um usuário do IAM ou um aplicativo da conta confiável pode usar a operação da AssumeRole API AWS Security Token Service (AWS STS). Essa operação fornece credenciais de segurança temporárias que permitem o acesso aos AWS recursos em sua conta. Para obter mais informações, consulte Criar uma função para delegar permissões a um usuário do IAM no Guia do AWS Identity and Access Management usuário.

Siga estas etapas para criar uma função do IAM com uma política de permissões que permita acesso às operações do Amazon EVS.

nota

O Amazon EVS não suporta o uso de um perfil de instância para passar uma função do IAM para uma EC2 instância.

IAM console

  1. Acesse o console do IAM.

  2. No menu à esquerda, escolha Políticas.

  3. Selecione Criar política.

  4. No editor de políticas, crie uma política de permissões que habilite as operações do Amazon EVS. Para visualizar um exemplo de política, consulte Crie e gerencie um ambiente Amazon EVS. Para ver todas as ações, recursos e chaves de condição disponíveis do Amazon EVS, consulte Ações na Referência de autorização de serviço.

  5. Escolha Próximo.

  6. Em Nome da política, insira um nome de política significativo para identificar essa política.

  7. Revise as permissões definidas nesta política.

  8. (Opcional) Adicione tags para ajudar a identificar, organizar ou pesquisar esse recurso.

  9. Selecione Criar política.

  10. No menu à esquerda, escolha Funções.

  11. Selecione Criar perfil.

  12. Para Tipo de entidade confiável, escolha Conta da AWS.

  13. Em An Conta da AWS , especifique a conta na qual você deseja realizar ações do Amazon EVS e escolha Avançar.

  14. Na página Adicionar permissões, selecione a política de permissões que você criou anteriormente e escolha Avançar.

  15. Em Nome da função, insira um nome significativo para identificar essa função.

  16. Revise a política de confiança e certifique-se de que a correta Conta da AWS esteja listada como a principal.

  17. (Opcional) Adicione tags para ajudar a identificar, organizar ou pesquisar esse recurso.

  18. Selecione Criar perfil.

AWS CLI

  1. Copie o conteúdo a seguir em um arquivo JSON de política de confiança. Para o ARN principal, substitua o Conta da AWS ID e o service-user nome do exemplo por seu próprio Conta da AWS ID e nome de usuário do IAM.

    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/service-user" 
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Crie a função. evs-environment-role-trust-policy.jsonSubstitua pelo nome do arquivo da política de confiança.

    aws iam create-role \
  --role-name myAmazonEVSEnvironmentRole \
  --assume-role-policy-document file://"evs-environment-role-trust-policy.json"

  3. Crie uma política de permissões que habilite as operações do Amazon EVS e anexe a política à função. Substitua myAmazonEVSEnvironmentRole pelo nome da função. Para visualizar um exemplo de política, consulte Crie e gerencie um ambiente Amazon EVS. Para ver todas as ações, recursos e chaves de condição disponíveis do Amazon EVS, consulte Ações na Referência de autorização de serviço.

    aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEVSEnvironmentPolicy \
  --role-name myAmazonEVSEnvironmentRole

Inscreva-se em um plano AWS Business, AWS Enterprise On-Ramp ou Enterprise AWS Support

O Amazon EVS exige que os clientes estejam inscritos em um plano AWS Business, AWS Enterprise On-Ramp ou Enterprise AWS Support para receber acesso contínuo ao suporte técnico e orientação arquitetônica. AWS O Business Support é o nível mínimo de AWS suporte que atende aos requisitos do Amazon EVS. Se você tiver cargas de trabalho essenciais para os negócios, recomendamos que você se inscreva nos planos Enterprise On-Ramp ou AWS Enterprise Support. AWS Para obter mais informações, consulte Compare AWS Support Plans.

Importante

A criação do ambiente Amazon EVS falhará se você não se inscrever em um plano AWS Business, AWS Enterprise On-Ramp ou Enterprise AWS Support.

Verifique as cotas

Para permitir a criação do ambiente Amazon EVS, certifique-se de que sua conta tenha as cotas mínimas exigidas em nível de conta. Para obter mais informações, consulte Cotas do serviço Amazon EVS.

Importante

A criação do ambiente Amazon EVS falhará se a contagem de hosts por valor da cota do ambiente EVS não for pelo menos 4.

Planejar tamanhos de CIDR de VPC

Ao criar um ambiente Amazon EVS, você precisa especificar um bloco CIDR de VPC. O bloco CIDR da VPC não pode ser alterado após a criação do ambiente e precisará ter espaço suficiente reservado para acomodar as sub-redes e os hosts EVS necessários que o Amazon EVS cria durante a implantação do ambiente. Como resultado, é fundamental planejar cuidadosamente o tamanho do bloco CIDR, levando em consideração os requisitos do Amazon EVS e suas necessidades futuras de escalabilidade antes da implantação. O Amazon EVS exige um bloco CIDR VPC com um tamanho mínimo de /22 máscara de rede para permitir espaço suficiente para as sub-redes e hosts EVS necessários. Para obter mais informações, consulte Considerações sobre a rede Amazon EVS.

Importante

Certifique-se de ter espaço de endereço IP suficiente para sua sub-rede VPC e para as sub-redes de VLAN que o Amazon EVS cria para dispositivos VCF. O bloco CIDR da VPC deve ter um tamanho mínimo de máscara de rede /22 para permitir espaço suficiente para as sub-redes e hosts EVS necessários.

nota

IPv6 No momento, o Amazon EVS não oferece suporte.

Crie uma VPC com sub-redes

O Amazon EVS implanta seu ambiente em uma VPC que você fornece. Essa VPC deve conter uma sub-rede para acesso ao serviço Amazon EVS (). Sub-rede de acesso ao serviço Para ver as etapas para criar uma VPC com sub-redes para o Amazon EVS, consulte. Crie uma VPC com sub-redes e tabelas de rotas

Configurar a tabela de rotas principal da VPC

As sub-redes de VLAN do Amazon EVS estão implicitamente associadas à tabela de rotas principal da VPC. Para habilitar a conectividade com serviços dependentes, como DNS ou sistemas locais, para uma implantação bem-sucedida do ambiente, você deve configurar a tabela de rotas principal para permitir o tráfego para esses sistemas. Para obter mais informações, consulte Associe explicitamente as sub-redes de VLAN do Amazon EVS a uma tabela de rotas da VPC.

Importante

O Amazon EVS suporta o uso de uma tabela de rotas personalizada somente após a criação do ambiente Amazon EVS. Tabelas de rotas personalizadas não devem ser usadas durante a criação do ambiente Amazon EVS, pois isso pode resultar em problemas de conectividade.

Requisitos de rota de gateway

Configure rotas para esses tipos de gateway com base em seus requisitos de conectividade:

  • Gateway NAT (NGW)

    • Opcional para acesso somente de saída à Internet.

    • Deve estar em uma sub-rede pública com acesso ao gateway da Internet.

    • Adicione rotas de sub-redes privadas e sub-redes EVS VLAN ao gateway NAT.

    • Para obter mais informações, consulte Trabalhar com gateways NAT no Guia do usuário da Amazon VPC.

  • Gateway de trânsito (TGW)

    • Necessário para conectividade local via AWS Direct Connect e AWS Site-to-Site VPN.

    • Adicione rotas para intervalos de rede locais.

    • Configure a propagação da rota se estiver usando o BGP.

    • Para obter mais informações, consulte Transit Gateways no Amazon VPC Transit Gateways no Guia do usuário do Amazon VPC.

Práticas recomendadas

  • Documente todas as configurações da tabela de rotas.

  • Use convenções de nomenclatura consistentes.

  • Audite regularmente suas tabelas de rotas.

  • Teste a conectividade depois de fazer alterações.

  • Faça backup das configurações da tabela de rotas.

  • Monitore a integridade e a propagação da rota.

Para obter mais informações sobre como trabalhar com tabelas de rotas, consulte Configurar tabelas de rotas no Guia do usuário da Amazon VPC.

Configure o conjunto de opções DHCP da sua VPC

Importante

A implantação do seu ambiente falhará se você não atender aos seguintes requisitos do Amazon EVS:

  • Inclua um endereço IP do servidor DNS primário e um endereço IP do servidor DNS secundário no conjunto de opções DHCP.

  • Inclua uma zona de consulta direta de DNS com registros A para cada dispositivo de gerenciamento VCF e host Amazon EVS em sua implantação.

  • Inclua uma zona de pesquisa reversa de DNS com registros PTR para cada dispositivo de gerenciamento VCF e host Amazon EVS em sua implantação.

  • Configure a tabela de rotas principal da VPC para garantir que exista uma rota para seus servidores DNS.

  • Certifique-se de que seu registro de nome de domínio seja válido e não tenha expirado, e que não existam nomes de host ou endereços IP duplicados.

  • Configure seus grupos de segurança e listas de controle de acesso à rede (ACLs) para permitir que o Amazon EVS se comunique com:

    • Servidores DNS na TCP/UDP porta 53.

    • Sub-rede VLAN de gerenciamento de host via HTTPS e SSH.

    • Sub-rede VLAN de gerenciamento por HTTPS e SSH.

Para obter mais informações, consulte Configurar servidores DNS e NTP usando o conjunto de opções VPC DHCP.

Crie e configure a infraestrutura do VPC Route Server

O Amazon EVS usa o Amazon VPC Route Server para habilitar o roteamento dinâmico baseado em BGP para sua rede subjacente VPC. Você deve especificar um servidor de rotas que compartilhe rotas para pelo menos dois endpoints do servidor de rotas na sub-rede de acesso ao serviço. O ASN de mesmo nível configurado nos pares do servidor de rotas deve corresponder e os endereços IP de mesmo nível devem ser exclusivos.

Importante

A implantação do seu ambiente falhará se você não atender a esses requisitos do Amazon EVS para a configuração do VPC Route Server:

  • Você deve configurar pelo menos dois endpoints do servidor de rotas na sub-rede de acesso ao serviço.

  • Ao configurar o Border Gateway Protocol (BGP) para o gateway de nível 0, o valor do ASN de mesmo nível do VPC Route Server deve corresponder ao valor do ASN de mesmo nível do NSX Edge.

  • Ao criar os dois pares de servidores de rotas, você deve usar um endereço IP exclusivo da VLAN de uplink do NSX para cada endpoint. Esses dois endereços IP serão atribuídos às bordas do NSX durante a implantação do ambiente Amazon EVS.

  • Ao habilitar a propagação do Route Server, você deve garantir que todas as tabelas de rotas que estão sendo propagadas tenham pelo menos uma associação explícita de sub-rede. O anúncio da rota BGP falhará se as tabelas de rotas propagadas não tiverem uma associação explícita de sub-rede.

nota

Para a detecção de atividade entre pares do Route Server, o Amazon EVS suporta apenas o mecanismo padrão de manutenção de atividade do BGP. O Amazon EVS não oferece suporte à detecção de encaminhamento bidirecional (BFD) de vários saltos.

Pré-requisitos

Antes de começar, você precisa de:

  • Uma sub-rede VPC para seu servidor de rotas.

  • Permissões do IAM para gerenciar recursos do VPC Route Server.

  • Um valor de BGP ASN para o servidor de rotas (ASN do lado da Amazon). O valor deve estar entre 1 e 4294967295.

  • Um ASN ponto a ponto para emparelhar seu servidor de rotas com o gateway NSX Tier-0. Os valores de ASN de mesmo nível inseridos no servidor de rotas e no gateway NSX Tier-0 devem corresponder. O ASN padrão para um dispositivo NSX Edge é 65000.

Etapas

Para ver as etapas de configuração do VPC Route Server, consulte o tutorial de introdução do Route Server.

nota

Se você estiver usando um gateway NAT ou um gateway de trânsito, certifique-se de que seu servidor de rotas esteja configurado corretamente para propagar as rotas do NSX para a (s) tabela (s) de rotas da VPC.

nota

Recomendamos que você habilite rotas persistentes para a instância do servidor de rotas com uma duração persistente entre 1 e 5 minutos. Se ativada, as rotas serão preservadas no banco de dados de roteamento do servidor de rotas, mesmo que todas as sessões do BGP terminem.

nota

O status de conectividade do BGP ficará inativo até que o ambiente Amazon EVS esteja implantado e operacional.

Crie um gateway de trânsito para conectividade local

Você pode configurar a conectividade do seu data center local Direct Connect com sua AWS infraestrutura usando um gateway de trânsito associado ou usando um anexo de AWS Site-to-Site VPN a um gateway de trânsito. Para obter mais informações, consulte Configurar a conectividade de rede local (opcional).

Crie uma reserva de EC2 capacidade da Amazon

O Amazon EVS lança instâncias Amazon EC2 i4i.metal que representam hosts ESXi em seu ambiente Amazon EVS. Para garantir que você tenha capacidade suficiente de instância i4i.metal disponível quando precisar, recomendamos que você solicite uma reserva de capacidade da Amazon EC2 . É possível criar uma reserva de capacidade a qualquer momento e escolher quando ela começa. Você pode solicitar uma reserva de capacidade para uso imediato ou solicitar uma reserva de capacidade para uma data futura. Para obter mais informações, consulte Reservar capacidade computacional com reservas de capacidade EC2 sob demanda no Guia do usuário do Amazon Elastic Compute Cloud.

Configure o AWS CLI

AWS CLI É uma ferramenta de linha de comando para trabalhar Serviços da AWS, incluindo o Amazon EVS. Ele também é usado para autenticar usuários ou funções do IAM para acessar o ambiente de virtualização do Amazon EVS e outros AWS recursos da sua máquina local. Para provisionar AWS recursos a partir da linha de comando, você precisa obter um ID de chave de AWS acesso e uma chave secreta para usar na linha de comando. Em seguida, você precisará configurar essas credenciais na AWS CLI. Para obter mais informações, consulte Configurar o AWS CLI no Guia do AWS Command Line Interface usuário para a versão 2.

Crie um Amazon EC2 key pair

O Amazon EVS usa um par de Amazon EC2 chaves que você fornece durante a criação do ambiente para se conectar aos seus hosts. Para criar um par de chaves, siga as etapas em Criar um par de chaves para sua Amazon EC2 instância no Guia do Amazon Elastic Compute Cloud usuário.

Prepare seu ambiente para o VMware Cloud Foundation (VCF)

Antes de implantar seu ambiente Amazon EVS, seu ambiente deve atender aos requisitos de infraestrutura do VMware Cloud Foundation (VCF). Para ver os pré-requisitos detalhados do VCF, consulte a pasta de trabalho de planejamento e preparação na documentação do VMware produto Cloud Foundation.

Você também deve se familiarizar com os requisitos do VCF 5.2.1. Para obter mais informações, consulte as notas de versão do VCF 5.2.1

nota

No momento, o Amazon EVS só oferece suporte à versão 5.2.1.x do VCF.

Adquira chaves de licença VCF

Para usar o Amazon EVS, você precisa fornecer uma chave de solução VCF e uma chave de licença vSAN. A chave da solução VCF deve ter pelo menos 256 núcleos. A chave de licença do vSAN deve ter pelo menos 110 TiB de capacidade do vSAN. Para obter mais informações sobre licenças VCF, consulte Gerenciamento de chaves de licença no VMware Cloud Foundation no Guia de administração do VMware Cloud Foundation.

Importante

Use a interface de usuário do SDDC Manager para gerenciar a solução VCF e as chaves de licença do vSAN. O Amazon EVS exige que você mantenha uma solução VCF válida e as chaves de licença do vSAN no SDDC Manager para que o serviço funcione adequadamente.

nota

Sua licença VCF estará disponível para o Amazon EVS em todas as AWS regiões para fins de conformidade com a licença. O Amazon EVS não valida as chaves de licença. Para validar as chaves de licença, visite o suporte da Broadcom.

VMware Pré-requisitos do HCX

Você pode usar o VMware HCX para migrar suas cargas de trabalho VMware baseadas existentes para o Amazon EVS. Antes de usar o VMware HCX com o Amazon EVS, certifique-se de que as seguintes tarefas pré-solicitadas tenham sido concluídas.

nota

VMware O HCX não está instalado no ambiente EVS por padrão.

  • Antes de usar o VMware HCX com o Amazon EVS, os requisitos mínimos de base de rede devem ser atendidos. Para obter mais informações, consulte Requisitos mínimos do Network Underlay no Guia do usuário do VMware HCX.

  • Confirme se o VMware NSX está instalado e configurado no ambiente. Para obter mais informações, consulte o Guia de instalação do VMware NSX.

  • Certifique-se de que o VMware HCX esteja ativado e instalado no ambiente. Para obter mais informações sobre como ativar e instalar o VMware HCX, consulte Sobre como começar a usar o VMware HCX no Guia de introdução ao HCX. VMware

  • Se você precisar de conectividade HCX com a Internet, deverá concluir as seguintes tarefas de pré-requisito:

    • Certifique-se de que sua cota de IPAM para o comprimento da máscara de rede de blocos IPv4 CIDR públicos contíguos fornecidos pela Amazon seja /28 ou maior.

      Importante

      Para conectividade HCX com a Internet, o Amazon EVS exige o uso do bloco IPv4 CIDR de um pool IPAM público com um comprimento de máscara de rede de /28 ou maior. O uso de qualquer bloco CIDR com um comprimento de máscara de rede menor que /28 resultará em problemas de conectividade HCX. Para obter mais informações sobre o aumento das cotas do IPAM, consulte Cotas para seu IPAM.

    • Crie um IPAM e um pool IPv4 IPAM público com CIDR que tenha um comprimento mínimo de máscara de rede de /28.

    • Aloque pelo menos dois endereços IP elásticos (EIPs) do pool IPAM para os dispositivos HCX Manager e HCX Interconnect (HCX-IX). Aloque um endereço IP elástico adicional para cada dispositivo de rede HCX que você precisa implantar.

    • Adicione o bloco IPv4 CIDR público como um CIDR adicional à sua VPC.

Para obter mais informações sobre a configuração do HCX, consulte Escolha sua opção de conectividade HCX e. Opções de conectividade HCX