本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将您的基础设施配置为使用 Backup Gateway
Backup Gateway 需要具备以下网络、防火墙和硬件配置才能备份和还原虚拟机。
网络配置
Backup Gateway 要求允许特定端口来执行其操作。请允许使用以下端口:
-
TCP 443 出站
-
源:Backup Gateway
-
目的地: AWS
-
使用:允许 Backup 网关与通信 AWS。
-
-
TCP 80 入站
-
来源:您用来连接的主机 AWS 管理控制台
-
目的地:Backup Gateway
-
用法:由本地系统用于获取 Backup Gateway 激活密钥。端口 80 仅在激活 Backup 网关期间使用。 AWS Backup 不要求端口 80 可以公开访问。端口 80 所需的访问级别取决于网络配置。如果您从激活网关 AWS 管理控制台,则从中连接到控制台的主机必须能够访问网关的端口 80。
-
-
UDP 53 出站
-
源:Backup Gateway
-
目的地:域名服务 (DNS) 服务器
-
用法:允许 Backup Gateway 与 DNS 通信。
-
-
TCP 22 出站
-
源:Backup Gateway
-
目的地: 支持
-
使用: 支持 允许访问您的网关以帮助您解决问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时必须将其打开。
-
-
UDP 123 出站
-
源:NTP 客户端
-
目的地:NTP 服务器
-
用法:由本地系统用于将虚拟机时间同步到主机时间。
-
-
TCP 443 出站
-
源:Backup Gateway
-
目的地: VMware vCenter
-
使用:允许 Backup 网关与 VMware vCenter 通信。
-
-
TCP 443 出站
-
源:Backup Gateway
-
目的地: ESXi 主机
-
使用:允许 Backup 网关与 ESXi 主机通信。
-
-
TCP 902 出站
-
源:Backup Gateway
-
目的地: VMware ESXi 主机
-
用法:用于通过 Backup Gateway 传输数据。
-
以上端口是 Backup Gateway 所必需的。有关如何为 AWS Backup配置 Amazon VPC 端点的更多信息,请参阅创建 VPC 端点。
防火墙配置
Backup 网关需要访问以下服务端点才能与之通信 Amazon Web Services。如果使用防火墙或路由器来筛选或限制网络流量,则必须配置防火墙和路由器以允许这些服务端点与 AWS进行出站通信。不支持在 Backup Gateway 和服务点之间使用 HTTP 代理。
终端节点类型
标准端点:Supp IPv4 ort 支持您的网关设备与之间的流量 AWS。
所有网关的控制路径(anon-cp、client-cp、proxy-app)和数据路径(dp-1)操作均需要以下服务端点。
anon-cp.backup-gateway.region.amazonaws.com:443 client-cp.backup-gateway.region.amazonaws.com:443 proxy-app.backup-gateway.region.amazonaws.com:443 dp-1.backup-gateway.region.amazonaws.com:443
双栈终端节点:同时支持网关设备 IPv4 和 AWS之间的 IPv6 流量。
所有网关的控制路径(激活、控制面板、代理)和数据路径(数据面板)操作均需要以下双堆栈服务端点。
activation-backup-gateway.region.api.aws:443 controlplane-backup-gateway.region.api.aws:443 proxy-backup-gateway.region.api.aws:443 dataplane-backup-gateway.region.api.aws:443
将您的网关配置为多 NICs 个 VMware
您可以将多个虚拟网络接口连接 (NICs) 连接到网关,然后分别将内部流量(网关到虚拟机管理程序)和外部流量(网关到)定向到网关,从而为内部和外部流量维护单独的网络。 AWS
默认情况下,连接到 AWS Backup 网关的虚拟机只有一个网络适配器 (eth0)。该网络包括虚拟机监控程序、虚拟机以及与广泛的互联网通信的网络网关(Backup Gateway)。
下面是一个具有多个虚拟网络接口的设置示例:
eth0: - IP: 10.0.3.83 - routes: 10.0.3.0/24 eth1: - IP: 10.0.0.241 - routes: 10.0.0.0/24 - default gateway: 10.0.0.1
在此示例中,如果连接到 IP 为
10.0.3.123的管理程序,网关将使用eth0,因为管理程序 IP 是10.0.3.0/24块的一部分要连接到 IP 为
10.0.0.234的管理程序,网关将使用eth1要连接到本地网络之外的 IP(例如
34.193.121.211),网关将回退到默认网关10.0.0.1,该网关位于10.0.0.0/24块中,因此通过eth1
添加其他网络适配器的第一个步骤序列发生在 vSphere 客户端中:
在 VMware vSphere 客户端中,打开网关虚拟机的快捷菜单(右键单击),然后选择编辑设置。
在虚拟机属性对话框的虚拟硬件选项卡上,打开添加新设备菜单,然后选择网络适配器来添加新的网络适配器。
-
展开新建网络详细信息以配置新适配器。
确保选中开机时连接。
有关适配器类型,请参阅《vCenter Server 文档》 ESXi 和《vCenter Server
文档》中的网络适配器类型。
单击确定保存新网络适配器设置。
配置其他适配器的下一个步骤是在 AWS Backup 网关控制台中进行的(请注意,这与管理备份和其他服务的 AWS 管理控制台的界面不同)。
将新 NIC 添加到网关虚拟机中后,您需要
转到
Command Prompt并打开新适配器IPs 为每个新 NIC 配置静态
将首选 NIC 设置为默认值
为此,请执行以下操作:
在 VMware vSphere 客户端中,选择您的网关虚拟机并启动 Web 控制台以访问 Backup 网关本地控制台。
有关访问本地控制台的更多信息,请参阅使用访问网关本地控制台 VMware ESXi
退出命令提示符并转到“网络配置”>“配置静态 IP”,然后按照设置说明更新路由表。
在网络适配器的子网内分配静态 IP。
设置网络掩码。
输入默认网关的 IP 地址。这是连接到本地网络之外的所有流量的网络网关。
选择设置默认适配器,指定将作为默认设备连接到云的适配器。
网关的所有 IP 地址均可显示在本地控制台和 VMware vSphere 的虚拟机摘要页面上。
VMware 权限
本节列出了使用所需的最低 VMware 权限 AWS Backup gateway。这些权限是 Backup Gateway 发现、备份和还原虚拟机所必需的权限。
要在 VMware Cloud™ 开启 AWS 或 C VMware loud™ 开启的情况下使用 Backup 网关,您必须使用默认管理员用户cloudadmin@vmc.local或将 CloudAdmin 角色分配给您的专用用户。 AWS Outposts
要在 VMware 本地虚拟机上使用 Backup 网关,请创建一个具有下列权限的专用用户。
全局
-
禁用方法
-
启用方法
-
许可证
-
日志事件
-
管理自定义属性
-
设置自定义属性
vSphere 标记
-
分配或取消分配 vSphere 标签
DataStore
-
分配空间
-
浏览数据存储
-
配置数据存储(适用于 vSAN 数据存储)
-
低级文件操作
-
更新虚拟机文件
主机
-
配置
-
高级设置
-
存储分区配置
-
文件夹
-
创建文件夹
网络
-
分配网络
dvPortGroup
-
Create
-
删除
资源
-
将虚拟机分配到资源池
虚拟机
-
更改配置
-
获取磁盘租约
-
添加现有磁盘
-
添加新磁盘
-
高级配置
-
更改设置
-
配置原始设备。
-
修改设备设置
-
删除磁盘
-
设置注释
-
切换磁盘变更跟踪
-
-
编辑清单
-
从现有创建
-
新建
-
注册
-
删除
-
取消注册
-
-
交互
-
关闭
-
打开
-
-
预置
-
允许访问磁盘
-
允许只读访问磁盘
-
允许虚拟机下载
-
-
快照管理
-
创建快照
-
删除快照
-
恢复为快照
-
