将您的基础设施配置为使用 Backup Gateway
Backup Gateway 需要具备以下网络、防火墙和硬件配置才能备份和还原虚拟机。
网络配置
Backup Gateway 要求允许特定端口来执行其操作。请允许使用以下端口:
-
TCP 443 出站
-
源:Backup Gateway
-
目的地:AWS
-
用法:允许 Backup Gateway 与 AWS 通信。
-
-
TCP 80 入站
-
源:您用来连接到 AWS 管理控制台 的主机
-
目的地:Backup Gateway
-
用法:由本地系统用于获取 Backup Gateway 激活密钥。端口 80 仅在激活 Backup Gateway 期间使用。AWS Backup 不要求端口 80 可以公开访问。端口 80 所需的访问级别取决于网络配置。如果您从 AWS 管理控制台激活网关,则您连接到控制台所用的主机必须对网关端口 80 具有访问权限。
-
-
UDP 53 出站
-
源:Backup Gateway
-
目的地:域名服务 (DNS) 服务器
-
用法:允许 Backup Gateway 与 DNS 通信。
-
-
TCP 22 出站
-
源:Backup Gateway
-
目的地:支持
-
用法:允许 支持访问您的网关以帮助您解决问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时必须将其打开。
-
-
UDP 123 出站
-
源:NTP 客户端
-
目的地:NTP 服务器
-
用法:由本地系统用于将虚拟机时间同步到主机时间。
-
-
TCP 443 出站
-
源:Backup Gateway
-
目的地:VMware vCenter
-
用法:允许 Backup Gateway 与 VMware vCenter 通信。
-
-
TCP 443 出站
-
源:Backup Gateway
-
目的地:ESXi 主机
-
用法:允许 Backup Gateway 与 ESXi 主机通信。
-
-
TCP 902 出站
-
源:Backup Gateway
-
目的地:VMware ESXi 主机
-
用法:用于通过 Backup Gateway 传输数据。
-
以上端口是 Backup Gateway 所必需的。有关如何为 AWS Backup 配置 Amazon VPC 端点的更多信息,请参阅创建 VPC 端点。
防火墙配置
Backup Gateway 需要访问下列服务端点才能与 Amazon Web Services 进行通信。如果使用防火墙或路由器来筛选或限制网络流量,则必须配置防火墙和路由器以允许这些服务端点与 AWS 进行出站通信。不支持在 Backup Gateway 和服务点之间使用 HTTP 代理。
proxy-app.backup-gateway.region.amazonaws.com:443 dp-1.backup-gateway.region.amazonaws.com:443 anon-cp.backup-gateway.region.amazonaws.com:443 client-cp.backup-gateway.region.amazonaws.com:443
在 VMware 中为多个 NIC 配置网关
您可以将多个虚拟网络接口连接 (NIC) 连接到网关,然后分别定向内部流量(网关到管理程序)和外部流量(网关到 AWS),从而为内部和外部流量维护单独的网络。
默认情况下,连接到 AWS Backup 网关的虚拟机有一个网络适配器 (eth0)。该网络包括虚拟机监控程序、虚拟机以及与广泛的互联网通信的网络网关(Backup Gateway)。
下面是一个具有多个虚拟网络接口的设置示例:
eth0: - IP: 10.0.3.83 - routes: 10.0.3.0/24 eth1: - IP: 10.0.0.241 - routes: 10.0.0.0/24 - default gateway: 10.0.0.1
在此示例中,如果连接到 IP 为
10.0.3.123的管理程序,网关将使用eth0,因为管理程序 IP 是10.0.3.0/24块的一部分要连接到 IP 为
10.0.0.234的管理程序,网关将使用eth1要连接到本地网络之外的 IP(例如
34.193.121.211),网关将回退到默认网关10.0.0.1,该网关位于10.0.0.0/24块中,因此通过eth1
添加其他网络适配器的第一个步骤序列发生在 vSphere 客户端中:
在 VMware vSphere 客户端中,打开网关虚拟机的上下文菜单(通过右键单击),然后选择编辑设置。
在虚拟机属性对话框的虚拟硬件选项卡上,打开添加新设备菜单,然后选择网络适配器来添加新的网络适配器。
-
展开新建网络详细信息以配置新适配器。
确保选中开机时连接。
有关适配器类型,请参阅 ESXi 和 vCenter Server 文档
中的“网络适配器类型”。
单击确定保存新网络适配器设置。
配置其他适配器的下一个步骤序列发生在 AWS Backup 网关控制台中(请注意,它与管理备份和其他服务的 AWS 管理控制台的界面不同)。
将新 NIC 添加到网关虚拟机中后,您需要
转到
Command Prompt并打开新适配器为每个新 NIC 配置静态 IP
将首选 NIC 设置为默认值
为此,请执行以下操作:
在 VMware vSphere 客户端中,选择网关虚拟机并启动 Web 控制台以访问 Backup Gateway 本地控制台。
有关访问本地控制台的更多信息,请参阅使用 VMware ESXi 访问网关本地控制台
退出命令提示符并转到“网络配置”>“配置静态 IP”,然后按照设置说明更新路由表。
在网络适配器的子网内分配静态 IP。
设置网络掩码。
输入默认网关的 IP 地址。这是连接到本地网络之外的所有流量的网络网关。
选择设置默认适配器,指定将作为默认设备连接到云的适配器。
网关的所有 IP 地址都会显示在本地控制台中,以及 VMware vSphere 的虚拟机摘要页面中。
硬件要求
您必须能够在虚拟机主机上为 Backup Gateway 提供以下最低限度的资源:
-
4 个虚拟处理器
-
8 GB 预留 RAM
-
80 GB 磁盘空间
VMware 权限
本节列出了使用 AWS Backup gateway 所需的最低 VMware 权限。这些权限是 Backup Gateway 发现、备份和还原虚拟机所必需的权限。
要将 Backup Gateway 与 VMware Cloud™ on AWS 或 VMware Cloud™ on AWS Outposts 结合使用,必须使用默认管理员用户 cloudadmin@vmc.local 或将 CloudAdmin 角色分配给您的专用用户。
要将 Backup Gateway 与 VMware 本地虚拟机结合使用,请创建一个具有下列权限的专用用户。
全局
-
禁用方法
-
启用方法
-
许可证
-
日志事件
-
管理自定义属性
-
设置自定义属性
vSphere 标记
-
分配或取消分配 vSphere 标签
数据存储
-
分配空间
-
浏览数据存储
-
配置数据存储(适用于 vSAN 数据存储)
-
低级文件操作
-
更新虚拟机文件
Host
-
配置
-
高级设置
-
存储分区配置
-
文件夹
-
创建文件夹
网络
-
分配网络
dvPortGroup
-
创建
-
删除
资源
-
将虚拟机分配到资源池
虚拟机
-
更改配置
-
获取磁盘租约
-
添加现有磁盘
-
添加新磁盘
-
高级配置
-
更改设置
-
配置原始设备。
-
修改设备设置
-
删除磁盘
-
设置注释
-
切换磁盘变更跟踪
-
-
编辑清单
-
从现有创建
-
新建
-
注册
-
删除
-
取消注册
-
-
交互
-
关闭
-
打开
-
-
预置
-
允许访问磁盘
-
允许只读访问磁盘
-
允许虚拟机下载
-
-
快照管理
-
创建快照
-
删除快照
-
恢复为快照
-
