本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 对您的环境进行维护
本节介绍如何为您的 Amazon EVS 环境执行常见维护任务。
**Topics**
+ [监控环境的状态和资源](evs-env-status-check.md)
+ [AMI 维护](evs-env-ami-maintenance.md)
+ [亚马逊 EVS 主机维护](evs-host-maintenance.md)
+ [为 Amazon EVS 子网配置自定义路由表](evs-env-config-custom-rt.md)
+ [配置网络访问控制列表以控制 Amazon EVS VLAN 子网流量](evs-env-nacl-cong.md)
+ [密钥管理生命周期](evs-env-secret-rotation.md)
# 监控环境的状态和资源
您可以使用 Amazon EVS 控制台或监控您的 Amazon EVS 环境和底层 AWS 资源的各个方面。 AWS CLI
**注意**
VMware 云基础 (VCF) 组件在 SDDC 管理器中进行监控。您无法使用 Amazon EVS 控制台或监控 VCF 组件。 AWS CLI有关使用 SDDC 管理器监控 Cloud F VMware oundation (VCF) 组件的信息,请参阅 [SDDC 管理器入门](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/getting-started-with-sddc-manager-admin.html)。
## 查看环境状态和资源
环境状态可帮助您确定您的环境是否遇到需要注意的问题。按照此过程检查环境的状态并查看底层资源。
**Example**
1. 打开 [Amazon EVS 控制台。](https://console.aws.amazon.com/evs)
1. 在导航窗格中,选择**环境**。
1. 选择您的环境 ID 以打开环境详细信息页面。
1. 在 “**详细信息**” 下,查看**环境状态**。
如果您的环境正常,则状态将显示为 “**已通过**”。如果存在问题,则状态将显示为 “**失败**”。当状态为 Fail **e** d 时,您可以查看弹出窗口,其中显示了四项环境状态检查的结果:
+ **密钥重复使用**-显示 “**已通过**” 或 “**失败**”,以指示 VCF 许可证密钥是否有效。
+ **主机计数**-显示 “**未知**”、“**已通过**” 或 “**失败**” 以指示主机连接状态。
+ **密钥覆盖率**-显示 “**已通过**” 或 “**失败**”,以指示 VCF 许可证密钥是否涵盖所有主机。
+ **可接通性**-显示 “**通过**” 或 “**失败**” 以指示 SDDC 管理器的可访问性。
有关对环境状态检查失败进行故障排除的信息,请参阅[问题排查](troubleshooting.md)。
**查看您环境中的资源**
选择以下选项卡之一:
+ **主机**-显示您环境中的主机。
+ **网络和连接-显示与**您的环境关联的 VPC、EVS 子网和 VPC 路由服务器资源。
+ **管理设备**-显示您环境中的 VCF 管理设备及其的 DNS 主机名和相关凭据。
+ **标签**-显示与您的环境关联的标签。
您可以使用 AWS CLI 来检查您的环境状态和资源。
**列出所有环境及其状态**
```
aws evs list-environments
```
使用`--query`参数筛选输出。例如:
```
aws evs list-environments --query 'Environments[*].[EnvironmentId,Status]'
```
**列出环境主机**
```
aws evs list-environment-hosts \
--environment-id environment-id
```
**列出环境 VLANs**
```
aws evs list-environment-vlans \
--environment-id environment-id
```
有关 API 操作的更多信息,请参阅 *Amazon EVS API 参考指南*中的以下内容:
+ [ListEnvironments](https://docs.aws.amazon.com/evs/latest/APIReference/API_ListEnvironments.html)
+ [ListEnvironmentHosts](https://docs.aws.amazon.com/evs/latest/APIReference/API_ListEnvironmentHosts.html)
+ [ListEnvironmentVlans](https://docs.aws.amazon.com/evs/latest/APIReference/API_ListEnvironmentVlans.html)
# AMI 维护
Amazon EVS 使用自定义 EVS Amazon 系统映像 (AMI) 部署 ESX 主机。AMI 包含一个自定义供应商插件,其中包含在亚马逊 EC2上运行 ESX 所需的软件包。
## 解决由于集群映像不兼容而导致的添加主机失败的问题
向环境中添加主机时,该主机将安装最新版本的 EVS 自定义供应商插件。如果您的环境使用带有较旧附加版本的主机,则添加新主机会失败,并显示新主机与您的集群映像不兼容的错误。有关修复此问题的详细步骤,请参阅[添加由于集群映像不兼容而导致的主机故障](troubleshooting.md#troubleshoot-cluster-image)。
# 亚马逊 EVS 主机维护
由于 Amazon EVS 是一项自我管理服务,因此您负责维护在主机上运行的 C VMware loud Foundation (VCF) 软件、监控主机运行状况和修复主机问题,包括在主机出现故障时更换主机。有关在 Cloud F VMware oundation (VCF) 中管理 ESX 主机的更多信息,请参阅 Cloud F VMware oundation 文档中的[主机管理](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/host-management-admin.html)。
## 检查底层 EC2 实例的运行状况
Ama EC2 zon 会自动检查每个正在运行的 EC2 实例,以识别硬件和软件问题。您可以在 EC2 控制台中查看这些状态检查的结果,也可以确定可检测 AWS CLI 到的具体问题。有关更多信息,请参阅《[亚马逊* EC2 用户指南》和《* AWS CLI 命令行参考*》[describe-instance-status](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-status.html)中的 “查看亚马逊 EC2 *实例的状态检查](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_status.html)”。
您可以创建 CloudWatch 警报,以便在特定实例的状态检查失败时向您发出警报。有关更多信息,请参阅《[亚马逊* EC2 用户指南》中的为状态检查失败的亚马逊 EC2 *实例创建 CloudWatch 警报](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating_status_check_alarms.html)。
## 关于 EC2 实例的 AWS 定期维护
AWS 对底层 EC2 实例执行定期维护,以确保可靠性、可用性和性能。 EC2 裸机实例与其他 EC2 实例一样受到相同类型的计划事件的影响。 AWS 由于底层硬件问题或定期维护,可以安排事件以重启、停止和停用您的实例。这些事件不会频繁发生。有关更多信息,请参阅 *Amazon EC2 用户指南*中的[计划事件类型](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-instances-status-check_sched.html#types-of-scheduled-events)。
**注意**
在发生任何预定重启事件之前,应在 vSphere Client 中将主机置于维护模式。
如果您的一个实例将受到计划事件的影响,请使用与您的 AWS 账户关联的电子邮件地址提前通过电子邮件 AWS 通知您。 AWS 还会发送一个 AWS Health 事件,您可以使用 Amazon 对其进行监控和管理 EventBridge。有关更多信息,请参阅亚马逊* EC2 用户指南[中的使用 Amazon 监控 He AWS al](https://docs.aws.amazon.com/health/latest/ug/cloudwatch-events-health.html) th 中的事件 EventBridge和亚马逊 EC2 *[实例的计划事件](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/monitoring-instances-status-check_sched.html)。
您可以随时重新安排活动,使其在适合您的特定日期和时间举行。可以将事件重新计划到事件截止日期之前的日期。有关更多信息,请参阅 A *mazon EC2 用户*指南中的[重新安排 EC2 实例的预定事件](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/reschedule-event.html)。
## 使用 EC2 按需容量预留
您可以使用 EC2 按需容量预留来确保您的集群在维护期间有足够的容量。您可以在特定可用区域中预留任意持续时间的容量。有关更多信息,请参阅 *Amazon EC2 用户指南*中的[使用 EC2 按需容量预留来预留计算](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-capacity-reservations.html)容量。
有关创建容量预留的步骤,请参阅 *Amazon EC2 用户指南*中的[创建容量预留](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservations-create.html)。
**注意**
如果您使用 EC2 按需容量预留或 EC2 专用主机,我们建议您为任务关键型工作负载保留一台备用主机。虽然容量预留可确保您访问给定可用区域中特定数量的 EC2 实例容量,但拥有备用主机可以提供额外的冗余层,这对于任务关键型工作负载至关重要。对于专用主机,即使主主机需要维护或遇到问题,备用主机也能确保您维护任务关键型工作负载的环境。
## 为 AWS 日程安排`system-maintenance`和`instance-retirement`活动做准备
AWS 安排两种类型`system-maintenance`的事件:网络维护和电源维护。
+ 在网络维护期间,计划的实例会在短时间内失去网络连接。在维护完成后,将恢复与实例的正常网络连接。
+ 在电源维护期间,计划的实例将短时间脱机,然后重启。在 EC2 裸机实例上执行重启时,不会保留实例存储卷数据。
AWS 在检测到托管您的 EC2 实例的底层硬件性能下降时安排 EC2 `instance-retirement`事件。
要修复`system-maintenance`和`instance-retirement`事件,请在维护事件发生之前使用 Amazon EVS 控制台或 AWS CLI 和 SDDC Manager 将故障主机替换为新主机。如果您等待维护事件发生并且需要重启 EC2 实例,则存储在实例存储卷上的 vSAN 数据将丢失。有关详细步骤,请参阅[更换 Amazon EVS 主机](#evs-replace-host)。
**重要**
EC2 控制台不应用于管理您的 Amazon EVS 主机的状态,包括停止、启动和终止。请勿尝试启动、停止或终止 Amazon EVS 部署的 EC2 实例。此操作会导致 vSAN 数据丢失。
### 更换 Amazon EVS 主机
按照以下步骤更换 Amazon EVS 主机。
**警告**
Amazon EVS 主机使用自定义供应商插件来提供重要的主机功能。当您在环境中添加主机时,该主机将具有最新版本的 Amazon EVS 定制插件。如果您的环境使用带有较旧插件版本的主机,则向 vSphere 集群添加主机将导致集群映像修复失败。有关解决此问题的步骤,请参阅[解决由于集群映像不兼容而导致的添加主机失败的问题](evs-env-ami-maintenance.md#troubleshoot-add-host-failure-cluster-image)。
**警告**
如果您在部署后更新了 ESX 版本,则在 “委托主机” 步骤中验证 VCF 主机期间,SDDC 管理器可能会失败。有关解决此问题的步骤,请参阅[SDDC 管理器在主机调试期间无法验证 VCF 主机](troubleshooting.md#troubleshoot-sddc-failure-host-commission)。
**注意**
确保正确设置每个 EVS 环境配额的 Amazon EVS 主机数量,以确保成功创建主机。如果此配额值小于您尝试在单个 Amazon EVS 环境中预置的主机数量,则主机创建失败。对于需要更换主机的维护操作,您可能需要申请增加配额。有关更多信息,请参阅 [亚马逊 EVS 服务配额](service-quotas-evs.md)。
**Example**
1. 前往 [Amazon EVS 控制台。](https://console.aws.amazon.com/evs)
1. 在导航窗格中,选择**环境**。
1. 选择包含要替换的主机的环境。
1. 选择 “**主机**” 选项卡。
1. 选择 **Create host (创建主机)**。
1. 指定主机详细信息并选择**创建主机**。
1. 要验证是否完成,请检查**主机状态**是否已更改为 “已**创建**”。
1. 从 Secrets Manager 中检索 ESX 根密码的 AWS 凭证。有关检索密钥的更多信息,请参阅 Secrets Manager *用户指南中的[从 S AWS ecrets Manager 获取](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html) AWS 密钥*。
1. 前往 SDDC 管理器。
1. 使用您在上一步中检索到的 ESX 根证书,在 SDDC 管理器中调试新主机。有关更多信息,请参阅 VMware Cloud Foundation 文档中的[佣金主持人](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/host-management-admin/commission-hosts-admin.html)。
1. 将新主机添加到集群。有关更多信息,请参阅《vSphere》[文档中的如何使用快速入门工作流程将 ESX 主机添加到 vSphere 集群](https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/8-0/use-quickstart-to-add---host-to-a-cluster.html)。
1. 在 SDDC 管理器中停用要从 SDDC 管理器中移除的旧主机。有关更多信息,请参阅 VMware Cloud Fou [ndation 文档中的停用主机](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/host-management-admin/decommission-hosts-admin.html)。
1. 返回亚马逊 EVS 控制台。
1. 在**主机**选项卡下,选择故障主机,然后选择**删除** > **删除主机**。
1. 打开一个新的终端会话。
1. 创建新主机。参见下面的示例命令以供参考。
```
aws evs create-environment-host \
--environment-id "env-abcde12345" \
--host '{ \
"hostName": "esxi-host-05", \
"keyName": "your-ec2-keypair-name", \
"instanceType": "i4i.metal" \
"esxVersion": "ESXi-8.0U3g-24859861"\
}'
```
1. 从 Secrets Manager 中检索 ESX 根密码的 AWS 凭证。有关检索密钥的更多信息,请参阅 Secrets Manager *用户指南中的[从 S AWS ecrets Manager 获取](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html) AWS 密钥*。
1. 前往 SDDC 管理器。
1. 使用您在上一步中检索到的 ESX 根证书,在 SDDC 管理器中调试新主机。有关更多信息,请参阅 VMware Cloud Foundation 文档中的[佣金主持人](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/host-management-admin/commission-hosts-admin.html)。
1. 将新主机添加到包含受损主机的群集中。
1. 在 SDDC 管理器中停用受损主机。有关更多信息,请参阅 VMware Cloud Fou [ndation 文档中的停用主机](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/host-management-admin/decommission-hosts-admin.html)。
1. 返回航站楼。
1. 删除故障主机。参见下面的示例命令以供参考。
```
aws evs delete-environment-host --environment-id "env-abcde12345" --host-name "esxi-host-05"
```
### 问题排查
有关故障排除指导,请参阅[问题排查](troubleshooting.md)。如果您在查看故障排除指南后仍然遇到问题,请联系 Supp AWS ort 寻求进一步帮助。
# 为 Amazon EVS 子网配置自定义路由表
只有在创建 Amazon EVS 环境之后,Amazon EVS 才支持使用自定义路由表。要成功创建环境,必须将主路由表配置为允许流向依赖服务(例如 DNS 和本地系统)的流量。这是因为在环境部署期间,Amazon EVS VLAN 子网隐式关联到我们 VPC 的主路由表。
部署环境后,您必须将每个 Amazon EVS VLAN 子网与您的 VPC 中的路由表明确关联。如果您的 VLAN 子网未与 VPC 路由表明确关联,NSX 连接就会失败。我们强烈建议您将子网与自定义路由表明确关联。自定义路由表可以更精细地控制您的 VPC 内的网络流量路由,从而允许为特定的子网或网关量身定制路由规则。有关创建自定义路由表的更多信息,请参阅 *Amazon VPC 用户指南中的为您的 VPC* [创建路由表](https://docs.aws.amazon.com/pc/latest/userguide/create-vpc-route-table.html)。
# 配置网络访问控制列表以控制 Amazon EVS VLAN 子网流量
网络访问控制列表 (ACL) 在子网级别允许或拒绝特定的入站或出站流量。您可以使用网络 ACLs 来控制 Amazon EVS VLAN 子网的入站和出站流量。有关更多信息,请参阅 *Amazon VPC 用户指南中的为您的 VPC* [创建网络 ACL](https://docs.aws.amazon.com/vpc/latest/userguide/create-network-acl.html)。
**重要**
EC2 安全组在连接到 Amazon EVS VLAN 子网的弹性网络接口上不起作用。要控制进出 Amazon EVS VLAN 子网的流量,您必须使用网络访问控制列表。
**警告**
Amazon EVS 需要访问您的 VCF 部署。您必须配置您的安全组和网络访问控制列表 (ACLs),以允许 Amazon EVS 与以下人员通信:
TCP/UDP 端口 53 上的 DNS 服务器。
通过 HTTPS 和 SSH 进行主机管理 VLAN 子网。
通过 HTTPS 和 SSH 管理虚拟机 VLAN 子网。
如果您的安全组和网络 ACLs 不允许这种访问,Amazon EVS 环境部署将失败,现有环境的合规状态可能会降低。
# 密钥管理生命周期
在初始环境部署时,Amazon EVS 使用 S AWS ecrets Manager 在您的账户中创建、加密和存储密钥。这些密钥包含安装和访问 vCenter Server、NSX 和 SDDC Manager 等 VCF 管理设备所需的 VCF 凭据以及 ESX 主机的根密码。删除 EVS 环境后,Amazon EVS 还会代表您删除托管密钥。
您负责秘密生命周期管理,包括密钥轮换。Amazon EVS 不提供密钥的托管式轮换。我们建议您在设定的轮换窗口中定期轮换密钥,以确保密钥不会持续很长时间。有关更多信息,请参阅 S * AWS ecrets Manager 用户指南*中的[轮换计划](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_schedule.html)。