使用 HCX 将工作负载迁移到 Amazon EVS VMware - 亚马逊弹性 VMware 服务
HCX 连接选项HCX 私有连接架构HCX 互联网连接架构HCX 迁移设置

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 HCX 将工作负载迁移到 Amazon EVS VMware

部署 Amazon EVS 后,您可以通过私有或公共互联网连接部署 VMware HCX,以便于将工作负载迁移到 Amazon EVS。有关更多信息,请参阅 HC VMware X 用户指南中的 VMware HCX 入门

重要

通常不建议在以下情况下进行基于 HCX 互联网的迁移:

  • 对网络抖动或延迟敏感的应用程序。

  • 时间紧迫的 vMotion 操作。

  • 具有严格性能要求的大规模迁移。

对于这些场景,我们建议使用 HCX 私有连接。与基于互联网的连接相比,私有专用连接可提供更可靠的性能。

HCX 连接选项

您可以使用带有 Di AWS rect Connect 或 Site-to-Site VPN 连接的私有连接,或者使用公共连接,将工作负载迁移到 Amazon EVS。

根据您的情况和连接选项,您可能更喜欢在 HCX 上使用公共或私有连接。例如,某些站点可能具有私有连接,性能一致性更高,但由于 VPN 加密或链路速度有限,吞吐量会降低。同样,您可能拥有高吞吐量的公共互联网连接,其性能差异更大。借助 Amazon EVS,您可以选择使用最适合自己的连接选项。

下表比较了 HCX 私有连接和公有连接之间的区别。

私有连接 公共连接

概述

概述

仅使用 VPC 内的私有连接。您可以选择将 Di AWS rect Connect 或 Site-to-Site VPN 与传输网关一起使用,以实现外部网络连接。

使用带有弹性 IP 地址的公共互联网连接,无需专用的私有连接即可进行迁移。

最适合

最适合

  • 对时间敏感的 vMotion 操作。

  • 大规模迁移。

  • 对延迟/抖动敏感的应用程序。

  • 大容量数据传输。

  • 已有 AWS 直接连接/VPN AWS Site-to-Site 的组织。

  • 没有 AWS 直接连接/VPN AWS Site-to-Site 的地点。

  • 成本敏感型项目。

主要优势

主要优势

  • 一致的低延迟连接。

  • 专用带宽分配。

  • 更可靠的网络性能。

  • 可以为私有环境禁用默认 HCX 加密以优化性能。

  • 无需管理公有 IP。

  • 设置速度比私有连接更快。

  • 对于较小的迁移来说,成本效益高。

重要注意事项

重要注意事项

  • 更复杂的初始设置。

  • 更高的前期基础架构成本。

  • 更长的实施时间表。

  • 任何 HCX 组件都没有直接的互联网连接。

  • 网络性能变化更大。

  • 可能存在带宽限制。

  • 延迟高于私有连接。

  • 每个组件都需要一个从公共 IPAM 池中分配的专用弹性 IP 地址。

  • EIP 关联可为每个 HCX 组件提供直接的互联网连接。

HCX 私有连接架构

HCX 私有连接解决方案集成了多个组件:

  • 亚马逊 EVS 网络组件

    • 仅使用专用 VLAN 子网进行安全通信,包括专用 HCX VLAN。

    • 支持网络 ACLs 进行流量控制。

    • 支持通过私有 VPC 路由服务器对路由进行动态 BGP 传播。

  • AWS 用于本地连接的托管网络传输选项

    • AWS Direct Connect + Tr AWS ansit Gateway 使您能够通过私有专用连接将本地网络连接到亚马逊 EVS。有关更多信息,请参阅 AWS Direct Connect + T AWS ransit Gateway

    • AWS Site-to-Site VPN + T AWS ransit Gateway 提供了通过互联网在远程网络和传输网关之间创建 IPsec VPN 连接的选项。有关更多信息,请参阅 T AWS ransit Gateway + AWS Site-to-Site VPN

注意

Amazon EVS 不支持通过 Di AWS rect Connect 私有虚拟接口 (VIF) 或直接终止到底层 VPC 的 AWS Site-to-Site VPN 连接进行连接。

下图说明了 HCX 私有连接架构,显示了如何将 Di AWS rect Connect 和 Site-to-Site VPN 与传输网关配合使用,通过私有专用连接实现安全的工作负载迁移。

HCX 私有连接架构

HCX 互联网连接架构

HCX 互联网连接解决方案由几个协同工作的组件组成:

  • 亚马逊 EVS 网络组件

    • 使用隔离的公有 HCX VLAN 子网在 Amazon EVS 和您的本地 HCX 设备之间实现互联网连接。

    • 支持网络 ACLs 进行流量控制。

    • 支持通过公共 VPC 路由服务器对路由进行动态 BGP 传播。

  • IPAM 和公共知识产权管理

    • 亚马逊 VPC IP 地址管理器 (IPAM) 管理亚马逊拥有的公有 IPAM 池中的公共 IPv4 地址分配。

    • 辅助 VPC CIDR 块 (/28) 从 IPAM 池中分配,从而创建一个与主 VPC CIDR 分开的隔离公有子网。

有关更多信息,请参阅 配置 HCX 公共互联网连接

下图说明了 HCX 互联网连接架构。

HCX 互联网连接架构

HCX 迁移设置

本教程介绍如何配置 VMware HCX 以将您的工作负载迁移到 Amazon EVS。

先决条件

在将 VMware HCX 与 Amazon EVS 配合使用之前,请确保已满足 HCX 先决条件。有关更多信息,请参阅 VMware HCX 先决条件

重要

Amazon EVS 对 HCX 公共互联网连接有独特的要求。

如果您需要 HCX 公共连接,则必须满足以下要求:

  • 使用 CIDR 创建一个 IPAM 和一个最小 IPv4 网络掩码长度为 /28 的公共 IPAM 池。

  • 从 IPAM 池中为 HCX Manager 和 HCX Interconnect (HCX-IXEIPs) 设备分配至少两个弹性 IP 地址 ()。为需要部署的每台 HCX 网络设备分配额外的弹性 IP 地址。

  • 将公有 IPv4 CIDR 块作为其他 CIDR 添加到您的 VPC。

有关更多信息,请参阅 HCX 互联网连接设置

检查 HCX VLAN 子网的状态

作为标准 Amazon EVS 部署的一部分,将为 HCX 创建一个 VLAN。按照以下步骤检查 HCX VLAN 子网的配置是否正确。

Amazon EVS console

  1. 前往 Amazon EVS 控制台。

  2. 在导航窗格中,选择环境

  3. 选择 Amazon EVS 环境。

  4. 选择 “网络和连接” 选项卡。

  5. 在下方 VLANs,识别 HCX VLAN 并检查状态是否为 “已创建”,“用” 是否为

AWS CLI

  1. 使用您的环境的环境 ID 和包含您的资源的区域名称运行以下命令。

    aws evs list-environment-vlans  --region <region-name> --environment-id env-abcde12345

  2. 在响应输出中,标识为functionNamevlanState的 VLAN,hcxCREATED并检查是否设置isPublictrue。以下为示例响应。

    {
    "environmentVlans": [{
            "vlanId": 50,
            "cidr": "10.10.4.0/24",
            "availabilityZone": "us-east-2b",
            "functionName": "vTep",
            "subnetId": "subnet-0ce640ac79e7f4dbc",
            "createdAt": "2025-09-09T12:09:37.526000-07:00",
            "modifiedAt": "2025-09-09T12:35:00.596000-07:00",
            "vlanState": "CREATED",
            "stateDetails": "VLAN successfully created",
            "eipAssociations": [],
            "isPublic": false
        },
        {
            "vlanId": 80,
            "cidr": "18.97.141.240/28",
            "availabilityZone": "us-east-2b",
            "functionName": "hcx",
            "subnetId": "subnet-0f080c94782cc74b4",
            "createdAt": "2025-09-09T12:09:37.675000-07:00",
            "modifiedAt": "2025-09-09T12:35:00.359000-07:00",
            "vlanState": "CREATED",
            "stateDetails": "VLAN successfully created",
            "eipAssociations": [{
                    "assocationId": "eipassoc-0be981accbbdf443a",
                    "allocationId": "eipalloc-0cef80396f4a0cc24",
                    "ipAddress": "18.97.141.245"
                },
                {
                    "assocationId": "eipassoc-0d5572f66b7952e9d",
                    "allocationId": "eipalloc-003fc9807d35d1ad3",
                    "ipAddress": "18.97.141.244"
                }
            ],
            "isPublic": true
        }
    ]
}

检查 HCX VLAN 子网是否与网络 ACL 关联

按照以下步骤检查 HCX VLAN 子网是否与网络 ACL 关联。有关网络 ACL 关联的更多信息,请参阅创建网络 ACL 来控制 Amazon EVS VLAN 子网流量

重要

如果您通过互联网连接,则将弹性 IP 地址与 VLAN 关联可直接访问该 VLAN 上的所有资源。确保您配置了适当的网络访问控制列表,以根据您的安全要求限制访问。

重要

EC2 安全组在连接到 Amazon EVS VLAN 子网的弹性网络接口上不起作用。要控制进出 Amazon EVS VLAN 子网的流量,您必须使用网络访问控制列表 (ACL)。

Amazon VPC console

  1. 转到 Amazon VPC 控制台。

  2. 在导航窗格中,选择 “网络” ACLs。

  3. 选择与您的 VLAN 子网关联的网络 ACL。

  4. 选择子网关联选项卡。

  5. 检查 HCX VLAN 子网是否列在关联的子网中。

AWS CLI

  1. 使用Values过滤器中的 HCX VLAN 子网 ID 运行以下命令。

    aws ec2 describe-network-acls --filters "Name=subnet-id,Values=subnet-abcdefg9876543210"

  2. 检查响应中是否返回了正确的网络 ACL。

检查 EVS VLAN 子网是否与路由表显式关联

Amazon EVS 要求所有 EVS VLAN 子网都必须与您的 VPC 中的路由表显式关联。对于 HCX 互联网连接,您的 HCX 公有 VLAN 子网必须与您的 VPC 中路由到互联网网关的公共路由表显式关联。按照以下步骤检查显式路由表关联。

Amazon VPC console

  1. 前往 VPC 控制台

  2. 在导航窗格中,选择 Route tables(路由表)。

  3. 选择您的 EVS VLAN 子网应与之明确关联的路由表。

  4. 选择子网关联选项卡。

  5. 在 “显式子网关联” 下,检查是否列出了所有 EVS VLAN 子网。如果此处未列出 VLAN 子网,则该 VLAN 子网与主路由表隐式关联。要让 Amazon EVS 正常运行,您必须将所有 VLAN 子网与路由表明确关联。对于 HCX 公有 VLAN 子网,必须有一个以互联网网关为目标的关联公共路由表。要解决此问题,请选择编辑子网关联并添加缺少的 VLAN 子网。

AWS CLI

  1. 打开终端会话。

  2. 运行以下示例命令以检索所有 EVS VLAN 子网的详细信息,包括路由表关联。如果此处未列出 VLAN 子网,则该 VLAN 子网与主路由表隐式关联。要让 Amazon EVS 正常运行,您必须将所有 VLAN 子网与路由表明确关联。对于 HCX 公有 VLAN 子网,必须有一个以互联网网关为目标的关联公共路由表。

    aws ec2 describe-subnets

  3. 显式关联您的 EVS VLAN 子网与您的 VPC 中的路由表。以下是一个命令示例。

    aws ec2 associate-route-table \
--route-table-id rtb-0123456789abcdef0 \
--subnet-id subnet-01234a1b2cde1234f

(对于 HCX 互联网连接)检查 EIPs 是否与 HCX VLAN 子网相关联

对于您部署的每个 HCX 网络设备,您都必须拥有一个来自 IPAM 池的 EIP,与 HCX 公有 VLAN 子网相关联。您需要将至少两个 EIPs 与 HCX Manager 和 HCX Interconnect (HCX-IX) 设备的 HCX 公有 VLAN 子网关联。按照以下步骤检查是否存在必要的 EIP 关联。

重要

如果您没有将 IPAM 池中的至少两个 EIPs 与 HCX 公有 VLAN 子网关联,HCX 公共互联网连接就会失败。

注意

您不能将公有 IPAM CIDR 块中的前两个 EIPs 或最后一个 EIP 与 VLAN 子网关联。 EIPs 这些地址保留为网络地址、默认网关地址和广播地址。如果您尝试将其与 VLAN 子网关联,Amazon EVS 会引 EIPs 发验证错误。

Amazon EVS console

  1. 前往 Amazon EVS 控制台。

  2. 在导航菜单上,选择环境

  3. 选择环境。

  4. 在 “网络和连接” 选项卡下,选择 HCX 公共 VLAN。

  5. 检查 EIP 关联选项卡,确认 EIPs 已与 HCX 公共 VLAN 关联。

AWS CLI

  1. 要检查 EIPs 哪些与 HCX VLAN 子网关联,请使用list-environment-vlans命令。对于environment-id,请使用包含 HCX VLAN 的 EVS 环境的唯一 ID。

    aws evs list-environment-vlans \
  --environment-id "env-605uove256" \

    该命令会返回有关您的详细信息 VLANs,包括 EIP 关联:

    {
  "environmentVlans": [
    {
      "vlanId": 80,
      "cidr": "18.97.137.0/28",
      "availabilityZone": "us-east-2c",
      "functionName": "hcx",
      "subnetId": "subnet-02f9a4ee9e1208cfc",
      "createdAt": "2025-08-26T22:15:00.200000+00:00",
      "modifiedAt": "2025-08-26T22:20:28.155000+00:00",
      "vlanState": "CREATED",
      "stateDetails": "VLAN successfully created",
      "eipAssociations": [
        {
          "associationId": "eipassoc-09876543210abcdef",
          "allocationId": "eipalloc-0123456789abcdef0",
          "ipAddress": "18.97.137.3"
        },
        {
          "associationId": "eipassoc-12345678901abcdef",
          "allocationId": "eipalloc-1234567890abcdef1",
          "ipAddress": "18.97.137.4"
        },
        {
          "associationId": "eipassoc-23456789012abcdef",
          "allocationId": "eipalloc-2345678901abcdef2",
          "ipAddress": "18.97.137.5"
        }
      ],
      "isPublic": true,
      "networkAclId": "acl-0123456789abcdef0"
    },
    ...
  ]
}

    eipAssociations数组显示 EIP 关联,包括:

    • associationId-此 EIP 关联的唯一 ID。

    • allocationId-关联弹性 IP 地址的分配 ID。

    • ipAddress-分配给 VLAN 的 IP 地址。

使用 HCX 公共上行链路 VLAN ID 创建分布式端口组

转到 vSphere Client 界面,按照添加分布式端口组中的步骤将分布式端口组添加到 vSphere 分布式交换机。

在 vSphere Client 界面中配置故障恢复时,请确保 uplink1 为活动上行链路,uplink2 为备用上行链路,以启用故障切换。 Active/Standby 对于 vSphere Client 界面中的 VLAN 设置,请输入您之前识别的 HCX VLAN ID。

(可选)设置 HCX 广域网优化

注意

HCX 4.11.3 中不再提供广域网优化功能。有关更多信息,请参阅 HCX 4.11.3 发行说明

HCX 广域网优化服务 (HCX-WO) 通过应用数据缩减和广域网路径调节等广域网优化技术,改善了专线或互联网路径的性能特征。对于无法使用专用 10Gbit 路径进行迁移的部署,建议使用 HCX 广域网优化服务。在 10Gbit 中,低延迟部署中,使用 WAN 优化可能无法提高迁移性能。有关更多信息,请参阅 VMware HCX 部署注意事项和最佳实践

HCX 广域网优化服务与 HCX 广域网互连服务设备 (HCX-IX) 一起部署。HCX-IX 负责企业环境和 Amazon EVS 环境之间的数据复制。

要将 HCX 广域网优化服务与 Amazon EVS 配合使用,您需要在 HCX VLAN 子网中使用分布式端口组。使用在前面的步骤中创建的分布式端口组。

(可选)启用 HCX 移动优化联网

HCX 移动优化网络 (MON) 是 HCX 网络扩展服务的一项功能。支持 MON 的网络扩展通过在 Amazon EVS 环境中启用选择性路由,改善已迁移虚拟机的流量。MON 允许您在扩展第 2 层网络时配置将工作负载流量迁移到 Amazon EVS 的最佳路径,从而避免通过源网关的漫长往返网络路径。此功能适用于所有 Amazon EVS 部署。有关更多信息,请参阅 VMware HCX 用户指南中的配置移动优化网络

重要

在启用 HCX MON 之前,请阅读以下 HCX 网络扩展的限制和不支持的配置。

网络扩展的限制和限制

移动优化网络拓扑的限制和限制

重要

在启用 HCX MON 之前,请确保在 NSX 接口中为目标网络 CIDR 配置了路由再分配。有关更多信息,请参阅 VMware NSX 文档中的配置 BGP 和路由重新分发

验证 HCX 连接

VMware HCX 包括可用于测试连接的内置诊断工具。有关更多信息,请参阅 VMware HCX 用户指南中的 VMware HCX 故障排除