设置 Amazon 弹性 VMware 服务 - 亚马逊弹性 VMware 服务
报名参加 AWS创建 IAM 用户创建 IAM 角色以向 IAM 用户委托 Amazon EVS 权限注册商 AWS 业、 AWS 企业入门计划或 AWS 企业支持计划检查 配额规划 VPC 网段大小创建带有子网的 VPC配置 VPC 主路由表配置您的 VPC 的 DHCP 选项集创建和配置 VPC 路由服务器基础架构为本地连接创建中转网关创建 Amazon EC2 容量预留设置 AWS CLI创建密 Amazon EC2 钥对为 VMware 云基础 (VCF) 做好环境准备获取 VCF 许可证密钥VMware HCX 先决条件

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 Amazon 弹性 VMware 服务

要使用 Amazon EVS,您需要配置其他 AWS 服务,并设置您的环境以满足 VMware 云基础 (VCF) 的要求。有关部署先决条件的摘要清单,请参阅Amazon EVS 部署先决条件清单

主题

报名参加 AWS

如果您没有 AWS 账户,请完成以下步骤来创建一个。

  1. 打开https://portal.aws.amazon.com/billing/注册。

  2. 按照屏幕上的说明操作。

创建 IAM 用户

  1. 选择根用户并输入您的 AWS 账户电子邮件地址,以账户所有者的身份登录 IAM 控制台。在下一页上,输入您的密码。

    注意

    强烈建议您遵守以下使用 Administrator IAM 用户的最佳实践,妥善保存根用户凭证。只在执行少数账户和服务管理任务时才作为根用户登录。

  2. 在导航窗格中,选择用户,然后选择创建用户

  3. 对于用户名,输入 Administrator

  4. 选中 AWS 管理控制台访问权限旁边的复选框。然后选择自定义密码,并在文本框中输入新密码。

  5. (可选)默认情况下, AWS 要求新用户在首次登录时创建新密码。您可以清除 User must create a new password at next sign-in(用户必须在下次登录时创建新密码)旁边的复选框以允许新用户在登录后重置其密码。

  6. 选择下一步: 权限

  7. 设置权限下,选择将用户添加到组

  8. 选择创建组

  9. Create group(创建组)对话框中,对于 Group name(组名称),输入 Administrators

  10. 选择 “筛选策略”,然后选择 man AWS aged-job 函数来筛选表格内容。

  11. 在策略列表中,选中对应的复选框AdministratorAccess。然后选择 Create group(创建组)。

    注意

    您必须先激活 IAM 用户和角色对账单的访问AdministratorAccess权限,然后才能使用这些权限访问 AWS 账单和成本管理控制台。为此,请按照“向账单控制台委派访问权限”教程第 1 步中的说明进行操作。

  12. 返回到组列表中,选中您的新组所对应的复选框。如有必要,选择 Refresh(刷新)以在列表中查看该组。

  13. 选择下一步: 标签

  14. (可选)通过以键值对的形式附加标签来向用户添加元数据。有关在 IAM 中使用标签的更多信息,请参阅《IAM 用户指南》中的标记 IAM 实体

  15. 选择 Next: Review(下一步:审核)以查看要添加到新用户的组成员资格的列表。如果您已准备好继续,请选择 Create user(创建用户)。

您可以使用相同的过程来创建更多群组和用户,并允许您的用户访问您的 AWS 账户资源。要了解如何使用限制用户对特定 AWS 资源的权限的策略,请参阅访问管理和示例策略

创建 IAM 角色以向 IAM 用户委托 Amazon EVS 权限

您可以使用角色来委托对 AWS 资源的访问权限。借助 IAM 角色,您可以在您的信任账户与其他可信账户之间建立 AWS 信任关系。信任账户拥有要访问的资源,可信账户包含需要访问资源的用户。

创建信任关系后,IAM 用户或来自可信账户的应用程序可以使用 AWS Security Token Service (AWS STS) AssumeRole API 操作。此操作提供临时安全证书,允许访问您账户中的 AWS 资源。有关更多信息,请参阅用户指南中的创建向 IAM 用户委派权限的 AWS Identity and Access Management 角色

按照以下步骤创建具有允许访问 Amazon EVS 操作的权限策略的 IAM 角色。

注意

Amazon EVS 不支持使用实例配置文件将 IAM 角色传递给 EC2 实例。

IAM console

  1. 前往 I AM 控制台

  2. 在左侧菜单中,选择政策

  3. 选择创建策略

  4. 在策略编辑器中,创建启用 Amazon EVS 操作的权限策略。有关策略示例,请参阅 创建和管理 Amazon EVS 环境。要查看所有可用的 Amazon EVS 操作、资源和条件密钥,请参阅服务授权参考中的操作

  5. 选择下一步

  6. 策略名称下,输入一个有意义的策略名称来标识此策略。

  7. 查看此策略中定义的权限。

  8. (可选)添加标签以帮助识别、组织或搜索此资源。

  9. 选择创建策略

  10. 在左侧菜单中,选择角色

  11. 选择创建角色

  12. 对于可信实体类型,选择 AWS 账户。

  13. 在 “是” 下 AWS 账户 ,指定您要执行 Amazon EVS 操作的账户,然后选择下一步

  14. 添加权限页面上,选择您之前创建的权限策略,然后选择下一步

  15. 在 “角色名称” 下,输入一个有意义的名称来标识此角色。

  16. 查看信任政策,并确保将正确的委托人列 AWS 账户 为委托人。

  17. (可选)添加标签以帮助识别、组织或搜索此资源。

  18. 选择创建角色

AWS CLI

  1. 将以下内容复制到信任策略 JSON 文件中。对于委托人 ARN,请将示例 AWS 账户 ID 和service-user名称替换为您自己的 AWS 账户 ID 和 IAM 用户名。

    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/service-user" 
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. 创建角色。evs-environment-role-trust-policy.json替换为您的信任策略文件名。

    aws iam create-role \
  --role-name myAmazonEVSEnvironmentRole \
  --assume-role-policy-document file://"evs-environment-role-trust-policy.json"

  3. 创建启用 Amazon EVS 操作的权限策略并将该策略附加到该角色。将 myAmazonEVSEnvironmentRole 替换为您的角色名称。有关策略示例,请参阅 创建和管理 Amazon EVS 环境。要查看所有可用的 Amazon EVS 操作、资源和条件密钥,请参阅服务授权参考中的操作

    aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEVSEnvironmentPolicy \
  --role-name myAmazonEVSEnvironmentRole

注册商 AWS 业、 AWS 企业入门计划或 AWS 企业支持计划

Amazon EVS 要求客户注册 AWS 商业、 AWS 企业入门计划或企业 AWS 支持计划,才能持续获得技术支持和架构指导。 AWS Business Support 是满足亚马逊 EVS 要求的最低 AWS 支持级别。如果您有业务关键型工作负载,我们建议您注册 Enterprise O AWS n-Ramp 或 Enterprise Su AWS pport 计划。有关更多信息,请参阅比较 Supp AWS ort 计划

重要

如果您未注册企业版、企业版入口计划或 AWS 企业 AWS 支持计划,Amazon EVS 环境创建将失败。 AWS

检查 配额

要启用 Amazon EVS 环境创建,请确保您的账户具有所需的最低账户级别配额。有关更多信息,请参阅 亚马逊 EVS 服务配额

重要

如果每个 EVS 环境配额值的主机数不低于 4,则创建 Amazon EVS 环境会失败。

规划 VPC 网段大小

创建 Amazon EVS 环境时,您需要指定 VPC 网段。创建环境后无法更改 VPC CIDR 块,并且需要预留足够的空间来容纳 Amazon EVS 在环境部署期间创建的所需的 EVS 子网和主机。因此,在部署之前,务必仔细规划 CIDR 块大小,同时考虑 Amazon EVS 要求和您未来的扩展需求。Amazon EVS 需要一个最小大小为 /22 网络掩码的 VPC CIDR 块,以便为所需的 EVS 子网和主机留出足够的空间。有关更多信息,请参阅 Amazon EVS 联网注意事项

重要

确保您的 VPC 子网和 Amazon EVS 为 VCF 设备创建的 VLAN 子网都有足够的 IP 地址空间。VPC CIDR 块的最小大小必须为 /22 网络掩码,以便为所需的 EVS 子网和主机留出足够的空间。

注意

Amazon EVS IPv6 目前不支持。

创建带有子网的 VPC

Amazon EVS 会将您的环境部署到您提供的 VPC 中。此 VPC 必须包含用于访问 Amazon EVS 服务的子网 (服务访问子网)。有关为 Amazon EVS 创建带有子网的 VPC 的步骤,请参阅。创建包含子网和路由表的 VPC

配置 VPC 主路由表

Amazon EVS VLAN 子网隐式关联到 VPC 主路由表。要启用与 DNS 或本地系统等依赖服务的连接以成功部署环境,您必须配置主路由表以允许流向这些系统。有关更多信息,请参阅 将 Amazon EVS VLAN 子网明确关联到 VPC 路由表

重要

只有在创建 Amazon EVS 环境之后,Amazon EVS 才支持使用自定义路由表。在创建 Amazon EVS 环境期间,不应使用自定义路由表,因为这可能会导致连接问题。

网关路由要求

根据您的连接要求为以下网关类型配置路由:

  • NAT 网关 (NGW)

    • 仅限出站互联网接入时可选。

    • 必须位于具有互联网网关访问权限的公有子网中。

    • 将来自私有子网和 EVS VLAN 子网的路由添加到 NAT 网关。

    • 有关更多信息,请参阅 A mazon VPC 用户指南中的使用 NAT 网关

  • 公交网关 (TGW)

最佳实践

  • 记录所有路由表配置。

  • 使用一致的命名约定。

  • 定期审核您的路由表。

  • 进行更改后测试连通性。

  • 备份路由表配置。

  • 监控路由的运行状况和传播。

有关使用路由表的更多信息,请参阅 Amazon VPC 用户指南中的配置路由表

配置您的 VPC 的 DHCP 选项集

重要

如果您不满足以下 Amazon EVS 要求,则您的环境部署将失败:

  • 在 DHCP 选项集中包括主 DNS 服务器 IP 地址和辅助 DNS 服务器 IP 地址。

  • 在部署中包括每个 VCF 管理设备和 Amazon EVS 主机的 A 记录的 DNS 正向查找区域。

  • 包括一个 DNS 反向查找区域,其中包含部署中每个 VCF 管理设备和 Amazon EVS 主机的 PTR 记录。

  • 配置 VPC 的主路由表,确保存在通往 DNS 服务器的路由。

  • 请确保您的域名注册有效且未过期,并且不存在重复的主机名或 IP 地址。

  • 配置您的安全组和网络访问控制列表 (ACLs),以允许 Amazon EVS 与以下人员通信:

    • TCP/UDP 端口 53 上的 DNS 服务器。

    • 通过 HTTPS 和 SSH 进行主机管理 VLAN 子网。

    • 通过 HTTPS 和 SSH 管理 VLAN 子网。

有关更多信息,请参阅 使用 VPC DHCP 选项集配置 DNS 和 NTP 服务器

创建和配置 VPC 路由服务器基础架构

Amazon EVS 使用亚马逊 VPC 路由服务器为您的 VPC 底层网络启用基于 BGP 的动态路由。您必须指定一个路由服务器,该服务器共享到服务访问子网中至少两个路由服务器端点的路由。在路由服务器对等体上配置的对等 ASN 必须匹配,并且对等 IP 地址必须是唯一的。

重要

如果您不满足 Amazon EVS 对 VPC 路由服务器配置的以下要求,则您的环境部署将失败:

  • 您必须在服务访问子网中配置至少两个路由服务器端点。

  • 为 Tier-0 网关配置边界网关协议 (BGP) 时,VPC 路由服务器对等 ASN 值必须与 NSX Edge 对等体 ASN 值匹配。

  • 创建两个路由服务器对等体时,必须为每个端点使用来自 NSX 上行链路 VLAN 的唯一 IP 地址。在部署 Amazon EVS 环境期间,这两个 IP 地址将分配给 NSX 边缘。

  • 启用路由服务器传播时,必须确保所有正在传播的路由表都至少有一个明确的子网关联。如果传播的路由表没有明确的子网关联,BGP 路由通告就会失败。

注意

对于路由服务器对等体活性检测,Amazon EVS 仅支持默认 BGP keepalive 机制。Amazon EVS 不支持多跳双向转发检测 (BFD)。

先决条件

在开始之前,您需要:

  • 您的路由服务器的 VPC 子网。

  • 管理 VPC 路由服务器资源的 IAM 权限。

  • 路由服务器的 BGP ASN 值(亚马逊端 ASN)。该值必须在 1 到 4294967295 的范围内。

  • 一个对等 ASN,用于将您的路由服务器与 NSX Tier-0 网关对等。在路由服务器和 NSX Tier-0 网关中输入的对等 ASN 值必须匹配。NSX Edge 设备的默认 ASN 为 65000。

步骤

有关设置 VPC 路由服务器的步骤,请参阅路由服务器入门教程

注意

如果您使用的是 NAT 网关或传输网关,请确保您的路由服务器配置正确,可以将 NSX 路由传播到 VPC 路由表。

注意

我们建议您为路径服务器实例启用持久路由,持续时间介于 1-5 分钟之间。如果启用,则即使所有 BGP 会话都已结束,路由也将保留在路由服务器的路由数据库中。

注意

在 Amazon EVS 环境部署并投入运行之前,BGP 连接状态将处于关闭状态。

为本地连接创建中转网关

您可以使用关联的中转网关或使用传输网关的 AWS Site-to-Site VPN 连接来配置本地数据中心 Direct Connect 与 AWS 基础设施的连接。有关更多信息,请参阅 配置本地网络连接(可选)

创建 Amazon EC2 容量预留

亚马逊 EVS 启动亚马逊 EC2 i4i.metal 实例,这些实例代表您的亚马逊 EVS ESXi 环境中的主机。为确保在需要时有足够的 i4i.metal 实例容量可用,我们建议您申请 Ama EC2 zon 容量预留。您能够随时创建容量预留,并且可以选择何时启动。您可以申请容量预留以便立即使用,也可以申请容量预留以备将来的某个日期使用。有关更多信息,请参阅 Amazon Elastic Cloud 用户指南中的通过 EC2 按需容量预留来预留计算容量。

设置 AWS CLI

AWS CLI 是一款用于使用的命令行工具 AWS 服务,包括 Amazon EVS。它还用于对从本地计算机访问 Amazon EVS 虚拟化环境和其他 AWS 资源的 IAM 用户或角色进行身份验证。要从命令行配置 AWS 资源,您需要获取 AWS 访问密钥 ID 和密钥,以便在命令行中使用。然后,您需要在 AWS CLI中配置这些凭证。有关更多信息,请参阅版本 2 AWS Command Line Interface 用户指南 AWS CLI中的设置

创建密 Amazon EC2 钥对

Amazon EVS 使用您在创建环境时提供的 Amazon EC2 密钥对来连接您的主机。要创建密钥对,请按照 Amazon Elastic Compute Cloud 用户指南中为您的 Amazon EC2 实例创建密钥对中的步骤进行操作。

为 VMware 云基础 (VCF) 做好环境准备

在部署 Amazon EVS 环境之前,您的环境必须满足 VMware 云基础 (VCF) 基础设施要求。有关详细的 VCF 先决条件,请参阅 Cloud F VMware oundation 产品文档中的规划和准备工作手册

您还应该熟悉 VCF 5.2.1 的要求。有关更多信息,请参阅 VCF 5.2.1 发行说明

注意

亚马逊 EVS 目前仅支持 VCF 版本 5.2.1.x。

获取 VCF 许可证密钥

要使用 Amazon EVS,您需要提供 VCF 解决方案密钥和 vSAN 许可密钥。VCF 解决方案密钥必须至少有 256 个内核。vSAN 许可密钥必须至少有 110 TiB 的 vSAN 容量。有关 VCF 许可证的更多信息,请参阅 Cloud Fou ndation 管理指南中的在 C VMware loud Foun VMware dation 中管理许可证密钥

重要

使用 SDDC 管理器用户界面管理 VCF 解决方案和 vSAN 许可密钥。Amazon EVS 要求您在 SDDC 管理器中保留有效的 VCF 解决方案和 vSAN 许可密钥,服务才能正常运行。

注意

您的 VCF 许可证将适用于所有 AWS 地区的 Amazon EVS,以确保许可证合规。Amazon EVS 不验证许可证密钥。要验证许可证密钥,请访问 Broadcom 支持部门

VMware HCX 先决条件

您可以使用 VMware HCX 将 VMware基于现有的工作负载迁移到 Amazon EVS。在将 VMware HCX 与 Amazon EVS 配合使用之前,请确保已完成以下先决任务。

注意

VMware 默认情况下,EVS 环境中未安装 HCX。

  • 在将 VMware HCX 与 Amazon EVS 搭配使用之前,必须满足最低网络底层要求。有关更多信息,请参阅 VMware HCX 用户指南中的网络底层最低要求

  • 确认已在环境中安装和配置 VMware NSX。有关更多信息,请参阅《VMware NSX 安装指南》

  • 确保 VMware HCX 已激活并安装在环境中。有关激活和安装 VMware HCX 的更多信息,请参阅《HCX 入门指南》中的 VMware HCX 入门指南。 VMware

  • 如果您需要 HCX 互联网连接,则必须完成以下先决任务:

    • 确保亚马逊提供的连续公有 CID IPv4 R 块网络掩码长度的 IPAM 配额为 /28 或更大。

      重要

      对于 HCX 互联网连接,Amazon EVS 要求使用来自公共 IPAM 池的 IPv4 CIDR 块,网络掩码长度等于 /28 或更大。使用任何网络掩码长度小于 /28 的 CIDR 块都将导致 HCX 连接问题。有关增加 IPAM 配额的更多信息,请参阅 IPAM 配额。

    • 使用 CIDR 创建一个 IPAM 和一个最小 IPv4 网络掩码长度为 /28 的公共 IPAM 池。

    • 从 IPAM 池中为 HCX Manager 和 HCX Interconnect (HCX-IXEIPs) 设备分配至少两个弹性 IP 地址 ()。为需要部署的每台 HCX 网络设备分配额外的弹性 IP 地址。

    • 将公有 IPv4 CIDR 块作为其他 CIDR 添加到您的 VPC。

有关 HCX 设置的更多信息,请参阅选择您的 HCX 连接选项和。HCX 连接选项