本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
设置 Amazon Elastic VMware Service
要使用 Amazon EVS,您需要配置其他 AWS 服务,并设置您的环境以满足 VMware Cloud Foundation (VCF) 的要求。有关部署先决条件的摘要清单,请参阅Amazon EVS 部署先决条件清单。
主题
注册获取 AWS 账户
要开始使用 AWS,您需要一个 AWS 帐户。有关创建 AWS 账户的信息,请参阅《AWS 账户管理参考指南》中的 AWS 账户入门。
创建 IAM 角色以向 IAM 用户委托 Amazon EVS 权限
您可以使用角色来委托对 AWS 资源的访问权限。借助 IAM 角色,您可以在您的信任账户与其他可信账户之间建立 AWS 信任关系。信任账户拥有要访问的资源,可信账户包含需要访问资源的用户。
创建信任关系后,IAM 用户或来自可信账户的应用程序可以使用 AWS Security Token Service (AWS STS) AssumeRole API 操作。此操作提供临时安全证书,允许访问您账户中的 AWS 资源。有关更多信息,请参阅用户指南中的创建向 IAM 用户委派权限的 AWS Identity and Access Management 角色。
按照以下步骤创建具有允许访问 Amazon EVS 操作的权限策略的 IAM 角色。
注意
Amazon EVS 不支持使用实例配置文件将 IAM 角色传递给 EC2 实例。
例
注册获取 AWS 商业, AWS 企业 On-Ramp,或 AWS 企业 Support 计划
Amazon EVS 要求客户注册 AWS 商业 On-Ramp、 AWS 企业或 AWS 企业支持计划,才能持续获得技术支持和架构指导。
AWS Business Support 是满足亚马逊 EVS 要求的最低 AWS 支持级别。如果您有业务关键型工作负载,我们建议您注册 AWS 企业 On-Ramp 或企业 Suppor AWS t 计划。有关更多信息,请参阅比较 Supp AWS ort 计划
重要
如果您未注册 AWS 商业、企业或 AWS AWS 企业 On-Ramp支持计划,Amazon EVS 环境创建将失败。
检查 配额
要启用 Amazon EVS 环境创建,请确保您的账户具有所需的最低账户级别配额。有关更多信息,请参阅 亚马逊 EVS 服务配额。
重要
如果每个 EVS 环境配额值的主机数不低于 4,则创建 Amazon EVS 环境会失败。
规划 VPC CIDR 大小
创建 Amazon EVS 环境时,您需要指定 VPC 网段。创建环境后无法更改 VPC CIDR 块,并且需要预留足够的空间来容纳 Amazon EVS 在环境部署期间创建的所需的 EVS 子网和主机。因此,在部署之前,务必仔细规划 CIDR 块大小,同时考虑 Amazon EVS 要求和您未来的扩展需求。Amazon EVS 需要一个最小大小为 /22 网络掩码的 VPC CIDR 块,以便为所需的 EVS 子网和主机留出足够的空间。有关更多信息,请参阅 Amazon EVS 联网注意事项。
重要
确保您有足够的 IP 地址空间来存放您的 VPC 子网和 Amazon EVS 为 VCF 设备创建的 VLAN 子网。VPC CIDR 块的最小大小必须为 /22 网络掩码,以便为所需的 EVS 子网和主机留出足够的空间。
注意
亚马逊 EVS 目前不支持 IPv6。
创建带有子网的 VPC
Amazon EVS 会将您的环境部署到您提供的 VPC 中。此 VPC 必须包含用于访问 Amazon EVS 服务的子网 (服务访问子网)。有关为 Amazon EVS 创建带有子网的 VPC 的步骤,请参阅。创建包含子网和路由表的 VPC
配置 VPC 主路由表
Amazon EVS VLAN 子网隐式关联到 VPC 主路由表。要启用与 DNS 或本地系统等依赖服务的连接以成功部署环境,您必须配置主路由表以允许流向这些系统。有关更多信息,请参阅 将 Amazon EVS VLAN 子网明确关联到 VPC 路由表。
重要
只有在创建 Amazon EVS 环境之后,Amazon EVS 才支持使用自定义路由表。在创建 Amazon EVS 环境期间,不应使用自定义路由表,因为这可能会导致连接问题。
网关路由要求
根据您的连接要求为以下网关类型配置路由:
-
NAT 网关 (NGW)
-
仅限出站互联网接入时可选。
-
必须位于具有互联网网关访问权限的公有子网中。
-
将来自私有子网和 EVS VLAN 子网的路由添加到 NAT 网关。
-
有关更多信息,请参阅 A mazon VPC 用户指南中的使用 NAT 网关。
-
-
公交网关 (TGW)
-
需要通过 Di AWS rect Connect 和 AWS Site-to-Site VPN 进行本地连接。
-
为本地网络范围添加路由。
-
如果使用 BGP,请配置路由传播。
-
有关更多信息,请参阅 Amazon VPC 用户指南中的 Amazon VPC 传输网关中的中转网关。
-
最佳实践
-
记录所有路由表配置。
-
使用一致的命名约定。
-
定期审核您的路由表。
-
进行更改后测试连通性。
-
备份路由表配置。
-
监控路由的运行状况和传播。
有关使用路由表的更多信息,请参阅 Amazon VPC 用户指南中的配置路由表。
配置您的 VPC 的 DHCP 选项集
重要
如果您不满足以下 Amazon EVS 要求,则您的环境部署将失败:
-
在 DHCP 选项集中包括主 DNS 服务器 IP 地址和辅助 DNS 服务器 IP 地址。
-
在部署中包括每个 VCF 管理设备和 Amazon EVS 主机的 A 记录的 DNS 正向查找区域。
-
包括一个 DNS 反向查找区域,其中包含部署中每个 VCF 管理设备和 Amazon EVS 主机的 PTR 记录。
-
配置 VPC 的主路由表,确保存在通往 DNS 服务器的路由。
-
确保您的域名注册有效且未过期,并且不存在重复的主机名或 IP 地址。
-
配置您的安全组和网络访问控制列表 (ACL),以允许 Amazon EVS 与以下人员通信:
-
TCP/UDP 端口 53 上的 DNS 服务器。
-
通过 HTTPS 和 SSH 进行主机管理 VLAN 子网。
-
通过 HTTPS 和 SSH 管理 VLAN 子网。
-
有关更多信息,请参阅 使用 VPC DHCP 选项集配置 DNS 和 NTP 服务器。
创建和配置 VPC 路由服务器基础架构
Amazon EVS 使用亚马逊 VPC 路由服务器来启用到您的 VPC 底层网络的 BGP-based 动态路由。您必须指定一个路由服务器,该服务器共享到服务访问子网中至少两个路由服务器端点的路由。在路由服务器对等方上配置的对等 ASN 必须匹配,并且对等 IP 地址必须是唯一的。
重要
如果您不满足 Amazon EVS 对 VPC 路由服务器配置的以下要求,则您的环境部署将失败:
-
您必须在服务访问子网中配置至少两个路由服务器端点。
-
为网关配置边界网关协议 (BGP) 时,VPC 路由服务器对等 ASN 值必须与 NSX Edge 对等体 ASN 值匹配。 Tier-0
-
创建两个路由服务器对等体时,必须为每个端点使用来自 NSX 上行链路 VLAN 的唯一 IP 地址。在部署 Amazon EVS 环境期间,这两个 IP 地址将分配给 NSX 边缘。
-
启用路由服务器传播时,必须确保所有正在传播的路由表都至少有一个明确的子网关联。如果传播的路由表没有明确的子网关联,BGP 路由通告就会失败。
注意
对于路由服务器对等体活性检测,Amazon EVS 仅支持默认 BGP keepalive 机制。Amazon EVS 不支持多跳双向转发检测 (BFD)。
先决条件
在开始之前,您需要:
-
您的路由服务器的 VPC 子网。
-
管理 VPC 路由服务器资源的 IAM 权限。
-
路由服务器 Amazon-side (ASN) 的 BGP ASN 值。该值必须在 1 到 4294967295 的范围内。
-
一个对等 ASN,用于将您的路由服务器与 NSX Tier-0 网关对等。在路由服务器和 NSX Tier-0 网关中输入的对等 ASN 值必须匹配。NSX Edge 设备的默认 ASN 为 65000。
Steps
有关设置 VPC 路由服务器的步骤,请参阅路由服务器入门教程。
注意
如果您使用的是 NAT 网关或传输网关,请确保您的路由服务器配置正确,可以将 NSX 路由传播到 VPC 路由表。
注意
我们建议您为路径服务器实例启用持久路由,持续时间介于 1-5 分钟之间。如果启用,则即使所有 BGP 会话都已结束,路由也将保留在路由服务器的路由数据库中。
注意
在 Amazon EVS 环境部署并投入运行之前,BGP 连接状态将处于关闭状态。
创建用于本地连接的中转网关
您可以使用关联的中转网关或使用传输网关的 AWS Site-to-Site VPN 连接来配置本地数据中心 Direct Connect 与 AWS 基础设施的连接。有关更多信息,请参阅 配置本地网络连接(可选)。
创建 Amazon EC2 容量预留
亚马逊 EVS 启动亚马逊 EC2 金属实例,这些实例是您的亚马逊 EVS 环境中的 ESX 主机。为确保在添加主机时有足够的可用容量,我们建议您申请 Amazon EC2 容量预留。您能够随时创建容量预留,并且可以选择何时启动。您可以申请容量预留以便立即使用,也可以申请容量预留以备将来的某个日期使用。有关更多信息,请参阅《A mazon 弹性计算云用户指南》中的 “使用 EC2 On-Demand 容量预留预留计算容量”。
设置 AWS CLI
AWS CLI 是一款用于使用的命令行工具 AWS 服务,包括 Amazon EVS。它还用于对从本地计算机访问 Amazon EVS 虚拟化环境和其他 AWS 资源的 IAM 用户或角色进行身份验证。要从命令行配置 AWS 资源,您需要获取 AWS 访问密钥 ID 和密钥,以便在命令行中使用。然后,您需要在 AWS CLI中配置这些凭证。有关更多信息,请参阅版本 2 AWS Command Line Interface 用户指南 AWS CLI中的设置。
创建一个 Amazon EC2 密钥对
Amazon EVS 使用您在创建环境时提供的 Amazon EC2 密钥对来连接您的主机。要创建密钥对,请按照 Amazon Elastic Compute Cloud 用户指南中为您的 Amazon EC2 实例创建密钥对中的步骤进行操作。
为 VMware 云基金会 (VCF) 做好环境准备
在部署 Amazon EVS 环境之前,您的环境必须满足 VMware Cloud Foundation (VCF) 基础设施要求。有关详细的 VCF 先决条件,请参阅 VMware Cloud Foundation 产品文档中的规划和准备工作手册
您还应该熟悉 VCF 5.2.x 的要求。有关相关版本信息,请参阅 VCF 5.2.x 发行说明
注意
有关 Amazon EVS 提供的 VCF 版本的信息,请参阅。Amazon EVS 提供的 VCF 版本和 EC2 实例类型
获取 VCF 许可证密钥
要使用 Amazon EVS,您需要提供 VCF 解决方案密钥和 vSAN 许可密钥。核心数量和 vSAN 容量的具体要求取决于您选择的实例类型。有关您的实例类型的最低核心和容量阈值VCF 订阅的详细信息,请参阅您的配置。有关 VCF 许可证的更多信息,请参阅《V Mware Cloud Foundation 管理指南》中的
重要
使用 SDDC 管理器用户界面管理 VCF 解决方案和 vSAN 许可密钥。Amazon EVS 要求您在 SDDC 管理器中保留有效的 VCF 解决方案和 vSAN 许可密钥,服务才能正常运行。
注意
您的 VCF 许可证将适用于所有 AWS 地区的 Amazon EVS,以确保许可证合规。Amazon EVS 不验证许可证密钥。要验证许可证密钥,请访问 Broadcom 支持部门
VMware HCX 先
您可以使用 VMware HCX 将现有 VMware-based 工作负载迁移到 Amazon EVS。在将 VMware HCX 与 Amazon EVS 配合使用之前,请确保已完成以下先决任务。
注意
默认情况下,VMware HCX 未安装在云硬盘环境中。
-
在将 VMware HCX 与 Amazon EVS 搭配使用之前,必须满足最低网络底层要求。有关更多信息,请参阅《VMware HCX 用户指南》中的网络底层最低要求
。 -
确认环境中已安装并配置了 VMware NSX。有关更多信息,请参阅《VMware NSX 安装指南》
。 -
确保 VMware HCX 已激活并安装在环境中。有关激活和安装 VMware HCX 的更多信息,请参阅《VM ware HCX 入门指南》中的 VMw
are HCX 入门指南。 -
如果您需要 HCX 互联网连接,则必须完成以下先决任务:
-
确保 Amazon-provided 连续公有 IPv4 CIDR 块网络掩码长度的 IPAM 配额为 /28 或更大。
重要
对于 HCX 互联网连接,Amazon EVS 要求使用来自公共 IPAM 池的 IPV4 CIDR 块,其网络掩码长度为 /28 或更大。使用任何网络掩码长度小于 /28 的 CIDR 块都将导致 HCX 连接问题。有关增加 IPAM 配额的更多信息,请参阅 IPAM 配额。
-
使用 CIDR 创建一个 IPAM 和一个最小网络掩码长度为 /28 的公有 IPv4 IPAM 池。
-
从 IPAM 池中为 HCX Manager 和 HCX Interconnect () 设备分配至少两个弹性 IP 地址 (EIP)。HCX-IX为需要部署的每台 HCX 网络设备分配额外的弹性 IP 地址。
-
将公有 IPv4 网段作为其他 CIDR 添加到您的 VPC 中。
-
有关 HCX 设置的更多信息,请参阅选择您的 HCX 连接选项和。HCX 连接选项
