設定 Amazon Elastic VMware Service - Amazon Elastic VMware Service
註冊 AWS建立 IAM 使用者建立 IAM 角色以將 Amazon EVS 許可委派給 IAM 使用者註冊 AWS 商業、 AWS Enterprise On-Ramp 或 AWS 企業支援計劃檢查配額規劃 VPC CIDR 大小使用子網路建立 VPC設定 VPC 主要路由表設定 VPC 的 DHCP 選項集建立和設定 VPC Route Server 基礎設施建立內部部署連線的傳輸閘道建立 Amazon EC2 容量保留設定 AWS CLI建立 Amazon EC2 金鑰對為 VMware Cloud Foundation (VCF) 準備您的環境取得 VCF 授權金鑰VMware HCX 先決條件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 Amazon Elastic VMware Service

若要使用 Amazon EVS,您需要設定其他 AWS 服務,以及設定您的環境以符合 VMware Cloud Foundation (VCF) 需求。如需部署先決條件的摘要檢查清單,請參閱 Amazon EVS 部署先決條件檢查清單

主題

註冊 AWS

如果您沒有 AWS 帳戶,請完成下列步驟來建立一個。

  1. 開啟 https://portal.aws.amazon.com/billing/signup

  2. 請遵循線上指示進行。

建立 IAM 使用者

  1. 選擇根使用者並輸入 AWS 您的帳戶電子郵件地址,以帳戶擁有者身分登入 IAM 主控台。在下一頁中,輸入您的密碼。

    注意

    強烈建議您遵循下方 Administrator IAM 使用者最佳實務,並妥善鎖藏根使用者憑證。只在需要執行少數帳戶和服務管理任務時,才以根使用者身分登入。

  2. 在導覽窗格中,選擇使用者,然後選擇建立使用者

  3. User name (使用者名稱) 中輸入 Administrator

  4. 選取 AWS 管理主控台存取旁的核取方塊。然後選取 Custom password (自訂密碼),接著在文字方塊中輸入您的新密碼。

  5. (選用) 根據預設, AWS 要求新使用者在第一次登入時建立新密碼。您可以清除 User must create a new password at next sign-in (使用者下次登入必須建立新的密碼) 旁的核取方塊,讓新使用者登入時可以重設密碼。

  6. 選擇 Next: Permissions (下一步:許可)。

  7. Set permissions (設定許可) 下,選擇 Add user to group (將使用者新增至群組)。

  8. 選擇 Create group (建立群組)。

  9. Create group (建立群組) 對話方塊中,請於 Group name (群組名稱) 輸入 Administrators

  10. 選擇篩選政策,然後選取 AWS 受管 - 任務函數來篩選資料表內容。

  11. 在政策清單中,勾選 AdministratorAccess 的核取方塊。接著選擇 Create group (建立群組)。

    注意

    您必須啟用 Billing 的 IAM 使用者和角色存取權,才能使用AdministratorAccess許可來存取 AWS Billing and Cost Management 主控台。若要這樣做,請遵循委派對帳單主控台的存取權相關教學課程的步驟 1 中的指示。

  12. 回到群組清單,選取新群組的核取方塊。必要時,選擇 Refresh (重新整理) 以顯示清單中的群組。

  13. 選擇 Next: Tags (下一步:標籤)。

  14. (選用) 藉由連接標籤做為索引鍵/值組,將中繼資料新增至使用者。如需有關在 IAM 中使用標籤的詳細資訊,請參閱《IAM 使用者指南》中的標記 IAM 實體

  15. 選擇 Next: Review (下一步:檢閱),查看要新增至新使用者的群組成員資格清單。準備好繼續時,請選擇 Create user (建立使用者)。

您可以使用這個相同的程序來建立更多群組和使用者,並讓使用者存取 AWS 您的帳戶資源。若要了解如何使用將使用者許可限制為特定 AWS 資源的政策,請參閱存取管理和範例政策

建立 IAM 角色以將 Amazon EVS 許可委派給 IAM 使用者

您可以使用 角色來委派對 AWS 資源的存取。透過 IAM 角色,您可以在信任帳戶和其他 AWS 信任帳戶之間建立信任關係。信任帳戶擁有要存取的資源,而信任的帳戶包含需要存取資源的使用者。

建立信任關係後,來自信任帳戶的 IAM 使用者或應用程式可以使用 AWS Security Token Service (AWS STS) AssumeRole API 操作。此操作提供臨時安全登入資料,可讓您存取帳戶中 AWS 的資源。如需詳細資訊,請參閱《 使用者指南 AWS Identity and Access Management 》中的建立角色以將許可委派給 IAM 使用者

請依照下列步驟,使用允許存取 Amazon EVS 操作的許可政策來建立 IAM 角色。

注意

Amazon EVS 不支援使用執行個體描述檔將 IAM 角色傳遞至 EC2 執行個體。

IAM console

  1. 前往 IAM 主控台

  2. 在左側選單中,選擇政策

  3. 選擇建立政策

  4. 在政策編輯器中,建立啟用 Amazon EVS 操作的許可政策。如需政策範例,請參閱 建立和管理 Amazon EVS 環境。若要檢視所有可用的 Amazon EVS 動作、資源和條件索引鍵,請參閱服務授權參考中的動作

  5. 選擇下一步

  6. 政策名稱下,輸入有意義的政策名稱來識別此政策。

  7. 檢閱此政策中定義的許可。

  8. (選用) 新增標籤以協助識別、組織或搜尋此資源。

  9. 選擇建立政策

  10. 在左側選單中,選擇角色

  11. 選擇建立角色

  12. 針對信任的實體類型,選擇 AWS 帳戶。

  13. 在 AWS 帳戶 下,指定您要執行 Amazon EVS 動作的帳戶,然後選擇下一步

  14. 新增許可頁面上,選取您先前建立的許可政策,然後選擇下一步

  15. 角色名稱下,輸入有意義的名稱來識別此角色。

  16. 檢閱信任政策,並確保將正確的 AWS 帳戶 列為委託人。

  17. (選用) 新增標籤以協助識別、組織或搜尋此資源。

  18. 選擇建立角色

AWS CLI

  1. 將下列內容複製到信任政策 JSON 檔案。對於委託人 ARN,請以service-user您自己的 AWS 帳戶 ID 和 IAM 使用者名稱取代範例 AWS 帳戶 ID 和名稱。

    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/service-user" 
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. 建立角色。將 取代evs-environment-role-trust-policy.json為您的信任政策檔案名稱。

    aws iam create-role \
  --role-name myAmazonEVSEnvironmentRole \
  --assume-role-policy-document file://"evs-environment-role-trust-policy.json"

  3. 建立許可政策,以啟用 Amazon EVS 操作並將政策連接至角色。將 myAmazonEVSEnvironmentRole 取代為您的角色名稱。如需政策範例,請參閱 建立和管理 Amazon EVS 環境。若要檢視所有可用的 Amazon EVS 動作、資源和條件索引鍵,請參閱服務授權參考中的動作

    aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEVSEnvironmentPolicy \
  --role-name myAmazonEVSEnvironmentRole

註冊 AWS 商業、 AWS Enterprise On-Ramp 或 AWS 企業支援計劃

Amazon EVS 要求客戶註冊 AWS Business、 AWS Enterprise On-Ramp 或 AWS Enterprise Support 計劃,以持續存取技術支援和架構指導。 AWS Business Support 是符合 Amazon EVS 要求的最低 AWS 支援層。如果您有業務關鍵工作負載,建議您註冊 AWS Enterprise On-Ramp 或 AWS Enterprise Support 計劃。如需詳細資訊,請參閱比較 AWS 支援計劃

重要

如果您不註冊 AWS Business、 AWS Enterprise On-Ramp 或 AWS Enterprise Support 計劃,Amazon EVS 環境建立會失敗。

檢查配額

若要啟用 Amazon EVS 環境建立,請確定您的帳戶具有所需的最低帳戶層級配額。如需詳細資訊,請參閱Amazon EVS 服務配額

重要

如果每個 EVS 環境配額的主機計數值不至少為 4,Amazon EVS 環境建立會失敗。

規劃 VPC CIDR 大小

當您建立 Amazon EVS 環境時,您必須指定 VPC CIDR 區塊。環境建立後,無法變更 VPC CIDR 區塊,而且需要預留足夠的空間來容納 Amazon EVS 在環境部署期間建立的必要 EVS 子網路和主機。因此,在部署之前,請務必仔細規劃 CIDR 區塊大小,並考量 Amazon EVS 需求和未來的擴展需求。Amazon EVS 需要 VPC CIDR 區塊,其大小下限為 /22 網路遮罩,以便為所需的 EVS 子網路和主機提供足夠的空間。如需詳細資訊,請參閱Amazon EVS 網路考量事項

重要

請確定您的 VPC 子網路和 Amazon EVS 為 VCF 設備建立的 VLAN 子網路有足夠的 IP 地址空間。VPC CIDR 區塊的大小下限必須為 /22 網路遮罩,以便為所需的 EVS 子網路和主機提供足夠的空間。

注意

Amazon EVS 目前不支援 IPv6。

使用子網路建立 VPC

Amazon EVS 會將您的環境部署到您提供的 VPC。此 VPC 必須包含 Amazon EVS 服務存取的子網路 (服務存取子網路)。如需使用 Amazon EVS 子網路建立 VPC 的步驟,請參閱 建立具有子網路和路由表的 VPC

設定 VPC 主要路由表

Amazon EVS VLAN 子網路會隱含地與 VPC 主路由表相關聯。若要啟用與 DNS 或內部部署系統等相依服務的連線,以便成功部署環境,您必須設定主路由表,以允許這些系統的流量。如需詳細資訊,請參閱將 Amazon EVS VLAN 子網路明確關聯至 VPC 路由表

重要

Amazon EVS 只有在建立 Amazon EVS 環境之後,才支援使用自訂路由表。建立 Amazon EVS 環境期間不應使用自訂路由表,因為這可能會導致連線問題。

閘道路由需求

根據您的連線需求設定這些閘道類型的路由:

  • NAT 閘道 (NGW)

    • 僅傳出網際網路存取為選用。

    • 必須位於具有網際網路閘道存取的公有子網路中。

    • 新增從私有子網路和 EVS VLAN 子網路到 NAT 閘道的路由。

    • 如需詳細資訊,請參閱《Amazon VPC 使用者指南》中的使用 NAT 閘道

  • 傳輸閘道 (TGW)

最佳實務

  • 記錄所有路由表組態。

  • 使用一致的命名慣例。

  • 定期稽核您的路由表。

  • 進行變更後測試連線能力。

  • 備份路由表組態。

  • 監控路由運作狀態和傳播。

如需使用路由表的詳細資訊,請參閱《Amazon VPC 使用者指南》中的設定路由表

設定 VPC 的 DHCP 選項集

重要

如果您不符合這些 Amazon EVS 要求,您的環境部署會失敗:

  • 在 DHCP 選項集中包含主要 DNS 伺服器 IP 地址和次要 DNS 伺服器 IP 地址。

  • 在您的部署中包含具有每個 VCF 管理設備與 Amazon EVS 主機 A 記錄的 DNS 轉送查詢區域。

  • 包含 DNS 反向查詢區域,其中包含部署中每個 VCF 管理設備及 Amazon EVS 主機的 PTR 記錄。

  • 設定 VPC 的主要路由表,以確保 DNS 伺服器的路由存在。

  • 確保您的網域名稱註冊有效且未過期,且不存在重複的主機名稱或 IP 地址。

  • 設定您的安全群組和網路存取控制清單 (ACLs),以允許 Amazon EVS 與下列項目通訊:

    • 透過 TCP/UDP 連接埠 53 的 DNS 伺服器。

    • 透過 HTTPS 和 SSH 的主機管理 VLAN 子網路。

    • 透過 HTTPS 和 SSH 管理 VLAN 子網路。

如需詳細資訊,請參閱使用 VPC DHCP 選項集設定 DNS 和 NTP 伺服器

建立和設定 VPC Route Server 基礎設施

Amazon EVS 使用 Amazon VPC Route Server 來啟用 BGP 型動態路由到您的 VPC 底層網路。您必須指定路由伺服器,將路由共用到服務存取子網路中至少兩個路由伺服器端點。在路由伺服器對等上設定的對等 ASN 必須相符,且對等 IP 地址必須是唯一的。

重要

如果您不符合這些 Amazon EVS 對 VPC Route Server 組態的要求,您的環境部署會失敗:

  • 您必須在服務存取子網路中設定至少兩個路由伺服器端點。

  • 為 Tier-0 閘道設定邊界閘道協定 (BGP) 時,VPC Route Server 對等 ASN 值必須符合 NSX Edge 對等 ASN 值。

  • 建立兩個路由伺服器對等時,您必須為每個端點使用來自 NSX 上行 VLAN 的唯一 IP 地址。這兩個 IP 地址會在 Amazon EVS 環境部署期間指派給 NSX 邊緣。

  • 啟用路由伺服器傳播時,您必須確保所有正在傳播的路由表至少有一個明確的子網路關聯。如果傳播的路由表沒有明確的子網路關聯,BGP 路由公告會失敗。

注意

對於 Route Server 對等活體偵測,Amazon EVS 僅支援預設的 BGP 保持連線機制。Amazon EVS 不支援多躍點雙向轉送偵測 (BFD)。

先決條件

開始之前,您需要:

  • 路由伺服器的 VPC 子網路。

  • 管理 VPC Route Server 資源的 IAM 許可。

  • 路由伺服器的 BGP ASN 值 (Amazon 端 ASN)。此值必須在 1-4294967295 的範圍內。

  • 將路由伺服器與 NSX Tier-0 閘道對等的對等 ASN。在路由伺服器和 NSX Tier-0 閘道中輸入的對等 ASN 值必須相符。NSX Edge 設備的預設 ASN 為 65000。

步驟

如需設定 VPC Route Server 的步驟,請參閱 Route Server 入門教學課程。

注意

如果您使用 NAT 閘道或傳輸閘道,請確定您的路由伺服器已正確設定,以將 NSX 路由傳播至 VPC 路由表 (VPC)。

注意

建議您為路由伺服器執行個體啟用持續路由,持續時間介於 1-5 分鐘。如果啟用,即使所有 BGP 工作階段都結束,路由仍會保留在路由伺服器的路由資料庫中。

注意

在部署和操作 Amazon EVS 環境之前,BGP 連線狀態將會關閉。

建立內部部署連線的傳輸閘道

您可以使用 Direct Connect 與相關聯的傳輸閘道,或使用與傳輸閘道的 AWS Site-to-Site VPN 連接,設定現場部署資料中心與 AWS 基礎設施的連線。如需詳細資訊,請參閱設定內部部署網路連線 (選用)

建立 Amazon EC2 容量保留

Amazon EVS 會在您的 Amazon EVS 環境中啟動代表 ESXi 主機的 Amazon EC2 i4i.metal 執行個體。 ESXi 為了確保在需要時有足夠的 i4i.metal 執行個體容量,我們建議您請求 Amazon EC2 容量保留。您可以隨時建立容量保留,並選擇開始時間。您可以請求容量保留以供立即使用,也可以請求未來日期的容量保留。如需詳細資訊,請參閱《Amazon Elastic Compute Cloud 使用者指南》中的使用 EC2 隨需容量保留保留運算容量

設定 AWS CLI

AWS CLI 是使用 的命令列工具 AWS 服務,包括 Amazon EVS。它也用於驗證 IAM 使用者或角色,以便從本機電腦存取 Amazon EVS 虛擬化環境和其他 AWS 資源。若要從命令列佈建 AWS 資源,您需要取得 AWS 存取金鑰 ID 和私密金鑰,以便在命令列中使用。然後您需要在 AWS CLI中對這些憑證進行設定。如需詳細資訊,請參閱《 第 2 版 AWS Command Line Interface 使用者指南》中的設定 AWS CLI

建立 Amazon EC2 金鑰對

Amazon EVS 會使用您在環境建立期間提供的 Amazon EC2 金鑰對來連線至主機。若要建立金鑰對,請遵循 Amazon Elastic Compute Cloud 《 使用者指南》中為 Amazon EC2 執行個體建立金鑰對的步驟。

為 VMware Cloud Foundation (VCF) 準備您的環境

部署 Amazon EVS 環境之前,您的環境必須符合 VMware Cloud Foundation (VCF) 基礎設施需求。如需詳細的 VCF 先決條件,請參閱 VMware Cloud Foundation 產品文件中的規劃和準備工作手冊

您也應該熟悉 VCF 5.2.1 要求。如需詳細資訊,請參閱 VCF 5.2.1 版本備註

注意

Amazon EVS 目前僅支援 VCF 5.2.1.x 版。

取得 VCF 授權金鑰

若要使用 Amazon EVS,您需要提供 VCF 解決方案金鑰和 vSAN 授權金鑰。VCF 解決方案金鑰必須至少有 256 個核心。vSAN 授權金鑰必須至少有 110 TiB 的 vSAN 容量。如需 VCF 授權的詳細資訊,請參閱 VMware Cloud Foundation 管理指南中的在 VMware Cloud Foundation 中管理授權金鑰VMware

重要

使用 SDDC Manager 使用者介面來管理 VCF 解決方案和 vSAN 授權金鑰。Amazon EVS 會要求您在 SDDC Manager 中維護有效的 VCF 解決方案和 vSAN 授權金鑰,服務才能正常運作。

注意

您的 VCF 授權將可供所有 AWS 區域的 Amazon EVS 使用,以符合授權規範。Amazon EVS 不會驗證授權金鑰。若要驗證授權金鑰,請造訪 Broadcom 支援

VMware HCX 先決條件

您可以使用 VMware HCX 將現有的 VMware 型工作負載遷移至 Amazon EVS。將 VMware HCX 與 Amazon EVS 搭配使用之前,請確定已完成下列先決條件任務。

注意

VMware HCX 預設不會安裝在 EVS 環境中。

  • 您必須先符合最低網路底層需求,才能使用 VMware HCX 搭配 Amazon EVS。如需詳細資訊,請參閱 VMware HCX 使用者指南中的網路底層最低需求

  • 確認已在環境中安裝和設定 VMware NSX。如需詳細資訊,請參閱 VMware NSX 安裝指南

  • 確保 VMware HCX 已啟用並安裝在環境中。如需啟用和安裝 VMware HCX 的詳細資訊,請參閱《VMware HCX 入門指南》中的 VMware HCX VMware 入門

  • 如果您需要 HCX 網際網路連線,您必須完成下列先決條件任務:

    • 請確定 Amazon 提供的連續公有 IPv4 CIDR 區塊網路遮罩長度的 IPAM 配額為 /28 或更高。

      重要

      對於 HCX 網際網路連線,Amazon EVS 需要使用來自公有 IPAM 集區的 IPv4 CIDR 區塊,網路遮罩長度為 /28 或更高。使用任何網路遮罩長度小於 /28 的 CIDR 區塊會導致 HCX 連線問題。如需增加 IPAM 配額的詳細資訊,請參閱 IPAM 的配額

    • 使用網路遮罩長度下限為 /28 的 CIDR 建立 IPAM 和公有 IPv4 IPAM 集區。

    • 從 IPAM 集區為 HCX Manager 和 HCX Interconnect (HCX-IX) 設備配置至少兩個彈性 IP 地址 (EIPs)。為您需要部署的每個 HCX 網路設備配置額外的彈性 IP 地址。

    • 將公有 IPv4 CIDR 區塊新增為 VPC 的額外 CIDR。

如需 HCX 設定的詳細資訊,請參閱 選擇您的 HCX 連線選項HCX 連線選項