VMware Cloud on AWS 操作指南 - VMware Cloud on AWS · 2020-03-27 · 关于《VMware Cloud on...
75
VMware Cloud on AWS 操 作指南 2020 年 3 月 10 日 VMware Cloud on AWS
Transcript of VMware Cloud on AWS 操作指南 - VMware Cloud on AWS · 2020-03-27 · 关于《VMware Cloud on...
VMware Cloud on AWS 操作指南
2020 年 3 月 10 日
VMware Cloud on AWS
您可以从 VMware 网站下载 新的技术文档:
https://docs.vmware.com/cn/。
如果您对本文档有任何意见或建议,请将反馈信息发送至:
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
威睿信息技术(中国)有限公司北京办公室北京市朝阳区新源南路 8 号启皓北京东塔 8 层 801www.vmware.com/cn
上海办公室上海市淮海中路 333 号瑞安大厦 804-809 室www.vmware.com/cn
广州办公室广州市天河路 385 号太古汇一座 3502 室www.vmware.com/cn
版权所有 © 2017-2020 VMware, Inc. 保留所有权利。 版权和商标信息
VMware Cloud on AWS 操作指南
VMware, Inc. 2
目录
关于《VMware Cloud on AWS 操作指南》 6
1 关于软件定义的数据中心 7支持的 SDDC 版本 7
VMware Cloud on AWS 的 高配置 8
将 VMware Cloud on AWS 与组件版本相关联 12
部署和管理软件定义的数据中心 12
从 VMC 控制台部署 SDDC 14
重命名 SDDC 17
删除 SDDC 17
SDDC 升级和维护 18
查看 SDDC 维护调度预留 20
将 UTC 时间转换为本地时间 21
估算 SDDC 维护的持续时间 21
查看计费信息 22
SDDC 中的角色和权限 23
2 管理 SDDC 主机和群集 24VMware Cloud on AWS 主机类型 24
添加群集 25
移除群集 26
添加主机 26
移除主机 27
关于 Elastic DRS 28
Elastic DRS 算法的工作原理 28
选择 Elastic DRS 策略 30
使用策略和配置文件 31
创建或删除虚拟机-主机关联性策略 31
创建或删除虚拟机-主机反关联性策略 32
创建或删除虚拟机-虚拟机关联性策略 33
创建或删除虚拟机-虚拟机反关联性策略 34
创建或删除“禁用 DRS vMotion”策略 35
3 使用 SDDC 附加服务 37使用 vRealize Log Insight Cloud 加载项 37
4 将模板、ISO 和其他内容传输到 SDDC 38
VMware, Inc. 3
使用 Content Onboarding Assistant 将内容传输到 SDDC 39
使用内容库将内容导入 SDDC 41
将文件或文件夹上载到 SDDC 41
5 迁移虚拟机 42通过 VMware HCX 混合迁移 43
使用 VMware HCX 进行混合迁移检查表 43
通过 vMotion 混合迁移 44
通过 vMotion 混合迁移检查表 45
vMotion 所需的防火墙规则 46
通过 vMotion 批量迁移 47
混合冷迁移 48
混合冷迁移检查表 48
冷迁移所需的防火墙规则 49
6 使用开发人员中心 51使用代码捕获 51
使用代码捕获录制操作 51
7 访问 AWS 服务 53访问 EC2 实例 53
使用 S3 端点访问 S3 存储桶 55
使用 Internet 网关访问 S3 存储桶 56
使用 AWS CloudFormation 创建 SDDC 57
AWS 角色和权限 59
8 将内部部署 vRealize Automation 与云 SDDC 配合使用 62准备好 SDDC 以与 vRealize 产品一起使用 62
支持 vRealize Automation 访问远程控制台 63
将 vRealize Automation 8.x 连接到您的 SDDC 64
将 vRealize Automation 7.x 连接到您的 SDDC 64
9 VMC 控制台设置 66设置 VMC 控制台 的语言 66
10 服务通知和活动日志 67查看活动日志 67
查看和订阅服务状态页面 68
VMware Cloud on AWS 中的通知 68
11 故障排除 72
VMware Cloud on AWS 操作指南
VMware, Inc. 4
获取支持 72
无法连接到 VMware Cloud on AWS 72
无法连接到 vCenter Server 73
创建 SDDC 时无法选择子网 74
无法将已更改的密码复制到 vCenter 登录页面 74
计算工作负载无法到达内部部署的 DNS 服务器 75
VMware Cloud on AWS 操作指南
VMware, Inc. 5
关于《VMware Cloud on AWS 操作指南》
《VMware Cloud on AWS 操作指南》提供了有关配置高级 SDDC 功能以支持 VMware Cloud on AWS SDDC 持续操作的信息,这些高级功能包括存储管理、置备以及与内部部署数据中心无缝互操作。
目标读者
本指南主要面向具有以下角色的 VMware Cloud on AWS 组织成员:CloudAdmin 角色或对组织所拥有对象
具有管理权限的其他角色。本指南涉及多个操作领域,如使用来自内部部署数据中心的内容置备 SDDC、
使用 AWS 服务(如 S3 和 Direct Connect)以及将 VMware Cloud on AWS 与其他 VMware 和 Amazon 工具集成。
我们假定您已具备将 SDDC 与管理网络一起使用的经验,如《VMware Cloud on AWS 入门》指南中所
述。此外,还假定您具备在内部部署环境中配置和管理 vSphere 的经验且熟悉虚拟化概念。精通 Amazon Web Services 相关知识将有助于理解本书的内容,但并非必须。
VMware, Inc. 6
关于软件定义的数据中心 1VMware Cloud on AWS 软件定义的数据中心 (SDDC) 包括计算、存储和网络资源。
每个 SDDC 在一个 Amazon 虚拟私有云 (VPC) 中运行,并提供完整的 VMware 堆栈,包括 vCenter Server、NSX-T 软件定义的网络、vSAN 软件定义的存储以及一个或多个为您的工作负载提供计算和存储
资源的 ESXi 主机。
本章讨论了以下主题:
n 支持的 SDDC 版本
n VMware Cloud on AWS 的 高配置
n 将 VMware Cloud on AWS 与组件版本相关联
n 部署和管理软件定义的数据中心
n 重命名 SDDC
n 删除 SDDC
n SDDC 升级和维护
n 查看计费信息
n SDDC 中的角色和权限
支持的 SDDC 版本
特定版本的 SDDC 软件仅在特定时间段内受支持。要保持服务正常运行和可用性,必须更新 SDDC 软件,
且强制执行。
每个版本的 SDDC 软件都有过期日期。软件版本超过过期日期的 SDDC 不能保证从 VMware 获得支持。
要查找您 SDDC 软件的版本,请参见 获取支持。
VMware, Inc. 7
表 1-1. SDDC 软件版本的生命周期支持
SDDC 版本 过期日期
1.8 待定
1.7 2020 年 2 月 28 日
1.6 2019 年 10 月 31 日
VMware Cloud on AWS 的最高配置
VMware Cloud on AWS 中的许多功能存在 高配置和 低配置。
除非另有说明,否则列出的所有限制均为硬性限制。硬性限制无法更改。任何描述为软性限制的限制可以
应要求增加。要请求增加软性限制,请联系 VMware 技术支持。
组织最高配置
大值 值 描述
每个组织的主机数 32(软限制) 每个组织的 SDDC 数。
SDDC 最高配置
大值 值 描述
每个组织的 SDDC 数 2 每个组织的 SDDC 数。这是一个软性限制。
链接 VPC 数 1 每个 SDDC 的 大链接 AWS VPC 数。
公用 IP 地址(弹性 IP) 75 每个 SDDC 的 大弹性 IP 地址数。这是一个软性限制。
每个群集的 小主机数(完整 SLA) 3 根据完整 SLA 需支持的每个 vSphere 群集的 小 ESXi 数。
每个群集的 小主机数(无 SLA) 1 无 SLA 的情况下每个 vSphere 群集的 小 ESXi 主机数。
每个群集的 大主机数,包括延伸群集 16 每个 vSphere 群集的 大 ESXi 主机数。此限制既适用于单 AZ 群集,也适用于延伸群集。
大群集数 10(软限制)
20(硬限制)
每个 SDDC 的 大 vSphere 群集数。
vCenter Server 最高配置
大值 值 描述
每个 SDDC 的 大主机数 300(硬限制) 每个 SDDC 的 大 ESXi 主机数
每个 SDDC 的 大虚拟机数 4000 每个 SDDC 的 大虚拟机数。
每个主机的虚拟机数 200 每个主机的 大虚拟机数。
VMware Cloud on AWS 操作指南
VMware, Inc. 8
网络和安全最高配置
大值 值 描述
每个 Edge 节点的 ARP 条目数 5000 大 ARP 条目数。
IPSec VPN 隧道 16 每个 SDDC 创建的 大 IPsec VPN 隧道数。
逻辑分段 200 每个 SDDC 的 大逻辑分段数。
逻辑端口数 每个逻辑分段
1000 个一个逻辑分段上的 大端口数。
MGW 防火墙规则 200 大管理网关防火墙规则数。
CGW 防火墙规则 950 大计算网关防火墙规则数。
CGW NAT 规则 500 大计算网关 NAT 规则数。
通过 DX 专用 VIF 通告的逻辑分段 16 通过 Direct Connect 专用 VIF 通告的 大逻辑分段数。这是一个
软性限制。
L2 VPN 客户端数 1 每个 SDDC 连接到 L2 VPN 服务器的 大站点数。
扩展网络 每个 L2 VPN 100 个
从内部部署扩展的 大逻辑分段数。
分布式防火墙分组对象数 10000 大分组对象(安全组)数。
已应用对象分组的端口数 1000 已应用分组对象(安全组)的 大端口数。
分布式防火墙区域数 100 大分布式防火墙区域数。
所有区域组的分布式防火墙规则数 10000 所有区域组的 大分布式防火墙规则总数(紧急规则、基础架构
规则等)。
每个区域组的分布式防火墙规则数 10000 每个区域组的 大分布式防火墙规则数。
每个区域组的分布式防火墙区域数 100 每个区域组的 大分布式防火墙区域数(紧急规则、基础架构规
则等)。
所有区域组的分布式防火墙区域数 100 所有区域组的 大分布式防火墙区域数。
每个 IP 集的 IP 数 4000 一个 IP 集中可包含的 大 IP 地址数。
每个分组对象的分布式防火墙规则数 512 每个分组对象(安全组)的 大分布式防火墙规则数。
每个虚拟机的安全标记数 25 每个虚拟机的 大安全标记数。
每个分组对象的虚拟数 500 每个分组对象(安全组)的 大虚拟机数。
每个会话的端口镜像源虚拟机数 5 一个端口镜像会话中的 大源虚拟机数。
每个会话的端口镜像目标虚拟机数 1 一个端口镜像会话中的 大目标虚拟机数。
IPFIX 收集器数 4 已配置的 大 IPFIX 收集器数。
IP 发现(ARP 侦听) 1 一个虚拟机上由 ARP 侦听检测到的 大 IP 数。
IP 发现(虚拟机 Tools) 1024(在虚拟机上
安装 VMware Tools 10.3.x)
一个虚拟机上由 VMware Tools 10.3.x 检测到的 大 IP 数。
VMware Cloud on AWS 操作指南
VMware, Inc. 9
大值 值 描述
每个 SDDC 的 Direct Connect 专用 VIF 连接
4 连接到一个 SDDC 的 大专用虚拟接口数。
每个主机的 VIF/端口数 400 每个主机的 大 VIF 或端口数。
vSAN 最高配置
大值 值 描述
可利用的 大数据存储容量 75% 多可以使用可用数据存储容量的 75%。如果使用量超出此值,
将创建一个不合规的环境,如 VMware Cloud on AWS 的服务级
别协议中所述
需要修复计划的数据存储容量 70% 当容量利用率接近 70% 时,应准备修复计划。添加主机以增加
数据存储容量,或降低存储利用率。
每个 vSAN 主机的虚拟机数 200 vSAN 群集中每个 ESXi 主机的 大虚拟机数。
Site Recovery 最高配置
大值 值 描述
每个 SDDC 的虚拟机数(基于 NSX-T 的网络)
1500 这是针对 NSX-T 支持的限制,并考虑到入站和出站复制。
双向保护:两个站点的受保护虚拟机总数不能超过此限制。
每个保护组的虚拟机数 500 每个保护组的 大虚拟机数。
恢复计划数 250 大恢复计划数。
每个恢复计划的保护组数 250 每个恢复计划的 大保护组数。
每个恢复计划的虚拟机数 1500 每个恢复计划的 大虚拟机数。
并发恢复数 1500 在多个恢复计划中可以同时启动的虚拟机恢复总数。
多站点部署限制 10 通过 VMware Site Recovery,可以将多个受保护站点和恢复站点
连接到一个 SDDC。一个 SDDC 多可支持 10 个配对的远程站
点。
HCX 最高配置
大值 值 描述
站点对数 10 每个源 HCX Manager 的已注册目标 HCX 站点数 (SDDC)
Service Mesh 数 1 每个源和目标计算配置文件对一个
HCX 互连设备 1 每个 Service Mesh 一个
HCX WAN 优化设备 1 每个 Service Mesh 一个
HCX 网络扩展设备 50 每个 HCX Manager
并发 HCX 批量迁移操作数 100 每个 HCX Manager
并发 HCX vMotion 操作数 1 每个 Service Mesh。后续操作将排队, 多 100 个。
VMware Cloud on AWS 操作指南
VMware, Inc. 10
大值 值 描述
并发 HCX 冷迁移操作数 8 每个 Service Mesh。后续操作将排队, 多 100 个。
并发 HCX vMotion w/vSphere Replication (Replication Assisted vMotion)
100 调度的切换为串行。切换与 HCX vMotion 一起排队。
大 HCX 虚拟机保护数 500 大 HCX 虚拟机保护数。
NSX-T SDDC 的 大网络扩展数 8 可扩展到 NSX-T 云 SDDC 的 大内部部署网络数。10 个网络扩
展设备接口减去上行链路/管理接口
源站点上使用 Cisco Nexus 1000v 扩展的
大网络数
8 10 个网络扩展设备接口减去上行链路/管理接口。
网络扩展吞吐量 4-6 Gbps 每个 HCX 网络扩展设备 4-6+ Gbps。
每个流量流 1+ Gbps。
性能因以下因素而异:MTU、延迟、环境流量、网络带宽、
CPU、内存资源
虚拟机硬件版本 批量迁移需要硬件
版本 7 或更高版本
HCX vMotion、
RAV 迁移和冷迁移
需要硬件版本 9 或更高版本。
迁移所需的 低虚拟机硬件版本。
HCX 批量迁移和 Replication Assisted vMotion 所需的 大虚拟机磁盘大小
62 TB(具有 ESXi 5.5 或更高版
本)。
2 TB(具有 ESXi 5.0 至 5.1)
批量迁移和 Replication Assisted vMotion 所需的 大虚拟机磁盘
大小。
HCX vMotion 所需的 大虚拟机磁盘大小 参考目标站点数据
存储的 VMDK 限制
HCX vMotion 所需的 大虚拟机磁盘大小。
Horizon 最高配置
大值 值 描述
每个 SDDC 的桌面数 2500 指的是“登录 VSI 和 WQHD”显示中定义的知识型员工
实际客户工作负载的特性可能不同于测试中使用的基准工作负
载。因此,结果可能会有所不同。
VMware Cloud on AWS 操作指南
VMware, Inc. 11
VMware Cloud Services 身份最高配置
大值 值 描述
每个身份提供程序的登录个数 250 个用户/分钟 每个 VIDM 租户都有一分钟内执行登录的 大用户数不能超过
250 个这一限制。
刷新身份验证令牌流 9500 个用户/分钟 可以使用以下 API 将 API 令牌交换为身份验证令牌的 大用户
数:https://console.cloud.vmware.com/csp/gateway/am/api/swagger-ui.html#/Authentication/getAccessTokenByApiRefreshTokenUsingPOST。
组织中的用户数 无限制 组织中的用户数没有限制。
AD 连接数 无限制 打开的 AD 连接数没有限制。
将 VMware Cloud on AWS 与组件版本相关联
下表显示了与每个 SDDC 版本关联的 ESXi、vCenter Server、NSX-T 以及虚拟机硬件的版本。
SDDC 版本 ESXi 版本 vCenter Server 版本 NSX-T 版本 虚拟机硬件版本
1.10 7.0(内部版本
15726777)7.0(内部版本
15726776)2.5.1(内部版本
15698959)15
VMware Cloud on AWS GovCloud (1.9)
7.0(内部版本
15423985)7.0(内部版本
15424599)2.5.1(内部版本
15419370)15
1.9 7.0(内部版本
15423985)7.0(内部版本
15424599)2.5.1(内部版本
15419370)15
1.8v3 6.9.1(内部版本
15150309)6.9.1(内部版本
14699973)内部版本 14698810 15
1.8v2 6.9.1(内部版本
14665869)6.9.1(内部版本
14699973)内部版本 14698810 15
部署和管理软件定义的数据中心
部署软件定义的数据中心 (SDDC) 是使用 VMware Cloud on AWS 服务的第一步。部署 SDDC 后,可以查
看相关信息并执行管理任务。
部署 SDDC 之前要考虑的因素有很多。
已连接 AWS 帐户
在 VMware Cloud on AWS 上部署 SDDC 时,将在 AWS 帐户和专用于组织的 VPC 内进行创建并由
VMware 管理。您还必须将 SDDC 连接到属于您的 AWS 帐户,也就是客户 AWS 帐户。此连接将允许您
的 SDDC 访问属于您的客户帐户的 AWS 服务。
如果部署的是单主机 SDDC, 长可以延迟两周链接客户 AWS 帐户。链接 AWS 帐户后才能将单主机
SDDC 扩展为多主机 SDDC。如果部署的是多主机 SDDC,则必须在部署 SDDC 时链接客户 AWS 帐户。
VMware Cloud on AWS 操作指南
VMware, Inc. 12
AWS VPC 配置和可用性要求
使用的 VPC、子网和 AWS 帐户必须满足以下多个要求:
n 子网必须位于 VMware Cloud on AWS 所在的 AWS 可用区 (AZ) 中。开始时,先在将创建 SDDC 的
AWS 区域的每个 AZ 中创建一个子网。这样,您便可确定可部署 SDDC 的所有 AZ,并选择 符合您
的 SDDC 放置需求的 AZ,无论您是希望 VMC 工作负载靠近特定 AZ 中运行的 AWS 工作负载,还是
希望其远离此类工作负载。有关如何使用 Amazon VPC 控制台在 VPC 中创建子网的信息,请参见
AWS 文档中的在 VPC 中创建子网。
n 要链接的 AWS 帐户必须具有足够的容量,可为部署 SDDC 的每个区域中的每个 SDDC 至少创建 17 个 ENI。虽然您不能在一个群集中置备 16 个以上的主机,但计划维护和 Elastic DRS 等 SDDC 操作可
能会要求临时添加多达 16 个主机,因此我们建议使用具有足够容量的 AWS 帐户,以便为每个区域中
的每个 SDDC 容纳 32 个 ENI。
n 我们建议每个 SDDC 使用一个专用的 /26 CIDR 块,并且不将此子网用于任何其他 AWS 服务或 EC2 实例。由于此块中的某些 IP 地址是预留供内部使用的,因此一个 /26 CIDR 块就是一个可容纳 SDDC 所需的 33 个地址的 小子网。
n AWS 服务或实例与 SDDC 进行通信所使用的任何 VPC 子网都必须与已连接 VPC 的主路由表相关
联。不支持使用自定义路由表或替换主路由表。
n 如有必要,您可以将多个 SDDC 链接到一个 VPC,但前提是用于 ENI 连接的 VPC 子网具有足够大的
CIDR 块来容纳它们。由于 VPC 中的所有 SDDC 使用相同的主路由表,请确保这些 SDDC 中的网络
分段不会相互重叠或与 VPC 的主 CIDR 块重叠。路由 SDDC 网络中的工作负载虚拟机可与 VPC 的主
CIDR 块中的所有子网进行通信,但无法识别 VPC 中可能存在的其他 CIDR 块。
VMware Cloud on AWS 单主机 SDDC 起步配置
可以使用单主机 SDDC 起步配置快速开始体验 VMware Cloud on AWS。此配置具有有效期限,适用于在
环境中证明 VMware Cloud on AWS 的价值。单主机环境的有效期限只有 30 天。在单主机 SDDC 有效期
内的任意时间,您都可以选择将其扩展为包含 3 个或更多主机的生产用配置,并且不会丢失数据。如果在
单主机 SDDC 有效期限结束之前您未进行扩展,我们将会删除 SDDC 及其包含的所有工作负载和数据。
VMware Cloud on AWS 的延伸群集
可以创建群集跨越两个可用区的 SDDC。延伸群集使用 vSAN 技术为 SDDC 提供单个数据存储并在两个可
用区之间复制数据。如果一个可用区中的服务中断,将在另一个可用区中启动 SDDC 中的工作负载虚拟
机。
延伸群集存在以下限制:
n 链接的 VPC 必须具有两个子网,即群集使用的每个 AZ 中各有一个。
n 一个给定的 SDDC 可以包含标准(单可用区)群集或延伸群集,但不能混合使用两者。
n 不能将延伸群集转换为标准群集,反之亦然。
n 您至少需要 6 个主机(每个 AZ 中 3 个)才能创建延伸群集。必须成对添加主机。
有关可能影响延伸群集的其他限制,请参见 VMware Cloud on AWS 高配置。
VMware Cloud on AWS 操作指南
VMware, Inc. 13
连接到 SDDC 并配置 SDDC 网络
需要将内部部署数据中心连接到 SDDC,才能迁移工作负载虚拟机并在 VMware Cloud on AWS 中进行管
理。对于此连接,可以使用公用 Internet 和/或 AWS Direct Connect。此外,还需要设置一个或多个虚拟专
用网络 (VPN) 来保护传入/传出 SDDC 的网络流量,并配置 SDDC 网络和安全功能,如防火墙规则、DNS 和 DHCP。有关如何执行此操作的详细信息,请参见《VMware Cloud on AWS 网络和安全》指南。
从 VMC 控制台部署 SDDC部署 SDDC 以在云中托管工作负载。
要创建 SDDC,请选取托管该 SDDC 的 AWS 区域,命名该 SDDC,并指定希望该 SDDC 包含的 ESXi 主机数量。如果您还没有 AWS 帐户,仍可以创建包含单个 ESXi 主机的起步配置 SDDC。
步骤
1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
2 单击创建 SDDC。
VMware Cloud on AWS 操作指南
VMware, Inc. 14
3 配置 SDDC 属性。
a 选择要在其中部署 SDDC 的 AWS 区域。
可用区域包括:
n 美国西部(俄勒冈州)
n 美国东部(北弗吉尼亚州)
n 欧盟(伦敦)
n 欧盟(法兰克福)
n 亚太地区(悉尼)
n 亚太地区(东京)
n 欧盟(爱尔兰)
n 美国西部(北加利福尼亚州)
n 美国东部(俄亥俄州)
n 亚太地区(新加坡)
n 加拿大(中部)
n 欧洲(巴黎)
n 亚太地区(孟买)
n 亚太地区(首尔)
n 南美洲(圣保罗)
n 欧洲(斯德哥尔摩)
b 选择部署选项。
选项 描述
单主机 选择此选项可创建单主机起步配置 SDDC。单主机起步配置 SDDC 将于 30 天后
过期。有关详细信息,请参见部署单主机 SDDC 起步配置。
多主机 选择此选项可创建包含三个或多个主机的 SDDC。
延伸群集 如果创建多主机 SDDC,还可以选择创建跨越两个可用区的延伸群集。如果其中
一个可用区出现问题,多可用区延伸群集能够提供容错和可用性。一个延伸群集
中必须至少包含 6 个主机,而且部署的主机数必须为偶数。
注 美国西部(加利福尼亚州北部)、加拿大(中部)和南美洲(圣保罗)地区
当前不支持延伸群集。
c 输入 SDDC 的名称。
如果需要,您可以稍后更改此名称。请参见《VMware Cloud on AWS 操作指南》中的重命名
SDDC。
VMware Cloud on AWS 操作指南
VMware, Inc. 15
d 选择主机类型。
选项 描述
i3 (本地 SSD) 置备主机时每个主机上配置固定量的本地 SSD 存储。
R5 (EBS) 使用基于 EBS 的存储置备主机。置备 R5 主机时,可以为每个主机选择存储容
量。这样,可以为大存储容量需求的工作负载置备更大的容量。
e 如果选择 R5 (EBS) 主机,则为每个主机选择存储容量。
您选择的值将用于群集中的所有主机,其中包括创建后添加到群集的任何主机。
f 如果创建多主机 SDDC,请指定 SDDC 中所需的初始主机数。
可以稍后根据需要添加或移除主机。
注 存储容量、性能和冗余都会受 SDDC 中主机数量的影响。有关详细信息,请参见存储容量和
数据冗余。
主机容量和总容量会更新,以反映指定的主机数量。
4 连接到 AWS 帐户。
有关 AWS 帐户以及在其中创建的子网的要求的重要信息,请参见 AWS VPC 配置和可用性要求。
选项 描述
目前跳过 如果您没有 AWS 帐户或现在不需要连接到 AWS 帐户,可以将此步骤推迟 14 天。
此选项当前仅可用于单主机 SDDC。
使用现有 AWS 帐户 在选择 AWS 帐户下拉列表中,选择 AWS 帐户以使用之前已连接到另一个 SDDC 的 AWS 帐户。如果下拉列表中未列出任何帐户,则必须连接到新的 AWS 帐户。
连接新 AWS 帐户 在选择 AWS 帐户下拉列表中,选择连接到新 AWS 帐户,然后按照页面上的说明执
行操作。VMC 控制台 会显示连接进度。
5 (可选) 单击下一步以在 SDDC 中配置管理子网。
输入管理子网的 IP 地址范围作为 CIDR 块,或者将文本框留空以使用默认设置,即 10.2.0.0/16。创建
SDDC 后,将无法更改这些值,因此指定此地址范围时,请注意以下事项:
n 选择与正连接的 AWS 子网未重叠的 IP 地址范围。如果您计划将 SDDC 连接到内部部署数据中
心,则子网的 IP 地址范围在企业网络基础架构中必须唯一。它不能与任何内部部署网络的 IP 地址
范围重叠。
n 如果部署的是单主机 SDDC,IP 地址范围 192.168.1.0/24 将预留用作 SDDC 的默认计算网关逻辑
网络。 如果指定的管理网络地址范围与 192.168.1.0/24 重叠,则单主机 SDDC 创建将失败。如果
部署的是多主机 SDDC,则在部署过程中不会创建任何计算网关逻辑网络,因此需要在部署
SDDC 后创建一个。
整个地址范围 100.64.0.0/10(依照 RFC 6598 为运营商级 NAT 预留)由 VMware Cloud on AWS 预留以供内部使用。您无法从 SDDC 中的工作负载访问该地址范围内的任何远程(内部部署)网
络,并且无法使用 SDDC 内该范围内的任何地址。此外,CIDR 块 10.0.0.0/15 和 172.31.0.0/16 预留给内部使用。管理网络 CIDR 块不能与这些范围重叠。
VMware Cloud on AWS 操作指南
VMware, Inc. 16
n 支持大小为 16、20 或 23 的 CIDR 块,并且必须位于由 RFC 1918 定义的“专用地址空间”块之
一(10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16)。选择管理 CIDR 块大小的主要因素是 SDDC 的预期可扩展性要求。管理 CIDR 块在部署 SDDC 后无法更改,因此 /23 块仅适用于不需要容量
大幅增长的 SDDC。
CIDR 块大小 主机数量(单个 AZ) 主机数量(多个 AZ)
23 27 22
20 251 246
16 请参见 VMware Cloud on AWS 的 高配置。
6 确认您了解并负责承担部署 SDDC 时产生的成本,然后单击部署 SDDC 以创建 SDDC。
单击部署 SDDC 后开始计费。部署过程开始后,您无法暂停或取消。部署完成后,您才能使用
SDDC。部署通常大约需要两个小时。
后续步骤
创建 SDDC 后,执行以下操作:
n 配置管理网关的 VPN 连接。
n 对于全规模 SDDC,必须为工作负载虚拟机网络配置逻辑分段。单主机 SDDC 具有默认逻辑分段。创
建完成后,将在 SDDC 卡上显示一个横幅,指示是否需要创建逻辑分段。请参见创建网络分段。
n 对于单主机 SDDC,将在 SDDC 卡上显示一个横幅,指示已为此 SDDC 创建默认逻辑分段。如果此默
认分段导致冲突,请将其删除并创建新的分段。请参见创建网络分段。
重命名 SDDC可以重命名现有 SDDC。
SDDC 名称 多只能包含 128 个字符。不要求唯一。
步骤
1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
2 在要重命名的 SDDC 对应的卡视图上,单击操作 > 重命名 SDDC。
3 键入新的 SDDC 名称,然后单击重命名。
删除 SDDC删除 SDDC 会终止所有正在运行的工作负载并销毁所有 SDDC 数据和配置设置(包括公用 IP 地址)。
SDDC 删除操作不可撤消。
步骤
1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
2 在要移除的 SDDC 对应的卡片视图上,单击操作 > 删除 SDDC
VMware Cloud on AWS 操作指南
VMware, Inc. 17
3 确认您了解删除 SDDC 的后果。
选择以下所有选项:
n 将终止此 SDDC 中的所有工作负载。
n 您将丢失此 SDDC 中的所有数据和配置设置。
n 您将丢失此 SDDC 的所有 UI 和 API 访问权限。
n 将释放此 SDDC 的所有公用 IP 地址。
n 将删除所有直连虚拟接口。
或单击取消以取消该过程而不影响 SDDC。
4 单击删除 SDDC。
SDDC 升级和维护
VMware Cloud on AWS 会定期对您的 SDDC 执行更新。这些更新可确保持续提供新功能和缺陷修复,并
在整个 SSDC 中保持软件版本的一致性。
SDDC 软件更新必须执行,且必须及时完成。SDDC 更新即将开始时,VMware 会向您发送通知电子邮
件。通常是在定期更新前 7 天和紧急更新前 1-2 天发送通知。升级延迟可能会导致 SDDC 运行不受支持的
软件版本。请参见支持的 SDDC 版本。
在更新过程的每个阶段开始、完成、重新调度或取消时,您也会收到电子邮件通知。为确保收到这些通
知,请将 [email protected] 加入白名单。
使用 NSX-T 的 SDDC 的升级过程
下图显示了使用基于 NSX-T 的网络的 SDDC 的升级过程。
下图显示了升级对 SDDC 基础架构的不同元素的影响。
VMware Cloud on AWS 操作指南
VMware, Inc. 18
重要事项 在升级期间:
n 请勿执行热工作负载迁移或冷工作负载迁移。如果在维护期间启动或正在进行迁移,则迁移将失败。
n 请勿执行工作负载置备(新建/克隆虚拟机)。如果在维护期间启动或正在进行置备操作,置备操作将
失败。
n 请勿更改工作负载虚拟机的基于存储的策略管理设置。
n 确保每个群集中具有足够的存储容量(> 30% 的备用空间)。
维护过程分三个阶段执行。
阶段 1:控制层面更新。这些更新包括 vCenter Server、NSX Edge 更新。在此阶段,将创建管理设备的备
份。如果出现问题,则会有一个 SDDC 还原点。在此阶段,将添加管理网关防火墙规则。在此升级阶段,
会出现导致短暂停机的 NSX Edge 故障切换。在此阶段,您无法访问 NSX Manager 和 vCenter Server。此外,您的工作负载和其他资源将照常工作并遵循上述限制。
阶段 1 完成后,您将收到通知。阶段 1 完成后,将等待一段时间,随后第 2 阶段开始。阶段 2 将在指定的
开始时间启动。
阶段 2:主机更新。这些更新包括 SDDC 中 ESXi 主机和主机网络软件的更新。此阶段会将一个额外的主
机临时添加到 SDDC,为更新提供足够的容量。您不需要为添加的这些主机付费。将执行 vMotion 和 DRS 活动以便进行更新。在此期间,您的工作负载和其他资源将照常工作并遵循上述限制。阶段 2 完成后,将
从 SDDC 中的每个群集中移除临时添加的主机。
阶段 2 完成后,您将收到通知。阶段 2 完成后,将等待一段时间,随后第 3 阶段开始。阶段 3 将在指定的
开始时间启动。
阶段 3:这些更新包括 NSX-T 设备的更新。在此阶段,将创建管理设备的备份。如果出现问题,则会有一
个 SDDC 还原点。在此阶段,将添加管理网关防火墙规则。在此阶段,您无法访问 NSX Manager 和
vCenter Server。此外,您的工作负载和其他资源将照常工作并遵循上述限制。
注 从 SDDC 版本 1.8 升级到版本 1.9 或更高版本时,需要更改 NSX 设备配置。这会导致 NSX Edge 故障切换,从而导致大约 10 秒的额外停机时间。
阶段 3 完成后,您将收到通知。
有关估算每个阶段持续时间的详细信息,请参见估算 SDDC 维护的持续时间。
为 SDDC 调度 SDDC 升级时,可在 VMC 控制台 的“维护”选项卡中看到有关维护即将开始或正在进行
的信息。有关详细信息,请参见查看 SDDC 维护调度预留。
VMware Cloud on AWS 操作指南
VMware, Inc. 19
VMware Hybrid Cloud Extension (HCX) 更新
对于使用 HCX 的客户:
n 此版本不会升级 SDDC Manager 的 VMware Hybrid Cloud Extension (HCX)。
n 避免启动可能与 SDDC 升级时段重叠的 HCX 迁移。HCX 批量迁移过程可能会停止,且 HCX vMotion 迁移可能会失败。
n 有关更多详细信息,请参见《VMware HCX 用户指南》,网址为 https://docs.vmware.com/cn/VMware-NSX-Hybrid-Connect/index.html。
VMware vCenter Cloud Gateway 更新
对于使用 VMware vCenter Cloud Gateway 的客户:
n 将 VMware vCenter Cloud Gateway 更新到 新版本。
n 在设备升级期间,VMware vCenter Cloud Gateway 的用户界面可能无法访问。
n 有关详细信息,请参见 vCenter Cloud Gateway Appliance 相关文档,网址为 https://docs.vmware.com/cn/VMware-Cloud-on-AWS/services/com.vmware.vsphere.vmc-aws-manage-data-center.doc/GUID-58C1AC46-3F99-4F93-BB1F-FD1878B49374.html。
Horizon Enterprise 更新
有关 SDDC 升级对 VMware Cloud on AWS 上运行的 Horizon Enterprise 安装造成的影响的信息,请参见
https://kb.vmware.com/s/article/74599。
查看 SDDC 维护调度预留
可以查看为即将开始的 SDDC 维护调度的时间。
VMware 会定期为其服务(包括 VMware Cloud on AWS)调度软件维护。维护期间,工作负载虚拟机将保
持联机状态,但您无法查看或修改 vCenter Server 和 SDDC 网络。
前提条件
此操作仅限于具有 CloudAdmin 角色的用户。
步骤
1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
2 导航到 SDDC 的维护选项卡。
如果为此 SDDC 调度了维护,您将看到即将开始的维护卡,其中显示了维护的日期和时间范围。
VMware Cloud on AWS 操作指南
VMware, Inc. 20
将 UTC 时间转换为本地时间
使用 UTC 时间调度维护时段。您可以将其转换为本地时间。
步骤
u 使用以下方法之一计算 UTC 时间对应的本地时间。
选项 描述
使用时区计算器 使用 https://www.timeanddate.com/worldclock/converter.html 中的时区计算器将
UTC 时间转换为您的本地时间。
使用 UTC 时差计算本地时间 a 确定本地时区与 UTC 时间的时差。请参见 https://en.wikipedia.org/wiki/List_of_UTC_time_offsets。
b 将时差添加到 UTC 时间(以 24 小时表示)。
c 如果您的本地时区推行夏令时,请对夏令时进行调整。
估算 SDDC 维护的持续时间
VMware Cloud on AWS 会对您的 SDDC 执行定期维护,使其及时获得新特色和新功能。
维护时长取决于许多因素,包括但不限于:
n SDDC 中的群集数。可以同时升级多达 10 个群集。
n SDDC 中的主机数
n vCenter Server、ESXi 主机和 NSX-T 数据库中的数据量
n 添加和移除主机所需的时间。用于 VDI 的 SDDC 需要额外的时间来更新和移除主机。
n 执行多个服务操作(例如备份、预更新和更新后操作)使用的时间。从 SDDC 版本 1.8 升级到版本
1.9 或更高版本时,需要额外的时间来更改 NSX 设备配置。
n 暂时性环境或基础架构情况
由于影响因素众多,因此很难准确估算维护时间。虽然下面的数字基于过去的数据,但应该能帮助您在一
定程度上了解即将开始的 SDDC 维护所需的时长。
阶段 1:控制层面更新
此阶段包括管理设备备份、vCenter Server 更新以及 NSX Edge 更新。
此阶段大约需要 2 到 4 小时。
阶段 2:主机更新
此阶段包含 SDDC 中主机和主机网络软件的更新。
使用下表估算阶段 2 的持续时间。
流程 时间 备注
备份 10-40 分钟 基于设备的数据库大小。
添加主机 15 分钟
VMware Cloud on AWS 操作指南
VMware, Inc. 21
流程 时间 备注
更新主机 每个主机 60 分钟;每个 VDI 主机 120 分钟
移除主机 15 分钟;VDI 主机需要 15-60 分钟
一次 多并行升级 10 个群集。如果您有 10 个或更少的群集,则整体升级时间由 SDDC 中 大的群集决
定。如果您有 10 个以上的群集,则 初的 10 个群集中的一个升级完成后,其他每个群集将开始升级。在
这种情况下,整体升级时间取决于 初 10 个群集中 大群集所需的时间,加上 初 10 个群集中的一个群
集完成后开始的后续群集完成所需的任何其他时间。
阶段 3:NSX 设备更新
此阶段包含管理设备备份和 NSX 设备更新。此阶段大约需要 1 到 4 小时。
查看计费信息
通过 VMware Cloud Services 处理 VMware Cloud on AWS 计费。
计费周期从为组织设置第一个服务的日期开始。例如,如果您在 15 日设置组织中的第一个服务,则计费周
期为每月 15 日至次月 14 日。
VMware Cloud on AWS 的主机使用情况跟踪与计费周期一致。帐单上显示的主机使用情况是在计费期间发
生的整个主机使用情况。
其他类型的使用情况(包括传出数据、IP 地址使用情况和重新映射以及 EBS 使用情况)在每月 5 日发送
给您,包括直至上个月 后一天的使用情况。对于这些类型的使用情况,使用发生时间与帐单上显示的时
间之间可能会存在时间延迟。延迟时间量取决于计费周期开始日期相对于当月 5 日的时间差。
例如,以两个用户 Alice 和 Bob 为例。Alice 的计费周期从 3 日开始,而 Bob 的计费周期从 12 日开始。
6 月 3 日,Alice 的帐单显示:
n 5 月 3 日至 6 月 2 日期间的主机使用情况
n 4 月 1 日至 4 月 30 日期间的其他使用情况
6 月 12 日,Bob 的帐单显示:
n 5 月 12 日至 6 月 11 日期间的主机使用情况
n 5 月 1 日至 5 月 31 日期间的其他使用情况
步骤
u 按 https://docs.vmware.com/cn/VMware-Cloud-services/services/Using-VMware-Cloud-Services/GUID-B57490E3-1916-4214-B193-9D9E7AF3B10A.html 中所述查看帐单。
VMware Cloud on AWS 操作指南
VMware, Inc. 22
SDDC 中的角色和权限
每个 SDDC 都定义了一个名为 CloudAdmin 的角色。此角色中的组织成员具有管理组织所拥有的所有对象
的权限。
SDDC 角色
CloudAdmin CloudAdmin 角色为您提供在 SDDC 上创建和管理工作负载所需的特权。但
是,您无法访问或配置 VMware 支持和管理的对象,如主机、群集和管理虚
拟机。有关分配给此角色的特权的详细信息,请参见 CloudAdmin 特权。
CloudGlobalAdmin CloudGlobalAdmin 角色与全局特权相关联,允许您创建和管理内容库对象
并执行其他一些全局任务。
注 自 SDDC 版本 1.7 起,CoudGlobalAdmin 角色(具有授予 CloudAdmin 角色的部分特权)已弃用。
有关系统中角色和权限的详细信息,请参见 vSphere 文档中的了解 vSphere 中的授权。
CloudAdmin 负责在 SDDC 中创建用户、组和角色,通常通过使用 vCenter Single Sign-On 和混合链接模
式进行创建。对于大多数用例,SDDC vCenter 中的权限和角色可以像在通过混合链接模式链接到 SDDC 的内部部署 vCenter 中那样进行配置,这样两个环境中具有相同的访问控制,从而您组织的工作流可从中
受益。
由于 VMware Cloud on AWS 是一种服务,因为限制了所有租户(组织成员)对必须由服务提供商
(VMware) 控制的 vSphere 资源的访问。此外,还对可以与所创建的角色相关联的权限进行限制,并阻止
您修改 CloudAdmin 角色或比 CloudAdmin 角色拥有更多权限的任何角色。已向服务提供商授予组织中所
有用户、组、权限、角色和清单对象的超级用户权限。
有关系统中角色和权限的详细信息,请参见 VMware vSphere 文档中的了解 vSphere 中的授权。
AWS 角色
要创建 SDDC,VMware 必须向您的 AWS 帐户添加几个必需的 AWS 角色和权限。创建 SDDC 后,将从
这些角色中移除大多数权限。这些角色的其他权限将保留在您的 AWS 帐户中。
重要事项 不得更改任何其余的 AWS 角色和权限。这样做将导致 SDDC 无法运行。
有关详细信息,请参见 AWS 角色和权限。
VMware Cloud on AWS 操作指南
VMware, Inc. 23
管理 SDDC 主机和群集 2您可以从云 SDDC 添加和移除群集和主机,只要 SDDC 中的群集和主机数量不低于允许的 小数量或不高
于允许的 大数量即可。
在 SDDC 创建期间创建的初始群集命名为 Cluster-1。您创建的其他群集依序编号为 Cluster-2、
Cluster-3,依此类推。
将主机添加到具有多个群集的 SDDC 时,可以选择要添加这些主机的群集。
本章讨论了以下主题:
n VMware Cloud on AWS 主机类型
n 添加群集
n 移除群集
n 添加主机
n 移除主机
n 关于 Elastic DRS
n 使用策略和配置文件
VMware Cloud on AWS 主机类型
VMware Cloud on AWS 提供不同的主机类型,供您在 SDDC 中使用。
SDDC 中的某个给定群集必须包含相同类型的主机。
某些主机类型可能在特定的区域或可用区内不可用。
i3 i3 主机类型是默认主机类型。i3 主机具有固定的计算、内存和存储分配,即
每个主机 36 个内核、512 GB RAM 和 10.7 TB 存储。
r5 创建 SDDC 或添加其他群集时,可以选择 r5 主机类型。r5 主机使用基于
EBS 的存储。使用该主机类型创建群集时,可以选择每个主机的存储容量。
这些主机适用于大存储容量需求的工作负载。
VMware, Inc. 24
添加群集
您可以向云 SDDC 中添加群集,只要不超过为您的帐户配置的 大数量即可。
系统将在初始 SDDC 所在的相同可用区中创建其他群集。
部署其他群集时,无论该群集是单可用区群集还是延伸群集,都不必选择为 SDDC 创建的初始群集中使用
的相同主机类型。但是,给定群集中的所有主机都必须具有相同的类型。
为您的 SDDC 创建的逻辑网络将自动在所有群集之间共享。计算资源和存储资源将以同样的方式配置给所
有群集。例如:
n 每个群集包含一个 Compute-ResourcePool,且权限与在初始 SDDC 群集中创建的相同。
n 每个群集包含一个 workloadDatastore,其权限与初始 SDDC 群集中的相同。
注 在 SDDC 中创建的第一个群集预留给管理工作负载,并且包含 Mgmt-ResourcePool 和
vsanDatastore。将根据需要为 workloadDatastore 创建其他群集。
步骤
1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
2 在要添加群集的 SDDC 对应的卡上,选择操作 > 添加群集。
3 选择主机类型。
选项 描述
i3 (本地 SSD) 置备主机时每个主机上配置固定量的本地 SSD 存储。
R5 (EBS) 使用基于 EBS 的存储置备主机。置备 R5 主机时,可以为每个主机选择存储容量。
这样,可以为大存储容量需求的工作负载置备更大的容量。
4 指定要为群集中的每个主机启用的 CPU 内核数。
默认情况下,在群集中的每个主机上启用所有 CPU 内核。如果要禁用部分内核以节省按内核许可的应
用程序的许可成本,您可以启用部分可用内核。此部分可用内核将应用于群集中的所有主机。每个主机
上的其他内核将被禁用,并且在该主机的生命周期内始终保持禁用状态。
重要事项 减少内核计数不仅会影响主机上所有工作负载的计算性能,还会增加系统性能下降的可能
性。例如,vCenter 和 vSAN 开销会变得更为明显,例如添加群集和主机等操作可能需要更长时间才能
完成。
5 选择群集中的主机数。
6 如果选择 R5 (EBS) 主机,则为每个主机选择存储容量。
您选择的值将用于群集中的所有主机,其中包括创建后添加到群集的任何主机。
7 单击添加群集。
结果
进度条将显示群集的创建进度。
VMware Cloud on AWS 操作指南
VMware, Inc. 25
移除群集
您可以移除 SDDC 中除初始群集 Cluster-1 之外的任何群集。
删除群集时,该群集中的所有工作负载虚拟机将立即被终止,所有数据和配置信息也将被删除。您将无法
通过 API 和 UI 访问该群集。与该群集中的虚拟机关联的公用 IP 地址被释放。
当前不支持从部署了多可用区群集的 SDDC 中删除群集。
前提条件
n 将要保留的任何工作负载虚拟机迁移到 SDDC 中的其他群集。
n 复制要保留的任何数据。
步骤
1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
2 单击 SDDC,然后单击摘要。
3 在要移除的群集对应的卡片上,单击删除群集。
在删除群集之前,必须选中所有复选框以确认您了解此操作的后果。选中所有复选框时,会启用删除群
集按钮。单击该按钮可删除群集。
添加主机
您可以向 SDDC 中添加主机,以增加 SDDC 中可用的计算和存储容量。
向 SDDC 添加主机时,只要未超过为您的帐户分配的 大主机数量即可。
步骤
1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
2 单击 SDDC,然后单击摘要。
3 选择要添加主机的位置。
n 如果 SDDC 只有一个群集,请从 SDDC 卡选择操作 > 添加主机。
VMware Cloud on AWS 操作指南
VMware, Inc. 26
n 如果 SDDC 有多个群集,请从要添加主机的群集对应的卡选择操作 > 添加主机。
将显示“添加主机”页面。
4 选择要添加的主机数,然后单击添加主机。
如果要将主机添加到多可用区群集中,一次必须以 2 的倍数添加主机。
结果
一个或多个主机将添加到您的 SDDC 群集中。
移除主机
您可以从 SDDC 中移除主机,只要 SDDC 群集中的主机数量大于 低要求即可。
单可用区群集的 小主机数量为 3 台。多可用区群集的 小主机数量为 6 台。
每当减少群集大小时,存储延迟都会因主机移除产生的进程开销而增加。此开销的持续时间随涉及的数据
量而异。可能只需要 1 个小时,但极端情况下也可能会超过 24 小时。减小群集大小(缩小)时,受影响群
集支持的工作负载虚拟机的存储延迟可能会显著增加。
移除主机时,在该主机上运行的虚拟机将撤出并迁移到 SDDC 群集中的其他主机上。该主机将被置于维护
模式,然后被移除。
VMware Cloud on AWS 操作指南
VMware, Inc. 27
前提条件
确保群集中有足够的容量可以存放将从移除的主机中撤出的工作负载虚拟机。
步骤
1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
2 单击 SDDC,然后单击摘要。
3 选择操作 > 移除主机
n 如果 SDDC 只有一个群集,请从 SDDC 卡选择操作 > 移除主机。
n 如果 SDDC 有多个群集,请从要移除主机的群集对应的卡选择操作 > 移除主机。
4 选择要移除的主机的数量。
如果要从多可用区群集中移除主机,必须以 2 的倍数移除主机。
注 所有 vSAN 存储策略都具有 小主机数要求。如果尝试将主机数减少到低于此 小值,则操作将失
败。请参见《管理 VMware Cloud on AWS 数据中心》中的 vSAN 策略。
5 选中我了解此操作不可撤消复选框。
6 单击移除。
关于 Elastic DRSElastic DRS 会使用一种算法确保已置备主机数量 佳,从而在保证较高群集利用率的情况下获得所需的
CPU、内存和存储性能。
Elastic DRS 会监控 SDDC 上的当前需求,并采用一种算法来生成缩小或扩大群集的建议。决策引擎通过
在群集中置备新主机对扩大建议做出响应。通过从群集中移除利用率 低的主机对缩小建议做出响应。
以下类型的 SDDC 不支持 Elastic DRS:
n 部署有多个可用区延伸群集的 SDDC。
n 单主机起步 SDDC
Elastic DRS 算法启动扩大操作时,所有组织用户都将在 VMC 控制台中收到通知,同时也将收到电子邮件
通知。
Elastic DRS 算法的工作原理
Elastic DRS 算法可监控群集中的资源利用率随时间变化的趋势。该算法会根据利用率高峰和随机情况生成
扩大或缩小群集的建议,并生成警示。通过在群集中置备新主机或从群集中移除主机,可以立即处理此警
示。
该算法每 5 分钟运行一次,并使用以下参数:
n 算法应纵向扩展或纵向缩减到的 大主机数和 小主机数。
VMware Cloud on AWS 操作指南
VMware, Inc. 28
n CPU、内存和存储利用率阈值,以便针对成本或性能优化主机分配。这些阈值(在选择 Elastic DRS 策略页面上列出)是为每种 DRS 策略类型预定义的,用户无法更改。
扩大建议
当 CPU、内存或存储利用率其中任一项始终高于阈值时,会生成扩大建议。例如,如果存储利用率超过上
限阈值,但内存和 CPU 利用率始终低于其相应阈值,则会生成扩大建议。将发布一个 vCenter Server 事件,指明群集上扩大操作的开始时间、完成时间或失败情况。
缩小建议
当 CPU、内存或存储利用率全都始终低于阈值时,会生成缩小建议。如果群集中的主机数达到指定的 小
值,则不按照缩小建议执行操作。将发布一个 vCenter Server 事件,指明群集上缩小操作的开始时间、完
成时间或失败情况。
注 每当减少群集大小时,存储延迟都会因主机移除产生的进程开销而增加。此开销的持续时间随涉及的
数据量而异。可能只需要 1 个小时,但极端情况下也可能会超过 24 小时。减小群集大小(缩小)时,受影
响群集支持的工作负载虚拟机的存储延迟可能会显著增加。
两个建议之间的时间延迟
该算法包括一项安全检查,可避免处理频繁生成的事件以及让群集有时间适应上一个事件处理后发生的变
化。将在两个事件之间强制执行以下时间间隔:
n 两个连续扩大事件之间存在 30 分钟延迟。
n 扩大群集后会延迟 3 小时处理缩小事件。
与其他操作建议的交互
以下操作可与 Elastic DRS 建议交互:
n 用户启动的添加或移除主机操作。
通常情况下,您不需要在启用 Elastic DRS 的群集中手动添加或移除主机。您仍可以执行这些操作,但
Elastic DRS 建议可能会在某个时刻将其恢复。
如果用户启动的添加或移除主机操作正在执行,将忽略 Elastic DRS 算法给出的当前建议。用户启动的
操作完成后,该算法可能会根据资源利用率和当前选定策略的更改建议缩小或扩大操作。
如果在应用 Elastic DRS 建议时启动添加或移除主机的操作,则此添加或移除主机的操作会失败,并显
示并发更新异常错误。
n 计划维护操作
计划维护操作意味着某个特定主机需要更换为新主机。计划维护操作正在执行时,会忽略 Elastic DRS 算法给出的当前建议。计划维护完成后,该算法会再次运行,并应用新建议。如果在对群集应用
Elastic DRS 建议时在此群集上启动计划维护事件,则此计划维护任务将排队。Elastic DRS 建议任务
完成后,计划维护任务启动。
n 自动修复
VMware Cloud on AWS 操作指南
VMware, Inc. 29
在自动修复期间,故障主机将更换为新主机,并且其主机标记将应用于更换主机。自动修复正在执行
时,会忽略 Elastic DRS 算法给出的当前建议。自动修复完成后,该算法会再次运行,并应用新建议。
如果在对群集应用 Elastic DRS 建议时为此群集启动自动修复事件,则此自动修复任务将排队。Elastic DRS 建议任务完成后,自动修复任务启动。
n SDDC 维护时段
如果 SDDC 正在进行维护或计划在未来 6 小时后进行计划维护,则会忽略 EDRS 建议。
选择 Elastic DRS 策略
可以在群集上设置 Elastic DRS 策略以优化您的工作负载需求。
在新的 SDDC 中,Elastic DRS 使用默认存储扩大策略,仅当存储利用率超过 75% 时,才会添加主机。如
果其他策略能够为工作负载虚拟机提供更好的支持,则可以选择该策略。对于任何策略,当群集达到任意
资源的高阈值时,将触发扩大操作。仅当达到所有低阈值后,才会触发缩减操作。
可用策略包括:
为获得 佳性能进行优化 该策略可以更快地添加主机,更慢地移除主机,从而避免需求激增时出现性
能下降。该策略具有以下阈值:
资源 高阈值 低阈值
CPU 90% 利用率 50% 利用率
内存 80% 利用率 50% 利用率
存储 70% 利用率 20% 利用率
为实现 低成本进行优化 该策略可以更快地添加主机,更慢地移除主机,从而提供基准性能,同时将
主机计数保持在实际的 小值。该策略具有以下阈值:
资源 高阈值 低阈值
CPU 90% 利用率 60% 利用率
内存 80% 利用率 60% 利用率
存储 70% 利用率 20% 利用率
步骤
1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
2 单击 SDDC,然后单击摘要。
3 在 SDDC 或群集对应的卡片视图上,单击编辑 EDRS 设置。
4 选择要使用的 Elastic DRS 策略。
默认存储扩大策略没有参数。对于其他策略,指定 小群集大小为 3 或更大, 大群集大小与预期工
作负载资源消耗一致。
5 单击保存。
VMware Cloud on AWS 操作指南
VMware, Inc. 30
使用策略和配置文件
CloudAdmin 用户可以在 SDDC 中建立用于控制工作负载虚拟机放置的策略和配置文件。
创建和管理计算策略
计算策略提供了指定 vSphere Distributed Resource Scheduler (DRS) 应该如何在资源池中的主机上放置虚
拟机的方式。使用 vSphere Client 计算策略编辑器创建和删除计算策略。
可以创建或删除计算策略,但不能对其进行修改。如果删除策略定义中使用的类别标记,也会删除该策
略。系统不会检查策略冲突。例如,如果遵循同一个虚拟机-主机关联性策略的多个虚拟机也遵循虚拟机-虚拟机反关联性策略,DRS 将无法以同时符合这两个策略的方式放置虚拟机。
注 VMware Cloud on AWS SDDC 中的关联性策略与可以在内部部署环境中创建的 vSphere DRS 关联性
规则不同。它们在使用上虽然许多方面是相同的,但操作方面具有显著差异。计算策略会应用于 SDDC 中的所有主机,且通常不能以实施 DRS“必要”策略的相同方式加以实施。策略创建/删除页面包含有关每个
策略类型的操作详细信息。
监控合规性
在 vSphere Client 中打开“虚拟机摘要”页面,以查看应用于虚拟机的计算策略及其关于每个策略的合规
性状态。
创建或删除虚拟机-主机关联性策略
虚拟机-主机关联性策略描述了某类虚拟机和某类主机之间的关系。
基于主机的许可要求将运行特定应用程序的虚拟机放置在获得运行这些应用程序许可的主机上时,虚拟机-主机关联性策略会很有用。具有工作负载特定配置的虚拟机要求放置在具有某些特征的主机上时,它们也
会很有用。
虚拟机-主机关联性策略会在某类虚拟机和某类主机之间建立关联性关系。创建策略后,SDDC 中的放置引
擎将在策略所涵盖的类别中的主机上部署策略所涵盖的类别中的虚拟机。
要防止虚拟机-主机关联性策略阻止主机或群集升级,可以通过几种方式对虚拟机-主机关联性策略进行约
束。
n 策略无法阻止主机进入维护模式。
n 策略无法阻止为 HA 配置的主机执行故障切换。与故障主机具有关联性的虚拟机可以迁移到群集中的任
何可用主机。
n 策略无法阻止虚拟机打开电源。如果遵循主机关联性策略的虚拟机指定的资源预留在任何主机上都无法
满足,则可以在任何可用主机上打开电源。
合规主机变为可用后,会立即解除这些约束。
前提条件
此操作仅限于具有 CloudAdmin 角色的用户。
VMware Cloud on AWS 操作指南
VMware, Inc. 31
步骤
1 为要包括在虚拟机-主机关联性策略中的虚拟机创建类别和标记。
选取一个描述通用特征的类别名称,如您计划标记为该类别成员的虚拟机的许可证要求。
2 为要包括在虚拟机-主机关联性策略中的主机创建类别和标记。
可以使用现有的标记和类别,也可以根据特定需要创建新的标记或类别。有关创建和使用标记的详细信
息,请参见 vSphere 标记和属性。
3 标记要包括在虚拟机-主机关联性策略中的虚拟机和主机。
4 创建虚拟机-主机关联性策略。
a 在 SDDC 中,单击访问 VCENTER。
b 在 vSphere Client 主页中,单击策略和配置文件 > 计算策略。
c 单击添加以打开新建计算策略向导。
d 填写策略名称,然后从策略类型下拉控件中选择虚拟机-主机关联性。
策略名称在 SDDC 内必须是唯一的。
e 提供策略描述,然后使用虚拟机标记和主机标记下拉控件选择要应用策略的类别和标记。
除非多个虚拟机标记关联一种类别,否则在选择标记类别后,向导将填写虚拟机标记。
f 单击创建以创建策略。
5 (可选) 要删除计算策略,请打开 vSphere Web Client,单击策略和配置文件 > 计算策略以将每个策
略显示为一个卡片视图。单击“删除”删除策略。
创建或删除虚拟机-主机反关联性策略
虚拟机-主机反关联性策略描述了某类虚拟机和某类主机之间的关系。
希望避免将具有特定主机要求(如 GPU 或其他设备)或功能(如 IOPS 控制)的虚拟机放置在不支持这些
要求的主机上时,虚拟机-主机反关联性策略会非常有用。创建策略后,SDDC 中的放置引擎将避免在策略
所涵盖的主机上部署策略所涵盖的虚拟机。
要防止主机-虚拟机反关联性策略阻止主机或群集升级,可以通过几种方式对这些策略进行约束。
n 策略无法阻止主机进入维护模式。
n 策略无法阻止为 HA 配置的主机执行故障切换。与故障主机具有反关联性的虚拟机可以迁移到群集中的
任何可用主机。
n 策略无法阻止虚拟机打开电源。如果遵循虚拟机-主机反关联性策略的虚拟机指定的资源预留在任何主
机上都无法满足,则可以在任何可用主机上打开电源。
合规主机变为可用后,会立即解除这些约束。
前提条件
此操作仅限于具有 CloudAdmin 角色的用户。
VMware Cloud on AWS 操作指南
VMware, Inc. 32
步骤
1 为要包括在虚拟机-主机反关联性策略中的虚拟机创建类别和标记。
选取一个类别名称,该名称可描述您计划标记为该类别成员的虚拟机的通用特征。
2 为要包括在虚拟机-主机反关联性策略中的主机创建类别和标记。
可以使用现有的标记和类别,也可以根据特定需要创建新的标记或类别。有关创建和使用标记的详细信
息,请参见 vSphere 标记和属性。
3 标记要包括在虚拟机-主机反关联性策略中的虚拟机和主机。
4 创建虚拟机-主机反关联性策略。
a 在 SDDC 中,单击访问 VCENTER。
b 在 vSphere Client 主页中,单击策略和配置文件 > 计算策略。
c 单击添加以打开新建计算策略向导。
d 填写策略名称,然后从策略类型下拉控件中选择虚拟机-主机反关联性。
策略名称在 SDDC 内必须是唯一的。
e 提供策略描述,然后使用虚拟机标记和主机标记下拉控件选择要应用策略的类别和标记。
除非您有多个标记与给定类别中的虚拟机或主机相关联,否则,向导会在您选择标记类别后填写虚
拟机标记和主机标记。
f 单击创建以创建策略。
5 (可选) 要删除计算策略,请打开 vSphere Web Client,单击策略和配置文件 > 计算策略以将每个策
略显示为一个卡。单击“删除”删除策略。
创建或删除虚拟机-虚拟机关联性策略
虚拟机-虚拟机关联性策略描述了某类虚拟机成员之间的关系。
当一个类别中的两个或多个虚拟机可以从数据引用局部性受益或放置在同一主机上可以简化审核时,虚拟
机-虚拟机关联性策略会非常有用。
虚拟机-虚拟机关联性策略会在给定类别的虚拟机之间建立关联性关系。创建策略后,SDDC 中的放置引擎
会尝试在同一主机上部署策略所涵盖的类别中的所有虚拟机。
前提条件
此操作仅限于具有 CloudAdmin 角色的用户。
步骤
1 为要包括在虚拟机-虚拟机关联性策略中的每组虚拟机创建类别和标记。
可以使用现有的标记和类别,也可以根据特定需要创建新的标记或类别。有关创建和使用标记的详细信
息,请参见 vSphere 标记和属性。
2 标记要包括在每组中的虚拟机。
VMware Cloud on AWS 操作指南
VMware, Inc. 33
3 创建虚拟机-虚拟机关联性策略。
a 在 SDDC 中,单击访问 VCENTER。
b 在 vSphere Client 主页中,单击策略和配置文件 > 计算策略。
c 单击添加以打开新建计算策略向导
d 填写策略名称,然后从策略类型下拉控件中选择虚拟机-虚拟机关联性。
策略名称在 SDDC 内必须是唯一的。
e 提供策略描述,然后使用虚拟机标记下拉控件选择要应用策略的类别和标记。
除非多个虚拟机标记关联一种类别,否则在选择标记类别后,向导将填写虚拟机标记。
f 单击创建以创建策略。
4 (可选) 要删除计算策略,请打开 vSphere Web Client,单击策略和配置文件 > 计算策略以将每个策
略显示为一个卡。单击策略卡上的“删除”以删除策略。
创建或删除虚拟机-虚拟机反关联性策略
虚拟机-虚拟机反关联性策略描述了某类虚拟机之间的关系。
虚拟机-虚拟机反关联性策略不支持将虚拟机放置在同一类别的同一主机上。如果要将运行关键工作负载的
虚拟机放在不同的主机上以便一个主机发生故障时不会影响该类别中的其他虚拟机,这种策略会非常有
用。创建策略后,SDDC 中的放置引擎会尝试将虚拟机部署在该类别下的不同主机上。
实施虚拟机-虚拟机反关联性策略会在几个方面受到影响:
n 如果策略应用到的虚拟机数大于 SDDC 中存在的主机数,或者无法将虚拟机放置在满足策略的主机
上,则 DRS 会尝试将虚拟机放置在任何合适的主机上。
n 如果置备操作指定目标主机,则即使违反策略,也始终遵守该规范。DRS 将尝试在后续修复周期内将
虚拟机移动到合规主机。
前提条件
此操作仅限于具有 CloudAdmin 角色的用户。
步骤
1 为要包括在虚拟机-虚拟机反关联性策略中的每组虚拟机创建类别和标记。
可以使用现有的标记和类别,也可以根据特定需要创建新的标记或类别。有关创建和使用标记的详细信
息,请参见 vSphere 标记和属性。
2 标记要包括在每组中的虚拟机。
3 创建虚拟机-虚拟机反关联性策略。
a 在 SDDC 中,单击访问 VCENTER。
b 在 vSphere Client 主页中,单击策略和配置文件 > 计算策略。
c 单击添加以打开新建计算策略向导。
VMware Cloud on AWS 操作指南
VMware, Inc. 34
d 填写策略名称,然后从策略类型下拉控件中选择虚拟机-虚拟机反关联性。
策略名称在 SDDC 内必须是唯一的。
e 提供策略描述,然后使用虚拟机标记下拉控件选择要应用策略的类别和标记。
除非多个虚拟机标记关联一种类别,否则在选择标记类别后,向导将填写虚拟机标记。
f 单击创建以创建策略。
4 (可选) 要删除计算策略,请打开 vSphere Web Client,单击策略和配置文件 > 计算策略以将每个策
略显示为一个卡片视图。单击“删除”删除策略。
创建或删除“禁用 DRS vMotion”策略
应用到虚拟机的 DisableDRSvMotion 策略可阻止 DRS 将虚拟机迁移到其他主机,除非当前主机发生故障
或置于维护模式。
如果虚拟机上运行的应用程序在本地主机上创建资源且需要这些资源保留在本地,则这种类型的策略会非
常有用。如果 DRS 将虚拟机移到另一台主机以实现负载平衡或满足预留要求,会留下应用程序创建的资
源,且引用局部性受损时性能可能会下降。
标记的虚拟机打开电源后“禁用 DRS vMotion”策略便会生效,且只要该虚拟机当前所在主机保持可用,
就会使该虚拟机保留在该主机上。该策略不会影响选择打开哪个主机上的虚拟机的电源。
前提条件
此操作仅限于具有 CloudAdmin 角色的用户。
步骤
1 为要包括在 DisableDRSvMotion 策略中的每组虚拟机创建类别和标记。
2 标记要包括在每组中的虚拟机。
可以使用现有的标记和类别,也可以根据特定需要创建新的标记或类别。有关创建和使用标记的详细信
息,请参见 vSphere 标记和属性。
3 创建“禁用 DRS vMotion”策略。
a 在 SDDC 中,单击访问 VCENTER。
b 在 vSphere Client 主页中,单击策略和配置文件 > 计算策略。
c 单击添加以打开新建计算策略向导。
d 填写策略名称,然后从策略类型下拉控件中选择禁用 DRS vMotion。
策略名称在 SDDC 内必须是唯一的。
e 提供策略描述,然后使用虚拟机标记下拉控件选择要应用策略的虚拟机类别。
除非多个虚拟机标记关联一种类别,否则在选择标记类别后,向导将填写虚拟机标记。
f 单击创建以创建策略。
VMware Cloud on AWS 操作指南
VMware, Inc. 35
4 (可选) 要删除计算策略,请打开 vSphere Web Client,单击策略和配置文件 > 计算策略以将每个策
略显示为一个卡片视图。单击“删除”删除策略。
VMware Cloud on AWS 操作指南
VMware, Inc. 36
使用 SDDC 附加服务 3登录到 VMC 控制台 时,会看到我的服务和更多服务对应的卡视图。可以将更多服务列表中的服务添加到
我的服务列表,使其可在 SDDC 中使用。
本章讨论了以下主题:
n 使用 vRealize Log Insight Cloud 加载项
使用 vRealize Log Insight Cloud 加载项
vRealize Log Insight Cloud 可收集并分析 SDDC 中生成的日志。
默认情况下,在新的 SDDC 中启用 vRealize Log Insight Cloud 试用版。您组织内的用户访问 vRealize Log Insight Cloud 加载项时,试用期即开始,30 天后过期。试用期过期后,您可以选择订阅此服务,也可
以选择继续免费使用部分服务功能。有关使用 vRealize Log Insight Cloud 的详细信息,请参见 vRealize Log Insight Cloud 文档。
SDDC 审核日志事件
vRealize Log Insight Cloud 将符合以下规则的 SDDC 事件分类为审核数据。
ESXi 审核事件"text=(esx AND audit)"
"text =(hostd AND vmsvc AND vm AND snapshot)"
"text =(vim.event.HostConnectionLostEvent)"
vCenter 审核事件"text = (vpxd AND event AND vim AND NOT originator)"
NSX-T 审核事件"text = (nsx AND audit AND true AND comp AND reqid)"
NSX-T 防火墙和数据包日
志事件"text = (nsx AND firewall AND inet)"
"text = (firewall_pktlog AND inet)"
用户驱动的活动事件log_type Contains Activity
VMC 通知网关事件log_type Contains Notification
VMware, Inc. 37
将模板、ISO 和其他内容传输到 SDDC 4系统中可能有各种各样的内容,包括 .vmtx 模板、OVF 和 OVA 模板、ISO 映像、脚本以及其他要在
SDDC 中使用的内容。
内容类型 如何传输到 SDDC
.vmtx 模板 n 使用 Content Onboarding Assistant 将模板传输到 SDDC。
n 将模板克隆为内部部署内容库中的 OVF 模板并从 SDDC 订阅该内容库。
OVF 模板 n 将模板添加到内部部署内容库并从 SDDC 订阅该内容库。
n 在 SDDC 中创建本地内容库,然后上载 OVF 模板。
n 在 vSphere Web Client 中直接将 OVF 模板从客户端计算机
部署到 SDDC。右键单击 Compute-ResourcePool,然后选
择部署 OVF 模板。
OVA 模板 使用 vSphere Web Client 直接将 OVA 模板从客户端计算机部署
到 SDDC。右键单击 Compute-ResourcePool,然后选择部署
OVF 模板
ISO 映像 n 将 ISO 映像上载到 workloadDatastore。
n 将 ISO 映像导入到内部部署内容库并从 SDDC 订阅该内容
库。
n 在 SDDC 中创建本地内容库,然后上载 ISO 映像。
n 使用 Content Onboarding Assistant 将 ISO 映像传输到
SDDC。
脚本或文本文件 n 将文件导入到内部部署内容库并从 SDDC 订阅该内容库。
n 在 SDDC 中创建本地内容库,然后上载文件。
n 使用 Content Onboarding Assistant 将文件传输到 SDDC。
本章讨论了以下主题:
n 使用 Content Onboarding Assistant 将内容传输到 SDDC
n 使用内容库将内容导入 SDDC
n 将文件或文件夹上载到 SDDC
VMware, Inc. 38
使用 Content Onboarding Assistant 将内容传输到 SDDCContent Onboarding Assistant 可自动将 .vmtx 模板、ISO 映像、脚本和其他文件传输到云 SDDC。
对于 Content Onboarding Assistant 如何将 .vmtx 模板传输到 SDDC,您有两个选项:
n 在 SDDC 内容库中将这些模板转换为 OVF 模板。此选项需要较少的时间。
n 在 vCenter Server 清单中将这些模板作为 .vmtx 模板传输。在这种情况下,这些模板会先转换为
OVF,然后再转换回 .vmtx 模板。
您可以在能够通过网络访问内部部署数据中心和 SDDC 的任何 MacOS、Linux 或 Windows 计算机上使用
Content Onboarding Assistant。
如果使用 Content Onboarding Assistant 将内容传输到 SDDC,然后发现还有其他要传输的项目,则可以
再次运行 Content Onboarding Assistant。Content Onboarding Assistant 能够识别哪些 .vmtx 模板已传
输,将不允许您选择这些模板再次传输。它还能识别已传输的 ISO 映像和脚本文件,将仅传输新的 ISO 映像和脚本。
前提条件
运行 Content Onboarding Assistant 之前,请执行以下操作:
n 确保内部部署数据中心运行的是 vCenter Server 6.0 或更高版本。
n 安装 Java Runtime Environment (JRE) 1.8 或更高版本。您可以从 Oracle 网站下载 Java 运行时安装
程序,网址为 http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html。
n 将 $JAVA_HOME 环境变量设置为 JRE 的安装位置。
n 在内部部署数据中心与 SDDC 之间设置 VPN 连接。请参见《VMware Cloud on AWS 入门指南》中的
“配置 VPN 和网关”。
步骤
1 准备要添加到内容库的脚本和 ISO 映像时,将其移动到内部部署数据中心的单个文件夹中即可。
.vmtx 模板不需要任何特殊准备。
2 从下载位置下载 Content Onboarding Assistant。
3 在终端或命令行中,切换到放置 Content-Onboarding-Assistant.jar 文件的目录,并输入命令
java -jar jar_file_name --cfg full_path_to_config_file。
在配置文件中,在对应的行上指定每个参数,参数后跟一个空格和值。例如
onpremServer vcenter.onprem.example.com
onpremInfraServer psc.onprem.example.com
您还可以在命令行中指定多个参数,按照以下格式指定参数:--parameter parameter_value。键入
java --jar jar_file_name --help 可查看完整参数列表,或查阅下表。
VMware Cloud on AWS 操作指南
VMware, Inc. 39
参数 描述
onpremServer server 内部部署数据中心的 vCenter Server 的主机名。
onpremInfraServer psc-server 内部部署 Platform Services Controller 的主机名。对于嵌入式配
置是可选项。
onpremUsername username 用于登录到内部部署 vCenter Server 的用户名。
location foldername 脚本或 ISO 映像等文件在内部部署数据存储上的位置。使用格式
datastore-name:folder/。
cloudServer server 云 SDDC vCenter Server 的主机名。
cloudInfraServer infra-server 云 SDDC vCenter Server 的主机名。这是可选选项。
cloudFolderName foldername 云 SDDC 上将存储 .vmtx 模板的 vCenter Server 文件夹的名
称。
cloudRpName resource-pool-name .vmtx 模板在云 SDDC 上的资源池。
cloudNetworkName network-name .vmtx 模板在云 SDDC 上的分布式虚拟端口组。
sessionUpdate value 两次会话更新调用之间的时长(毫秒)。默认值为 60000 毫秒
(10 分钟)。如果在 Content Onboarding Assistant 运行时出现
会话超时问题,请减小此值。
4 按照提示输入内部部署数据中心和云 SDDC 的密码。
Content Onboarding Assistant 将测试与内部部署数据中心和 SDDC 的连接,然后显示一个表,其中
列出了所有已发现的 .vmtx 模板。
5 输入要传输的模板数量。
您可以输入以逗号分隔的单个数字或以短划线分隔的范围。
6 确认 ISO 映像和脚本的文件夹正确无误。
7 选择如何传输 .vmtx 模板。
n 选择选项 1 将模板作为 OVF 模板在 SDDC 内容库中传输。
n 选择选项 2 将模板作为 .vmtx 模板在 vCenter Server 清单中传输。
结果
Content Onboarding Assistant 将执行以下操作:
n 使用您指定的选项将 .vmtx 模板从内部部署数据中心复制到 SDDC。
n 在内部部署数据中心创建内容库,将 ISO 映像和脚本添加到内容库,并发布该内容库。
n 在 SDDC 中创建已订阅的内容库,并将 ISO 映像和脚本同步到 SDDC。
后续步骤
现在,您可以使用 .vmtx 模板和 ISO 映像在 SDDC 中创建虚拟机。
VMware Cloud on AWS 操作指南
VMware, Inc. 40
使用内容库将内容导入 SDDC如果内部部署数据中心中具有内容库,则可以在 SDDC 中创建订阅内部部署内容库的内容库,然后发布内
部部署内容库以将库项目导入到 SDDC 中。
此方法可用于传输 OVF 模板、ISO 映像、脚本和其他文件。
前提条件
n 在内部部署数据中心中必须具有内容库。请参见创建库
n 在内部部署数据中心与 SDDC 之间设置 VPN 连接。请参见《VMware Cloud on AWS 入门指南》中的
“配置 VPN 和网关”。
步骤
1 将模板、ISO 映像和脚本添加到内部部署内容库中。
所有 .vmtx 模板都将转换为 OVF 模板。
2 发布内部部署内容库。
3 在 SDDC 中,创建一个内容库,以订阅在步骤 2 中发布的内容库。内部部署数据中心中的内容将同步
到 VMware Cloud on AWS 中的 SDDC。
将文件或文件夹上载到 SDDC您可以使用 vSphere Client 将文件或文件夹上载到 SDDC。
您可以将内容上载到 SDDC 的 workloadDatastore。vsanDatastore 由 VMware 管理。
前提条件
您必须在数据存储上具有 CloudAdmin 角色。
步骤
1 在 vSphere Client 中,选择“存储”图标,然后选择“workloadDatastore”,并单击文件。
2 您可以创建新文件夹、上载文件或上载文件夹。
选项 描述
创建新文件夹 a 选择 workloadDatastore 或某个现有文件夹。
b 选择新建文件夹。
上载文件 a 选择文件夹。
b 单击上载文件。
c 选择文件,然后单击确定。
上载文件夹 a 选择文件夹。
b 选择上载文件夹。
c 选择文件夹,然后单击确定。
VMware Cloud on AWS 操作指南
VMware, Inc. 41
迁移虚拟机 5要在内部部署主机与 SDDC 中的主机之间来回迁移工作负载虚拟机以及在 SDDC 中的主机之间进行迁移,
VMware Cloud on AWS 支持多种方法。所选方法应基于允许的工作负载虚拟机停机时间、需要移动的虚拟
机数量以及内部部署网络配置。
请务必注意,适用于内部部署迁移的任何限制可能也适用于混合迁移。例如,当源或目标群集启用增强型
vMotion 兼容性时,启用虚拟 CPU 性能计数器中所述的问题会阻止迁移启用性能计数器的虚拟机。
在 SDDC 内迁移
在 SDDC 内迁移指的是将 SDDC vCenter Server 中的虚拟机从一个主机或群集迁移到另一个主机或群集。
有关类似迁移的信息,请参见 VMware vSphere 产品文档中的迁移虚拟机。
要获得指导性迁移体验,以帮助您使用 HCX 将虚拟机从内部部署数据中心迁移到云 SDDC,可以使用
VMware Cloud 迁移解决方案混合云集成体验。
混合迁移
混合迁移指的是在两个不同的 vSphere 安装之间迁移虚拟机:一个位于内部部署数据中心,另一个位于
VMware Cloud on AWS SDDC。由于这两个 vSphere 安装可能具有不同的版本和/或配置,因此混合迁移
用例通常具有额外的必备条件和配置,以确保虚拟机兼容性以及适当的网络带宽和延迟。VMware Cloud on AWS 支持通过各种工具和方法执行混合迁移。
n 通过 VMware HCX 混合迁移
VMware HCX 是一个多云应用程序移动解决方案,免费供所有 SDDC 使用,并可帮助将工作负载虚
拟机从内部部署数据中心迁移到 SDDC。
n 通过 vMotion 混合迁移
通过 vMotion 迁移(也称为热迁移或实时迁移)可将已打开电源的虚拟机从一个主机或数据存储移至
另一个主机或数据存储。如果迁移少量虚拟机而无需任何停机,则通过 vMotion 迁移是 佳选择。
n 混合冷迁移
冷迁移用于将已关闭电源的虚拟机从一个主机或数据存储移至另一个主机或数据存储。如果在迁移过
程中允许虚拟机停机一段时间,则冷迁移是不错的选择。
VMware, Inc. 42
通过 VMware HCX 混合迁移
VMware HCX 是一个多云应用程序移动解决方案,免费供所有 SDDC 使用,并可帮助将工作负载虚拟机从
内部部署数据中心迁移到 SDDC。
有关使用 HCX 进行混合迁移的详细信息,请参见《VMware HCX 用户指南》和 VMware Cloud 迁移解决
方案(网址为 https://vmc.vmware.com/solutions)。
使用 VMware HCX 进行混合迁移检查表
请遵循此检查表,确保您的内部部署和 SDDC 配置适合使用 VMware HCX 进行混合迁移。
要求 描述
网络连接速度 使用 HCX 通过 vMotion 迁移要求源和目标之间 少具有 100 Mbps 吞吐量。
内部部署 vSphere 版本 n 对于 vMotion:vSphere 5.5、6.0、6.5、6.7
n 对于批量迁移:vSphere 5.0、5.1、5.5、6.0、6.5、6.7
n 对于冷迁移:vSphere 5.5、6.0、6.5、6.7
内部部署虚拟交换机配置 vSphere Distributed Switch
Cisco Nexus 1000v
vSphere 标准交换机
在内部部署数据中心内安装 VMware HCX Manager 安装和配置 VMware HCX Manager 设备,如 HCX 部署简介中所
述。
与 SDDC 建立 HCX 互连 将 VMware HCX Manager 与 VMware Cloud on AWS SDDC 配对作为远程站点,如配置和管理 HCX 互连以及配置和管理与多
站点服务网格的 HCX 互连中所述。
L2 VPN 将网络从内部部署数据中心扩展到 VMware Cloud on AWS SDDC,如 使用 VMware HCX 扩展网络中所述。
VMware Cloud on AWS 防火墙规则 创建防火墙规则以打开 HCX 使用的端口,如网络端口和协议要
求中所述。
内部部署防火墙规则 创建防火墙规则以打开 HCX 使用的端口,如网络端口和协议要
求中所述。
虚拟机硬件和设置 确保虚拟机硬件满足以下要求。
n 虚拟机硬件版本 9。
n VMware Cloud on AWS SDDC 不支持 EVC。
n 在云 SDDC 中创建的虚拟机或者迁移到云 SDDC 后重新启动
的虚拟机无法通过 vMotion 迁移回内部部署数据中心,除非
内部部署 EVC 基准是 Broadwell。只要这些虚拟机的硬件版
本与内部部署数据中心兼容,便可以在关闭电源后重新放置
这些虚拟机。
不支持以下虚拟机:
n 硬盘大于 2 TB 的虚拟机。
n 具有共享 .vmdk 文件的虚拟机。
n 连接虚拟介质或 ISO 的虚拟机。
VMware Cloud on AWS 操作指南
VMware, Inc. 43
通过 vMotion 混合迁移
通过 vMotion 迁移(也称为热迁移或实时迁移)可将已打开电源的虚拟机从一个主机或数据存储移至另一
个主机或数据存储。如果迁移少量虚拟机而无需任何停机,则通过 vMotion 迁移是 佳选择。
要执行通过 vMotion 迁移,可以配置混合链接模式并使用 vSphere Client。也可以使用命令行
(PowerShell) 或 API 自动化。
支持的配置摘要
内部部署 vSphere 安装必须为以下之一:
n vSphere 6.7U2 或更高版本。
n vSphere 6.5P03 或更高版本。
有关详细信息,请参见 VMware 知识库文章 56991。
通过 vMotion 迁移的虚拟机上的限制
适用于之前通过 vMotion 从内部部署数据中心迁移的虚拟机的限制如下所示:
n 使用标准虚拟交换机进行网络连接的虚拟机在迁移到云 SDDC 后无法迁移回内部部署数据中心。
n 在云 SDDC 中重新启动的任何虚拟机只能迁移回具有 Broadwell 芯片组或 EVC 模式的内部部署主机或
群集。
n 如果内部部署主机尚未修补,无法解决由于推测执行而导致的侧通道分析漏洞(也称为 Spectre Variant 2 漏洞),则可能会影响 vMotion 兼容性,如中所示。要找到内部部署主机的正确修补程序,
请访问 https://kb.vmware.com/s/article/52245。VMware Cloud on AWS SDDC 中的所有主机均已修
补。
表 5-1. Spectre 修补程序对 vMotion 兼容性的影响
内部部署主机处理器系列
和修补程序状态 虚拟机硬件版本
虚拟机在 VMware Cloud on AWS SDDC 中是否已重新启动?
通过 vMotion 从内部部
署迁移到 VMware Cloud on AWS
通过 vMotion 从
VMware Cloud on AWS 迁移到内部部署
Broadwell(已修补
SPECTRE)< 9 否 支持 支持
是 支持 支持
9-13 否 支持 支持
是 支持 支持
Broadwell(未修补
SPECTRE)< 9 否 支持 不受支持
是 支持 不受支持
9-13 否 支持 支持
是 支持 不受支持
非 Broadwell < 9 否 不受支持 支持
是 不受支持 不受支持
VMware Cloud on AWS 操作指南
VMware, Inc. 44
表 5-1. Spectre 修补程序对 vMotion 兼容性的影响 (续)
内部部署主机处理器系列
和修补程序状态 虚拟机硬件版本
虚拟机在 VMware Cloud on AWS SDDC 中是否已重新启动?
通过 vMotion 从内部部
署迁移到 VMware Cloud on AWS
通过 vMotion 从
VMware Cloud on AWS 迁移到内部部署
9-13 否 支持 支持
是 支持 不受支持
注 可以在虚拟机的摘要选项卡上找到虚拟机硬件版本。可以在主机的摘要选项卡上找到主机处理器类
型。有关 Broadwell 处理器系列中的处理器类型的列表,请访问 https://ark.intel.com/products/codename/38530/Broadwell。
这些限制不适用于冷迁移。
通过 vMotion 混合迁移检查表
此检查表端到端介绍了在内部部署数据中心和云 SDDC 之间通过 vMotion 迁移所需的要求和配置。
注 基于 HCX 的 vMotion 具有一组不同的要求。请参见使用 VMware HCX 进行混合迁移检查表。
表 5-2. 具有 NSX-T 的 SDDC 的 vMotion 要求
要求 描述
网络连接速度和延迟 通过 vMotion 迁移要求在源和目标 vMotion vMkernel 接口之间
少保留 250 Mbps 的带宽,并且源和目标之间的往返延迟 大为
100 毫秒。
内部部署 vSphere 版本 内部部署 vSphere 安装必须为以下之一:
n vSphere 6.7U2 或更高版本。
n vSphere 6.5P03 或更高版本。
有关详细信息,请参见 VMware 知识库文章 56991。
内部部署 DVS 版本 6.0 或更高版本。
内部部署 NSX 版本 任意
注 配置了 NSX-T 的 SDDC 不支持与内部部署 VXLAN 封装网络
(NSX for vSphere) 或 Geneve 数据中心覆盖网络 (NSX-T) 之间
通过 vMotion 执行热迁移。
IPsec VPN 为管理网关配置 IPsec VPN。请参见《VMware Cloud on AWS 入门指南》中的“配置 VPN 和网关”。
Direct Connect 通过 vMotion 迁移时,需要在内部部署数据中心和 VMware Cloud on AWS SDDC 之间的专用虚拟接口上设置 Direct Connect 连接。请参见对 VMware Cloud on AWS 使用 AWS Direct Connect。
混合链接模式 需要使用混合链接模式来启动从 vSphere Client 的迁移。不需要
使用 API 或 PowerCLI 启动迁移。
请参见《管理 VMware Cloud on AWS 数据中心》中的“混合链
接模式”。
VMware Cloud on AWS 操作指南
VMware, Inc. 45
表 5-2. 具有 NSX-T 的 SDDC 的 vMotion 要求 (续)
要求 描述
L2 VPN 配置第 2 层 VPN 以在内部部署数据中心和云 SDDC 之间扩展虚
拟机网络。不支持路由网络。请参见《VMware Cloud on AWS 网络和安全》。
VMware Cloud on AWS 防火墙规则 确保您已创建必要的防火墙规则,如 vMotion 所需的防火墙规则
中所述。
内部部署防火墙规则 确保您已创建必要的防火墙规则,如 vMotion 所需的防火墙规则
中所述。
虚拟机硬件和设置 确保虚拟机硬件满足以下要求。
n 通过 vMotion 从内部部署数据中心迁移到云 SDDC 要求使用
虚拟机硬件版本 9 或更高版本。
n VMware Cloud on AWS SDDC 不支持 EVC。
n 在云 SDDC 中创建的虚拟机或者迁移到云 SDDC 后重新启动
的虚拟机无法通过 vMotion 迁移回内部部署数据中心,除非
内部部署 EVC 基准是 Broadwell。只要这些虚拟机的硬件版
本与内部部署数据中心兼容,便可以在关闭电源后重新放置
这些虚拟机。
n 不支持迁移具有 DRS 的虚拟机 或 HA 虚拟机替代项。有关
虚拟机替代项的详细信息,请参见自定义单个虚拟机。
重要事项 在任一方向的迁移过程中,不会在目标应用源交换机配置(包括 NIOC、Spoofguard、分布式防
火墙和交换机安全)和运行时状态。启动 vMotion 之前,请将源交换机配置应用到目标网络。
vMotion 所需的防火墙规则
本主题总结了在内部部署和云数据中心通过 vMotion 迁移所需的防火墙规则。
vMotion 的 VMC on AWS 防火墙规则
确保在 VMC 控制台中配置以下防火墙规则。
用例 源 目标 服务
提供从内部部署对 vCenter Server 的访问权限。
用于常规 vSphere Client 访问
以及监控 vCenter Server
远程(内部部署)vSphere ClientIP 地址
vCenter HTTPS
允许对内部部署 vCenter Server 进行出站 vCenter Server 访问。
vCenter 远程(内部部署)vCenter ServerIP 地址
任意(所有流量)
允许 SSO vCenter Server 远程(内部部署)Platform Services Controller IP 地址
vCenter SSO (TCP 7444)
ESXiNFC 流量 用于 NFC 的远程(内部部
署)ESXiVMkernel 网络
ESXi 置备 (TCP 902)
VMware Cloud on AWS 操作指南
VMware, Inc. 46
用例 源 目标 服务
允许对内部部署进行出站
ESXi 访问。
ESXi 远程(内部部署)ESXi 管理
VMkernel 网络
任意(所有流量)
允许 vMotion 流量。 远程(内部部署)
ESXivMotion VMkernel 网络
ESXi vMotion (TCP 8000)
vMotion 的内部部署防火墙规则
确保在内部部署防火墙中配置以下防火墙规则。
规则 操作 源 目标 服务 端口
内部部署到
vCenter Server允许 远程(内部部署)vSphere Client
子网
VMware Cloud on AWS vCenter Server IP 地址
HTTPS 443
远程到 ESXi 置
备
允许 远程(内部部署)子网 TCP 902 902
云 SDDC 到内部
部署 vCenter Server
允许 云 SDDC 管理网络的 CIDR 块 内部部署
vCenter Server、PSC、
Active Directory 子网
HTTPS 443
云 SDDC 到
ESXi 远程控制台
允许 云 SDDC 管理网络的 CIDR 块 VMware Cloud on AWS vCenter Server IP 地址
云 SDDC 到远程
LDAP允许 云 SDDC 管理网络的 CIDR 块 远程 LDAP 服
务器
TCP 389、636
云 SDDC 到
ESXivMotion允许 云 SDDC 管理网络的 CIDR 块 远程 ESXi 主机
子网
TCP 8000
通过 vMotion 批量迁移
尽管可以使用 vMotion 和 vSphere Client 在内部部署数据中心和 SDDC 之间迁移虚拟机,但随着迁移虚拟
机数量的增加,使用 PowerCLI 或 vMotion API 等自动化解决方案变得越来越有必要。对于多少个虚拟机
构成一次“批量”迁移,并没有正式定义,但大多数情况下,我们认为如果虚拟机数量用一只手的手指数
不过来,则适合使用批量迁移解决方案。
要实施批量迁移,可以使用命令行 (PowerShell) 或 API 自动化,如多云工作负载迁移白皮书中所述。有关
其他 GUI 和 REST API 选项,请下载跨 vCenter 工作负载迁移实用程序。
支持的配置摘要
下表总结了混合批量迁移支持的配置。
VMware Cloud on AWS 操作指南
VMware, Inc. 47
表 5-3. 混合批量迁移支持的配置摘要
内部部署 vSphere 版本 网络连接 VDS 版本内部部署
vSphere 5.0、5.1、5.5、6.0 和 6.5 Internet 或通过 HCX 创建的 AWS Direct Connect 和 L2 VPN
任何 VMware Distributed Switch、
vSphere 标准交换机或 Cisco Nexus 1000v
混合冷迁移
冷迁移用于将已关闭电源的虚拟机从一个主机或数据存储移至另一个主机或数据存储。如果在迁移过程中
允许虚拟机停机一段时间,则冷迁移是不错的选择。
要实施冷迁移,可以配置混合链接模式并使用 vSphere Client。也可以使用命令行 (PowerShell) 或 API 自动化。
支持的配置摘要
下表总结了混合冷迁移支持的配置。
表 5-4. 混合冷迁移支持的配置
内部部署 vSphere 版本 网络连接 VDS 版本内部部署
vSphere 6.0u3 AWS Direct Connect 或 IPsec VPN VMware Distributed Switch 版本 6.0
vSphere 6.5 修补程序 d AWS Direct Connect 或 IPsec VPN VMware Distributed Switch 版本 6.0 或 6.5
vSphere 5.5、6.0 和 6.5 Internet 或通过 HCX 创建的 AWS Direct Connect 和 L2 VPN
任何 VMware Distributed Switch、
vSphere 标准交换机或 Cisco Nexus 1000v
混合冷迁移检查表
此检查表端到端介绍了在内部部署数据中心和云 SDDC 之间进行冷迁移应满足的要求和配置。
要求 描述
内部部署 vSphere 版本 vSphere 6.5 修补程序 d 及更高版本
vSphere 6.0 Update 3 及更高版本
内部部署虚拟交换机配置 标准交换机、vSphere Distributed Switch 6.0 或 vSphere Distributed Switch 6.5
IPsec VPN 为管理网关配置 IPsec VPN。请参见《VMware Cloud on AWS 入门指南》中的“配置 VPN 和网关”。
混合链接模式 需要使用混合链接模式来启动从 vSphere Client 的迁移。不需要
使用 API 或 PowerCLI 启动迁移。
请参见《管理 VMware Cloud on AWS 数据中心》中的“混合链
接模式”。
VMware Cloud on AWS 操作指南
VMware, Inc. 48
要求 描述
VMware Cloud on AWS 和内部部署防火墙规则 确保您已创建必要的防火墙规则,如冷迁移所需的防火墙规则中
所述。
内部部署 DNS 配置 确保您的内部部署 DNS 服务器可以正确解析云 vCenter Server 的地址。
冷迁移所需的防火墙规则
冷迁移的 SDDC 管理网关防火墙规则
确保配置以下 SDDC 管理网关防火墙规则。请参见 《VMware Cloud on AWS 网络和安全性》中的添加或
修改计算网关防火墙规则。
用例 源 目标 服务
提供内部部署 vSphere Client 和对 SDDC vCenter Server 的监控访问权限。
远程(内部部署)vSphere Client IP 地址
vCenter HTTPS
允许对内部部署 vCenter Server 进行出站 vCenter Server 访问。
vCenter 远程(内部部署)vCenter Server IP 地址
任意(所有流量)
允许通过 SSO 登录到
vCenter Server远程(内部部署)Platform Services Controller IP 地址
vCenter SSO (TCP 7444)
ESXi NFC 流量 用于 NFC 的远程(内部部
署)ESXi VMkernel 网络
ESXi 置备 (TCP 902)
允许对内部部署 ESXi 进行出
站 ESXi 访问
ESXi 远程(内部部署)ESXi 管理
VMkernel 网络
任意(所有流量)
冷迁移的内部部署防火墙规则
确保在内部部署防火墙中配置以下规则。
规则 操作 源 目标 服务 端口
内部部署到
vCenter Server允许 远程(内部部署)vSphere Client
子网
VMware Cloud on AWSvCenter Server IP 地址
HTTPS 443
远程到 ESXi 置备
允许 远程(内部部署)子网 SDDC 管理子
网
TCP 902
云 SDDC 到内部
部署 vCenter Server
允许 云 SDDC 管理网络的 CIDR 块 内部部署
vCenter ServerHTTPS 443
VMware Cloud on AWS 操作指南
VMware, Inc. 49
规则 操作 源 目标 服务 端口
云 SDDC 到
ESXi 远程控制台
允许 云 SDDC 管理网络的 CIDR 块 VMware Cloud on AWSvCenter Server IP 地址
TCP 902
云 SDDC 到远程
LDAP(仅 HLM 需要)
允许 云 SDDC 管理网络的 CIDR 块 远程 LDAP 服务器
TCP 389、636
VMware Cloud on AWS 操作指南
VMware, Inc. 50
使用开发人员中心 6开发人员中心是开发人员的单点入口,可提供工具来管理 API 结构并捕获用户操作将其转换为可执行代
码。
VMware Cloud on AWS 开发人员中心为自动化专家、开发工程师和开发人员提供工具来寻找自动执行
VMware Cloud on AWS 服务并与其集成所需的资源。这些工具包括:
n 可用 API 和工具的概览。
n 适用于 VMware Cloud on AWS RESTful API 的交互式 API 资源管理器,使用者可在这里学习和执行
API。
n 适用于通用开发语言和 API 工具的 VMware 和社区代码示例的访问权限。
n 支持的开源软件开发工具包 (SDK) 及入门指南和文档链接的下载权限。
n 开发人员和自动化可下载工具以及使用这些 API 的接口。
n 代码捕获功能,用于录制用户会话期间执行的操作,并将其转换为 PowerCLI。
本章讨论了以下主题:
n 使用代码捕获
使用代码捕获
代码捕获录制用户操作,并将其转换为可执行代码。
代码捕获使您能够录制 VMware Cloud on AWS 服务中执行的操作并作为可用的 PowerCLI 代码输出。然
后可以复制代码或作为脚本下载代码,并在 PowerShell 会话中使用它来执行任务。
使用代码捕获录制操作
您可以使用代码捕获录制 VMware Cloud on AWS 会话中采取的操作以生成 PowerCLI 代码输出。
注 不会录制对角色、特权、标记、内容库和存储策略操作执行的调用。不会录制密码等敏感数据。
前提条件
要使用代码捕获录制会话,必须先启用代码捕获。
VMware, Inc. 51
步骤
1 从主侧栏菜单中,单击开发人员中心并转到代码捕获选项卡。
2 (可选) 如果未启用代码捕获,单击切换以启用代码捕获。
3 要开始录制,导航到所需窗格,然后单击顶部窗格中的红色录制按钮。要立即开始录制,单击开始录
制。
正在录制时,顶部窗格中的红色录制按钮闪烁。
4 (可选) 要清除上一个会话中捕获的代码并启动新会话时,单击清除并启动另一个。
5 要停止录制,单击顶部窗格中的红色录制按钮,或导航到开发人员中心中的代码捕获选项卡,然后单击
停止录制。
代码窗格中显示录制的代码。
6 (可选) 单击复制以复制代码或单击下载将其下载为 PowerCLI 脚本。
7 要清除当前的代码并启动另一录制,单击清除并启动另一个或导航到您所需的窗格并单击顶部窗格中的
红色录制按钮。
结果
代码窗格中显示录制的代码。您可以复制、下载或清除代码以启动另一录制。
VMware Cloud on AWS 操作指南
VMware, Inc. 52
访问 AWS 服务 7在 SDDC 部署期间,您已将您的 SDDC 连接到自己 AWS 帐户下的 Amazon VPC,在您的 SDDC 与
Amazon VPC 中的服务之间创建了一个高带宽、低延迟的接口。
使用此连接,您可以在 SDDC 中的虚拟机与 AWS 帐户的服务(例如 EC2 和 S3)之间实现访问。
本章讨论了以下主题:
n 访问 EC2 实例
n 使用 S3 端点访问 S3 存储桶
n 使用 Internet 网关访问 S3 存储桶
n 使用 AWS CloudFormation 创建 SDDC
访问 EC2 实例
您可以在已连接的 Amazon VPC 中部署 EC2 实例,并配置 AWS 安全策略和计算网关防火墙规则,以允
许在您的 SDDC 中的虚拟机与该实例之间建立连接。
已连接 VPC 中的默认 AWS 安全组将控制从 VPC 中的 EC2 实例传输到 SDDC 中的虚拟机的流量。此流
量还必须通过计算网关防火墙和分布式防火墙(如果正在使用)。所有这些控制都必须允许传输目标流
量,才能建立连接。
部署 EC2 实例时,EC2 启动向导会将此实例与新的安全组关联,除非您已指定其他组。新的 AWS 安全组
允许传输此实例的所有出站流量,但不允许传输入站流量。要允许 EC2 实例与 SDDC 中的虚拟机之间建
立连接,通常只需要创建入站规则。
n 要允许从 EC2 实例启动的流量传输到 SDDC 中的虚拟机,请在默认安全组上创建入站规则。
n 要允许从虚拟机启动的流量传输到 EC2 实例,请在应用于 EC2 实例的安全组上创建入站规则。
请记住,将默认 AWS 安全组用于该实例时,在它转换 EC2 实例和转换 SDDC 时,将向流量应用它的入站
规则。要允许 SDDC 中的虚拟机或 EC2 实例启动的流量传输到对方,入站规则必须允许来自 EC2 实例和
虚拟机的入站流量。
VMware, Inc. 53
前提条件
要完成此任务,您需要以下信息:
n SDDC 中的虚拟机所连接到的网络分段的 CIDR 块。单击网络与安全选项卡上的分段以列出所有分
段。
n 已连接的 Amazon VPC 和子网。在网络与安全选项卡上的系统类别中,单击已连接 VPC 以打开已连
接 Amazon VPC 页面,在该页面的 VPC ID 和 VPC 子网下可看到此信息。
步骤
1 在您的 AWS 帐户中部署 EC2 实例。
创建 EC2 实例时,请牢记以下几点:
n EC2 实例必须位于部署 SDDC 时选择的 VPC 中,否则无法通过专用 IP 地址建立连接。
n EC2 实例可以部署在 VPC 内的任何子网中,但如果所用的 AZ 不同于 SDDC 部署时选择的 AZ,可能会产生跨 AZ 流量费用。
n 如有可能,请按步骤 2 所述为 EC2 实例选择已配置入站流量规则的安全组。
n 用于 SDDC 的 VPC 子网以及 AWS 服务或实例与 SDDC 进行通信的任何 VPC 子网必须全部与
VPC 的主路由表相关联。
n SDDC 中的工作负载虚拟机可以通过 ENI 连接与已连接 VPC 的主 CIDR 块中的所有子网进行通
信。VMC 无法识别 VPC 中的其他 CIDR 块。
2 将入站规则添加到应用于此实例的安全组。选择您在步骤 1 中部署的 EC2 实例,并将其安全组配置为
允许传输来自与 SDDC 中的虚拟机关联的逻辑网络或 IP 地址的入站流量。
a 选择您在步骤 1 中部署的实例。
b 在实例描述中,单击实例的安全组,然后单击入站选项卡。
c 单击编辑。
d 单击添加规则。
e 在类型下拉菜单中,选择要允许的流量类型。
f 在源文本框中,选择自定义,然后输入 SDDC 中需要与此实例通信的虚拟机的 IP 地址或 CIDR 块。
g (可选) 根据需要,为要从 SDDC 中的虚拟机连接到实例的其他 CIDR 块或流量类型添加规则。
h 单击保存。
3 (可选) 如果需要允许由在步骤 1 中部署的实例启动的流量传输到 SDDC 中的虚拟机,请编辑已连接
Amazon VPC 的默认安全组,以添加通过 CIDR 块或安全组标识实例的入站规则。
a 在 AWS 控制台中,选择已连接 Amazon VPC 的默认安全组,然后单击入站选项卡。
b 单击编辑。
c 单击添加规则。
VMware Cloud on AWS 操作指南
VMware, Inc. 54
d 在类型下拉菜单中,选择要允许的流量类型。
e 在源文本框中,选择自定义,然后输入 SDDC 中需要与此实例通信的虚拟机的 IP 地址或 CIDR 块。
如果所有虚拟机均与同一 SDDC 清单组关联,则可以将该组指定为源,而不是使用 IP 地址或
CIDR 块。
f (可选) 根据需要,为要从 SDDC 中的虚拟机连接到实例的其他 CIDR 块或流量类型添加规则。
g 单击保存。
4 配置必要的计算网关防火墙规则。
请参见 《VMware Cloud on AWS 网络和安全性》中的添加或修改计算网关防火墙规则。
n 要允许来自已连接 Amazon VPC 中的实例的入站流量,请创建一个规则,其中源为已连接 VPC 前缀,目标是包含需要从实例进行入站访问的虚拟机的清单组。
n 要允许出站流量传输到已连接 Amazon VPC 中的实例,请创建一个规则,其中源是包含需要对实
例进行出站访问的虚拟机的清单组,目标是已连接 VPC 前缀。
注 在这两种情况中,您都可以限制流入或流出 EC2 实例子集的流量,方法是在仅包含这些实例的 IP 地址或 CIDR 块的 SDDC 中定义一个工作负载清单组。
5 (可选) 配置分布式防火墙规则。
如果与实例通信的任何虚拟机受分布式防火墙保护,您可能需要调整该防火墙的规则以允许传输预期流
量。请参见添加或修改分布式防火墙规则。
使用 S3 端点访问 S3 存储桶
您可以通过创建 S3 端点访问已连接 AWS VPC 中的 S3 存储桶。
步骤
1 创建 S3 端点。
请参见《Amazon 虚拟私有云用户指南》中的网关 VPC 端点和 Amazon S3 的端点。
a 对于服务类别,选择 AWS 服务。
b 在服务名称下,选择类型为网关的 com.amazonaws.region-AZ.s3 服务,其中 region-AZ 与 SDDC 所在的区域和 AZ 相匹配。例如,com.amazonaws.us-west-2.s3。
c 在 VPC 下拉列表中,选择已连接到您 SDDC 的 VPC。
d 在配置路由表下,选择路由表 ID,其中主要列中的值为是。此路由表由 SDDC 使用,还应与
SDDC 连接到的 VPC 子网相关联。
e 在策略下,选择默认的完全访问策略或创建限制性更强的策略。请参见《Amazon 虚拟私有云用户
指南》中的 Amazon S3 的端点。从 SDDC 到 S3 的流量将其源 IP 通过 NAT 转换为在 SDDC 部署时选择的子网中的 IP,因此任何策略都必须允许来自该子网的流量。
f 单击创建端点以创建端点,并将区域中 S3 公用 IP 范围的路由添加到主路由表。
VMware Cloud on AWS 操作指南
VMware, Inc. 55
2 (可选) 为已连接 Amazon VPC 配置安全组,以允许传输到与 SDDC 中虚拟机相关联的网络分段的
出站流量。
默认安全组允许此流量,因此您无需执行此步骤,除非之前自定义了默认安全组。
a 在 AWS 控制台中,选择已连接 Amazon VPC 的默认安全组,然后单击出站选项卡。
b 单击编辑。
c 单击添加规则。
d 在类型下拉菜单中,选择 HTTPS。
e 在目标文本框中,选择任意位置。
f 单击保存。
3 确保已启用通过弹性网络接口访问 S3。
默认情况下,已启用通过已连接 Amazon VPC 中的弹性网络接口进行 S3 访问。如果已禁用此访问权
限以允许通过 Internet 网关进行 S3 访问,则必须重新启用它。
a 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
b 单击 > 已连接 VPC
c 在服务访问下,单击 S3 端点旁边的启用。
4 从 VMC 控制台 创建计算网关防火墙规则,以允许对已连接 Amazon VPC 进行 https 访问。
a 在计算网关下,单击防火墙规则。
b 使用以下参数添加计算网关防火墙规则。
选项 描述
源 SDDC 中的虚拟机所连接到的逻辑网络的 CIDR 块。
目标 选择 S3 前缀。
服务 选择 HTTPS。
应用对象 清除所有上行链路,然后选择 VPC 接口。
结果
SDDC 中的工作负载虚拟机可以通过 https 连接访问 S3 存储桶中的文件。
使用 Internet 网关访问 S3 存储桶
如果您不希望使用 S3 端点访问 S3 存储桶,则可以使用 Internet 网关进行访问。例如,您可以执行以下操
作
步骤
1 确保 S3 存储桶的访问权限允许从 Internet 中的云 SDDC 进行访问。
有关详细信息,请参见管理对 Amazon S3 资源的访问权限。
VMware Cloud on AWS 操作指南
VMware, Inc. 56
2 启用通过 Internet 网关访问 S3。
默认情况下,通过已连接 Amazon VPC 的 S3 端点访问 S3。启用通过 Internet 访问 S3 后,才能使用
该功能。
a 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
b 查看详细信息
c 网络与安全
d 单击已连接 Amazon VPC,然后单击 S3 端点旁边的禁用。
3 从 VMC 控制台创建计算网关防火墙规则,以允许对 Internet 进行 https 访问。
a 在计算网关下,单击防火墙规则。
b 使用以下参数添加计算网关防火墙规则。
选项 描述
源 SDDC 中的虚拟机所连接到的逻辑网络的 CIDR 块。
目标 任意
服务 选择 HTTPS。
结果
SDDC 中的虚拟机现在可以使用 https 路径访问 S3 存储桶上的文件。
使用 AWS CloudFormation 创建 SDDCAWS CloudFormation 是一个基于文本的建模工具,使用该工具可以创建描述 VMware Cloud on AWS SDDC 或任何其他 AWS 基础架构的所有功能的模板。
为了向 VMware Cloud on AWS 客户介绍该功能,VMware 在 code.vmware.com 上提供了一个
CloudFormation SDDC 模板。您可以使用该模板作为起点,以便使用 AWS CloudFormation 工具创建
CloudFormation 堆栈和 AWS Lambda 函数,运行此函数可以基于该模板部署 SDDC。有关此过程的更详
细说明,请参见 VMware {code} 博客上的 VMware Cloud on AWS Integrations with CloudFormation(《VMware Cloud on AWS 与 CloudFormation 的集成》)以及 https://github.com/vmwaresamples/vmware-cloud-on-aws-integration-examples/blob/master/CloudFormation/README.md。
步骤
1 登录到 AWS 控制台并转到美国西部 (俄勒冈) 区域。
使用已授权的 AWS 标识登录,以查看和部署 CloudFormation 模板。
2 从 Github 上的 vmwaresamples 存储库检索 CloudFormation 创建 SDDC 模板。
3 找到 AWS CloudFormation 服务,然后单击创建新堆栈。
VMware Cloud on AWS 操作指南
VMware, Inc. 57
4 上载您在步骤 2 中检索到的模板。
在 AWS CloudFormation > 堆栈 > 创建堆栈窗口中,单击将模板上载到 Amazon S3,然后选择 vmc-aws-cloud-cf-template.txt 模板。单击下一步。
5 指定新堆栈的名称,然后依次单击下一步和创建。
6 指定要由 AWS Lambda 函数使用的 SDDC 变量。
在 AWS CloudFormation > 堆栈 > 堆栈详细信息窗口中。在“资源”部分中,您可以看到一个 IAM 角色和一个 Lambda 函数。单击该 Lambda 函数的物理 ID 值,然后输入用于提供 SDDC 的配置详细
信息的环境变量。
表 7-1. CloudFormation SDDC 堆栈的环境变量
名称 描述
connected_account_id 用于连接 SDDC 的 Amazon 帐户 ID。由 VMC API 请求
GET /orgs/{org}/account-link/connected-accounts
作为 id 的值返回。
customer_subnet_ids 这是子网的 ID(并非实际子网地址)。由 VMC API 请求
GET /orgs/{org}/account-link/compatible-subnets
作为要使用的 subnet_cidr_block 的 subnet_id 值返回。
电子邮件 当前未实现
vpc_cidr 管理流量的子网 CIDR 块。默认值为 10.2.0.0/16
name 要创建的 SDDC 的名称
numOfHosts 初添加到 SDDC 的主机数
orgId 可以在 VMware Cloud on AWS API 或现有 SDDC 连接下的 UI 和支持信息选项卡中找到
region 必须为 US_WEST_2
user_refresh_token 可以在 VMware Cloud on AWS UI 中找到,方法是在右上角单击您的名字,然后单击 Oauth 刷新令牌
按钮。
7 保存并运行 AWS Lambda 函数以从模板创建 SDDC。
单击“保存”,然后单击“测试”以打开配置测试事件窗口。为测试事件指定名称,然后单击创建。
结果
AWS Lambda 函数将运行,并基于模板和您提供的环境变量创建 SDDC。可以在 VMC 控制台 的 SDDC 选项卡上监控 SDDC 创建过程,也可以使用 AWS 任务 API 进行监控。
VMware Cloud on AWS 操作指南
VMware, Inc. 58
AWS 角色和权限
要创建 SDDC,VMware 必须向您的 AWS 帐户添加几个必需的 AWS 角色和权限。
权限声明
创建 SDDC 所需的初始权限以斜体显示。创建 SDDC 后,将从角色中移除这些权限。此角色的其他权限将
保留在您的 AWS 帐户中。
重要事项 不得更改任何其余的 AWS 角色和权限。这样做将导致 SDDC 无法运行。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRouteTables",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:ReplaceRoute"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DescribeStacks",
VMware Cloud on AWS 操作指南
VMware, Inc. 59
"cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResource",
"cloudformation:DescribeStackResources", "cloudformation:GetTemplateSummary",
"cloudformation:ListStackResources", "cloudformation:GetTemplate", "cloudformation:ListChangeSets",
"cloudformation:GetStackPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow", "Action": [ "iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy",
"iam:GetRole", "iam:PassRole", "iam:PutRolePolicy", "lambda:CreateFunction", "lambda:InvokeFunction",
"lambda:GetFunctionConfiguration", "cloudformation:DescribeStackResource",
"cloudformation:DescribeStackResources"
],
"Resource": "*"
}
]
}
要查看关联的策略权限文档,请登录到 AWS 控制台并打开 https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/
AmazonVPCCrossAccountNetworkInterfaceOperations$jsonEditor. 下面是该策略的摘要描述。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeRouteTables",
"ec2:CreateRoute",
"ec2:DeleteRoute",
"ec2:ReplaceRoute"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets"
],
"Resource": [
"*"
VMware Cloud on AWS 操作指南
VMware, Inc. 60
]
},
{
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"*"
]
}
]
}
VMware Cloud on AWS 操作指南
VMware, Inc. 61
将内部部署 vRealize Automation与云 SDDC 配合使用 8可以将内部部署 vRealize Automation 与 VMware Cloud on AWS SDDC 配合使用。
有关可与 VMware Cloud on AWS 配合使用的 vRealize Automation 版本列表,请参见 VMware 产品互操
作性列表。
本章讨论了以下主题:
n 准备好 SDDC 以与 vRealize 产品一起使用
n 将 vRealize Automation 8.x 连接到您的 SDDC
准备好 SDDC 以与 vRealize 产品一起使用
将 vRealize Automation 连接到 VMware Cloud on AWS SDDC 之前,必须为您的 SDDC 配置网络和防火
墙规则。
步骤
1 配置通过公用 Internet 或 AWS Direct Connect 建立 VPN 连接。
请参见《VMware Cloud on AWS 网络和安全性》中的配置与内部部署数据中心的 VPN 连接和为
VMware Cloud on AWS 配置 AWS Direct Connect。
2 确认 vCenter Server FQDN 可在管理网络上的专用 IP 地址上解析。
请参见《VMware Cloud on AWS 网络和安全性》中的设置 vCenter Server FQDN 解析地址。
3 配置其他防火墙规则(如有必要)。
vRealize Automation 需要以下管理网关防火墙规则。
表 8-1. vRealize Automation 所需的管理网关防火墙规则
名称 源 目标 服务
vCenter 内部部署数据中心的 CIDR 块 vCenter 任意(所有流量)
vCenter Ping 任意 vCenter ICMP(所有 ICMP)
内部部署到 ESXi Ping 内部部署数据中心的 CIDR 块 仅 ESXi 管理 ICMP(所有 ICMP)
内部部署到 ESXi 远程控制台和
置备
内部部署数据中心的 CIDR 块 仅 ESXi 管理 TCP 902
VMware, Inc. 62
表 8-1. vRealize Automation 所需的管理网关防火墙规则 (续)
名称 源 目标 服务
内部部署到 SDDC 虚拟机 内部部署数据中心的 CIDR 块 SDDC 逻辑网络的 CIDR 块 任意(所有流量)
SDDC 虚拟机到内部部署 SDDC 逻辑网络的 CIDR 块 内部部署数据中心的 CIDR 块 任意(所有流量)
请参见《VMware Cloud on AWS 网络和安全性》中的添加或修改管理网关防火墙规则。
支持 vRealize Automation 访问远程控制台
要从 vRealize Automation 访问远程控制台,必须将 ESXi 主机的主机管理 IP 地址添加到 vRealize Automation 设备中的 /etc/hosts 文件。
步骤
1 对于 SDDC 中的每台 ESXi 主机,确定主机管理网络的 IP 地址。
a 登录到您的 SDDC 的 vSphere Client。
b 在“主机和群集”清单列表中,选择主机。
c 单击配置选项卡。
d 在网络下,单击 VMkernel 适配器。
e 记下主机的 FQDN 以及 vmk0 设备的 IP 地址。
2 使用 SSH 连接到 vRealize Automation 设备。
3 编辑 /etc/hosts 文件,为每台主机添加如下所示的行。
host-management-ip
esxi-host-name
VMware Cloud on AWS 操作指南
VMware, Inc. 63
将 vRealize Automation 8.x 连接到您的 SDDC将内部部署的 vRealize Automation 8.x 连接到 VMware Cloud on AWS SDDC 时,您可以使用 vRealize Automation Cloud Assembly 将虚拟机、应用程序和服务部署为 SDDC 工作负载。
前提条件
n 确保已完成准备好 SDDC 以与 vRealize 产品一起使用中的所有步骤。
n 确保所有 vRealize Automation 虚拟机都已配置为使用 TLS 1.2。
步骤
u 如果使用的是 vRealize Automation 8.x,请按照在示例工作流中在 vRealize Automation Cloud Assembly 中创建 VMware Cloud on AWS 云帐户中的示例工作流配置内部安装的 vRealize Automation 8.x 的内部部署安装以与 VMware Cloud on AWS 配合使用。
如果使用的是早期版本的 vRealize Automation,请参见将 vRealize Automation 7.x 连接到您的
SDDC。
后续步骤
如果要从 vRealize Automation 访问远程控制台,请按照支持 vRealize Automation 访问远程控制台中的步
骤操作。
将 vRealize Automation 7.x 连接到您的 SDDC您可以将内部部署的 vRealize Automation 7.x 连接到您的云 SDDC,以便创建允许用户部署虚拟机的蓝
图。
前提条件
n 请参见 VMware 产品互操作性列表,获得 vRealize Automation 7.x 版本(可与 VMware Cloud on AWS 一起使用)的列表。
n 确保已完成准备好 SDDC 以与 vRealize 产品一起使用中的所有步骤。
n 确保所有 vRealize Automation 虚拟机都已配置为使用 TLS 1.2。
步骤
1 在 vRealize Automation 中,选择基础架构 > 端点。
2 选择新建 > 虚拟 > vSphere (vCenter)。
3 指定 vCenter Server 的 URL,格式为 https://fqdn/sdk。
4 指定云管理员凭据。
5 单击测试连接、接受证书。
VMware Cloud on AWS 操作指南
VMware, Inc. 64
6 创建架构组。
a 添加云管理员作为架构管理员。
b 将默认 SDDC 群集 Cluster-1 添加到计算资源中。
有关创建架构组的详细信息,请参见创建架构组。
7 为云管理员有权访问的组件创建预留。
选项 描述
资源池 Compute-ResourcePool
数据存储 workloadDatastore
虚拟机和模板文件夹 工作负载
网络 使用作为必备条件之一创建的逻辑网络
重要事项 由于 VMware Cloud on AWS 将置备用于 vRealize Automation 业务组的虚拟机放置在非标
准文件夹中,因此您必须设置 vRealize Automation 自定义属性 VMware.VirtualCenter.Folder 以引用
工作负载文件夹(虚拟机和模板文件夹)。请参见 vRealize Automation《自定义属性参考》。
8 为作为必备条件之一创建的逻辑网络创建网络配置文件。
有关创建网络配置文件的详细信息,请参见创建网络配置文件。
9 创建蓝图。
有关蓝图的详细信息,请参见向用户提供服务蓝图。
后续步骤
如果要从 vRealize Automation 访问远程控制台,请按照支持 vRealize Automation 访问远程控制台中的步
骤操作。
VMware Cloud on AWS 操作指南
VMware, Inc. 65
VMC 控制台设置 9可以通过修改 VMC 控制台设置更改控制台的功能。
本章讨论了以下主题:
n 设置 VMC 控制台 的语言
设置 VMC 控制台 的语言
VMC 控制台 支持多种语言,具体取决于您的 Web 浏览器的语言设置。
VMC 控制台 UI 支持英语、法语、德语、日语、韩语、西班牙语、简体中文和繁体中文。
要设置 VMC 控制台 使用的语言,请在 VMware Cloud Services 帐户中设置语言首选项。
有关详细信息,请参见 https://docs.vmware.com/cn/VMware-Cloud-services/services/Using-VMware-Cloud-Services/GUID-FD81BC5E-D940-459A-99CC-FBBC202BBC9D.html。
步骤
1 在 VMC 控制台 中,单击服务图标 ( ),然后选择云服务控制台。
2 在云服务控制台中,单击您的用户名,然后选择我的帐户。
3 单击首选项。
4 在语言和地区格式旁边,单击编辑。
5 选择语言和区域格式,然后单击保存。
VMware, Inc. 66
服务通知和活动日志 10VMware 会定期发送通知,以便您了解即将开始的维护和其他影响 VMware Cloud on AWS 服务的事件。
通知网关为来自 VMware Cloud on AWS 的所有面向客户的通知提供了一个中央集成点。通知网关旨在让
您及时了解实施后操作事件和服务更新,包括维护通知、Elastic DRS 添加主机事件、订阅过期提醒以及
VMware Site Recovery 通知。您可以在 VMware Cloud on AWS 中的通知中找到所有通知的列表。
可用的通知渠道包括电子邮件、VMC 控制台、vSphere Client、活动日志 UI 以及 VMware Log Insight 云。
将在 VMware Cloud Services 状态页面上报告中断和其他服务范围事件。有关详细信息,请参见查看和订
阅服务状态页面。
活动日志中包含有关 SDDC 部署、移除、升级和维护等事件的通知。请参见查看活动日志。
对于客户特定的中断、升级和维护等事件,VMware 也会向所有组织所有者和组织成员发送电子邮件通
知。为确保收到这些电子邮件通知,请将 [email protected] 加入白名单。
本章讨论了以下主题:
n 查看活动日志
n 查看和订阅服务状态页面
n VMware Cloud on AWS 中的通知
查看活动日志
活动日志包含组织中重要操作的历史记录,例如 SDDC 部署和移除,以及 VMware 发送的 SDDC 升级和
维护等事件通知。
步骤
1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
2 单击活动日志。
条目按时间倒序显示, 新的条目显示在顶部。
3 (可选) 如果条目指示任务失败,请单击展开该任务以显示错误消息。
VMware, Inc. 67
查看和订阅服务状态页面
VMware 会在 status.vmware-services.io 上发布服务运行状态和维护计划。
通过订阅状态页面,将能通过电子邮件或短信通知实时了解服务状态。
步骤
1 转到 https://status.vmware-services.io,查看服务状态仪表板和事件。
2 单击订阅更新。
3 选择喜欢的服务订阅通知方法。
VMware Cloud on AWS 中的通知
下表列出了 VMware Cloud on AWS 中的通知。
表 10-1. 通知网关中的通知
显示名称 模板 ID 描述
维护相关的通知
维护更改时段完成 ChangeWindowComplete vCenter Server 升级已完成。(仅在 M8 和更早版本中使用。)
维护更改已取消 ChangeCancel SDDC 的已调度升级已取消。
主机修补已启动 HostPatchingStarted-M8V3 ESXi 升级已开始。(仅用于 M8v2 到
M8v3 升级。)
主机修补完成 HostPatchingComplete SDDC 升级已完成。(仅在 M8 和更早版
本中使用。)
已调度 DFC 去重 DFC-DedupeScheduled 已调度将 DFC 更改为 SDDC。
DFC 去重开始 DFC-DedupeStart 已开始将 DFC 更改为 SDDC。
DFC 去重完成 DFC-DedupeComplete 将 DFC 更改为 SDDC 已完成。
DFC 去重已取消 DFC-DedupeCanceled 已取消将 DFC 更改为 SDDC。
已调度初始发布 NSX-T-InitialRolloutScheduling 已调度 SDDC 升级。(仅在使用 NSX-T 的 M8 和更早版本中使用。)
控制层面时段已开始 NSX-T-ControlPlaneWindowStarted vCenter Server 升级已开始。(仅在 M8 和更早版本中使用。)
主机网络已开始 NSX-T-HostNetworkingStarted NSX-T 升级已开始。(仅在 M8 和更早版
本中使用。)
主机网络完成 NSX-T-HostNetworkingComplete NSX-T 升级已完成。(仅在 M8 和更早版
本中使用。)
重新调度通知 NSX-T-RescheduleNotification 已重新调度 SDDC 的已调度升级。(仅在
使用 NSX-T 的 M8 和更早版本中使用。)
V2-RolloutScheduled V2-RolloutScheduled 已调度 SDDC 升级。(在 M9 及更高版本
中使用。)
VMware Cloud on AWS 操作指南
VMware, Inc. 68
表 10-1. 通知网关中的通知 (续)
显示名称 模板 ID 描述
V2-RolloutRescheduled V2-RolloutRescheduled 已重新调度 SDDC 升级(在 M9 及更高版
本中使用。)
V2-RolloutCancelled V2-RolloutCancelled 已取消 SDDC 升级(在 M9 及更高版本中
使用。)
V2-Phase1Started V2-Phase1Started SDDC 控制层面升级已开始。(在 M9 及更高版本中使用。)
V2-Phase1Completed V2-Phase1Completed SDDC 控制层面升级已完成。(在 M9 及更高版本中使用。)
V2-Phase2Started V2-Phase2Started SDDC 中的 ESXi 主机升级已开始。(在
M9 及更高版本中使用。)
V2-Phase2Completed V2-Phase2Completed SDDC 中的 ESXi 主机升级已完成。(在
M9 及更高版本中使用。)
V2-Phase3Started V2-Phase3Started NSX Manager 升级已开始。(在 M9 及更
高版本中使用。)
SDDC 升级通知
添加临时 ESX 主机 VRTAddHostCompleted 已成功将临时主机添加到每个群集。
备份管理虚拟机 VRTBackupCompleted 已成功完成管理虚拟机的备份。
控制层面升级 VRTControlPlaneUpgradeCompleted 控制层面升级已成功完成。
数据层面运行状况检查 VRTDataPlaneHealthCompleted 数据层面运行状况检查已成功完成。
数据层面升级 VRTDataPlaneUpgradeCompleted 数据层面升级已成功完成。
SDDC 升级运行状况检查 VRTHealthCheckCompleted SDDC 升级运行状况检查已成功完成。
主机网络升级 VRTNetworkingUpgradeCompleted 所有群集中主机的网络升级已成功完成。
NSX Controller 升级 VRTNSXControllersUpgradeCompleted NSX Controller 升级已成功完成。
NSX Edge 升级 VRTNSXEdgesUpgradeCompleted NSX Edge 升级已成功完成。
NSX Manager 升级 VRTNSXManagerUpgradeCompleted NSX Manager 升级已成功完成。
POP 升级 VRTPopUpgradeCompleted POP 升级已成功完成。
移除临时 ESX 主机 VRTRemoveHostCompleted 已成功从群集中移除临时主机。
转储升级包 VRTStagingCompleted 已成功转储升级包。
UC 升级 VRTUCUpgradeCompleted 已成功升级 NSX 升级协调器。
升级问题 VRTUpgradeFailed 升级过程中遇到问题。VMware 正努力解
决此问题
SDDC 升级维护 VRTUpgradeMaintenanceCompleted SDDC 已停止维护。
vCenter 升级 VRTvCenterUpgradeCompleted vCenter 升级已成功完成。
Autoscaler/EDRS 通知
eDRS: 主机添加 (存储) StorageScaleOut 存储容量达到 70% 或 75% 后,eDRS 已成功添加主机。
VMware Cloud on AWS 操作指南
VMware, Inc. 69
表 10-1. 通知网关中的通知 (续)
显示名称 模板 ID 描述
一个节点计划维护 OneNodePlannedMaintenance 一个节点 SDDC 计划维护将导致 SDDC 被删除。添加主机以避免丢失 SDDC。
eDRS: 主机添加 (CPU) CpuScaleOut CPU 利用率达到 90% 后,eDRS 已成功
添加主机。
eDRS: 主机添加 (内存) MemoryScaleOut 内存利用率达到 80% 后,eDRS 已成功添
加主机。
eDRS: 已达到主机 大值 EdrsMaximumHostLimitReached eDRS 已达到 大主机限制。
eDRS: 超出主机 大值 EdrsMaximumHostLimitExceeded eDRS 已超出 大主机限制。
常规组织通知
订阅将在 30 天内到期 expiringSubscription30Days 提醒您对即将到期的订阅采取措施。
订阅将在 60 天内到期 expiringSubscription60Days 提醒您对即将到期的订阅采取措施。
订阅将在今天到期提醒 expiringSubscriptionToday 提醒您对即将到期的订阅采取措施。
AWS 帐户链接提醒第 4 天 starshot-awsAccountLinkingDay4 提醒单主机 SDDC 用户完成帐户链接。
AWS 帐户链接提醒第 13 天 starshot-awsAccountLinkingDay13 提醒单主机 SDDC 用户完成帐户链接。
AWS 帐户链接提醒第 28 天 starshot-awsAccountLinkingDay28 提醒单主机 SDDC 用户完成帐户链接。
VMware Site Recovery 通知
Site Recovery - SSL 证书更换已开始 Draas-SSLCertificateRenew-started VMware Site Recovery 已开始更换 SDDC 中 SRM 和 VR 设备的 SSL 证书。
Site Recovery - SSL 证书更换已完成 Draas-SSLCertificateRenew-completed VMware Site Recovery 已完成 SDDC 中
SRM 和 VR 设备的 SSL 证书更换。客户
需要在远程(内部部署)DR 站点上执行操
作来恢复 VR 配对的正常状态。
Site Recovery - 已调度 SSL 证书更换 Draas-SSLCertificateRenew 这是 VSR 维护活动(SRM 和 VR 设备的
SSL 证书更换)的预先通知。该通知至少
在维护开始前 7 天发送。通常情况下,此
类维护所需的时间不超过 30 分钟,可见影
响是会重新启动 SRM 和 VR 进程(通常不
超过 2 分钟)。维护后,用户需要在远程
(内部部署)DR 站点上执行操作来恢复
VR 配对的正常状态。(现有复制不受影
响,因此客户工作负载仍受保护。)
如果由于某种原因无法在调度时间执行维
护,则会发送 Draas-SSLCertificateRenew-canceled 通知,通
常会跟进并调度新的维护。
SRM 和 VR 设备的 SSL 证书即将过期,
VMware Site Recovery 已调度更换这些证
书。
Site Recovery - SSL 证书更换已取消 Draas-SSLCertificateRenew-canceled VMware Site Recovery 已取消调度更换
SRM 和 VR 设备的 SSL 证书
Site Recovery - 调度升级已开始 Draas-upgrade-start VMware Site Recovery 已开始其调度升级
VMware Cloud on AWS 操作指南
VMware, Inc. 70
表 10-1. 通知网关中的通知 (续)
显示名称 模板 ID 描述
Site Recovery - 调度升级 Draas-upgrade-planned VMware Site Recovery 已调度在 7 天内进
行升级。客户应确保 SRM 恢复计划的状态
允许升级,以避免重新调度或取消升级。
这是 VSR 维护活动(SRM 和 VR 设备升
级)的预先通知。该通知至少在维护实际
开始前 7 天发送。通常情况下,升级大约
需要 30 分钟,但维护时段预定了 4 小时以
便在出现问题时进行故障排除/修复。VSR 升级不应与 SDDC 升级时段重叠,并且不
会影响 SDDC 中与 VSR 无关的功能。对
用户的实际可见影响是会在不超过 2 分钟
的时间内重新启动 SRM 和 VR。维护前要
执行的操作 - 客户需要确保其 SRM 恢复计
划所处状态允许升级。如果维护时恢复计
划的状态不允许升级,则会重新调度或取
消维护。客户还需要确保其内部部署
SRM/VR 版本已升级到与要部署的云
SRM/VR 相匹配的版本。
Site Recovery - 重新调度升级 Draas-upgrade-replanned VMware Site Recovery 已重新调度在其他
日期执行升级。
Site Recovery - 调度升级已完成 Draas-upgrade-finish VMware Site Recovery 已完成其调度升
级。
Site Recovery - 调度升级取消 Draas-upgrade-cancel VMware Site Recovery 已取消其调度升
级。
VMware Cloud on AWS 操作指南
VMware, Inc. 71
故障排除 11有多种获取 VMware Cloud on AWS 环境帮助和支持的选项。
本部分还介绍了大量已知问题和帮助您解决问题的解决办法。
本章讨论了以下主题:
n 获取支持
n 无法连接到 VMware Cloud on AWS
n 无法连接到 vCenter Server
n 创建 SDDC 时无法选择子网
n 无法将已更改的密码复制到 vCenter 登录页面
n 计算工作负载无法到达内部部署的 DNS 服务器
获取支持
VMware Cloud on AWS 客户可以通过打开 VMware Cloud Services 控制台获取支持。
步骤
1 与 VMware 联系以获取支持之前,准备好 SDDC 的支持信息。
a 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
b 在 SDDC 卡上,单击查看详细信息。
c 单击支持以查看支持信息。
2 有关使用 VMware Cloud Services 产品内支持的详细信息,请参见如何获取支持。
无法连接到 VMware Cloud on AWS
问题
连接到 VMware Cloud on AWS 上的资源时可能会遇到问题。例如:
n 登录到 VMC 控制台后,仅看到空白屏幕。
VMware, Inc. 72
n 尝试登录到 vSphere Client 或 vSphere Web Client 时显示错误消息:请输入用户名和密码 (User
name and password are required)。
原因
此错误是由站点 cookie 问题引起的。
解决方案
u 可以通过以下两种方法来解决该问题:删除站点 cookie,或者在浏览器中打开无痕浏览窗口或专用浏
览窗口。
选项 描述
删除 cookie 按照相应浏览器的说明执行操作。若希望只删除特定的 cookie,请删除名称中包含
“vmware”和“vidm”的 cookie。
n Google Chrome:请参见 https://support.google.com/chrome/answer/95647
n Mozilla Firefox:请参见 https://support.mozilla.org/en-US/kb/delete-cookies-remove-info-websites-stored
n Microsoft Internet Explorer:https://support.microsoft.com/en-us/help/17442/windows-internet-explorer-delete-manage-cookies
n Microsoft Edge:https://support.microsoft.com/en-us/help/10607/microsoft-edge-view-delete-browser-history
n Safari:https://support.apple.com/kb/PH21411?locale=en_US
打开无痕浏览窗口或专用浏览窗口 按照相应浏览器的说明执行操作:
n Google Chrome:单击菜单按钮,然后选择新建无痕浏览窗口。
n Mozilla Firefox:单击菜单按钮,然后选择新建专用窗口。
n Microsoft Internet Explorer:单击“工具”按钮,然后选择安全性 > InPrivate 浏览。
n Microsoft Edge:单击“更多”图标,然后选择新建 InPrivate 窗口。
n Safari:选择文件 > 新建专用窗口。
无法连接到 vCenter Server无法连接到 SDDC 的 vSphere Client 界面。
问题
单击“连接”选项卡上的链接以便在 vSphere Client 界面中打开 vCenter Server 时,您的浏览器报告无法
访问该站点。
原因
默认情况下,管理网关防火墙设置为拒绝 Internet 和 vCenter Server 之间的所有流量。请验证是否设置了
适当的防火墙规则。
VMware Cloud on AWS 操作指南
VMware, Inc. 73
解决方案
u 创建以下防火墙规则。
表 11-1. vCenter 访问所需的防火墙规则
用例 服务 源 目标
允许从 Internet 访问 vCenter Server。
用于常规 vSphere Client 访问
以及监控 vCenter Server
HTTPS 公用 IP 地址 vCenter
允许通过 VPN 通道访问
vCenter Server。
对管理网关 VPN、混合链接模
式和内容库为必需。
HTTPS 来自内部部署数据中心的 IP 地址或 CIDR 块
vCenter
允许从云 vCenter Server 访问
内部部署服务,如 Active Directory、Platform Services Controller 和内容库。
任意 vCenter 来自内部部署数据中心的 IP 地址或 CIDR 块。
创建 SDDC 时无法选择子网
创建 SDDC 并连接 AWS 帐户中需要连接的 VPC 和子网时,您无法选择子网。
问题
部署 SDDC 时,有一个步骤是选择 AWS 帐户中的 Amazon VPC 和子网以连接到您的 SDDC。您可能无
法在此步骤中选择子网。UI 中显示一条消息指明,当前所有子网 AZ 中都没有容量。
原因
必须选择与 SDDC 相同的可用性区域 (AZ) 中的子网。目前,无法确定哪个 AZ 与您的 SDDC 匹配。如果
只创建了单个子网,它可能会在不正确的 AZ 中,进而您可能无法在此步骤中选择它。
解决方案
u 在 Amazon VPC 的每个可用性区域中创建适当的子网。
无法将已更改的密码复制到 vCenter 登录页面
问题
您从 vSphere Client 更改了 vCenter Server 系统的 [email protected]。现在,您怎么也想不起密
码,于是使用“默认 vCenter 凭据”页面上的复制图标将密码粘贴到 VMware vCenter Single Sign-On 登录屏幕。结果登录过程失败。
VMware Cloud on AWS 操作指南
VMware, Inc. 74
原因
从 vSphere Client 更改 SDDC 的密码后,新密码与“默认 vCenter 凭据”页面上显示的密码不同步。该页
面仅显示默认凭据。如果更改了凭据,您自己应负责记好新密码。
解决方案
请联系技术支持以请求更改密码。请参见获取支持。
计算工作负载无法到达内部部署的 DNS 服务器
与使用 DHCP 的用户创建的逻辑网络相连接的计算工作负载无法到达内部部署的 DNS 服务器。
问题
如果在创建计算网关 VPN 时选择的是非默认逻辑网络,且该网络使用 DHCP,则工作负载虚拟机可能无法
访问内部部署的 DNS 服务器。
原因
如果计算网关 VPN 未配置为允许通过 VPN 发送 DNS 请求,就会出现这种问题。
解决方案
1 配置 VPN 通道的 VMware Cloud on AWS 端,以允许通过 VPN 发送 DNS 请求。
a 登录到位于 https://vmc.vmware.com 的 VMC 控制台。
b 导航到 SDDC 的“网络”选项卡。
c 在计算网关下,单击 VPN。
d 选择操作 > 编辑。
e 在本地网络下,选择 cgw-dns-network。
f 单击保存。
2 除了配置本地网关 IP 地址,还需将连接通道的内部部署端配置为 local_gateway_ip/32。这将允许通过
VPN 路由 DNS 请求。
VMware Cloud on AWS 操作指南
VMware, Inc. 75
