

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 Amazon Elastic VMware Service
<a name="setting-up"></a>

要使用 Amazon EVS，您需要配置其他 AWS 服务，并设置您的环境以满足 VMware Cloud Foundation (VCF) 的要求。有关部署先决条件的摘要清单，请参阅[Amazon EVS 部署先决条件清单](evs-deployment-prereq-checklist.md)。

**Topics**
+ [注册获取 AWS 账户](#sign-up-for-aws)
+ [创建 IAM 角色以向 IAM 用户委托 Amazon EVS 权限](#setting-up-create-iam-role)
+ [注册获取 AWS 商业， AWS 企业 On-Ramp，或 AWS 企业 Support 计划](#setting-up-aws-business-support)
+ [检查 配额](#check-quotas)
+ [规划 VPC CIDR 大小](#vpc-planning)
+ [创建带有子网的 VPC](#vpc-create)
+ [配置 VPC 主路由表](#vpc-main-rt)
+ [配置您的 VPC 的 DHCP 选项集](#vpc-dhcp)
+ [创建和配置 VPC 路由服务器基础架构](#route-server)
+ [创建用于本地连接的中转网关](#transit-gateway)
+ [创建 Amazon EC2 容量预留](#ec2-future-capacity-reservation)
+ [设置 AWS CLI](#set-up-cli)
+ [创建一个 Amazon EC2 密钥对](#create-ec2-key-pair)
+ [为 VMware 云基金会 (VCF) 做好环境准备](#setting-up-vcf)
+ [获取 VCF 许可证密钥](#setting-up-vcf-licensing)
+ [VMware HCX 先](#hcx-prereqs)
+ [Amazon EVS 部署先决条件清单](evs-deployment-prereq-checklist.md)

## 注册获取 AWS 账户
<a name="sign-up-for-aws"></a>

要开始使用 AWS，您需要一个 AWS 帐户。有关创建 AWS 账户的信息，请参阅《[AWS 账户*管理参考指南》中的 AWS 账户*入门](https://docs.aws.amazon.com/accounts/latest/reference/getting-started.html)。

## 创建 IAM 角色以向 IAM 用户委托 Amazon EVS 权限
<a name="setting-up-create-iam-role"></a>

您可以使用角色来委托对 AWS 资源的访问权限。借助 IAM 角色，您可以在您的信任账户与其他可信账户之间建立 AWS 信任关系。信任账户拥有要访问的资源，可信账户包含需要访问资源的用户。

创建信任关系后，IAM 用户或来自可信账户的应用程序可以使用 AWS Security Token Service (AWS STS) `AssumeRole` API 操作。此操作提供临时安全证书，允许访问您账户中的 AWS 资源。有关更多信息，请参阅用户*指南*[中的创建向 IAM 用户委派权限的 AWS Identity and Access Management 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html)。

按照以下步骤创建具有允许访问 Amazon EVS 操作的权限策略的 IAM 角色。

**注意**  
Amazon EVS 不支持使用实例配置文件将 IAM 角色传递给 EC2 实例。

**Example**  

1. 前往 I [AM 控制台](https://console.aws.amazon.com/iam)。

1. 在左侧菜单中，选择**政策**。

1. 选择**创建策略**。

1. 在策略编辑器中，创建启用 Amazon EVS 操作的权限策略。有关策略示例，请参阅 [创建和管理 Amazon EVS 环境](security-iam-id-based-policy-examples.md#security-iam-id-based-policy-examples-create-env)。要查看所有可用的 Amazon EVS 操作、资源和条件密钥，请参阅*服务授权参考*中的[操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticvmwareservice.html)。

1. 选择**下一步**。

1. 在**策略名称**下，输入一个有意义的策略名称来标识此策略。

1. 查看此策略中定义的权限。

1. （可选）添加标签以帮助识别、组织或搜索此资源。

1. 选择**创建策略**。

1. 在左侧菜单中，选择 “**角色**”。

1. 选择**创建角色**。

1. 对于 “**可信实体类型**”，选择 AWS 账户。

1. **在 “是” 下 AWS 账户 ，指定您要执行 Amazon EVS 操作的账户，然后选择 “**下一步**”。**

1. 在**添加权限**页面上，选择您之前创建的权限策略，然后选择**下一步**。

1. 在 “**角色名称**” 下，输入一个有意义的名称来标识此角色。

1. 查看信任政策，并确保将正确的委托人列 AWS 账户 为委托人。

1. （可选）添加标签以帮助识别、组织或搜索此资源。

1. 选择**创建角色**。

1. 将以下内容复制到信任策略 JSON 文件中。对于委托人 ARN，请将示例 AWS 账户 ID 和`service-user`名称替换为您自己的 AWS 账户 ID 和 IAM 用户名。

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::123456789012:user/service-user" 
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

1. 创建角色。`evs-environment-role-trust-policy.json`替换为您的信任策略文件名。

   ```
   aws iam create-role \
     --role-name myAmazonEVSEnvironmentRole \
     --assume-role-policy-document file://"evs-environment-role-trust-policy.json"
   ```

1. 创建启用 Amazon EVS 操作的权限策略并将该策略附加到该角色。将 `myAmazonEVSEnvironmentRole` 替换为您的角色名称。有关策略示例，请参阅 [创建和管理 Amazon EVS 环境](security-iam-id-based-policy-examples.md#security-iam-id-based-policy-examples-create-env)。要查看所有可用的 Amazon EVS 操作、资源和条件密钥，请参阅*服务授权参考*中的[操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticvmwareservice.html)。

   ```
   aws iam attach-role-policy \
     --policy-arn arn:aws:iam::aws:policy/AmazonEVSEnvironmentPolicy \
     --role-name myAmazonEVSEnvironmentRole
   ```

## 注册获取 AWS 商业， AWS 企业 On-Ramp，或 AWS 企业 Support 计划
<a name="setting-up-aws-business-support"></a>

Amazon EVS 要求客户注册 AWS 商业 On-Ramp、 AWS 企业或 AWS 企业支持计划，才能持续获得技术支持和架构指导。 AWS Business Support 是满足亚马逊 EVS 要求的最低 AWS 支持级别。如果您有业务关键型工作负载，我们建议您注册 AWS 企业 On-Ramp 或企业 Suppor AWS t 计划。有关更多信息，请参阅[比较 Supp AWS ort 计划](https://aws.amazon.com/premiumsupport/plans)。

**重要**  
如果您未注册 AWS 商业、企业或 AWS AWS 企业 On-Ramp支持计划，Amazon EVS 环境创建将失败。

## 检查 配额
<a name="check-quotas"></a>

要启用 Amazon EVS 环境创建，请确保您的账户具有所需的最低账户级别配额。有关更多信息，请参阅 [亚马逊 EVS 服务配额](service-quotas-evs.md)。

**重要**  
如果每个 EVS 环境配额值的主机数不低于 4，则创建 Amazon EVS 环境会失败。

## 规划 VPC CIDR 大小
<a name="vpc-planning"></a>

创建 Amazon EVS 环境时，您需要指定 VPC 网段。创建环境后无法更改 VPC CIDR 块，并且需要预留足够的空间来容纳 Amazon EVS 在环境部署期间创建的所需的 EVS 子网和主机。因此，在部署之前，务必仔细规划 CIDR 块大小，同时考虑 Amazon EVS 要求和您未来的扩展需求。Amazon EVS 需要一个最小大小为 /22 网络掩码的 VPC CIDR 块，以便为所需的 EVS 子网和主机留出足够的空间。有关更多信息，请参阅 [Amazon EVS 联网注意事项](architecture.md#evs-subnets)。

**重要**  
确保您有足够的 IP 地址空间来存放您的 VPC 子网和 Amazon EVS 为 VCF 设备创建的 VLAN 子网。VPC CIDR 块的最小大小必须为 /22 网络掩码，以便为所需的 EVS 子网和主机留出足够的空间。

**注意**  
亚马逊 EVS 目前不支持 IPv6。

## 创建带有子网的 VPC
<a name="vpc-create"></a>

Amazon EVS 会将您的环境部署到您提供的 VPC 中。此 VPC 必须包含用于访问 Amazon EVS 服务的子网 ([服务访问子网](concepts.md#concepts-service-access-subnet))。有关为 Amazon EVS 创建带有子网的 VPC 的步骤，请参阅。[创建包含子网和路由表的 VPC](getting-started.md#getting-started-create-vpc)

## 配置 VPC 主路由表
<a name="vpc-main-rt"></a>

Amazon EVS VLAN 子网隐式关联到 VPC 主路由表。要启用与 DNS 或本地系统等依赖服务的连接以成功部署环境，您必须配置主路由表以允许流向这些系统。有关更多信息，请参阅 [将 Amazon EVS VLAN 子网明确关联到 VPC 路由表](getting-started.md#getting-started-associate-vlans)。

**重要**  
只有在创建 Amazon EVS 环境之后，Amazon EVS 才支持使用自定义路由表。在创建 Amazon EVS 环境期间，不应使用自定义路由表，因为这可能会导致连接问题。

### 网关路由要求
<a name="vpc-main-rt-reqs"></a>

根据您的连接要求为以下网关类型配置路由：
+  **NAT 网关 (NGW)** 
  + 仅限出站互联网接入时可选。
  + 必须位于具有互联网网关访问权限的公有子网中。
  + 将来自私有子网和 EVS VLAN 子网的路由添加到 NAT 网关。
  + 有关更多信息，请参阅 A *mazon VPC 用户指南*中的[使用 NAT 网关](https://docs.aws.amazon.com/vpc/latest/userguide/nat-gateway-working-with.html)。
+  **公交网关 (TGW)** 
  + 需要通过 Di AWS rect Connect 和 AWS Site-to-Site VPN 进行本地连接。
  + 为本地网络范围添加路由。
  + 如果使用 BGP，请配置路由传播。
  + 有关更多信息，请参阅 [Amazon VPC *用户指南中的 Amazon VPC* 传输网关中的中转网关](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)。

### 最佳实践
<a name="evs-env-rtb-best"></a>
+ 记录所有路由表配置。
+ 使用一致的命名约定。
+ 定期审核您的路由表。
+ 进行更改后测试连通性。
+ 备份路由表配置。
+ 监控路由的运行状况和传播。

有关使用路由表的更多信息，请参阅 *Amazon VPC 用户指南*中的[配置路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)。

## 配置您的 VPC 的 DHCP 选项集
<a name="vpc-dhcp"></a>

**重要**  
如果您不满足以下 Amazon EVS 要求，则您的环境部署将失败：  
在 DHCP 选项集中包括主 DNS 服务器 IP 地址和辅助 DNS 服务器 IP 地址。
在部署中包括每个 VCF 管理设备和 Amazon EVS 主机的 A 记录的 DNS 正向查找区域。
包括一个 DNS 反向查找区域，其中包含部署中每个 VCF 管理设备和 Amazon EVS 主机的 PTR 记录。
配置 VPC 的主路由表，确保存在通往 DNS 服务器的路由。
确保您的域名注册有效且未过期，并且不存在重复的主机名或 IP 地址。
配置您的安全组和网络访问控制列表 (ACL)，以允许 Amazon EVS 与以下人员通信：  
 TCP/UDP 端口 53 上的 DNS 服务器。
通过 HTTPS 和 SSH 进行主机管理 VLAN 子网。
通过 HTTPS 和 SSH 管理 VLAN 子网。

有关更多信息，请参阅 [使用 VPC DHCP 选项集配置 DNS 和 NTP 服务器](getting-started.md#getting-started-config-dns-ntp-dhcp)。

## 创建和配置 VPC 路由服务器基础架构
<a name="route-server"></a>

Amazon EVS 使用亚马逊 VPC 路由服务器来启用到您的 VPC 底层网络的 BGP-based 动态路由。您必须指定一个路由服务器，该服务器共享到服务访问子网中至少两个路由服务器端点的路由。在路由服务器对等方上配置的对等 ASN 必须匹配，并且对等 IP 地址必须是唯一的。

**重要**  
如果您不满足 Amazon EVS 对 VPC 路由服务器配置的以下要求，则您的环境部署将失败：  
您必须在服务访问子网中配置至少两个路由服务器端点。
为网关配置边界网关协议 (BGP) 时，VPC 路由服务器对等 ASN 值必须与 NSX Edge 对等体 ASN 值匹配。 Tier-0 
创建两个路由服务器对等体时，必须为每个端点使用来自 NSX 上行链路 VLAN 的唯一 IP 地址。在部署 Amazon EVS 环境期间，这两个 IP 地址将分配给 NSX 边缘。
启用路由服务器传播时，必须确保所有正在传播的路由表都至少有一个明确的子网关联。如果传播的路由表没有明确的子网关联，BGP 路由通告就会失败。

**注意**  
对于路由服务器对等体活性检测，Amazon EVS 仅支持默认 BGP keepalive 机制。Amazon EVS 不支持多跳双向转发检测 (BFD)。

### 先决条件
<a name="evs-env-rs-prereq"></a>

在开始之前，您需要：
+ 您的路由服务器的 VPC 子网。
+ 管理 VPC 路由服务器资源的 IAM 权限。
+ 路由服务器 Amazon-side (ASN) 的 BGP ASN 值。该值必须在 1 到 4294967295 的范围内。
+ 一个对等 ASN，用于将您的路由服务器与 NSX Tier-0 网关对等。在路由服务器和 NSX Tier-0 网关中输入的对等 ASN 值必须匹配。NSX Edge 设备的默认 ASN 为 65000。

### Steps
<a name="evs-env-rs-steps"></a>

有关设置 VPC 路由服务器的步骤，请参阅[路由服务器入门教程](https://docs.aws.amazon.com/vpc/latest/userguide/route-server-tutorial.html)。

**注意**  
如果您使用的是 NAT 网关或传输网关，请确保您的路由服务器配置正确，可以将 NSX 路由传播到 VPC 路由表。

**注意**  
我们建议您为路径服务器实例启用持久路由，持续时间介于 1-5 分钟之间。如果启用，则即使所有 BGP 会话都已结束，路由也将保留在路由服务器的路由数据库中。

**注意**  
在 Amazon EVS 环境部署并投入运行之前，BGP 连接状态将处于关闭状态。

## 创建用于本地连接的中转网关
<a name="transit-gateway"></a>

您可以使用关联的中转网关或使用传输网关的 AWS Site-to-Site VPN 连接来配置本地数据中心 Direct Connect 与 AWS 基础设施的连接。有关更多信息，请参阅 [配置本地网络连接（可选）](getting-started.md#getting-started-connect-on-prem)。

## 创建 Amazon EC2 容量预留
<a name="ec2-future-capacity-reservation"></a>

亚马逊 EVS 启动亚马逊 EC2 金属实例，这些实例是您的亚马逊 EVS 环境中的 ESX 主机。为确保在添加主机时有足够的可用容量，我们建议您申请 Amazon EC2 容量预留。您能够随时创建容量预留，并且可以选择何时启动。您可以申请容量预留以便立即使用，也可以申请容量预留以备将来的某个日期使用。有关更多信息，请参阅《A *mazon 弹性[计算云用户指南》中的 “使用 EC2 On-Demand 容量预留](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-capacity-reservations.html)预留计算*容量”。

## 设置 AWS CLI
<a name="set-up-cli"></a>

 AWS CLI 是一款用于使用的命令行工具 AWS 服务，包括 Amazon EVS。它还用于对从本地计算机访问 Amazon EVS 虚拟化环境和其他 AWS 资源的 IAM 用户或角色进行身份验证。要从命令行配置 AWS 资源，您需要获取 AWS 访问密钥 ID 和密钥，以便在命令行中使用。然后，您需要在 AWS CLI中配置这些凭证。有关更多信息，请参阅*版本 2 AWS Command Line Interface 用户指南 AWS CLI*中的[设置](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-quickstart.html)。

## 创建一个 Amazon EC2 密钥对
<a name="create-ec2-key-pair"></a>

Amazon EVS 使用您在创建环境时提供的 Amazon EC2 密钥对来连接您的主机。要创建密钥对，请按照 Amazon Elastic Compute Cloud 用户指南中[为您的 Amazon EC2 实例创建密钥对](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-key-pairs.html)中的步骤进行操作。

## 为 VMware 云基金会 (VCF) 做好环境准备
<a name="setting-up-vcf"></a>

在部署 Amazon EVS 环境之前，您的环境必须满足 VMware Cloud Foundation (VCF) 基础设施要求。有关详细的 VCF 先决条件，请参阅 VMware Cloud Foundation 产品文档中的[规划和准备工作手册](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/planning-and-preparation-workbook-5-2.html)。

您还应该熟悉 VCF 5.2.x 的要求。有关相关版本[信息，请参阅 VCF 5.2.x 发行说明](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/vcf-release-notes.html)。

**注意**  
有关 Amazon EVS 提供的 VCF 版本的信息，请参阅。[Amazon EVS 提供的 VCF 版本和 EC2 实例类型](versions-provided.md)

## 获取 VCF 许可证密钥
<a name="setting-up-vcf-licensing"></a>

要使用 Amazon EVS，您需要提供 VCF 解决方案密钥和 vSAN 许可密钥。核心数量和 vSAN 容量的具体要求取决于您选择的实例类型。有关您的实例类型的最低核心和容量阈值[VCF 订阅](vcf-license-mgmt.md)的详细信息，请参阅您的配置。有关 VCF 许可证的更多信息，请参阅《V [Mware Cloud Foundation 管理指南》中的](https://techdocs.broadcom.com/us/en/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/map-for-administering-vcf-5-2/license-management-admin.html) *“在 VMware Cloud Foundat* ion

**重要**  
使用 SDDC 管理器用户界面管理 VCF 解决方案和 vSAN 许可密钥。Amazon EVS 要求您在 SDDC 管理器中保留有效的 VCF 解决方案和 vSAN 许可密钥，服务才能正常运行。

**注意**  
您的 VCF 许可证将适用于所有 AWS 地区的 Amazon EVS，以确保许可证合规。Amazon EVS 不验证许可证密钥。要验证许可证密钥，请访问 [Broadcom 支持部门](https://support.broadcom.com/web/ecx)。

## VMware HCX 先
<a name="hcx-prereqs"></a>

您可以使用 VMware HCX 将现有 VMware-based 工作负载迁移到 Amazon EVS。在将 VMware HCX 与 Amazon EVS 配合使用之前，请确保已完成以下先决任务。

**注意**  
默认情况下，VMware HCX 未安装在云硬盘环境中。
+ 在将 VMware HCX 与 Amazon EVS 搭配使用之前，必须满足最低网络底层要求。有关更多信息，请参阅《*VMware HCX 用户*指南》中的[网络底层最低要求](https://techdocs.broadcom.com/us/en/vmware-cis/hcx/vmware-hcx/4-11/vmware-hcx-user-guide-4-11/preparing-for-hcx-installations/network-underlay-minimum-requirements.html)。
+ 确认环境中已安装并配置了 VMware NSX。有关更多信息，请参阅《[VMware NSX 安装指南》](https://techdocs.broadcom.com/us/en/vmware-cis/nsx/vmware-nsx/4-2/installation-guide.html)。
+ 确保 VMware HCX 已激活并安装在环境中。有关激活和安装 VMware HCX 的更多信息，请参阅《VM [ware HCX 入门指南》中的 VMw](https://techdocs.broadcom.com/us/en/vmware-cis/hcx/vmware-hcx/4-11/getting-started-with-vmware-hcx-4-11/about-getting-started-with-vmware-hcx.html) *are HCX 入门指南*。
+ 如果您需要 HCX 互联网连接，则必须完成以下先决任务：
  + 确保 Amazon-provided 连续公有 IPv4 CIDR 块网络掩码长度的 IPAM 配额为 /28 或更大。
**重要**  
对于 HCX 互联网连接，Amazon EVS 要求使用来自公共 IPAM 池的 IPV4 CIDR 块，其网络掩码长度为 /28 或更大。使用任何网络掩码长度小于 /28 的 CIDR 块都将导致 HCX 连接问题。有关增加 IPAM 配额的更多信息，请参阅 IPAM [配额。](https://docs.aws.amazon.com/vpc/latest/ipam/quotas-ipam.html)
  + 使用 CIDR 创建一个 IPAM 和一个最小网络掩码长度为 /28 的公有 IPv4 IPAM 池。
  + 从 IPAM 池中为 HCX Manager 和 HCX Interconnect () 设备分配至少两个弹性 IP 地址 (EIP)。HCX-IX为需要部署的每台 HCX 网络设备分配额外的弹性 IP 地址。
  + 将公有 IPv4 网段作为其他 CIDR 添加到您的 VPC 中。

有关 HCX 设置的更多信息，请参阅[选择您的 HCX 连接选项](getting-started.md#hcx-connectivity-choice)和。[HCX 连接选项](migrate-evs-hcx.md#migrate-evs-hcx-connectivity)