VMware Cloud on AWS 入门指南

2020 年 1 月 16 日

VMware Cloud on AWS

您可以从 VMware 网站下载 新的技术文档：

https://docs.vmware.com/cn/。

如果您对本文档有任何意见或建议，请将反馈信息发送至：

docfeedback@vmware.com

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

威睿信息技术（中国）有限公司北京办公室北京市朝阳区新源南路 8 号启皓北京东塔 8 层 801www.vmware.com/cn

上海办公室上海市淮海中路 333 号瑞安大厦 804-809 室www.vmware.com/cn

广州办公室广州市天河路 385 号太古汇一座 3502 室www.vmware.com/cn

版权所有 © 2017-2020 VMware, Inc. 保留所有权利。 版权和商标信息

VMware Cloud on AWS 入门指南

VMware, Inc. 2

目录

VMware Cloud on AWS 入门 5

1 入门检查表 6阅读您的服务欢迎电子邮件 7

更新您的 My VMware 帐户 7

查看订阅采购计划资金帐户 8

登录到 VMware Cloud 控制台 8

添加组织所有者和组织用户 8

创建订阅 9

查看计费信息 9

查看 VMware Cloud on AWS 路线图 9

查看 VMware Cloud on AWS 发行说明 10

注册以接收服务警示 10

查看 VMware Cloud on AWS 的服务级别协议 10

2 帐户创建和管理 11创建帐户 11

在具有 My VMware 帐户的情况下创建组织所有者帐户 11

在没有 My VMware 帐户的情况下创建组织所有者帐户 12

邀请新用户 12

接受帐户邀请 13

向组织成员分配 VMC 服务角色 14

3 创建订阅 15

4 部署和管理软件定义的数据中心 17部署单主机 SDDC 起步配置 19

请求访问权限并创建帐户 20

扩展单主机 SDDC 起步配置 20

从 VMC 控制台部署 SDDC 21

查看 SDDC 信息和获取支持 24

5 连接 vCenter Server 26

6 配置 SDDC 网络与安全 27创建基于路由的 VPN 28

创建内部部署 IPsec VPN 31

VMware, Inc. 3

创建或修改网络分段 33

添加或修改管理网关防火墙规则 34

添加管理组 36

配置管理网络专用 DNS 36

7 部署工作负载虚拟机 38使用 Content Onboarding Assistant 将内容传输到 SDDC 38

从 .vmtx 模板部署虚拟机 40

将公用 IP 地址分配给虚拟机 41

启用对虚拟机远程控制台的访问 41

8 获取支持 42

VMware Cloud on AWS 入门指南

VMware, Inc. 4

VMware Cloud on AWS 入门

本指南提供有关使用 VMware Cloud on AWS 创建云软件定义的数据中心 (SDDC)、为 SDDC 配置基本网

络参数和其他参数以及将 SDDC 连接到内部部署数据中心的信息。

在部署和配置 SDDC 之后，请参见《VMware Cloud on AWS 网络和安全指南》和《VMware Cloud on AWS 操作指南》，了解有关高级功能的信息，以便能够通过扩展网络、单点登录以及与其他 VMware 和

Amazon 工具集成功创建安全的混合云。

目标读者

本信息适用于要使用 VMware Cloud on AWS 创建以下 SDDC 的任何用户，即具有在云中运行工作负载所

需的基本特性，同时可作为探索其他特性和功能的起点。本信息面向已在内部部署环境中使用 vSphere 且熟悉虚拟化概念的读者。无需具备 vSphere 或 Amazon Web Services 的深厚知识。

重要事项 在开始按本指南中的过程操作之前，请下载并阅读为 VMware Cloud on AWS 做准备规划指

南，该指南介绍了可以帮助您快速而正确地配置和部署新 SDDC 环境的关键准备步骤和关联资源。

VMware, Inc. 5

入门检查表 1此入门检查表重点介绍了在准备创建第一个 VMware Cloud on AWS 软件定义的数据中心 (SDDC) 时可供

使用的步骤和资源。

步骤

1 阅读您的服务欢迎电子邮件

在交易过程中，您的云销售专家或客户主管要求您确定资金帐户所有者和资金帐户用户。处理完交易

后，VMware 会向资金帐户所有者和资金帐户用户发送一封服务欢迎电子邮件。

2 更新您的 My VMware 帐户

登录到 VMware Cloud 控制台之前，请确保您的 My VMware 帐户为 新，并且填写了所有必填字

段。如果必填字段缺少信息，将无法创建第一个 SDDC。

3 查看订阅采购计划资金帐户

许多客户选择购买订阅采购计划 (SPP) 额度，这些额度可以通过按需或订阅消费模式在购买 VMware Cloud on AWS 服务时进行兑换。订阅模式类似于 AWS 区域预留实例。

4 登录到 VMware Cloud 控制台

服务欢迎电子邮件中为您提供的服务激活链接可将您定向到 VMware Cloud 控制台。

5 添加组织所有者和组织用户

VMware Cloud on AWS 帐户是基于组织创建的，而组织对应于已订阅 VMware Cloud on AWS 服务

的组或业务部门。

6 创建订阅

使用订阅，您通过承诺在一段确定的时间内购买一定的容量，从而节省成本。订阅并不是使用

VMware Cloud on AWS 所必需的。若使用订阅中未包含的任何服务，将以所选区域的按需费率进行

收费。

7 查看计费信息

资金帐户所有者可以查看组织中活动付款方式的计费信息。

8 查看 VMware Cloud on AWS 路线图

VMware Cloud on AWS 有一个公开路线图，旨在为客户提供相关指导，帮助他们了解可用功能、预

览版功能、正在积极开发和测试的功能以及规划中的功能。

VMware, Inc. 6

9 查看 VMware Cloud on AWS 发行说明

VMware Cloud on AWS 发布新功能的速度远快于传统的内部部署软件产品。请经常查看发行说明页

面，随时了解已发布的新功能。

10 注册以接收服务警示

VMware Coud 运维团队会在 VMware Cloud Services 状态页面上发布有关计划维护事件、维护开始

和结束时间以及服务事件的更新。

11 查看 VMware Cloud on AWS 的服务级别协议

VMware Cloud on AWS 的服务级别协议 (SLA) 定义了具有可用性承诺及其关联目标的服务组件。

阅读您的服务欢迎电子邮件

在交易过程中，您的云销售专家或客户主管要求您确定资金帐户所有者和资金帐户用户。处理完交易后，

VMware 会向资金帐户所有者和资金帐户用户发送一封服务欢迎电子邮件。

这封欢迎电子邮件的标题为“欢迎使用 VMware Cloud on AWS”。如果您不记得看到过这封电子邮件，请

检查您的垃圾邮件或公司垃圾邮件筛选器。这封电子邮件包含唯一的服务激活链接，可将您定向到

VMware Cloud 控制台。首次登录到 VMware Cloud 控制台时，请务必使用此服务激活链接。

步骤

u 找到包含唯一服务激活链接的“欢迎使用 VMware Cloud on AWS”欢迎电子邮件。

u 如果您的收件箱中没有这封电子邮件，请检查您的公司垃圾邮件筛选器。

u 如果仍找不到这封电子邮件，请让您的云销售专家或客户成功经理重新发送电子邮件或向您提供服务激

活链接。

u 完成下一步，然后单击服务激活链接。

更新您的 My VMware 帐户

登录到 VMware Cloud 控制台之前，请确保您的 My VMware 帐户为 新，并且填写了所有必填字段。如

果必填字段缺少信息，将无法创建第一个 SDDC。

必须提供一个有效地址作为 My VMware 个人资料的一部分。此外，还需完整拼写出您所在省/自治区/直辖

市的名称。例如，输入 California，而不是 CA。

步骤

u 要登录到 My VMware，请转到 https://my.vmware.com。

u 有关如何更新 My VMware 个人资料的详细信息，请参见 https://kb.vmware.com/s/article/2086266。

u 有关重置 My VMware 密码的详细信息，请参见 https://kb.vmware.com/s/article/2013961。

VMware Cloud on AWS 入门指南

VMware, Inc. 7

查看订阅采购计划资金帐户

许多客户选择购买订阅采购计划 (SPP) 额度，这些额度可以通过按需或订阅消费模式在购买 VMware Cloud on AWS 服务时进行兑换。订阅模式类似于 AWS 区域预留实例。

您负责了解您的 SPP 资金帐户余额，并管理应该有权访问的用户。只有资金帐户所有者可以添加其他资金

帐户用户。资金帐户所有者和资金帐户用户可以指示 VMware Cloud on AWS 使用 SPP 资金帐户作为付款

方式。

步骤

u 在 My VMware 上查看您的 SPP 资金账户余额：https://kb.vmware.com/s/article/2143195。

如果您未看到 SPP 资金帐户在帐户 > 混合和订阅采购计划 (HPP/SPP) 下列出，则应联系云销售专家

或客户成功经理。

u 有关添加或移除资金账户用户的详细信息，请参见 https://kb.vmware.com/s/article/2094497。

u 要更改资金帐户所有者，请执行以下操作之一。

n 选择支持 > 产品许可。

n 选择帐户 > VMware Cloud Services - 用户管理。

n 联系客户成功经理。

登录到 VMware Cloud 控制台

服务欢迎电子邮件中为您提供的服务激活链接可将您定向到 VMware Cloud 控制台。

步骤

1 单击服务欢迎电子邮件中为您提供的服务激活链接。

您将被定向到 VMware Cloud 控制台。

2 使用 My VMware 帐户的电子邮件和密码登录。

此帐户还应是资金帐户所有者或资金帐户用户，并且有权访问 SPP 资金帐户。

添加组织所有者和组织用户

VMware Cloud on AWS 帐户是基于组织创建的，而组织对应于已订阅 VMware Cloud on AWS 服务的组或

业务部门。

每个组织有一个或多个组织所有者，他们有权访问组织的所有资源和服务，并可以邀请其他用户加入帐

户。默认情况下，这些额外用户是组织用户，他们可以创建、管理和访问组织的 SDDC，但不能邀请新用

户。

步骤

u 阅读第 2 章 帐户创建和管理。

u 有关邀请新用户的详细信息，请参见邀请新用户。

VMware Cloud on AWS 入门指南

VMware, Inc. 8

u 有关接受帐户邀请的详细信息，请参见接受帐户邀请。

u 有关向组织成员分配角色的详细信息，请参见向组织成员分配 VMC 服务角色。

创建订阅

使用订阅，您通过承诺在一段确定的时间内购买一定的容量，从而节省成本。订阅并不是使用 VMware Cloud on AWS 所必需的。若使用订阅中未包含的任何服务，将以所选区域的按需费率进行收费。

您可以使用您的 SPP 资金帐户购买订阅。您应该在销售过程中同意主机数量、主机类型和期限（1 年或 3 年订阅），以确定购买的 SPP 额度金额。

在第一次计费周期后，将对您的资金帐户应用促销或混合忠诚度计划折扣。

如果您不确定您的公司在订阅主机方面的承诺，请联系您的云销售专家。

步骤

u 阅读 https://docs.vmware.com/cn/VMware-Cloud-services/services/Using-VMware-Cloud-Services/GUID-81C8F89A-669C-40BC-9211-50DB25C322C7.html 上的“处理付款方式和计费”。

u 按照第 3 章 创建订阅中的说明创建订阅。

查看计费信息

资金帐户所有者可以查看组织中活动付款方式的计费信息。

只有资金账户所有者能够查看计费信息。

步骤

u 要在 My VMware 中显示计费信息，请单击 VMware Cloud Services 控制台页面上的计费，或在菜单

上单击 VMware Cloud Services 图标，然后单击计费。

查看 VMware Cloud on AWS 路线图

VMware Cloud on AWS 有一个公开路线图，旨在为客户提供相关指导，帮助他们了解可用功能、预览版功

能、正在积极开发和测试的功能以及规划中的功能。

步骤

u 将 VMware Cloud on AWS 路线图 (https://cloud.vmware.com/vmc-aws/roadmap) 加为书签。

VMware Cloud on AWS 入门指南

VMware, Inc. 9

查看 VMware Cloud on AWS 发行说明

VMware Cloud on AWS 发布新功能的速度远快于传统的内部部署软件产品。请经常查看发行说明页面，随

时了解已发布的新功能。

步骤

u 将 VMware Cloud on AWS 发行说明页面 (https://docs.vmware.com/cn/VMware-Cloud-on-AWS/0/rn/vmc-on-aws-relnotes.html) 加为书签。

注册以接收服务警示

VMware Coud 运维团队会在 VMware Cloud Services 状态页面上发布有关计划维护事件、维护开始和结

束时间以及服务事件的更新。

步骤

u 将以下 VMware Cloud Services 状态页面加为书签：https://status.vmware-services.io/。

u （可选） 订阅以接收实时警示和更新。

查看 VMware Cloud on AWS 的服务级别协议

VMware Cloud on AWS 的服务级别协议 (SLA) 定义了具有可用性承诺及其关联目标的服务组件。

如果其中一个服务组件不可用，并且违反了目标 SLA，您可能会享有 SLA 优惠额度。您可能享有的 SLA 优惠额度金额取决于受影响的可用性组件的每月正常运行时间百分比。

步骤

u 阅读 https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/support/vmw-cloud-aws-service-level-agreement.pdf 上的“VMware Cloud on AWS 的服务级别协议”文档并加为书签。

u 如果您享有 SLA 优惠额度，请通过选择支持 > 产品许可，提交支持请求。

VMware Cloud on AWS 入门指南

VMware, Inc. 10

帐户创建和管理 2VMware Cloud on AWS 帐户是基于组织创建的，而组织对应于已订阅 VMware Cloud on AWS 服务的组或

业务部门。

每个组织有一个或多个组织所有者，他们有权访问组织的所有资源和服务，并可以邀请其他用户加入帐

户。默认情况下，这些额外用户是组织用户，他们可以创建、管理和访问组织的 SDDC，但不能邀请新用

户。

注 您创建或者所属的 VMware Cloud on AWS 组织与 AWS 组织无任何关系。

这两种类型的帐户都会关联到一个 My VMware 帐户。

本章讨论了以下主题：

n 创建帐户

n 邀请新用户

n 接受帐户邀请

n 向组织成员分配 VMC 服务角色

创建帐户

您会收到一封电子邮件邀请，其中包含用于注册 VMware Cloud on AWS 帐户的链接。此链接只能使用一

次。

注册服务时，会使用组织 ID 和组织名称创建组织。您将被指定为组织所有者，可以邀请组织中的其他用户

使用该服务。

在具有 My VMware 帐户的情况下创建组织所有者帐户

如果您具有 My VMware 帐户，那么可以在收到邀请电子邮件后使用该帐户来创建组织所有者帐户。

如果您没有 My VMware 帐户，则在您创建帐户的过程中会提示您创建一个。

步骤

1 单击邀请电子邮件中的激活链接。

此时将转到注册页面。

VMware, Inc. 11

2 输入与您的 My VMware 帐户相关联的电子邮件地址，然后单击下一步。

3 输入与您的 My VMware 帐户相关联的密码，然后单击登录。

4 选中与接受服务条款和条件对应的复选框，然后单击下一步。

您将看到确认已成功完成帐户创建的页面。您将被定向到登录页面。

5 使用您的 My VMware 凭据登录。

6 如果未自动重定向到 VMC 控制台，请转至 https://vmc.vmware.com，然后登录。

在没有 My VMware 帐户的情况下创建组织所有者帐户

如果您还没有有效的 My VMware 帐户，那么可以在注册过程中创建一个。

步骤

1 单击邀请电子邮件中的激活链接。

此时将转到注册页面。

2 单击创建帐户。

3 填写必填信息，然后选中服务条款复选框。

在以下情况下注册将失败：

n 未提供有效的地址。

n 未输入所在省/市/自治区的完整名称。例如，如果输入 CA 而不是 California，则注册会失败。

4 单击注册。

约 10 分钟内就会收到激活电子邮件。

5 打开邮件，然后单击激活链接。

链接是唯一的，而且只能使用一次。

6 在“欢迎使用”页面上，输入并确认密码，然后单击保存。

您将被定向到登录页面，您可以使用自己的凭据进行登录。

7 使用您的 My VMware 凭据登录。

8 如果未自动重定向到 VMC 控制台，请转至 https://vmc.vmware.com，然后登录。

邀请新用户

作为组织所有者，您可以邀请其他用户加入您的组织。

组织成员不能邀请用户加入组织。

前提条件

您必须是组织所有者才能邀请其他用户加入您的组织。

VMware Cloud on AWS 入门指南

VMware, Inc. 12

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 单击窗口右上角的服务图标 ( )，然后选择标识与访问管理。

将显示组织中当前所有用户的列表。

3 单击添加用户。

4 输入要添加的每个用户的电子邮件地址，电子邮件地址之间以逗号、空格或换行符分隔。

5 选择要分配的角色。

n 组织所有者。

n 组织成员。

6 单击添加。

结果

将向您邀请的每个用户发送邀请电子邮件。他们可以使用这些电子邮件激活自己的帐户。

接受帐户邀请

组织所有者邀请您加入其在 VMware Cloud on AWS 上的组织后，您可以接受邀请，以创建您的帐户并获

得服务访问权限。

步骤

1 在您收到的邀请电子邮件中，单击查看服务。

将在 Web 浏览器中打开注册页面。

2 注册帐户。

选项 描述

如果您的电子邮件已有关联的 My VMware 帐户

输入您的电子邮件地址和 My VMware 帐户密码，然后单击登录。

如果您的电子邮件没有关联的 My VMware 帐户

a 输入您的名字、姓氏和密码。

b 选中接受 VMware 使用条款协议对应的复选框。

c 单击保存。

3 如果未自动重定向到 VMC 控制台，请转至 https://vmc.vmware.com，然后登录。

VMware Cloud on AWS 入门指南

VMware, Inc. 13

向组织成员分配 VMC 服务角色

组织成员可分配有组织角色和服务角色。作为组织所有者，您可以更改组织成员的这两种角色分配。

组织角色指定组织成员对组织资产所拥有的特权。服务角色指定组织成员在访问组织使用的 VMware Cloud Services 时所拥有的特权。具有组织所有者特权的用户可以分配和更改所有服务角色，因此，要防

止修改，除了分配组织成员角色外，还应分配管理员（删除限制）或 NSX Cloud 审核员等限制性角色。

将多个服务角色分配给某组织成员时，将授予 高权限角色的权限。例如，如果您为组织成员分配管理员

角色和管理员（删除限制）角色，则会应用限制性更弱的管理员权限，可允许删除 SDDC 和群集。

步骤

1 在 VMware Cloud Services 工具栏上，单击标识与访问管理。

2 选择一个用户，然后单击编辑角色以打开编辑角色页面。

3 要分配组织角色，请从分配组织角色下拉控件中选择角色名称。

有关组织角色的信息，请参见 VMware Cloud Services 文档中的管理用户和权限。

4 要分配 VMC 服务角色，请在分配服务角色下选择 VMware Cloud on AWS 服务名称，然后选择要分

配的 VMware Cloud on AWS 服务角色。

可用角色包括：

管理员 此角色对 VMware Cloud on AWS 控制台中的所有服务功能具有全部云管

理员权限。

管理员（删除限制）。 此角色对 VMware Cloud on AWS 控制台中的所有服务功能具有全部云管

理员权限，但不能删除 SDDC 或群集。

NSX Cloud 审核员 与管理员或管理员（删除限制）角色结合使用时，此角色可以查看 NSX 服务设置和事件，但不能对服务进行任何更改。

NSX Cloud 管理员 与管理员或管理员（删除限制）角色结合使用时，此角色可以执行与

NSX 服务部署和管理相关的所有任务。

重要事项 要对 VMC 控制台 及其“网络与安全”选项卡进行管理访问，需要管理员或管理员（删除限

制）角色以及 NSX 角色。

5 单击保存以保存更改。

后续步骤

确保已更改角色的所有用户注销并重新登录，以使更改生效。

VMware Cloud on AWS 入门指南

VMware, Inc. 14

创建订阅 3使用订阅，您通过承诺在一段确定的时间内购买一定的容量，从而节省成本。

订阅并不是使用 VMware Cloud on AWS 所必需的。若使用订阅中未包含的任何服务，将以按需费率进行

收费。

前提条件

您的 My VMware 帐户必须关联一定的资金，以用来支付订阅费用。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 单击订阅 ( )。

3 单击创建订阅。

a 选择订阅适用的地区。

b 选择要订阅的主机数量。

订阅主机的总数量不能超过组织允许的上限。

4 单击下一步以选择订阅期限。

5 选择一个付款期限，然后单击下一步。

选项 描述

按需 选择此选项可对您的使用情况基于消费按小时收费。

1 年 通过以下选项之一选择 1 年订阅期限：

n 选择预付款以在一次预付款中支付全款。

n 选择按月付款以按月分期付款。无论主机使用情况如何，都将按月对您收费。

3 年 通过以下选项之一选择 3 年订阅期限：

n 选择预付款以在一次预付款中支付全款。

n 选择按月付款以按月分期付款。无论主机使用情况如何，都将按月对您收费。

6 查看摘要，然后单击下单。

VMware, Inc. 15

结果

您将收到一封通知电子邮件，指示您的订阅订单已被接收。订单被处理后，您将收到第二封电子邮件通

知，告知您订阅已进入活动状态或订阅过程失败。如果订阅失败，请联系 VMware 技术支持以获得帮助。

VMware Cloud on AWS 入门指南

VMware, Inc. 16

部署和管理软件定义的数据中心 4部署软件定义的数据中心 (SDDC) 是使用 VMware Cloud on AWS 服务的第一步。部署 SDDC 后，可以查

看相关信息并执行管理任务。

部署 SDDC 之前要考虑的因素有很多。

已连接 AWS 帐户

在 VMware Cloud on AWS 上部署 SDDC 时，将在 AWS 帐户和专用于组织的 VPC 内进行创建并由

VMware 管理。您还必须将 SDDC 连接到属于您的 AWS 帐户，也就是客户 AWS 帐户。此连接将允许您

的 SDDC 访问属于您的客户帐户的 AWS 服务。

如果部署的是单主机 SDDC， 长可以延迟两周链接客户 AWS 帐户。链接 AWS 帐户后才能将单主机

SDDC 扩展为多主机 SDDC。如果部署的是多主机 SDDC，则必须在部署 SDDC 时链接客户 AWS 帐户。

AWS VPC 配置和可用性要求

使用的 VPC、子网和 AWS 帐户必须满足以下多个要求：

n 子网必须位于 VMware Cloud on AWS 所在的 AWS 可用区 (AZ) 中。开始时，先在将创建 SDDC 的

AWS 区域的每个 AZ 中创建一个子网。这样，您便可确定可部署 SDDC 的所有 AZ，并选择 符合您

的 SDDC 放置需求的 AZ，无论您是希望 VMC 工作负载靠近特定 AZ 中运行的 AWS 工作负载，还是

希望其远离此类工作负载。有关如何使用 Amazon VPC 控制台在 VPC 中创建子网的信息，请参见

AWS 文档中的在 VPC 中创建子网。

n 要链接的 AWS 帐户必须具有足够的容量，可为部署 SDDC 的每个区域中的每个 SDDC 至少创建 17 个 ENI。虽然您不能在一个群集中置备 16 个以上的主机，但计划维护和 Elastic DRS 等 SDDC 操作可

能会要求临时添加多达 16 个主机，因此我们建议使用具有足够容量的 AWS 帐户，以便为每个区域中

的每个 SDDC 容纳 32 个 ENI。

n 我们建议每个 SDDC 使用一个专用的 /26 CIDR 块，并且不将此子网用于任何其他 AWS 服务或 EC2 实例。由于此块中的某些 IP 地址是预留供内部使用的，因此一个 /26 CIDR 块就是一个可容纳 SDDC 所需的 33 个地址的 小子网。

n AWS 服务或实例与 SDDC 进行通信所使用的任何 VPC 子网都必须与已连接 VPC 的主路由表相关

联。不支持使用自定义路由表或替换主路由表。

VMware, Inc. 17

n 如有必要，您可以将多个 SDDC 链接到一个 VPC，但前提是用于 ENI 连接的 VPC 子网具有足够大的

CIDR 块来容纳它们。由于 VPC 中的所有 SDDC 使用相同的主路由表，请确保这些 SDDC 中的网络

分段不会相互重叠或与 VPC 的主 CIDR 块重叠。路由 SDDC 网络中的工作负载虚拟机可与 VPC 的主

CIDR 块中的所有子网进行通信，但无法识别 VPC 中可能存在的其他 CIDR 块。

VMware Cloud on AWS 单主机 SDDC 起步配置

可以使用单主机 SDDC 起步配置快速开始体验 VMware Cloud on AWS。此配置具有有效期限，适用于在

环境中证明 VMware Cloud on AWS 的价值。单主机环境的有效期限只有 30 天。在单主机 SDDC 有效期

内的任意时间，您都可以选择将其扩展为包含 3 个或更多主机的生产用配置，并且不会丢失数据。如果在

单主机 SDDC 有效期限结束之前您未进行扩展，我们将会删除 SDDC 及其包含的所有工作负载和数据。

VMware Cloud on AWS 的延伸群集

可以创建群集跨越两个可用区的 SDDC。延伸群集使用 vSAN 技术为 SDDC 提供单个数据存储并在两个可

用区之间复制数据。如果一个可用区中的服务中断，将在另一个可用区中启动 SDDC 中的工作负载虚拟

机。

延伸群集存在以下限制：

n 链接的 VPC 必须具有两个子网，即群集使用的每个 AZ 中各有一个。

n 一个给定的 SDDC 可以包含标准（单可用区）群集或延伸群集，但不能混合使用两者。

n 不能将延伸群集转换为标准群集，反之亦然。

n 您至少需要 6 个主机（每个 AZ 中 3 个）才能创建延伸群集。必须成对添加主机。

有关可能影响延伸群集的其他限制，请参见 VMware Cloud on AWS 高配置。

连接到 SDDC 并配置 SDDC 网络

需要将内部部署数据中心连接到 SDDC，才能迁移工作负载虚拟机并在 VMware Cloud on AWS 中进行管

理。对于此连接，可以使用公用 Internet 和/或 AWS Direct Connect。此外，还需要设置一个或多个虚拟专

用网络 (VPN) 来保护传入/传出 SDDC 的网络流量，并配置 SDDC 网络和安全功能，如防火墙规则、DNS 和 DHCP。有关如何执行此操作的详细信息，请参见《VMware Cloud on AWS 网络和安全》指南。

本章讨论了以下主题：

n 部署单主机 SDDC 起步配置

n 从 VMC 控制台部署 SDDC

n 查看 SDDC 信息和获取支持

VMware Cloud on AWS 入门指南

VMware, Inc. 18

部署单主机 SDDC 起步配置

VMware Cloud on AWS 允许您部署包含单个主机的起步配置。

单主机 SDDC 起步配置允许您使用为期 30 天的单主机配置快速开启 VMware Cloud on AWS 混合云之

旅。使用信用卡或 VMware 信用基金可按需购买此配置（按小时计费）。

单主机 SDDC 起步配置的使用期限仅为 30 天。要保留数据，您可以在 30 天期限结束前的任意时间将其扩

展为三主机配置（ 低购买配置）。如果在单主机 SDDC 有效期限结束之前您未进行扩展，到期后我们将

会删除 SDDC 及其包含的所有工作负载和数据。

单主机 SDDC 起步配置适合于测试和开发或概念证明用例。请勿在单主机 SDDC 上运行生产工作负载。您

可以使用以下单主机功能证明 VMware Cloud on AWS 的价值：

n 借助专家支持，快速上手。

n 使用 VMware Hybrid Cloud Extension 在内部部署环境与 VMware Cloud on AWS 之间实现大规模快速

迁移，通过 VMware vMotion 实时迁移，以及冷迁移。

n 灾难恢复：评估 VMware Site Recovery，针对 VMware Cloud on AWS 优化的云级灾难恢复服务。

VMware Site Recovery 作为虚拟机级的附加服务需单独购买。请勿将单主机配置用于生产环境的灾难

恢复，因为此配置无 SLA，主机发生故障时会丢失数据。

n 混合链接模式支持：混合链接模式提供内部部署和 VMware Cloud on AWS 资源的单个逻辑视图。

n 全闪存 vSAN 存储：一种全闪存 vSAN 配置，可针对缓存和容量使用闪存以提供 佳存储性能。

n 无缝、高带宽、低延迟访问原生 AWS 服务，例如 EC2 和 S3。

单主机 SDDC 存在以下限制。

n 需要在 VMware Cloud on AWS 中运行多个主机的功能或操作无法使用单主机 SDDC。这些功能或操

作包括但不限于，高可用性 (HA)、多群集，跨多个可用区的延伸群集、在 VMware Cloud on AWS 环境之间通过 vMotion 迁移以及 Distributed Resource Scheduler (DRS)。

n 单主机 SDDC 没有 SLA。

n 如果主机出现故障，SDDC 中的数据将丢失。

n 无法升级或修补单主机 SDDC。

n 一次只能置备一个单主机 SDDC。

VMware Cloud on AWS 入门指南

VMware, Inc. 19

请求访问权限并创建帐户

首先请求单主机起步配置 SDDC 的访问权限。您的访问获批后，可以激活并创建帐户。

步骤

1 转到 https://cloud.vmware.com/vmc-aws/single-host-access，填写必填信息，然后单击请求。

重要事项 您在此处提供的电子邮件地址必须是企业电子邮件帐户。不能使用 gmail.com、icloud.com 等公共电子邮件提供商的电子邮件地址。有关如何更新 My VMware 个人资料的详细信息，请参见

https://kb.vmware.com/s/article/2086266。

如果容量当前不可用，您会收到一封电子邮件，指出您已列入等待名单。这封邮件包含指向可用于规划

部署的资源的链接。

容量可用时，您会收到一封电子邮件，通知您可以激活订阅。

2 创建您的组织所有者帐户。

n 如果您已具有 My VMware 帐户，请按照在具有 My VMware 帐户的情况下创建组织所有者帐户中

的步骤操作。

n 如果您没有 My VMware 帐户，请按照在没有 My VMware 帐户的情况下创建组织所有者帐户中的

步骤操作。

3 命名您的组织，并同意服务条款。

4 输入信用卡信息作为默认付款方式。

5 单击添加信用卡。

后续步骤

确保已满足必备条件，然后按照第 4 章 部署和管理软件定义的数据中心中的步骤操作。选择 1 作为 SDDC 中的主机数。

扩展单主机 SDDC 起步配置

单主机 SDDC 起步配置具有有效期限，超过此有效期限便会过期。要在过期日期后仍保留工作负载和数

据，请将 SDDC 扩展为完整的生产用 SDDC。

扩展单主机 SDDC 是不可逆的。扩展到具有四个或更多主机的 SDDC 后，将无法从 SDDC 中移除主机。

单主机 SDDC 对应的卡视图将显示一个横幅，其中显示过期前剩余的天数。

步骤

1 在 SDDC 横幅上，单击扩展。

2 检查已扩展 SDDC 的设置，然后单击立即扩展。

结果

单主机 SDDC 起步配置已扩展到完整的生产用 SDDC，该 SDDC 不会再过期。

VMware Cloud on AWS 入门指南

VMware, Inc. 20

从 VMC 控制台部署 SDDC部署 SDDC 以在云中托管工作负载。

要创建 SDDC，请选取托管该 SDDC 的 AWS 区域，命名该 SDDC，并指定希望该 SDDC 包含的 ESXi 主机数量。如果您还没有 AWS 帐户，仍可以创建包含单个 ESXi 主机的起步配置 SDDC。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 单击创建 SDDC。

VMware Cloud on AWS 入门指南

VMware, Inc. 21

3 配置 SDDC 属性。

a 选择要在其中部署 SDDC 的 AWS 区域。

可用区域包括：

n 美国西部（俄勒冈州）

n 美国东部（北弗吉尼亚州）

n 欧盟（伦敦）

n 欧盟（法兰克福）

n 亚太地区（悉尼）

n 亚太地区（东京）

n 欧盟（爱尔兰）

n 美国西部（北加利福尼亚州）

n 美国东部（俄亥俄州）

n 亚太地区（新加坡）

n 加拿大（中部）

n 欧洲（巴黎）

n 亚太地区（孟买）

n 亚太地区（首尔）

n 南美洲（圣保罗）

n 欧洲（斯德哥尔摩）

b 选择部署选项。

选项 描述

单主机 选择此选项可创建单主机起步配置 SDDC。单主机起步配置 SDDC 将于 30 天后

过期。有关详细信息，请参见部署单主机 SDDC 起步配置。

多主机 选择此选项可创建包含三个或多个主机的 SDDC。

延伸群集 如果创建多主机 SDDC，还可以选择创建跨越两个可用区的延伸群集。如果其中

一个可用区出现问题，多可用区延伸群集能够提供容错和可用性。一个延伸群集

中必须至少包含 6 个主机，而且部署的主机数必须为偶数。

注 美国西部（加利福尼亚州北部）、加拿大（中部）和南美洲（圣保罗）地区

当前不支持延伸群集。

c 输入 SDDC 的名称。

如果需要，您可以稍后更改此名称。请参见《VMware Cloud on AWS 操作指南》中的重命名

SDDC。

VMware Cloud on AWS 入门指南

VMware, Inc. 22

d 选择主机类型。

选项 描述

i3 (本地 SSD) 置备主机时每个主机上配置固定量的本地 SSD 存储。

R5 (EBS) 使用基于 EBS 的存储置备主机。置备 R5 主机时，可以为每个主机选择存储容

量。这样，可以为大存储容量需求的工作负载置备更大的容量。

e 如果选择 R5 (EBS) 主机，则为每个主机选择存储容量。

您选择的值将用于群集中的所有主机，其中包括创建后添加到群集的任何主机。

f 如果创建多主机 SDDC，请指定 SDDC 中所需的初始主机数。

可以稍后根据需要添加或移除主机。

注 存储容量、性能和冗余都会受 SDDC 中主机数量的影响。有关详细信息，请参见存储容量和

数据冗余。

主机容量和总容量会更新，以反映指定的主机数量。

4 连接到 AWS 帐户。

有关 AWS 帐户以及在其中创建的子网的要求的重要信息，请参见 AWS VPC 配置和可用性要求。

选项 描述

目前跳过 如果您没有 AWS 帐户或现在不需要连接到 AWS 帐户，可以将此步骤推迟 14 天。

此选项当前仅可用于单主机 SDDC。

使用现有 AWS 帐户 在选择 AWS 帐户下拉列表中，选择 AWS 帐户以使用之前已连接到另一个 SDDC 的 AWS 帐户。如果下拉列表中未列出任何帐户，则必须连接到新的 AWS 帐户。

连接新 AWS 帐户 在选择 AWS 帐户下拉列表中，选择连接到新 AWS 帐户，然后按照页面上的说明执

行操作。VMC 控制台 会显示连接进度。

5 （可选） 单击下一步以在 SDDC 中配置管理子网。

输入管理子网的 IP 地址范围作为 CIDR 块，或者将文本框留空以使用默认设置，即 10.2.0.0/16。创建

SDDC 后，将无法更改这些值，因此指定此地址范围时，请注意以下事项：

n 选择与正连接的 AWS 子网未重叠的 IP 地址范围。如果您计划将 SDDC 连接到内部部署数据中

心，则子网的 IP 地址范围在企业网络基础架构中必须唯一。它不能与任何内部部署网络的 IP 地址

范围重叠。

n 如果部署的是单主机 SDDC，IP 地址范围 192.168.1.0/24 将预留用作 SDDC 的默认计算网关逻辑

网络。 如果指定的管理网络地址范围与 192.168.1.0/24 重叠，则单主机 SDDC 创建将失败。如果

部署的是多主机 SDDC，则在部署过程中不会创建任何计算网关逻辑网络，因此需要在部署

SDDC 后创建一个。

整个地址范围 100.64.0.0/10（依照 RFC 6598 为运营商级 NAT 预留）由 VMware Cloud on AWS 预留以供内部使用。您无法从 SDDC 中的工作负载访问该地址范围内的任何远程（内部部署）网

络，并且无法使用 SDDC 内该范围内的任何地址。此外，CIDR 块 10.0.0.0/15 和 172.31.0.0/16 预留给内部使用。管理网络 CIDR 块不能与这些范围重叠。

VMware Cloud on AWS 入门指南

VMware, Inc. 23

n 支持大小为 16、20 或 23 的 CIDR 块，并且必须位于由 RFC 1918 定义的“专用地址空间”块之

一（10.0.0.0/8、172.16.0.0/12 或 192.168.0.0/16）。选择管理 CIDR 块大小的主要因素是 SDDC 的预期可扩展性要求。管理 CIDR 块在部署 SDDC 后无法更改，因此 /23 块仅适用于不需要容量

大幅增长的 SDDC。

CIDR 块大小 主机数量（单个 AZ） 主机数量（多个 AZ）

23 27 22

20 251 246

16 请参见 VMware Cloud on AWS 的 高配置。

6 确认您了解并负责承担部署 SDDC 时产生的成本，然后单击部署 SDDC 以创建 SDDC。

单击部署 SDDC 后开始计费。部署过程开始后，您无法暂停或取消。部署完成后，您才能使用

SDDC。部署通常大约需要两个小时。

后续步骤

创建 SDDC 后，执行以下操作：

n 配置管理网关的 VPN 连接。

n 对于全规模 SDDC，必须为工作负载虚拟机网络配置逻辑分段。单主机 SDDC 具有默认逻辑分段。创

建完成后，将在 SDDC 卡上显示一个横幅，指示是否需要创建逻辑分段。请参见创建网络分段。

n 对于单主机 SDDC，将在 SDDC 卡上显示一个横幅，指示已为此 SDDC 创建默认逻辑分段。如果此默

认分段导致冲突，请将其删除并创建新的分段。请参见创建网络分段。

查看 SDDC 信息和获取支持

您可以从 VMC Console 查看 SDDC 信息和获取支持。为快速解决问题，请务必提供与您的环境相关的详

细信息。

有关获取帮助和支持的其他详细信息，请参见第 8 章 获取支持。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 单击查看详细信息，然后选择一个选项卡。

选项卡 描述

摘要 显示使用情况信息。此选项卡不总是立即更新。

网络与安全 用于查看和更改 SDDC 的网络。请参见《VMware Cloud on AWS 网络和安全》。

VMware Cloud on AWS 入门指南

VMware, Inc. 24

选项卡 描述

设置 按以下方法使用此选项卡：

n 转到 vSphere Client，单击相应的链接。

n 登录到 vCenter Server 时，单击“用户名”和“密码”旁边的“复制”图标，

以将该信息复制到剪贴板并粘贴到登录屏幕。

支持 联系 VMware 技术支持时，使用此选项卡中的信息。

a 单击底部右下角的聊天图标 。

b 若有必要，将组织 ID、SDDC ID 或其他信息提供给 VMware Cloud on AWS 人员。

VMware Cloud on AWS 入门指南

VMware, Inc. 25

连接 vCenter Server 5单击访问 VCENTER 按钮可打开 vSphere Client，然后登录到 vCenter。

创建 SDDC 后，可以通过 Internet 或通过 VPN 连接到 SDDC vCenter Server。将简单防火墙规则添加到

管理网关后，可以在创建 SDDC 后立即通过 Internet 进行连接。创建 VPN 后，还可以使用该 VPN 连接到

SDDC vCenter Server，以取代或替代通过 Internet 连接进行连接的方法。

除了访问 VCENTER 按钮外，SDDC 的设置选项卡还提供了用于通过 API Explorer 和 PowerCLI 连接到

vCenter Server 的连接和身份验证详细信息。

步骤

u 要通过 Internet 连接到 vCenter Server，请单击 SDDC 卡上的访问 vCenter 按钮，然后单击防火墙规

则并添加类似于此的规则。

源 您拥有的任意或公用 IP 范围。

目标 vCenter（系统定义的组）

服务 HTTPS (TCP 443)

u 如果您已创建 VPN 并希望通过它进行连接，请单击 SDDC 卡上的访问 vCenter 按钮，然后单击

VPN。

u （可选） 打开设置选项卡，然后选择连接到 vCenter Server 的另一个方法。

选项 描述

使用 vSphere Client 连接 单击 vSphere Client (HTML5) 下的链接。此连接方法相当于访问 VCENTER 按钮。

连接到 API Explorer 单击 vCenter Server API Explorer 下的链接。

使用 PowerCLI 连接 将在 PowerCLI 连接下显示用于连接的 cmdlet。单击 可将 cmdlet 复制到剪贴

板。

所有连接方法的默认凭据都显示在身份验证下。单击 可将用户名或密码复制到剪贴板。

VMware, Inc. 26

配置 SDDC 网络与安全 6要开始使用 VMware Cloud on AWS 在 SDDC 中运行工作负载，需要设置一个将内部部署数据中心连接到

SDDC 的网络。该网络可以包含通过 AWS Direct Connect 和/或 IPSec VPN 建立的专用连接。

通过 Direct Connect 路由 IPSec VPN 流量可以以较低的成本提供更好的性能，先设置通过 Internet 连接到

SDDC 的 IPSec VPN，然后将该 VPN 重新配置为以后使用 Direct Connect。

打开新 SDDC 的网络与安全选项卡时，可以运行设置网络与安全向导来指导您完成配置 Direct Connect 和

VPN、访问 SDDC 中的 vCenter 以及更改默认 DNS 服务器（如果需要）所需的步骤。

如果只想设置通过 Internet 将内部部署数据中心连接到 SDDC 的基于路由的 VPN，请执行以下步骤。

步骤

1 创建基于路由的 VPN

基于路由的 VPN 会创建 IPsec 隧道接口，并按照 SDDC 路由表的指示将流量路由通过该接口。通过

基于路由的 VPN，可以有弹性地安全访问多个子网。使用基于路由的 VPN 时，在创建新网络时会自

动添加新的路由。

2 创建内部部署 IPsec VPN

内部部署数据中心内网关设备的配置可能需由网络团队的成员执行。请参考适用于您的网关或防火墙

设备的文档，了解如何进行配置以与配置的 VPN 设置相匹配。

3 创建或修改网络分段

网络分段是指供 SDDC 计算网络中的工作负载虚拟机使用的逻辑网络。

4 添加或修改管理网关防火墙规则

默认情况下，管理网关会阻止从所有源到所有目标的流量。可以根据需要添加管理网关防火墙规则以

允许流量出入。

5 配置管理网络专用 DNS

指定专用 DNS 服务器的地址，以便管理网关、ESXi 主机和管理虚拟机将完全限定域名 (FQDN) 解析

为管理网络上的 IP 地址。

VMware, Inc. 27

创建基于路由的 VPN基于路由的 VPN 会创建 IPsec 隧道接口，并按照 SDDC 路由表的指示将流量路由通过该接口。通过基于

路由的 VPN，可以有弹性地安全访问多个子网。使用基于路由的 VPN 时，在创建新网络时会自动添加新

的路由。

VMware Cloud on AWS 对所有 VPN 连接使用同一个公用 IP，因此只能创建与给定远程公用 IP 的单个

VPN 连接（基于路由、基于策略或 L2VPN）。

VMware Cloud on AWS SDDC 中基于路由的 VPN 使用 IPsec 协议保护流量，使用边界网关协议 (BGP) 在创建新网络时发现和传播路由。要创建基于路由的 VPN，请为本地 (SDDC) 和远程（内部部署）端点配

置 BGP 信息，然后为隧道的 SDDC 端指定隧道安全参数。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 单击网络与安全 > VPN > 基于路由。

3 （可选） 更改默认的本地自治系统编号 (ASN)。

SDDC 中基于路由的所有 VPN 均默认为 ASN 65000。如果任何已配置 VPN 连接的远程 ASN 也具有

此值，则单击编辑本地 ASN，输入一个介于 64521 到 65535 之间的新值，然后单击应用。

4 单击添加 VPN，并为新 VPN 指定名称。

5 从下拉菜单中选择本地 IP 地址。

n 如果为此 SDDC 配置了 AWS Direct Connect，并希望 VPN 使用该方法，请选择专用 IP 地址。请

参见#unique_32。请注意，通过 Direct Connect 的 VPN 流量仅限于 1500 字节的默认 MTU，即

使链接支持更高 MTU 也是如此。

n 如果希望 VPN 通过 Internet 进行连接，请选择公用 IP 地址。

6 对于远程公用 IP，请输入内部部署 VPN 端点的地址。

这是对此 VPN 发起或响应 IPsec 请求的设备的地址。此地址必须满足以下要求：

n 不得已用于其他 VPN。VMware Cloud on AWS 对所有 VPN 连接使用同一个公用 IP，因此只能创

建与给定远程公用 IP 的单个 VPN 连接（基于路由、基于策略或 L2VPN）。

n 如果在步骤 5 中指定了公用 IP，则必须可以通过 Internet 访问此地址。

n 如果在步骤 5 中指定了专用 IP，则必须能够通过使用 Direct Connect 连接到专用 VIF 来访问此地

址。

默认网关防火墙规则允许通过 VPN 连接的入站和出站流量，但您必须创建防火墙规则来管理通过 VPN 隧道的流量。

VMware Cloud on AWS 入门指南

VMware, Inc. 28

7 对于 BGP 本地 IP/前缀长度，请以 CIDR 格式输入本地 VPN 隧道的 IP 地址。

从 169.254.0.0/16 子网中选择大小为 /30 的网络。此范围内的第二个和第三个 IP 地址配置为远程和本

地 VTI（VPN 隧道接口）。例如，在 CIDR 块 169.254.111.0/30（地址范围

169.254.111.0-169.254.111.3）中，本地 (SDDC) 接口为 169.254.111.2/30，远程（内部部署）接口为

169.254.111.1/30。

注 将保留以下网络供内部使用。为 BGP 本地 IP/前缀长度指定的网络不得与这些网络中的任何一个

重叠。

n 169.254.0.2/28

n 169.254.10.1/24

n 169.254.11.1/24

n 169.254.12.1/24

n 169.254.13.1/24

n 169.254.101.253/30

n 100.64.0.0/10（依照 RFC 6598 为运营商级 NAT 预留。）

如果无法使用 169.254.0.0/16 子网的网络（因为与现有网络存在冲突），则必须创建一个防火墙规

则，以允许从 BGP 服务到在此处所选择的子网的流量。请参见#unique_33。

8 对于 BGP 远程 IP，输入内部部署 VPN 网关的 BGP 接口地址。

此地址必须是您在步骤 7 中提供的 IP 和前缀长度所定义的子网上的有效主机 IP，并且不得与 BGP 本地 IP 相同。

9 对于 BGP 远程 ASN，请输入内部部署 VPN 网关的 ASN。

10 配置高级隧道参数。

选项 描述

隧道加密 选择内部部署 VPN 网关支持的阶段 2 安全关联 (SA) 密码。

隧道摘要算法 选择内部部署 VPN 网关支持的阶段 2 摘要算法。

注 如果为隧道加密指定基于 GCM 的密码，请将隧道摘要算法设置为无。摘要函数

是 GCM 密码不可或缺的一部分。

完全向前保密 启用或禁用，以与内部部署 VPN 网关的设置相匹配。如果私钥遭到泄露，启用“完

全向前保密”可防止已记录（过去）的会话被解密。

预共享密钥 输入预共享密钥字符串。

大密钥长度为 128 个字符。对于 VPN 隧道的两端，此密钥必须相同。

远程专用 IP 留空可使用远程公用 IP 作为 IKE 协商的远程 ID。如果内部部署 VPN 网关位于 NAT 设备后面，并且/或者对其本地 ID 使用不同的 IP，则需要在此处输入该 IP。

IKE 加密 选择内部部署 VPN 网关支持的阶段 1 (IKE) 密码。

VMware Cloud on AWS 入门指南

VMware, Inc. 29

选项 描述

IKE 摘要算法 选择内部部署 VPN 网关支持的阶段 1 摘要算法。 佳做法是对 IKE 摘要算法和隧

道摘要算法使用相同的算法。

注 如果为 IKE 加密指定基于 GCM 的密码，请将 IKE 摘要算法设置为无。摘要函

数是 GCM 密码不可或缺的一部分。如果使用基于 GCM 的密码，则必须使用 IKE V2 .

IKE 类型 n 指定 IKE V1 可启动并接受 IKEv1 协议。

n 指定 IKE V2 可启动并接受 IKEv2 协议。如果指定了基于 GCM 的 IKE 摘要算

法，则必须使用 IKEv2。

n 指定 IKE FLEX 可接受 IKEv1 或 IKEv2，然后使用 IKEv2 启动。如果 IKEv2 启动失败，IKE FLEX 不会回退到 IKEv1。

Diffie Hellman 选择内部部署 VPN 网关支持的 Diffie Hellman 组。对于 VPN 隧道的两端，此值必

须相同。组编号越高，保护效果越好。 佳做法是选择组 14 或编号更高的组。

11 （可选） 在高级 BGP 参数下，输入与内部部署网关所使用的密钥匹配的 BGP 密钥。

12 （可选） 对 VPN 进行标记。

有关为 NSX-T 对象添加标记的详细信息，请参见“将标记添加到对象”。

13 单击保存。

结果

VPN 创建过程可能需要几分钟的时间。当基于路由的 VPN 可用时，将显示隧道状态和 BGP 会话状态。可

以使用以下操作进行故障排除和配置 VPN 的内部部署端：

n 单击下载配置以下载包含 VPN 配置详细信息的文件。您可以使用这些详细信息配置此 VPN 的内部部

署端。

n 单击查看统计信息以查看此 VPN 的数据包流量统计信息。请参见#unique_34。

n 单击查看路由以打开此 VPN 通告和发现的路由视图。

n 单击下载路由以下载 CSV 格式的通告的路由或发现的路由列表。

后续步骤

根据需要创建或更新防火墙规则。要允许流量通过基于路由的 VPN，请在应用对象字段中指定 VPN 隧道

接口。所有上行链路选项不包含路由 VPN 隧道。

VMware Cloud on AWS 入门指南

VMware, Inc. 30

创建内部部署 IPsec VPN内部部署数据中心内网关设备的配置可能需由网络团队的成员执行。请参考适用于您的网关或防火墙设备

的文档，了解如何进行配置以与配置的 VPN 设置相匹配。

前提条件

配置内部部署 VPN 的要求如下所示：

n 能够终止 IPsec VPN 的内部部署路由器或防火墙，如 Cisco ISR、Cisco ASA、CheckPoint 防火墙、

Juniper SRX、NSX Edge 或支持 IPsec 通道的任何其他设备。

重要事项 IPSec VPN 的 SDDC 端仅支持基于时间的重新加密。您的内部部署设备必须禁用有效字节

重新加密。

请勿将 VPN 的内部部署端配置为具有空闲超时（例如，NSX 会话空闲超时设置）。内部部署空闲超时

可能会导致 VPN 变得定期断开连接。

n 如果内部部署网关位于另一个防火墙之后，则必须将该防火墙配置为转发 IPsec VPN 协议流量：

n 打开 UDP 端口 500，以允许通过该防火墙转发 Internet 安全关联和密钥管理协议 (ISAKMP) 流量。

n 设置 IP 协议 ID 50，以允许通过该防火墙转发 IPsec 封装安全协议 (ESP) 流量。

n 设置 IP 协议 ID 51，以允许通过该防火墙转发身份验证头 (AH) 流量。

步骤

1 导航到 SDDC 的“网络”选项卡。

2 在管理网关下，单击 IPsec VPN，然后打开已在 SDDC 创建的中创建的 VPN。

3 下载 SDDC 管理 VPN 配置详细信息。

在远程 VPN 配置文件下，单击下载以下载配置文件，该文件列出了管理 VPN 的 SDDC 端的配置参

数。

4 配置内部部署管理 VPN。

使用在步骤 3 中下载的文件中的信息。有关此文件所包含信息的示例，请参见 VPN 配置文件。

示例： VPN 配置文件

# Configuration for IPsec VPN connection

#

# Peer NSX Edge and IPSec Site configuration details.

#

# IPsec site Id : ipsecsite-17

# IPsec site name : VPN1

# IPsec site description:

# IPsec site enabled : true

# IPsec site vpn type : Policy based VPN

# NSX Edge Id : edge-1

# Feature version : 45

VMware Cloud on AWS 入门指南

VMware, Inc. 31

# Time stamp : 040618_182347GMT

#

# Internet Key Exchange Configuration

# Phase 1

# Configure the IKE SA as outlined below

IKE version : ikev1

Connection initiation mode : initiator

Authentication method : psk

Pre shared key : 123456

Authentication algorithm : sha1

Encryption algorithm : aes256

SA life time : 28800 seconds

Phase 1 negotiation mode : main

DH group : DH14

# IPsec_configuration

# Phase 2

# Configure the IPsec SA as outlined below

Protocol : ESP

Authentication algorithm : sha1

Sa life time : 3600 seconds

Encryption algorithm : aes256

Encapsulation mode : Tunnel mode

Enable perfect forward secrecy : true

Perfect forward secrecy DH group: DH14

# Peer configuration

Peer address : 34.218.1.5 # Peer gateway public IP.

Peer id : 34.218.1.5

Peer subnets : [ 10.2.0.0/16 ]

# IPsec Dead Peer Detection (DPD) settings

DPD enabled : true

DPD interval : 30 seconds

DPD timeout : 150 seconds

# Local configuration

Local address : 66.70.190.7 # Local gateway public IP.

Local id : 66.70.190.7

Local subnets : [ 10.101.101.0/24 ]

后续步骤

配置防火墙规则，以便对管理 VPN 的内部部署端和 SDDC 端之间的流量进行管理。默认情况下，新的管

理网关防火墙规则拒绝经过防火墙的所有流量。请参见《VMware Cloud on AWS 网络和安全性》指南中的

“添加或修改管理网关防火墙规则”。

VMware Cloud on AWS 入门指南

VMware, Inc. 32

创建或修改网络分段

网络分段是指供 SDDC 计算网络中的工作负载虚拟机使用的逻辑网络。

VMware Cloud on AWS 支持三种类型的逻辑网络分段：路由、扩展和已断开连接。

n 路由网络分段（默认类型）会连接到 SDDC 中的其他逻辑网络，并会通过 SDDC 防火墙连接到外部网

络。

n 扩展网络分段可扩展现有 L2VPN 隧道，从而提供跨 SDDC 和内部部署网络的单个 IP 地址空间。

n 已断开连接的网络分段没有上行链路，仅提供与其连接的虚拟机可访问的隔离网络。当 HCX 需要时，

将创建已断开连接的分段（请参见 VMware HCX 入门指南）。您也可以自己创建这些分段，并且可以

将其转换为其他分段类型。

有关每个 SDDC 的分段数限制和每个分段的网络连接数限制，请参见 VMware Cloud on AWS 高配置。

单主机起步 SDDC 创建时具有一个名为 sddc-cgw-network-1 的单个路由网络分段。该网络使用 CIDR 块

192.168.1.0/24，除非该 CIDR 块与您为 SDDC 管理网络选择的 CIDR 块冲突。多主机 SDDC 在创建时不

具有默认网络分段，因此您必须为工作负载虚拟机至少创建一个网络分段。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 单击网络与安全 > 分段。

要修改现有分段的配置，请单击省略号按钮并选择编辑。要创建新分段，请单击添加分段，然后为此新

分段指定一个名称。

3 指定一个分段类型并填写所需的配置参数。

参数要求取决于分段类型

表 6-1. 已路由分段的配置参数

参数 值

VPN 隧道 ID 对于已路由或已断开连接的分段类型，此值为不适用。

网关 IP/前缀长度 为此分段指定 CIDR 块。此块不能与您的管理网络或已连接 Amazon VPC 中的

任何子网重叠。

DHCP 默认禁用。选择已启用可为此分段上的虚拟机启用本机 NSX DHCP 服务。为

分段指定 DHCP IP 地址范围和 DNS 后缀。连接到分段的虚拟机将从指定的

DHCP 服务器获取其 IP 地址，并且其 FQDN 具有指定的 DNS 后缀。

注 如果为某个计算网络分段启用本机 NSX DHCP 服务，则不能为计算网关启

用 DHCP 中继。请参见#unique_37。

DHCP IP 范围 如果 DHCP 已启用，请为连接到此分段的虚拟机指定一个 DHCP IP 地址范

围。

域名 如果 DHCP 已启用，请指定一个要分配给连接到此分段的虚拟机的 FQDN。

VMware Cloud on AWS 入门指南

VMware, Inc. 33

表 6-2. 已扩展分段的配置参数

参数 值

VPN 隧道 ID 指定一个现有 L2VPN 隧道的隧道 ID。对于已路由或已断开连接的分段类型，

此值为不适用。如果您尚未创建 L2VPN，请参见#unique_38。

网关 IP/前缀长度 对于已扩展分段，此值为不适用。

DHCP 对于已扩展分段，此值为不适用。

DHCP IP 范围 对于已扩展分段，此值为不适用。

域名 对于已扩展分段，此值为不适用。

表 6-3. 已断开连接分段的配置参数

参数 值

VPN 隧道 ID 对于已路由或已断开连接的分段类型，此值为不适用。

网关 IP/前缀长度 为此分段指定 CIDR 块。此块不能与您的管理网络或已连接 Amazon VPC 中的

任何子网重叠。

DHCP 对于已断开连接的分段，此值为不适用。

DHCP IP 范围 对于已断开连接的分段，此值为不适用。

域名 对于已断开连接的分段，此值为不适用。

4 单击保存以创建或更新此分段。

系统会创建请求的分段。 此操作 多可能需要 15 秒完成。当此分段状态转换为开启后，此分段即可使

用。如果此分段状态为关闭，则可以单击信息图标 以了解有关问题原因的详细信息。

添加或修改管理网关防火墙规则

默认情况下，管理网关会阻止从所有源到所有目标的流量。可以根据需要添加管理网关防火墙规则以允许

流量出入。

管理网关防火墙规则指定了对从指定源到指定目标的网络流量执行的操作。源和目标可以定义为任意或者

系统定义的或用户定义的清单组的成员。有关查看或修改清单组的信息，请参见添加管理组。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 在网络与安全选项卡上，单击网关防火墙。

3 在网关防火墙卡视图上，单击管理网关，然后单击添加规则并为新规则提供名称。

VMware Cloud on AWS 入门指南

VMware, Inc. 34

4 输入新规则的参数。

参数将初始化为其默认值（例如，源和目标会初始化为为全部）。要编辑参数，请将鼠标光标移至参数

值上方，然后单击铅笔图标 ( ) 以打开参数特定的编辑器。

选项 描述

源 选择任意以允许来自任意源地址或地址范围的流量。

选择系统定义的组，然后选择以下源选项之一：

n ESXi，以允许来自 SDDC 的 ESXi 主机的流量。

n NSX Manager，以允许来自 SDDC 的 NSX-T 管理器设备的流量。

n vCenter，以允许来自 SDDC 的 vCenter Server 的流量。

选择用户定义的组，以使用您定义的管理组。请参见添加管理组。

目标 选择任意以允许流入任意目标地址或地址范围的流量。

选择系统定义的组，然后选择以下目标选项之一：

n ESXi，以允许流入 SDDC 的 ESXi 管理的流量。

n NSX Manager，以允许流入 SDDC 的 NSX-T 的流量。

n vCenter，以允许流入 SDDC 的 vCenter Server 的流量。

服务 选择规则应用到的服务类型。服务类型列表取决于所选择的源和目标。

操作 对新管理网关防火墙规则唯一可用的操作是允许。

新规则会默认处于启用状态。将开关滑到左侧可将其禁用。

5 单击发布以创建规则。

防火墙规则将按从上到下的顺序应用。由于默认的丢弃规则位于底部，上面的规则始终为允许规则，因

此管理网关防火墙规则顺序对流量没有影响。

示例： 创建管理网关防火墙规则

要创建允许内部部署 ESXi 主机到 SDDC 中 ESXi 主机的 vMotion 流量的防火墙规则，请执行以下操作：

1 创建一个管理清单组，其中包含要为通过 vMotion 迁移到 SDDC 启用的内部部署 ESXi 主机。

2 将 ESXi 作为源以及将内部部署 ESXi 主机作为目标，创建管理网关规则。

3 通过将内部部署 ESXi 主机组作为源以及将具有 vMotion 服务的 ESXi 作为目标，创建另一个管理网关

规则。

后续步骤

可以对现有防火墙规则执行以下任何或所有可选操作。

n 单击齿轮图标 以查看或修改规则日志记录设置。日志条目将发送到 VMware vRealize Log Insight Cloud 服务。请参见《VMware Cloud on AWS 操作指南》中的“使用 vRealize Log Insight Cloud”。

VMware Cloud on AWS 入门指南

VMware, Inc. 35

n 单击图形图标 以查看规则的统计信息，包括：

权重指数 过去 24 小时内触发规则的次数。

命中计数 规则自创建以来触发的次数。

只要一启用规则，统计信息便开始累积。

添加管理组

管理清单组包含 SDDC 基础架构组件。在管理网关防火墙规则中使用这些组。

系统会为 SDDC 基础架构组件（如 vCenter 和 NSX Manager）自动创建预定义的管理清单组。无法修改

预定义的管理组，但可以通过指定组成员所连接到的 CIDR 块来创建其他管理清单组。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 在网络与安全选项卡上，单击清单 > 组。

3 在组卡上，单击管理组，然后单击添加组并为组提供名称和（可选）说明。

4 单击设置成员以打开选择成员页面。

以 CIDR 格式输入管理虚拟机的一个或多个 IP 地址。

5 （可选） 对组进行标记。

有关为 NSX-T 对象添加标记的详细信息，请参见“将标记添加到对象”。

6 单击保存以创建组。

后续步骤

通过单击垂直省略号按钮，然后选择编辑或删除，可以修改或删除您创建的任何管理组。

配置管理网络专用 DNS指定专用 DNS 服务器的地址，以便管理网关、ESXi 主机和管理虚拟机将完全限定域名 (FQDN) 解析为管

理网络上的 IP 地址。

要使用“通过 vMotion 迁移”、“冷迁移”或“混合链接模式”等功能，请将 vCenter Server 解析从 VPN 切换到专用 IP 地址。

前提条件

使用“配置 MGW VPN”向导创建管理网络、网关和防火墙规则。

步骤

1 指定 DNS 服务器地址。

单击编辑，然后输入 DNS 服务器 1 和（可选）DNS 服务器 2 的 IP 地址。

VMware Cloud on AWS 入门指南

VMware, Inc. 36

2 选择 DNS 名称解析的范围。

默认情况下，配置管理网关 DNS 以将名称解析为公用 Internet 上的地址（可从 Internet 解析的公用

IP）。将范围限制到管理 VPN 上的地址。选择可从 VPN 解析的专用 IP。此配置更改适用于 DNS 服务器 1 和 DNS 服务器 2。

3 单击下一步以保存管理网关 DNS 配置并测试管理网络连接。

VMware Cloud on AWS 入门指南

VMware, Inc. 37

部署工作负载虚拟机 7现在，您已经创建了基于路由的 VPN 和计算网络分段，随时可在 VMware Cloud on AWS SDDC 中部署工

作负载虚拟机。

VMware Cloud on AWS 提供了数种在 SDDC 中创建虚拟机的方法。 简单的方法之一是，使用内部部署

vSphere Content Onboarding Assistant 将虚拟机模板传输到 SDDC，然后将导入的模板部署为虚拟机。创

建虚拟机后，可以执行配置任务，例如，设置公用 IP 地址或启用对虚拟机远程控制台的访问。

有关通过可用于创建工作负载虚拟机的虚拟机模板和 ISO 映像置备 SDDC 的更多方法，请参见“操作指

南”。有关配置和管理工作负载虚拟机的信息，请参见《在 VMware Cloud on AWS 中管理虚拟机》。

本章讨论了以下主题：

n 使用 Content Onboarding Assistant 将内容传输到 SDDC

n 从 .vmtx 模板部署虚拟机

n 将公用 IP 地址分配给虚拟机

n 启用对虚拟机远程控制台的访问

使用 Content Onboarding Assistant 将内容传输到 SDDCContent Onboarding Assistant 可自动将 .vmtx 模板、ISO 映像、脚本和其他文件传输到云 SDDC。

对于 Content Onboarding Assistant 如何将 .vmtx 模板传输到 SDDC，您有两个选项：

n 在 SDDC 内容库中将这些模板转换为 OVF 模板。此选项需要较少的时间。

n 在 vCenter Server 清单中将这些模板作为 .vmtx 模板传输。在这种情况下，这些模板会先转换为

OVF，然后再转换回 .vmtx 模板。

您可以在能够通过网络访问内部部署数据中心和 SDDC 的任何 MacOS、Linux 或 Windows 计算机上使用

Content Onboarding Assistant。

如果使用 Content Onboarding Assistant 将内容传输到 SDDC，然后发现还有其他要传输的项目，则可以

再次运行 Content Onboarding Assistant。Content Onboarding Assistant 能够识别哪些 .vmtx 模板已传

输，将不允许您选择这些模板再次传输。它还能识别已传输的 ISO 映像和脚本文件，将仅传输新的 ISO 映像和脚本。

VMware, Inc. 38

前提条件

运行 Content Onboarding Assistant 之前，请执行以下操作：

n 确保内部部署数据中心运行的是 vCenter Server 6.0 或更高版本。

n 安装 Java Runtime Environment (JRE) 1.8 或更高版本。您可以从 Oracle 网站下载 Java 运行时安装

程序，网址为 http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html。

n 将 $JAVA_HOME 环境变量设置为 JRE 的安装位置。

n 在内部部署数据中心与 SDDC 之间设置 VPN 连接。请参见《VMware Cloud on AWS 入门指南》中的

“配置 VPN 和网关”。

步骤

1 准备要添加到内容库的脚本和 ISO 映像时，将其移动到内部部署数据中心的单个文件夹中即可。

.vmtx 模板不需要任何特殊准备。

2 从下载位置下载 Content Onboarding Assistant。

3 在终端或命令行中，切换到放置 Content-Onboarding-Assistant.jar 文件的目录，并输入命令

java -jar jar_file_name --cfg full_path_to_config_file。

在配置文件中，在对应的行上指定每个参数，参数后跟一个空格和值。例如

onpremServer vcenter.onprem.example.com

onpremInfraServer psc.onprem.example.com

您还可以在命令行中指定多个参数，按照以下格式指定参数：--parameter parameter_value。键入

java --jar jar_file_name --help 可查看完整参数列表，或查阅下表。

参数 描述

onpremServer server 内部部署数据中心的 vCenter Server 的主机名。

onpremInfraServer psc-server 内部部署 Platform Services Controller 的主机名。对于嵌入式配

置是可选项。

onpremUsername username 用于登录到内部部署 vCenter Server 的用户名。

location foldername 脚本或 ISO 映像等文件在内部部署数据存储上的位置。使用格式

datastore-name:folder/。

cloudServer server 云 SDDC vCenter Server 的主机名。

cloudInfraServer infra-server 云 SDDC vCenter Server 的主机名。这是可选选项。

cloudFolderName foldername 云 SDDC 上将存储 .vmtx 模板的 vCenter Server 文件夹的名

称。

cloudRpName resource-pool-name .vmtx 模板在云 SDDC 上的资源池。

VMware Cloud on AWS 入门指南

VMware, Inc. 39

参数 描述

cloudNetworkName network-name .vmtx 模板在云 SDDC 上的分布式虚拟端口组。

sessionUpdate value 两次会话更新调用之间的时长（毫秒）。默认值为 60000 毫秒

（10 分钟）。如果在 Content Onboarding Assistant 运行时出现

会话超时问题，请减小此值。

4 按照提示输入内部部署数据中心和云 SDDC 的密码。

Content Onboarding Assistant 将测试与内部部署数据中心和 SDDC 的连接，然后显示一个表，其中

列出了所有已发现的 .vmtx 模板。

5 输入要传输的模板数量。

您可以输入以逗号分隔的单个数字或以短划线分隔的范围。

6 确认 ISO 映像和脚本的文件夹正确无误。

7 选择如何传输 .vmtx 模板。

n 选择选项 1 将模板作为 OVF 模板在 SDDC 内容库中传输。

n 选择选项 2 将模板作为 .vmtx 模板在 vCenter Server 清单中传输。

结果

Content Onboarding Assistant 将执行以下操作：

n 使用您指定的选项将 .vmtx 模板从内部部署数据中心复制到 SDDC。

n 在内部部署数据中心创建内容库，将 ISO 映像和脚本添加到内容库，并发布该内容库。

n 在 SDDC 中创建已订阅的内容库，并将 ISO 映像和脚本同步到 SDDC。

后续步骤

现在，您可以使用 .vmtx 模板和 ISO 映像在 SDDC 中创建虚拟机。

从 .vmtx 模板部署虚拟机

可以从 .vmtx 模板部署虚拟机。

步骤

1 从 vSphere Client 的“虚拟机和模板”视图，右键单击模板，然后选择从此模板新建虚拟机。

2 使用以下设置完成“从模板部署”向导。

a 对于虚拟机文件夹，选择工作负载、模板，或您拥有其写入权限的另一个文件夹。

b 对于计算资源，选择 Compute-ResourcePool。

c 对于数据存储，选择 workloadDatastore。

VMware Cloud on AWS 入门指南

VMware, Inc. 40

将公用 IP 地址分配给虚拟机

可以为虚拟机请求公用 IP 地址，从而使其可用。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 在 SDDC 卡上，单击查看详细信息。

3 单击网络与安全。

4 单击系统类别中的公用 IP 以打开“公用 IP”页面。

a 单击请求新 IP。

b 输入有关 IP 地址的任何备注。

c 单击保存。

稍等片刻，系统将开始置备公用 IP 地址。

后续步骤

如果您希望网络地址转换 (NAT) 隐藏虚拟机的公用地址，请参见《VMware Cloud on AWS 网络和安全》

中的配置 NAT 设置。如果要创建用于管理进出虚拟机的网络流量的防火墙规则，请参见《VMware Cloud on AWS 网络和安全》中的设置 NSX Edge 计算网关防火墙规则。

启用对虚拟机远程控制台的访问

要访问云 SDDC 中虚拟机上的虚拟机远程控制台 (VMRC)，请确保已配置允许访问 ESXi（在端口 902 上）的管理网关防火墙规则。

前提条件

您的内部部署数据中心必须通过 Direct Connect 或 VPN 连接到 SDDC，才能使用 VMRC。

步骤

1 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

2 在 SDDC 卡上，单击查看详细信息。

3 单击网络与安全。

4 在网关防火墙下，单击添加新规则，并创建一个允许访问端口 902 上的 ESXi 的规则。

选项 描述

源 IP 地址或 CIDR 块（公用或来自已连接的内部部署数据中心）。

目标 在系统定义的组下选择 ESXi。

服务 置备和远程控制台 (TCP 902)

VMware Cloud on AWS 入门指南

VMware, Inc. 41

获取支持 8VMware Cloud on AWS 客户可以通过打开 VMware Cloud Services 控制台获取支持。

步骤

1 与 VMware 联系以获取支持之前，准备好 SDDC 的支持信息。

a 登录到位于 https://vmc.vmware.com 的 VMC 控制台。

b 在 SDDC 卡上，单击查看详细信息。

c 单击支持以查看支持信息。

2 有关使用 VMware Cloud Services 产品内支持的详细信息，请参见如何获取支持。

VMware, Inc. 42