网络配置防火墙配置在 VMware 中为多个 NIC 配置网关硬件要求 VMware 权限

将您的基础设施配置为使用 Backup Gateway

Backup Gateway 需要具备以下网络、防火墙和硬件配置才能备份和还原虚拟机。

网络配置

Backup Gateway 要求允许特定端口来执行其操作。请允许使用以下端口：

TCP 443 出站
- 源：Backup Gateway
- 目的地： Amazon
- 使用：允许 Backup 网关与通信 Amazon。
TCP 80 入站
- 来源：您用来连接的主机 Amazon Web Services Management Console
- 目的地：Backup Gateway
- 用法：由本地系统用于获取 Backup Gateway 激活密钥。端口 80 仅在激活 Backup 网关期间使用。 Amazon Backup 不要求端口 80 可以公开访问。端口 80 所需的访问级别取决于网络配置。如果您从激活网关 Amazon Web Services Management Console，则从中连接到控制台的主机必须能够访问网关的端口 80。
UDP 53 出站
- 源：Backup Gateway
- 目的地：域名服务 (DNS) 服务器
- 用法：允许 Backup Gateway 与 DNS 通信。
TCP 22 出站
- 源：Backup Gateway
- 目的地： Amazon Web Services Support
- 使用： Amazon Web Services Support 允许访问您的网关以帮助您解决问题。您无需打开此端口即可实现网关的正常操作，但在进行问题排查时必须将其打开。
UDP 123 出站
- 源：NTP 客户端
- 目的地：NTP 服务器
- 用法：由本地系统用于将虚拟机时间同步到主机时间。
TCP 443 出站
- 源：Backup Gateway
- 目的地：VMware vCenter
- 用法：允许 Backup Gateway 与 VMware vCenter 通信。
TCP 443 出站
- 源：Backup Gateway
- 目的地：ESXi 主机
- 用法：允许 Backup Gateway 与 ESXi 主机通信。
TCP 902 出站
- 源：Backup Gateway
- 目的地：VMware ESXi 主机
- 用法：用于通过 Backup Gateway 传输数据。

以上端口是 Backup 网关所必需的。有关如何创建 Amazon Backup VPC 终端节点为其配置 Amazon VPC 终端节点的更多信息，请参阅 Amazon Backup。

防火墙配置

Backup 网关需要访问以下服务端点才能与之通信 Amazon Web Services。如果使用防火墙或路由器来筛选或限制网络流量，则必须配置防火墙和路由器以允许这些服务端点与 Amazon进行出站通信。不支持在 Backup Gateway 和服务点之间使用 HTTP 代理。


proxy-app.backup-gateway.region.amazonaws.com:443
dp-1.backup-gateway.region.amazonaws.com:443
anon-cp.backup-gateway.region.amazonaws.com:443
client-cp.backup-gateway.region.amazonaws.com:443

在 VMware 中为多个 NIC 配置网关

您可以将多个虚拟网络接口连接 (NIC) 连接到网关，然后将内部流量（网关到虚拟机管理程序）和外部流量（网关到）分别定向内部和外部流量（网关到），从而为内部和外部流量维护单独的网络。 Amazon

默认情况下，连接到 Amazon Backup 网关的虚拟机只有一个网络适配器 (eth0)。该网络包括虚拟机管理程序、虚拟机和与更广泛的 Internet 通信的网络网关（Backup 网关）。

下面是一个具有多个虚拟网络接口的设置示例：



            eth0:
            - IP: 10.0.3.83
            - routes: 10.0.3.0/24
            
            eth1:
            - IP: 10.0.0.241
            - routes: 10.0.0.0/24
            - default gateway: 10.0.0.1

在此示例中，如果连接到 IP 为 10.0.3.123 的管理程序，网关将使用 eth0，因为管理程序 IP 是 10.0.3.0/24 块的一部分
要连接到 IP 为 10.0.0.234 的管理程序，网关将使用 eth1
要连接到本地网络之外的 IP（例如 34.193.121.211），网关将回退到默认网关 10.0.0.1，该网关位于 10.0.0.0/24 块中，因此通过 eth1

添加其他网络适配器的第一个步骤序列发生在 vSphere 客户端中：

在 VMware vSphere 客户端中，打开网关虚拟机的上下文菜单（通过右键单击），然后选择编辑设置。
在虚拟机属性对话框的虚拟硬件选项卡上，打开添加新设备菜单，然后选择网络适配器来添加新的网络适配器。
1. 展开新建网络详细信息以配置新适配器。
2. 确保选中开机时连接。
3. 有关适配器类型，请参阅 ESXi 和 vCenter Server 文档中的“网络适配器类型”。
单击确定保存新网络适配器设置。

配置其他适配器的下一个步骤是在 Amazon Backup 网关控制台中进行的（请注意，这与管理备份和其他服务的 Amazon 管理控制台的界面不同）。

将新 NIC 添加到网关虚拟机中后，您需要

转到 Command Prompt 并打开新适配器
为每个新 NIC 配置静态 IP
将首选 NIC 设置为默认值

为此，请执行以下操作：

在 VMware vSphere 客户端中，选择您的网关虚拟机并启动 Web 控制台以访问 Backup 网关本地控制台。
1. 有关访问本地控制台的更多信息，请参阅使用 VMware ESXi 访问网关本地控制台
退出命令提示符并转到“网络配置”>“配置静态 IP”，然后按照设置说明更新路由表。
1. 在网络适配器的子网内分配静态 IP。
2. 设置网络掩码。
3. 输入默认网关的 IP 地址。这是连接到本地网络之外的所有流量的网络网关。
选择设置默认适配器，指定将作为默认设备连接到云的适配器。
网关的所有 IP 地址都会显示在本地控制台中，以及 VMware vSphere 的虚拟机摘要页面中。

硬件要求

您必须能够在虚拟机主机上为 Backup Gateway 提供以下最低限度的资源：

4 个虚拟处理器
8 GiB 预留 RAM

VMware 权限

本节列出了使用所需的最低 VMware 权限 Amazon Backup gateway。这些权限是 Backup Gateway 发现、备份和还原虚拟机所必需的权限。

要在 VMware Cloud™ 开启 Amazon 或开启 Amazon Outposts VMware Cloud™ 的情况下使用 Backup 网关，您必须使用默认管理员用户cloudadmin@vmc.local或将 CloudAdmin 角色分配给您的专用用户。

要将 Backup 网关与 VMware 本地虚拟机配合使用，请创建一个具有下列权限的专用用户。

全局

禁用方法
启用方法
许可证
日志事件
管理自定义属性
设置自定义属性

vSphere 标记

分配或取消分配 vSphere 标签

DataStore

分配空间
浏览数据存储
配置数据存储（适用于 vSAN 数据存储）
低级文件操作
更新虚拟机文件

Host

配置
- 高级设置
- 存储分区配置

文件夹

创建文件夹

网络

分配网络

dvPortGroup

创建
删除

资源

将虚拟机分配到资源池

虚拟机

更改配置
- 获取磁盘租约
- 添加现有磁盘
- 添加新磁盘
- 高级配置
- 更改设置
- 配置原始设备。
- 修改设备设置
- 删除磁盘
- 设置注释
- 切换磁盘变更跟踪
编辑清单
- 从现有创建
- 新建
- 注册
- 删除
- 取消注册
交互
- 关闭
- 打开
预置
- 允许访问磁盘
- 允许只读访问磁盘
- 允许虚拟机下载
快照管理
- 创建快照
- 删除快照
- 恢复为快照

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

虚拟机备份

使用网关