将您的基础设施配置为使用 Backup Gateway - Amazon Backup
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将您的基础设施配置为使用 Backup Gateway

Backup Gateway 需要具备以下网络、防火墙和硬件配置才能备份和还原虚拟机。

网络配置

Backup Gateway 要求允许特定端口来执行其操作。请允许使用以下端口:

  1. TCP 443 出站

    • 源:Backup Gateway

    • 目的地:Amazon

    • 用法:允许 Backup Gateway 与 Amazon 通信。

  2. TCP 80 入站

    • 源:您用来连接到 Amazon Web Services Management Console 的主机

    • 目的地:Backup Gateway

    • 用法:由本地系统用于获取 Backup Gateway 激活密钥。端口 80 仅在激活 Backup Gateway 期间使用。Amazon Backup 不要求端口 80 可以公开访问。端口 80 所需的访问级别取决于网络配置。如果您从 Amazon Web Services Management Console激活网关,则您连接到控制台所用的主机必须对网关端口 80 具有访问权限。

  3. UDP 53 出站

    • 源:Backup Gateway

    • 目的地:域名服务 (DNS) 服务器

    • 用法:允许 Backup Gateway 与 DNS 通信。

  4. TCP 22 出站

    • 源:Backup Gateway

    • 目的地:Amazon Web Services Support

    • 用法:允许 Amazon Web Services Support访问您的网关以帮助您解决问题。您无需打开此端口即可实现网关的正常操作,但在进行问题排查时必须将其打开。

  5. UDP 123 出站

    • 源:NTP 客户端

    • 目的地:NTP 服务器

    • 用法:由本地系统用于将虚拟机时间同步到主机时间。

  6. TCP 443 出站

    • 源:Backup Gateway

    • 目的地:VMware vCenter

    • 用法:允许 Backup Gateway 与 VMware vCenter 通信。

  7. TCP 443 出站

    • 源:Backup Gateway

    • 目的地:ESXi 主机

    • 用法:允许 Backup Gateway 与 ESXi 主机通信。

  8. TCP 902 出站

    • 源:Backup Gateway

    • 目的地:VMware ESXi 主机

    • 用法:用于通过 Backup Gateway 传输数据。

防火墙配置

Backup Gateway 需要访问下列服务端点才能与 Amazon Web Services 进行通信。如果使用防火墙或路由器来筛选或限制网络流量,则必须配置防火墙和路由器以允许这些服务端点与 Amazon 进行出站通信。不支持在 Backup Gateway 和服务点之间使用 HTTP 代理。

proxy-app.backup-gateway.region.amazonaws.com:443 dp-1.backup-gateway.region.amazonaws.com:443 anon-cp.backup-gateway.region.amazonaws.com:443 client-cp.backup-gateway.region.amazonaws.com:443

在 VMware 中为多个 NIC 配置网关

您可以将多个虚拟网络接口连接 (NIC) 连接到网关,然后分别定向内部流量(网关到管理程序)和外部流量(网关到 Amazon),从而为内部和外部流量维护单独的网络。

默认情况下,连接到 Amazon Backup 网关的虚拟机有一个网络适配器 (eth0)。该网络包括管理程序、虚拟机以及与更广的 Internet 通信的网络网关(Amazon Backup 网关)。

下面是一个具有多个虚拟网络接口的设置示例:

eth0: - IP: 10.0.3.83 - routes: 10.0.3.0/24 eth1: - IP: 10.0.0.241 - routes: 10.0.0.0/24 - default gateway: 10.0.0.1
  • 在此示例中,如果连接到 IP 为 10.0.3.123 的管理程序,网关将使用 eth0,因为管理程序 IP 是 10.0.3.0/24 块的一部分

  • 要连接到 IP 为 10.0.0.234 的管理程序,网关将使用 eth1

  • 要连接到本地网络之外的 IP(例如 34.193.121.211),网关将回退到默认网关 10.0.0.1,该网关位于 10.0.0.0/24 块中,因此通过 eth1

添加其他网络适配器的第一个步骤序列发生在 vSphere 客户端中:

  1. 在 VMware vSphere 客户端中,打开网关虚拟机的上下文菜单(通过右键单击),然后选择编辑设置

  2. 虚拟机属性对话框的虚拟硬件选项卡上,打开添加新设备菜单,然后选择网络适配器来添加新的网络适配器。

    1. 展开新建网络详细信息以配置新适配器。

    2. 确保选中开机时连接

    3. 有关适配器类型,请参阅 ESXi 和 vCenter Server 文档中的“网络适配器类型”。

  3. 单击确定保存新网络适配器设置。

配置其他适配器的下一个步骤序列发生在 Amazon Backup 网关控制台中(请注意,它与管理备份和其他服务的 Amazon 管理控制台的界面不同)。

将新 NIC 添加到网关虚拟机中后,您需要

  • 转到 Command Prompt 并打开新适配器

  • 为每个新 NIC 配置静态 IP

  • 将首选 NIC 设置为默认值

为此,请执行以下操作:

  1. 在 VMware vSphere 客户端中,选择网关虚拟机并启动 Web 控制台以访问 Backup Gateway 本地控制台。

    1. 有关访问本地控制台的更多信息,请参阅使用 VMware ESXi 访问网关本地控制台

  2. 退出命令提示符并转到“网络配置”>“配置静态 IP”,然后按照设置说明更新路由表。

    1. 在网络适配器的子网内分配静态 IP。

    2. 设置网络掩码。

    3. 输入默认网关的 IP 地址。这是连接到本地网络之外的所有流量的网络网关。

  3. 选择设置默认适配器,指定将作为默认设备连接到云的适配器。

  4. 网关的所有 IP 地址都会显示在本地控制台中,以及 VMware vSphere 的虚拟机摘要页面中。

硬件要求

您必须能够在虚拟机主机上为 Backup Gateway 提供以下最低限度的资源:

  • 4 个虚拟处理器

  • 8 GiB 预留 RAM

VMware 权限

本节列出了使用 Backup Gateway 所需的最低 VMware 权限。这些权限是 Backup Gateway 发现、备份和还原虚拟机所必需的权限。

要使用 Backup Gateway,请创建一个具有以下权限的专用用户。它们将基于 VMware 权限层次结构列出。

全局
  • 禁用方法

  • 启用方法

  • 许可证

  • 日志事件

  • 管理自定义属性

  • 设置自定义属性

vSphere 标记
  • 分配或取消分配 vSphere 标签

DataStore
  • 分配空间

  • 浏览数据存储

  • 配置数据存储(适用于 vSAN 数据存储)

  • 低级文件操作

  • 更新虚拟机文件

Host
  • 配置

    • 高级设置

    • 存储分区配置

文件夹
  • 创建文件夹

网络
  • 分配网络

dvPortGroup
  • 创建

  • 删除

资源
  • 将虚拟机分配到资源池

虚拟机
  • 更改配置

    • 获取磁盘租约

    • 添加现有磁盘

    • 添加新磁盘

    • 高级配置

    • 更改设置

    • 配置原始设备。

    • 修改设备设置

    • 删除磁盘

    • 设置注释

    • 切换磁盘变更跟踪

  • 编辑清单

    • 从现有创建

    • 新建

    • 注册

    • 删除

    • 取消注册

  • 交互

    • 关闭

    • 打开

  • 预置

    • 允许访问磁盘

    • 允许只读访问磁盘

    • 允许虚拟机下载

  • 快照管理

    • 创建快照

    • 删除快照

    • 恢复为快照