使用共享的亚马逊 VPC 覆盖 IP - 上的 SAP HANAAmazon
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用共享的亚马逊 VPC 覆盖 IP

将覆盖 IP 代理与共享 Amazon VPC 结合使用需要对两者授予一组不同的 IAM 权限Amazon账户(共享和消费者)。群集资源代理aws-vpc-move-ip还使用不同的配置语法。

Overlay 网络 IP 地址

在 Amazon VPC 路由表上创建一个覆盖 IP 地址,该地址将由 Amazon VPC 子网使用,集群可以访问该地址。必须在Amazon账户共享亚马逊 VPC。

IAM 角色和策略

Amazon VPC 账户

创建 IAM 角色以将权限委派给将成为集群一部分的 Amazon EC2 实例。创建 IAM 角色时,选择另一个Amazon帐户对于受信任实体的类型,然后输入Amazon将在其中部署 Amazon EC2 实例的账户 ID。

在 Amazon VPC 账户上创建以下 IAM 策略并将其附加到 IAM 角色。根据需要添加或删除路由表条目。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": “ec2:ReplaceRoute”, "Resource": [ "arn:aws:ec2:<AWS Region>:<VPC-Account-Number>:route-table/rtb-xxxxxxxxxxxxxxxxx", "arn:aws:ec2:<AWS Region>:<VPC-Account-Number>:route-table/rtb-xxxxxxxxxxxxxxxxx" ], }, { "Effect": "Allow", "Action": “ec2:DescribeRouteTables”, "Resource": “*” } ] }

群集账户

创建新的 IAM 角色并选择Amazon EC2作为使用案例。将此 IAM 角色与作为集群一部分的两个 Amazon EC2 实例关联。附加以下 IAM 策略 (Amazon STS和 STONITH) 到 IAM 角色。

Amazon STS政策

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::<VPC-Account-Number>:role/<Sharing-VPC-Account-Cluster-Role>" } ]

将 VPC 帐号替换为您的Amazon拥有亚马逊 VPC 的账号。将共享 VPC 账户群集角色替换为在Amazon拥有亚马逊 VPC 的账户。

STONITH 政策

群集的两个实例都需要访问权限才能启动和停止群集内的其他节点。创建以下 STONITH 策略并将其附加到分配给两个集群实例的 IAM 角色。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceAttribute", "ec2:DescribeTags" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:ModifyInstanceAttribute", "ec2:RebootInstances", "ec2:StartInstances", "ec2:StopInstances" ], "Resource": [ "arn:aws:ec2:<Region-name>:<account-id>:instance/<instance-id>", "arn:aws:ec2: <Region-name>:<account-id>:instance/<instance-id>" ] } ] }

使用适当的值替换区域名称、账户 ID 和实例 ID。