Configuración de la infraestructura para usar una puerta de enlace de copia de seguridad

La puerta de enlace de copia de seguridad requiere las siguientes configuraciones de red, firewall y hardware para realizar copias de seguridad y restaurar las máquinas virtuales.

Configuración de red

La puerta de enlace de copia de seguridad requiere que se permita el funcionamiento de determinados puertos. Permita los siguientes puertos:

1. TCP 443 saliente

   • Origen: puerta de enlace de copia de seguridad

   • Destino: AWS

   • Uso: Permite que Backup Gateway se comunique con AWS.

2. TCP 80 entrante

   • Fuente: el host que utiliza para conectarse al AWS Management Console

   • Destino: puerta de enlace de copia de seguridad

   • Uso: usado por los sistemas locales para obtener la clave de activación de la puerta de enlace de copia de seguridad. El puerto 80 solo se usa durante la activación de Backup Gateway. AWS Backup no requiere que el puerto 80 sea de acceso público. El nivel de acceso exigido al puerto 80 depende de la configuración de la red. Si activa la puerta de enlace desde el AWS Management Console, el host desde el que se conecta a la consola debe tener acceso al puerto 80 de la puerta de enlace.

3. UDP 53 saliente

   • Origen: puerta de enlace de copia de seguridad

   • Destino: servidor del servicio de nombres de dominio (DNS)

   • Uso: permite que la puerta de enlace de copia de seguridad se comunique con el DNS.

4. TCP 22 saliente

   • Origen: puerta de enlace de copia de seguridad

   • Destino: AWS Support

   • Uso: permite acceder AWS Support a su puerta de enlace para ayudarlo con los problemas. No necesita abrir este puerto para el funcionamiento normal de la puerta de enlace, pero es necesario para la solución de problemas.

5. UDP 123 saliente

   • Origen: cliente NTP

   • Destino: servidor NTP

   • Uso: utilizado por los sistemas locales para sincronizar la hora de la VM con la hora del host.

6. TCP 443 saliente

   • Origen: puerta de enlace de copia de seguridad

   • Destino: VMware vCenter

   • Uso: permite que la puerta de enlace de copia de seguridad se comunique con VMware vCenter.

7. TCP 443 saliente

   • Origen: puerta de enlace de copia de seguridad

   • Destino: hosts ESXi

   • Uso: permite que la puerta de enlace de copia de seguridad se comunique con hosts ESXi.

8. TCP 902 saliente

   • Origen: puerta de enlace de copia de seguridad

   • Destino: hosts VMware ESXi

   • Uso: se utiliza para la transferencia de datos a través de la puerta de enlace de copia de seguridad.

Los puertos anteriores son necesarios para Backup Gateway. Consulte Creación de un punto final AWS Backup de VPC para obtener más información sobre cómo configurar los puntos de enlace de Amazon VPC para. AWS Backup

Configuración del firewall

Backup Gateway requiere acceso a los siguientes puntos finales de servicio para poder comunicarse con Amazon Web Services ellos. Si utiliza un firewall o un router para filtrar o limitar el tráfico de red, debe configurar el firewall y el router para dar permiso a los puntos de conexión de servicio para mantener comunicaciones de salida con AWS. No se admite el uso de un proxy HTTP entre la puerta de enlace de copia de seguridad y los puntos de servicio.

proxy-app.backup-gateway.region.amazonaws.com:443
dp-1.backup-gateway.region.amazonaws.com:443
anon-cp.backup-gateway.region.amazonaws.com:443
client-cp.backup-gateway.region.amazonaws.com:443

Configuración de la puerta de enlace para varias NIC en VMware

Puede mantener redes separadas para el tráfico interno y externo conectando varias conexiones de interfaz de red virtual (NIC) a la puerta de enlace y, a continuación, dirigiendo el tráfico interno (de la puerta de enlace al hipervisor) y el tráfico externo (de la puerta de enlace a) por separado. AWS

De forma predeterminada, las máquinas virtuales conectadas a la AWS Backup puerta de enlace tienen un adaptador de red (). eth0 Esta red incluye el hipervisor, las máquinas virtuales y la puerta de enlace de red (Backup Gateway) que se comunica con el resto de Internet.

A continuación, se muestra un ejemplo de una configuración con varias interfaces de red virtuales:

            eth0:
            - IP: 10.0.3.83
            - routes: 10.0.3.0/24
            
            eth1:
            - IP: 10.0.0.241
            - routes: 10.0.0.0/24
            - default gateway: 10.0.0.1

• En este ejemplo, la conexión es a un hipervisor con IP 10.0.3.123, la puerta de enlace utilizará eth0 ya que la IP del hipervisor forma parte del bloque 10.0.3.0/24

• Para conectarse a un hipervisor con IP 10.0.0.234, la puerta de enlace utilizará eth1

• Para conectarse a una IP fuera de las redes locales (p. ej. 34.193.121.211), la puerta de enlace volverá a la puerta de enlace predeterminada, 10.0.0.1, que está en el bloque 10.0.0.0/24 y, por lo tanto, pasará por eth1

La primera secuencia para agregar un adaptador de red adicional se produce en el cliente de vSphere:

1. En el cliente de VMware vSphere, abra el menú contextual (haga clic con el botón derecho) de la máquina virtual de la puerta de enlace y elija Edit Settings.

2. En la pestaña Virtual Hardware del cuadro de diálogo Virtual Machine Properties, abra el menú Add New Device y seleccione Network Adapter para agregar un nuevo adaptador de red.

3. 1. Amplíe los detalles de New Network para configurar el nuevo adaptador.

   2. Asegúrese de que la opción Connect At Power On esté seleccionada.

   3. Para el Adapter Type, consulte los tipos de adaptadores de red en la Documentación de ESXi y vCenter Server.

4. Haga clic en Okay para guardar la nueva configuración del adaptador de red.

La siguiente secuencia de pasos para configurar un adaptador adicional se realiza en la consola de AWS Backup puerta de enlace (tenga en cuenta que esta no es la misma interfaz que la consola de AWS administración, donde se administran las copias de seguridad y otros servicios).

Una vez que se agregue la nueva NIC a la máquina virtual de puerta de enlace, debe

• Ir a Command Prompt y encender los nuevos adaptadores.

• Configurar las IP estáticas para cada NIC nueva

• Establecer la NIC preferida como predeterminada

Para ello:

1. En el cliente VMware vSphere, seleccione la máquina virtual de puerta de enlace e inicie Web Console para acceder a la consola local de Backup Gateway.

   1. Para obtener más información sobre el acceso a una consola local, consulte Accessing the Gateway Local Console with VMware ESXi

2. Salga de la línea de comandos y vaya a Configuración de red > Configurar IP estática y siga las instrucciones de configuración para actualizar la tabla de enrutamiento.

   1. Asigne una IP estática dentro de la subred del adaptador de red.

   2. Establezca una máscara de red.

   3. Elija la dirección IP de la puerta de enlace de aparece por defecto. Esta es la puerta de enlace de red que se conecta a todo el tráfico fuera de la red local.

3. Seleccione Establecer adaptador predeterminado para designar el adaptador que se conectará a la nube como dispositivo predeterminado.

4. Todas las direcciones IP de la puerta de enlace se pueden mostrar tanto en la consola local como en la página de resumen de la máquina virtual en VMware vSphere.

Requisitos de hardware

Debe poder dedicar los siguientes recursos mínimos en un host de máquina virtual para la puerta de enlace de copia de seguridad:

• 4 procesadores virtuales

• 8 GiB de RAM reservada

Permisos de VMware

En esta sección se enumeran los permisos mínimos de VMware necesarios para su uso AWS Backup gateway. Estos permisos son necesarios para que la puerta de enlace de copia de seguridad detecte, realice copias de seguridad y restaure máquinas virtuales.

Para usar Backup Gateway con VMware Cloud™ activado AWS o VMware Cloud™ activado AWS Outposts, debe usar el usuario administrador predeterminado cloudadmin@vmc.local o asignar la CloudAdmin función a su usuario dedicado.

Para usar Backup Gateway con máquinas virtuales locales de VMware, cree un usuario dedicado con los permisos que se indican a continuación.

Global

• Deshabilitar métodos

• Habilitar métodos

• Licencias

• Registrar eventos

• Administrar atributos personalizados

• Establecer atributos personalizados

Etiquetar vSphere

• Asignar o anular la asignación de etiquetas de vSphere

DataStore

• Asignar espacio

• Explorar el almacén de datos

• Configurar el almacén de datos (para el almacén de datos de vSAN)

• Operaciones de archivos de bajo nivel

• Actualizar los archivos de la máquina virtual

Host

• Configuración

  • Configuración avanzada

  • Configuración de la partición de almacenamiento

Carpeta

• Crear carpeta

Network

• Asignar red

Grupo de dvPort

• Creación

• Delete

Recurso

• Asignar una máquina virtual al grupo de recursos

Máquina virtual

• Cambio de configuración

  • Adquirir un arrendamiento de disco

  • Agregar un disco existente

  • Agregar un disco nuevo

  • Configuración avanzada

  • Cambiar la configuración del .

  • Configurar dispositivo sin procesar

  • Modificar la configuración del dispositivo

  • Eliminar un disco

  • Establecer anotación

  • Activar el seguimiento de cambios de disco

• Editar inventario

  • Crear desde elemento existente

  • Crear nuevo

  • Regístrese

  • Remove

  • Anular registro

• Interacción

  • Apagar

  • Encender

• Aprovisionar

  • Permitir acceso al disco

  • Permitir acceso de solo lectura al disco

  • Permitir la descarga de la máquina virtual

• Administración de instantáneas

  • Crear una instantánea

  • Eliminar instantánea

  • Revertir a la instantánea