VMware 环境中的计算主机使用 ESXi 部署。当使用 vSphere 以各种容量层级进行许可时，虚拟机可以利用每个主机上的物理 CPU 和适用的授权功能。

管理 ESXi 主机和存储是 vCenter Server 为 VMware 管理员提供的众多功能之一。从 VMware vCenter 7.0 开始，VMware vCenter 有三个版本可用，具体取决于许可证：

VMware NSX 为管理员提供了启用高级功能所需的灵活性。根据获得许可的 NSX-T 版本的版本启用不同的功能：

NetApp ONTAP许可是指管理员如何访问NetApp存储中的各种功能和特性。许可证是一个或多个软件权利的记录。安装许可证密钥（也称为许可证代码）使您能够在存储系统上使用某些功能或服务。例如， ONTAP通过许可支持所有主要的行业标准客户端协议（NFS、SMB、FC、FCoE、iSCSI 和 NVMe/FC）。

Data ONTAP功能许可证以包的形式发放，每个包包含多个功能或单个功能。软件包需要许可证密钥，安装该密钥后，您便可以访问软件包中的所有功能。

许可证类型如下：

SnapCenter需要多个许可证才能启用数据保护操作。您安装的SnapCenter许可证类型取决于您的存储环境和您想要使用的功能。 SnapCenter标准许可证可保护应用程序、数据库、文件系统和虚拟机。在将存储系统添加到SnapCenter之前，必须安装一个或多个SnapCenter许可证。

要启用对应用程序、数据库、文件系统和虚拟机的保护，您必须在FAS或AFF存储系统上安装基于标准控制器的许可证，或者在ONTAP Select和Cloud Volumes ONTAP平台上安装基于标准容量的许可证。

请参阅此解决方案的以下SnapCenter备份先决条件：

作为此解决方案验证的一部分，我们使用 MS SQL 来演示灾难恢复。

有关 MS SQL 和NetApp ONTAP最佳实践的更多信息，请关注 "此链接"。

作为此解决方案验证的一部分，我们使用 ORACLE 来演示灾难恢复。有关 ORACLE 和NetApp ONTAP最佳实践的更多信息，请关注 "此链接"。

作为此解决方案验证的一部分，我们使用 Veeam 来演示灾难恢复。有关 Veeam 和NetApp ONTAP最佳实践的更多信息，请关注 "此链接"。

您必须能够执行以下任务：

您必须能够执行以下任务：

您必须能够使用NetApp Cloud Manager 部署资源。为了验证您是否可以，请完成以下任务：

拥有 AWS 账户后，您必须能够执行以下任务：

下表描述了整个基础架构中必须启用的端口。

有关 Veeam Backup & Replication 软件所需端口的更全面列表，请关注 "此链接"。

有关SnapCenter端口要求的更全面列表，请关注 "此链接"。

下表列出了 Microsoft Windows Server 的 Veeam 端口要求。

下表列出了 Linux 服务器的 Veeam 端口要求。

下表列出了 Veeam Backup Server 端口要求。

下表列出了 Veeam Backup Proxy 端口要求。

下表列出了SnapCenter端口要求。

VMkernel 网络端口和软件定义网络为 ESXi 主机提供连接，使它们能够与 VMware 环境之外的元素进行通信。连接取决于所使用的 VMkernel 接口的类型。

对于此解决方案，配置了以下 VMkernel 接口：

LIF（逻辑接口）代表集群中节点的网络接入点。这允许与存储客户端访问的数据的存储虚拟机进行通信。您可以在集群通过网络发送和接收通信的端口上配置 LIF。

对于此解决方案，LIF 配置为以下存储协议：

VPN（虚拟专用网络）通常用于创建基于互联网或私有 MPLS 网络的安全 IPSec 隧道。 VPN 易于设置，但缺乏可靠性（如果基于互联网）和速度。端点可以在 AWS VPC 或 VMware Cloud SDDC 处终止。对于此灾难恢复解决方案，我们从本地网络创建了到 AWS FSx ONTAP的连接。因此，它可以在 FSx ONTAP连接的 AWS VPC（虚拟专用网关或传输网关）处终止。

VPN 设置可以基于路由或基于策略。通过基于路由的设置，端点会自动交换路由，并且设置会学习到新创建的子网的路由。使用基于策略的设置，您必须定义本地和远程子网，并且当添加新子网并允许其在 IPSec 隧道中通信时，您必须更新路由。

下图描述了典型的 VPN 连接选项。

Direct Connect 提供到 AWS 网络的专用链接。专用连接使用 1Gbps、10Gbps 或 100Gbps 以太网端口创建到 AWS 的链接。 AWS Direct Connect 合作伙伴使用他们自己与 AWS 之间预先建立的网络链接提供托管连接，速度从 50Mbps 到 10Gbps。默认情况下，流量未加密。但是，可以选择使用 MACsec 或 IPsec 来保护流量。 MACsec 提供第 2 层加密，而 IPsec 提供第 3 层加密。 MACsec 通过隐藏正在通信的设备来提供更好的安全性。

客户必须将其路由器设备放置在 AWS Direct Connect 位置。要进行此项设置，您可以与 AWS 合作伙伴网络 (APN) 合作。该路由器和 AWS 路由器之间建立了物理连接。要在 VPC 上启用对 FSx ONTAP 的访问，您必须拥有私有虚拟接口或从 Direct Connect 到 VPC 的中转虚拟接口。使用私有虚拟接口，Direct Connect 到 VPC 连接的可扩展性受到限制。

下图描述了直接连接接口选项。

传输网关是一种区域级构造，可以提高区域内 Direct Connect 到 VPC 连接的可扩展性。如果需要跨区域连接，则中转网关必须是对等的。欲了解更多信息，请查看 "AWS Direct Connect 文档"。

当您配置 VMware Cloud SDDC 时，VMKernel 端口已配置完毕并可供使用。 VMware 管理这些端口，无需进行任何更新。

下图描述了主机 VMKernel 信息示例。

对于 VM 客户存储网络，我们通常创建端口组。使用 NSX，我们创建在 vCenter 上作为端口组使用的段。由于存储网络位于可路由子网中，因此即使不创建单独的网络段，您也可以使用默认 NIC 访问 LUN 或挂载 NFS 导出。为了分离存储流量，您可以创建额外的段、定义规则并控制这些段上的 MTU 大小。为了提供容错能力，最好至少有两个专用于存储网络的段。正如我们之前提到的，如果上行链路带宽成为问题，您可以创建流量组并分配 IP 前缀和网关来执行基于源的路由。

我们建议将 DR SDDC 中的段与源环境进行匹配，以防止在故障转移期间猜测映射网络段。

许多安全选项可在 AWS VPC 和 VMware Cloud SDDC 网络上提供安全通信。在 VMware Cloud SDDC 网络中，您可以使用 NSX 跟踪流来识别路径，包括所使用的规则。然后，您可以使用 VPC 网络上的网络分析器来识别流过程中消耗的路径，包括路由表、安全组和网络访问控制列表。

要使用 Cloud Manager 部署 AWS FSx ONTAP ，请按照以下说明操作 "此链接"。

部署 FSx ONTAP后，将内部ONTAP实例拖放到 FSx ONTAP中以开始卷的复制设置。

下图描述了我们的 FSx ONTAP环境。

FSx ONTAP具有预先配置的网络接口，可用于 iSCSI、NFS、SMB 和集群间网络。

VMware Cloud SDDC 附带两个 VSAN 数据存储，分别名为 vsandatastore`和 `workloaddatastore。我们使用了 vsandatastore`托管管理虚拟机，并且访问权限仅限于 cloudadmin 凭据。对于工作负载，我们使用 `workloaddatastore。

SnapCenter software可从NetApp支持站点获取，并可安装在域或工作组中的 Microsoft Windows 系统上。详细的规划指南和安装说明可以在"NetApp文档中心"。

SnapCenter software可在以下位置找到 "此链接"。

您可以在 AWS 上的 VMware Cloud 中的 Windows 服务器或 EC2 实例上安装 Veeam Backup & Replication 服务器。有关详细的实施指南，请参阅 "Veeam 帮助中心技术文档"。

要恢复已备份到 Amazon S3 存储的虚拟机，必须在 Windows 服务器上安装 Veeam Server，并将其配置为与 VMware Cloud、FSx ONTAP和包含原始备份存储库的 S3 存储桶通信。它还必须在 FSx ONTAP上配置一个新的备份存储库，以便在虚拟机恢复后进行新的备份。

有关完成应用程序虚拟机故障转移所需步骤的完整列表，请参阅"部署辅助 Veeam 备份和复制服务器"。