VMware 環境中的運算主機使用 ESXi 部署。當使用 vSphere 以各種容量層級進行授權時，虛擬機器可以利用每個主機上的實體 CPU 和適用的授權功能。

管理 ESXi 主機和儲存是 vCenter Server 為 VMware 管理員提供的眾多功能之一。從 VMware vCenter 7.0 開始，VMware vCenter 有三個版本可用，具體取決於授權：

VMware NSX 為管理員提供了啟用進階功能所需的彈性。根據獲得許可的 NSX-T 版本的版本啟用不同的功能：

NetApp ONTAP授權是指管理員如何存取NetApp儲存體中的各種功能和特性。許可證是一個或多個軟體權利的記錄。安裝許可證金鑰（也稱為許可證代碼）可讓您在儲存系統上使用某些功能或服務。例如， ONTAP透過授權支援所有主要的業界標準用戶端協定（NFS、SMB、FC、FCoE、iSCSI 和 NVMe/FC）。

Data ONTAP功能許可證以套件的形式發放，每個套件包含多個功能或單一功能。軟體包需要許可證密鑰，安裝密鑰後，您便可以存取軟體包中的所有功能。

許可證類型如下：

SnapCenter需要多個許可證才能啟用資料保護操作。您安裝的SnapCenter授權類型取決於您的儲存環境和您想要使用的功能。 SnapCenter標準授權可保護應用程式、資料庫、檔案系統和虛擬機器。在將儲存系統新增至SnapCenter之前，必須安裝一個或多個SnapCenter授權。

若要啟用對應用程式、資料庫、檔案系統和虛擬機器的保護，您必須在FAS或AFF儲存系統上安裝基於標準控制器的許可證，或在ONTAP Select和Cloud Volumes ONTAP平台上安裝基於標準容量的許可證。

請參閱此解決方案的以下SnapCenter備份先決條件：

作為此解決方案驗證的一部分，我們使用 MS SQL 來示範災難復原。

有關 MS SQL 和NetApp ONTAP最佳實踐的更多信息，請關注 "此連結"。

作為此解決方案驗證的一部分，我們使用 ORACLE 來示範災難復原。有關 ORACLE 和NetApp ONTAP最佳實踐的更多信息，請關注 "此連結"。

作為此解決方案驗證的一部分，我們使用 Veeam 來演示災難復原。有關 Veeam 和NetApp ONTAP最佳實踐的更多信息，請關注 "此連結"。

您必須能夠執行以下任務：

您必須能夠執行以下任務：

您必須能夠使用NetApp Cloud Manager 部署資源。為了驗證您是否可以，請完成以下任務：

擁有 AWS 帳戶後，您必須能夠執行下列任務：

下表描述了整個基礎架構中必須啟用的連接埠。

有關 Veeam Backup & Replication 軟體所需連接埠的更全面列表，請關注 "此連結"。

有關SnapCenter端口要求的更全面列表，請關注 "此連結"。

下表列出了 Microsoft Windows Server 的 Veeam 連接埠要求。

下表列出了 Linux 伺服器的 Veeam 連接埠要求。

下表列出了 Veeam Backup Server 連接埠要求。

下表列出了 Veeam Backup Proxy 連接埠要求。

下表列出了SnapCenter連接埠要求。

VMkernel 網路連接埠和軟體定義網路為 ESXi 主機提供連接，使它們能夠與 VMware 環境以外的元素進行通訊。連接取決於所使用的 VMkernel 介面的類型。

對於此解決方案，配置了以下 VMkernel 介面：

LIF（邏輯介面）代表叢集中節點的網路存取點。這允許與儲存客戶端存取的資料的儲存虛擬機器進行通訊。您可以在叢集透過網路傳送和接收通訊的連接埠上設定 LIF。

對於此解決方案，LIF 配置為以下儲存協定：

VPN（虛擬私人網路）通常用於建立基於互聯網或私人 MPLS 網路的安全 IPSec 隧道。 VPN 易於設置，但缺乏可靠性（如果基於互聯網）和速度。端點可以在 AWS VPC 或 VMware Cloud SDDC 處終止。對於此災難復原解決方案，我們從本機網路建立了到 AWS FSx ONTAP的連線。因此，它可以在 FSx ONTAP連接的 AWS VPC（虛擬專用網關或傳輸網關）終止。

VPN 設定可以基於路由或基於策略。透過基於路由的設置，端點會自動交換路由，並且設定會學習到新建立的子網路的路由。使用基於策略的設置，您必須定義本機和遠端子網，並且當新增子網路並允許其在 IPSec 隧道中通訊時，您必須更新路由。

下圖描述了典型的 VPN 連線選項。

Direct Connect 提供到 AWS 網路的專用連結。專用連線使用 1Gbps、10Gbps 或 100Gbps 乙太網路連接埠建立到 AWS 的連結。 AWS Direct Connect 合作夥伴使用他們自己與 AWS 之間預先建立的網站連結提供託管連接，速度從 50Mbps 到 10Gbps。預設情況下，流量未加密。但是，可以選擇使用 MACsec 或 IPsec 來保護流量。 MACsec 提供第 2 層加密，而 IPsec 提供第 3 層加密。 MACsec 透過隱藏正在通訊的裝置來提供更好的安全性。

客戶必須將其路由器裝置放置在 AWS Direct Connect 位置。若要進行此項設置，您可以使用 AWS 合作夥伴網路 (APN)。在此路由器和 AWS 路由器之間建立了實體連線。若要在 VPC 上啟用對 FSx ONTAP 的訪問，您必須擁有私有虛擬介面或從 Direct Connect 到 VPC 的中轉虛擬介面。使用私有虛擬接口，Direct Connect 到 VPC 連接的可擴充性受到限制。

下圖描述了直接連接介面選項。

傳輸閘道是一種區域級構造，可提高區域內 Direct Connect 到 VPC 連線的可擴充性。如果需要跨區域連接，則中轉網關必須是對等的。欲了解更多信息，請查看 "AWS Direct Connect 文檔"。

當您設定 VMware Cloud SDDC 時，VMKernel 連接埠已配置完畢並可供使用。 VMware 管理這些端口，無需進行任何更新。

下圖描述了主機 VMKernel 資訊範例。

對於 VM 客戶儲存網絡，我們通常會建立連接埠組。使用 NSX，我們建立在 vCenter 上作為連接埠群組使用的段。由於儲存網路位於可路由子網路中，因此即使不建立單獨的網路段，您也可以使用預設 NIC 存取 LUN 或掛載 NFS 匯出。為了分離儲存流量，您可以建立額外的段、定義規則並控制這些段上的 MTU 大小。為了提供容錯能力，最好至少有兩個專用於儲存網路的段。正如我們之前提到的，如果上行鏈路頻寬成為問題，您可以建立流量組並分配 IP 前綴和網關來執行基於來源的路由。

我們建議將 DR SDDC 中的段與來源環境進行匹配，以防止在故障轉移期間猜測映射網路段。

許多安全選項可在 AWS VPC 和 VMware Cloud SDDC 網路上提供安全通訊。在 VMware Cloud SDDC 網路中，您可以使用 NSX 追蹤流來識別路徑，包括所使用的規則。然後，您可以使用 VPC 網路上的網路分析器來識別流過程中消耗的路徑，包括路由表、安全群組和網路存取控制清單。

若要使用 Cloud Manager 部署 AWS FSx ONTAP ，請依照下列說明操作 "此連結"。

部署 FSx ONTAP後，將內部ONTAP實例拖曳到 FSx ONTAP中以開始磁碟區的複製設定。

下圖描述了我們的 FSx ONTAP環境。

FSx ONTAP具有預先配置的網路接口，可用於 iSCSI、NFS、SMB 和叢集間網路。

VMware Cloud SDDC 隨附兩個 VSAN 資料存儲，分別名為 vsandatastore`和 `workloaddatastore。我們使用了 vsandatastore`託管管理虛擬機，且存取權限僅限於 cloudadmin 憑證。對於工作負載，我們使用 `workloaddatastore。

SnapCenter software可從NetApp支援網站取得，並可安裝在網域或工作群組中的 Microsoft Windows 系統上。詳細的規劃指南和安裝說明可以在"NetApp文件中心"。

SnapCenter software可在以下位置找到 "此連結"。

您可以在 AWS 上的 VMware Cloud 中的 Windows 伺服器或 EC2 執行個體上安裝 Veeam Backup & Replication 伺服器。有關詳細的實施指南，請參閱 "Veeam 幫助中心技術文檔"。

若要還原已備份至 Amazon S3 儲存空間的虛擬機，必須在 Windows 伺服器上安裝 Veeam Server，並將其設定為與 VMware Cloud、FSx ONTAP和包含原始備份儲存庫的 S3 儲存桶通訊。它還必須在 FSx ONTAP上配置一個新的備份儲存庫，以便在虛擬機器復原後進行新的備份。

有關完成應用程式虛擬機器故障轉移所需步驟的完整列表，請參閱"部署輔助 Veeam 備份和複製伺服器"。