本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将您的基础设施配置为使用 Backup Gateway
<a name="configure-infrastructure-bgw"></a>

Backup Gateway 需要具备以下网络、防火墙和硬件配置才能备份和还原虚拟机。

## 网络配置
<a name="bgw-network-configuration"></a>

Backup Gateway 要求允许特定端口来执行其操作。请允许使用以下端口：

1. **TCP 443 出站**
   + 源：Backup Gateway
   + 目的地： AWS
   + 使用：允许 Backup 网关与通信 AWS。

1. **TCP 80 入站**
   + 来源：您用来连接的主机 AWS 管理控制台
   + 目的地：Backup Gateway
   + 用法：由本地系统用于获取 Backup Gateway 激活密钥。端口 80 仅在激活 Backup 网关期间使用。 AWS Backup 不要求端口 80 可以公开访问。端口 80 所需的访问级别取决于网络配置。如果您从激活网关 AWS 管理控制台，则从中连接到控制台的主机必须能够访问网关的端口 80。

1. **UDP 53 出站**
   + 源：Backup Gateway
   + 目的地：域名服务 (DNS) 服务器
   + 用法：允许 Backup Gateway 与 DNS 通信。

1. **TCP 22 出站**
   + 源：Backup Gateway
   + 目的地： 支持
   + 使用： 支持 允许访问您的网关以帮助您解决问题。您无需打开此端口即可实现网关的正常操作，但在进行问题排查时必须将其打开。

1. **UDP 123 出站**
   + 源：NTP 客户端
   + 目的地：NTP 服务器
   + 用法：由本地系统用于将虚拟机时间同步到主机时间。

1. **TCP 443 出站**
   + 源：Backup Gateway
   + 目的地： VMware vCenter
   + 使用：允许 Backup 网关与 VMware vCenter 通信。

1. **TCP 443 出站**
   + 源：Backup Gateway
   + 目的地： ESXi 主机
   + 使用：允许 Backup 网关与 ESXi 主机通信。

1. **TCP 902 出站**
   + 源：Backup Gateway
   + 目的地： VMware ESXi 主机
   + 用法：用于通过 Backup Gateway 传输数据。

以上端口是 Backup Gateway 所必需的。有关如何为 AWS Backup配置 Amazon VPC 端点的更多信息，请参阅[创建 VPC 端点](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-network.html#backup-privatelink)。

## 防火墙配置
<a name="bgw-firewall-configuration"></a>

Backup 网关需要访问以下服务端点才能与之通信 Amazon Web Services。如果使用防火墙或路由器来筛选或限制网络流量，则必须配置防火墙和路由器以允许这些服务端点与 AWS进行出站通信。不支持在 Backup Gateway 和服务点之间使用 HTTP 代理。

**终端节点类型**

**标准端点**：Supp IPv4 ort 支持您的网关设备与之间的流量 AWS。

所有网关的控制路径（`anon-cp`、`client-cp`、`proxy-app`）和数据路径（`dp-1`）操作均需要以下服务端点。

```
anon-cp.backup-gateway.{{region}}.amazonaws.com:443  
client-cp.backup-gateway.{{region}}.amazonaws.com:443  
proxy-app.backup-gateway.{{region}}.amazonaws.com:443  
dp-1.backup-gateway.{{region}}.amazonaws.com:443
```

**双栈终端节点**：同时支持网关设备 IPv4 和 AWS之间的 IPv6 流量。

所有网关的控制路径（激活、控制面板、代理）和数据路径（数据面板）操作均需要以下双堆栈服务端点。

```
activation-backup-gateway.{{region}}.api.aws:443  
controlplane-backup-gateway.{{region}}.api.aws:443  
proxy-backup-gateway.{{region}}.api.aws:443  
dataplane-backup-gateway.{{region}}.api.aws:443
```

## 将您的网关配置为多 NICs 个 VMware
<a name="bgw-multinic"></a>

您可以将多个虚拟网络接口连接 (NICs) 连接到网关，然后分别将内部流量（网关到虚拟机管理程序）和外部流量（网关到）定向到网关，从而为内部和外部流量维护单独的网络。 AWS

默认情况下，连接到 AWS Backup 网关的虚拟机只有一个网络适配器 (`eth0`)。该网络包括虚拟机监控程序、虚拟机以及与广泛的互联网通信的网络网关（Backup Gateway）。

下面是一个具有多个虚拟网络接口的设置示例：

```
            eth0:
            - IP: 10.0.3.83
            - routes: 10.0.3.0/24
            
            eth1:
            - IP: 10.0.0.241
            - routes: 10.0.0.0/24
            - default gateway: 10.0.0.1
```
+ 在此示例中，如果连接到 IP 为 `10.0.3.123` 的管理程序，网关将使用 `eth0`，因为管理程序 IP 是 `10.0.3.0/24` 块的一部分
+ 要连接到 IP 为 `10.0.0.234` 的管理程序，网关将使用 `eth1`
+ 要连接到本地网络之外的 IP（例如 `34.193.121.211`），网关将回退到默认网关 `10.0.0.1`，该网关位于 `10.0.0.0/24` 块中，因此通过 `eth1`

添加其他网络适配器的第一个步骤序列发生在 vSphere 客户端中：

1. 在 VMware vSphere 客户端中，打开网关虚拟机的快捷菜单（右键单击），然后选择**编辑**设置。

1. 在**虚拟机属性**对话框的**虚拟硬件**选项卡上，打开**添加新设备**菜单，然后选择**网络适配器**来添加新的网络适配器。

1. 

   1. 展开**新建网络**详细信息以配置新适配器。

   1. 确保选中**开机时连接**。

   1. 有关**适配器类型**，请参阅《vCenter Server 文档》[ ESXi 和《vCenter Server](https://docs.vmware.com/en/VMware-vSphere/index.html) 文档》中的网络适配器类型。

1. 单击**确定**保存新网络适配器设置。

配置其他适配器的下一个步骤是在 AWS Backup 网关控制台中进行的（请注意，这与管理备份和其他服务的 AWS 管理控制台的界面不同）。

将新 NIC 添加到网关虚拟机中后，您需要
+ 转到 `Command Prompt` 并打开新适配器
+  IPs 为每个新 NIC 配置静态网卡
+ 将首选 NIC 设置为默认值

为此，请执行以下操作：

1. 在 VMware vSphere 客户端中，选择您的网关虚拟机并**启动 Web 控制台**以访问 Backup 网关本地控制台。

   1.  有关访问本地控制台的更多信息，请参阅使用以下方式[访问 Gateway 本地控制台 VMware ESXi](https://docs.aws.amazon.com/storagegateway/latest/tgw/accessing-local-console.html#MaintenanceConsoleWindowVMware-common) 

1. 退出命令提示符并转到“网络配置”>“配置静态 IP”，然后按照设置说明更新路由表。

   1. 在网络适配器的子网内分配静态 IP。

   1. 设置网络掩码。

   1. 输入默认网关的 IP 地址。这是连接到本地网络之外的所有流量的网络网关。

1. 选择**设置默认适配器**，指定将作为默认设备连接到云的适配器。

1. 网关的所有 IP 地址均可显示在本地控制台和 VMware vSphere 的虚拟机摘要页面上。

## VMware 权限
<a name="bgw-vmware-permissions"></a>

本节列出了使用所需的最低 VMware 权限 AWS Backup gateway。这些权限是 Backup Gateway 发现、备份和还原虚拟机所必需的权限。

要在开启 VMware Cloud™ AWS 或 C VMware loud™ 的情况下使用 Backup 网关 AWS Outposts，您必须使用默认管理员用户`cloudadmin@vmc.local`或将 CloudAdmin 角色分配给您的专用用户。

要在 VMware 本地虚拟机上使用 Backup 网关，请创建一个具有下列权限的专用用户。

**全局**
+ 禁用方法
+ 启用方法
+ 许可证
+ 日志事件
+ 管理自定义属性
+ 设置自定义属性

**vSphere 标记**
+ 分配或取消分配 vSphere 标签

**DataStore**
+ 分配空间
+ 浏览数据存储
+ 配置数据存储（适用于 vSAN 数据存储）
+ 低级文件操作
+ 更新虚拟机文件

**主机**
+ 配置
  + 高级设置
  + 存储分区配置

**Folder**
+ 创建文件夹

**网络**
+ 分配网络

**dvPortGroup**
+ Create
+ 删除

**资源**
+ 将虚拟机分配到资源池

**虚拟机**
+ 更改配置
  + 获取磁盘租约
  + 添加现有磁盘
  + 添加新磁盘
  + 高级配置
  + 更改设置
  + 配置原始设备。
  + 修改设备设置
  + 删除磁盘
  + 设置注释
  + 切换磁盘变更跟踪
+ 编辑清单
  + 从现有创建
  + 新建
  + 注册
  + 删除
  + 取消注册
+ 交互
  + 关闭
  + 打开
+ 预置
  + 允许访问磁盘
  + 允许只读访问磁盘
  + 允许虚拟机下载
+ 快照管理
  + 创建快照
  + 删除快照
  + 恢复为快照