常见问题:一键式EC-V在AWS

本页面回答了关于在Orchestrator的Amazon Web Services (AWS)中部署EdgeConnect虚拟设备(EC-V)的常见问题。

1. 从Orchestrator中部署EC-V的先决条件是什么？

2. 如何从AWS管理控制台为Orchestrator创建IAM用户帐户?

3. Orchestrator可以将EC-V部署到多个AWS帐户中吗?

4. Orchestrator在EC-V部署期间创建了AWS资源？

5. 通过Orchestrator创建VPC路由表，绑定了哪些子网?

6. 可以通过SSH连接到EC-V的MGMT0接口吗?

7. 为什么WAN0安全组允许所有入站端口?

8. Orchestrator为EC-V部署支持的最小和最大的VPC CIDR块是什么？

9. Orchestrator创建的子网的子网掩码是多少?

10. EC-V上的IP地址是静态分配还是动态分配?

11. 如果我在一个可用分区内部署两个或多个EC-V, Orchestrator是否将每个EC-V部署到相同的MGMT0、WAN0和LAN0子网?

12. 可以在EC-V上创建其他接口（LAN或WAN）吗？

13. Orchestrator是否可以将EC-V部署到已有VPC中?

14. Orchestrator是否自动实现到中转网关的lan端连接?

15. 我可以从Orchestrator将EC-V部署到AWS GovCloud帐户中吗?

16. 我可以将EC-V部署到来自Orchestrator的AWS中国帐户吗？

1.从Orchestrator从AWS部署EC-V的先决条件是什么？

• Orchestrator 9.0.5及以上版本

• ECOS 8.3.0.16

  注意:Orchestrator从AWS Marketplace自动部署Ecos 8.3.0.16。

• 部署区域的现有AWS密钥对。有关创建密钥对的说明，请参阅EC2钥匙对上的亚马逊页面．

• 在部署区域中至少有两个AWS Elastic IPS（EIPS）。

• VPC的配额未超过。Orchestrator每部署一个VPC，创建一个新的VPC部署由部署在单个AWS区域的一个或多个ec - v组成。

  回到顶部

2.如何从AWS管理控制台为Orchestrator创建IAM用户帐户?

要创建IAM用户帐户，请执行以下操作：

创建包含所有必需权限的策略

1. 登录AWS仪表板。

2. 在搜索栏中，键入我，然后单击我管理对AWS资源的访问。

   IAM仪表板打开。

3. 在左侧导航菜单的“访问管理”下，单击政策．

4. 点击创建政策．

5. 点击杰森选项卡。

6. 删除策略编辑器中的现有文本。

7. 打开新的浏览器选项卡，然后转到这一页．

8. 单击匹配您正在运行的Orchestrator版本的链接。

   浏览器打开一个页面，其中包含Orchestrator所需的权限列表。

9. 复制所有文本并将其粘贴到AWS策略编辑器中。

10. 点击下一个:标签．

11. (可选)通过将标记作为键值对附加到策略中添加元数据。

12. 点击下一篇：评论．

13. 在Review策略页面上，输入新策略的名称和描述(可选)。

14. 查看Summary部分以验证您的策略授予的权限。

15. 点击创建政策．

创建一个IAM用户帐户并附加策略

注意:这是您计划分配给Orchestrator的IAM用户帐户。

1. 在左侧导航菜单的“访问管理”下，单击用户．

2. 点击添加用户．

3. 输入用户名 - 例如，“Arubaorchestrator”

4. 在“访问类型”字段中，选择程序访问复选框。确保清除AWS管理控制台访问复选框。

   注意:由于没有将AWS管理控制台访问权限授予Orchestrator的用户帐户，因此如果您需要在AWS控制台中查看由Orchestrator完成的EC-V部署，则必须使用不同的用户帐户登录到AWS仪表板。这是故意的。

5. 点击下一篇：权限．

6. 在设置权限下，单击直接附上现有策略．

7. 选择您在上一个过程中创建的策略。

8. 点击下一个:标签．

9. (可选)通过将标记作为键值对附加到策略中添加元数据。

10. 点击下一篇：评论．

11. 检查授予用户的权限。

12. 点击创建用户．

13. 点击关闭．

保存新创建的IAM用户帐户的安全凭据

1. 在IAM用户界面，单击新创建的IAM用户的用户名。

2. 点击安全凭证选项卡。

3. 将Access密钥ID和Secret密钥ID复制并粘贴到安全位置。

   注意:Access key ID和Secret key ID不能与他人共享。

回到顶部

3.Orchestrator可以将EC-V部署到多个AWS帐户中吗?

是的，您可以将EC-V部署到多个AWS帐户中。您必须在Orchestrator中保存每个AWS帐户的凭据。部署EC-V时，在EC-V部署配置页面上选择适当的AWS帐户。

回到顶部

4.在EC-V部署期间，Orchestrator创建了哪些AWS资源?

• 一个vpc.

• 每个EC-V（MGMT0子网，WAN0子网和LAN0子网）三个子网）

• 3个弹性网口(MGMT0、WAN0、LAN0网卡)

• 每个EC-V有三个安全组(mggmt0 SG、WAN0 SG和LAN0 SG)

• 两个弹性IPS（EIP）（MGMT0 EIP和WAN0 EIP）

• 一个互联网网关

• 一个VPC路由表。此路由表与默认VPC路由表AWS在每个VPC上创建。

回到顶部

5.哪些子网附加到由Orchestrator创建的VPC路由表？

MGMT0和WAN0子网附加到由Orchestrator创建的VPC路由表。

在此路由表上创建指向AWS Internet网关的默认路由（0.0.0/0）。结果，MGMT0 NIC和WAN0 NIC具有出站Internet访问。

LAN0子网没有绑定到Orchestrator创建的VPC路由表。导致网络流量无法到达LAN0网卡。

回到顶部

6.可以通过SSH连接到EC-V的MGMT0接口吗?

默认情况下，MGMT0安全组上不允许允许入站流量;只允许出站流量。如果在部署EC-V之后需要通过MGMT0 NIC进行SSH，则必须允许从EC2仪表板上的MGMT0安全组上的入站流量。强烈建议您允许仅从已知的IP地址允许入站流量。

注意:如果不从EC2仪表板更新MGMT0安全组，您仍然可以使用CLI会话功能从Orchestrator访问EC-V的CLI。为此工作，Orchestrator需要直接访问EDGeConnect（不通过云门户）。

或者，您可以使用新的交互式工具从EC2 Dashboard连接到EC-V实例EC2串行控制台功能由AWS于2021年3月推出。

回到顶部

7.为什么WAN0安全组允许所有入站端口?

由于EC-V的WAN0接口的防火墙模式设置为“有状态+SNAT”，所以WAN0安全组允许所有入站流量是安全的。

回到顶部

8. Orchestrator为EC-V部署支持的最小和最大的VPC CIDR块是什么？

Orchestrator支持的最小VPC CIDR块为/ 24，最大的是/ 16。

回到顶部

9. Orchestrator创建的子网的子网掩码是什么？

Orchestrator创建的每个子网都有一个/ 28的子网掩码。

回到顶部

10.是EC-V上的IP地址是否分配静态或动态？

EC-V上的每个私有IP地址都是由AWS DHCP服务器动态分配的。由于AWS的ip地址本质上是静态的，所以在MGMT0和WAN0接口上分配的ip地址是静态的公共ip地址。

回到顶部

11.如果我在一个可用分区内部署两个或多个EC-V, Orchestrator是否将每个EC-V部署到相同的MGMT0、WAN0和LAN0子网?

不。Orchestrator为它部署的每个EC-V创建三个子网，即使在单个可用分区中创建了两个(或更多)EC-V。

回到顶部

12.可以在EC-V上创建其他接口（LAN或WAN）吗？

不可以。Orchestrator只创建了EC-V的MGMT0，WAN0和LAN0接口。如果您的部署需要额外的WAN或LAN NIC，则必须从EC2仪表板创建并将其附加到EC-V。

注意:部署后，如果从AWS仪表板中添加其他接口到EC-V，则无法从AWS仪表板中销毁EC-V。必须在AWS仪表板上手动删除EC-V。

回到顶部

13.Orchestrator是否可以将EC-V部署到已有VPC中?

不可以，Orchestrator只能将EC-V部署到新的VPC中，该VPC在部署时创建。

回到顶部

14.Orchestrator是否自动实现到中转网关的lan端连接?

不，Orchestrator不自动化LAN侧连接到传输网关或任何其他AWS原生服务。

回到顶部

15.我可以从Orchestrator将EC-V部署到AWS GovCloud帐户中吗?

是的，Orchestrator支持将EC-V部署到AWS的GovCloud帐户中。

回到顶部

16.我可以将EC-V部署到来自Orchestrator的AWS中国帐户吗？

不，Orchestrator不支持将EC-V部署到AWS中国帐户中。

回到顶部

---