AWS Management Portal for vCenter - Benutzerhandbuch1.Erneuern Sie Ihr DHCP-Lease oder reaktivieren...

AWS ManagementPortal for vCenter

Benutzerhandbuch

AWS Management Portal for vCenter Benutzerhandbuch

AWS Management Portal for vCenter: BenutzerhandbuchCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of ContentsWas ist AWS Management Portal for vCenter? ....................................................................................... 1

Verwendung ............................................................................................................................... 1Einschränkungen ........................................................................................................................ 1Voraussetzungen ........................................................................................................................ 2Erste Schritte ............................................................................................................................. 2

Einrichten .......................................................................................................................................... 3Installieren und Konfigurieren von AWS Management Portal for vCenter .............................................. 3Konfigurieren der Zeitsynchronisation ............................................................................................ 4(Optional) Konfigurieren der Netzwerkeinstellungen .......................................................................... 4Option 1: Proxy für die Authentifizierung im Verbund ........................................................................ 5

Anlegen der erforderlichen Konten und Benutzer ..................................................................... 6Einrichten der Vertrauensstellung .......................................................................................... 8Bereitstellen der virtuellen Connector-Appliance ...................................................................... 9Konfigurieren des Connectors ............................................................................................. 10

Option 2: SAML-basierte Authentifizierung .................................................................................... 12Anlegen der erforderlichen Konten und Benutzer ................................................................... 13Einrichten der Vertrauensstellung ........................................................................................ 15Bereitstellen der virtuellen Connector-Appliance ..................................................................... 17Konfigurieren des Connectors ............................................................................................. 18Einrichten von ADFS ......................................................................................................... 19Konfigurieren von SSO ...................................................................................................... 23

Verwalten von AWS-Ressourcen ......................................................................................................... 28Verwalten von Administratoren .................................................................................................... 28Verwalten von VPCs und Subnetzen ........................................................................................... 29Verwalten von Sicherheitsgruppen ............................................................................................... 30Verwalten von Umgebungen ....................................................................................................... 31Verwalten von Benutzerberechtigungen ........................................................................................ 33

Verwalten von EC2-Instances ............................................................................................................. 35Anzeigen von Regionen ............................................................................................................. 35Anzeigen einer Umgebung ......................................................................................................... 36Verwalten von Schlüsselpaaren ................................................................................................... 36Verwalten von Vorlagen ............................................................................................................. 37Bereitstellen einer EC2-Instance .................................................................................................. 38Anzeigen einer EC2 Instance ...................................................................................................... 39Herstellen einer Verbindung mit einer EC2 Instance ....................................................................... 39Anhalten und Starten einer EC2-Instance ..................................................................................... 40Neustarten einer EC2-Instance ................................................................................................... 40Erstellen eines Images anhand einer EC2-Instance ........................................................................ 41Beenden einer EC2-Instance ...................................................................................................... 41

Migrieren von virtuellen Maschinen ...................................................................................................... 42Voraussetzungen ...................................................................................................................... 43Einschränkungen ...................................................................................................................... 43Autorisierung für VM Import ........................................................................................................ 43Migrieren von virtuellen Maschinen .............................................................................................. 44Sichern einer Instance ............................................................................................................... 45Exportieren einer migrierten EC2 Instance .................................................................................... 45Fehlerbehebung bei der Migration ............................................................................................... 47

Verwalten des Connectors ................................................................................................................. 49Zugreifen auf die Managementkonsole ......................................................................................... 49Protokollieren in die VM-Konsole ................................................................................................. 49Zurücksetzen des Connector-Passworts ....................................................................................... 50Rotieren der Schlüssel ............................................................................................................... 50Überwachen des Connectors ...................................................................................................... 51Melden eines Problems an AWS ................................................................................................. 52

iii


Aktualisieren der AWSConnector-Richtlinie ................................................................................... 53Allgemeine Problembehebung ..................................................................................................... 53Fehlerbehebung bei Upgrades .................................................................................................... 55Installieren eines vertrauenswürdigen SSL-Zertifikats ...................................................................... 55Validieren eines nicht vertrauenswürdigen SSL-Zertifikats ............................................................... 56Deinstallieren des Connectors ..................................................................................................... 57

Dokumentverlauf ............................................................................................................................... 58

iv

AWS Management Portal for vCenter BenutzerhandbuchVerwendung

Was ist AWS Management Portal forvCenter?

AWS Management Portal for vCenter bietet eine einfache, benutzerfreundliche Schnittstelle für dasErstellen und Verwalten von AWS-Ressourcen in VMware vCenter. Weitere Informationen finden Sie unterAWS Management Portal for vCenter.

Note

Wir empfehlen die Verwendung von AWS Server Migration Service (SMS) für die Migration vonVMs aus einer vCenter-Umgebung zu AWS. SMS automatisiert die Migration, indem er lokale VMsschrittweise repliziert und in Amazon Machine Images (AMIs) konvertiert. Sie können Ihre lokalenVMs weiter nutzen, während die Migration durchgeführt wird. Weitere Informationen zu AWS SMSfinden Sie unter AWS Server Migration Service.

Verwendung• Administratoren verwalten Netzwerke, organisieren AWS-Ressourcen mithilfe von AWS-Umgebungen

und erteilen Benutzer Berechtigungen auf der Ebene von Umgebungen.• Benutzer können Umgebungen anzeigen, für die sie über Leseberechtigungen verfügen, und EC2-

Instances in Umgebungen erstellen und verwalten, für die sie über Berechtigungen zum Ändernverfügen.

• Benutzer können mithilfe der AWS Connector for vCenter ihre virtuelle Maschinen in AWS importieren.

Einschränkungen• Sie können alle vCenter mit einem AWS-Konto und einem Authentifizierungsanbieter verbinden.• Benutzer können nicht auf das Management-Portal zugreifen, es sei denn, sie haben ein Konto, das

Sie für die Anmeldung an vCenter berechtigt. Wenn sich Benutzer an vCenter anmelden und dasManagement-Portal öffnen, können sie Umgebungen und AWS-Ressourcen in dieser Umgebung nurdann anzeigen, wenn ein Administrator ihnen die entsprechenden Berechtigungen für den Zugriff auf dieUmgebung gewährt hat. Administratoren können Benutzern nur dann Berechtigungen erteilen, wenn dieDomänen- und Benutzernamen bestimmte Anforderungen erfüllen. Bei Domänen- und Benutzernamenist die Groß-/Kleinschreibung relevant. Bei Domänenbenutzern darf die Zeichenfolge Domäne\Benutzerdie maximale Länge von 32 Zeichen nicht überschreiten. Bei lokalen Benutzern darf der Benutzernamedie maximale Länge von 32 Zeichen nicht überschreiten. Die Werte für die Domäne und den Benutzermüssen jeweils mit einem Buchstaben beginnen und dürfen nur die folgenden Zeichen enthalten: a-z, A-Z, 0-9, Punkte (.), Unterstriche (_) und Bindestriche (-).

• Das management portal unterstützt hauptsächlich Amazon EC2-Ressourcen. Künftige Versionenunterstützen möglicherweise Ressourcen für weitere Services.

• Sie können EC2 Instances nicht in EC2-Classic starten; Sie müssen sie in einer VPC starten.• Dies ist kein umfassendes Tool für die Erstellung und Verwaltung von AWS-Ressourcen. management

portal ermöglicht vCenter-Benutzern, sich schnell mit grundlegenden Aufgaben vertraut zu machen,beispielsweise der Erstellung einer VPC und eines Subnetzes oder das Starten einer EC2-Instance. Füranspruchsvollere Aufgaben müssen Benutzer die AWS Management Console, die AWS CLI oder einAWS-SDK verwenden. Weitere Informationen finden Sie unter Zugriff auf Amazon EC2 im Amazon EC2-Benutzerhandbuch.

1

http://aws.amazon.com/ec2/vcenter-portal/

https://aws.amazon.com/server-migration-service/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html#access-ec2

AWS Management Portal for vCenter BenutzerhandbuchVoraussetzungen

Voraussetzungen• Ein AWS-Konto

• vCenter Version 5.1, 5.5 oder 6.0. (Webclient wird nur auf vCenter 5.5 und 6.0 unterstützt).

• Internet Explorer Version 10

• Internet Explorer ist so konfiguriert, dass Cookies zugelassen sind.

• Netzwerk-Konnektivität:• DHCP: Zulassen, dass die connector, den DHCP-Server erreicht.• DNS: Zulassen, dass die connector zur Namensauflösung Verbindungen über Port 53 initiiert. Stellen

Sie sicher, dass Ihre Firewall für diese Verbindungen statusbehaftet ist.• Ausgehender HTTPS-Datenverkehr: Zulassen, dass die connector Verbindungen über Port 443

initiiert. Stellen Sie sicher, dass Ihre Firewall für diese Verbindungen statusbehaftet ist.• Ausgehender ICMP-Datenverkehr: Zulassen, dass die connector ausgehenden Verbindungen über

ICMP herstellt.• NTP: Zulassen, dass die connector Verbindungen über Port 123 initiiert, um die Uhrzeit mit den

NTP-Servern zu synchronisieren. Stellen Sie sicher, dass Ihre Firewall für diese Verbindungenstatusbehaftet ist.

Erste Schritte• Einrichten von AWS Management Portal for vCenter (p. 3)• Verwalten von AWS-Ressourcen mithilfe von AWS Management Portal for vCenter (p. 28)• Verwalten von EC2-Instances mithilfe von AWS Management Portal for vCenter (p. 35)• Migrieren von virtuellen Maschinen zu Amazon EC2 mit AWS Connector for vCenter (p. 42)

2

AWS Management Portal for vCenter BenutzerhandbuchInstallieren und Konfigurieren von

AWS Management Portal for vCenter

Einrichten von AWS ManagementPortal for vCenter

Wenn Sie management portal einrichten, ermöglichen Sie Benutzern in Ihrer Organisation den Zugriffauf Ihre AWS-Ressourcen. Dieser Vorgang umfasst die Erstellung von Konten, die Einrichtung einerVertrauensstellung zwischen management portal und Ihrem Authentifizierungsanbieter sowie dieconnector-Bereitstellung und -Konfiguration.

Sie richten management portal ein, indem Sie die folgenden Aufgaben ausführen:

Aufgaben

• Installieren und Konfigurieren von AWS Management Portal for vCenter (p. 3)• Konfigurieren der Zeitsynchronisation (p. 4)• (Optional) Konfigurieren der Netzwerkeinstellungen (p. 4)

Note


Installieren und Konfigurieren von AWSManagement Portal for vCenter

Sie können einen der folgenden beiden Authentifizierungsanbieter auswählen: AWS Connector for vCenteroder einen Identitätsanbieter (Identity Provider, IdP), der SAML 2.0 unterstützt. Der Einrichtungsprozessfür das management portal unterscheidet sich je nach gewähltem Authentifizierungsanbieter. In derfolgenden Tabelle werden die verschiedenen Optionen beschrieben. Befolgen Sie die Anweisungen für dieAuthentifizierungsanbieter an, die Sie ausgewählt haben.

Authentifizierungsanbieter Beschreibung

Proxy für die Authentifizierung imVerbund (p. 5)

Sie können die connector für die Authentifizierungvon Benutzern konfigurieren. Es gibt keineVoraussetzungen für diese Option. Im Zugedes Einrichtungsprozesses richten Sie eineVertrauensstellung zwischen dem managementportal und dem connector ein.

Diese Option wird für Organisationen bereitgestellt,die keinen Identitätsanbieter verwenden, derSAML 2.0 unterstützt.

3


AWS Management Portal for vCenter BenutzerhandbuchKonfigurieren der Zeitsynchronisation

Authentifizierungsanbieter Beschreibung

SAML-basierte Authentifizierung (p. 12) SAML 2.0 stellt einen offenen Standarddar, der speziell für Single Sign-On (SSO,Einmalanmeldung) entwickelt wurde. Auf dieseWeise können Benutzer auf management portalzugreifen, die von Ihrem Identitätsanbieterbereits authentifiziert wurden. Um diese Optionverwenden zu können, müssen Sie zunächst einenIdentitätsanbieter für Ihre Organisation einrichten.Als Teil des Einrichtungsprozesses richten sieeinen SAML-Anbieter ein und konfigurieren eineVertrauensstellung zwischen management portalund AWS.

Weitere Informationen zu den Vorteilen von SAMLfinden Sie unter Advantages of SAML.

Wenn Sie einen Authentifizierungsanbieter ausgewählt haben, schließen Sie die Einrichtung ab.Sie können einen anderen Authentifizierungsanbieter auswählen, indem Sie zur ersten Seite desInstallationsprogramms zurückkehren und auf Reset Trust Relationship (Vertrauensstellung zurücksetzen)klicken oder indem Sie auf der Übersichtsseite den Abschnitt Reset Trust Relationship (Vertrauensstellungzurücksetzen) erweitern und auf I acknowledge that I want to reset my trust relationships configuration(Ich bestätige, dass ich die Vertrauensstellungskonfiguration zurücksetzen möchte) und Reset TrustRelationship (Vertrauensstellung zurücksetzen) klicken.

Konfigurieren der ZeitsynchronisationDie virtuelle connector-Appliance synchronisiert die Zeit mit dem jeweiligen ESX-/ESXi-Server. DasNetwork Time Protocol (NTP) muss für die connector auf dem ESXi-Server konfiguriert werden, auf dem siebereitgestellt wird.

Wenn die Registrierung Ihrer Anmeldeinformationen im Installationsprogramm fehlschlägt, kann essein, dass ein Problem bei der Zeitsynchronisierung vorliegt. Sie können das überprüfen, indem Siedie Datei debug-file.log öffnen und nach der folgenden Zeichenfolge suchen: ntpdate, -qv,pool.ntp.org. Wenn eine Abweichung von mehr als 15 Sekunden vorliegt, konfigurieren Sie das NTPauf dem ESX-/ESXi-Server entsprechend und starten die connector neu.

(Optional) Konfigurieren der NetzwerkeinstellungenSie können mit der connector-Befehlszeilenschnittstelle (Command Line Interface, CLI) verschiedeneNetzwerkeinstellungen konfigurieren.

So aktualisieren Sie Ihre Netzwerkeinstellungen mit der Connector-CLI

1. Suchen Sie die Connector-VM in dem vSphere-Client. Klicken Sie mit der rechten Maustaste daraufund wählen Sie Open Console (Konsole öffnen) aus.

2. Melden Sie sich als ec2-user mit dem Passwort ec2pass an.3. Führen Sie den Befehl sudo setup.rb aus. Durch diesen Befehl wird das folgende Menü angezeigt:

Choose one of the following options1. Reset password2. Reconfigure network settings

4

http://saml.xml.org/advantages-saml

AWS Management Portal for vCenter BenutzerhandbuchOption 1: Proxy für die Authentifizierung im Verbund

3. Restart services4. Factory reset5. Delete unused upgrade-related files6. Enable/disable SSL certificate validation7. Display connector's SSL certificate8. Generate log bundle9. ExitPlease enter your option [1-9]:

4. Geben Sie 2 ein und drücken Sie die Eingabetaste. Durch den Befehl wird das folgende Menüangezeigt:

Reconfigure your network:1. Renew or acquire a DHCP lease2. Set up a static IP3. Set up a web proxy for AWS communication4. Set up a DNS suffix search list5. ExitPlease enter your option [1-5]:

Verwenden Sie diese Optionen, um die folgenden Aufgaben auszuführen:

1. Erneuern Sie Ihr DHCP-Lease oder reaktivieren Sie DHCP, nachdem Sie eine statische IP-Adresseeingerichtet haben.

2. Richten Sie eine statische IP-Adresse für die connector ein. Geben Sie bei entsprechenderAufforderung die statische IP-Adresse, Netzwerkmaske, das Gateway und die DNS-Server ein.

3. Konfigurieren Sie die connector so, dass ein Web-Proxy verwendet wird. Geben Sie beientsprechender Aufforderung die IP-Adresse und den Port des Proxys sowie optional einenBenutzernamen und ein Passwort ein, um sich bei dem Proxy anzumelden. Falls für den Web-Proxy eine Authentifizierung erforderlich ist, beachten Sie bitte, dass der Connector nur diepasswortbasierte Authentifizierung unterstützt.

Note

Diese Option erfordert, dass Sie Ihr anfängliches Passwort festgelegt haben. Dazu müssenSie sich über https://IP_Adresse/ beim Connector anmelden, wobei IP_Adresse für die IP-Adresse der Connector-Managementkonsole steht.

4. Konfigurieren Sie die DNS-Suffix-Suchliste, sodass connector die VMs vom ESX-Host migrierenkann. Dies ist nicht erforderlich, wenn vCenter alle ESX-Hosts unter Verwendung voll qualifizierterDomain-Namen oder IP-Adressen anzeigt.

5. Wenn sich die IP-Adresse oder die Proxy-Einstellungen ändern, müssen Sie die connector wie folgterneut registrieren:

a. Öffnen Sie die connector-Managementkonsole in einem Webbrowser.b. Klicken Sie im Dashboard auf Register the Connector (Connector registrieren).c. Befolgen Sie die Anweisungen, um den Registrierungsassistenten abzuschließen.

Option 1: Proxy für die Authentifizierung im VerbundSie können das management portal so einrichten, dass Benutzer über den AWS Connector for vCenterauthentifiziert werden.

Ihre Benutzer haben keinen direkten Zugriff auf AWS-Ressourcen. Der vSphere-Client erhält dieBenutzerdaten stattdessen vom vCenter-Server. Er nimmt eine AWS Identity and Access Management-Rolle (IAM) an, um die temporären AWS-Sicherheitsanmeldeinformationen für den Benutzer abzurufen.Das folgende Diagramm veranschaulicht diesen Prozess.

5

AWS Management Portal for vCenter BenutzerhandbuchAnlegen der erforderlichen Konten und Benutzer

Proxy für die Authentifizierung im Verbund

1. Der Benutzer meldet sich bei vCenter an und klickt auf Home (Startseite) und AWS Management Portal.Der vSphere-Client sendet eine Authentifizierungsanfrage an die connector.

2. Die connector authentifiziert den Benutzer.3. Der connector fordert die temporären Sicherheitsanmeldeinformationen vom AWS Security Token

Service (AWS STS) an.4. AWS STS übermittelt die temporären connector-Sicherheitsanmeldeinformationen für den Benutzer.5. Benutzer erhalten Zugriff auf AWS-Ressourcen auf Basis der Berechtigungen, die Ihnen von einem

Administrator zugewiesen wurden.

Aufgaben


1. Anlegen der erforderlichen Konten und Benutzer (p. 6)2. Einrichten der Vertrauensstellung (p. 8)3. Bereitstellen der virtuellen Connector-Appliance (p. 9)4. Konfigurieren des Connectors (p. 10)

Anlegen der erforderlichen Konten und BenutzerLegen Sie zunächst die Konten und Benutzer an, die für management portal erforderlich sind.

So legen Sie die erforderlichen Konten und Benutzer an

1. Wenn Ihre Organisation noch nicht über ein AWS-Konto verfügt, befolgen Sie die folgenden Schrittezum Erstellen eines Kontos:

a. Öffnen Sie https://portal.aws.amazon.com/billing/signup.b. Folgen Sie den Onlineanweisungen.

Der Anmeldeprozess beinhaltet auch einen Telefonanruf und die Eingabe einesVerifizierungscodes über die Telefontastatur.

Sie können die Einrichtung abschließen, indem Sie entweder die Anmeldeinformationen für Ihr AWS-Konto oder die für einen IAM-Benutzer verwenden. Weitere Informationen zu AWS Identity andAccess Management (IAM) finden Sie im IAM-Benutzerhandbuch. Wenn Sie einem IAM-Benutzer

6

https://portal.aws.amazon.com/billing/signup

https://docs.aws.amazon.com/IAM/latest/UserGuide/


die Einrichtung von management portal ermöglichen möchten, müssen Sie diesem Benutzer dieBerechtigungen für die in der folgenden Richtlinie angegebenen Aktionen erteilen:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:*", "amp:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketAcl", "s3:GetBucketLocation", "s3:GetBucketAcl" ], "Resource": "arn:aws:s3:::export-to-s3-*" }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ]}

2. Erstellen Sie das AWS-Konto für den Authentifizierungsanbieter. Dabei handelt es sich um einenIAM-Benutzer, über den der connector eine Rolle für die Vertrauensstellung annimmt und Benutzerauthentifiziert.

a. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.b. Klicken Sie im Navigationsbereich auf Users (Benutzer).c. Klicken Sie auf Add user (Benutzer hinzufügen).d. Geben Sie auf der Seite Add user (Benutzer hinzufügen) einen Benutzernamen ein, wählen Sie

die Option Programmatic access (Programmgesteuerter Zugriff) aus und klicken Sie dann aufNext: Permissions (Weiter: Berechtigungen).

e. Wählen Sie die Option Attach existing policies directly (Vorhandene Richtlinien direkt anfügen)aus.

f. Geben Sie im Suchfeld AWSConnector ein. Aktivieren Sie das Kontrollkästchen für dieAWSConnector-Richtlinie und klicken Sie anschließend auf Next: Review (Weiter: Prüfen).

g. Klicken Sie auf Create user (Benutzer erstellen).h. Speichern Sie die Anmeldeinformationen für dieses Konto an einem sicheren Speicherort und

klicken Sie auf Close (Schließen).

Important

Sie benötigen diese Anmeldeinformationen, um die Einrichtung der connectorabzuschließen.

3. Erstellen Sie das vCenter-Servicekonto. Dabei handelt es sich um einen lokalen oderDomänenbenutzer, den der connector für die Kommunikation mit vCenter verwendet. Geben Sie ein

7

https://console.aws.amazon.com/iam/

AWS Management Portal for vCenter BenutzerhandbuchEinrichten der Vertrauensstellung

eindeutiges, zufälliges Passwort für das Konto ein. Zu diesem Zeitpunkt sollten Sie diesem Benutzerkeine vCenter-Berechtigungen manuell erteilen. Wir erteilen diesem Benutzer die Berechtigung fürden vApp-Export während der connector-Einrichtung. Beachten Sie, dass Sie diese Berechtigungnach Abschluss der connector-Einrichtung auf bestimmte Teile Ihres vCenter-Bestandes einschränkenkönnen.

Important

Speichern Sie die Anmeldeinformationen für dieses Konto an einem sicheren Speicherort. Siebenötigen sie, um die Einrichtung der connector abzuschließen.

Sie können diesen Benutzer mithilfe Ihres Identitätsanbieters, vCenter oder Windows erstellen –je nachdem, was für Sie am einfachsten ist. Weitere Informationen zum Erstellen von lokalen bzw.Domain-Benutzern finden Sie in den folgenden Dokumentationen (oder Sie wenden sich an einenAdministrator Ihres vCenter bzw. Ihres Identitätsanbieters):

• Active Directory: Create a New User Account• Windows: Create a local user account• vCenter 5.5: Hinzufügen von vCenter Single Sign On-Benutzern (die Standarddomäne istvsphere.local)

• vCenter 5.1: Hinzufügen eines vCenter Single Sign On-Benutzers (die Standarddomäne istSystem-Domain)

• vCenter Server-Appliance: Erstellen eines lokalen Benutzerkontos in der vCenter Server-Appliance

Einrichten der VertrauensstellungBefolgen Sie die unten stehenden Schritte, um eine Vertrauensstellung zwischen dem management portalund dem connector einzurichten.

So richten Sie eine Vertrauenstellung ein

1. Öffnen Sie die AWS Management Portal for vCenter -Einrichtungskonsole.

Tip

Wenn Sie die Einrichtung bereits abgeschlossen haben, aber einen anderenAuthentifizierungsanbieter auswählen möchten, rufen Sie die Übersichtsseite auf, erweiternSie den Abschnitt Reset Trust Relationship (Vertrauensstellung zurücksetzen), klicken Sie aufI acknowledge that I want to reset my trust relationships configuration (Ich bestätige, dass ichdie Vertrauensstellungskonfiguration zurücksetzen möchte) und klicken Sie dann auf ResetTrust Relationship (Vertrauensstellung zurücksetzen).

2. Klicken Sie auf Get started now (Jetzt beginnen).3. Wählen Sie auf der Seite AWS Management Portal for vCenter Configuration (AWS

Management Portal for vCenter-Konfiguration) die Option AWS Connector (AWS-Connector) alsAuthentifizierungsanbieter aus.

4. Wählen Sie auf der Seite Configure the Trust Relationship (Vertrauensstellung konfigurieren) eine derfolgenden Optionen aus und führen Sie die entsprechenden Schritte aus:

Option 1: Einrichten der Vertrauensstellung

a. Geben Sie den Namen des IAM-Benutzers an, den Sie als AWS-Konto für denAuthentifizierungsanbieter angelegt haben.

b. (Optional) Prüfen Sie die Richtlinien für die Rolle der AMP-Vertrauensstellung, die AMP-Servicerolle und die Import-Servicerolle.

8

http://technet.microsoft.com/en-us/library/cc732336.aspx


https://docs.vmware.com/en/VMware-vSphere/5.5/com.vmware.vsphere.security.doc/GUID-72BFF98C-C530-4C50-BF31-B5779D2A4BBB.html

https://pubs.vmware.com/vsphere-51/index.jsp#com.vmware.vsphere.security.doc/GUID-72BFF98C-C530-4C50-BF31-B5779D2A4BBB.html

https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.vcsa.doc/GUID-533AE852-A1F9-404E-8AC6-5D9FD65464E5.html

https://amp.aws.amazon.com/VCPlugin.html#setup

AWS Management Portal for vCenter BenutzerhandbuchBereitstellen der virtuellen Connector-Appliance

c. Aktivieren Sie die Option I agree that AWS Management Portal for vCenter may create the aboveroles on my behalf (Ich stimme der Erstellung obiger Rollen durch AWS Management Portal forvCenter in meinem Namen zu).

d. Klicken Sie auf Save and Continue (Speichern und fortfahren).

Option 2: Auswählen eines anderen Authentifizierungsanbieters

Wenn Sie zuvor SAML-based authentication provider (SAML-basierter Authentifizierungsanbieter)als Authentifizierungsanbieter ausgewählt haben, klicken Sie auf Reset Trust Relationship(Vertrauensstellung zurücksetzen). Nach dem Zurücksetzen können Sie den Einrichtungsvorgangneu starten, die Option AWS Connector (AWS-Connector) auswählen und anschließend dieVertrauensstellung einrichten.

5. Fügen Sie auf der Seite Add Administrators (Administratoren hinzufügen) bis zu fünf Benutzer in IhrerOrganisation als Administratoren für das management portal hinzu und klicken Sie anschließendauf Save and Continue (Speichern und fortfahren). Beachten Sie, dass Sie sowohl lokale als auchDomain-Benutzer angeben können.

Important

Bei Domänen- und Benutzernamen ist die Groß-/Kleinschreibung relevant.

Verwenden Sie das Format Domäne\Benutzer, wobei Domäne\ bei lokalen Benutzern optional ist.Bei Domänenbenutzern darf die Zeichenfolge Domäne\Benutzer die maximale Länge von 32 Zeichennicht überschreiten. Bei lokalen Benutzern darf die Zeichenfolge für Benutzer die maximale Längevon 32 Zeichen nicht überschreiten. Die Namen für die Domäne und den Benutzer müssen jeweils miteinem Buchstaben beginnen und dürfen nur die folgenden Zeichen enthalten: a-z, A-Z, 0-9, Punkte (.),Unterstriche (_) und Bindestriche (-).

Beachten Sie, dass Sie zu diesem Zeitpunkt mindestens einen Administrator hinzufügen müssen;Sie können weitere Benutzer aber auch zu einem späteren Zeitpunkt als Administratoren hinzufügen.Weitere Informationen finden Sie unter Verwalten von Administratoren (p. 28).

6. Geben Sie auf der Seite Create an AMP Connector Key (AMP-Connector-Schlüssel erstellen) einenNamen für den AMP-Connector-Schlüssel ein und klicken Sie anschließend auf Create (Erstellen).

7. Klicken Sie auf der Seite Review Your Configuration (Konfiguration überprüfen) auf DownloadConfiguration (Konfiguration herunterladen). Dadurch laden Sie eine Datei herunter, in der dieKonfiguration Ihrer Vertrauensstellung enthalten ist. Speichern Sie diese Datei an einem sicherenSpeicherort; sie benötigen sie, um die Bereitstellung des Connectors abzuschließen. Klicken Sie aufFinish (Beenden).

Beachten Sie, dass Sie eine neue Rolle für die AMP-Vertrauensstellung oder einen neuen AMP-Connector-Schlüssel erstellen können, wenn Sie glauben, dass diese kompromittiert wurden.

8. Auf der Seite AWS Management Portal Setup (AWS Management Portal-Einrichtung) können Sie dieaktuelle Konfiguration für Ihre Einrichtung überprüfen und bearbeiten.

Bereitstellen der virtuellen Connector-Appliancemanagement portal setzt voraus, dass Sie die connector bereitstellen und konfigurieren, dieAdministratoren und Berechtigungen verwaltet.

Die connector wird als virtuelle Appliance bereitgestellt. Um die connector bereitzustellen, befolgen Sie dasfolgende Verfahren.

So stellen Sie die virtuelle Connector-Appliance bereit

1. Melden Sie sich bei vCenter als VMware-Administrator an.

9

AWS Management Portal for vCenter BenutzerhandbuchKonfigurieren des Connectors

2. Klicken Sie im Menü File (Datei) auf Deploy OVF Template (OVF-Vorlage bereitstellen). Geben Sie diefolgende URL in das Feld Deploy from a file or URL (Über eine Datei oder URL bereitstellen) ein undklicken Sie anschließend auf Next (Weiter):

https://s3.amazonaws.com/aws-connector/AWS-Connector.ova

(Optional) Um den Download zu bestätigen, verwenden Sie die folgenden MD5- and SHA256-Prüfsummen:

https://s3.amazonaws.com/aws-connector/AWS-Connector.ova.md5sumhttps://s3.amazonaws.com/aws-connector/AWS-Connector.ova.sha256sum

3. Schließen Sie den Assistenten ab. Wählen Sie auf der Seite Disk Format (Datenträgerformat)einen der Thick-Provisioning-Datenträgertypen aus. Wir empfehlen, Thick Provision Eager Zeroedauszuwählen, da diese Option die beste Leistung und Zuverlässigkeit bietet. Es dauert jedoch einigeStunden, den Datenträger zu leeren. Wählen Sie nicht Thin Provision (Schlanke Bereitstellung) aus:diese Option beschleunigt zwar die Bereitstellung, reduziert die Datenträgerleistung jedoch deutlich.Weitere Informationen finden Sie unter Types of supported virtual disks in der VMware-Dokumentation.

4. Suchen Sie die neu bereitgestellte Vorlage in der Bestandsstruktur des vSphere-Clients, klicken Siemit der rechten Maustaste auf die Vorlage und wählen Sie Power > Power On (Energie > Energieein) aus. Klicken Sie mit der rechten Maustaste erneut auf die Vorlage und wählen Sie Open Console(Konsole öffnen) aus. Die Konsole zeigt die IP-Adresse der connector-Verwaltungskonsole an.Speichern Sie die IP-Adresse an einem sicheren Ort. Sie benötigen sie, um die connector-Einrichtungabzuschließen.

Note

Wenn Sie keinen DHCP-Server besitzen, müssen Sie eine statische IP-Adressekonfigurieren. Weitere Informationen finden Sie unter (Optional) Konfigurieren derNetzwerkeinstellungen (p. 4).

Konfigurieren des ConnectorsÖffnen Sie einen Webbrowser und führen Sie die folgenden Schritte aus, um die Einrichtungabzuschließen.

So konfigurieren Sie den connector mithilfe der connector-Managementkonsole

1. Rufen Sie in Ihrem Webbrowser die Seite https://IP_Adresse/ auf. IP_Adresse steht dabei für die IP-Adresse der connector-Managementkonsole, die Sie zuvor gespeichert haben.

Tip

Wenn Ihr Browser das Zertifikat für die Website nicht überprüft kann, wird eine Meldungangezeigt, dass die Website nicht vertrauenswürdig ist. Sie können das Zertifikat überprüfen(siehe Validieren eines nicht vertrauenswürdigen SSL-Zertifikats (p. 56)) oder durcheines Ihrer eigenen Zertifikate ersetzen (siehe Installieren eines vertrauenswürdigen SSL-Zertifikats (p. 55)).

2. Geben Sie im Dialogfeld Log in to Connector (Beim Connector anmelden) die IP-Adresse oder denHostnamen des vCenter-Servers sowie die Anmeldeinformationen für einen vCenter-Administratorein und klicken Sie anschließend auf Log in (Anmelden). Der vCenter-Hostname darf eine Länge von32 Zeichen nicht überschreiten. Geben Sie daher einen kürzeren Hostnamen oder die IP-Adresse an.

Erstellen Sie ein Passwort, wenn Sie dazu aufgefordert werden. Mit diesem Passwort melden Sie sichdas nächste Mal bei der connector-Managementkonsole an.

10

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1022242


Note

Wenn Sie 20-mal ein falsches Passwort eingegeben haben, wird Ihr Zugang gesperrt und Siemüssen Ihr Passwort zurückzusetzen. Weitere Informationen finden Sie unter Zurücksetzendes Connector-Passworts (p. 50).

3. Wenn dies das erste Mal ist, dass Sie sich bei der connector angemeldet haben, wird automatischder Registrierungsassistent gestartet. Klicken Sie andernfalls auf Register the Connector (Connectorregistrieren).

4. Wenn Sie die Konfigurationsdatei heruntergeladen haben, gehen Sie wie folgt vor:

1. Klicken Sie auf Upload the configuration file (Konfigurationsdatei hochladen), wählen Sie dieKonfigurationsdatei aus und klicken Sie dann auf Next (Weiter).

2. Geben Sie auf der Seite vCenter Service Account Credentials (Anmeldeinformationen für vCenter-Service-Konto) die Anmeldeinformationen für das vCenter-Service-Konto ein, das Sie in Anlegender erforderlichen Konten und Benutzer (p. 6) erstellt haben, und klicken Sie anschließendauf Next (Weiter). Für Domänenbenutzer: Verwenden Sie die Form Domäne\Benutzername oderBenutzername@Domäne.

3. Geben Sie auf der Seite AWS Credentials (AWS-Anmeldeinformationen) dieAnmeldeinformationen für das AWS-Service-Konto ein, das Sie in Einrichten derVertrauensstellung (p. 8) ausgewählt haben. (Sie können denselben IAM-Benutzer für VMImport verwenden, oder Sie verwenden einen anderen IAM-Benutzer, dem die AWSConnector-Richtlinie bereits zugewiesen wurde.) Klicken Sie auf Weiter.

Note

Wenn eine Fehlermeldung angezeigt wird, dass die AWSConnector-Richtlinie fürIhren IAM-Benutzer abgelaufen ist, müssen Sie die Richtlinie aktualisieren. WeitereInformationen finden Sie unter Aktualisieren der AWSConnector-Richtlinie (p. 53).

4. Klicken Sie auf der Seite Register Plugin (Plug-in registrieren) auf I agree to install the vCenterSSL certificates on this connector (Ich stimme der Installation der vCenter-SSL-Zertifikate aufdiesem Connector zu). Wenn Sie diese Option aktivieren, erhalten Sie automatische Upgradesfür die connector. Klicken Sie auf Register (Registrieren), um das vCenter Server-Zertifikat zuinstallieren. Der Authentifizierungsanbieter in der connector antwortet nur dann auf vCenterServer-Anfragen, wenn dieses Zertifikat präsentiert wird.

Gehen Sie andernfalls wie folgt vor, um die Einrichtung abzuschließen:

1. Klicken Sie auf Enter the configuration manually (Konfiguration manuell eingeben), wählen Siedenselben Konfigurationstyp aus, den Sie zuvor ausgewählt haben, und klicken Sie dann auf Next(Weiter).

2. Geben Sie den AMP-Connector-Schlüssel ein, den Sie zuvor gespeichert haben, und klicken Siedann auf Next (Weiter).

3. Geben Sie auf der Seite vCenter Admin Credentials (vCenter-Administratoranmeldeinformationen)die IP-Adresse oder den Hostnamen des vCenter-Servers sowie den Namen und das Passwortfür einen vCenter-Administrator ein. Der vCenter-Hostname darf eine Länge von 32 Zeichen nichtüberschreiten. Geben Sie daher einen kürzeren Hostnamen oder die IP-Adresse an. Klicken Sieauf Weiter.

Beachten Sie, dass diese Seite nicht angezeigt wird, wenn Sie den Connector zum ersten Malkonfigurieren.


11

AWS Management Portal for vCenter BenutzerhandbuchOption 2: SAML-basierte Authentifizierung

5. Geben Sie auf der Seite AWS Credentials (AWS-Anmeldeinformationen) den ARN der Rolle fürdie AMP-Vertrauensstellung und die Anmeldeinformationen für das AWS-Service-Konto ein, dasSie in Einrichten der Vertrauensstellung (p. 8) ausgewählt haben. (Sie können denselbenIAM-Benutzer für VM Import verwenden, oder Sie verwenden einen anderen IAM-Benutzer, demdie AWSConnector-Richtlinie bereits zugewiesen wurde.) Klicken Sie auf Weiter.

Note

Wenn eine Fehlermeldung angezeigt wird, dass die AWSConnector-Richtlinie fürIhren IAM-Benutzer abgelaufen ist, müssen Sie die Richtlinie aktualisieren. WeitereInformationen finden Sie unter Aktualisieren der AWSConnector-Richtlinie (p. 53).

6. Klicken Sie auf der Seite Register Plugin (Plug-in registrieren) auf Register (Registrieren), um dasvCenter Server-Zertifikat zu installieren. Der Authentifizierungsanbieter in der connector antwortetnur dann auf vCenter Server-Anfragen, wenn dieses Zertifikat präsentiert wird.

5. Beenden Sie den vSphere-Client und öffnen Sie ihn erneut. Klicken Sie auf Home (Startseite) undanschließend auf AWS Management Portal.

Sie haben die Einrichtung abgeschlossen und können management portal ab jetzt verwenden.Bevor Sie beginnen, sollten Sie allerdings die folgenden Schritte ausführen: Konfigurieren derZeitsynchronisation (p. 4) und Konfigurieren der Netzwerkeinstellungen (p. 4).

Option 2: SAML-basierte AuthentifizierungSie können management portal so einrichten, dass Benutzer mithilfe Ihres Identitätsanbieters (IdP)authentifiziert werden.

Ihre Benutzer haben keinen direkten Zugriff auf AWS-Ressourcen. Der vSphere-Client ruft dieBenutzerdaten stattdessen von Ihrer Identitätsquelle ab und verwendet eine SAML-Zusicherung, umdem Benutzer Zugriff auf AWS Management Portal for vCenter zu gewähren. Das folgende Diagrammveranschaulicht diesen Prozess.

SAML-basierte Authentifizierung

1. Der Benutzer meldet sich bei vCenter an und klickt auf Home (Startseite) und AWS Management Portal.Der vSphere-Client sendet eine Authentifizierungsanfrage an den Identitätsanbieter.

2. Der Identitätsanbieter authentifiziert den Benutzer.3. Der Identitätsanbieter generiert eine SAML-Authentifizierungsantwort, die Zusicherungen enthält, über

die der Benutzer identifiziert wird und die Informationen zu dem Benutzer enthalten.

12


4. Der vSphere-Client sendet die SAML-Zusicherung an einen AWS Single Sign-On-Endpunkt (SSO). DerEndpunkt fordert die temporären Sicherheitsanmeldeinformationen von AWS Security Token Service(AWS STS) an und erstellt eine Anmelde-URL für die Konsole.

5. AWS sendet eine Anmelde-URL für den vSphere-Client mit einer Umleitung an die Konsole.6. management portal gewährt Benutzern Zugriff auf AWS-Ressourcen auf Basis der Berechtigungen, die

Ihnen von einem Administrator zugewiesen wurden.

Voraussetzungen

Bevor Sie mit der Einrichtung von management portal beginnen, müssen Sie einen Identitätsanbieter fürdie Verwendung mit dem AWS-SAML-Verbund einrichten und konfigurieren. Ihr Identitätsanbieter mussSAML 2.0 unterstützen, und Sie müssen den Parameter RelayState aktivieren.

Wenn Sie Windows Active Directory (AD) als Verzeichnisservice verwenden, können Sie Active DirectoryFederation Services (ADFS) als Identitätsanbieter verwenden. Weitere Informationen finden Sie unterEinrichten von ADFS für AWS Management Portal for vCenter (p. 19). Weitere Informationen zuanderen Identitätsanbietern finden Sie unter Integrieren von externen SAML-Lösungsanbietern in AWS imIAM-Benutzerhandbuch.

Aufgaben


1. Anlegen der erforderlichen Konten und Benutzer (p. 13)2. Einrichten der Vertrauensstellung (p. 15)3. Bereitstellen der virtuellen Connector-Appliance (p. 17)4. Konfigurieren des Connectors (p. 18)

Anlegen der erforderlichen Konten und BenutzerLegen Sie zunächst die Konten und Benutzer an, die für management portal erforderlich sind.

So legen Sie die erforderlichen Konten und Benutzer an

1. Wenn Ihre Organisation noch nicht über ein AWS-Konto verfügt, befolgen Sie die folgenden Schrittezum Erstellen eines Kontos:

a. Öffnen Sie https://portal.aws.amazon.com/billing/signup.b. Folgen Sie den Onlineanweisungen.

Der Anmeldeprozess beinhaltet auch einen Telefonanruf und die Eingabe einesVerifizierungscodes über die Telefontastatur.

Sie können die Einrichtung abschließen, indem Sie entweder die Anmeldeinformationen für Ihr AWS-Konto oder die für einen IAM-Benutzer verwenden. Weitere Informationen zu AWS Identity andAccess Management (IAM) finden Sie im IAM-Benutzerhandbuch. Wenn Sie einem IAM-Benutzerdie Einrichtung von management portal ermöglichen möchten, müssen Sie diesem Benutzer dieBerechtigungen für die in der folgenden Richtlinie angegebenen Aktionen erteilen:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [

13

https://docs.aws.amazon.com/IAM/latest/UserGuide/IdP-solution-providers.html

https://portal.aws.amazon.com/billing/signup

https://docs.aws.amazon.com/IAM/latest/UserGuide/


"iam:*", "amp:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:PutBucketAcl", "s3:GetBucketLocation", "s3:GetBucketAcl" ], "Resource": "arn:aws:s3:::export-to-s3-*" }, { "Effect": "Allow", "Action": [ "s3:ListAllMyBuckets" ], "Resource": [ "arn:aws:s3:::*" ] } ]}

2. Erstellen Sie das AWS-Servicekonto. Dabei handelt es sich um einen IAM-Benutzer, den derconnector für die Migration von VMs von vCenter zu AWS verwendet.

a. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.b. Klicken Sie im Navigationsbereich auf Users (Benutzer).c. Klicken Sie auf Add user (Benutzer hinzufügen).d. Geben Sie auf der Seite Add user (Benutzer hinzufügen) einen Benutzernamen ein, wählen Sie

die Option Programmatic access (Programmgesteuerter Zugriff) aus und klicken Sie dann aufNext: Permissions (Weiter: Berechtigungen).

e. Wählen Sie die Option Attach existing policies directly (Vorhandene Richtlinien direkt anfügen)aus.

f. Geben Sie im Suchfeld AWSConnector ein. Aktivieren Sie das Kontrollkästchen neben derAWSConnector-Richtlinie und klicken Sie anschließend auf Next: Review (Weiter: Überprüfen).

g. Klicken Sie auf Create user (Benutzer erstellen).h. Speichern Sie die Anmeldeinformationen für dieses Konto an einem sicheren Speicherort und

klicken Sie auf Close (Schließen).

Important

Sie benötigen diese Anmeldeinformationen, um die Einrichtung der connectorabzuschließen.

3. Erstellen Sie das vCenter-Servicekonto. Dabei handelt es sich um einen lokalen oderDomänenbenutzer, den der connector für die Kommunikation mit vCenter verwendet. Geben Sie eineindeutiges, zufälliges Passwort für das Konto ein. Zu diesem Zeitpunkt sollten Sie diesem Benutzerkeine vCenter-Berechtigungen manuell erteilten; wir erteilen diesem Benutzer die Berechtigung fürden vApp-Export während der connector-Einrichtung. Beachten Sie, dass Sie diese Berechtigungnach Abschluss der connector-Einrichtung auf bestimmte Teile Ihres vCenter-Bestandes einschränkenkönnen.

Important

Speichern Sie die Anmeldeinformationen für dieses Konto an einem sicheren Speicherort. Siebenötigen sie, um die Einrichtung der connector abzuschließen.

14



Sie können diesen Benutzer mithilfe Ihres Identitätsanbieters, vCenter oder Windows erstellen –je nachdem, was für Sie am einfachsten ist. Weitere Informationen zum Erstellen von lokalen bzw.Domain-Benutzern finden Sie in den folgenden Dokumentationen (oder Sie wenden sich an einenAdministrator Ihres vCenter bzw. Ihres Identitätsanbieters):

• Active Directory: Create a New User Account• Windows: Create a local user account• vCenter 5.5: Hinzufügen von vCenter Single Sign On-Benutzern (die Standarddomäne istvsphere.local)

• vCenter 5.1: Hinzufügen eines vCenter Single Sign On-Benutzers (die Standarddomäne istSystem-Domain)

Einrichten der VertrauensstellungBefolgen Sie die folgenden Schritte, um eine Vertrauensstellung zwischen management portal und IhremIdentitätsanbieter einzurichten.

So richten Sie eine Vertrauenstellung ein

1. Öffnen Sie die AWS Management Portal for vCenter -Einrichtungskonsole.Tip

Wenn Sie die Einrichtung bereits abgeschlossen haben, aber einen anderenAuthentifizierungsanbieter auswählen möchten, rufen Sie die Übersichtsseite auf, erweiternSie den Abschnitt Reset Trust Relationship (Vertrauensstellung zurücksetzen), klicken Sie aufI acknowledge that I want to reset my trust relationships configuration (Ich bestätige, dass ichdie Vertrauensstellungskonfiguration zurücksetzen möchte) und klicken Sie dann auf ResetTrust Relationship (Vertrauensstellung zurücksetzen).

2. Klicken Sie auf Get started now (Jetzt beginnen).3. Wählen Sie auf der Seite AWS Management Portal for vCenter Configuration (AWS Management

Portal for vCenter-Konfiguration) die Option SAML-based authentication provider (SAML-basierterAuthentifizierungsanbieter) aus.

4. Wählen Sie auf der Seite Configure the Trust Relationship (Vertrauensstellung konfigurieren) eine derfolgenden Optionen aus und führen Sie die entsprechenden Schritte aus:

• Option 1: Einrichten der Vertrauensstellung

1. Wählen Sie unter SAML provider (SAML-Anbieter) die Option CREATE NEW (Neu erstellen)aus, um einen SAML-Anbieter zu erstellen. Geben Sie einen Namen für den Anbieter ein,wählen Sie das SAML-Metadatendokument für Ihren Identitätsanbieter aus und klicken Sie dannauf Save (Speichern).

Wenn es sich bei Ihrem Identitätsanbieter um ADFS handelt, können Sie das SAML-Metadatendokument über die folgende URL herunterladen. my-adfs-Server steht dabei fürden Hostnamen Ihres ADFS-Servers:

https://my-adfs-server/FederationMetadata/2007-06/FederationMetadata.xml

2. Geben Sie unter Identity Provider URN (Identitätsanbieter-URN) die eindeutige Kennung fürIhren Identitätsanbieter ein. Dabei handelt es sich um den Wert des entityID-Attributs imSAML-Metadatendokument für Ihren Identitätsanbieter.

3. Wählen Sie unter SAML role (SAML-Rolle) die Option CREATE NEW (Neu erstellen) aus. DieseRolle hat keine AWS-Berechtigungen. management portal vertraut Benutzern mit dieser Rolleund verwendet dabei eine Zusicherung Ihres Identitätsanbieters.

15



https://pubs.vmware.com/vsphere-55/index.jsp?topic=%2Fcom.vmware.vsphere.security.doc%2FGUID-72BFF98C-C530-4C50-BF31-B5779D2A4BBB.html

http://pubs.vmware.com/vsphere-51/index.jsp?topic=%2Fcom.vmware.vsphere.security.doc%2FGUID-72BFF98C-C530-4C50-BF31-B5779D2A4BBB.html



4. Wählen Sie unter AMP service role (AMP-Service-Rolle) die Option CREATE NEW (Neuerstellen) aus. management portal verwendet diese Rolle für die Verwaltung Ihrer AWS-Ressourcen.

5. Wählen Sie unter Import service role (Service-Rolle importieren) die Option CREATE NEW (Neuerstellen) aus. Der VM Import/Export-Service verwendet diese Rolle für die Verwaltung IhrerKonvertierungsaufgaben, wenn Sie eine VM mit connector migrieren.

6. Klicken Sie auf I agree that AWS Management Portal for vCenter may create the above roles onmy behalf (Ich stimme der Erstellung obiger Rollen durch AWS Management Portal for vCenterin meinem Namen zu).

7. Klicken Sie auf Save and Continue (Speichern und fortfahren).• Option 2: Auswählen eines anderen Authentifizierungsanbieters

Wenn Sie zuvor AWS Connector (AWS-Connector) als Authentifizierungsanbieter ausgewählthaben, klicken Sie auf Reset Trust Relationship (Vertrauensstellung zurücksetzen). Nachdem Zurücksetzen können Sie den Einrichtungsvorgang neu starten, die Option SAML-basedauthentication provider (SAML-basierter Authentifizierungsanbieter) auswählen und anschließenddie Vertrauensstellung einrichten.

5. Geben Sie auf der Seite Configure Single Sign-On URL (URL für Single Sign-On konfigurieren) dieSSO-URL (Single Sign-On) ein und klicken Sie anschließend auf Save und Continue (Speichern undfortfahren).

Diese URL muss die folgenden Parameter enthalten: ID für die vertrauende Seite(urn:amazon:webservices) und SAML-RelayState (https://amp.aws.amazon.com/auth).

Wenn es sich bei Ihrem Identitätsanbieter um ADFS handelt, besteht die SSO-URL aus derIdentitätsanbieter-URL gefolgt von:

?RelayState=RPID%3Durn%253Aamazon%253Awebservices%26RelayState%3Dhttps%253A%252F%252Famp.aws.amazon.com%252Fauth

Angenommen, die Identitätsanbieter-URL lautet z. B.: https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx. Dann lautet die entsprechende SSO-URL:

https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx?RelayState=RPID%3Durn%253Aamazon%253Awebservices%26RelayState%3Dhttps%253A%252F%252Famp.aws.amazon.com%252Fauth

Sie können die SSO-URL manuell oder mit einem Generator-Tool erstellen. Wenn es sich bei IhremIdentitätsanbieter um ADFS handelt, können Sie z. B. den ADFS 2.0 RelayState Generator verwenden.

6. Fügen Sie auf der Seite Add Administrators (Administratoren hinzufügen) bis zu fünf Benutzer in IhrerOrganisation als Administratoren für das management portal hinzu und klicken Sie anschließendauf Save and Continue (Speichern und fortfahren). Beachten Sie, dass Sie sowohl lokale als auchDomain-Benutzer angeben können.

Important

Bei Domänen- und Benutzernamen ist die Groß-/Kleinschreibung relevant.

Verwenden Sie das Format Domäne\Benutzer, wobei Domäne\ bei lokalen Benutzern optional ist.Bei Domänenbenutzern darf die Zeichenfolge Domäne\Benutzer die maximale Länge von 32 Zeichennicht überschreiten. Bei lokalen Benutzern darf die Zeichenfolge für Benutzer die maximale Längevon 32 Zeichen nicht überschreiten. Die Namen für die Domäne und den Benutzer müssen jeweils miteinem Buchstaben beginnen und dürfen nur die folgenden Zeichen enthalten: a-z, A-Z, 0-9, Punkte (.),Unterstriche (_) und Bindestriche (-).

16

http://social.technet.microsoft.com/wiki/contents/articles/13172.ad-fs-2-0-relaystate-generator.aspx

AWS Management Portal for vCenter BenutzerhandbuchBereitstellen der virtuellen Connector-Appliance

Beachten Sie, dass Sie zu diesem Zeitpunkt mindestens einen Administrator hinzufügen müssen;Sie können weitere Benutzer aber auch zu einem späteren Zeitpunkt als Administratoren hinzufügen.Weitere Informationen finden Sie unter Verwalten von Administratoren (p. 28).

7. Geben Sie auf der Seite Create an AMP Connector Key (AMP-Connector-Schlüssel erstellen) einenNamen für den AMP-Connector-Schlüssel ein und klicken Sie anschließend auf Create (Erstellen).

8. Klicken Sie auf der Seite Review Your Configuration (Konfiguration überprüfen) auf DownloadConfiguration (Konfiguration herunterladen). Dadurch laden Sie eine Datei herunter, in der dieKonfiguration Ihrer Vertrauensstellung enthalten ist. Speichern Sie diese Datei an einem sicherenSpeicherort. Sie benötigen sie, um die Bereitstellung des Connectors abzuschließen. Klicken Sie aufFinish (Beenden).

Beachten Sie, dass Sie eine neue Rolle für die AMP-Vertrauensstellung oder einen neuen AMP-Connector-Schlüssel erstellen können, wenn Sie glauben, dass diese kompromittiert wurden.

9. Konfigurieren Sie AWS in Ihrem Identitätsanbieters als vertrauenswürdige vertrauende Seite. Wenn essich bei Ihrem Identitätsanbieter um ADFS handelt, finden Sie unter Konfigurieren von SSO für ADFSund AWS Management Portal for vCenter (p. 23) weitere Informationen.

10. Testen Sie Ihre SSO-URL in einem Web-Browser. Zu diesem Zeitpunkt müsste eine Seite mit demfolgender Text angezeigt werden:

AWS Management Portal for vCenterYour AWS Management Portal setup is incomplete

Wenn stattdessen die AWS Management Console angezeigt wird, wurde Ihr Identitätsanbieter nicht fürdie Unterstützung des RelayState-Parameters konfiguriert. Weitere Informationen finden Sie unterAktivieren von RelayState (p. 23).

Bereitstellen der virtuellen Connector-Appliancemanagement portal setzt voraus, dass Sie die connector bereitstellen und konfigurieren, dieAdministratoren und Berechtigungen verwaltet.

Die connector wird als virtuelle Appliance bereitgestellt. Um die connector bereitzustellen, befolgen Sie dasfolgende Verfahren.

So stellen Sie die virtuelle Connector-Appliance bereit

1. Melden Sie sich bei vCenter als VMware-Administrator an.2. Klicken Sie im Menü File (Datei) auf Deploy OVF Template (OVF-Vorlage bereitstellen). Geben Sie die

folgende URL in das Feld Deploy from a file or URL (Über eine Datei oder URL bereitstellen) ein undklicken Sie anschließend auf Next (Weiter):

https://s3.amazonaws.com/aws-connector/AWS-Connector.ova

(Optional) Um den Download zu bestätigen, verwenden Sie die folgenden MD5- and SHA256-Prüfsummen:

https://s3.amazonaws.com/aws-connector/AWS-Connector.ova.md5sumhttps://s3.amazonaws.com/aws-connector/AWS-Connector.ova.sha256sum

3. Schließen Sie den Assistenten ab. Wählen Sie auf der Seite Disk Format (Datenträgerformat)einen der Thick-Provisioning-Datenträgertypen aus. Wir empfehlen, Thick Provision Eager Zeroedauszuwählen, da diese Option die beste Leistung und Zuverlässigkeit bietet. Es dauert jedoch einigeStunden, den Datenträger zu leeren. Wählen Sie nicht Thin Provision (Schlanke Bereitstellung) aus:

17


diese Option beschleunigt zwar die Bereitstellung, reduziert die Datenträgerleistung jedoch deutlich.Weitere Informationen finden Sie unter Types of supported virtual disks in der VMware-Dokumentation.

4. Suchen Sie die neu bereitgestellte Vorlage in der Bestandsstruktur des vSphere-Clients, klicken Siemit der rechten Maustaste auf die Vorlage und wählen Sie Power > Power On (Energie > Energieein) aus. Klicken Sie mit der rechten Maustaste erneut auf die Vorlage und wählen Sie Open Console(Konsole öffnen) aus. Die Konsole zeigt die IP-Adresse der connector-Verwaltungskonsole an.Speichern Sie die IP-Adresse an einem sicheren Ort. Sie benötigen sie, um die connector-Einrichtungabzuschließen.

Note

Wenn Sie keinen DHCP-Server besitzen, müssen Sie eine statische IP-Adressekonfigurieren. Weitere Informationen finden Sie unter (Optional) Konfigurieren derNetzwerkeinstellungen (p. 4).

Konfigurieren des ConnectorsÖffnen Sie einen Webbrowser und führen Sie die folgenden Schritte aus, um die Einrichtungabzuschließen.

Important

Die Anweisungen in diesen Verfahren wurden für connector in der Version 2.1.0 und höhergeschrieben. Wenn die Versionsangabe in der rechten oberen Ecke des Bildschirms Version:2.0.0 lautet, laden Sie die PDF-Datei zum Konfigurieren des Connectors mit Anweisungen fürVersion 2.0.0 von connector herunter.

So konfigurieren Sie den connector mithilfe der connector-Managementkonsole

1. Rufen Sie in Ihrem Webbrowser die Seite https://IP_Adresse/ auf. IP_Adresse steht dabei für die IP-Adresse der connector-Managementkonsole, die Sie zuvor gespeichert haben.

Tip

Wenn Ihr Browser das Zertifikat für die Website nicht überprüft kann, wird eine Meldungangezeigt, dass die Website nicht vertrauenswürdig ist. Sie können das Zertifikat überprüfen(siehe Validieren eines nicht vertrauenswürdigen SSL-Zertifikats (p. 56)) oder durcheines Ihrer eigenen Zertifikate ersetzen (siehe Installieren eines vertrauenswürdigen SSL-Zertifikats (p. 55)).

2. Geben Sie im Dialogfeld Log in to Connector (Beim Connector anmelden) die IP-Adresse oder denHostnamen des vCenter-Servers sowie die Anmeldeinformationen für einen vCenter-Administratorein und klicken Sie anschließend auf Log in (Anmelden). Der vCenter-Hostname darf eine Länge von32 Zeichen nicht überschreiten. Geben Sie daher einen kürzeren Hostnamen oder die IP-Adresse an.

Erstellen Sie ein Passwort, wenn Sie dazu aufgefordert werden. Mit diesem Passwort melden Sie sichdas nächste Mal bei der connector-Managementkonsole an.

Note

Wenn Sie 20-mal ein falsches Passwort eingegeben haben, wird Ihr Zugang gesperrt und Siemüssen Ihr Passwort zurückzusetzen. Weitere Informationen finden Sie unter Zurücksetzendes Connector-Passworts (p. 50).

3. Wenn dies das erste Mal ist, dass Sie sich bei der connector angemeldet haben, wird automatischder Registrierungsassistent gestartet. Klicken Sie andernfalls auf Register the Connector (Connectorregistrieren).

4. Kopieren Sie auf der Seite Upload Key Pair (Schlüsselpaar hochladen) den Schlüssel, den Sie bei derEinrichtung der Vertrauensstellung erstellt haben. Klicken Sie dann auf Next (Weiter).

18

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1022242

https://awsdocs.s3.amazonaws.com/AMP/2.0/configuring-connector-2-0.pdf

AWS Management Portal for vCenter BenutzerhandbuchEinrichten von ADFS

5. Geben Sie auf der Seite vCenter Admin Credentials (vCenter-Administratoranmeldeinformationen) dieAnmeldeinformationen für ein vCenter-Konto ein, das über die Berechtigungen für die Registrierungeiner neuen vCenter-Erweiterung verfügt, und klicken Sie dann auf Next (Weiter). Beachten Sie, dasswir diese Anmeldeinformationen verwerfen, wenn Sie die Einrichtung der connector abgeschlossenhaben.


Beachten Sie, dass wir diese Anmeldeinformationen in verschlüsselter Form speichern, d. h. Siemüssen sie nicht speichern, wenn Sie die Einrichtung abgeschlossen haben.

7. Geben Sie auf der Seite AWS Credentials (AWS-Anmeldeinformationen) die Anmeldeinformationenfür das AWS-Service-Konto ein, das Sie in Anlegen der erforderlichen Konten und Benutzer (p. 13)erstellt haben und klicken Sie anschließend auf Next (Weiter). Beachten Sie, dass wir dieseAnmeldeinformationen in verschlüsselter Form speichern.

Note

Wenn eine Fehlermeldung angezeigt wird, dass die AWSConnector-Richtlinie für Ihren IAM-Benutzer abgelaufen ist, müssen Sie die Richtlinie aktualisieren. Weitere Informationen findenSie unter Aktualisieren der AWSConnector-Richtlinie (p. 53).

8. Klicken Sie auf der Seite Register Plugin (Plug-in registrieren) auf Register (Registrieren).9. Beenden Sie den vSphere-Client und öffnen Sie ihn erneut. Klicken Sie auf Home (Startseite) und

anschließend auf AWS Management Portal.

Wenn Sie aufgefordert werden, eine IAM-Rolle zu wählen, dann wählen Sie die Rolle aus, deren Namedie Zeichenfolge AWS-Management-Portal-for-vCenter enthält.

Important

Wenn anstelle von management portal die AWS-Konsole angezeigt wird, liegt daswahrscheinlich daran, dass der RelayState-Parameter nicht aktiviert wurde. WeitereInformationen finden Sie unter Aktivieren von RelayState (p. 23).

Sie haben die Einrichtung abgeschlossen und können management portal ab jetzt verwenden.Bevor Sie beginnen, sollten Sie allerdings die folgenden Schritte ausführen: Konfigurieren derZeitsynchronisation (p. 4) und Konfigurieren der Netzwerkeinstellungen (p. 4).

Einrichten von ADFS für AWS Management Portal forvCenterWenn Sie Windows Active Directory (AD) als Verzeichnisservice verwenden, können Sie Active DirectoryFederation Services (ADFS) als Identitätsanbieter verwenden und Single Sign-On (SSO) im Verbund fürIhre AWS-Umgebung aktivieren.

Sie aktivieren die Integration Ihrer Organisation mit AWS, indem Sie die folgenden Schritte ausführen.

Aufgaben

1. Erfüllen der Voraussetzungen (p. 20)2. Installieren von ADFS 2.0 (p. 20) oder Installieren von ADFS 3.0 (p. 22)3. Aktivieren von RelayState (p. 23)

19


VoraussetzungenErfüllen Sie die folgenden Voraussetzungen:

• Erstellen Sie in Active Directory ein Konto für die Domain. Für diese Anleitungen verwenden wir z. B. denNamen adfssvc. Bewahren Sie das Passwort an einem sicheren Ort auf. Sie verwenden dieses Kontozu einem späteren Zeitpunkt in dieser Anleitung als ADFS-Servicekonto.

• Überprüfen Sie, ob der Server, auf dem ADFS ausgeführt werden soll, der Domain hinzugefügt wurde.Sie können auch den Namen des Computers aktualisieren.

• (Optional) Wenn Sie noch nicht über ein Zertifikat verfügen, können Sie mit Internet Information Services(IIS) ein selbstsigniertes Zertifikat erstellen. Es ist sehr praktisch, in einer Entwicklungsumgebung einselbstsigniertes Zertifikat zu verwenden. Für eine produktive Umgebung ist allerdings ein Zertifikaterforderlich, das von einer vertrauenswürdigen Zertifizierungsstelle erstellt wurde.

So erstellen Sie ein selbstsigniertes Zertifikat

1. Öffnen Sie den Internetinformationsdienste-Manager (IIS).2. Wählen Sie im Bereich Connections (Verbindungen) einen Serverknoten aus.3. Wählen Sie auf der Seite Home (Startseite) für den Serverknoten die Option Server Certificates

(Server-Zertifikate) aus.4. Klicken Sie im Bereich Actions (Aktionen) auf Create Self-Signed Certificate (Selbstsigniertes

Zertifikat erstellen).5. Geben Sie im Dialogfeld Create Self-Signed Certificate (Selbstsigniertes Zertifikat erstellen) einen

Namen für das Zertifikat ein und klicken Sie dann auf OK.

Installieren von ADFS 2.0Installieren Sie ADFS auf Ihrem Server und konfigurieren Sie diesen als Verbundserver, sofern noch nichtgeschehen.

So laden Sie ADFS 2.0 herunter und installieren das Paket unter Windows Server 2008 R2

1. Laden Sie Active Directory Federation Services 2.0 im Microsoft Download Center herunter und startenSie die Installation.

2. Wählen Sie auf der Seite Server Role (Serverrolle) die Option Federation server (Verbundserver) aus.3. Befolgen Sie die Anweisungen und schließen Sie den Assistenten ab.

So konfigurieren Sie ADFS 2.0

1. Öffnen Sie den AD FS 2.0 Federation Server Configuration Wizard (Konfigurationsassistent für den ADFS 2.0-Verbundserver).

2. Wählen Sie auf der Seite Welcome (Willkommen) die Option Create a new Federation Service (NeuenVerbunddienst erstellen) aus und klicken Sie auf Next (Weiter).

3. Klicken Sie auf der Seite Select Stand-Alone or Farm Deployment (Eigenständige oder Farm-Bereitstellung auswählen) auf New federation server farm (Neue Verbundserver-Farm) und Next(Weiter).

4. Wählen Sie auf der Seite Specify the Federation Service Name (Verbunddienstnamen eingeben) in derListe SSL certificate (SSL-Zertifikat) ein Zertifikat aus und klicken Sie dann auf Next (Weiter).

5. Führen Sie auf der Seite Specify a Service Account (Service-Konto angeben) die folgenden Schritteaus:

a. Klicken Sie auf Browse (Durchsuchen).

20

http://www.microsoft.com/en-us/download/details.aspx?id=10909


b. Geben Sie im Dialogfeld Select User (Benutzer auswählen) das im Abschnitt zu denVoraussetzungen beschriebene Konto für die Domäne ein (z. B. adfssvc). Klicken Sie auf CheckNames (Namen überprüfen) und OK.

c. Geben Sie das Passwort für das Konto ein und klicken Sie auf Next (Weiter).6. Überprüfen Sie auf der Seite Ready to Apply Settings (Fertig zum Anwenden der Einstellungen) die

Einstellungen, nehmen Sie bei Bedarf weitere Änderungen vor und klicken Sie dann auf Next (Weiter).7. Überprüfen Sie auf der Seite Configuration Results (Konfigurationsergebnisse) die Ergebnisse.

Klicken Sie auf Close (Schließen), wenn alle Konfigurationsschritte erfolgreich abgeschlossen wurden.

Wenn neben Configure service settings (Service-Einstellungen konfigurieren) ein Warnsymbolangezeigt wird, klicken Sie auf Configuration finished with warnings (Konfiguration mit Warnungenabgeschlossen).

Wenn die Fehlermeldung mit „An error occurred during an attempt to set the SPN forthe specified service account” beginnt, können Sie das Problem beheben, indem Sie einEingabeaufforderungsfenster als Administrator öffnen und anschließend den folgenden Befehleingeben:

setspn -a host/localhost service-account

21


Beachten Sie, dass service-account durch das im Abschnitt zu den Voraussetzungenbeschriebene Servicekonto ersetzt werden muss (z. B. adfssvc). Wenn der Befehl erfolgreichausgeführt wurde, endet die Ausgabe auf „Updated object”.

Installieren von ADFS 3.0Installieren Sie ADFS auf Ihrem Server und konfigurieren Sie diesen als Verbundserver, sofern noch nichtgeschehen.

So installieren Sie ADFS 3.0 unter Windows Server 2012

1. Öffnen Sie Server Manager.2. Klicken Sie im Dashboard auf Add roles and features (Rollen und Funktionen hinzufügen).3. Wählen Sie auf der Seite Select installation type (Installationstyp auswählen) die Option Role-based

or feature-based installation (Rollen- oder funktionsbasierte Installation) aus und klicken Sie auf Next(Weiter).

4. Klicken Sie auf der Seite Select destination server (Zielserver auswählen) auf Select a server from theserver pool (Server aus dem Server-Pool auswählen), wählen Sie einen Server in der Liste aus undklicken Sie dann auf Next (Weiter).

5. Wählen Sie auf der Seite Select server roles (Serverrollen auswählen) die Option Active DirectoryFederation Services (Active Directory-Verbunddienste [AD FS]) aus und klicken Sie auf Next (Weiter).

6. Klicken Sie auf der Seite Confirm installation selections (Installationsauswahl bestätigen) auf Install(Installieren).

So konfigurieren Sie ADFS 3.0

1. Öffnen Sie den Server Manager und klicken Sie auf das Warnsymbol, um die Konfiguration nach derBereitstellung abzuschließen.

2. Wählen Sie auf der Seite Welcome (Willkommen) die Option Create the first federation server in afederation server farm (Erstellt den ersten Verbundserver in einer Verbundserverfarm) aus und klickenSie auf Next (Weiter).

3. Geben Sie auf der Seite Connect to Active Directory Domain Services (Mit Active Directory DomainServices verbinden) ein Administratorkonto für die Domäne an und klicken Sie auf Next (Weiter).

4. Wählen Sie auf der Seite Specify Service Properties (Diensteigenschaften angeben) das im Abschnittzu den Voraussetzungen beschriebene SSL-Zertifikat aus. Klicken Sie auf Import (Importieren). StellenSie die erforderlichen Informationen bereit und klicken Sie anschließend auf Next (Weiter).

5. Klicken Sie auf der Seite Specify Service Account (Dienstkonto angeben) auf Use an existing domainuser account or group Managed Service Account (Vorhandenes Domänenbenutzerkonto odergruppenverwaltetes Dienstkonto verwenden). Geben Sie das im Abschnitt zu den Voraussetzungenbeschriebene Konto für die Domain an (z. B. adfssvc).

6. Klicken Sie auf der Seite Specify Configuration Database (Konfigurationsdatenbank angeben) aufCreate a database on this server using Windows Internal Database (Datenbank auf diesem Server mitinterner Windows-Datenbank erstellen) und klicken Sie dann auf Next (Weiter).

7. Überprüfen Sie die Informationen auf der Seite Review Options (Optionen prüfen) und klicken Sieanschließend auf Next (Weiter).

8. Überwachen Sie auf der Seite Pre-requisite Checks (Voraussetzungsprüfungen) den Status derPrüfungen. Beheben Sie alle gemeldeten Probleme. Klicken Sie auf Configure (Konfigurieren), wennalle Prüfungen erfolgreich abgeschlossen wurden.

Wenn eine Fehlermeldung angezeigt wird, die mit „An error occurred during an attempt to set theSPN for the specified service account” beginnt, können Sie das Problem beheben, indem Sie ein

22

AWS Management Portal for vCenter BenutzerhandbuchKonfigurieren von SSO

Eingabeaufforderungsfenster als Administrator öffnen und anschließend den folgenden Befehleingeben:

setspn -a host/localhost service-account

Beachten Sie, dass service-account durch das im Abschnitt zu den Voraussetzungenbeschriebene Servicekonto ersetzt werden muss (z. B. adfssvc). Wenn der Befehl erfolgreichausgeführt wurde, endet die Ausgabe auf „Updated object”.

Aktivieren von RelayStateBevor Sie fortfahren: Überprüfen Sie, ob Ihre ADFS-Version den RelayState-Parameter unterstützt undaktivieren Sie diesen. Dieser Parameter wurde mit dem Update-Rollup 2 für ADFS 2.0 eingeführt. DerParameter wird in ADFS 3.0 unterstützt, ist jedoch nicht standardmäßig aktiviert.

So aktivieren Sie RelayState

1. [ADFS 2.0] Rufen Sie in der Systemsteuerung die installierten Updates auf und suchen Sie nachdem Update KB2681584 (Update-Rollup 2) oder KB2790338 (Update-Rollup 3). Laden Sie, fallserforderlich, entweder das Update Rollup 2 oder das Update Rollup 3 herunter und installieren Sie es.

2. Öffnen Sie die folgende Datei in einem Texteditor (z. B. Notepad):

• [ADFS 2.0] C:\inetpub\adfs\ls\web.config• [ADFS 3.0] %systemroot%\ADFS\Microsoft.IdentityServer.Servicehost.exe.config

3. Fügen Sie im Abschnitt microsoft.identityServer.web den CodeuseRelyStateForIdpInitiatedSignOn hinzu, wie im folgenden Beispiel gezeigt:

<microsoft.identityServer.web> ... <useRelayStateForIdpInitiatedSignOn enabled="true" /></microsoft.identityServer.web>

4. [ADFS 2.0] Starten Sie IIS mit dem folgenden Befehl neu:

C:\> IISReset

Attempting stop...Internet services successfully stoppedAttempting start...Internet services successfully restarted

5. Starten Sie ADFS wie folgt neu:

a. Zeigen Sie im Menü Start auf Verwaltungstools und klicken Sie anschließend auf Dienste.b. Klicken Sie mit der rechten Maustaste auf den ADFS-Dienst und dann auf Neu starten.

Konfigurieren von SSO für ADFS und AWSManagement Portal for vCenterSie können Single Sign-On (SSO) zwischen ADFS und management portal konfigurieren. Wenn einBenutzer über management portal Zugriff auf AWS anfordert, führt ADFS die Authentifizierung desBenutzers durch.

23

http://support.microsoft.com/kb/2681584

http://support.microsoft.com/kb/2790338


Note

Wenn Sie bereits eine Vertrauensstellung mit AWS eingerichtet haben, bearbeiten Sie denNameId-Anspruch gemäß der Konfiguration in Schritt 11 (der eingehende Anspruchstyp istWindows account name, der ausgehende Anspruchstyp ist Name Id und das ID-Format fürden ausgehenden Namen ist Persistent Identifier). Fahren Sie danach mit Schritt 15 fort.

So konfigurieren Sie eine Vertrauensstelle zwischen AWS und ADFS

1. [ADFS 2.0] Öffnen Sie im Menü Start das Programm AD FS 2.0 Management (AD FS 2.0-Verwaltung).

[ADFS 3.0] Klicken Sie im Server Manager auf Tools (Extras) und wählen Sie die Option AD FSManagement (AD FS-Verwaltung) aus.

2. [ADFS 2.0] Klicken Sie im Bereich Actions (Aktionsbereich) auf Add Relying Party Trust(Vertrauensstellung der vertrauenden Seite hinzufügen).

[ADFS 3.0] Klicken Sie unter AD FS\Trust Relationships (AD FS\Vertrauensstellungen) mit der rechtenMaustaste auf Relying Party Trusts (Vertrauensstellungen der vertrauenden Seite) und Add RelyingParty Trust (Vertrauensstellung der vertrauenden Seite hinzufügen).

3. Klicken Sie auf der Seite Welcome (Willkommen) auf Start.4. Wählen Sie auf der Seite Select Data Source (Datenquelle auswählen) die Option Import data about

the relying party published online or on a local network (Online oder im lokalen Netzwerk veröffentlichteDaten über die vertrauende Seite importieren). Geben Sie „https://signin.aws.amazon.com/static/saml-metadata.xml” als Adresse für die Verbundmetadaten ein und klicken Sie dann auf Next (Weiter).

5. Geben Sie auf der Seite Specify Display Name (Anzeigename angeben) „AWS Management Portal forvCenter” als Anzeigenamen ein und klicken Sie dann auf Next (Weiter).

24


6. Wählen Sie auf der Seite Choose Ausgabe Authorization Rules (Ausstellungsautorisierungsregelnwählen) die Option Permit all users to access this relying party (Zugriff auf diese vertrauende Seite füralle Benutzer zulassen) und klicken Sie auf Next (Weiter).

7. Überprüfen Sie auf der Seite Ready to Add Trust (Fertig zum Hinzufügen der Vertrauensstellung) IhreEinstellungen und klicken Sie anschließend auf Next (Weiter).

8. Wählen Sie auf der Seite Finish (Beenden) die Option Open the Edit Claim Rules dialog for this relyingparty trust when the wizard closes (Nach Abschluss des Assistenten das Dialogfeld "Anspruchsregelnbearbeiten" für diese Vertrauensstellung der vertrauenden Seite öffnen) und klicken Sie anschließendauf Close (Schließen).

9. Klicken Sie im Dialogfeld Edit Claim Rules for AWS Management Portal for vCenter (Anspruchsregelnfür AWS Management Portal for vCenter bearbeiten) auf der Registerkarte Issuance Transform Rules(Ausstellungstransformationsregeln) auf Add Rule (Regel hinzufügen).

10. Wählen Sie auf der Seite Select Rule Template (Regelvorlage auswählen) in der Listedie Anspruchsregelvorlage Send Claims Using a Custom Role (Ansprüche mithilfe einerbenutzerdefinierten Regel senden) aus und klicken Sie dann auf Next (Weiter).

11. Sie können die Anspruchsregel konfigurieren, indem Sie unter Claim rule name (Anspruchsregelname)den Code NameId sowie unter Custom claim rule (Benutzerdefinierte Anspruchsregel) die folgendeRegel eingeben und anschließend auf Finish (Beenden) klicken.

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname"] => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:2.0:nameid-format:persistent");

Verwenden Sie den Windows-Benutzernamen (Domäne\Benutzer) als NameId-Anspruch. Stellen Siesicher, dass diese Namen die maximale Länge von 32 Zeichen nicht überschreiten und persistente IDsdarstellen.

25


12. Klicken Sie auf Add Rule.13. Wählen Sie die Option Send Claims Using a Custom Role (Ansprüche mithilfe einer

benutzerdefinierten Regel senden) und klicken Sie auf Next (Weiter).14. Sie können die Anspruchsregel konfigurieren, indem Sie unter Claim rule name (Anspruchsregelname)

den Code RoleSessionName sowie unter Custom claim rule (Benutzerdefinierte Anspruchsregel) diefolgende Regel eingeben und anschließend auf Finish (Beenden) klicken.

c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"] => issue(store = "Active Directory", types = ("https://aws.amazon.com/SAML/Attributes/RoleSessionName"), query = ";mail;{0}", param = c.Value);

Verwenden Sie den Anzeigenamen für den Benutzer bei der SAML-Zusicherung. Diese Namenmüssen weniger als 32 Zeichen lang sein und dürfen nur die folgenden Zeichen enthalten: [a-zA-Z_0-9+=,.@-].

Der Benutzer muss über eine E-Mail-Adresse verfügen, die in Active Directory eingerichtet wurde.15. Klicken Sie auf Add Rule.16. Wählen Sie die Option Send Claims Using a Custom Role (Ansprüche mithilfe einer

benutzerdefinierten Regel senden) und klicken Sie auf Next (Weiter).17. Sie können die Anspruchsregel konfigurieren, indem Sie unter Claim rule name (Anspruchsregelname)

den Code AmpRole sowie unter Custom claim rule (Benutzerdefinierte Anspruchsregel) die folgendeRegel eingeben und anschließend auf Finish (Beenden) klicken.

=> issue(Type="https://aws.amazon.com/SAML/Attributes/Role", Value = "arn:aws:iam::account_id:saml-provider/provider_name,arn:aws:iam::account_id:role/saml_role");

Für diese Regel sind die ARNs des SAML-Anbieters(arn:aws:iam::konto_id:saml_anbieter/anbietername) und die SAML-Rolle

26


(arn:aws:iam::konto_id:rolle/saml_rolle) erforderlich. Sie können diese ARNs mithilfe der AWSManagement Portal for vCenter-Einrichtungskonsole nachschlagen.

18. Starten und Beenden Sie den ADFS-Service und testen Sie diese Konfiguration. AWS vertraut denBenutzern, die durch den Identitätsanbieter für die Verwendung der SAML-Rolle autorisiert wurden.Stellen Sie daher sicher, dass Ihr Identitätsanbieter einen Benutzer in Ihrem Netzwerk authentifiziertund autorisiert, bevor Sie eine Zusicherung zuweisen.

27



AWS Management Portal for vCenter BenutzerhandbuchVerwalten von Administratoren

Verwalten von AWS-Ressourcenmithilfe von AWS Management Portalfor vCenter

Administratoren für AWS Management Portal for vCenter sind für die Verwaltung von AWS-Netzwerkenzuständig, sogenannte Virtual Private Clouds (VPCs), sowie für die Erstellung von Umgebungen und dasErteilen von Berechtigungen für den Zugriff auf diese Umgebungen durch die Benutzer.

Inhalt• Verwalten von Administratoren (p. 28)• Verwalten von VPCs und Subnetzen (p. 29)• Verwalten von Sicherheitsgruppen (p. 30)• Verwalten von Umgebungen (p. 31)• Verwalten von Benutzerberechtigungen (p. 33)

Verwalten von AdministratorenWir empfehlen, dass Sie die mehrere Benutzer für die Verwaltung von management portal auswählen.Um einen Administrator für management portal hinzuzufügen, müssen Sie selbst Administrator sowohl fürvCenter als auch für das management portal sein.

So erstellen Sie einen Administrator

1. Meldet Sie sich als Administrator bei vCenter an, klicken Sie auf Home (Startseite) und anschließendauf AWS Management Portal.

2. Wählen Sie im oberen Ausschnitt die Option Admin Users (Admin-Benutzer) aus.3. Klicken Sie auf Add (Hinzufügen).

Tip

Wenn Sie zur Authentifizierung von Benutzern den Connector verwenden und sich dieser imWartungsmodus befindet, wird die Fehlermeldung „Unable to contact User Provider. Pleasecontact your Administrator.“ angezeigt Wir empfehlen, in diesem Fall einige Minuten zu wartenund es dann erneut zu versuchen.

28

AWS Management Portal for vCenter BenutzerhandbuchVerwalten von VPCs und Subnetzen

4. Wählen Sie im Dialogfeld Select Users (Benutzer auswählen) die Domäne und einen oder mehrereBenutzer aus und klicken Sie auf OK.

Beachten Sie, dass Domänen und Benutzer deaktiviert sind, wenn ihre Namen nicht bestimmteAnforderungen erfüllen. Bei Domänenbenutzern darf die Zeichenfolge Domäne\Benutzer die maximaleLänge von 32 Zeichen nicht überschreiten. Bei lokalen Benutzern darf der Benutzername die maximaleLänge von 32 Zeichen nicht überschreiten. Die Werte für die Domäne und den Benutzer müssenjeweils mit einem Buchstaben beginnen und dürfen nur die folgenden Zeichen enthalten: a-z, A-Z, 0-9,Punkte (.), Unterstriche (_) und Bindestriche (-).

5. Wenn Sie alle Administratoren hinzugefügt haben, klicken Sie auf Save (Speichern).

Um einen Administrator für management portal zu entfernen, müssen Sie Administrator für managementportal sein.

So entfernen Sie einen Administrator


2. Klicken Sie auf Admin Users (Admin-Benutzer).3. Wähle den Benutzer aus der Liste aus.4. Klicken Sie auf Remove (Entfernen) und dann auf Save (Speichern).

Verwalten von VPCs und SubnetzenSie können standardmäßig bis zu fünf VPCs pro Region erstellen. Sie können ein oder mehrere Subnetzepro VPC erstellen und eine oder mehrere Sicherheitsgruppen pro VPC. Sie müssen Routing-Tabellen,Netzwerk-ACLs und andere erweiterte VPC-Funktionen über die AWS Management Console oder die AWSCLI konfigurieren. Weitere Informationen zur VPCs finden Sie im Amazon VPC Benutzerhandbuch.

Beachten Sie, dass jeder Region möglicherweise auch eine Standard-VPC zugewiesen wurde, je nachdem,wann Sie Ihr AWS-Konto erstellt haben.

So erstellen Sie eine VPC und Subnetze


2. Wählen Sie im oberen Ausschnitt die Option VPC aus.3. Wählen Sie eine Region für die VPC aus. Klicken Sie auf der Registerkarte Getting Started (Erste

Schritte) auf Create a virtual private cloud (Virtuelle private Cloud erstellen).4. Geben Sie unter VPC Name (VPC-Name) einen Namen für die VPC ein.5. Wählen Sie die Konfiguration aus, die Ihren Anforderungen am besten entspricht: VPC with a single

public subnet (VPC mit nur einem öffentlichen Subnetz) oder VPC with public and private subnets(VPC mit öffentlichen und privaten Subnetzen). Klicken Sie auf Next (Weiter).

Beachten Sie, dass Sie nach dem Erstellen der VPC weitere Subnetze hinzufügen können. Außerdemunterstützt die Amazon VPC-Konsole zusätzliche Konfigurationen für Ihre VPC.

6. Geben Sie einen IP-Adressbereich für die VPC ein, in CIDR-Notation (z. B. 10.0.0.0/16).7. Geben Sie für jedes Subnetz einen IP-Adressbereich in CIDR-Notation (z. B. 10.0.0.0/24) ein und

wählen Sie eine Availability Zone aus. Hinweis: Wenn Sie mehrere Subnetze in einer VPC erstellen,dürfen sich die IP-Adressbereiche für die Subnetze nicht überschneiden. Klicken Sie auf Next (Weiter),wenn Sie fertig sind.

8. (Optional) Geben Sie eine oder mehrere Tags für Ihre VPC ein. Klicken Sie für jedes Tag auf Add(Hinzufügen). Geben Sie den Tag-Schlüssel und den zugehörigen Tag-Wert ein.

29

https://docs.aws.amazon.com/vpc/latest/userguide/

AWS Management Portal for vCenter BenutzerhandbuchVerwalten von Sicherheitsgruppen

9. Wenn Sie alle Tags hinzugefügt haben, klicken Sie auf Finish (Beenden).10. (Optional) Wenn Sie Ihrer VPC ein weiteres Subnetz hinzufügen möchten, wählen Sie sie aus und

klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Create a subnet (Subnetzerstellen). Geben Sie einen Namen ein, wählen Sie eine Availability Zone aus und geben Sie fürjedes Subnetz einen IP-Adressbereich in CIDR-Notation ein. Standardmäßig ist das Subnetz ist einöffentliches Subnetz. Um ein privates Subnetz zu erstellen, klicken Sie auf Make this a private subnet(Zum privaten Subnetz machen). Sie können auch ein oder mehrere Tags für das Subnetz angeben.Klicken Sie auf Finish (Beenden), wenn Sie fertig sind.

Sie können eine Nichtstandard-VPC löschen, wenn in den zugehörigen Subnetzen keine Instances mehrausgeführt werden. Sie können mit management portal keine Standard-VPCs löschen.

So löschen Sie eine VPC


2. Klicken Sie auf VPC.3. Erweitern Sie die Region für die VPC und wählen Sie dann die VPC aus.4. Klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Delete the virtual private cloud

(Virtual Private Cloud löschen).5. Klicken Sie im Dialogfeld Delete VPC (VPC löschen) auf Yes (Ja).

Verwalten von SicherheitsgruppenEine Sicherheitsgruppe agiert als Firewall, die den Datenverkehr für eine oder mehrere EC2-Instancessteuert. Sie erstellen Sicherheitsgruppen und fügen ihnen Regeln hinzu, die es Benutzern erlauben, eineVerbindung zu den EC2-Instances in der VPC herzustellen, die der Sicherheitsgruppe zugewiesen ist.Benutzer wählen eine oder mehrere Sicherheitsgruppen aus, wenn sie eine Vorlage erstellen.

So erstellen Sie eine Sicherheitsgruppe


2. Wählen Sie im oberen Ausschnitt die Option VPC aus.3. Erweitern Sie die Region für die VPC und wählen Sie dann die VPC aus.4. Klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Create a security group

(Sicherheitsgruppe erstellen).5. Geben Sie einen Namen und eine Beschreibung für die Sicherheitsgruppe ein und klicken Sie auf Next

(Weiter).6. Zum Herstellen einer Verbindung mit einer EC2-Linux-Instance müssen Sie eine Regel hinzufügen, die

eingehenden Datenverkehr über SSH zulässt. (Hinweis: Sie können diesen Schritt überspringen unddie Regel später hinzufügen, indem Sie die Sicherheitsgruppe auswählen und auf der RegisterkarteGetting Started (Erste Schritte) auf die Option Add a rule (Regel hinzufügen) klicken.)

a. Klicken Sie auf Add (Hinzufügen).b. Wählen Sie in der Liste Type (Typ) die Option SSH aus.c. Wählen Sie in der Liste Source (Quelle) die Option Custom IP (Benutzerdefinierte IP) aus.d. Geben Sie unter IP den IP-Adressbereich in CIDR-Notation ein. Wenn beispielsweise Ihre IP-

Adresse 203.0.113.25 ist, geben Sie 203.0.113.25/32 ein, um genau diese einzelne IP-Adresse in CIDR-Notation aufzuführen. Wenn Ihr Unternehmen Adressen aus einem Bereichzuweist, geben Sie den gesamten Bereich an, z. B. 203.0.113.0/24.

30

AWS Management Portal for vCenter BenutzerhandbuchVerwalten von Umgebungen

e. Überprüfen Sie, ob Inbound (Eingehend) ausgewählt ist.f. Klicken Sie auf Add (Hinzufügen).

7. Zum Herstellen einer Verbindung mit einer EC2-Windows-Instance müssen Sie eine Regelhinzufügen, die eingehenden Datenverkehr über RDP zulässt. (Hinweis: Sie können diesen Schrittüberspringen und die Regel später hinzufügen, indem Sie die Sicherheitsgruppe auswählen und aufder Registerkarte Getting Started (Erste Schritte) auf die Option Add a rule (Regel hinzufügen) klicken.)

a. Klicken Sie auf Add (Hinzufügen).b. Wählen Sie in der Liste Type (Typ) die Option RDP aus.c. Wählen Sie in der Liste Source (Quelle) die Option Custom IP (Benutzerdefinierte IP) aus.d. Geben Sie unter IP den IP-Adressbereich in CIDR-Notation ein. Wenn beispielsweise Ihre IP-

Adresse 203.0.113.25 ist, geben Sie 203.0.113.25/32 ein, um genau diese einzelne IP-Adresse in CIDR-Notation aufzuführen. Wenn Ihr Unternehmen Adressen aus einem Bereichzuweist, geben Sie den gesamten Bereich an, z. B. 203.0.113.0/24.

e. Überprüfen Sie, ob Inbound (Eingehend) ausgewählt ist.f. Klicken Sie auf Add (Hinzufügen).

8. Wenn Sie alle Regeln hinzugefügt haben, klicken Sie auf Next (Weiter).9. (Optional) Geben Sie eine oder mehrere Tags für Ihre Sicherheitsgruppe ein. Klicken Sie für jedes Tag

auf Add (Hinzufügen). Geben Sie den Tag-Schlüssel und den zugehörigen Tag-Wert ein. Wenn Siealle Tags eingegeben haben, klicken Sie auf Next (Weiter).

10. Überprüfen Sie die Eigenschaften Ihrer Sicherheitsgruppe. Wählen Sie Back (Zurück) aus, um weitereÄnderungen vorzunehmen. Sobald Sie bereit sind, die Sicherheitsgruppe zu erstellen, klicken Sie aufFinish (Beenden).

Sie können eine Sicherheitsgruppe nur dann löschen, wenn sie mit keiner Instance mehr verbunden ist.

Löschen Sie eine Sicherheitsgruppe wie folgt:


2. Klicken Sie auf VPC.3. Erweitern Sie die Region und die VPC für die Sicherheitsgruppe und wählen Sie dann die

Sicherheitsgruppe aus.4. Klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Delete the security group

(Sicherheitsgruppe löschen).5. Klicken Sie im Dialogfeld Delete Security Group (Sicherheitsgruppe löschen) auf Yes (Ja).

Zum Ändern der Sicherheitsgruppen für eine Instance, die aktuell ausgeführt wird, müssen Sie die AmazonEC2-Konsole oder die AWS CLI verwenden. Weitere Informationen finden Sie unter Sicherheitsgruppen fürIhre VPC im Amazon VPC Benutzerhandbuch.

Verwalten von UmgebungenAdministratoren verwenden Umgebungen, um AWS-Ressourcen zu organisieren und zu verwalten. Sieerteilen Benutzer Berechtigungen auf der Ebene von Umgebungen.

Als Administrator können Sie Umgebungen erstellen und haben Zugriff auf Standardumgebungen. DieStandardumgebung für eine Region ermöglicht Ihnen – mithilfe von Tools wie der AWS ManagementConsole, der AWS CLI oder einem AWS-SDK anstelle von management portal – EC2-Instances, die für IhrAWS-Konto in dieser Region erstellt wurden, zu verwalten.

31

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html

AWS Management Portal for vCenter BenutzerhandbuchVerwalten von Umgebungen

So erstellen Sie eine Umgebung


2. Klicken Sie im oberen Ausschnitt auf Dashboard.3. Wählen Sie eine Region für die Umgebung aus. Klicken Sie auf der Seite Getting Started (Erste

Schritte) auf Create an environment (Umgebung erstellen).4. Geben Sie in das Feld Name einen Namen für die Umgebung ein.5. Wählen Sie unter VPC eine VPC aus. Beachten Sie, dass in dieser Liste alle VPCs für die Region

enthalten sind, einschließlich der mithilfe der Amazon VPC-Konsole erstellten VPCs und der Standard-VPC (sofern vorhanden). Wenn diese Liste leer ist, müssen Sie eine VPC in dieser Region erstellen.

6. Wählen Sie unter Subnets (Subnetze) ein oder mehrere Subnetze aus. Beachten Sie, dass in dieserListe alle Subnetze für die gewählte VPC einschließlich aller Standard-Subnetze enthalten sind. Wenndiese Liste leer ist, müssen Sie der VPC ein Subnetz hinzufügen oder eine andere VPC auswählen.

7. Klicken Sie auf Finish (Beenden).

Nachdem Sie eine Umgebung erstellt haben, erstellen Sie eine oder mehrere Vorlagen zum Starten vonEC2-Instances in Ihrer Umgebung. Weitere Informationen finden Sie unter Verwalten von EC2-Instancesmithilfe von AWS Management Portal for vCenter (p. 35). Wenn Sie eine Instance starten, fügen wirein Tag mit dem Namen aws-management-portal/environment-id und der ID der Umgebungein. Sie können mit diesem Tag unter Verwendung der detaillierten Fakturierungsberichte bzw. der EC2-Nutzungsberichte Ressourcen nachverfolgen. Benutzer können dieses Tag mithilfe von management portalnicht ändern. Benutzer können dieses Tag jedoch mithilfe der Amazon EC2-Konsole, die CLI oder des APIändern oder löschen. Wenn dieses Tag geändert oder gelöscht wird, kann sich dies auf die Berechtigungender Benutzer für den Zugriff auf die Instance auswirken. Daher wird empfohlen, dass Sie die Benutzer, dieTags erstellen, ändern oder löschen können, gezielt aussuchen.

Sie können eine Umgebung nur löschen, nachdem Sie deren Vorlagen gelöscht haben.

So löschen Sie eine Umgebung


2. Klicken Sie auf Dashboard.3. Erweitern Sie die Region für die Umgebung und wählen Sie dann die Umgebung aus.4. Klicken Sie mit der rechten Maustaste auf die Umgebung und wählen Sie Delete (Löschen) aus.5. Klicken Sie im Dialogfeld Delete Environment (Umgebung löschen) auf Yes (Ja).

Administratoren können EC2-Instances in der Standardumgebung für eine Region mithilfe vonmanagement portal beschreiben, starten, anhalten, neu starten und beenden (terminieren).

So verwalten Sie Instances in der Standardumgebung


2. Klicken Sie auf Dashboard und erweitern Sie die Region.3. Gehen Sie wie folgt vor, um Ihre Instances aufzulisten:

• Erweitern Sie Default Environment (Standardumgebung).• Klicken Sie auf Default Environment (Standardumgebung) und auf die Registerkarte Instances.

4. Zum Starten, Anhalten, Neustarten oder Beenden einer Instance erweitern Sie Default Environment(Standardumgebung) und wählen Sie die Instance aus. Klicken Sie auf der Registerkarte GettingStarted (Erste Schritte) auf die gewünschte Aufgabe unter Basic Tasks (Grundlegende Aufgaben).

32

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/DetailedBillingReports.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/usage-reports.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/usage-reports.html

AWS Management Portal for vCenter BenutzerhandbuchVerwalten von Benutzerberechtigungen

Verwalten von BenutzerberechtigungenAdministratoren können die Berechtigungen der Benutzer für den Zugriff auf eine Umgebung verwalten.Zum Erteilen von Berechtigungen müssen Sie Administrator für vCenter und für management portal sein.Zum Bearbeiten oder Löschen von Berechtigungen müssen Sie Administrator für management portal sein.

Die spezifischen Berechtigungen, die einem Benutzer erteilt werden, hängen von der Rolle ab, die Sie demBenutzer zuweisen. management portal definiert die folgenden Rollen:

No-Access

No permissions.Read-Only

Berechtigungen zum Anzeigen der Umgebung, einschließlich der Vorlagen und Instances.General

Umfasst Berechtigungen der Rolle Read-Only, sowie Berechtigungen zum Ausführen, Umbenennen,Anhalten, Starten, Beenden und Importieren von Instances.

Owner

Umfasst Berechtigungen der Rolle General, sowie Berechtigungen zum Erstellen, Löschen undUmbenennen von Vorlagen, zum Importieren und Löschen von Schlüsselpaaren sowie zum Erstellenvon Images.

So erteilen Sie einem Benutzer Berechtigungen


2. Klicken Sie im oberen Ausschnitt auf Dashboard.3. Erweitern Sie die Region für die Umgebung, klicken Sie mit der rechten Maustaste auf die Umgebung

und klicken Sie auf Add Permission (Berechtigung hinzufügen).4. Klicken Sie auf Add (Hinzufügen). Wählen Sie im Dialogfeld Select Users (Benutzer auswählen) die

Domäne und einen oder mehrere Benutzer aus und klicken Sie auf OK.

Beachten Sie, dass Domänen und Benutzer deaktiviert sind, wenn ihre Namen nicht bestimmteAnforderungen erfüllen. Bei Domänenbenutzern darf die Zeichenfolge Domäne\Benutzer die maximaleLänge von 32 Zeichen nicht überschreiten. Bei lokalen Benutzern darf der Benutzername die maximaleLänge von 32 Zeichen nicht überschreiten. Die Werte für die Domäne und den Benutzer müssenjeweils mit einem Buchstaben beginnen und dürfen nur die folgenden Zeichen enthalten: a-z, A-Z, 0-9,Punkte (.), Unterstriche (_) und Bindestriche (-). Die Groß- und Kleinschreibung des Domänennamensund des Benutzernamens müssen mit der des vCenter-Benutzers übereinstimmen.

5. Wählen Sie unter Users (Benutzer) einen oder mehrere Benutzer aus und wählen Sie dann unterAssigned Role (Zugewiesene Rolle) eine Rolle aus.

6. Klicken Sie auf Speichern. Die Änderungen werden auf der Registerkarte Permissions(Berechtigungen) angezeigt.

So ändern Sie die einem Benutzer erteilten Berechtigungen


2. Klicken Sie auf Dashboard.3. Erweitern Sie die Region für die Umgebung und wählen Sie dann die Umgebung aus.

33

AWS Management Portal for vCenter BenutzerhandbuchVerwalten von Benutzerberechtigungen

4. Klicken Sie auf der Registerkarte Permissions (Berechtigungen) mit der rechten Maustaste auf denBenutzer und wählen Sie Properties (Eigenschaften) aus.

5. Wählen Sie eine andere Rolle aus und klicken Sie auf Save (Speichern). Die aktualisiertenBerechtigungen werden auf der Registerkarte Permissions (Berechtigungen) angezeigt.

So ziehen Sie die einem Benutzer erteilten Berechtigungen zurück


2. Klicken Sie auf Dashboard.3. Erweitern Sie die Region für die Umgebung und wählen Sie dann die Umgebung aus.4. Klicken Sie auf der Registerkarte Permissions (Berechtigungen) mit der rechten Maustaste auf den

Benutzer und wählen Sie Delete (Löschen) aus.5. Wenn Sie zur Bestätigung aufgefordert werden, klicken Sie auf OK. Die aktualisierten Berechtigungen

werden auf der Registerkarte Permissions (Berechtigungen) angezeigt.

34

AWS Management Portal for vCenter BenutzerhandbuchAnzeigen von Regionen

Verwalten von EC2-Instances mithilfevon AWS Management Portal forvCenter

Sie können eine EC2-Instance mithilfe von management portal starten. Zuerst erstellen Sie eine Vorlageaus einer Umgebung, die von einem Administrator eingerichtet wurde, und anschließenden stellen Sie dieInstance anhand der Vorlage bereit. Sie können die Instance anzeigen, anhalten, starten und terminieren.Beachten Sie, dass Sie diese Aufgaben nur dann ausführen können, wenn Ihnen von Ihrem Administratordie erforderlichen Berechtigungen erteilt wurden.

Note


Inhalt• Anzeigen von Regionen (p. 35)• Anzeigen einer Umgebung (p. 36)• Verwalten von Schlüsselpaaren (p. 36)• Verwalten von Vorlagen (p. 37)• Bereitstellen einer EC2-Instance (p. 38)• Anzeigen einer EC2 Instance (p. 39)• Herstellen einer Verbindung mit einer EC2 Instance (p. 39)• Anhalten und Starten einer EC2-Instance (p. 40)• Neustarten einer EC2-Instance (p. 40)• Erstellen eines Images anhand einer EC2-Instance (p. 41)• Beenden einer EC2-Instance (p. 41)

Anzeigen von RegionenWenn Sie sich zum ersten Mal bei management portal anmelden, werden Sie aufgefordert, die Regionenauszuwählen, die im Dashboard angezeigt werden sollen. Sie können die im Dashboard angezeigten

35


AWS Management Portal for vCenter BenutzerhandbuchAnzeigen einer Umgebung

Regionen jederzeit aktualisieren. Wenn Sie beispielsweise in einigen Regionen keine AWS-Ressourcenhaben, können Sie sie im Dashboard ausblenden. Wenn Sie zu einem späteren Zeitpunkt Ressourcen ineiner Region erstellen, die nicht angezeigt wird, geben Sie sie im Dashboard einblenden.

So wählen Sie die Regionen zur Anzeige aus

1. Wählen Sie im Menü in der oberen rechten Ecke die Option Region Preferences (Voreinstellungen fürdie Region).

2. Wählen Sie die anzuzeigenden Regionen aus.3. Klicken Sie auf Speichern.

Anzeigen einer UmgebungIhre AWS-Ressourcen sind in Umgebungen organisiert und werden mittels dieser Umgebungen verwaltet.Die Berechtigungen, die Ihnen von Ihrem Administrator erteilt wurden, legen fest, ob Sie eine Umgebungzusammen mit ihren zugehörigen Vorlagen und Instances anzeigen können.

So zeigen Sie eine Umgebung an

1. Klicken Sie in vCenter auf Home (Startseite) und anschließend auf AWS Management Portal.2. Erweitern Sie im Dashboard die Region für die Umgebung und wählen Sie dann die Umgebung aus.3. Um Informationen über die Umgebung anzuzeigen, klicken Sie auf die Registerkarte Summary

(Übersicht).4. Um die Instances anzuzeigen, die mithilfe der Vorlagen dieser Umgebung bereitgestellt wurden,

klicken Sie auf die Registerkarte Instances.

Verwalten von SchlüsselpaarenAmazon EC2 verwendet Verschlüsselung mit öffentlichen Schlüsseln, um Anmeldeinformationen für IhreInstance zu ver- und entschlüsseln. Bei der Verschlüsselung mit öffentlichen Schlüsseln werden öffentlicheSchlüssel eingesetzt, um Daten wie ein Passwort zu verschlüsseln. Der Empfänger entschlüsseltdiese Daten dann mit einem privaten Schlüssel. Der öffentliche und der private Schlüssel werden alsSchlüsselpaar bezeichnet.

Um eine Verbindung zu Ihrer Instance herstellen zu können, importieren Sie den öffentlichen Schlüsselin die Umgebung für die Instance, und wählen Sie ihn aus, wenn Sie eine Vorlage herstellen, über die dieInstance bereitgestellt wird. Verwenden Sie den privaten Schlüssel, wenn Sie eine Verbindung mit derInstance herzustellen, die Sie über diese Vorlage starten.

Sie können ein Schlüsselpaar nur dann importieren, wenn Ihr Administrator Ihnen die entsprechendenBerechtigungen erteilt hat.

So importieren Sie ein Schlüsselpaar

1. Erstellen Sie ein RSA-Schlüsselpaar mit einem Tool wie ssh-keygen. Speichern Sie den öffentlichenSchlüssel in einer lokalen Datei und den privaten Schlüssel in einer anderen lokalen Datei mit derErweiterung .pem. Weitere Informationen finden Sie unter Amazon EC2-Schlüsselpaare im AmazonEC2-Benutzerhandbuch.

2. Klicken Sie in vCenter auf Home (Startseite) und anschließend auf AWS Management Portal.3. Erweitern Sie im Dashboard die Region für die Umgebung und wählen Sie dann die Umgebung aus.4. Klicken Sie auf die Registerkarte Key Pairs (Schlüsselpaare).

36

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html

AWS Management Portal for vCenter BenutzerhandbuchVerwalten von Vorlagen

5. Klicken Sie mit der rechten Maustaste auf einen leeren Bereich auf der Registerkarte und wählen Siedie Option Import Key Pair (Schlüsselpaar importieren) aus.

6. Klicken Sie im Dialogfeld Import Key Pair (Schlüsselpaar importieren) auf Browse (Durchsuchen).Wählen Sie die in Schritt 1 erstellte Datei mit dem öffentlichen Schlüssel aus und klicken Sie auf Import(Importieren).

Wenn Sie mit ein Schlüsselpaar nicht mehr zur Bereitstellung benötigen, oder wenn Sie den privatenSchlüssel verlieren, können Sie den öffentlichen Schlüssel, den Sie importiert haben, löschen. Sie könnenein Schlüsselpaar nur dann löschen, wenn Ihr Administrator Ihnen die entsprechenden Berechtigungenerteilt hat.

Löschen Sie ein Schlüsselpaar wie folgt:

1. Klicken Sie in vCenter auf Home (Startseite) und anschließend auf AWS Management Portal.2. Erweitern Sie im Dashboard die Region für die Umgebung und wählen Sie dann die Umgebung aus.3. Klicken Sie auf die Registerkarte Key Pairs (Schlüsselpaare).4. Klicken Sie mit der rechten Maustaste auf das Schlüsselpaar und wählen Sie Delete Key Pair

(Schlüsselpaar löschen) aus.5. Wenn Sie zur Bestätigung aufgefordert werden, klicken Sie auf Yes (Ja).

Verwalten von VorlagenEine Vorlage gibt die Informationen an, die beim Konfigurieren einer Amazon EC2-Instance benötigtwerden. Sie können Vorlagen nur dann erstellen, wenn Ihr Administrator Ihnen die entsprechendenBerechtigungen erteilt hat.

So erstellen Sie eine Vorlage

1. Klicken Sie in vCenter auf Home (Startseite) und anschließend auf AWS Management Portal.2. Erweitern Sie im Dashboard die Region für die Vorlage und wählen Sie dann die Umgebung für die

Vorlage aus.3. Klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Create a template (Vorlage

erstellen). Wenn diese Aufgabe nicht aufgeführt ist, hat Ihnen Ihr Administrator nicht die Berechtigungzum Erstellen von Vorlagen in dieser Umgebung erteilt.

4. Geben Sie in das Feld Name einen Namen für die Vorlage ein.5. Standardmäßig werden die Quick Start-AMIs, eine Auswahl von beliebten AMIs, angezeigt. Sie

können die Auswahl nach Plattform filtern, indem Sie auf Windows oder Linux klicken. Wenn Sie einbestimmtes AMI verwenden möchten, wählen Sie in AMIs from (AMIs von) die Option Search by AMIID (Nach AMI-ID suchen) aus, geben Sie die ID des AMI ein und klicken Sie dann auf Load (Laden).

Beachten Sie, dass das Root-Gerät für ein Linux AMI entweder ein Amazon EBS-Volume oder einInstance-Speicher-Volume ist. Weitere Informationen darüber, wie der sich der Root-Gerätetyp auf dieInstance auswirkt, finden Sie unter Speicher für das Root-Gerät im Amazon EC2-Benutzerhandbuch.

6. Wählen Sie das AMI aus und klicken Sie dann auf Next (Weiter).7. Wählen Sie unter Instance Type (Instance-Typ) einen Instance-Typ aus. Beachten Sie, dass diese

Liste enthält nur die Instance-Typen enthält, die die ausgewählte Region unterstützt.8. (Optional) Wenn Sie eine Verbindung mit Ihrer Instance herstellen möchten, wählen Sie die Option

Associate Public IP-Adresse (Öffentliche IP-Adresse verknüpfen) aus.9. Wählen Sie ein Subnetz aus und klicken Sie auf Next (Weiter).10. (Optional) Überprüfen Sie die durch das AMI festgelegten Speichergeräte. Sie können der Liste ein

neues Speichergerät hinzufügen, indem Sie auf Add (Hinzufügen) klicken. Klicken Sie im Dialogfeld

37

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ComponentsAMIs.html#storage-for-the-root-device

AWS Management Portal for vCenter BenutzerhandbuchBereitstellen einer EC2-Instance

Add Volume (Volume hinzufügen) einen Volume-Typ, einen Gerätenamen und eine Volume-Größeoder einen Snapshot aus und klicken Sie dann auf Add (Hinzufügen).

11. Wenn Sie alle Volumes hinzugefügt haben, klicken Sie auf Next (Weiter).12. Wählen Sie eine oder mehrere Sicherheitsgruppen aus und klicken Sie dann auf Next (Weiter).13. Klicken Sie auf Select one of your existing key pairs (Vorhandenes Schlüsselpaar auswählen), wählen

Sie ein Schlüsselpaar aus der Liste aus und klicken Sie dann auf Finish (Beenden). Wenn die Listeleer ist, gibt es keine importierten Schlüsselpaare für diese Umgebung. Weitere Informationen findenSie unter Verwalten von Schlüsselpaaren (p. 36).

Sie können eine neue Vorlage auf der Grundlage einer vorhandenen Vorlage erstellen.

So kopieren und aktualisieren Sie eine Vorlage

1. Klicken Sie in vCenter auf Home (Startseite) und anschließend auf AWS Management Portal.2. Erweitern Sie im Dashboard die Region und die Umgebung für die Vorlage und wählen Sie dann die

Vorlage aus.3. Klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Copy to a new template (In neue

Vorlage kopieren). Wenn diese Aufgabe nicht aufgeführt ist, hat Ihnen Ihr Administrator nicht dieBerechtigung zum Erstellen von Vorlagen in dieser Umgebung erteilt.

4. Klicken Sie auf Next (Weiter), um die einzelnen Seiten zu prüfen. Wenn Sie die neue Vorlage wiegewünscht angepasst haben, klicken Sie auf Finish (Beenden).

Sie können eine Vorlage nur löschen, nachdem Sie alle Instances terminiert haben, die mithilfe der Vorlagegestartet wurden. Weitere Informationen finden Sie unter Beenden einer EC2-Instance (p. 41). Siekönnen Vorlagen nur dann löschen, wenn Ihr Administrator Ihnen die entsprechenden Berechtigungenerteilt hat.

So löschen Sie eine Vorlage

1. Klicken Sie in vCenter auf Home (Startseite) und anschließend auf AWS Management Portal.2. Erweitern Sie im Dashboard die Region und die Umgebung für die Vorlage und wählen Sie dann die

Vorlage aus.3. Klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Delete the template (Vorlage

löschen). Wenn diese Aufgabe nicht aufgeführt ist, hat Ihnen Ihr Administrator nicht die Berechtigungzum Löschen von Vorlagen in dieser Umgebung erteilt.

4. Klicken Sie im Dialogfeld Delete Template (Vorlage löschen) auf Yes (Ja).

Bereitstellen einer EC2-InstanceSie stellen eine EC2-Instance unter Verwendung einer Vorlage in einem Subnetz bereit. Sie können EC2-Instances nur dann bereitstellen, wenn Ihr Administrator Ihnen die entsprechenden Berechtigungen erteilthat.

So stellen Sie eine EC2-Instance bereit

1. Klicken Sie in vCenter auf Home (Startseite) und anschließend auf AWS Management Portal.2. Erweitern Sie im Dashboard die Region und die Umgebung für die Instance und wählen Sie dann die

Vorlage aus.3. Klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Deploy an instance (Instance

bereitstellen). Wenn diese Aufgabe nicht aufgeführt ist, hat Ihnen Ihr Administrator nicht dieBerechtigung zum Bereitstellen von Instances in dieser Umgebung erteilt.

4. Geben Sie in das Feld Name einen Namen für die Instance ein.

38

AWS Management Portal for vCenter BenutzerhandbuchAnzeigen einer EC2 Instance

5. (Optional) Geben Sie eine oder mehrere Tags für Ihre Instance ein. Klicken Sie für jedes Tag auf Add(Hinzufügen). Geben Sie den Tag-Schlüssel und den Tag-Wert ein.

6. Wenn Sie alle Tags hinzugefügt haben, klicken Sie auf Next (Weiter).7. Wählen Sie ein Subnetz für die Ausführung der Instance aus und klicken Sie dann auf Next (Weiter).

Beachten Sie, dass die Subnetzliste nur die Subnetze für die ausgewählte Vorlage enthält.8. Überprüfen Sie die Konfiguration für Ihre Instance. Wählen Sie Back (Zurück) aus, um weitere

Änderungen vorzunehmen. Sobald Sie bereit sind, die Instance bereitzustellen, klicken Sie auf Finish(Beenden).

Anzeigen einer EC2 InstanceSie können einen oder mehrere EC2-Instances beschreiben. Sie können EC2-Instances nur dannbeschreiben, wenn Ihr Administrator Ihnen die entsprechenden Berechtigungen erteilt hat.

So zeigen Sie eine EC2-Instance an

1. Klicken Sie in vCenter auf Home (Startseite) und anschließend auf AWS Management Portal.2. Erweitern Sie im Dashboard die Region für die Instance und wählen Sie dann eine Umgebung aus.3. Um Informationen über die Instances anzuzeigen, die mithilfe der Vorlagen dieser Umgebung

bereitgestellt wurden, klicken Sie auf die Registerkarte Instances. Beachten Sie, dass dieseRegisterkarte auch alle Instances enthält, die Sie von einer virtuellen Maschine migriert haben.

4. Wählen Sie eine Vorlage aus. Um Informationen über die Instances anzuzeigen, die mithilfe dieserVorlage bereitgestellt wurden, klicken Sie auf die Registerkarte Instances.

5. Erweitern Sie eine Vorlage, die Sie für die Bereitstellung von Instances verwendet haben, und wählenSie dann eine Instance aus.

6. Um Informationen über die Instance anzuzeigen, klicken Sie auf die Registerkarte Summary(Übersicht). Um Performancedaten für die Instance anzuzeigen, klicken Sie auf die RegisterkartePerformance.

Herstellen einer Verbindung mit einer EC2 InstanceSie können sich an einer EC2-Instance anmelden, wenn Sie den privaten Schlüssel des Schlüsselpaares(.pem-Datei) für die Vorlage haben, mit der Sie die Instance gestartet haben. Wenn Sie eine Verbindungmit Ihrer Instance hergestellt haben, aber kein Schlüsselpaar für die Vorlage verfügbar ist, müssen Sie dieInstance terminieren, eine neue Vorlage erstellen (bzw. von Ihrem Administrator erstellen lassen), für dieneue Vorlage ein Schlüsselpaar auswählen und eine neue Instance über die neue Vorlage starten.

Mit welchem Tool Sie eine Verbindung mit Ihrer Instance herstellen, ist davon abhängig, ob es sich um eineWindows-Instance oder eine Linux-Instance handelt.

So stellen Sie eine Verbindung zu einer EC2-Windows-Instance her

1. Klicken Sie in vCenter auf Home (Startseite) und anschließend auf AWS Management Portal.2. Erweitern Sie im Dashboard zuerst die Region, dann die Umgebung und anschließend die Vorlage für

die Instance.3. Wählen Sie die Instance aus.4. Ermitteln Sie auf der Registerkarte Summary (Übersicht) den öffentlichen DNS-Namen. Sie benötigen

diese Information, um eine Verbindung mit Ihrer Instance herzustellen.5. Klicken Sie auf der Registerkarte Summary (Übersicht) auf Get Windows Password (Windows-

Passwort abrufen). Befolgen Sie die Anweisungen, um das Passwort für das Administratorkontofür Ihre Instance mit dem privaten Schlüssel des Schlüsselpaares für die Vorlage zum Starten

39

AWS Management Portal for vCenter BenutzerhandbuchAnhalten und Starten einer EC2-Instance

der Instance, zu erhalten. Sie benötigen dieses Passwort, um eine Verbindung zu Ihrer Instanceherzustellen.

6. Stellen Sie eine Verbindung mit der Instance über einen RDP-Client her. Geben Sie den öffentlichenDNS-Namen für die Instance als Computername und Administrator als Benutzernamen ein. Wenn Sieaufgefordert werden, Anmeldeinformationen einzugeben, verwenden Sie das Passwort, das Sie in demvorangegangenen Schritt abgerufen haben.

Wenn Sie keine Verbindung zu der Instance herstellen können, lesen Sie die Hinweise unterProblembehandlung bei Windows-Instances im Amazon EC2-Benutzerhandbuch für Windows-Instances.

So stellen Sie eine Verbindung mit einer EC2-Linux-Instance her


die Instance.3. Wählen Sie die Instance aus.4. Ermitteln Sie auf der Registerkarte Summary (Übersicht) den öffentlichen DNS-Namen. Sie benötigen

diese Information, um eine Verbindung mit Ihrer Instance herzustellen.5. Stellen Sie über PuTTY eine Verbindung mit der Instance her. Weitere Informationen finden Sie unter

Herstellen einer Verbindung mit Ihrer Linux-Instance aus Windows per PuTTY im Amazon EC2-Benutzerhandbuch für Linux-Instances.

Anhalten und Starten einer EC2-InstanceSie können eine Instance nur dann anhalten und starten, wenn das Root-Gerät der Instance ein AmazonEBS-Volume ist. Wenn Sie eine Instance anhalten und wieder starten, verlieren Sie sämtliche Daten aufden Instance-Speicher-Volumes.

Sie können EC2-Instances nur dann anhalten und starten, wenn Ihr Administrator Ihnen dieentsprechenden Berechtigungen erteilt hat.

So stoppen und starten Sie eine EC2-Instance


die Instance.3. Wählen Sie die Instance aus.4. Klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Stop the instance (Instance

anhalten). Wenn diese Aufgabe nicht aufgeführt ist, hat Ihnen Ihr Administrator nicht die Berechtigungzum Anhalten von Instances in dieser Umgebung erteilt.

5. Wenn Sie bereit sind, die Instance erneut ausführen, wählen Sie die Instance aus und klicken Sie aufStart the instance (Instance starten).

Neustarten einer EC2-InstanceEin Neustart einer Instance entspricht einem Neustart des Betriebssystems. In den meisten Fällen dauertes nur wenige Minuten, um die Instance neu zu starten.

Sie können EC2-Instances nur dann neu starten, wenn Ihr Administrator Ihnen die entsprechendenBerechtigungen erteilt hat.

40

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/troubleshooting-windows-instances.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html

AWS Management Portal for vCenter BenutzerhandbuchErstellen eines Images anhand einer EC2-Instance

So starten Sie eine EC2-Instance neu


die Instance.3. Wählen Sie die Instance aus.4. Klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Reboot the instance (Instance

erneut starten). Wenn diese Aufgabe nicht aufgeführt ist, hat Ihnen Ihr Administrator nicht dieBerechtigung zum Neustarten von Instances in dieser Umgebung erteilt.

Erstellen eines Images anhand einer EC2-InstanceSie können ein Amazon Machine Image (AMI) wie folgt anhand einer Amazon EBS-gestützten Instanceerstellen.

So erstellen Sie ein Amazon EBS-gestütztes Image


die Instance.3. Wählen Sie die Instance aus.4. Klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Create image (Abbild erstellen).

Wenn diese Aufgabe nicht aufgeführt ist, hat Ihnen Ihr Administrator nicht die Berechtigung zumErstellen von Images in dieser Umgebung erteilt.

5. Führen Sie im Dialogfeld Create Image (Abbild erstellen) die folgenden Schritte aus:

a. Geben Sie einen Namen und eine Beschreibung für das Image ein.b. (Optional) Um weitere Volumes einzubinden, klicken Sie auf Add New Volume (Neues Volume

hinzufügen) und wählen Sie den Volume-Typ und den Gerätenamen aus. Bei EBS-Volumes,müssen Sie auch eine Volume-Größe oder einen Snapshot angeben.

c. Klicken Sie auf Create.

Beenden einer EC2-InstanceWenn Sie sich entschieden haben, dass Sie eine Instance nicht mehr benötigen, können Sie sie beenden.Wenn Ihre Instance terminiert wurde, können Sie keine Verbindung mehr zu der Instance herstellen und dieInstance nicht wiederherstellen. Weitere Informationen über den Unterschied zwischen dem Anhalten unddem Beenden einer Instance finden Sie unter Instance-Lebenszyklus im Amazon EC2-Benutzerhandbuch.

Sie können EC2-Instances nur dann terminieren, wenn Ihr Administrator Ihnen die entsprechendenBerechtigungen erteilt hat.

So terminieren Sie eine EC2-Instance


die Instance.3. Wählen Sie die Instance aus.4. Klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Terminate the instance (Instance

beenden). Wenn diese Aufgabe nicht aufgeführt ist, hat Ihnen Ihr Administrator nicht die Berechtigungzum Terminieren von Instances in dieser Umgebung erteilt.

41

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-lifecycle.html


Migrieren von virtuellen Maschinen zuAmazon EC2 mit AWS Connector forvCenter

Sie können eine EC2 Instance aus einer virtuellen Maschine starten, die Sie von VMware vCenter zuAmazon EC2 migrieren. Verwenden Sie den AWS Connector for vCenter, um Ihre virtuellen Maschinen zuAmazon EC2 zu migrieren.

Das folgende Diagramm veranschaulicht den Migrationsprozess. Wenn Sie eine Migration beantragen,erstellen wir eine Konvertierungsaufgabe. Wenn die Konvertierungsaufgabe erfolgreich abgeschlossenwurde, ist die importierte Instance verfügbar.

Um von vCenter 6.5 zu migrieren, den BYOL-Lizenztypen während der Migration festzulegen, oder umeine inkrementelle Migration zu nutzen, verwenden Sie stattdessen AWS Server Migration Service. WeitereInformationen hierzu finden Sie unter AWS SMS-Benutzerhandbuch.

Note


Inhalt• Voraussetzungen (p. 43)• Einschränkungen (p. 43)• Autorisierung für VM Import (p. 43)• Migrieren von virtuellen Maschinen (p. 44)• Sichern einer Instance (p. 45)• Exportieren einer migrierten EC2 Instance (p. 45)• Fehlerbehebung bei der Migration (p. 47)

42

https://docs.aws.amazon.com/server-migration-service/latest/userguide/


AWS Management Portal for vCenter BenutzerhandbuchVoraussetzungen

Voraussetzungen• Ein Administrator muss die connector installieren und konfigurieren. Der connector ist Bestandteil von

AWS Management Portal for vCenter. Weitere Informationen finden Sie unter Einrichten von AWSManagement Portal for vCenter (p. 3).

• Ein Administrator muss mindestens eine Umgebung erstellen und Ihnen die Berechtigung erteilen, einevirtuellen Maschine in eine oder mehrere Umgebungen zu migrieren. Diese Umgebung muss explizitund zusätzlich zu der Standard-Umgebung und erstellt werden. Weitere Informationen finden Sie unterVerwalten von Umgebungen (p. 31).

• Stellen Sie sicher, dass Ihre VM eines der unterstützten Betriebssysteme verwendet, und wählen Sieeinen der unterstützten Instance-Typen aus. Weitere Informationen finden Sie im Abschnitt zu denVoraussetzungen für VM Import/Export im Amazon EC2-Benutzerhandbuch.

• Weisen Sie die VMImportExportRoleForAWSConnector-Richtlinie der vmimport-Rolle zu, die Sieanhand des Abschnitts VM Import-Servicerolle im Amazon EC2-Benutzerhandbuch erstellt haben.

• Stellen Sie sicher, dass in Ihrer VM kein Datenträger mit einer komprimierte Größe von mehr als 215 GBeingebunden ist.

Einschränkungen• Prüfen Sie die Informationen zu Voraussetzungen und Einschränkungen für VM Import/Export im

Amazon EC2-Benutzerhandbuch.• Amazon EC2 begrenzt die Anzahl der aktiven Migrationen auf 5 pro Region. Wenn die connector bereits

mit der Migration von 4 virtuellen Maschinen beschäftigt ist, werden zusätzliche Migrationsaufgaben einerWarteschlange hinzugefügt, bis eine der aktiven Migrationsaufgaben abgeschlossen oder storniert wird.

Autorisierung für VM ImportIhre Benutzer haben keinen direkten Zugriff auf AWS. Das folgende Diagramm beschreibt den Prozess, mitdem ein Benutzer eine VM zu Amazon EC2 migrieren kann.

1. Der vSphere-Client autorisiert den Import in die Umgebung.2. management portal überprüft, ob der Benutzer über die Berechtigung zum Migrieren von VMs in die

Umgebung verfügt, und gibt ein Token zurück.3. Der vSphere-Client sendet eine Importanfrage mit dem Token an die connector.4. Die connector überprüft das Token.5. Die connector überprüft, ob der Benutzer über die Berechtigung zum Exportieren der VM verfügt.

43

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/VMImportPrerequisites.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/VMImportPrerequisites.html#vmimport-service-role

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/VMImportPrerequisites.html#vmimport-limitations

AWS Management Portal for vCenter BenutzerhandbuchMigrieren von virtuellen Maschinen

6. Die connector startet die Migration.7. Die connector sendet eine Antwort mit der Importaufgaben-ID an den vSphere-Client.

Migrieren von virtuellen MaschinenSie können eine VM zu Amazon EC2 migrieren, indem Sie vCenter mit dem connector verwenden. Dieconnector kann bis zu vier VMs gleichzeitig migrieren.

Warning

Sie können keine Migrationsaufgaben erstellen, während die connector aktualisiert wird.

So migrieren Sie virtuelle Maschinen zu Amazon EC2

1. Klicken Sie in vCenter auf Home (Startseite) und anschließend auf VMs and Templates (VMs undVorlagen).

2. Wählen Sie die entsprechende VM aus.3. Klicken Sie mit der rechten Maustaste auf die VM und klicken Sie dann auf Migrate VM to EC2 (VM

zu EC2 migrieren). Wenn Ihr Administrator Ihnen keine Berechtigung für das Migrieren von VMs erteilthat, wird eine Meldung angezeigt, in der Sie aufgefordert werden, sich deswegen an den Administratorzu wenden.

4. Füllen Sie das Formular wie folgt aus:

a. Wählen Sie das Betriebssystem aus, das in der VM ausgeführt wird.b. Wählen Sie die Region und die Umgebung für die resultierende EC2 Instance aus. Die Liste

der Umgebungen werden nur die Umgebungen aufgeführt, für die Ihnen der Administrator dieBerechtigung erteilt hat.

c. Wählen Sie das Subnetz, den Instance-Typ und die Sicherheitsgruppe für die Instance aus.d. (Optional) Geben Sie eine private IP-Adresse ein. Wenn Sie keine private IP-Adresse angeben,

wählen wir eine für Sie aus.e. Wählen Sie eine Sicherheitsgruppe. In der Liste der Sicherheitsgruppen werden nur die

Sicherheitsgruppen aufgeführt, die der Umgebung zugeordnet sind, die Sie ausgewählt haben.f. Klicken Sie auf Begin migration to Amazon EC2 (Migration zu starten).g. [Vor der Connector-Version 2.4.0] Wenn in der connector eine Warnung angezeigt wird, dass

bereits vier aktive Migrationsaufgaben vorhanden sind und dass sich diese Aktion auf dieGeschwindigkeit dieser Aufgaben auswirken wird, können Sie entweder mit der Migrationsaufgabefortfahren oder diese verwerfen.

5. Nach dem Start der Migration wird die Importaufgaben-ID angezeigt, wenn die Migration sofortgestartet wird; andernfalls wird ID der Aufgabe in der Warteschlange angezeigt. Notieren Sie sichdie jeweilige ID, wenn die Migrationsaufgabe überwachen möchten. Andernfalls können Sie dasImportfenster und Ihren vSphere-Client schließen, wenn Sie von der connector benachrichtigt wurden,dass die Importaufgabe erstellt ist bzw. sich in der Warteschlange befindet; die Migration wird nunausgeführt.

6. (Optional) Führen Sie die folgenden Schritte aus, um den Status der Migration zu überwachen:

a. Klicken Sie in vCenter auf Home (Startseite) und anschließend auf AWS Management Portal.b. Erweitern Sie die Region für die Instance, wählen Sie die Umgebung aus und klicken Sie

anschließend auf die Registerkarte VM-to-EC2 Migrations (VM-EC2-Migrationen).c. Suchen Sie den Eintrag mit der Importaufgaben-ID bzw. mit der ID der Aufgabe in der

Warteschlange, die Sie sich zuvor notiert haben. Die ID der Instance wird im Feld Instance ID(Instance-ID) angezeigt.

7. Sie können die EC2 Instance starten, wenn die Migration abgeschlossen wurde, indem Sie dieUmgebung und anschließend den Abschnitt Imported Instances (Importierte Instances) erweitern, die

44

AWS Management Portal for vCenter BenutzerhandbuchSichern einer Instance

Instance auswählen und dann auf die Registerkarte Summary (Übersicht) klicken. Die ID der Instancemuss dabei der Instance-ID auf der Registerkarte VM-to-EC2 Migrations (VM-EC2-Migrationen)entsprechen. Klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Start instance(Instance starten).

Sichern einer InstanceWenn Sie eine Instance gestartet haben, wird diese ausgeführt, bis sie beendet wird. Wenn Ihre Instancebeendetet wurde, können Sie keine Verbindung mit der Instance herstellen oder diese wiederherstellen.Sie können sicherstellen, dass Sie eine neue Instance bei Bedarf mit derselben Software wie eine migrierteInstance starten können, indem Sie ein Amazon Machine Image (AMI) von der jeweiligen Instanceerstellen; erstellen Sie anschließend eine Vorlage, in der Sie das AMI angeben.

Sie erstellen ein AMI, indem Sie die Amazon EC2-Konsole oder die Befehlszeilen-Tools verwenden.Weitere Informationen zum Erstellen eines AMI mit Amazon EC2 finden Sie unter den folgenden Themenim Amazon EC2-Benutzerhandbuch.

Plattform Root Volume Topic

Linux EBS Erstellen eines Amazon EBS-gestützten Linux-AMI

Linux Instance-Speicher Erstellen eines Instance Store-Backed Linux-AMI

Windows EBS Erstellen eines benutzerdefinierten Windows-AMI

Windows Instance-Speicher Erstellen eines Instance Store-Backed AMI fürWindows

Weitere Informationen zum Erstellen einer Vorlage, mit der Sie Instances aus dem AMI starten können, dasSie von Ihrer migrierten Instance erstellt haben, finden Sie unter Verwalten von Vorlagen (p. 37).

Exportieren einer migrierten EC2 InstanceSie exportieren eine EC2 Instance, die Sie zuvor von einer VM migriert haben, indem Sie managementportal in vCenter verwenden. Der Prozess für das Exportieren einer Instance erstellt eine OVA-Datei undspeichert diese in einem Amazon S3-Bucket in Ihrem AWS-Konto.

Wenn Sie bisher noch keine EC2 Instance mit vCenter exportiert haben, müssen Sie zunächst den Namenfür den S3-Bucket angeben, der für den Export der Instance erstellt wird. AWS erstellt zu diesem Zweck injeder Region einen S3-Bucket mit einem Namen im Format export-to-s3-name-region.

Voraussetzungen

• Sie müssen ein Administrator von management portal sein, um eine EC2 Instance exportieren zukönnen.

• Sie können den Instance-Export konfigurieren, indem Sie die AWS-Anmeldeinformationen entwedereines Administrators oder eines IAM-Benutzers verwenden. Sie können einem IAM-Benutzerermöglichen, diese Schritte auszuführen, indem Sie sicherstellen, dass der Benutzer über die in Anlegender erforderlichen Konten und Benutzer (p. 6) beschrieben Berechtigungen verfügt.

Einschränkungen

• Es gilt ein Limit von fünf gleichzeitigen Exportaufgaben pro Region.

45

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-ebs.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/creating-an-ami-instance-store.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_InstanceStoreBacked_WinAMI.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_InstanceStoreBacked_WinAMI.html

AWS Management Portal for vCenter BenutzerhandbuchExportieren einer migrierten EC2 Instance

• Sie können keine Instance exportieren, die gerade exportiert wird.

So bereiten Sie sich auf den Export einer Instance vor

1. Öffnen Sie die AWS Management Portal for vCenter -Einrichtungskonsole.2. Klicken Sie auf der Seite AWS Management Portal for vCenter auf Configure Instance Export

(Instance-Export konfigurieren) und klicken Sie anschließend auf Create New (Neuen erstellen).3. Führen Sie auf der Seite Configure Instance Export (Instance-Export konfigurieren) die folgenden

Schritte aus:

a. Tragen Sie unter S3 bucket names (S3-Bucket-Namen) den Bucket-Namen ein, wenn Sie dazuaufgefordert werden.

b. Klicken Sie auf I agree that AWS Management Portal for vCenter may do the following on mybehalf (Ich stimme der Ausführung von Folgendem durch AWS Management Portal for vCenter inmeinem Namen zu).

c. Klicken Sie auf Create.

So exportieren Sie eine migrierte Instance


die Instance.3. Wählen Sie die Instance aus.4. Klicken Sie auf der Registerkarte Getting Started (Erste Schritte) auf Export instance to S3 (Instance

nach S3 exportieren).5. Geben Sie im Dialogfeld Export instance to S3 (Instance nach S3 exportieren) unter S3 object file

prefix (S3-Objektdatei-Präfix) einen Namen für die OVA-Datei ein und klicken Sie dann auf Export(Exportieren).

Wenn der Export gestartet wurde, wird die Exportaufgaben-ID angezeigt. Notieren Sie sich diese ID,wenn Sie den Status der Exportaufgabe überwachen möchten.

6. (Optional) Sie können den Status des Exportvorgangs überwachen, indem Sie die Umgebung fürdie Instance auswählen und anschließend auf die Registerkarte EC2-to-S3 Migrations (EC2-S3-Migrationen) klicken. Auf dieser Registerkarte werden alle Exportvorgänge für die Instance in denletzten sieben Tagen angezeigt. Suchen Sie die Aufgabe mit der Exportaufgaben-ID, die Sie sichzuvor notiert haben. Wenn Sie die Exportaufgabe während der Ausführung abbrechen müssen, klickenSie zuerst mit der rechten Maustaste auf die entsprechende Zeile. Wählen Sie Cancel Export Task(Exportaufgabe abbrechen) aus und klicken Sie zur Bestätigung auf Continue (Weiter).

7. Sie können auf die OVA-Datei zugreifen, nachdem der Exportvorgang abgeschlossen wurde, indemSie die folgenden Schritte ausführen:

a. Öffnen Sie die Amazon S3-Konsole unter der Adresse https://console.aws.amazon.com/s3/.b. Wählen Sie in der Navigationsleiste die Region der EC2-Instance aus, die Sie exportiert haben.

Die OVA-Datei wird in einem S3-Bucket in derselben Region wie die EC2-Instance gespeichert.c. Wählen Sie im Bereich Buckets den Bucket für Ihre exportierten Instances (export-to-

s3-name-region) und anschließend die OVA-Datei aus.d. Klicken Sie auf Actions (Aktionen) und dann auf Download (Herunterladen). Befolgen Sie die

Anweisungen, um den Download abzuschließen.

Alternativ können Sie eine EC2-Instance mithilfe der Amazon EC2-CLI anstelle des connectors exportieren.Weitere Informationen finden Sie im Artikel zum Exportieren von Amazon EC2-Instances im Amazon EC2-Benutzerhandbuch.

46


https://console.aws.amazon.com/s3/

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExportingEC2Instances.html

AWS Management Portal for vCenter BenutzerhandbuchFehlerbehebung bei der Migration

Fehlerbehebung bei der MigrationError: Additional permissions are required to migrate multidisk virtual machines (Fehler: ZusätzlicheBerechtigungen sind erforderlich, um virtuelle Maschinen mit mehreren Datenträgern zu migrieren)

Bei der Migration einer virtuellen Maschine wird die folgende Fehlermeldung angezeigt: „To migratea virtual machine with more than one disk, log into the management portal setup page and grant theadditional permissions required by the VM Import/Export service.”

Führen Sie die folgenden Schritte aus, um die erforderlichen Berechtigungen zu erteilen:

1. Öffnen Sie die AWS Management Portal for vCenter -Einrichtungskonsole.2. Wenn eine Fehlermeldung angezeigt wird, dass keine Import-Servicerolle vorhanden ist, klicken Sie

auf Fix Error (Fehler beheben).3. (Optional) Klicken Sie auf View Policy (Richtlinie anzeigen), um die Richtlinie für die Import-Servicerolle

zu prüfen.4. Klicken Sie auf I agree that AWS Management Portal for vCenter may create the above roles on my

behalf (Ich stimme der Erstellung obiger Rollen durch AWS Management Portal for vCenter in meinemNamen zu).

5. Klicken Sie auf Speichern.

Error: Connector is unable to reach ESX host (Fehler: Connector kann ESX-Host nicht erreichen)

Die folgende Fehlermeldung wird bei der Migration einer virtuellen Maschine angezeigt: "Connector isunable to reach ESX host [hostname] to migrate virtual machine [name]. (Connector kann ESX-Host nichterreichen, um die virtuelle Maschine zu migrieren.)"

Wenn es sich bei dem in der Fehlermeldung angegebenen Hostnamen nicht um einen vollständigqualifizierten Domain-Namen für einen ESX-Host handelt, befolgen Sie die folgenden Schritte, um die DNS-Suffixsuchliste so zu konfigurieren, dass connector das Suffix anfügen und den ESX-Hostnamen auflösenkann:

1. Suchen Sie die connector-VM im vSphere-Client, klicken Sie mit der rechten Maustaste darauf undwählen Sie Open Console (Konsole öffnen) aus.

2. Melden Sie sich als ec2-user an. Weitere Informationen finden Sie unter Protokollieren in die VM-Konsole (p. 49).

3. Führen Sie den Befehl sudo setup.rb aus. Durch diesen Befehl wird das folgende Menü angezeigt:

Choose one of the following options1. Reset password2. Reconfigure network settings3. Restart services4. Factory reset5. Delete unused upgrade-related files6. Enable/disable SSL certificate validation7. Display connector's SSL certificate8. Generate log bundle9. ExitPlease enter your option [1-9]:

4. Geben Sie 2 ein und drücken Sie die Eingabetaste. Durch den Befehl wird das folgende Menüangezeigt:

Reconfigure your network:1. Renew or acquire a DHCP lease2. Set up a static IP

47


AWS Management Portal for vCenter BenutzerhandbuchFehlerbehebung bei der Migration

3. Set up a web proxy for AWS communication4. Set up a DNS suffix search list5. ExitPlease enter your option [1-5]:

5. Geben Sie 4 ein und drücken Sie die Eingabetaste. Der Befehl zeigt die aktuelle DNS-Suffixsuchlistean. Befolgen Sie die Anweisungen zum Aktualisieren der Suchliste, um den Domain-Namen des ESX-Hosts aus der Fehlermeldung hinzuzufügen.

Connector can't validate the certificates of the host (Connector kann die Zertifikate vom Host nichtvalidieren)

Die connector validiert standardmäßig die Zertifikate aller Entitys, mit denen sie über HTTPS kommuniziert,u. a. vCenter- und ESXi-Server. Dies ist entscheidend, um Man-in-the-Middle-Angriffe verhindern zukönnen. Wenn Sie allerdings eine virtuelle Maschine von ESX in der Version 4.1 oder niedriger zuAmazon EC2 migrieren, kann der connector die Zertifikate des Hosts nicht validieren, sodass die Migrationfehlschlägt.

Nutzen Sie eine der folgenden Möglichkeiten, um dieses Problem zu umgehen:

• Option 1: Aktualisieren Sie auf ESX 5.0 oder höher.• Option 2: Deaktivieren Sie die ESX-Zertifikatvalidierung und migrieren Sie die virtuelle Maschine.

Aktivieren Sie anschließend die ESX-Zertifikatvalidierung erneut, indem Sie wie folgt vorgehen:1. Rufen Sie in Ihrem Webbrowser die connector-Managementkonsole auf (https://IP_Adresse;

IP_Adresse steht dabei für die IP-Adresse der Managementkonsole) und melden Sie sich mit IhremPasswort an.

2. Klicken Sie auf Register the Connector (Connector registrieren).3. Klicken Sie auf der Seite Register Plugin (Plug-in registrieren) unter ESX SSL certificate options (ESX-

SSL-Zertifikatoptionen) auf Ignore any ESX certificate errors (ESX-Zertifikatfehler ignorieren) undklicken Sie anschließend auf Register (Registrieren).

Important

Wir empfehlen, die ESX-Zertifikatvalidierung nur zu deaktivieren, wenn Sie virtuelleMaschinen von ESX 4.1 oder niedriger migrieren.

4. Wenn Sie die Migration der virtuellen Maschine abgeschlossen haben, kehren Sie zur Seite RegisterPlugin (Plug-in registrieren) in der connector-Managementkonsole zurück, klicken Sie auf TrustvCenter to validate ESX certificates (vCenter als vertrauenswürdig zum Validieren von ESX-Zertifikaten deklarieren) und klicken Sie dann auf Register (Registrieren).

48

AWS Management Portal for vCenter BenutzerhandbuchZugreifen auf die Managementkonsole

Verwalten der AWS Connector forvCenter

Sie können den connector mit der connector-Managementkonsole und der connector-CLI verwalten.

Ab der connector-Version 2.4.0 erfasst AWS Metriken über die Performance, Nutzung und AnpassungIhres connectors, damit wir die Stabilität und Sicherheit weiter erhöhen können.

Note


Inhalt• Zugreifen auf die Managementkonsole (p. 49)• Protokollieren in die VM-Konsole (p. 49)• Zurücksetzen des Connector-Passworts (p. 50)• Rotieren der Schlüssel (p. 50)• Überwachen des Connectors (p. 51)• Melden eines Problems an AWS (p. 52)• Aktualisieren der AWSConnector-Richtlinie (p. 53)• Allgemeine Problembehebung (p. 53)• Fehlerbehebung bei Upgrades (p. 55)• Installieren eines vertrauenswürdigen SSL-Zertifikats (p. 55)• Validieren eines nicht vertrauenswürdigen SSL-Zertifikats (p. 56)• Deinstallieren des Connectors (p. 57)

Beachten Sie, dass die Verfahren auf dieser Seite für Version 2.1.0 und höher der connector gelten. Wenndie Versionsangabe in der rechten oberen Ecke der connector-Managementkonsole Version: 2.0.0 lautet,laden Sie die PDF-Datei zum Verwalten des Connectors mit Anweisungen für Version 2.0.0 von connectorherunter.

Zugreifen auf die ManagementkonsoleFür den Zugriff auf die Managementkonsole öffnen Sie die Seite https://IP_Adresse/, wobei IP_Adresse dieIP-Adresse der connector-Managementkonsole ist, die Sie bei der Bereitstellung der virtuellen connector-Appliance gespeichert haben.

Protokollieren in die VM-KonsoleSie können die connector-CLI von der VM-Konsole des connectors aus verwenden. Für den Zugriff auf dieVM-Konsole suchen Sie die connector-VM in dem vSphere-Client, klicken mit der rechten Maustaste daraufund wählen Open Console (Konsole öffnen) aus.

49


https://awsdocs.s3.amazonaws.com/AMP/2.0/managing-connector-2-0.pdf

AWS Management Portal for vCenter BenutzerhandbuchZurücksetzen des Connector-Passworts

Der Standardbenutzer ist „ec2-user“, und das Standardpasswort lautet „ec2pass“.

Wir empfehlen, dass Sie das Kennwort ändern, nachdem Sie sich angemeldet haben. Verwenden Sie denfolgenden Befehl, um das Passwort zu ändern:

passwd new_password

Important

Hinweis: Wenn Sie den Befehl sudo passwd verwenden, wird das Passwort für root geändert,nicht das Passwort für ec2-user.

Zurücksetzen des Connector-PasswortsWenn Sie das Passwort für die Anmeldung an der connector-Einrichtungskonsole vergessen haben,können Sie es über die connector-CLI zurücksetzen.

So setzen Sie Ihr Passwort über die connector-CLI zurück





4. Geben Sie 1 ein und drücken Sie die Eingabetaste. Folgen Sie den Anweisungen auf dem Bildschirm.Beachten Sie, dass Sie im Allgemeinen keine andere vCenter-IP-Adresse bzw. -Hostname angeben,sondern sich über dasselbe vCenter authentifizieren sollten.

Rotieren der SchlüsselWir empfehlen, dass Sie diese Schlüssel regelmäßig rotieren.

Der AMP-connector-Schlüssel wird gleichzeitig von der Managementkonsole und dem vor Ort installiertenconnector verwendet und dient dazu, zwischen diesen Entitäten eine Vertrauensstellung herzustellen.

So rotieren Sie den AMP-connector-Schlüssel

1. Öffnen Sie die AWS Management Portal for vCenter-Einrichtungskonsole.2. Erweitern Sie auf der Seite AWS Management Portal den Ausschnitt AMP Connector Key (AMP-

Connector-Schlüssel) und klicken Sie dann auf Edit (Bearbeiten).

50


AWS Management Portal for vCenter BenutzerhandbuchÜberwachen des Connectors

3. Wählen Sie auf der Seite Create an AMP-Connector Key (AMP-Connector-Schlüssel erstellen) dieOption Create a new AMP-Connector key (Neuen AMP-Connector-Schlüssel erstellen) aus.

4. Geben Sie für einen Namen für den Schlüssel ein und klicken Sie auf Create (Erstellen).5. Klicken Sie auf der Seite Review Your Configuration (Konfiguration prüfen) auf Download Configuration

(Konfiguration herunterladen). Speichern Sie diese Datei an einem sicheren Speicherort. Sie benötigensie, um die Bereitstellung des Connectors abzuschließen.

6. Klicken Sie auf Finish (Beenden).

Der connector-Verschlüsselungsschlüssel wird verwendet, um connector-lokale vertrauliche Informationen(z. B. Anmeldeinformationen für Konten) zu verschlüsseln.

So rotieren Sie den connector-Verschlüsselungsschlüssel

1. Öffnen Sie die connector-Managementkonsole in einem Webbrowser.2. Klicken Sie in der connector-Managementkonsole auf Rotate encryption key

(Verschlüsselungsschlüssel rotieren).3. Geben Sie im Dialogfeld Rotate encryption key (Verschlüsselungsschlüssel rotieren) ein Passwort für

den Connector ein und klicken Sie auf Rotate (Rotieren).

Überwachen des ConnectorsDie connector ermöglicht, über die Managementkonsole den eigenen Status zu überwachen.

So überwachen Sie die connector mithilfe der Managementkonsole

1. Öffnen Sie die connector-Managementkonsole in einem Webbrowser.2. Suchen Sie den Ausschnitt Health Status (Zustand).

3. Überprüfen Sie, ob Fehler aufgetreten sind. Wenn Sie einen Fehler sehen, klicken Sie auf View ErrorLog (Fehlerprotokoll anzeigen), um weitere Informationen zu erhalten.

Connector Up-to-Date (Connector auf neuestem Stand)

Gibt an, ob Sie die aktuelle Version der connector verwenden. Wenn ein Warnsymbolangezeigt wird, ist ein Upgrade verfügbar. Klicken Sie auf What's new? (Neuerungen), umweitere Informationen zu erhalten. Wenn Sie ein Fehlersymbol sehen, wurde der connectorzurückgezogen und ein Downgrade ist verfügbar. Klicken Sie für weitere Informationen auf Whatwill be fixed? (Welche Probleme werden behoben?).

AWS Connectivity (AWS-Anbindung)

Überprüft, ob der connector mithilfe der Anmeldeinformationen, die Sie bei der Konfigurierung desconnectors angegeben haben, auf AWS zugreifen kann. Wenn Fehler aufgetreten sind, klicken Sieauf View Error Log (Fehlerprotokoll anzeigen).

51

AWS Management Portal for vCenter BenutzerhandbuchMelden eines Problems an AWS

vCenter Connectivity (vCenter-Anbindung)

Stellt sicher, dass der connector mithilfe der Anmeldeinformationen, die Sie bei der Konfigurierungdes connectors angegeben haben, auf vCenter zugreifen kann. Wenn Fehler aufgetreten sind,klicken Sie auf View Error Log (Fehlerprotokoll anzeigen).

Connector Registered IP Is Current (Registrierte Connector-IP ist aktuell)

Gibt an, ob die IP-Adresse für die Registrierung des Connectors gültig ist.System Time Synchronization (Systemzeitsynchronisierung)

Stellt sicher, dass die Zeit des aktuellen Systems und des Host synchronisiert sind. Wenn Fehleraufgetreten sind, klicken Sie auf View Error Log (Fehlerprotokoll anzeigen). Weitere Informationenfinden Sie unter Konfigurieren der Zeitsynchronisation (p. 4).

UserProvider Service (UserProvider-Service)

Listet die vCenter-Benutzer auf. Wenn Fehler aufgetreten sind, klicken Sie auf View Error Log(Fehlerprotokoll anzeigen).

Poller Service (Abfrage-Service)

Überwacht den Status der VMs, die Sie nach Amazon EC2 migrieren. Wenn Fehler aufgetretensind, klicken Sie auf View Error Log (Fehlerprotokoll anzeigen). Wenn der Fehler darinbesteht, dass der Service nicht seinen Status aktualisiert, starten Sie den Service neu, wie inFehlerbehebung bei Upgrades (p. 55) beschrieben.

Network Proxy Configured (Netzwerk-Proxy konfiguriert)

Gibt an, ob Sie über einen Proxy angebunden sind. Wenn Sie keinen Netzwerk-Proxy verwenden,ist dieses Element nicht vorhanden.

Connector Dashboard Login (Connector-Dashboard-Anmeldung)

Zeigt an, ob es Anmeldeversuche für die connector mit einem falschen Passwort gab. Nach 20Anmeldeversuchen mit einem falschen Passwort wird die connector gesperrt.

Authentication Proxy Service (Authentifizierungs-Proxy-Service)

Gibt an, dass Sie den Verbundauthentifizierungs-Proxy in der connector verwenden, um dieBenutzeranmeldeinformationen bei der Anmeldung bei AWS Management Portal for vCenter zuvalidieren. Wenn Sie die SAML-basierte Authentifizierung verwenden, ist dieses Element nichtvorhanden.

Melden eines Problems an AWSFühren Sie die folgenden Schritte aus, um AWS ein Problem mit der connector zu melden. Wir empfehlen,dass Sie uns Ihre connector-Protokolle zusenden. Die Übermittlung Ihrer Protokolle erfolgt gesichert, undwir können anhand dieser Protokolle besseren Support für Sie leisten.

So melden Sie AWS ein Problem

1. Rufen Sie in Ihrem Webbrowser die Seite https://IP_Adresse/ auf. IP_Adresse steht dabei für die IP-Adresse der connector-Managementkonsole.

2. Melden Sie sich bei der connector mit Ihrem Passwort an.3. Klicken Sie unter Support Links (Support-Links) auf Report a problem to AWS (AWS ein Problem

melden).4. Führen Sie im Dialogfeld Report a problem to AWS (AWS ein Problem melden) Folgendes aus:

a. Wählen Sie ein Problem aus der Liste der häufig vorkommender Probleme aus, oder „Other“,wenn Ihr Problem nicht aufgeführt ist.

52

AWS Management Portal for vCenter BenutzerhandbuchAktualisieren der AWSConnector-Richtlinie

b. Geben Sie in das Textfeld eine Beschreibung des Problems ein.c. Um Ihre connector-Protokolle zu senden, wählen Sie I agree to send my logs to Amazon Web

Services (Ich stimme dem Senden meiner Protokolle an Amazon Web Services zu) aus.d. Klicken Sie auf Send (Senden).

Aktualisieren der AWSConnector-RichtlinieWenn Sie eine Version von AWS Connector for vCenter vor Version 2.4.0 verwendeten, müssen Sie dieRichtlinien derjenigen IAM-Benutzer, die Sie bei der Einrichtung erstellt haben, wie folgt aktualisieren. Aufdiese Weise wird sichergestellt, dass diese Benutzer Zugriff auf AWS haben, was bei der Migration einervirtuellen Maschine (VM) ist jetzt erforderlich ist.

So aktualisieren Sie die AWSConnector-Richtlinie

1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.2. Klicken Sie im Navigationsbereich auf Users (Benutzer).3. Wählen Sie den Benutzer aus.4. Klicken Sie unter Permissions (Berechtigungen) für die AWSConnector-Richtlinie auf Remove Policy

(Richtlinie entfernen). Wenn Sie zur Bestätigung aufgefordert werden, klicken Sie auf Remove.5. Klicken Sie auf Attach Policy (Richtlinie anfügen).6. Aktivieren Sie das Kontrollkästchen neben der AWSConnector-Richtlinie.7. Klicken Sie auf Attach Policy (Richtlinie anfügen).

Allgemeine ProblembehebungFalls Sie die Protokolldateien herunterladen und prüfen müssen

Sie können bei der Problembehandlung mit der connector wie folgt die Debugging-Protokolldateienherunterladen:

1. Öffnen Sie die connector-Managementkonsole in einem Webbrowser.2. Klicken Sie im Dashboard auf Download Debug Log Bundle (Debug-Protokollpaket herunterladen).3. Laden Sie die Protokolldateien herunter und überprüfen Sie sie.

Wenn AWS Management Portal for vCenter nicht im vSphere-Webclient angezeigt wird

1. Melden Sie sich von Ihrem vSphere-Webclient ab und wieder an.2. Wenn management portal immer noch nicht angezeigt wird, erneuern Sie die Registrierung des

connectors wie folgt:

a. Öffnen Sie die connector-Managementkonsole in einem Webbrowser.b. Klicken Sie im Dashboard auf Register the Connector (Connector registrieren).c. Befolgen Sie die Anweisungen, um den Registrierungsassistenten abzuschließen.d. Melden Sie sich von Ihrem vSphere-Webclient ab und wieder an.

3. Wenn management portal immer noch nicht angezeigt wird, starten Sie den Service für die connectorneu, wie unten unter den Schritten für "Wenn der connector nicht reagiert" beschrieben, undregistrieren Sie den connector erneut, wie im vorherigen Schritt erläutert.

53


AWS Management Portal for vCenter BenutzerhandbuchAllgemeine Problembehebung

Wenn der connector nicht reagiert

1. Sie können die Services für den connector wie folgt über die connector-CLI neu starten:

a. Suchen Sie die connector-VM im vSphere-Client, klicken Sie mit der rechten Maustaste daraufund wählen Sie Open Console (Konsole öffnen) aus.

b. Melden Sie sich als ec2-user an. Weitere Informationen finden Sie unter Protokollieren in die VM-Konsole (p. 49).

c. Führen Sie den Befehl sudo setup.rb aus. Durch diesen Befehl wird das folgende Menü angezeigt:


d. Geben Sie 3 ein und drücken Sie die Eingabetaste. Folgen Sie den Anweisungen auf demBildschirm.

2. Alternativ können Sie den Hostcomputer neu starten. Suchen Sie den Connector in derBestandsstruktur des vSphere-Clients und wählen Sie dann Power > Restart Guest (Ein/Aus > Gastneu starten) aus.

3. Wenn ein Neustart des Service bzw. des Hostcomputers das Problem nicht löst, können Sie wie folgteine Werkszurücksetzung durchführen:

Warning

Das Zurücksetzen auf die Werkseinstellungen sollte nur als letzte Möglichkeit in Betrachtgezogen werden. Sie müssen nach dem Zurücksetzen auf die Werkseinstellungen dieconnector erneut konfigurieren.

a. Suchen Sie die connector-VM im vSphere-Client, klicken Sie mit der rechten Maustaste daraufund wählen Sie Open Console (Konsole öffnen) aus.

b. Melden Sie sich als ec2-user an. Weitere Informationen finden Sie unter Protokollieren in die VM-Konsole (p. 49).

c. Führen Sie den Befehl sudo setup.rb aus. Durch diesen Befehl wird das folgende Menü angezeigt:


d. Geben Sie 4 ein und drücken Sie die Eingabetaste. Folgen Sie den Anweisungen auf demBildschirm.

e. Wenn die Zurücksetzung abgeschlossen ist, befindet sich das Systems in dem Zustand, als Siedie OVA-Datei gerade heruntergeladen und installiert haben. Sie müssen den Connector erneutkonfigurieren. Weitere Informationen finden Sie unter Konfigurieren des Connectors (p. 18).

54

AWS Management Portal for vCenter BenutzerhandbuchFehlerbehebung bei Upgrades

Fehlerbehebung bei UpgradesWenn bei einem Upgrade ein Fehler auftritt

1. Überprüfen Sie in der Managementkonsole, ob im Ausschnitt Health Status (Zustand) Fehler angezeigtwerden. Wenn ein Fehler angezeigt wird, versuchen Sie, das Problem zu lösen. Weitere Informationenfinden Sie unter Überwachen des Connectors (p. 51).

2. Aktualisieren Sie die Seite und versuchen Sie erneut, das Upgrade zu installieren.3. Wenn der Fehler weiterhin besteht, senden Sie Debugging-Protokolle an AWS. Weitere Informationen

finden Sie unter Melden eines Problems an AWS (p. 52).

Wenn die Installation eines Upgrades unerwartet lange dauert

Wenn Sie über ein manuelles Upgrade von connector Version 2.4.x über die Managementkonsole gestartethaben, kann der Upgrade-Prozess lange dauern. Der Grund hierfür ist, dass wir Sicherheitsupgrades derconnector durchführen.

1. Wenn das Upgrade nach 20 Minuten noch nicht abgeschlossen ist, aktualisieren Sie den Browser.Wenn die Seite nicht erreichbar ist,ist die Aktualisierung möglicherweise noch nicht abgeschlossen.Warten Sie in diesem Fall 10 Minuten und aktualisieren Sie die Seite dann erneut.

2. Akzeptieren Sie die neuen Zertifikate für die connector, wenn Sie von Ihrem Browser dazu aufgefordertwerden.

3. Melden Sie sich bei den connector an.

Wenn der connector nach einen Upgrade nicht reagiert

1. Wenn der connector auch nach 30 Minuten noch nicht reagiert, starten Sie die connector-Applianceneu.

2. Wenn die connector auch dann nicht reagiert, wenden Sie sich an den AWS-Support, um weitereUnterstützung zu erhalten.

Installieren eines vertrauenswürdigen SSL-Zertifikats

Wenn Sie die connector-Appliance zum ersten Mal starten, generiert sie automatisch ein selbstsigniertesZertifikat basierend auf der IP-Adresse. Da es sich um ein selbstsigniertes Zertifikat handelt, informiert IhrWeb-Browser Sie, wenn Sie zum ersten Mal die connector-Managementkonsole öffnen darüber, dass essich um ein nicht vertrauenswürdiges Zertifikat handelt. Wir empfehlen, dass Sie dieses Zertifikat validieren,bevor Sie es als vertrauenswürdig klassifizieren. Anschließend sollten Sie das Zertifikat ersetzen, indemSie es durch ein SSL-Zertifikat ersetzen, das von einer vertrauenswürdigen Zertifikatsstelle (CA) aufIhrem connector signiert ist, wie in dem folgenden Verfahren beschrieben. Nachdem Sie diesen Vorgangabgeschlossen haben, können Sie mit dem neuen Zertifikat weitere Verbindungen zu der connectorherstellen.

So installieren Sie ein SSL-Zertifikat auf Ihrer connector

1. Vor dem Hochladen eines vertrauenswürdigen Zertifikats auf den connector empfehlen wir Ihnensicherzustellen, dass die Kommunikation zwischen Ihrem Computer und dem connector über dasNetzwerk sicher ist. Weitere Informationen finden Sie unter Validieren eines nicht vertrauenswürdigenSSL-Zertifikats (p. 56).

55

AWS Management Portal for vCenter BenutzerhandbuchValidieren eines nicht vertrauenswürdigen SSL-Zertifikats

2. Erstellen Sie einen privaten Schlüssel und erzeugen Sie ein zugehöriges vertrauenswürdiges Zertifikatim PEM-Format. Es wird empfohlen, dies wie folgt durchzuführen:

a. Erstellen Sie den privaten Schlüssel und die Zertifikatssignierungsanforderung (CertificateSigning Request, CSR) mithilfe von Tools wie den openssl-Tools. Sie müssen die IP-Adresse derconnector angeben. Wenn Sie einen DNS-Hostnamen eingerichtet haben, der zur IP-Adresse desconnectors aufgelöst wird, müssen Sie auch den DNS-Hostnamen des connector angeben.

b. Übermitteln Sie die CSR an Ihre CA.c. Warten Sie, bis Ihnen die der Zertifizierungsstelle das vertrauenswürdige Zertifikat zusendet.

3. Paketieren Sie wie folgt den privaten Schlüssel und das vertrauenswürdige Zertifikat in eine PKCS#12-Datei mit einer Passphrase:

openssl pkcs12 -export -inkey my-private-key.pem -in my-certificate.pem -out my-passphrase.p12 -passout pass:passphrase

4. Öffnen Sie die Managementkonsole.5. Klicken Sie im Fenster Actions (Aktionen) auf Upload security certificate (Sicherheitszertifikat

hochladen).6. Klicken Sie im Dialogfeld Upload Security Certificate (Sicherheitszertifikat hochladen) auf Choose

file (Datei auswählen) und wählen Sie Ihre PKCS#12-Datei aus. Geben Sie die Passphrase ein undklicken Sie dann auf Upload (Hochladen).

Jedes SSL-Zertifikat verfügt über eine Gültigkeitsdauer. Sie müssen ein Zertifikat ersetzen, bevor dieGültigkeitsdauer endet. Um ein Zertifikat zu ersetzen, müssen Sie ein neues Zertifikat erstellen undhochladen.

Validieren eines nicht vertrauenswürdigen SSL-Zertifikats

Wenn Sie die connector-Appliance zum ersten Mal starten, generiert sie automatisch ein selbstsigniertesZertifikat basierend auf der IP-Adresse. Die connector bietet Ihrer Browser dieses Zertifikat an, um sichselbst zu identifizieren und die Verbindung zu verschlüsseln. Dieses Zertifikat unterstützt den Browserdabei zu erkennen, ob diese Website tatsächlich die Website ist, für die sie sich ausgibt. Da es sichum ein selbstsigniertes Zertifikat handelt, informiert Ihr Web-Browser Sie, wenn Sie zum ersten Mal dieconnector-Managementkonsole öffnen darüber, dass es sich um ein nicht vertrauenswürdiges Zertifikathandelt. (Sehen Sie nach der Fehlermeldung in Ihrem Browser, um weitere Informationen zu erhalten.) Wirempfehlen, dass Sie dieses Zertifikat validieren, bevor Sie es als vertrauenswürdig einstufen.

Wenn die IP-Adresse in dem SSL-Zertifikat für den connector von der derzeitigen connector-IP-Adresseabweicht, sollten Sie die Services auf dem connector neu starten, damit das Zertifikat unter Verwendungder aktuellen IP-Adresse neu generiert wird. Weitere Informationen finden Sie unter Neustarten vonServices (p. 54).

Sie können das nicht vertrauenswürdigen Zertifikat validieren, indem Sie wie folgt die Zertifikatsdetailsanzeigen sie mit denen auf dem nicht vertrauenswürdigen Zertifikat vergleichen.

So zeigen Sie das connector-Zertifikat an



56

AWS Management Portal for vCenter BenutzerhandbuchDeinstallieren des Connectors



4. Geben Sie 7 ein und drücken Sie die Eingabetaste.

Deinstallieren des ConnectorsWenn Sie die connector deinstallieren müssen, führen Sie die folgenden Schritte aus.

So deinstallieren Sie den connector

1. Öffnen Sie die connector-Managementkonsole in einem Webbrowser.2. Klicken Sie im Dashboard auf Unregister the Connector (Registrierung vom Connector aufheben).3. Geben Sie im Dialogfeld Unregister the Connector (Registrierung vom Connector aufheben) den

Benutzernamen und das Passwort ein und klicken Sie dann auf Unregister (Registrierung aufheben).4. Melden Sie sich an vCenter an.5. Suchen Sie den connector in der Bestandsstruktur des vSphere-Clients, klicken Sie mit der rechten

Maustaste darauf und wählen Sie Power > Power Off (Ein/Aus > Ausschalten) aus. Klicken Sie erneutmit der rechten Maustaste auf die Vorlage und wählen Sie Delete from Disk (Vom Datenträger löschen)aus.

57


DokumentverlaufIn der folgenden Tabelle sind die wichtigsten Änderungen an dieser Dokumentation beschrieben.

Änderungen Beschreibung Veröffentlichungsdatum

AWS Connector forvCenter Version 2.7.0

Unterstützung für vSphere-Webclient: Sie können AWSConnector for vCenter jetzt mit vSphere Web Client 5.5 und6.0 verwenden. Sie müssen den connector nach dem Upgraderegistrieren. Weitere Informationen finden Sie im Abschnitt zumerneuten Registrieren Ihres Connectors zur Verwendung mitvSphere Web Client (p. 53).

Verbesserte Fehlerberichterstattung an AWS: Wenn SieProtokolle an AWS senden, können Sie eine Beschreibungdes Problems, an dessen Fehlerbehebung Sie arbeiten,bereitstellen. Weitere Informationen finden Sie unter Meldeneines Problems an AWS (p. 52).

Verbesserte VM-Migration: Wenn Sie eine virtuellen Maschinemigrieren, werden alle CD- oder DVD-Laufwerke, die der VMzugeordnet sind, automatisch ausgeschlossen.

20. Januar2016


Sie können jetzt mithilfe des connectors virtuelle Maschinenmit mehr als einem virtuellen Laufwerk zu Amazon EC2migrieren. Für diese Funktion müssen Sie eventuell weitereBerechtigungen erteilen. Weitere Informationen finden Sie imAbschnitt zum Fehler Additional permissions are required tomigrate multidisk virtual machines (Zusätzliche Berechtigungensind erforderlich, um virtuelle Maschinen mit mehrerenDatenträgern zu migrieren) (p. 47).

28. Oktober2015

Unterstützung fürdas Exportiereneiner migrierten EC2-Instance hinzugefügt

Nach der Migration einer VM nach Amazon EC2 könnenSie die Instance bei Bedarf exportieren. Dieser Prozess fürdas Exportieren einer Instance erstellt eine OVA-Datei undspeichert diese in einem S3-Bucket in Ihrem AWS-Konto.Weitere Informationen finden Sie unter Exportieren einermigrierten EC2 Instance (p. 45).

26. August2015


Unterstützung für vCenter 6.0: Sie können VMware vCenter 6.0über den vSphere Client für Desktopcomputer nutzen.

Unterstützung für neue Regionen: Sie können in der RegionEuropa (Frankfurt) Ressourcen erstellen und VMs zu AmazonEC2 migrieren.

Vertrauenswürdige SSL-Zertifikate: Sie können ein SSL-Zertifikat an Ihre connector hochladen, sodass Ihr Browserdie Website überprüfen kann. Weitere Informationen findenSie unter Installieren eines vertrauenswürdigen SSL-Zertifikats (p. 55).

DNS-Suffix-Konfiguration: Sie können die DNS-Suffixsuchlisteüber die Befehlszeilen-Schnittstelle (CLI) durchsuchen.

22. Juli 2015

58


Änderungen Beschreibung Veröffentlichungsdatum

AWS Connector forvCenter-Version 2.4.x

Automatische Upgrades: Sie können für die connectorautomatische Upgrades abrufen.

VM-Import: Wenn die connector Ihr Limit zur Anzahlder aktiven Import-Aufgaben erreicht, werden weitereImportvorgänge in eine Warteschlangen eingestellt, bis eineaktive Importaufgabe abgeschlossen ist oder abgebrochenwird. Weitere Informationen finden Sie unter Migrieren vonvirtuellen Maschinen zu Amazon EC2 mit AWS Connector forvCenter (p. 42).

Überprüfung nicht vertrauenswürdiger SSL-Zertifikate:Sie können das SSL-Zertifikat der connector über dieEinrichtungs-CLI anzeigen, sodass Sie das Zertifikat, dasdie Managementkonsole Ihrem Browser vorhält, manuellüberprüfen können. Weitere Informationen finden Sieunter Validieren eines nicht vertrauenswürdigen SSL-Zertifikats (p. 56).

Debugging-Protokolle: Sie können connector-Protokollegesichert an AWS senden. Weitere Informationen finden Sieunter Melden eines Problems an AWS (p. 52).

05. März 2015

Unterstützung fürdas Zurücksetzender Konfigurationund zur Verwaltungvorhandener EC2-Instances hinzugefügt

Wenn Sie den Authentifizierungsanbieter, mit dem Sie AWSManagement Portal for vCenter eingerichtet haben, wechselnmöchten, können Sie das Einrichtungsprogramm erneutaufrufen und die Vertrauensstellung zurücksetzen.

Sie können EC2-Instances, die Sie außerhalb von AWSManagement Portal for vCenter erstellt haben, mit AWSManagement Portal for vCenter verwalten.

03. Oktober2014

Unterstützung fürdie connector alsAuthentifizierungsanbieterhinzugefügt

Beginnend mit Version 2.1.0 von connector können Sieden connector als Authentifizierungsanbieter für dasmanagement portal auswählen. In der ersten Version vonAWS Management Portal for vCenter war Version 2.0.0des connectors enthalten, für dessen Nutzung Sie einenIdentitätsanbieter (IdP, Identity Provider) benötigen, derSAML 2.0 als Authentifizierungsanbieter unterstützt. WeitereInformationen finden Sie unter Installieren und Konfigurierenvon AWS Management Portal for vCenter (p. 3).

20. August2014

Unterstützung fürStandardumgebungenhinzufügt

Standardumgebungen ermöglichen die Verwaltung von EC2-Instances, die für Ihr AWS-Konto mit anderen Tools als denendes Management-Portals erstellt wurden. Weitere Informationenfinden Sie unter Verwalten von Umgebungen (p. 31).

20. August2014

Erstversion Die Erstversion von AWS Management Portal for vCenter-Benutzerhandbuch.

30. Mai 2014

59

AWS Management Portal for vCenter - Benutzerhandbuch1.Erneuern Sie Ihr DHCP-Lease oder reaktivieren...

Documents

Transcript of AWS Management Portal for vCenter - Benutzerhandbuch1.Erneuern Sie Ihr DHCP-Lease oder reaktivieren...