注意：如果您的 VMware Cloud on AWS SDDC 位于美国（美国区域）数据中心的 vCenter 服务器上，则可以在 SDDC 中部署和使用 Automation Assembler 代理，而不必使用本主题所述的 API 令牌和中间云代理。

注意：如果要在 VMware Aria Automation on AWS GovCloud (US) 环境中创建 VMware Cloud on AWS 云帐户，请参见 VMware Aria Automation on AWS GovCloud (US) 入门。有关相关产品的文档，请参见 VMware vRealize Cloud Universal on AWS GovCloud (US) 产品文档登录页。

• 确认您对 vCenter 中的目标 SDDC 具有 VMware Cloud on AWS CloudAdmin 凭据。请参见在 VMware Aria Automation 中使用云帐户所需的凭据。
• 确认您在 VMware Aria Automation 中具有云管理员用户角色。请参见VMware Aria Automation 用户角色是什么。
• 确认在 VMware Cloud on AWS 控制台中配置了所需的 SDDC 网关防火墙规则。通过网关防火墙规则，云代理 VA 可以与 VMware Cloud on AWS SDDC 进行通信。请参见在 VMware Aria Automation 中配置基本 VMware Cloud on AWS 工作流。
• 要支持云代理，您需要访问以下域。
  • ci-data-collector.s3.amazonaws.com - 启用 Amazon Web Services S3 访问，以便下载云代理 OVA。
  • symphony-docker-external.jfrog.io – 允许 JFrog Artifactory 访问 Docker 映像。
  • console.cloud.vmware.com - 启用与 VMware Cloud Services 的 Web API 和云代理服务连接。
  • data.mgmt.cloud.vmware.com – 实现与 VMware Cloud Services 的数据管道服务连接，以便在云元素和内部部署元素之间实现安全数据通信。对于非美国区域，替换区域值。例如，对于英国，使用 uk.data.mgmt.cloud.vmware.com；对于日本，使用 ja.data.mgmt.cloud.vmware.com。其他非美国区域值包括 sg（新加坡）、br（巴西）和 ca（加拿大）。
  • api.mgmt.cloud.vmware.com - 实现与 VMware Cloud Service 的 Web API 和云代理服务连接。对于非美国区域，替换区域值。例如，对于英国，使用 uk.api.mgmt.cloud.vmware.com；对于日本，使用 ja.api.mgmt.cloud.vmware.com。其他非美国区域值包括 sg（新加坡）、br（巴西）和 ca（加拿大）。
• 在添加 VMware Cloud on AWS 云帐户之前，请在 VMware Cloud on AWS 控制台中配置管理网关防火墙规则以支持云代理通信。
  • 允许 HTTPS (TCP 443) 服务的 ESXi 网络流量传输到云代理的已发现 IP 地址。
  • 允许 ICMP（全部 ICMP）、SSO (TCP 7444) 和 HTTPS (TCP 443) 服务的 vCenter 网络流量传输到云代理的已发现 IP 地址。
  • 允许使用 HTTPS (TCP 443) 服务的 NSX Manager 网络流量传输到云代理的已发现 IP 地址。

如果对云代理使用静态 IP 地址，则可以创建防火墙规则，在部署云代理之前或之后限制目标 vCenter 和 NSX Manager 的网络流量。

有关详细信息，请参见了解 VMware Cloud Services 云代理。