NSX Cloud 利用 Microsoft Azure 的托管服务标识 (MSI) 功能管理身份验证,同时确保 Microsoft 凭据安全。

要使 NSX Cloud 在 Microsoft Azure 订阅中运行,需要为 CSMPCG 生成 MSI 角色以及为 NSX Cloud 生成服务主体。

为此,可以运行 NSX Cloud PowerShell 脚本。此外,还需要 JSON 格式的两个文件作为参数。使用所需的参数运行 PowerShell 脚本时,会创建以下构造:

  • NSX Cloud 创建 Azure AD 应用程序。

  • NSX Cloud 应用程序创建 Azure 资源管理器服务主体。

  • 为连接到服务主体帐户的 CSM 创建角色。

  • PCG 创建角色,以使其在公有云清单上运行。

注:

首次运行脚本时,Microsoft Azure 响应时间可能会导致脚本失败。如果脚本失败,请尝试重新运行。

前提条件

  • 您必须安装了包含 AzureRM 模块的 PowerShell 5.0+。

  • 您必须是要运行脚本以生成 NSX Cloud 服务主体的 Microsoft Azure 订阅的所有者。

过程

  1. 在 Windows 桌面或服务器上,从 NSX-T Data Center 下载页面 > 驱动程序和工具 > NSX Cloud 脚本 > Microsoft Azure 下载名为 CreateNSXCloudCredentials.zip 的 ZIP 文件。

  2. 将 ZIP 文件的以下内容提取到 Windows 系统中:

    文件名

    说明

    CreateNSXRoles.ps1

    此 PowerShell 脚本用于生成 NSX Cloud 服务主体以及为 CSMPCG 生成 MSI 角色

    nsx_csm_role.json

    此文件包含 Microsoft Azure 中的 CSM 角色名称和此角色的权限。这是 PowerShell 脚本的输入,必须与脚本位于同一文件夹中。

    nsx_pcg_role.json

    此文件包含 Microsoft Azure 中的 PCG 角色名称和此角色的权限。这是 PowerShell 脚本的输入,必须与脚本位于同一文件夹中。默认 PCG(网关)角色名称为 nsx-pcg-role

    注:

    如果要在 Microsoft Azure Active Directory 中为多个订阅创建角色,必须在相应的 JSON 文件中更改每个订阅的 CSMPCG 角色名称,然后重新运行脚本。

  3. 运行脚本并使用您的 Microsoft Azure 订阅 ID 作为参数。参数名称为 subscriptionId

    例如,

    .\CreateNSXRoles.ps1 -subscriptionId <your_subscription_ID> 

    这会为 NSX Cloud 创建服务主体以及为 CSMPCG 创建具有相应特权的角色,并将 CSMPCG 角色附加到 NSX Cloud 服务主体。

  4. 在运行 PowerShell 脚本的同一目录中查找文件。该文件的文件名类似于:NSXCloud_ServicePrincipal_<your_subscription_ID>_<NSX_Cloud_Service_Principal_name>。该文件包含在 CSM 中添加 Microsoft Azure 订阅所需的信息。
    • 客户端 ID

    • 客户端密钥

    • 租户 ID

    • 订阅 ID

    注:

    有关创建 CSMPCG 角色后适用于这些角色的权限列表,请参阅用于创建这些角色的 JSON 文件。

下一步做什么

在 CSM 中添加 Microsoft Azure 订阅