请按照以下步骤使用 NSX Cloud 提供的 Terraform 脚本和 NSX Cloud Marketplace 映像在 Microsoft Azure 中部署 NSX Cloud。
前提条件
- 确认您在 Microsoft 订阅中有权访问 NSX Cloud Marketplace 映像。
- 确认您已在要部署 NSX Cloud 设备的订阅中接受 Microsoft Azure 的 Marketplace 法律条款。
- 您必须在系统上安装并配置了 Microsoft Azure CLI。这是运行 Terraform 脚本中使用的 Azure API 以及对其进行身份验证所必需的。
如果可能,请使用相同的系统运行用于访问 Microsoft 订阅的 Terraform 脚本。这会确保可以从系统中使用您的 Microsoft Azure 凭据,并且您不必与其他系统共享该信息。
此外,作为安全建议,请在支持 Python 加密模块的 Linux/Unix 或 macOS 系统上运行这些脚本。
- 确认您在计划运行 Terraform 脚本的系统上具有 Terraform 0.13 或更高版本的二进制文件。
- 您必须在该系统上安装了 Python 3.0 或更高版本。
过程
结果
- 托管 NSX Cloud 管理设备的 VNet。该 VNet 命名为 <deployment_prefix>-nsx-mgmt-vnet。
- 可用性集,其中部署了 NSX Manager 集群的三个节点。该可用性集命名为 <deployment_prefix>-nsx-aset。
- 名为 <deployment_prefix>nsx-mgmt-rg 的 Microsoft Azure 资源组。
- 每个 NSX Manager 节点和 CSM 设备的以下资源:
- CSM 的虚拟机(名为 <deployment_prefix>nsx-csm)以及 NSX Manager 集群的虚拟机(名为 <deployment_prefix>nsx-mgr0、<deployment_prefix>nsx-mgr1 和 <deployment_prefix>nsx-mgr2)。
- 每个虚拟机的操作系统磁盘。
- 每个虚拟机的网络接口 (NIC)。
- 每个虚拟机的公用 IP 地址。
- 每个虚拟机的数据磁盘。
- 允许这些设备进行连接的 NSX Cloud 管理组件的网络安全组。
- <deployment_prefix>-nsx-mgr-sg:
表 1. 使用 Terraform 脚本部署的 NSX Manager 的入站规则 优先级 名称 端口 协议 源 目标 操作 1000 AllowInboundRuleAPI 443 TCP 任意 任意 允许 表 2. 使用 Terraform 脚本部署的 NSX Manager 的出站规则 优先级 名称 端口 协议 源 目标 操作 100 AllowOutboundRuleAPI 任意 TCP 任意 任意 允许 - <deployment_prefix>-nsx-csm-sg:
表 3. 使用 Terraform 脚本部署的 CSM 的入站规则 优先级 名称 端口 协议 源 目标 操作 1000 AllowInboundRuleAPI 443 TCP 任意 任意 允许 表 4. 使用 Terraform 脚本部署的 CSM 的出站规则 优先级 名称 端口 协议 源 目标 操作 100 AllowOutboundRuleAPI 80、443 TCP 任意 任意 允许
注: 请考虑更新这些自动创建的网络安全组的 Source 字段,以将其更改为您希望从中访问 NSX Manager 和 CSM 的一组有限的 CIDR。默认的 Any 不太安全。 - <deployment_prefix>-nsx-mgr-sg:
- 具有文件库策略的 Microsoft Azure Recovery Service Vault,用于对所有三个 NSX Manager 节点和 CSM 设备执行定期备份。文件库策略命名为 <deployment_prefix>-nsx-vault,默认备份计划设置为:每天晚上 11 点 (UTC) 重复执行。
有关还原选项的详细信息,请参见《NSX-T Data Center 管理指南》中的在 Microsoft Azure 中管理 NSX Manager 和 CSM 备份和还原。