要让 NSX Cloud 在订阅中运行,请创建一个服务主体以基于 Microsoft Azure 功能为 CSMPCG 授予所需权限和角色以便管理 Azure 资源的身份。

概览

  • NSX Cloud 提供了 PowerShell 脚本以生成服务主体和角色(使用 Microsoft Azure 的受管身份功能来管理身份验证,同时确保您的 Microsoft Azure 凭据安全)。也可以使用此脚本在一个服务主体下包括多个订阅。
  • 可以选择将服务主体重用于所有的订阅,或者根据需要创建新的服务主体。如果要为其他订阅创建单独的服务主体,可以使用其他脚本。
  • 对于多个订阅(不管将单个服务主体用于所有订阅,还是使用多个服务主体),必须更新 CSMPCG 角色的 JSON 文件,才能在部分 AssignableScopes 下添加每个额外订阅的名称。
  • 如果在 VNet 中已具有 NSX Cloud 服务主体,则可以通过再次运行脚本,并从参数中省略服务主体名称来进行更新。
  • 服务主体名称对于 Microsoft Azure Active Directory 必须是唯一的。可以在同一 Active Directory 域下的不同订阅中使用相同的服务主体,或者每个订阅使用不同的服务主体。但是不能创建两个同名的服务主体。
  • 必须是所有者,或者具有在所有 Microsoft Azure 订阅中创建和分配角色的权限。
  • 支持以下场景:
    • 场景 1:具有要通过 NSX Cloud 启用的单个 Microsoft Azure 订阅。
    • 场景 2:在要通过 NSX Cloud 启用的同一 Microsoft Azure 目录下具有多个 Microsoft Azure 订阅,但要在所有订阅中使用一个 NSX Cloud 服务主体。
    • 场景 3:在要通过 NSX Cloud 启用的同一 Microsoft Azure 目录下具有多个 Microsoft Azure 订阅,但不同的订阅要使用不同的 NSX Cloud 服务主体名称。

以下是过程概要:

  1. 使用 NSX Cloud PowerShell 脚本:
    • NSX Cloud 创建服务主体帐户。
    • CSM 创建角色。
    • PCG 创建角色。
  2. (可选)为要链接的其他订阅创建服务主体。
  3. CSM 中添加 Microsoft Azure 订阅。
    注: 如果使用多个订阅,则不管是使用相同的还是不同的服务主体,都必须在 CSM 中单独添加每个订阅。