NSX Cloud nutzt die Managed Service Identity-(MSI-)Funktion von Microsoft Azure, um die Authentifizierung zu verwalten und gleichzeitig die Sicherheit Ihrer Microsoft-Zugangsdaten zu gewährleisten.

Damit NSX Cloud in Ihrem Microsoft Azure-Abonnement ausgeführt werden kann, müssen Sie MSI-Rollen für CSM und PCG und einen Service Principal für NSX Cloud einrichten.

Dies wird erreicht, indem Sie das NSX Cloud-PowerShell-Skript ausführen. Zusätzlich benötigen Sie zwei Dateien im JSON-Format als Parameter. Wenn Sie das PowerShell-Skript mit den erforderlichen Parametern ausführen, werden die folgenden Konstrukte erstellt:

  • eine Azure-AD-Anwendung für NSX Cloud.

  • einen Azure Resource Manager Service Principal für die NSX Cloud-Anwendung.

  • eine Rolle für CSM, die dem Service-Principal-Konto zugeordnet ist.

  • eine Rolle für PCG, um die Arbeit an Ihrem Public-Cloud-Bestand zu ermöglichen.

Hinweis:

Die Antwortzeiten von Microsoft Azure können dazu führen, dass das Skript beim ersten Ausführen fehlschlägt. Wenn das Skript fehlschlägt, versuchen Sie es erneut auszuführen.

Voraussetzungen

  • Sie müssen PowerShell 5.0 + mit dem AzureRM-Modul installiert haben.

  • Sie müssen der Besitzer des Microsoft Azure-Abonnements sein, für das Sie das Skript ausführen möchten, um den NSX Cloud Service Principal zu generieren.

Prozedur

  1. Laden Sie auf einem Windows-Desktop oder -Server die ZIP-Datei CreateNSXCloudCredentials.zip von der NSX-T Data Center-Download-Seite > Treiber & Tools > NSX-Cloud-Skripte > Microsoft Azure herunter.

  2. Entpacken Sie den folgenden Inhalt der ZIP-Datei in Ihr Windows-System:

    Dateiname

    Beschreibung

    CreateNSXRoles.ps1

    Dies ist das PowerShell-Skript zum Generieren der NSX Cloud Service-Principal- und MSI-Rollen für CSM und PCG

    nsx_csm_role.JSON

    Diese Datei enthält den CSM-Rollennamen und Berechtigungen für diese Rolle in Microsoft Azure. Dies ist eine Eingabe in das PowerShell-Skript und muss sich im selben Ordner wie das Skript befinden.

    nsx_pcg_role.JSON

    Diese Datei enthält den PCG-Rollennamen und Berechtigungen für diese Rolle in Microsoft Azure. Dies ist eine Eingabe in das PowerShell-Skript und muss sich im selben Ordner wie das Skript befinden. Der PCG-(Gateway-)Rollenname ist standardmäßig nsx-pcg-role.

    Hinweis:

    Wenn Sie Rollen für mehrere Abonnements in Ihrem Microsoft Azure Active Directory erstellen, müssen Sie die CSM- und PCG-Rollennamen für jedes Abonnement in den entsprechenden JSON-Dateien ändern und das Skript erneut ausführen.

  3. Führen Sie das Skript mit Ihrer Microsoft Azure-Abonnement-ID als Parameter aus. Der Parametername ist subscriptionId.

    Beispiel:

    .\CreateNSXRoles.ps1 -subscriptionId <your_subscription_ID> 

    Dadurch wird ein Service Principal für NSX Cloud sowie eine Rolle mit entsprechenden Privilegien für CSM und PCG erstellt, und die Rollen CSM und PCG werden an den Service Principal NSX Cloud angehängt.

  4. Suchen Sie nach einer Datei im selben Verzeichnis, in dem Sie das PowerShell-Skript ausgeführt haben. Sie heißt in etwa: NSXCloud_ServicePrincipal_<your_subscription_ID>_<NSX_Cloud_Service_Principal_name>. Diese Datei enthält Informationen, die Sie benötigen, um Ihr Microsoft Azure-Abonnement in CSM hinzuzufügen.
    • Client-ID

    • Client-Schlüssel

    • Mandanten-ID

    • Abonnement-ID

    Hinweis:

    In den JSON-Dateien, die zum Erstellen der Rollen CSM und PCG verwendet werden, finden Sie eine Liste der Berechtigungen, die ihnen nach dem Erstellen der Rollen zur Verfügung stehen.

Nächste Maßnahme

Ihr Microsoft-Azure-Abonnement in CSM hinzufügen