NSX Cloud enthält ein SHELL-Skript, um die Einrichtung von einem oder mehreren Ihrer AWS-Konten durch das Anlegen eines IAM-Profils und einer Rolle für das PCG zu vereinfachen. Letztere ist an das Profil angehängt, welches die erforderlichen Berechtigungen für Ihr AWS-Konto liefert.
Wenn Sie vorhaben, eine Transit-VPC mit mehreren Computing-VPCs in zwei verschiedenen AWS-Konten zu verknüpfen, können Sie das Skript zum Erstellen einer vertrauenswürdigen Beziehung zwischen diesen Konten verwenden.
Hinweis: Der
PCG-(Gateway-)Rollenname ist standardmäßig
nsx_pcg_service. Wenn Sie einen anderen Wert für den Gateway-Rollenname möchten, können Sie ihn im Skript ändern, notieren Sie sich diesen Wert jedoch, da er für das Hinzufügen des AWS-Kontos zur
CSM erforderlich ist.
Voraussetzungen
Bevor Sie das Skript ausführen, müssen Sie auf Ihrem Linux-System oder einem kompatiblen System Folgendes installiert und konfiguriert haben:
- Für das Konto und die Standardregion konfigurierte AWS-CLI.
- jq (ein JSON-Parser).
- openssl (Netzwerksicherheitsanforderung).
Hinweis: Wenn Sie AWS GovCloud (US)-Konten verwenden, stellen Sie sicher, dass Ihre AWS-CLI für das GovCloud (US)-Konto konfiguriert ist und dass die Standardregion in der AWS CLI-Konfigurationsdatei angegeben ist.
Prozedur
- Laden Sie auf einem Linux- oder kompatiblen Desktop oder Server das SHELL-Skript mit dem Namen nsx_csm_iam_script.sh von der NSX-T Data Center-Download-Seite > Treiber & Tools > NSX Cloud-Skripte > AWS herunter.
- Szenario 1: Sie möchten ein einzelnes AWS-Konto mit NSX Cloudverwenden.
- Führen Sie das Skript aus, beispielsweise:
bash nsx_csm_iam_script.sh
- Geben Sie bei entsprechender Aufforderung mit der Frage
Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
yes ein.
- Geben Sie bei der Frage
What do you want to name the IAM User?
einen Namen für den IAM-Benutzer ein.
Hinweis: Der IAM-Benutzername muss in Ihrem AWS-Konto eindeutig sein.
- Geben Sie bei der Frage
Do you want to add trust relationship for any Transit VPC account? [yes/no]
no ein.
Wenn das Skript erfolgreich ausgeführt wird, werden das IAM-Profil und eine Rolle für
PCG in Ihrem AWS-Konto erstellt. Die Werte werden in der Ausgabedatei
aws_details.txt in demselben Verzeichnis gespeichert, in dem Sie das Skript ausgeführt haben. Im nächsten Schritt führen Sie die Anweisungen unter
Ihr AWS-Konto zu CSM hinzufügen und dann
Bereitstellen von PCG in einer VPC aus, um die Einrichtung einer Transit-VPC oder selbstverwalteten VPC abzuschließen.
- Szenario 2: Sie möchten mehrere Unterkonten auf dem AWS nutzen, die von einem AWS-Hauptkonto verwaltet werden.
- Führen Sie das Skript über Ihr AWS-Hauptkonto aus.
bash nsx_csm_iam_script.sh
- Geben Sie bei entsprechender Aufforderung mit der Frage
Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
yes ein.
- Geben Sie bei der Frage
What do you want to name the IAM User?
einen Namen für den IAM-Benutzer ein.
Hinweis: Der IAM-Benutzername muss in Ihrem AWS-Konto eindeutig sein.
- Geben Sie bei der Frage
Do you want to add trust relationship for any Transit VPC account? [yes/no]
no ein.
Hinweis: Mit einem AWS-Hauptkonto müssen Sie, wenn Ihre Transit-VPC die Berechtigung zum Anzeigen von Computing-VPCs in den Unterkonten hat, keine vertrauenswürdige Beziehung zu Ihren Unterkonten mehr herstellen. Befolgen Sie andernfalls die Schritte für
Szenario 3, um mehrere Konten einzurichten.
Wenn das Skript erfolgreich ausgeführt wird, werden das IAM-Profil und eine Rolle für das
PCG in Ihrem AWS-Hauptkonto erstellt. Die Werte werden in der Ausgabedatei im selben Verzeichnis gespeichert, in dem Sie das Skript ausgeführt haben. Der Dateiname lautet
aws_details.txt. Im nächsten Schritt führen Sie die Anweisungen unter
Ihr AWS-Konto zu CSM hinzufügen und dann
Bereitstellen von PCG in einer VPC aus, um die Einrichtung einer Transit-VPC oder selbstverwalteten VPC abzuschließen.
- Szenario 3: Sie möchten mehrere AWS Konten mit NSX Cloud verwenden. Sie benennen dazu ein Konto für die Transit-VPC und andere Konten für Computing-VPCs. Einzelheiten zu den PCG-Bereitstellungsoptionen finden Sie unter Bereitstellen des NSX Public Cloud Gateway.
- Notieren Sie sich die 12-stellige AWS-Kontonummer für das Konto, auf dem Sie die Transit-VPC hosten möchten.
- Richten Sie die Transit-VPC im AWS-Konto ein, indem Sie die Schritte a bis d für Szenario 1 befolgen. Schließen Sie das Verfahren zum Hinzufügen des Kontos in CSM ab.
- Laden Sie das Skript NSX Cloud von einem Linux-System oder einem kompatiblen System in Ihrem anderen AWS-Konto, auf dem Sie die Computing-VPCs hosten möchten, herunter und führen Sie es aus. Alternativ können Sie die AWS-Profile mit anderen Konto-Anmeldedaten nutzen, um so das Skript für Ihr anderes AWS-Konto wieder unter Verwendung desselben Systems auszuführen.
- Das Skript stellt die Frage:
Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
. Verwenden Sie die folgende Anleitung für die entsprechende Antwort:
Dieses AWS-Konto wurde bereits zu CSM hinzugefügt. |
Geben Sie nein als Antwort auf Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no] ein. |
Dieses Konto wurde zuvor nicht zu CSM hinzugefügt. |
Geben Sie ja als Antwort auf Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no] ein. |
- (Optional) Wenn Sie die Frage zum Erstellen eines IAM-Benutzers für CSM und PCG in der vorherigen Frage mit ja beantwortet haben, geben Sie bei der Frage
What do you want to name the IAM User?
einen Benutzernamen für den IAM-Benutzer ein. Der IAM-Benutzername muss in Ihrem AWS-Konto eindeutig sein.
- Geben Sie bei der Frage
Do you want to add trust relationship for any Transit VPC account? [yes/no]
ja ein.
- Geben Sie die 12-stellige AWS-Kontonummer, die Sie sich bei der Frage
What is the Transit VPC account number?
in Schritt 1 notiert haben, ein bzw. kopieren und fügen Sie sie ein.
Eine vertrauenswürdige IAM-Beziehung wird zwischen den beiden AWS-Konten eingerichtet, und es wird eine externe ID (ExternalID) vom Skript generiert.
Wenn das Skript erfolgreich ausgeführt wird, werden das IAM-Profil und eine Rolle für das
PCG in Ihrem AWS-Hauptkonto erstellt. Die Werte werden in der Ausgabedatei im selben Verzeichnis gespeichert, in dem Sie das Skript ausgeführt haben. Der Dateiname lautet
aws_details.txt. Im nächsten Schritt führen Sie die Anweisungen unter
Ihr AWS-Konto zu CSM hinzufügen und dann unter
Verknüpfung mit einer Transit-VPC oder einem Transit-VNet aus, um die Verknüpfung mit einer Transit-VPC abzuschließen.