Führen Sie die folgenden Schritte aus, um NSX Cloud mithilfe des NSX Cloud Marketplace-Images in Microsoft Azure mithilfe der von NSX Cloud bereitgestellten Skripts bereitzustellen.
Voraussetzungen
- Überprüfen Sie, ob Sie in Ihrem Microsoft-Abonnement Zugriff auf das NSX Cloud Marketplace-Image haben.
- Stellen Sie sicher, dass Sie die rechtlichen Bedingungen des Microsoft Azure Marketplace in dem Abonnement akzeptiert haben, in dem Sie NSX-Cloud-Appliances bereitstellen.
- Microsoft Azure-CLI muss auf dem System installiert und konfiguriert sein. Dies ist für die Authentifizierung und Ausführung von Azure-APIs erforderlich, die in den Terraform-Skripten verwendet werden.
Verwenden Sie für die Ausführung der Terraform-Skripte nach Möglichkeit dasselbe System, von dem aus Sie auf Ihr Microsoft-Abonnement zugreifen. Dadurch wird sichergestellt, dass Ihre Microsoft Azure-Anmeldeinformationen innerhalb des Systems verwendet werden können und Sie diese Informationen nicht für ein anderes System freigeben müssen.
Führen Sie diese Skripts auch als Sicherheitsempfehlung auf einem Linux/Unix- oder macOS-System aus, das das Python-Verschlüsselungsmodul unterstützt.
- Vergewissern Sie sich, dass Sie auf dem System, auf dem Sie die Terraform-Skripte ausführen möchten, über Binärdateien von Terraform 0.13 oder höher verfügen.
- Python 3.0 oder höher muss auf diesem System installiert sein.
Prozedur
- Laden Sie die Terraform-Skripte herunter, indem Sie sich bei Ihrem My VMware-Konto anmelden und wie folgt navigieren: . Nachdem Sie sich z. B. bei Ihrem My VMware-Konto angemeldet haben, gelangen Sie über diesen Link zur Download-Seite für Treiber und Tools.
- Extrahieren Sie den Inhalt der Datei namens NSXCloudScriptsforAddingPublicCloudAccounts.tar.gz. Die Terraform-Skripte und zugehörige Dateien befinden sich im Ordner NSXCloudScripts/cloud-native-deployment/azure/igw.
- Aktualisieren Sie die Terraform-Konfigurationsdateien.
- Fügen Sie in config.auto.vars die folgenden Informationen hinzu:
Parameter |
Beschreibung |
subscription_id |
Geben Sie die Abonnement-ID für Ihr Microsoft Azure-Konto an. |
location |
Geben Sie den Microsoft Azure-Standort an, an dem das NSX Cloud-Verwaltungs-VNet bereitgestellt werden soll. |
deployment_prefix |
Dies ist der Einsatzname, der allen automatisch erstellten Entitäten vorangestellt wird. Stellen Sie sicher, dass dies für jede subscription_id und location in Microsoft eindeutig ist. |
- Fügen Sie in credentials_nsx.auto.tfvars die folgenden Informationen hinzu:
Parameter |
Beschreibung |
mgr_public_key_path |
Dies ist der Pfad zu dem öffentlichen Schlüssel, der auf die NSX Manager-Appliance angewendet werden soll. |
csm_public_key_path |
Dies ist der Pfad zu dem öffentlichen Schlüssel, der auf die CSM-Appliance angewendet werden soll. |
license_key |
Hierbei handelt es sich um den Lizenzschlüssel für NSX Manager. Sie benötigen eine NSX Data Center Enterprise Plus-Lizenz. |
- Überprüfen Sie die erweiterten Konfigurationsinformationen in der Datei advanced_config.auto.tfvars und aktualisieren Sie sie bei Bedarf:
Parameter |
Beschreibung |
mgmt_vnet_address_space |
Dies ist der Adressraum für das neu bereitgestellte NSX Cloud-Verwaltungs-VNet. |
mgmt_subnet_address_prefix |
Dies ist das Subnetz für die NSX Cloud Management Appliances, die im NSX Cloud-Verwaltungs-VNet bereitgestellt werden. |
- Führen Sie die folgenden Befehle in der angegebenen Reihenfolge aus:
~/terraform init |
Mit diesem Vorgang werden alle Module erfasst, die für die Bereitstellung erforderlich sind. |
~/terraform plan |
Mit diesem Befehl wird die Liste der Schritte oder ein Blueprint des Verfahrens für die Bereitstellung angezeigt. |
~/terraform apply |
Mit diesem Befehl wird das Skript ausgeführt. Wenn die Ausführung nicht ordnungsgemäß verläuft, werden Ihnen die entsprechenden Fehlermeldungen angezeigt. Nachdem Sie die Fehler behoben haben, können Sie die Bereitstellung von dort aus fortsetzen, wo sie angehalten wurde. |
- Gehen Sie folgendermaßen vor, um die von den Terraform-Skripten generierten Kennwörter für NSX Manager und CSM zu ändern.
- Nachdem die Skripte erfolgreich ausgeführt wurden, notieren Sie sich die folgenden Kennwörter für NSX Manager und CSM:
- admin_password
- root_password
Diese Kennwörter werden am Ende der Bereitstellung auf dem Bildschirm angezeigt. Sie können diese Kennwörter auch in der Datei
NSXCloudScripts/cloud-native-deployment/azure/igw/terraform.tfstate im Abschnitt
"outputs" finden. Beispiel:
"outputs": {
"csm": {
"value": {
"admin_password": "<pwd>",
"admin_username": "nsxadmin",
"private_ip": "<private IP>",
"public_ip": "<public IP>",
"root_password": "<pwd>"
},
"mgrs": {
"value": [
{
"admin_password": "<pwd>",
"admin_username": "nsxadmin",
"private_ip": "<private IP",
"public_ip": "<public IP>",
"root_password": "<pwd>"
},
- Navigieren Sie in Microsoft Azure zu den für NSX Manager und CSM erstellten Netzwerksicherheitsgruppen <deployment_prefix>-nsx-mgr-sg und <deployment_prefix>-nsx-csm-sg und fügen Sie die folgende temporäre eingehende „Zulassen“-Regel für SSH hinzu:
Priorität |
Name |
Port |
Protokoll |
Quelle |
Ziel |
Aktion |
1010 |
AllowInboundRuleSSH |
22 |
TCP |
Beliebig |
Beliebig |
Zulassen |
- Melden Sie sich mit Ihrem privaten Schlüssel an der NSX Manager-Appliance an und ändern Sie das von den Terraform-Skripten generierte Kennwort:
$ ssh -i <nsx_mgr_key> nsxadmin@<NSX Manager public IP address>
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for nsxadmin.
(current) UNIX password: <Enter mgr_admin_pwd from the Terraform scripts>
New password: <Enter new password conforming to NSX-T Data Center password complexity>
Retype new password:
passwd: password updated successfully
- Melden Sie sich mit Ihrem privaten Schlüssel bei CSM an und ändern Sie das von den Terraform-Skripten generierte Kennwort:
$ ssh -i <nsx_csm_key> nsxadmin@<CSM public IP address>
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for nsxadmin.
(current) UNIX password: <Enter csm_admin_pwd from the Terraform scripts>
New password: <Enter new password conforming to NSX-T Data Center password complexity>
Retype new password:
passwd: password updated successfully
- Melden Sie sich mit dem neu festgelegten Kennwort bei der CSM-Appliance an und führen Sie den folgenden NSX CLI-Befehl aus, um CSM mit dem NSX Manager-Cluster zu verbinden:
join <nsx-manager-ip-address & port(optional)> cluster-id <nsx-manager-cluster-id> username <username> password <password> thumbprint <nsx-manager-api-thumbprint> csm-username <csm-username> csm-password <csm-password>
Sie können den NSX CLI-Befehl
get cluster status von jedem NSX Manager-Knoten aus ausführen, um die Cluster-ID zu erhalten. Den NSX Manager-Fingerabdruck können Sie abrufen, indem Sie auf dem angegebenen NSX Manager den Befehl
get certificate api thumbprint ausführen. Einzelheiten zu den CLI-Befehlen finden Sie in der CLI-Referenz im NSX-T Data Center.
Hinweis: Wenn der NSX Manager-Knoten, mit dem Sie die CSM-Appliance verbunden haben, verloren gegangen ist, können Sie entweder diesen NSX CLI-Befehl ausführen, um CSM mit einem der anderen gesunden NSX Manager-Knoten zu verbinden, oder Sie können den verlorenen NSX Manager-Knoten mithilfe seiner Image-Datei mit dem Namen
<deployment_prefix>nsx-mgr-image neu bereitstellen. CSM tritt diesem Knoten dann automatisch wieder bei, wenn dieser Knoten wieder online ist. Weitere Informationen finden Sie unter
Erneute Bereitstellung von NSX Manager über nsx_mgr_image in Microsoft Azure im
Administratorhandbuch für NSX-T Data Center.
Ergebnisse
Die Skripte stellen Folgendes in Ihrem Microsoft Azure-Abonnement bereit:
- Ein VNet zum Hosten der NSX Cloud-Verwaltungs-Appliances. Dieses VNet heißt <deployment_prefix>-nsx-mgmt-vnet.
- Eine Verfügbarkeitsgruppe, in der die drei Knoten des NSX Manager-Clusters bereitgestellt werden. Diese Verfügbarkeitsgruppe heißt <deployment_prefix>-nsx-aset.
- Microsoft Azure-Ressourcengruppe mit dem Namen <deployment_prefix>nsx-mgmt-rg.
- Die folgenden Ressourcen für jeden der NSX Manager-Knoten und für die CSM-Appliance:
- VMs mit dem Namen <deployment_prefix>nsx-csm für CSM und <deployment_prefix>nsx-mgr0, <deployment_prefix>nsx-mgr1 und <deployment_prefix>nsx-mgr2 für den NSX Manager-Cluster.
- Betriebssystem-Festplatte für jede VM.
- Netzwerkschnittstelle (NIC) für jede VM.
- Öffentliche IP-Adresse für jede VM.
- Datenfestplatte für jede VM.
- Netzwerksicherheitsgruppen für NSX Cloud-Verwaltungskomponenten, die die Konnektivität für diese Appliances ermöglichen.
- <deployment_prefix>-nsx-mgr-sg:
Tabelle 1.
Eingehende Regeln für NSX Manager, die mithilfe der Terraform-Skripte ausgeführt werden
Priorität |
Name |
Port |
Protokoll |
Quelle |
Ziel |
Aktion |
1000 |
AllowInboundRuleAPI |
443 |
TCP |
Beliebig |
Beliebig |
Zulassen |
Tabelle 2.
Ausgehende Regeln für NSX Manager, die mithilfe der Terraform-Skripte ausgeführt werden
Priorität |
Name |
Port |
Protokoll |
Quelle |
Ziel |
Aktion |
100 |
AllowOutboundRuleAPI |
Beliebig |
TCP |
Beliebig |
Beliebig |
Zulassen |
- <deployment_prefix>-nsx-csm-sg:
Tabelle 3.
Eingehende Regeln für CSM, die mithilfe der Terraform-Skripte verwendet werden
Priorität |
Name |
Port |
Protokoll |
Quelle |
Ziel |
Aktion |
1000 |
AllowInboundRuleAPI |
443 |
TCP |
Beliebig |
Beliebig |
Zulassen |
Tabelle 4.
Ausgehende Regeln für CSM, die mithilfe der Terraform-Skripte ausgeführt werden
Priorität |
Name |
Port |
Protokoll |
Quelle |
Ziel |
Aktion |
100 |
AllowOutboundRuleAPI |
80.443 |
TCP |
Beliebig |
Beliebig |
Zulassen |
Hinweis: Ziehen Sie in Erwägung, das Feld
Source dieser automatisch erstellten Netzwerksicherheitsgruppen auf einen eingeschränkten Satz von CIDRs zu aktualisieren, von denen aus Sie auf NSX Manager und CSM zugreifen möchten. Die Standardeinstellung
Any ist nicht sicher.
- Ein Microsoft Azure Recovery Service-Datenspeicher mit einer Datenspeicherrichtlinie zur Durchführung einer wiederkehrenden Sicherung aller drei NSX Manager-Knoten und der CSM-Appliance. Die Tresorrichtlinie heißt <deployment_prefix>-nsx-vault, und der Standard-Sicherungszeitplan ist eingestellt auf: täglich wiederkehrend um 23:00 Uhr.
Weitere Informationen zu Wiederherstellungsoptionen finden Sie unter Verwalten der Sicherung und Wiederherstellung von NSX Manager und CSM in Microsoft Azure im Administratorhandbuch für NSX-T Data Center.