Führen Sie die folgenden Schritte aus, um NSX Cloud mithilfe des NSX Cloud Marketplace-Images in Microsoft Azure mithilfe der von NSX Cloud bereitgestellten Skripts bereitzustellen.

Voraussetzungen

  • Überprüfen Sie, ob Sie in Ihrem Microsoft-Abonnement Zugriff auf das NSX Cloud Marketplace-Image haben.
  • Stellen Sie sicher, dass Sie die rechtlichen Bedingungen des Microsoft Azure Marketplace in dem Abonnement akzeptiert haben, in dem Sie NSX-Cloud-Appliances bereitstellen.
  • Microsoft Azure-CLI muss auf dem System installiert und konfiguriert sein. Dies ist für die Authentifizierung und Ausführung von Azure-APIs erforderlich, die in den Terraform-Skripten verwendet werden.

    Verwenden Sie für die Ausführung der Terraform-Skripte nach Möglichkeit dasselbe System, von dem aus Sie auf Ihr Microsoft-Abonnement zugreifen. Dadurch wird sichergestellt, dass Ihre Microsoft Azure-Anmeldeinformationen innerhalb des Systems verwendet werden können und Sie diese Informationen nicht für ein anderes System freigeben müssen.

    Führen Sie diese Skripts auch als Sicherheitsempfehlung auf einem Linux/Unix- oder macOS-System aus, das das Python-Verschlüsselungsmodul unterstützt.

  • Vergewissern Sie sich, dass Sie auf dem System, auf dem Sie die Terraform-Skripte ausführen möchten, über Binärdateien von Terraform 0.13 oder höher verfügen.
  • Python 3.0 oder höher muss auf diesem System installiert sein.

Prozedur

  1. Laden Sie die Terraform-Skripte herunter, indem Sie sich bei Ihrem My VMware-Konto anmelden und wie folgt navigieren: Produkte > VMware NSX-T Data Center > Treiber und Tools > VMware NSX Cloud-Skripte zum Hinzufügen von Public Cloud-Konten für NSX 3.1.1 > Zu Downloads navigieren > Jetzt herunterladen. Nachdem Sie sich z. B. bei Ihrem My VMware-Konto angemeldet haben, gelangen Sie über diesen Link zur Download-Seite für Treiber und Tools.
  2. Extrahieren Sie den Inhalt der Datei namens NSXCloudScriptsforAddingPublicCloudAccounts.tar.gz. Die Terraform-Skripte und zugehörige Dateien befinden sich im Ordner NSXCloudScripts/cloud-native-deployment/azure/igw.
  3. Aktualisieren Sie die Terraform-Konfigurationsdateien.
    1. Fügen Sie in config.auto.vars die folgenden Informationen hinzu:
      Parameter Beschreibung
      subscription_id Geben Sie die Abonnement-ID für Ihr Microsoft Azure-Konto an.
      location Geben Sie den Microsoft Azure-Standort an, an dem das NSX Cloud-Verwaltungs-VNet bereitgestellt werden soll.
      deployment_prefix

      Dies ist der Einsatzname, der allen automatisch erstellten Entitäten vorangestellt wird. Stellen Sie sicher, dass dies für jede subscription_id und location in Microsoft eindeutig ist.

    2. Fügen Sie in credentials_nsx.auto.tfvars die folgenden Informationen hinzu:
      Parameter Beschreibung
      mgr_public_key_path Dies ist der Pfad zu dem öffentlichen Schlüssel, der auf die NSX Manager-Appliance angewendet werden soll.
      csm_public_key_path Dies ist der Pfad zu dem öffentlichen Schlüssel, der auf die CSM-Appliance angewendet werden soll.
      license_key

      Hierbei handelt es sich um den Lizenzschlüssel für NSX Manager. Sie benötigen eine NSX Data Center Enterprise Plus-Lizenz.

    3. Überprüfen Sie die erweiterten Konfigurationsinformationen in der Datei advanced_config.auto.tfvars und aktualisieren Sie sie bei Bedarf:
      Parameter Beschreibung
      mgmt_vnet_address_space Dies ist der Adressraum für das neu bereitgestellte NSX Cloud-Verwaltungs-VNet.
      mgmt_subnet_address_prefix Dies ist das Subnetz für die NSX Cloud Management Appliances, die im NSX Cloud-Verwaltungs-VNet bereitgestellt werden.
  4. Führen Sie die folgenden Befehle in der angegebenen Reihenfolge aus:
    ~/terraform init Mit diesem Vorgang werden alle Module erfasst, die für die Bereitstellung erforderlich sind.
    ~/terraform plan Mit diesem Befehl wird die Liste der Schritte oder ein Blueprint des Verfahrens für die Bereitstellung angezeigt.
    ~/terraform apply Mit diesem Befehl wird das Skript ausgeführt.

    Wenn die Ausführung nicht ordnungsgemäß verläuft, werden Ihnen die entsprechenden Fehlermeldungen angezeigt. Nachdem Sie die Fehler behoben haben, können Sie die Bereitstellung von dort aus fortsetzen, wo sie angehalten wurde.

  5. Gehen Sie folgendermaßen vor, um die von den Terraform-Skripten generierten Kennwörter für NSX Manager und CSM zu ändern.
    1. Nachdem die Skripte erfolgreich ausgeführt wurden, notieren Sie sich die folgenden Kennwörter für NSX Manager und CSM:
      • admin_password
      • root_password
      Diese Kennwörter werden am Ende der Bereitstellung auf dem Bildschirm angezeigt. Sie können diese Kennwörter auch in der Datei NSXCloudScripts/cloud-native-deployment/azure/igw/terraform.tfstate im Abschnitt "outputs" finden. Beispiel:
        "outputs": {
          "csm": {
            "value": {
              "admin_password": "<pwd>",
              "admin_username": "nsxadmin",
              "private_ip": "<private IP>",
              "public_ip": "<public IP>",
              "root_password": "<pwd>"
            },
          "mgrs": {
            "value": [
              {
                "admin_password": "<pwd>",
                "admin_username": "nsxadmin",
                "private_ip": "<private IP",
                "public_ip": "<public IP>",
                "root_password": "<pwd>"
              },
    2. Navigieren Sie in Microsoft Azure zu den für NSX Manager und CSM erstellten Netzwerksicherheitsgruppen <deployment_prefix>-nsx-mgr-sg und <deployment_prefix>-nsx-csm-sg und fügen Sie die folgende temporäre eingehende „Zulassen“-Regel für SSH hinzu:
      Priorität Name Port Protokoll Quelle Ziel Aktion
      1010 AllowInboundRuleSSH 22 TCP Beliebig Beliebig Zulassen
    3. Melden Sie sich mit Ihrem privaten Schlüssel an der NSX Manager-Appliance an und ändern Sie das von den Terraform-Skripten generierte Kennwort:
      $ ssh -i <nsx_mgr_key> nsxadmin@<NSX Manager public IP address>
      WARNING: Your password has expired. 
      You must change your password now and login again!
      Changing password for nsxadmin.
      (current) UNIX password: <Enter mgr_admin_pwd from the Terraform scripts>
      New password: <Enter new password conforming to NSX-T Data Center password complexity>
      Retype new password:
      passwd: password updated successfully
    4. Melden Sie sich mit Ihrem privaten Schlüssel bei CSM an und ändern Sie das von den Terraform-Skripten generierte Kennwort:
      $ ssh -i <nsx_csm_key> nsxadmin@<CSM public IP address>
      WARNING: Your password has expired. 
      You must change your password now and login again!
      Changing password for nsxadmin.
      (current) UNIX password: <Enter csm_admin_pwd from the Terraform scripts>
      New password: <Enter new password conforming to NSX-T Data Center password complexity>
      Retype new password:
      passwd: password updated successfully
  6. Melden Sie sich mit dem neu festgelegten Kennwort bei der CSM-Appliance an und führen Sie den folgenden NSX CLI-Befehl aus, um CSM mit dem NSX Manager-Cluster zu verbinden:
    join <nsx-manager-ip-address & port(optional)> cluster-id <nsx-manager-cluster-id> username <username> password <password> thumbprint <nsx-manager-api-thumbprint> csm-username <csm-username> csm-password <csm-password>
    
    Sie können den NSX CLI-Befehl get cluster status von jedem NSX Manager-Knoten aus ausführen, um die Cluster-ID zu erhalten. Einzelheiten zu den CLI-Befehlen finden Sie in der CLI-Referenz im NSX-T Data Center.
    Hinweis: Wenn der NSX Manager-Knoten, mit dem Sie die CSM-Appliance verbunden haben, verloren gegangen ist, können Sie entweder diesen NSX CLI-Befehl ausführen, um CSM mit einem der anderen gesunden NSX Manager-Knoten zu verbinden, oder Sie können den verlorenen NSX Manager-Knoten mithilfe seiner Image-Datei mit dem Namen <deployment_prefix>nsx-mgr-image neu bereitstellen. CSM tritt diesem Knoten dann automatisch wieder bei, wenn dieser Knoten wieder online ist. Weitere Informationen finden Sie unter Erneute Bereitstellung von NSX Manager über nsx_mgr_image in Microsoft Azure im Administratorhandbuch für NSX-T Data Center.

Ergebnisse

Die Skripte stellen Folgendes in Ihrem Microsoft Azure-Abonnement bereit:
  • Ein VNet zum Hosten der NSX Cloud-Verwaltungs-Appliances. Dieses VNet heißt <deployment_prefix>-nsx-mgmt-vnet.
  • Eine Verfügbarkeitsgruppe, in der die drei Knoten des NSX Manager-Clusters bereitgestellt werden. Diese Verfügbarkeitsgruppe heißt <deployment_prefix>-nsx-aset.
  • Microsoft Azure-Ressourcengruppe mit dem Namen <deployment_prefix>nsx-mgmt-rg.
  • Die folgenden Ressourcen für jeden der NSX Manager-Knoten und für die CSM-Appliance:
    1. VMs mit dem Namen <deployment_prefix>nsx-csm für CSM und <deployment_prefix>nsx-mgr0, <deployment_prefix>nsx-mgr1 und <deployment_prefix>nsx-mgr2 für den NSX Manager-Cluster.
    2. Betriebssystem-Festplatte für jede VM.
    3. Netzwerkschnittstelle (NIC) für jede VM.
    4. Öffentliche IP-Adresse für jede VM.
    5. Datenfestplatte für jede VM.
  • Netzwerksicherheitsgruppen für NSX Cloud-Verwaltungskomponenten, die die Konnektivität für diese Appliances ermöglichen.
    • <deployment_prefix>-nsx-mgr-sg:
      Tabelle 1. Eingehende Regeln für NSX Manager, die mithilfe der Terraform-Skripte ausgeführt werden
      Priorität Name Port Protokoll Quelle Ziel Aktion
      1000 AllowInboundRuleAPI 443 TCP Beliebig Beliebig Zulassen
      Tabelle 2. Ausgehende Regeln für NSX Manager, die mithilfe der Terraform-Skripte ausgeführt werden
      Priorität Name Port Protokoll Quelle Ziel Aktion
      100 AllowOutboundRuleAPI Beliebig TCP Beliebig Beliebig Zulassen
    • <deployment_prefix>-nsx-csm-sg:
      Tabelle 3. Eingehende Regeln für CSM, die mithilfe der Terraform-Skripte verwendet werden
      Priorität Name Port Protokoll Quelle Ziel Aktion
      1000 AllowInboundRuleAPI 443 TCP Beliebig Beliebig Zulassen
      Tabelle 4. Ausgehende Regeln für CSM, die mithilfe der Terraform-Skripte ausgeführt werden
      Priorität Name Port Protokoll Quelle Ziel Aktion
      100 AllowOutboundRuleAPI 80.443 TCP Beliebig Beliebig Zulassen
    Hinweis: Ziehen Sie in Erwägung, das Feld Source dieser automatisch erstellten Netzwerksicherheitsgruppen auf einen eingeschränkten Satz von CIDRs zu aktualisieren, von denen aus Sie auf NSX Manager und CSM zugreifen möchten. Die Standardeinstellung Any ist nicht sicher.
  • Ein Microsoft Azure Recovery Service-Datenspeicher mit einer Datenspeicherrichtlinie zur Durchführung einer wiederkehrenden Sicherung aller drei NSX Manager-Knoten und der CSM-Appliance. Die Tresorrichtlinie heißt <deployment_prefix>-nsx-vault, und der Standard-Sicherungszeitplan ist eingestellt auf: täglich wiederkehrend um 23:00 Uhr.

    Weitere Informationen zu Wiederherstellungsoptionen finden Sie unter Verwalten der Sicherung und Wiederherstellung von NSX Manager und CSM in Microsoft Azure im Administratorhandbuch für NSX-T Data Center.

Nächste Maßnahme

Bereitstellen vonPCG in einem VNet