Damit NSX Cloud im Rahmen Ihres Abonnements funktioniert, richten Sie einen Service Principal ein, welcher die erforderlichen Berechtigungen gewährt, sowie Rollen für CSM und PCG basierend auf der Microsoft Azure-Funktion für die Verwaltung von Identitäten für Azure-Ressourcen.
Übersicht:
- NSX Cloud bietet ein PowerShell-Skript, um den Service Principal zu generieren, sowie Rollen, welche die Funktion der verwalteten Identität von Microsoft Azure verwenden, um die Authentifizierung zu verwalten, während Ihre Microsoft Azure-Anmeldedaten gut geschützt sind. Sie können mit diesem Skript auch mehrere Abonnements unter einem Service Principal aufnehmen.
- Sie haben die Möglichkeit, den Service Principal für all Ihre Abonnements wiederzuverwenden oder nach Bedarf neue Service Principals zu erstellen. Es gibt ein zusätzliches Skript für den Fall, dass Sie separate Service Principals für weitere Abonnements erstellen möchten.
- Für mehrere Abonnements müssen Sie, ganz gleich, ob Sie einen einzelnen Service Principal für alle oder mehrere Service Principals verwenden, die JSON-Dateien für die Rollen CSM und PCG aktualisieren, um jeden zusätzlichen Abonnementnamen unter dem Abschnitt AssignableScopes hinzuzufügen.
- Wenn Sie bereits über einen NSX Cloud Service Principal in Ihrem VNet verfügen, können Sie ihn aktualisieren, indem die Skripte erneut ausführen und dabei den Service Principal-Namen in den Parametern auslassen.
- Der Service Principal-Name muss für Ihr Microsoft Azure Active Directory eindeutig sein. Sie können den gleichen Service Principal in verschiedenen Abonnements unter der gleichen Active Directory-Domäne oder unterschiedliche Service Principals pro Abonnement verwenden. Sie können jedoch nicht zwei Service Principals mit demselben Namen erstellen.
- Sie müssen der Eigentümer sein oder über Berechtigungen zum Erstellen und Zuweisen von Rollen in allen Microsoft Azure-Abonnements verfügen.
- Die folgenden Szenarien werden unterstützt:
- Szenario 1: Sie verfügen über ein einzelnes Microsoft Azure-Abonnement, das Sie mit NSX Cloud aktivieren möchten.
- Szenario 2: Sie verfügen über mehrere Microsoft Azure-Abonnements unter demselben Microsoft Azure-Verzeichnis, die Sie mit NSX Cloud aktivieren möchten, Sie möchten jedoch für all Ihre Abonnements nur einen einzigen NSX Cloud Service Principal verwenden.
- Szenario 3: Sie verfügen über mehrere Microsoft Azure-Abonnements unter demselben Microsoft Azure-Verzeichnis, die Sie mit NSX Cloud aktivieren möchten, Sie möchten jedoch unterschiedliche NSX Cloud Service Principal-Namen für unterschiedliche Abonnements verwenden.
Es folgt eine Übersicht des Prozesses:
- Verwenden Sie das NSX Cloud PowerShell-Skript:
- Erstellen Sie ein Service Principal-Konto für NSX Cloud.
- Eine Rolle für CSM erstellen.
- Eine Rolle für PCG erstellen.
- (Optional) Erstellen Sie Service Principals für andere Abonnements, die Sie verknüpfen möchten.
- Fügen Sie das Microsoft Azure-Abonnement zu CSM hinzu.
Hinweis: Wenn Sie mehrere Abonnements verwenden, müssen Sie, egal ob Sie denselben oder unterschiedliche Service Principals verwenden, jedes Abonnement separat in CSM hinzufügen.