Siga estos pasos para implementar NSX Cloud mediante la imagen de NSX Cloud Marketplace de Microsoft Azure mediante los scripts de Terraform proporcionados por NSX Cloud.

Requisitos previos

  • Compruebe que tiene acceso a la imagen de NSX Cloud Marketplace en su suscripción de Microsoft.
  • Compruebe que aceptó los términos legales de Marketplace de Microsoft Azure en la suscripción donde va a implementar los dispositivos de nube de NSX.
  • Debe tener la interfaz de línea de comandos de Microsoft Azure instalada y configurada en el sistema. Esto es necesario para autenticar y ejecutar las API de Azure que se utilizan en los scripts de Terraform.

    Si es posible, utilice el mismo sistema para ejecutar los scripts de Terraform que utiliza para acceder a su suscripción de Microsoft. De esta forma, se garantiza que las credenciales de Microsoft Azure se puedan utilizar desde el sistema y no se compartan con otros sistemas.

    Además, como recomendación de seguridad, ejecute estos scripts en un sistema Linux/Unix o macOS que admita el módulo de cifrado Python.

  • Compruebe que dispone de binarios de Terraform 0.13 o versiones posteriores en el sistema en el que va a ejecutar los scripts de Terraform.
  • Debe tener Python 3.0 o una versión posterior instalado en este sistema.

Procedimiento

  1. Para descargar los scripts de Terraform, inicie sesión en su cuenta y vaya a: NSX > Controladores y herramientas > Proveedor de Terraform para VMware NSX > Ir a descargas > Descargar ahora. Por ejemplo, después de iniciar sesión en su cuenta, vaya a la página de descarga de controladores y herramientas.
  2. Extraiga el contenido del archivo denominado NSXCloudScriptsforAddingPublicCloudAccounts.tar.gz. Los archivos relacionados y los scripts de Terraform se encuentran en la carpeta NSXCloudScripts/cloud-native-deployment/azure/igw.
  3. Actualice los archivos de configuración de Terraform.
    1. En config.auto.vars, agregue la siguiente información:
      Parámetro Descripción
      subscription_id Introduzca el identificador de suscripción de su cuenta de Microsoft Azure.
      location Especifique la ubicación de Microsoft Azure en la que se implementará la VNet de administración de NSX Cloud.
      deployment_prefix

      Este es el nombre de la implementación con el prefijo de todas las entidades creadas automáticamente. Asegúrese de que este sea único para cada subscription_id y location de Microsoft.

    2. En credentials_nsx.auto.tfvars, agregue la siguiente información:
      Parámetro Descripción
      mgr_public_key_path Esta es la ruta a la clave pública que se aplicará al dispositivo de NSX Manager.
      csm_public_key_path Esta es la ruta a la clave pública que se aplicará al dispositivo de CSM.
      license_key

      Esta es la clave de licencia para NSX Manager. Debe tener la licencia NSX Enterprise Plus.

    3. Compruebe la información de configuración avanzada e implemente los cambios que considere necesarios en el archivo advanced_config.auto.tfvars:
      Parámetro Descripción
      mgmt_vnet_address_space Este es el espacio de direcciones de la VNet de administración de NSX Cloud recién implementada.
      mgmt_subnet_address_prefix Esta es la subred de los dispositivos de administración de NSX Cloud implementados en la VNet de administración de NSX Cloud.
  4. Ejecute los siguientes comandos en el orden especificado:
    ~/terraform init Este comando recopila todos los módulos necesarios para la implementación.
    ~/terraform plan Este comando muestra la lista de pasos o un Blueprint del procedimiento implicado en la implementación.
    ~/terraform apply Este comando ejecuta el script.

    Si algo sale mal durante la ejecución, se mostrarán los mensajes de error correspondientes. Después de solucionar los errores, podrá reanudar la implementación desde donde se detuvo.

  5. Siga estos pasos para cambiar las contraseñas generadas para NSX Manager y CSM por los scripts de Terraform.
    1. Una vez que los scripts se ejecuten correctamente, tome nota de las siguientes contraseñas para NSX Manager y CSM:
      • admin_password
      • root_password
      Estas contraseñas se muestran en la pantalla al final de la implementación. También puede encontrar estas contraseñas en el archivo NSXCloudScripts/cloud-native-deployment/azure/igw/terraform.tfstate, en la sección "outputs", por ejemplo:
        "outputs": {
          "csm": {
            "value": {
              "admin_password": "<pwd>",
              "admin_username": "nsxadmin",
              "private_ip": "<private IP>",
              "public_ip": "<public IP>",
              "root_password": "<pwd>"
            },
          "mgrs": {
            "value": [
              {
                "admin_password": "<pwd>",
                "admin_username": "nsxadmin",
                "private_ip": "<private IP",
                "public_ip": "<public IP>",
                "root_password": "<pwd>"
              },
    2. En Microsoft Azure, desplácese hasta los grupos de seguridad de red creados para NSX Manager y CSM, denominados <deployment_prefix>-nsx-mgr-sg y <deployment_prefix>-nsx-csm-sg, y agregue la siguiente regla "allow" entrante temporal para SSH:
      Prioridad Nombre Puerto Protocolo Origen Destino Acción
      1010 AllowInboundRuleSSH 22 TCP Cualquiera Cualquiera Permitir
    3. Inicie sesión en el dispositivo de NSX Manager con la clave privada y cambie la contraseña generada por los scripts de Terraform:
      $ ssh -i <nsx_mgr_key> nsxadmin@<NSX Manager public IP address>
      WARNING: Your password has expired. 
      You must change your password now and login again!
      Changing password for nsxadmin.
      (current) UNIX password: <Enter mgr_admin_pwd from the Terraform scripts>
      New password: <Enter new password conforming to NSX password complexity>
      Retype new password:
      passwd: password updated successfully
    4. Inicie sesión en el dispositivo de CSM con la clave privada y cambie la contraseña generada por los scripts de Terraform:
      $ ssh -i <nsx_csm_key> nsxadmin@<CSM public IP address>
      WARNING: Your password has expired. 
      You must change your password now and login again!
      Changing password for nsxadmin.
      (current) UNIX password: <Enter csm_admin_pwd from the Terraform scripts>
      New password: <Enter new password conforming to NSX password complexity>
      Retype new password:
      passwd: password updated successfully
  6. Inicie sesión en el dispositivo de CSM con la nueva contraseña que estableció y ejecute el siguiente comando de la CLI de NSX para unirse a CSM con el clúster de NSX Manager:
    join <nsx-manager-ip-address & port(optional)> cluster-id <nsx-manager-cluster-id> username <username> password <password> thumbprint <nsx-manager-api-thumbprint> 
    

    La interfaz de usuario de CSM tardará unos minutos en aparecer. Ejecute el comando get cluster status en la CLI del dispositivo de CSM. Si el estado es estable, continúe con el paso siguiente.

    Puede ejecutar el comando de la CLI de NSX get cluster status desde cualquier nodo de NSX Manager para obtener el cluster-id. Puede obtener la huella digital de NSX Manager ejecutando el comando get certificate api thumbprint en la instancia de NSX Manager especificada. Consulte Referencia de interfaz de línea de comandos de NSX para obtener más información sobre los comandos de la CLI y Obtener huella digital de NSX Manager.
    Nota: Si se pierde el nodo de NSX Manager en el que se unió el dispositivo de CSM, puede ejecutar este comando de la CLI de NSX para unir CSM con uno de los otros nodos de NSX Manager en buen estado, o puede volver a implementar el nodo de NSX Manager perdido utilizando el archivo de imagen <deployment_prefix>nsx-mgr-image, y CSM se volverá a unir automáticamente a este nodo cuando vuelva a estar en línea. Consulte Volver a implementar NSX Manager desde nsx_mgr_image en Microsoft Azure en la Guía de administración de NSX para obtener más información.
  7. Para conectar CSM con NSX Manager, agregue detalles en la pantalla Credenciales de NSX Manager como se describe en Unirse a CSM con NSX Manager.

Resultados

Los scripts implementan lo siguiente en su suscripción de Microsoft Azure:
  • Una VNet para alojar los dispositivos de administración de NSX Cloud. Esta VNet se denomina <deployment_prefix>-nsx-mgmt-vnet.
  • Un conjunto de disponibilidad en el que se implementan los tres nodos del clúster de NSX Manager. Este conjunto de disponibilidad se denomina <deployment_prefix>-nsx-aset.
  • Grupo de recursos de Microsoft Azure denominado <deployment_prefix>nsx-mgmt-rg.
  • Los siguientes recursos para cada uno de los nodos de NSX Manager y para el dispositivo de CSM:
    1. Las máquinas virtuales denominadas <deployment_prefix>nsx-csm para CSM y <deployment_prefix>nsx-mgr0, <deployment_prefix>nsx-mgr1 y <deployment_prefix>nsx-mgr2 para el clúster de NSX Manager.
    2. Disco del sistema operativo para cada máquina virtual.
    3. Interfaz de red (NIC) de cada máquina virtual.
    4. Dirección IP pública de cada máquina virtual.
    5. Disco de datos de cada máquina virtual.
  • Grupos de seguridad de red para los componentes de administración de NSX Cloud que permiten la conectividad de estos dispositivos.
    • <deployment_prefix>-nsx-mgr-sg:
      Tabla 1. Reglas entrantes para NSX Manager implementadas mediante los scripts de Terraform
      Prioridad Nombre Puerto Protocolo Origen Destino Acción
      1000 AllowInboundRuleAPI 443 TCP Cualquiera Cualquiera Permitir
      Tabla 2. Reglas salientes para NSX Manager implementadas mediante los scripts de Terraform
      Prioridad Nombre Puerto Protocolo Origen Destino Acción
      100 AllowOutboundRuleAPI Cualquiera TCP Cualquiera Cualquiera Permitir
    • <deployment_prefix>-nsx-csm-sg:
      Tabla 3. Reglas entrantes para CSM implementadas mediante los scripts de Terraform
      Prioridad Nombre Puerto Protocolo Origen Destino Acción
      1000 AllowInboundRuleAPI 443 TCP Cualquiera Cualquiera Permitir
      Tabla 4. Reglas salientes para CSM implementadas mediante los scripts de Terraform
      Prioridad Nombre Puerto Protocolo Origen Destino Acción
      100 AllowOutboundRuleAPI 80.443 TCP Cualquiera Cualquiera Permitir
    Nota: Es recomendable actualizar el campo Source de estos grupos de seguridad de red creados automáticamente a un conjunto restringido de CIDR desde el que desea acceder a NSX Manager y CSM. El valor Any predeterminado no es seguro.
  • Un almacén de Recovery Services de Microsoft Azure con una directiva de almacén para realizar una copia de seguridad recurrente de los tres nodos de NSX Manager y el dispositivo de CSM. La directiva de almacén de se denomina <deployment_prefix>-nsx-vault y la programación de copia de seguridad predeterminada se establece como: recurrente a diario a las 11PM UTC.

    Consulte Administrar copia de seguridad y restauración de NSX Manager y CSM en Microsoft Azure en la Guía de administración de NSX para obtener más información sobre las opciones de restauración.

Qué hacer a continuación

Implementar PCG en una VNet