NSX Cloud proporciona un script de shell para ayudar a configurar una o varias de las cuentas de AWS mediante la generación de un perfil de IAM y una función de PCG asociada al perfil que ofrece los permisos necesarios para la cuenta de AWS.

Si planea hospedar una VPC de tránsito vinculada a varias VPC de equipo en dos diferentes cuentas de AWS, puede utilizar el script para crear una relación de confianza entre estas cuentas.

Nota: De forma predeterminada, el nombre de la función (Puerta de enlace) de PCG es nsx_pcg_service. Si desea un valor diferente para el nombre de la función de puerta de enlace, puede cambiarlo en el script. No obstante, asegúrese de anotar este valor, ya que es necesario para agregar la cuenta de AWS a CSM.

Requisitos previos

Antes de ejecutar el script, debe instalar y configurar lo siguiente en su sistema Linux o uno compatible:

  • CLI de AWS configurada para la cuenta de y la región predeterminada.
  • jq (un analizador de JSON)
  • openssl (requisito de seguridad de red).
Nota: Si utiliza cuentas de AWS GovCloud (US), asegúrese de que la CLI de AWS esté configurada para la cuenta de GovCloud (US) y de que la región predeterminada se especifique en el archivo de configuración de la CLI de AWS.

Procedimiento

  • En un servidor o un escritorio Linux (o compatible), descargue el script de shell denominado nsx_csm_iam_script.sh de NSX en Página de descarga > Controladores y herramientas > Scripts de NSX Cloud > AWS.
  • Escenario 1: desea utilizar una sola cuenta de AWS con NSX Cloud.
    1. Ejecute el script, por ejemplo: 
       bash nsx_csm_iam_script.sh
    2. Introduzca yes cuando aparezca la pregunta Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
    3. Introduzca un nombre para el usuario de IAM cuando aparezca la pregunta What do you want to name the IAM User?
      Nota: El nombre de usuario de IAM debe ser único en la cuenta de AWS.
    4. Introduzca no cuando aparezca la pregunta Do you want to add trust relationship for any Transit VPC account? [yes/no]
    Cuando el script se ejecuta correctamente, se crea el perfil de IAM y una función para PCG en su cuenta de AWS. Los valores se guardan en el archivo de salida denominado aws_details.txt ubicado en el mismo directorio en el que se ejecutó el script. A continuación, siga las instrucciones que aparecen en Agregar la cuenta de AWS en CSM y en Implementar PCG en una VPC para finalizar el proceso de configuración de una VPC de tránsito o autoadministrada.
  • Escenario 2: desea utilizar varias subcuentas de AWS que administra una cuenta de AWS principal.
    1. Ejecute el script desde la cuenta principal de AWS. 
       bash nsx_csm_iam_script.sh
    2. Introduzca yes cuando aparezca la pregunta Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
    3. Introduzca un nombre para el usuario de IAM cuando aparezca la pregunta What do you want to name the IAM User?
      Nota: El nombre de usuario de IAM debe ser único en la cuenta de AWS.
    4. Introduzca no cuando aparezca la pregunta Do you want to add trust relationship for any Transit VPC account? [yes/no]
      Nota: Con una cuenta de AWS principal, si su VPC de tránsito tiene permiso para ver VPC de equipo en las subcuentas, no es necesario establecer una relación de confianza con las subcuentas. De lo contrario, siga los pasos del escenario 3 para configurar varias cuentas.
    Cuando el script se ejecuta correctamente, se crea el perfil de IAM y una función para PCG en su cuenta de AWS principal. En el archivo de salida, los valores se guardan en el mismo directorio donde se ejecutó el script. El nombre del archivo es aws_details.txt. A continuación, siga las instrucciones que aparecen en Agregar la cuenta de AWS en CSM y en Implementar PCG en una VPC para finalizar el proceso de configuración de una VPC de tránsito o autoadministrada.
  • Escenario 3: desea usar varias cuentas de AWS con NSX Cloud, designar una cuenta para la VPC de tránsito y otras cuentas para VPC de equipo. Consulte NSX Public Cloud Gateway: arquitectura y modos de implementación para obtener información sobre las opciones de implementación de PCG.
    1. Anote el número de la cuenta de AWS de 12 dígitos donde desea hospedar la VPC de tránsito.
    2. Configure la VPC de tránsito en la cuenta de AWS. Para ello, siga desde el paso a hasta el d para el escenario 1 y complete el proceso de agregar la cuenta en CSM.
    3. Descargue y ejecute el script NSX Cloud desde un sistema Linux o compatible en la otra cuenta de AWS donde desea hospedar las VPC de equipo. Si lo prefiere, puede usar perfiles AWS con credenciales de cuenta distintas con el fin de utilizar el mismo sistema para volver a ejecutar el script para la otra cuenta de AWS.
    4. El script plantea la pregunta: Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]. Utilice las siguientes instrucciones para obtener la respuesta adecuada:
      Esta cuenta de AWS ya se ha agregado a CSM. Introduzca no en respuesta a Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
      Esta cuenta no se ha agregado a CSM antes. Introduzca yes en respuesta a Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
    5. (opcional) Si respondió yes para crear un usuario de IAM para CSM y PCG en la pregunta anterior, introduzca un nombre para el usuario de IAM cuando se le pregunte What do you want to name the IAM User?. El nombre de usuario de IAM debe ser único en la cuenta de AWS.
    6. Introduzca yes cuando se le pregunte Do you want to add trust relationship for any Transit VPC account? [yes/no]
    7. Escriba o bien copie y pegue el número de cuenta de AWS de 12 dígitos que anotó en el paso 1 cuando apareció la pregunta What is the Transit VPC account number?
      Se establece una relación de confianza de IAM entre las dos cuentas de AWS y el script genera un identificador externo.
    Cuando el script se ejecuta correctamente, se crea el perfil de IAM y una función para PCG en su cuenta de AWS principal. En el archivo de salida, los valores se guardan en el mismo directorio donde se ejecutó el script. El nombre del archivo es aws_details.txt. A continuación, siga las instrucciones en Agregar la cuenta de AWS en CSM y, luego, en Vincular a una VPC o VNet de tránsito para finalizar el proceso de vinculación a una VPC de tránsito.