NSX Cloud propose un script shell qui permet de configurer un ou plusieurs comptes AWS en générant un profil IAM, ainsi qu'un rôle pour la PCG attachée au profil qui fournit les autorisations nécessaires à votre compte AWS.
Si vous prévoyez d'héberger un VPC de transit lié à plusieurs VPC de calcul résidant dans deux comptes AWS distincts, vous pouvez utiliser le script pour créer une relation de confiance entre ces comptes.
Note : Par défaut, le nom du rôle
PCG (passerelle) est
nsx_pcg_service. Si vous souhaitez modifier le nom de rôle de passerelle, vous pouvez lui attribuer une autre valeur dans le script, mais prenez bien note de cette valeur, car elle est requise pour ajouter le compte AWS à
CSM.
Conditions préalables
Avant d'exécuter le script, assurez-vous d'installer et de configurer les éléments suivants sur votre système Linux ou compatible :
- L'interface de ligne de commande AWS configurée pour le compte et la région par défaut.
- jq (analyseur JSON).
- openssl (exigence de sécurité du réseau).
Note : Si vous utilisez des comptes AWS GovCloud (États-Unis), assurez-vous que votre interface de ligne de commande AWS est configurée pour le compte GovCloud (US) et que la région par défaut est spécifiée dans le fichier de configuration d'interface de ligne de commande AWS.
Procédure
- Sur un poste de travail ou serveur Linux ou compatible, téléchargez le script shell nsx_csm_iam_script.sh à partir de la page de téléchargement de NSX-T Data Center > Pilotes et outils > Scripts NSX Cloud > AWS.
- Scénario 1 : vous souhaitez utiliser un seul compte AWS avec NSX Cloud.
- Exécutez le script, par exemple :
bash nsx_csm_iam_script.sh
- Entrez yes lorsque la question
Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
s'affiche.
- Entrez le nom que vous souhaitez attribuer à l'utilisateur IAM lorsque le système affiche la question
What do you want to name the IAM User?
Note : Le nom d'utilisateur IAM doit être unique dans votre compte AWS.
- Entrez no lorsque le système affiche la question
Do you want to add trust relationship for any Transit VPC account? [yes/no]
Lorsque le script s'exécute avec succès, le profil IAM et un rôle pour
PCG sont créés dans votre compte AWS. Les valeurs sont enregistrées dans le fichier de sortie
aws_details.txt, dans le répertoire où vous avez exécuté le script. Suivez ensuite les instructions de la section
Ajouter votre compte AWS dans CSM, puis celles de la section
Déployer PCG dans un VPC, pour terminer le processus de configuration d'un VPC autogéré ou de transit.
- Scénario 2 : vous souhaitez utiliser plusieurs sous-comptes qui sont définis dans AWS et gérés par un compte AWS principal.
- Exécutez le script à partir de votre compte AWS principal.
bash nsx_csm_iam_script.sh
- Entrez yes lorsque la question
Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
s'affiche.
- Entrez le nom que vous souhaitez attribuer à l'utilisateur IAM lorsque le système affiche la question
What do you want to name the IAM User?
Note : Le nom d'utilisateur IAM doit être unique dans votre compte AWS.
- Entrez no lorsque le système affiche la question
Do you want to add trust relationship for any Transit VPC account? [yes/no]
Note : Lorsque vous utilisez un compte AWS principal, si le VPC de transit est autorisé à visualiser les VPC de calcul résidant dans les sous-comptes, il est inutile d'établir une relation de confiance avec les sous-comptes. S'il n'y est pas autorisé, suivez les étapes du
scénario 3 pour configurer plusieurs comptes.
Si le script s'exécute sans erreur, le profil IAM et un rôle pour la
PCG sont créés dans votre compte AWS principal. Les valeurs sont enregistrées dans le fichier de sortie dans le répertoire où vous avez exécuté le script. Le nom du fichier est
aws_details.txt. Suivez ensuite les instructions de la section
Ajouter votre compte AWS dans CSM, puis celles de la section
Déployer PCG dans un VPC, pour terminer le processus de configuration d'un VPC autogéré ou de transit.
- Scénario 3 : vous souhaitez utiliser plusieurs comptes AWS avec NSX Cloud, en désignant un compte pour le VPC de transit et d'autres comptes pour les VPC de calcul. Pour plus d'informations sur les options de déploiement de PCG, reportez-vous à la section NSX Public Cloud Gateway : architecture et modes de déploiement.
- Prenez note du numéro de compte AWS à 12 chiffres correspondant au compte dans lequel vous souhaitez héberger le VPC de transit.
- Configurez le VPC de transit dans le compte AWS en suivant les étapes a à d du scénario 1 et terminez le processus d'ajout du compte dans CSM.
- Téléchargez et exécutez le script NSX Cloud à partir d'un système Linux ou compatible dans l'autre compte AWS où vous souhaitez héberger les VPC de calcul. Si vous préférez, vous pouvez aussi utiliser des profils AWS avec différentes informations d'identification de compte afin de réexécuter le script pour l'autre compte AWS à l'aide du même système.
- Le script pose la question :
Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
. Utilisez les conseils suivants pour la réponse appropriée :
Ce compte AWS a déjà été ajouté à CSM. |
Entrez no (non) en réponse à Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no] |
Ce compte n'a pas été ajouté à CSM auparavant. |
Entrez yes (oui) en réponse à Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no] |
- (Facultatif) Si vous avez répondu oui pour créer un utilisateur IAM pour CSM et PCG à la question précédente, entrez le nom que vous souhaitez attribuer à l'utilisateur IAM lorsque le système affiche la question
What do you want to name the IAM User?
. Le nom d'utilisateur IAM doit être unique dans votre compte AWS.
- Entrez yes (oui) en réponse à
Do you want to add trust relationship for any Transit VPC account? [yes/no]
- Entrez ou copiez-collez le numéro de compte AWS à 12 chiffres que vous avez noté à l'étape 1 lorsque le système a affiché la question
What is the Transit VPC account number?
Une relation de confiance IAM est établie entre les deux comptes AWS, et le script génère un ID externe.
Si le script s'exécute sans erreur, le profil IAM et un rôle pour la
PCG sont créés dans votre compte AWS principal. Les valeurs sont enregistrées dans le fichier de sortie dans le répertoire où vous avez exécuté le script. Le nom du fichier est
aws_details.txt. Suivez ensuite les instructions de la section
Ajouter votre compte AWS dans CSM, puis celles de la section
Liaison vers un VPC ou VNet de transit, pour terminer le processus de liaison vers un VPC de transit.