Suivez ces étapes pour déployer NSX Cloud à l'aide de l'image NSX Cloud Marketplace dans Microsoft Azure à l'aide des scripts Terraform fournis par NSX Cloud.

Conditions préalables

  • Vérifiez que vous avez accès à l'image NSX Cloud Marketplace dans votre abonnement Microsoft.
  • Vérifiez que vous avez accepté les conditions juridiques de Marketplace de Microsoft Azure dans l'abonnement sur lequel vous déployez des dispositifs de Cloud NSX.
  • La CLI Microsoft Azure doit être installée et configurée sur le système. Cela est nécessaire pour l'authentification et l'exécution des API Azure utilisées dans les scripts Terraform.

    Si possible, utilisez le même système pour exécuter les scripts Terraform que vous utilisez pour accéder à votre abonnement Microsoft. Cela vous permet de vous assurer que vos informations d'identification Microsoft Azure peuvent être utilisées dans le système et que vous n'avez pas partagé ces informations avec un autre système.

    En outre, pour une recommandation de sécurité, exécutez ces scripts sur un système Linux/Unix ou macOS qui prend en charge le module de cryptage Python.

  • Vérifiez que vous disposez de fichiers binaires de Terraform 0.13 ou version ultérieure sur le système sur lequel vous prévoyez d'exécuter les scripts Terraform.
  • Python 3.0 ou version ultérieure doit être installé sur ce système.

Procédure

  1. Téléchargez les scripts Terraform en vous connectant à votre compte My VMware et en accédant à : Produits > VMware NSX-T Data Center > Pilotes et outils > Scripts VMware NSX Cloud pour ajouter des comptes de cloud public à NSX 3.1.1 > Accédez à Téléchargements > Télécharger maintenant. Par exemple, une fois que vous êtes connecté à votre compte My VMware, ce lien vous dirige vers la Page de téléchargement des pilotes et des outils.
  2. Extrayez le contenu du fichier nommé NSXCloudScriptsforAddingPublicCloudAccounts.tar.gz. Les scripts Terraform et les fichiers associés se trouvent dans le dossier NSXCloudScripts/cloud-native-deployment/azure/igw.
  3. Mettez à jour les fichiers de configuration Terraform.
    1. Dans config.auto.vars, ajoutez les informations suivantes :
      Paramètre Description
      subscription_id Fournissez l'ID d'abonnement de votre compte Microsoft Azure.
      location Spécifiez l'emplacement de Microsoft Azure dans lequel le réseau virtuel de gestion NSX Cloud sera déployé.
      deployment_prefix

      Il s'agit du nom du déploiement qui sera préfixé à toutes les entités créées automatiquement. Assurez-vous que cela est unique pour chaque subscription_id et location de Microsoft.

    2. Dans credentials_nsx.auto.tfvars, ajoutez les informations suivantes :
      Paramètre Description
      mgr_public_key_path Il s'agit du chemin d'accès à la clé publique à appliquer au dispositif NSX Manager.
      csm_public_key_path Il s'agit du chemin d'accès à la clé publique à appliquer au dispositif CSM.
      license_key

      Il s'agit de la clé de licence de NSX Manager. Vous devez disposer de la licence NSX Data Center Enterprise Plus.

    3. Vérifiez les informations de configuration avancée et mettez à jour si nécessaire, dans le fichier advanced_config.auto.tfvars :
      Paramètre Description
      mgmt_vnet_address_space Il s'agit de l'espace d'adressage du réseau virtuel de gestion NSX Cloud récemment déployé.
      mgmt_subnet_address_prefix Il s'agit du sous-réseau pour les dispositifs de gestion NSX Cloud déployés dans le réseau virtuel de gestion de NSX Cloud.
  4. Exécutez les commandes suivantes dans l'ordre indiqué :
    ~/terraform init Cette commande collecte tous les modules requis pour le déploiement.
    ~/terraform plan Cette commande affiche la liste des étapes ou un Blueprint de la procédure impliquée dans le déploiement.
    ~/terraform apply Cette commande exécute le script.

    Si un problème survient lors de l'exécution, les messages d'erreur correspondants s'affichent. Après avoir corrigé les erreurs, vous pouvez reprendre le déploiement là où il s'est arrêté.

  5. Suivez ces étapes pour modifier les mots de passe générés pour NSX Manager et CSM par les scripts Terraform.
    1. Une fois les scripts exécutés avec succès, notez les mots de passe suivants pour NSX Manager et CSM :
      • admin_password
      • root_password
      Ces mots de passe sont affichés à l'écran à la fin du déploiement. Vous pouvez également trouver ces mots de passe dans le fichier NSXCloudScripts/cloud-native-deployment/azure/igw/terraform.tfstate, à la section "outputs", par exemple :
        "outputs": {
          "csm": {
            "value": {
              "admin_password": "<pwd>",
              "admin_username": "nsxadmin",
              "private_ip": "<private IP>",
              "public_ip": "<public IP>",
              "root_password": "<pwd>"
            },
          "mgrs": {
            "value": [
              {
                "admin_password": "<pwd>",
                "admin_username": "nsxadmin",
                "private_ip": "<private IP",
                "public_ip": "<public IP>",
                "root_password": "<pwd>"
              },
    2. Dans Microsoft Azure, accédez aux groupes de sécurité réseau créés pour NSX Manager et CSM, nommés <deployment_prefix>-nsx-mgr-sg et <deployment_prefix>-nsx-csm-sg, puis ajoutez la règle « allow » d'entrée temporaire suivante pour SSH :
      Priorité Nom Port Protocole Source Destination Action
      1010 AllowInboundRuleSSH 22 TCP Quelconque Quelconque Autoriser
    3. Connectez-vous au dispositif NSX Manager à l'aide de votre clé privée et modifiez le mot de passe généré par les scripts Terraform :
      $ ssh -i <nsx_mgr_key> nsxadmin@<NSX Manager public IP address>
      WARNING: Your password has expired. 
      You must change your password now and login again!
      Changing password for nsxadmin.
      (current) UNIX password: <Enter mgr_admin_pwd from the Terraform scripts>
      New password: <Enter new password conforming to NSX-T Data Center password complexity>
      Retype new password:
      passwd: password updated successfully
    4. Connectez-vous à CSM à l'aide de votre clé privée et modifiez le mot de passe généré par les scripts Terraform :
      $ ssh -i <nsx_csm_key> nsxadmin@<CSM public IP address>
      WARNING: Your password has expired. 
      You must change your password now and login again!
      Changing password for nsxadmin.
      (current) UNIX password: <Enter csm_admin_pwd from the Terraform scripts>
      New password: <Enter new password conforming to NSX-T Data Center password complexity>
      Retype new password:
      passwd: password updated successfully
  6. Connectez-vous au dispositif CSM à l'aide du nouveau mot de passe que vous avez défini et exécutez la CLI NSX suivante pour joindre CSM au cluster NSX Manager :
    join <nsx-manager-ip-address & port(optional)> cluster-id <nsx-manager-cluster-id> username <username> password <password> thumbprint <nsx-manager-api-thumbprint> csm-username <csm-username> csm-password <csm-password>
    
    Vous pouvez exécuter la commande CLI de NSX get cluster status à partir de n'importe quel nœud NSX Manager pour obtenir l'ID de cluster. Vous pouvez obtenir l'empreinte numérique de NSX Manager en exécutant la commande get certificate api thumbprint sur le dispositif NSX Manager spécifié. Consultez la référence de la CLI NSX-T Data Center pour plus de détails sur les commandes CLI.
    Note : Si le nœud de NSX Manager auquel vous avez joint le dispositif CSM est perdu, vous pouvez exécuter cette commande CLI NSX pour joindre CSM à l'un des autres nœuds NSX Manager sains. Sinon, vous pouvez redéployer le nœud NSX Manager perdu à l'aide de son fichier image nommé, <deployment_prefix>nsx-mgr-image et CSM joindra automatiquement ce nœud lorsqu'il est de nouveau en ligne. Pour plus d'informations, reportez-vous à la section Redéploiement de NSX Manager depuis nsx_mgr_image dans Microsoft Azure dans le Guide d'administration de NSX-T Data Center.

Résultats

Les scripts déploient ce qui suit dans votre abonnement Microsoft Azure :
  • Un VNet pour héberger les dispositifs de gestion NSX Cloud. Ce VNet se nomme <deployment_prefix>-nsx-mgmt-vnet.
  • Ensemble de disponibilité dans lequel les trois nœuds du cluster NSX Manager sont déployés. Cet ensemble de disponibilité se nomme <deployment_prefix>-nsx-aset.
  • Groupe de ressources Microsoft Azure nommé <deployment_prefix>nsx-mgmt-rg.
  • Les ressources suivantes pour chacun des nœuds NSX Manager et pour le dispositif CSM :
    1. Les machines virtuelles nommées <deployment_prefix>nsx-csm pour CSM et <deployment_prefix>nsx-mgr0, <deployment_prefix>nsx-mgr1 et <deployment_prefix>nsx-mgr2 pour le cluster NSX Manager.
    2. Disque du système d'exploitation pour chaque machine virtuelle.
    3. Interface réseau (NIC) pour chaque machine virtuelle.
    4. Adresse IP publique pour chaque machine virtuelle.
    5. Disque de données pour chaque machine virtuelle.
  • Groupes de sécurité réseau pour les composants de gestion NSX Cloud qui permettent la connectivité de ces dispositifs.
    • <deployment_prefix>-nsx-mgr-sg :
      Tableau 1. Règles de trafic entrant pour NSX Manager déployées à l'aide des scripts Terraform
      Priorité Nom Port Protocole Source Destination Action
      1 000 AllowInboundRuleAPI 443 TCP Quelconque Quelconque Autoriser
      Tableau 2. Règles de trafic sortant pour NSX Manager déployées à l'aide des scripts Terraform
      Priorité Nom Port Protocole Source Destination Action
      100 AllowOutboundRuleAPI Quelconque TCP Quelconque Quelconque Autoriser
    • <deployment_prefix>-nsx-csm-sg :
      Tableau 3. Règles de trafic entrant pour CSM déployées à l'aide des scripts Terraform
      Priorité Nom Port Protocole Source Destination Action
      1 000 AllowInboundRuleAPI 443 TCP Quelconque Quelconque Autoriser
      Tableau 4. Règles de trafic sortant pour CSM déployées à l'aide des scripts Terraform
      Priorité Nom Port Protocole Source Destination Action
      100 AllowOutboundRuleAPI 80 443 TCP Quelconque Quelconque Autoriser
    Note : Pensez à mettre à jour le champ Source de ces groupes de sécurité réseau créés automatiquement sur un ensemble restreint de CIDR à partir desquels vous souhaitez accéder à NSX Manager et à CSM. Any par défaut n'est pas sûr.
  • Microsoft Azure Recovery Service Vault avec une stratégie de coffre pour effectuer une sauvegarde périodique des trois nœuds NSX Manager et du dispositif CSM. La stratégie de coffre est nommée <deployment_prefix>-nsx-vault et la planification de sauvegarde par défaut est définie sur : quotidien récurrent à 23h UTC.

    Pour plus d'informations sur les options de restauration, reportez-vous à Gestion des sauvegardes et des restaurations de NSX Manager et CSM dans Microsoft Azure dans le Guide d'administration de NSX-T Data Center

Que faire ensuite

Déployer une PCG dans un VNet