Suivez ces étapes pour déployer NSX Cloud à l'aide de l'image NSX Cloud Marketplace dans Microsoft Azure à l'aide des scripts Terraform fournis par NSX Cloud.
Conditions préalables
- Vérifiez que vous avez accès à l'image NSX Cloud Marketplace dans votre abonnement Microsoft.
- Vérifiez que vous avez accepté les conditions juridiques de Marketplace de Microsoft Azure dans l'abonnement sur lequel vous déployez des dispositifs de Cloud NSX.
- La CLI Microsoft Azure doit être installée et configurée sur le système. Cela est nécessaire pour l'authentification et l'exécution des API Azure utilisées dans les scripts Terraform.
Si possible, utilisez le même système pour exécuter les scripts Terraform que vous utilisez pour accéder à votre abonnement Microsoft. Cela vous permet de vous assurer que vos informations d'identification Microsoft Azure peuvent être utilisées dans le système et que vous n'avez pas partagé ces informations avec un autre système.
En outre, pour une recommandation de sécurité, exécutez ces scripts sur un système Linux/Unix ou macOS qui prend en charge le module de cryptage Python.
- Vérifiez que vous disposez de fichiers binaires de Terraform 0.13 ou version ultérieure sur le système sur lequel vous prévoyez d'exécuter les scripts Terraform.
- Python 3.0 ou version ultérieure doit être installé sur ce système.
Procédure
- Téléchargez les scripts Terraform en vous connectant à votre compte et en accédant à : . Par exemple, une fois que vous êtes connecté à votre compte, accédez à Page de téléchargement des pilotes et des outils.
- Extrayez le contenu du fichier nommé NSXCloudScriptsforAddingPublicCloudAccounts.tar.gz. Les scripts Terraform et les fichiers associés se trouvent dans le dossier NSXCloudScripts/cloud-native-deployment/azure/igw.
- Mettez à jour les fichiers de configuration Terraform.
- Dans config.auto.vars, ajoutez les informations suivantes :
Paramètre |
Description |
subscription_id |
Fournissez l'ID d'abonnement de votre compte Microsoft Azure. |
location |
Spécifiez l'emplacement de Microsoft Azure dans lequel le réseau virtuel de gestion NSX Cloud sera déployé. |
deployment_prefix |
Il s'agit du nom du déploiement qui sera préfixé à toutes les entités créées automatiquement. Assurez-vous que cela est unique pour chaque subscription_id et location de Microsoft. |
- Dans credentials_nsx.auto.tfvars, ajoutez les informations suivantes :
Paramètre |
Description |
mgr_public_key_path |
Il s'agit du chemin d'accès à la clé publique à appliquer au dispositif NSX Manager. |
csm_public_key_path |
Il s'agit du chemin d'accès à la clé publique à appliquer au dispositif CSM. |
license_key |
Il s'agit de la clé de licence de NSX Manager. Vous devez disposer de la licence NSX Enterprise Plus. |
- Vérifiez les informations de configuration avancée et mettez à jour si nécessaire, dans le fichier advanced_config.auto.tfvars :
Paramètre |
Description |
mgmt_vnet_address_space |
Il s'agit de l'espace d'adressage du réseau virtuel de gestion NSX Cloud récemment déployé. |
mgmt_subnet_address_prefix |
Il s'agit du sous-réseau pour les dispositifs de gestion NSX Cloud déployés dans le réseau virtuel de gestion de NSX Cloud. |
- Exécutez les commandes suivantes dans l'ordre indiqué :
~/terraform init |
Cette commande collecte tous les modules requis pour le déploiement. |
~/terraform plan |
Cette commande affiche la liste des étapes ou un Blueprint de la procédure impliquée dans le déploiement. |
~/terraform apply |
Cette commande exécute le script. Si un problème survient lors de l'exécution, les messages d'erreur correspondants s'affichent. Après avoir corrigé les erreurs, vous pouvez reprendre le déploiement là où il s'est arrêté. |
- Suivez ces étapes pour modifier les mots de passe générés pour NSX Manager et CSM par les scripts Terraform.
- Une fois les scripts exécutés avec succès, notez les mots de passe suivants pour NSX Manager et CSM :
- admin_password
- root_password
Ces mots de passe sont affichés à l'écran à la fin du déploiement. Vous pouvez également trouver ces mots de passe dans le fichier
NSXCloudScripts/cloud-native-deployment/azure/igw/terraform.tfstate, à la section
"outputs", par exemple :
"outputs": {
"csm": {
"value": {
"admin_password": "<pwd>",
"admin_username": "nsxadmin",
"private_ip": "<private IP>",
"public_ip": "<public IP>",
"root_password": "<pwd>"
},
"mgrs": {
"value": [
{
"admin_password": "<pwd>",
"admin_username": "nsxadmin",
"private_ip": "<private IP",
"public_ip": "<public IP>",
"root_password": "<pwd>"
},
- Dans Microsoft Azure, accédez aux groupes de sécurité réseau créés pour NSX Manager et CSM, nommés <deployment_prefix>-nsx-mgr-sg et <deployment_prefix>-nsx-csm-sg, puis ajoutez la règle « allow » d'entrée temporaire suivante pour SSH :
Priorité |
Nom |
Port |
Protocole |
Source |
Destination |
Action |
1010 |
AllowInboundRuleSSH |
22 |
TCP |
Quelconque |
Quelconque |
Autoriser |
- Connectez-vous au dispositif NSX Manager à l'aide de votre clé privée et modifiez le mot de passe généré par les scripts Terraform :
$ ssh -i <nsx_mgr_key> nsxadmin@<NSX Manager public IP address>
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for nsxadmin.
(current) UNIX password: <Enter mgr_admin_pwd from the Terraform scripts>
New password: <Enter new password conforming to NSX password complexity>
Retype new password:
passwd: password updated successfully
- Connectez-vous à CSM à l'aide de votre clé privée et modifiez le mot de passe généré par les scripts Terraform :
$ ssh -i <nsx_csm_key> nsxadmin@<CSM public IP address>
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for nsxadmin.
(current) UNIX password: <Enter csm_admin_pwd from the Terraform scripts>
New password: <Enter new password conforming to NSX password complexity>
Retype new password:
passwd: password updated successfully
- Connectez-vous au dispositif CSM à l'aide du nouveau mot de passe que vous avez défini et exécutez la CLI NSX suivante pour joindre CSM au cluster NSX Manager :
join <nsx-manager-ip-address & port(optional)> cluster-id <nsx-manager-cluster-id> username <username> password <password> thumbprint <nsx-manager-api-thumbprint>
L'affichage de l'interface utilisateur de CSM prend quelques minutes. Exécutez la commande get cluster status sur l'interface de ligne de commande du dispositif CSM. Si l'état est stable, passez à l'étape suivante.
Vous pouvez exécuter la commande CLI de NSX
get cluster status à partir de n'importe quel nœud NSX Manager pour obtenir l'
id-de-cluster. Vous pouvez obtenir l'empreinte numérique de NSX Manager en exécutant la commande
get certificate api thumbprint sur le dispositif NSX Manager spécifié. Reportez-vous aux sections
Guide de référence de l'interface de ligne de commandes de NSX pour plus d'informations sur les commandes CLI et
Obtenir l'empreinte numérique de NSX Manager.
Note : Si le nœud de NSX Manager auquel vous avez joint le dispositif CSM est perdu, vous pouvez exécuter cette commande CLI NSX pour joindre CSM à l'un des autres nœuds NSX Manager sains. Sinon, vous pouvez redéployer le nœud NSX Manager perdu à l'aide de son fichier image nommé,
<deployment_prefix>nsx-mgr-image et CSM joindra automatiquement ce nœud lorsqu'il est de nouveau en ligne. Pour plus d'informations, reportez-vous à la section
Redéploiement de NSX Manager depuis nsx_mgr_image dans Microsoft Azure dans le
Guide d'administration de NSX.
- Pour connecter CSM à NSX Manager, ajoutez les détails dans l'écran Informations d'identification NSX Manager comme décrit dans Joindre CSM avec NSX Manager.
Résultats
Les scripts déploient ce qui suit dans votre abonnement Microsoft Azure :
- Un VNet pour héberger les dispositifs de gestion NSX Cloud. Ce VNet se nomme <deployment_prefix>-nsx-mgmt-vnet.
- Ensemble de disponibilité dans lequel les trois nœuds du cluster NSX Manager sont déployés. Cet ensemble de disponibilité se nomme <deployment_prefix>-nsx-aset.
- Groupe de ressources Microsoft Azure nommé <deployment_prefix>nsx-mgmt-rg.
- Les ressources suivantes pour chacun des nœuds NSX Manager et pour le dispositif CSM :
- Les machines virtuelles nommées <deployment_prefix>nsx-csm pour CSM et <deployment_prefix>nsx-mgr0, <deployment_prefix>nsx-mgr1 et <deployment_prefix>nsx-mgr2 pour le cluster NSX Manager.
- Disque du système d'exploitation pour chaque machine virtuelle.
- Interface réseau (NIC) pour chaque machine virtuelle.
- Adresse IP publique pour chaque machine virtuelle.
- Disque de données pour chaque machine virtuelle.
- Groupes de sécurité réseau pour les composants de gestion NSX Cloud qui permettent la connectivité de ces dispositifs.
- <deployment_prefix>-nsx-mgr-sg :
Tableau 1.
Règles de trafic entrant pour NSX Manager déployées à l'aide des scripts Terraform
Priorité |
Nom |
Port |
Protocole |
Source |
Destination |
Action |
1 000 |
AllowInboundRuleAPI |
443 |
TCP |
Quelconque |
Quelconque |
Autoriser |
Tableau 2.
Règles de trafic sortant pour NSX Manager déployées à l'aide des scripts Terraform
Priorité |
Nom |
Port |
Protocole |
Source |
Destination |
Action |
100 |
AllowOutboundRuleAPI |
Quelconque |
TCP |
Quelconque |
Quelconque |
Autoriser |
- <deployment_prefix>-nsx-csm-sg :
Tableau 3.
Règles de trafic entrant pour CSM déployées à l'aide des scripts Terraform
Priorité |
Nom |
Port |
Protocole |
Source |
Destination |
Action |
1 000 |
AllowInboundRuleAPI |
443 |
TCP |
Quelconque |
Quelconque |
Autoriser |
Tableau 4.
Règles de trafic sortant pour CSM déployées à l'aide des scripts Terraform
Priorité |
Nom |
Port |
Protocole |
Source |
Destination |
Action |
100 |
AllowOutboundRuleAPI |
80 443 |
TCP |
Quelconque |
Quelconque |
Autoriser |
Note : Pensez à mettre à jour le champ
Source de ces groupes de sécurité réseau créés automatiquement sur un ensemble restreint de CIDR à partir desquels vous souhaitez accéder à NSX Manager et à CSM.
Any par défaut n'est pas sûr.
- Microsoft Azure Recovery Service Vault avec une stratégie de coffre pour effectuer une sauvegarde périodique des trois nœuds NSX Manager et du dispositif CSM. La stratégie de coffre est nommée <deployment_prefix>-nsx-vault et la planification de sauvegarde par défaut est définie sur : quotidien récurrent à 23h UTC.
Pour plus d'informations sur les options de restauration, reportez-vous à Gestion des sauvegardes et des restaurations de NSX Manager et CSM dans Microsoft Azure dans le Guide d'administration de NSX