NSX Cloud fornisce uno script SHELL per consentire la configurazione di uno o più account AWS generando un profilo IAM e un ruolo per il PCG collegato al profilo che fornisce le autorizzazioni necessarie per l'account AWS.

Se si prevede di ospitare un VPC di transito collegato a più VPC di elaborazione in due account AWS diversi, è possibile utilizzare lo script per creare una relazione di attendibilità tra questi account.

Nota: Per impostazione predefinita, il nome del ruolo PCG (Gateway) è nsx_pcg_service. Se si desidera un valore diverso per il nome del ruolo del gateway, è possibile cambiarlo nello script, ma è opportuno prenderne nota perché servirà per aggiungere l'account AWS in CSM.

Prerequisiti

Prima di eseguire lo script, è necessario che nel sistema Linux o compatibile sia installato e configurato quanto segue:

  • CLI AWS configurata per l'account e la regione predefinita.
  • jq (un parser JSON).
  • openssl (requisito di sicurezza della rete).
Nota: Se si utilizzano account AWS GovCloud (US), assicurarsi che la CLI di AWS sia configurata per l'account GovCloud (US) e che nel file di configurazione della CLI di AWS sia specificata la regione predefinita.

Procedura

  • In un desktop o in un server compatibile scaricare lo script SHELL denominato nsx_csm_iam_script.sh da NSX pagina Download > Drivers & Tools > NSX Cloud Scripts > AWS.
  • Scenario 1: si desidera utilizzare un singolo account AWS con NSX Cloud.
    1. Eseguire lo script, ad esempio: 
       bash nsx_csm_iam_script.sh
    2. Immettere yes quando viene richiesto con la domanda Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
    3. Immettere un nome per l'utente IAM quando viene richiesto What do you want to name the IAM User?
      Nota: Il nome utente IAM deve essere univoco nell'account AWS.
    4. Immettere no quando viene richiesto con la domanda Do you want to add trust relationship for any Transit VPC account? [yes/no]
    Se lo script viene eseguito correttamente, nell'account AWS vengono creati il profilo IAM e un ruolo per PCG. I valori vengono salvati nel file di output denominato aws_details.txt nella stessa directory in cui è stato eseguito lo script. Seguire quindi le istruzioni disponibili in Aggiunta dell'account AWS in CSM e quindi Distribuzione di PCG in un VPC per completare il processo di configurazione di un VPC di transito o auto-gestito.
  • Scenario 2: si desidera utilizzare più account secondari in AWS gestiti da un account AWS primario.
    1. Eseguire lo script dall'account primario AWS. 
       bash nsx_csm_iam_script.sh
    2. Immettere yes quando viene richiesto con la domanda Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
    3. Immettere un nome per l'utente IAM quando viene richiesto What do you want to name the IAM User?
      Nota: Il nome utente IAM deve essere univoco nell'account AWS.
    4. Immettere no quando viene richiesto con la domanda Do you want to add trust relationship for any Transit VPC account? [yes/no]
      Nota: Con un account AWS primario, se il VPC di transito dispone dell'autorizzazione per visualizzare i VPC di elaborazione negli account secondari, non è necessario stabilire una relazione basata sulla fiducia con i propri account secondari. In caso contrario, eseguire i passaggi dello Scenario 3 per configurare più account.
    Se lo script viene eseguito correttamente, nell'account primario AWS vengono creati il profilo IAM e un ruolo per PCG. I valori vengono salvati nel file di output nella stessa directory in cui è stato eseguito lo script. Il nome file è aws_details.txt. Seguire quindi le istruzioni disponibili in Aggiunta dell'account AWS in CSM e quindi Distribuzione di PCG in un VPC per completare il processo di configurazione di un VPC di transito o auto-gestito.
  • Scenario 3: si desidera utilizzare più account AWS con NSX Cloud, designando un account per il VPC di transito e altri account per i VPC di elaborazione. Vedere NSX Public Cloud Gateway: architettura e modalità di distribuzione per dettagli sulle opzioni di distribuzione di PCG.
    1. Prendere nota del numero di account AWS a 12 cifre in cui si desidera ospitare il VPC di transito.
    2. Configurare il VPC di transito nell'account AWS eseguendo i passaggi seguenti a tramite d per lo Scenario 1 e completare il processo di aggiunta dell'account in CSM.
    3. Scaricare ed eseguire lo script di NSX Cloud da un sistema Linux o compatibile nell'altro account AWS in cui si desidera ospitare i VPC di elaborazione. In alternativa, è possibile usare i profili AWS con credenziali di account diverse per utilizzare lo stesso sistema per eseguire nuovamente lo script per l'altro account AWS.
    4. Lo script pone la domanda: Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]. Attenersi alle linee guida seguenti per fornire una risposta appropriata:
      Questo account AWS è già stato aggiunto a CSM. Immettere no in risposta alla domanda Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
      Questo account non è mai stato aggiunto a CSM. Immettere yes in risposta alla domanda Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
    5. (Facoltativo) Se si risponde yes per creare un utente IAM per CSM e PCG nella domanda precedente, immettere un nome per l'utente IAM quando richiesto What do you want to name the IAM User?. Il nome utente IAM deve essere univoco nell'account AWS.
    6. Immettere yes quando richiesto Do you want to add trust relationship for any Transit VPC account? [yes/no]
    7. Immettere o copiare e incollare il numero di account AWS a 12 cifre annotato nel passaggio 1 quando richiesto What is the Transit VPC account number?
      Viene stabilita una relazione di attendibilità IAM tra i due account AWS e dallo script viene generato un ExternalID.
    Se lo script viene eseguito correttamente, nell'account primario AWS vengono creati il profilo IAM e un ruolo per PCG. I valori vengono salvati nel file di output nella stessa directory in cui è stato eseguito lo script. Il nome file è aws_details.txt. A questo punto seguire le istruzioni disponibili in Aggiunta dell'account AWS in CSM e quindi Collegamento a un VPC o una VNet di transito per completare il processo di collegamento a un VPC di transito.