NSX Cloud は、Microsoft Azure の Managed Service Identity (MSI) 機能を使用して、Microsoft の認証情報のセキュリティを確保しながら認証を管理します。

NSX Cloud が Microsoft Azure サブスクリプションで動作するには、CSMPCG の MSI ロールと、NSX Cloud のサービス プリンシパルを生成する必要があります。

これを行うには、NSX Cloud PowerShell スクリプトを実行します。さらに、パラメータとして JSON 形式の 2 つのファイルが必要です。必要なパラメータを指定して PowerShell スクリプトを実行すると、次の構造が作成されます。

  • NSX Cloud 用の Azure Active Directory アプリケーション。

  • NSX Cloud アプリケーションの Azure Resource Manager サービス プリンシパル。

  • サービス プリンシパル アカウントに設定された CSM のロール。

  • パブリック クラウド インベントリで機能できるようにする PCG のロール。

注:

Microsoft Azure からの応答時間によって、スクリプトの初回実行時にスクリプトが失敗する可能性があります。スクリプトが失敗した場合は、再度実行してください。

前提条件

  • AzureRM モジュールがインストールされた PowerShell 5.0 以上が必要です。

  • NSX Cloud のサービス プリンシパルを生成するにはスクリプトを実行する Microsoft Azure サブスクリプションの所有者権限が必要です。

手順

  1. Windows デスクトップまたはサーバで、NSX-T Data Center[ダウンロード] ページ > [ドライバとツール] > [NSX Cloud スクリプト] > [Microsoft Azure] の順に移動して、CreateNSXCloudCredentials.zip という名前の ZIP ファイルをダウンロードします。

  2. Windows システムで、ZIP ファイルの次の内容を展開します。

    ファイル名

    説明

    CreateNSXRoles.ps1

    これは、CSM および PCGNSX Cloud サービス プリンシパルおよび MSI ロールを生成するための PowerShell スクリプトです。

    nsx_csm_role.json

    このファイルには、CSM ロール名および Microsoft Azure におけるこのロールの権限が含まれています。これは PowerShell スクリプトに入力され、スクリプトと同じフォルダに配置されている必要があります。

    nsx_pcg_role.json

    このファイルには、PCG ロール名および Microsoft Azure におけるこのロールの権限が含まれています。これは PowerShell スクリプトに入力され、スクリプトと同じフォルダに配置されている必要があります。デフォルト PCG(ゲートウェイ)ロール名は nsx-pcg-role です。

    注:

    Microsoft Azure Active Directory で複数のサブスクリプションのロールを作成する場合は、それぞれの JSON ファイルのサブスクリプションごとに CSMPCG のロール名を変更して、スクリプトを再実行する必要があります。

  3. Microsoft Azure サブスクリプション ID をパラメータとして指定してスクリプトを実行します。パラメータ名は subscriptionId です。

    次はその例です。

    .\CreateNSXRoles.ps1 -subscriptionId <your_subscription_ID> 

    これにより、NSX Cloud のサービス プリンシパル、CSMPCG の適切な権限を持つロールが作成され、CSM ロールと PCG ロールが NSX Cloud サービス プリンシパルに設定されます。

  4. PowerShell スクリプトを実行したディレクトリと同じ場所でファイルを探します。名前は次のようになります:NSXCloud_ServicePrincipal_<your_subscription_ID>_<NSX_Cloud_Service_Principal_name>。このファイルには、CSM で Microsoft Azure サブスクリプションを追加するために必要な情報が含まれています。
    • クライアント ID

    • クライアント キー

    • テナント ID

    • サブスクリプション ID

    注:

    CSM ロールと PCG ロールの作成後に使用可能な権限のリストについては、それらのロールの作成に使用される JSON ファイルを参照してください。

次のタスク

CSM での Microsoft Azure サブスクリプションの追加