NSX Cloud をサブスクリプションで運用するには、Azure リソースの ID を管理するための Microsoft Azure 機能に基づいて、必要な権限および CSMPCG のロールを付与するサービス プリンシパルを作成します。

[概要]

  • NSX Cloud が提供する PowerShell スクリプトにより、サービス プリンシパルとロールを作成できます。これらは、Microsoft Azure の認証情報のセキュリティを確保すると同時に、Microsoft Azure の管理 ID 機能を使用して認証を管理します。このスクリプトを使用して、1 つのサービス プリンシパルに複数のサブスクリプションを含めることもできます。
  • 必要に応じて、すべてのサブスクリプションでサービス プリンシパルを再利用するか、新しいサービス プリンシパルを作成するかを選択できます。追加したサブスクリプションで、異なるサービス プリンシパルを作成する場合は、別のスクリプトを使用します。
  • サブスクリプションが複数の場合、サブスクリプションで使用するサービス プリンシパルが 1 つであっても、複数であっても、CSM ロールと PCG ロールの JSON ファイルを更新して、セクション AssignableScopes に各サブスクリプション名を追加する必要があります。
  • VNet にすでに NSX Cloud サービス プリンシパルがある場合は、スクリプトを再度実行してパラメータからサービス プリンシパル名を除外することで更新できます。
  • サービス プリンシパル名は、Microsoft Azure Active Directory に対して一意である必要があります。同一の Active Directory ドメイン内の異なるサブスクリプションに同じサービス プリンシパルを使用することも、サブスクリプションごとに異なるサービス プリンシパルを使用することもできます。ただし、同じ名前のサービス プリンシパルを 2 つ作成することはできません。
  • Microsoft Azure サブスクリプションの所有者であるか、すべての Microsoft Azure サブスクリプションでロールを作成し割り当てる権限を持っている必要があります。
  • 次のシナリオがサポートされます。
    • [シナリオ 1:]1 つの Microsoft Azure サブスクリプションを NSX Cloud で有効にする。
    • [シナリオ 2:]同じ Microsoft Azure Directory に、NSX Cloud で有効にする複数の Microsoft Azure サブスクリプションがあり、すべてのサブスクリプションで 1 つの NSX Cloud サービス プリンシパルを使用する。
    • [シナリオ 3:]同じ Microsoft Azure Directory に、NSX Cloud で有効にする複数の Microsoft Azure サブスクリプションがあり、それぞれのサブスクリプションで異なる NSX Cloud サービス プリンシパルを使用する。

プロセスの概要は、以下の通りです。

  1. NSX Cloud PowerShell スクリプトを使用して以下を実行します。
    • NSX Cloud のサービス プリンシパル アカウントを作成します。
    • CSM のロールを作成します。
    • PCG のロールを作成します。
  2. (オプション)リンクする他のサブスクリプションのサービス プリンシパルを作成します。
  3. CSM で Microsoft Azure サブスクリプションを追加します。
    注: 複数のサブスクリプションを使用している場合は、サービス プリンシパルが同一か異なるかにかかわらず、 CSM に各サブスクリプションを個別に追加する必要があります。