NSX Cloud는 하나 이상의 AWS 계정을 설정할 수 있게 도움을 주는 셸 스크립트를 제공합니다. 이 스크립트는 IAM 프로파일 및 필요한 사용 권한을 AWS 계정에 제공하는 PCG 역할(프로파일에 연결됨)을 생성합니다.

두 개의 서로 다른 AWS 계정에 있는 여러 계산 VPC에 연결된 전송 VPC를 호스팅할 계획인 경우에는 스크립트를 사용하여 이들 계정 간에 신뢰 관계를 생성할 수 있습니다.

참고: 기본적으로 PCG(게이트웨이) 역할 이름은 nsx_pcg_service입니다. 게이트웨이 역할 이름에 다른 값을 사용하고자 하면 스크립트에서 해당 이름을 변경할 수 있습니다. 하지만 이 값은 CSM에서 AWS 계정을 추가할 때 필요하므로 따로 기록해 두십시오.

사전 요구 사항

이 스크립트를 실행하려면 Linux 또는 호환 시스템에 다음이 설치 및 구성되어 있어야 합니다.

  • 계정 및 기본 영역에 대해 구성된 AWS CLI
  • jq(JSON 파서)
  • openssl(네트워크 보안 요구 사항)
참고: AWS GovCloud(미국) 계정을 사용하는 경우 AWS CLI가 GovCloud(미국) 계정용으로 구성되어 있고 기본 지역이 AWS CLI 구성 파일에 지정되어 있는지 확인합니다.

프로시저

  • Linux나 호환되는 데스크톱 또는 서버에서, 이름이 nsx_csm_iam_script.sh인 셸 스크립트를 NSX-T Data Center 다운로드 페이지 > 드라이버 및 도구 > NSX Cloud 스크립트 > AWS에서 다운로드합니다.
  • 시나리오 1: NSX Cloud에서 하나의 AWS 계정 사용
    1. 스크립트를 실행합니다. 예를 들면 다음과 같습니다.
       bash nsx_csm_iam_script.sh
    2. Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no] 메시지가 표시되면 yes를 입력합니다.
    3. What do you want to name the IAM User? 메시지가 표시되면 IAM 사용자의 이름을 입력합니다.
      참고: IAM 사용자 이름은 AWS 계정에서 고유해야 합니다.
    4. Do you want to add trust relationship for any Transit VPC account? [yes/no] 메시지가 표시되면 no를 입력합니다.
    스크립트가 성공적으로 실행되면 AWS 계정에 PCG에 대한 IAM 프로파일과 역할이 생성됩니다. 값은 스크립트를 실행한 디렉토리에 있는 aws_details.txt라는 이름의 출력 파일에 저장됩니다. 다음으로 CSM에서 AWS 계정 추가에 나와 있는 지침을 수행한 후 VPC에 PCG 배포에 나와 있는 지침을 수행하여 전송 또는 자체 관리 VPC 설정 프로세스를 완료합니다.
  • 시나리오 2: 하나의 마스터 AWS 계정으로 관리되는 여러 개의 AWS 하위 계정 사용
    1. AWS 마스터 계정에서 스크립트를 실행합니다.
       bash nsx_csm_iam_script.sh
    2. Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no] 메시지가 표시되면 yes를 입력합니다.
    3. What do you want to name the IAM User? 메시지가 표시되면 IAM 사용자의 이름을 입력합니다.
      참고: IAM 사용자 이름은 AWS 계정에서 고유해야 합니다.
    4. Do you want to add trust relationship for any Transit VPC account? [yes/no] 메시지가 표시되면 no를 입력합니다.
      참고: 마스터 AWS 계정을 사용하는 경우, 하위 계정의 계산 VPC를 볼 수 있는 권한이 전송 VPC에 있으면 하위 계정과의 신뢰 관계를 설정하지 않아도 됩니다. 그렇지 않은 경우에는 시나리오 3의 단계에 따라 계정을 여러 개 설정하십시오.
    스크립트가 성공적으로 실행되면 AWS 마스터 계정에 IAM 프로파일 및 PCG에 대한 역할이 생성됩니다. 값은 스크립트를 실행한 디렉토리의 출력 파일에 저장됩니다. 파일 이름은 aws_details.txt입니다. 다음으로 CSM에서 AWS 계정 추가에 나와 있는 지침을 수행한 후 VPC에 PCG 배포에 나와 있는 지침을 수행하여 전송 또는 자체 관리 VPC 설정 프로세스를 완료합니다.
  • 시나리오 3: NSX Cloud에서 여러 AWS 계정을 사용하고, 전송 VPC에 대한 1개의 계정과 계산 VPC에 대한 1개의 계정 지정. PCG 배포 옵션에 대한 자세한 내용은 NSX Public Cloud Gateway 배포를 참조하십시오.
    1. 전송 VPC를 호스팅하려는 AWS 계정의 12자리 AWS 계정 번호를 기록해 둡니다.
    2. "시나리오 1" 의 a-d단계에 따라 AWS 계정에 전송 VPC를 설정하고, CSM에 계정을 추가하는 프로세스를 완료합니다.
    3. 계산 VPC를 호스팅하려는 다른 AWS 계정에서 Linux나 호환되는 시스템에 NSX Cloud 스크립트를 다운로드하고 실행합니다. 또는 다른 계정 자격 증명을 가진 AWS를 사용하여 동일한 시스템에서 다른 AWS 계정에 대해 스크립트를 다시 실행할 수도 있습니다.
    4. 스크립트는 질문 Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]를 표시합니다. 적절한 응답을 위해 다음 지침을 사용하십시오.
      이 AWS 계정은 이미 CSM에 추가되었습니다. Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]에 대한 응답으로 no를 입력합니다.
      이 계정은 이전에 CSM에 추가되지 않았습니다. Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no] 에 대한 응답으로 yes를 입력합니다.
    5. (선택 사항) 이전 질문에서 CSMPCG에 대한 IAM 사용자 생성에 대해 yes로 답변한 경우 What do you want to name the IAM User? 질문이 표시될 때 IAM 사용자의 이름을 입력합니다. IAM 사용자 이름은 AWS 계정에서 고유해야 합니다.
    6. Do you want to add trust relationship for any Transit VPC account? [yes/no] 질문이 표시되면 yes를 입력합니다.
    7. What is the Transit VPC account number? 메시지가 표시되면 1단계에서 기록해 둔 12자리 AWS 계정 번호를 입력하거나 복사하여 붙여넣습니다.
      스크립트를 통해 두 AWS 계정 간에 IAM 신뢰 관계가 설정되고 ExternalID가 생성됩니다.
    스크립트가 성공적으로 실행되면 AWS 마스터 계정에 IAM 프로파일 및 PCG에 대한 역할이 생성됩니다. 값은 스크립트를 실행한 디렉토리의 출력 파일에 저장됩니다. 파일 이름은 aws_details.txt입니다. 다음으로 CSM에서 AWS 계정 추가에 나와 있는 지침을 수행한 후 전송 VPC/VNet에 연결에 나와 있는 지침을 수행하여 전송 VPC에 연결하는 프로세스를 완료합니다.