NSX Cloud 利用 Microsoft Azure 的受管理服務身分識別 (MSI) 功能來管理驗證,同時保護您的 Microsoft 認證安全。

若要讓 NSX Cloud 在 Microsoft Azure 訂閱中運作,您需要產生 CSMPCG 的 MSI 角色以及 NSX Cloud 的服務主體。

透過執行 NSX Cloud PowerShell 指令碼,可實現此操作。此外,您需要兩個 JSON 格式的檔案做為參數。以所需參數執行 PowerShell 指令碼時,會建立下列建構:

  • NSX Cloud 的 Azure AD 應用程式。

  • NSX Cloud 應用程式的 Azure Resource Manager 服務主體。

  • 連結至服務主體帳戶之 CSM 的角色。

  • 使 PCG 能夠在公有雲詳細目錄上運作的角色。

備註:

Microsoft Azure 的回應時間可能會導致首次執行指令碼時失敗。如果指令碼失敗,請嘗試再次執行。

先決條件

  • 您必須具有已安裝 AzureRM 模組的 PowerShell 5.0+。

  • 您必須是要執行指令碼以產生 NSX Cloud 服務主體之 Microsoft Azure 訂閱的擁有者。

程序

  1. 在 Windows 桌面或伺服器上,從 NSX-T Data Center [下載] 頁面 > 驅動程式與工具 > NSX Cloud 指令碼 > Microsoft Azure,下載名為 CreateNSXCloudCredentials.zip 的 ZIP 檔案。

  2. 在 Windows 系統中,解壓縮 ZIP 檔案的下列內容:

    檔案名稱

    說明

    CreateNSXRoles.ps1

    這是 PowerShell 指令碼,用以產生 NSX Cloud 服務主體以及 CSMPCG 的 MSI 角色

    nsx_csm_role.json

    此檔案包含 CSM 角色名稱和此角色在 Microsoft Azure 中的權限。這是 PowerShell 指令碼的輸入,必須與指令碼位於相同的資料夾。

    nsx_pcg_role.json

    此檔案包含 PCG 角色名稱和此角色在 Microsoft Azure 中的權限。這是 PowerShell 指令碼的輸入,必須與指令碼位於相同的資料夾。預設 PCG (閘道) 角色名稱為 nsx-pcg-role

    備註:

    如果您要在 Microsoft Azure Active Directory 中建立多個訂閱的角色,您必須在相應 JSON 檔案中變更每個訂閱的 CSMPCG 角色名稱,然後重新執行指令碼。

  3. 以 Microsoft Azure 訂閱識別碼做為參數來執行指令碼。參數名稱為 subscriptionId

    例如,

    .\CreateNSXRoles.ps1 -subscriptionId <your_subscription_ID> 

    這會建立 NSX Cloud 的服務主體、具有 CSMPCG 的適當權限的角色,並且將 CSMPCG 角色連結到 NSX Cloud 服務主體。

  4. 尋找可執行 PowerShell 指令碼的相同目錄中的檔案。其名稱類似於:NSXCloud_ServicePrincipal_<your_subscription_ID>_<NSX_Cloud_Service_Principal_name>。此檔案包含在 CSM 中新增 Microsoft Azure 訂閱所需的資訊。
    • 用戶端識別碼

    • 用戶端金鑰

    • 承租人識別碼

    • 訂閱識別碼

    備註:

    請參閱用於建立 CSMPCG 角色的 JSON 檔案,以取得在角色建立後可供角色使用的權限清單。

下一步

在 CSM 中新增 Microsoft Azure 訂閱