NSX Cloud 提供殼層指令檔以透過產生 IAM 設定檔和連結至此設定檔的 PCG 角色 (為 AWS 帳戶提供必要的權限),協助設定一或多個 AWS 帳戶。

如果計劃在兩個不同的 AWS 帳戶中主控連結至多個計算 VPC 的傳送 VPC,可以使用指令碼在這些帳戶之間建立信任關係。

備註: 依預設, PCG (閘道) 角色名稱為 nsx_pcg_service。如果您想要針對閘道角色名稱使用不同的值,您可以在指令碼中進行變更,但是由於在 CSM 中新增 AWS 帳戶需要此項,因此請記下該值。

必要條件

您必須在 Linux 或相容系統上安裝和設定下列內容,然後再執行指令碼:

  • 針對該帳戶和預設區域設定了 AWS CLI。
  • jq (JSON 剖析器)。
  • openssl (網路安全性需求)。
備註: 如果使用 AWS GovCloud (US) 帳戶,請確保已針對 GovCloud (US) 帳戶設定 AWS CLI,並且已在 AWS CLI 組態檔案中指定預設區域。

程序

  • 在 Linux 或相容的桌面或伺服器上,從 NSX-T Data Center [下載] 頁面 > 驅動程式與工具 > NSX Cloud 指令碼 > AWS,下載名為 nsx_csm_iam_script.sh 的殼層指令檔。
  • 案例 1:您想要使用具有 NSX Cloud 的單一 AWS 帳戶。
    1. 執行指令碼,例如: 
       bash nsx_csm_iam_script.sh
    2. 當提示問題 Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no] 時,輸入 yes
    3. 當系統詢問 What do you want to name the IAM User? 時,輸入 IAM 使用者的名稱
      備註: 在 AWS 帳戶中,IAM 使用者名稱必須是唯一的。
    4. 當系統詢問 Do you want to add trust relationship for any Transit VPC account? [yes/no] 時,輸入 no
    當指令碼執行成功時,會在 AWS 帳戶中建立 IAM 設定檔與 PCG 的角色。這些值儲存於執行指令碼之相同目錄中名為 aws_details.txt 的輸出檔案。接下來,依照 在 CSM 中新增 AWS 帳戶在 VPC 中部署 PCG 中的指示完成設定傳送或自行管理 VPC 的程序。
  • 案例 2:您要使用 AWS 中由一個主要 AWS 帳戶管理的多個子帳戶。
    1. 從 AWS 主要帳戶執行指令碼。 
       bash nsx_csm_iam_script.sh
    2. 當提示問題 Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no] 時,輸入 yes
    3. 當系統詢問 What do you want to name the IAM User? 時,輸入 IAM 使用者的名稱
      備註: 在 AWS 帳戶中,IAM 使用者名稱必須是唯一的。
    4. 當系統詢問 Do you want to add trust relationship for any Transit VPC account? [yes/no] 時,輸入 no
      備註: 使用主要 AWS 帳戶時,如果傳送 VPC 有權檢視子帳戶中的計算 VPC,則不需建立與子帳戶的信任關係。若非如此,請依照 案例 3 的步驟來設定多個帳戶。
    當指令碼執行成功時,會在 AWS 主要帳戶中建立 IAM 設定檔與 PCG 的角色。這些值均儲存於執行指令碼之相同目錄中的輸出檔案。檔案名稱為 aws_details.txt。接下來,依照 在 CSM 中新增 AWS 帳戶在 VPC 中部署 PCG 中的指示完成設定傳送或自行管理 VPC 的程序。
  • 案例 3:您想要使用具有 NSX Cloud 的多個 AWS 帳戶,指定您一個帳戶做為傳送 VPC,以及其他帳戶做為計算 VPC。如需 PCG 部署選項的詳細資料,請參閱NSX Public Cloud Gateway:部署的架構和模式
    1. 請記下要主控傳送 VPC 的 12 位數的 AWS 帳戶號碼。
    2. 依照案例 1 中的步驟 ad 設定 AWS 帳戶中的傳送 VPC,然後完成在 CSM 中新增帳戶的程序。
    3. 在您要主控計算 VPC 的其他 AWS 帳戶中,從 Linux 或相容系統下載並執行 NSX Cloud 指令碼。或者,您可以使用具有不同帳戶認證的 AWS 設定檔,以使用相同的系統為其他 AWS 帳戶再次執行該指令碼。
    4. 指令碼會提出此問題:Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]。使用下列指導進行適當的回應:
      此 AWS 帳戶已新增至 CSM 輸入 no 以回應 Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
      此帳戶之前未新增至 CSM 輸入 yes 以回應 Do you want to create an IAM user for CSM and an IAM role for PCG? [yes/no]
    5. (選擇性) 如果您已在先前的問題中回答 yes 以便為 CSMPCG 建立 IAM 使用者,請在詢問 What do you want to name the IAM User? 時輸入 IAM 使用者的名稱。在 AWS 帳戶中,IAM 使用者名稱必須是唯一的。
    6. 詢問 Do you want to add trust relationship for any Transit VPC account? [yes/no] 時,輸入 yes
    7. 當系統詢問 What is the Transit VPC account number?,請輸入或複製並貼上您在步驟 1 中記下的 12 位數的 AWS 帳戶號碼。
      即會在兩個 AWS 帳戶之間建立 IAM 信任關係,並由指令碼產生 ExternalID。
    當指令碼執行成功時,會在 AWS 主要帳戶中建立 IAM 設定檔與 PCG 的角色。這些值均儲存於執行指令碼之相同目錄中的輸出檔案。檔案名稱為 aws_details.txt。接下來,依照 在 CSM 中新增 AWS 帳戶連結至傳送 VPC 或 VNet 中的指示完成連結到傳送 VPC 的程序。