為了讓 NSX Cloud 在您的訂閱中運作,請建立服務主體以授與所需權限,並根據 Microsoft Azure 功能建立 CSMPCG 的角色以便管理 Azure 資源的身分識別。

概觀

  • NSX Cloud 提供 PowerShell 指令碼以產生服務主體和角色,該服務主體和角色使用 Microsoft Azure 的受管理身分識別功能來管理驗證,同時確保 Microsoft Azure 認證的安全。您也可以使用此指令碼在一個服務主體下包含多個訂閱。
  • 您可以選擇針對所有訂閱重複使用服務主體,或視需要建立新的服務主體。另有一個額外指令碼可供您為其他訂閱建立單獨的服務主體。
  • 若有多個訂閱,無論您針對所有訂閱使用單一服務主體,還是使用多個服務主體,都必須為 CSMPCG 角色更新 JSON 檔案,以便在 AssignableScopes 區段下新增每個其他訂閱名稱。
  • 如果 VNet 中已有 NSX Cloud 服務主體,可以再次執行指令碼並從參數中排除服務主體名稱來進行更新。
  • Microsoft Azure Active Directory 的服務主體名稱必須是唯一的。您可以在相同 Active Directory 網域下的不同訂閱中使用相同的服務主體,也可以針對每個訂閱使用不同的服務主體。但是,您無法建立兩個名稱相同的服務主體。
  • 您必須是擁有者或具有相應權限,才能在所有 Microsoft Azure 訂閱中建立和指派角色。
  • 支援下列案例:
    • 案例 1:您有一個要使用 NSX Cloud 啟用的 Microsoft Azure 訂閱。
    • 案例 2:相同 Microsoft Azure 目錄下有多個要使用 NSX Cloud 啟用的 Microsoft Azure 訂閱,但想要在所有訂閱中使用一個 NSX Cloud 服務主體。
    • 案例 3:相同 Microsoft Azure 目錄下有多個要使用 NSX Cloud 啟用的 Microsoft Azure 訂閱,但想要對不同的訂閱使用不同的 NSX Cloud 服務主體。

以下是程序的概述:

  1. 使用 NSX Cloud PowerShell 指令碼:
    • 建立 NSX Cloud 的服務主體帳戶。
    • CSM 建立角色。
    • PCG 建立角色。
  2. (選用) 針對您想要連結的其他訂閱建立服務主體。
  3. CSM 中新增 Microsoft Azure 訂閱。
    備註: 如果使用多個訂閱,無論是使用相同或不同的服務主體,您都必須在 CSM 中單獨新增每個訂閱。