Antes de começar a trabalhar no VMware Aria Automation como administrador de nuvem, você deve coletar informações sobre suas contas de nuvens públicas e privadas. Use esta lista de verificação para ajudá-lo na configuração antes que você comece a se integrar aos serviços.
Credenciais gerais necessárias
Para... | Você precisa... |
---|---|
Inscrever-se e fazer login no Automation Assembler |
Um ID da VMware.
|
Conectar ao VMware Aria Automation Services |
A porta HTTPS 443 abre para o tráfego de saída com acesso por meio do firewall para:
Para obter mais informações sobre portas e protocolos, consulte VMware Ports and Protocols. Para obter mais informações sobre portas e protocolos, consulte Requisitos de porta na ajuda da Arquitetura de referência. |
Credenciais da conta de nuvem do vCenter
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do vCenter.
- Endereço IP ou FQDN do vCenter
As permissões necessárias para gerenciar contas de nuvem do VMware Cloud on AWS e do vCenter estão listadas. Permissões devem ser ativadas para todos os clusters do vCenter, e não apenas para clusters que hospedarão endpoints.
Para oferecer suporte ao controle do Virtual Trusted Platform Module (vTPM) da VMware ao implantar VMs do Windows 11, você deve ter o privilégio de operações criptográficas -> acesso direto no vCenter. Sem esse privilégio, o acesso do console do VMware Aria Automation às VMs do Windows 11 não é possível. Para obter informações relacionadas, consulte Visão geral do módulo de plataforma confiável virtual.
Para todas as contas de nuvem baseadas no vCenterincluindo NSX-V, NSX-T, vCentere VMware Cloud on AWS — o administrador deve ter credenciais de endpoint do vSphere ou as credenciais sob as quais o serviço do agente é executado no vCenter, que fornecem acesso administrativo ao host do vCenter.
Configuração | Seleção |
---|---|
Biblioteca de conteúdo Para atribuir um privilégio em uma biblioteca de conteúdo, um administrador deve conceder o privilégio ao usuário como um privilégio global. Para obter informações relacionadas, consulte Herança hierárquica de permissões para bibliotecas de conteúdo, em Administração de máquinas virtuais vSphere, na Documentação do VMware vSphere. |
|
Repositório de dados |
|
Cluster de repositório de dados |
|
Pasta |
|
Global |
|
Rede |
|
Permissões |
|
Profile-driven storage |
|
Recurso |
|
vApp |
|
Máquina virtual |
Alterar configuração
Editar Inventário
Interação
Provisionamento
Gerenciamento de snapshots
|
Marcando o vSphere |
|
Credenciais da conta de nuvem (AWS) do Amazon Web Services
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do Amazon Web Services. Consulte a seção acima de credenciais da conta de nuvem do vCenter para requisitos de credencial adicional.
Forneça uma conta de usuário avançado com privilégios de leitura e gravação. A conta do usuário deve ser membro da política de acesso avançado (PowerUserAccess) no sistema do AWS Identity and Access Management (IAM).
Habilite o ID da chave de acesso de 20 dígitos e o acesso à chave de acesso secreta correspondente.
Se estiver usando um proxy de Internet HTTP externo, este deverá ser configurado para IPv4.
Configuração | Seleção |
---|---|
Ações de escalonamento automático | As seguintes permissões do AWS são sugeridas para permitir as funções de autodimensionamento:
|
Recursos de escalonamento automático | As seguintes permissões são necessárias para permitir permissões de recursos de escalonamento automático:
|
Recursos do AWS Security Token Service (AWS STS) | As seguintes permissões são obrigatórias para permitir que as funções do serviço de token de segurança do AWS (AWS STS) ofereçam credenciais temporárias e de privilégio limitado para identidade e acesso ao AWS:
|
Ações do EC2 | As seguintes permissões do AWS são obrigatórias para permitir funções do EC2:
|
Recursos do EC2 |
|
Balanceamento de carga da Elastic: ações do balanceador de carga |
|
Balanceamento de carga da Elastic: recursos do balanceador de carga |
|
Gerenciamento de Identidade e Acesso (IAM) da AWS |
As seguintes permissões do AWS Identity and Access Management (IAM) podem ser habilitadas, embora não sejam necessárias:
|
Credenciais da conta de nuvem do Microsoft Azure
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do Microsoft Azure.
Configure uma instância do Microsoft Azure e obtenha uma assinatura válida do Microsoft Azure na qual você possa usar o ID da assinatura.
Crie um aplicativo Active Directory conforme descrito em Como: usar o portal para criar um aplicativo do Azure AD e a entidade de segurança de serviço que pode acessar recursos, na documentação do produto Microsoft Azure.
Se estiver usando um proxy de Internet HTTP externo, este deverá ser configurado para IPv4.
- Configurações gerais
As seguintes configurações gerais são necessárias.
Configuração Descrição ID da assinatura Permite que você acesse suas assinaturas do Microsoft Azure. ID do Tenant O endpoint de autorização para os aplicativos do Active Directory criado na conta do Microsoft Azure. ID do aplicativo cliente Fornece acesso ao Microsoft Active Directory em sua conta individual do Microsoft Azure. Chave secreta do aplicativo cliente A chave secreta exclusiva gerada para emparelhar com o ID do aplicativo cliente. - Configurações para criar e validar contas de nuvem
As seguintes permissões são necessárias para criar e validar contas de nuvem do Microsoft Azure.
Configuração Seleção Microsoft Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Microsoft Network - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Microsoft Resources - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft Storage - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Microsoft.Storage/storageAccounts/listKeys/action não é geralmente necessário, mas pode ser necessário para os usuários visualizarem contas de armazenamento.
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- Configurações para extensibilidade baseada em ação
Se você estiver usando o Microsoft Azure com extensibilidade baseada em ação, as seguintes permissões serão necessárias, além das permissões.
Configuração Seleção Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Autorização da Microsoft - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Insights da Microsoft - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
- Configurações para extensibilidade com base em ação com extensões
Se você estiver usando o Microsoft Azure com extensibilidade baseada em ação com extensões, as seguintes permissões também serão necessárias.
Configuração Seleção Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
Para obter informações relacionadas sobre como criar uma conta de nuvem do Microsoft Azure, consulte Configurar Microsoft Azure.
Credenciais da conta de nuvem (GCP) do Google Cloud Platform
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do Google Cloud Platform.
A conta de nuvem da Google Cloud Platform interage com o mecanismo de processamento da Google Cloud Platform.
As credenciais de Administrador e Proprietário do Projeto são necessárias para criar e validar contas de nuvem da Google Cloud Platform.
Se estiver usando um proxy de Internet HTTP externo, este deverá ser configurado para IPv4.
O serviço de mecanismo de processamento deve ser ativado. Ao criar a conta de nuvem no VMware Aria Automation, use a conta de serviço que foi criada quando o mecanismo de processamento foi inicializado.
Configuração | Seleção |
---|---|
roles/compute.admin |
Fornece controle total de todos os recursos do mecanismo de computação. |
roles/iam.serviceAccountUse |
Fornece acesso a usuários que gerenciam instâncias de máquina virtual configuradas para serem executadas como uma conta de serviço. Conceda acesso aos seguintes recursos e serviços:
|
roles/compute.imageUser |
Concede permissão para listar e ler imagens sem ter outras permissões na imagem. A concessão da função compute.imageUser no nível do projeto oferece aos usuários a capacidade de listar todas as imagens no projeto. Também permite que os usuários criem recursos, como instâncias e discos permanentes, com base em imagens do projeto.
|
roles/compute.instanceAdmin |
Concede permissões para criar, modificar e excluir instâncias de máquina virtual. Isso inclui permissões para criar, modificar e excluir discos e também para definir configurações VMBETA protegidas. Para usuários que gerenciam instâncias de máquina virtual (mas não configurações de rede ou segurança ou instâncias executadas como contas de serviço), conceda essa função à organização, pasta ou projeto que contém as instâncias, ou às instâncias individuais. Os usuários que gerenciam instâncias de máquina virtual configuradas para serem executadas como uma conta de serviço também precisam da função roles/iam.serviceAccountUser.
|
roles/compute.instanceAdmin.v1 |
Fornece controle total de instâncias do mecanismo de processamento, grupos de instâncias, discos, snapshots e imagens. Também fornece acesso de leitura a todos os recursos de rede do mecanismo de computação.
Observação: Se você conceder a um usuário essa função no nível da instância, ele não poderá criar novas instâncias.
|
Credenciais da conta de nuvem do NSX-T
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do NSX-T.
A partir do NSX-T Data Center 3.1, há suporte para funções personalizadas.
- Endereço IP ou FQDN do NSX-T
- Centro de dados do NSX-T - Credenciais de acesso e função de Administrador Empresarial
A função de auditor é necessária.
Categoria/Subcategoria | Permissão |
---|---|
Rede - Gateways de Nível 0 | Somente leitura |
Rede - Gateways de Nível-0 -> OSPF | Nenhum |
Rede - Gateways de Nível-1 | Acesso Total |
Rede - Segmentos | Acesso Total |
Rede - VPN | Nenhum |
Rede - NAT | Acesso Total |
Rede - Balanceamento de Carga | Acesso Total |
Rede - Política de Encaminhamento | Nenhum |
Rede - Estatísticas | Nenhum |
Rede - DNS | Nenhum |
Rede - DHCP | Acesso Total |
Rede - Pools de Endereços IP | Nenhum |
Rede - Perfis | Somente leitura |
Segurança - Detecção e Resposta a Ameaças | Nenhum |
Segurança - Firewall Distribuído | Acesso Total |
Segurança - IDS/IPS e Prevenção contra Malware | Nenhum |
Segurança - Inspeção de TLS | Nenhum |
Segurança - Firewall de Identidade | Nenhum |
Segurança - Firewall de Gateway | Nenhum |
Segurança - Gerenciamento da Cadeia de Serviços | Nenhum |
Segurança - Janela de Tempo do Firewall | Nenhum |
Segurança - Perfis | Nenhum |
Segurança - Perfis de Serviço | Nenhum |
Segurança - Configurações de Firewall | Acesso Total |
Segurança - Configurações de Segurança de Gateway | Nenhum |
Inventário | Acesso Total |
Solução de problemas | Nenhum |
Sistema | Nenhum |
Os administradores também precisam de acesso ao vCenter conforme descrito na seção Credenciais da conta de nuvem do vCenter deste tópico.
Credenciais da conta de nuvem do NSX-V
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do NSX-V.
- Credenciais de acesso e função de Administrador Empresarial do NSX-V
- Endereço IP ou FQDN do NSX-V
Os administradores também precisam de acesso ao vCenter como descrito na seção Adicionar uma conta de nuvem do vCenter nessa tabela.
Credenciais de conta de nuvem do VMware Cloud on AWS (VMC na AWS)
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do VMware Cloud on AWS (VMC na AWS).
- A conta [email protected] ou qualquer conta de usuário no grupo CloudAdmin
- Credenciais de acesso e função de Administrador Empresarial do NSX
- Acesso de administrador de nuvem do NSX ao ambiente SDDC do VMware Cloud on AWS de sua organização
- Acesso de administrador ao ambiente SDDC do VMware Cloud on AWS de sua organização
- O token de API do VMware Cloud on AWS para o seu ambiente do VMware Cloud on AWS no serviço do VMware Cloud on AWS de sua organização
- Endereço IP ou FQDN do vCenter
Os administradores também precisam de acesso ao vCenter, conforme descrito na seção Adicionar uma conta de nuvem do vCenter desta tabela.
Para obter mais informações sobre as permissões necessárias para criar e usar contas de nuvem do VMware Cloud on AWS, consulte Gerenciando o centro de dados do VMware Cloud on AWS, na documentação do produto VMware Cloud on AWS.
Credenciais de conta de nuvem do VMware Cloud Director (vCD)
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do VMware Cloud Director (vCD).
Configuração | Seleção |
---|---|
Acessar Todos os vDCs de Organização | Tudo |
Catálogo |
|
Geral |
|
Entrada do Arquivo de Metadados | Criar/Modificar |
Rede de Organização |
|
Gateway do vDC da Organização |
|
vDC de Organização |
|
Organização |
|
Recursos de Políticas de Quotas | Exibir |
Modelo de VDC |
|
Modelo/Mídia de vApp |
|
Modelo vApp |
|
vApp |
|
Grupo do vDC |
|
Credenciais de integração do VMware Aria Operations
Esta seção descreve as credenciais necessárias para a integração com o VMware Aria Operations. Observe que essas credenciais são estabelecidas e configuradas no VMware Aria Operations, e não no VMware Aria Automation.
Forneça uma conta de login local ou não local para o VMware Aria Operations com os seguintes privilégios de leitura.
- Instância de adaptador vCenter Adaptador > Instância de adaptador do VC para vCenter-FQDN
Talvez seja necessário importar uma conta não local antes que você possa atribuir sua função somente leitura.
Integração do NSX com a solução da VMware no Microsoft Azure (AVS) para o VMware Aria Automation
Para obter informações sobre como conectar o NSX em execução na Solução da VMware (AVS) do Microsoft Azure no VMware Aria Automation, incluindo a configuração de funções personalizadas, consulte Permissões de usuário cloudadmin do NSX-T Data Center na documentação do produto da Microsoft.
Pré-requisitos do Automation Service Broker
Para... | Você precisa... |
---|---|
Adicione uma fonte de conteúdo de modelo Automation Assembler. | Você pode importar os modelos do Automation Assembler de uma instância associada.
|
Adicione uma fonte de modelo do Amazon CloudFormation. | Você pode importar os modelos do Amazon CloudFormation que estão armazenados em buckets do Amazon S3.
|
Adicione uma conta de nuvem do Amazon Web Services como uma região de destino ao implantar um modelo. | Forneça uma conta de usuário avançado com privilégios de leitura e gravação.
|
Pré-requisitos do Automation Pipelines
Para... | Você precisa... |
---|---|
Crie endpoints para garantir que as instâncias de trabalho do estejam disponíveis para desenvolvedores. |
Por exemplo, talvez seus desenvolvedores precisem conectar suas tarefas de pipeline a uma fonte de dados, repositório ou sistema de notificação. Esses componentes fornecem dados para a execução de seus pipelines.
Você também pode se integrar o
Automation Pipelines a outros componentes do
VMware Aria Automation.
|
Use o Automation Pipelines para compilar e executar pipelines e monitorar a atividade do pipeline nos painéis. |
Forneça aos desenvolvedores a função de User . Depois de executar um pipeline, convém saber se:
|
Use os modelos de pipeline inteligentes. | Para poupar tempo quando você cria um pipeline que compila, testa e implanta seu aplicativo de forma nativa, use os modelos de pipeline inteligentes. Cada modelo de pipeline inteligente faz várias perguntas e cria um pipeline com base em como você responde às perguntas sobre:
Depois que o modelo de pipeline inteligente cria o pipeline, você pode continuar modificando o pipeline para torná-lo ainda mais específico às suas necessidades. Para obter mais informações sobre como planejar sua compilação nativa e usar os modelos de pipeline inteligentes, consulte Planejando uma compilação nativa de integração contínua nos Pipelines de Automação antes de usar o modelo de pipeline inteligente. |