Antes de começar a trabalhar no Cloud Assembly como administrador de nuvem, você deve coletar informações sobre suas contas de nuvens públicas e privadas. Use esta lista de verificação para ajudá-lo a começar a adicionar seus recursos de nuvem.
Credenciais gerais necessárias
Para... | Você precisa... |
---|---|
Inscrever-se e fazer login no Cloud Assembly |
Um ID da VMware.
|
Conectar ao vRealize Automation Services |
A porta HTTPS 443 abre para o tráfego de saída com acesso por meio do firewall para:
Para obter mais informações sobre portas e protocolos, consulte VMware Ports and Protocols. Para obter mais informações sobre portas e protocolos, consulte Requisitos de porta na ajuda da Arquitetura de referência. |
Credenciais da conta de nuvem do vCenter
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do vCenter.
- Endereço IP ou FQDN do vCenter
As permissões necessárias para gerenciar contas de nuvem do VMware Cloud on AWS e do vCenter estão listadas. Permissões devem ser ativadas para todos os clusters do vCenter, e não apenas para clusters que hospedarão endpoints.
Para oferecer suporte ao controle do Virtual Trusted Platform Module (vTPM) da VMware ao implantar VMs do Windows 11, você deve ter o privilégio de operações criptográficas -> acesso direto no vCenter. Sem esse privilégio, o acesso do console do vRealize Automation às VMs do Windows 11 não é possível. Para obter informações relacionadas, consulte Visão geral do módulo de plataforma confiável virtual.
Para todas as contas de nuvem baseadas no vCenterincluindo NSX-V, NSX-T, vCentere VMware Cloud on AWS — o administrador deve ter credenciais de endpoint do vSphere ou as credenciais sob as quais o serviço do agente é executado no vCenter, que fornecem acesso administrativo ao host do vCenter.
Configuração | Seleção |
---|---|
Repositório de dados |
|
Cluster de Repositório de Dados |
|
Pasta |
|
Global |
|
Rede |
|
Permissões |
|
Recurso |
|
Profile-driven storage |
|
Biblioteca de conteúdo Para atribuir um privilégio em uma biblioteca de conteúdo, um administrador deve conceder o privilégio ao usuário como um privilégio global. Para obter informações relacionadas, consulte Herança hierárquica de permissões para bibliotecas de conteúdo, em Administração de máquinas virtuais vSphere, na Documentação do VMware vSphere. |
|
Marcando o vSphere |
|
vApp |
|
Máquina virtual — Inventário |
|
Máquina virtual — Interação |
|
Máquina virtual — Configuração |
|
Máquina virtual — Provisionamento |
|
Máquina virtual — Estado |
|
Credenciais da conta de nuvem (AWS) do Amazon Web Services
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do Amazon Web Services. Consulte a seção acima de credenciais da conta de nuvem do vCenter para requisitos de credencial adicional.
Forneça uma conta de usuário avançado com privilégios de leitura e gravação. A conta do usuário deve ser membro da política de acesso avançado (PowerUserAccess) no sistema do AWS Identity and Access Management (IAM).
Habilite o ID da chave de acesso de 20 dígitos e o acesso à chave de acesso secreta correspondente.
Se estiver usando um proxy de Internet HTTP externo, este deverá ser configurado para IPv4.
Configuração | Seleção |
---|---|
Ações de escalonamento automático | As seguintes permissões do AWS são sugeridas para permitir as funções de autodimensionamento:
|
Recursos de escalonamento automático | As seguintes permissões são necessárias para permitir permissões de recursos de escalonamento automático:
|
Recursos do AWS Security Token Service (AWS STS) | As seguintes permissões são obrigatórias para permitir que as funções do serviço de token de segurança do AWS (AWS STS) ofereçam credenciais temporárias e de privilégio limitado para identidade e acesso ao AWS:
|
Ações do EC2 | As seguintes permissões do AWS são obrigatórias para permitir funções do EC2:
|
Recursos do EC2 |
|
Balanceamento de carga da Elastic: ações do balanceador de carga |
|
Balanceamento de carga da Elastic: recursos do balanceador de carga |
|
Gerenciamento de Identidade e Acesso (IAM) da AWS |
As seguintes permissões do AWS Identity and Access Management (IAM) podem ser habilitadas, embora não sejam necessárias:
|
Credenciais da conta de nuvem do Microsoft Azure
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do Microsoft Azure.
Configure uma instância do Microsoft Azure e obtenha uma assinatura válida do Microsoft Azure na qual você possa usar o ID da assinatura.
Crie um aplicativo Active Directory conforme descrito em Como: usar o portal para criar um aplicativo do Azure AD e a entidade de segurança de serviço que pode acessar recursos, na documentação do produto Microsoft Azure.
Se estiver usando um proxy de Internet HTTP externo, este deverá ser configurado para IPv4.
- Configurações gerais
As seguintes configurações gerais são necessárias.
Configuração Descrição ID da assinatura Permite que você acesse suas assinaturas do Microsoft Azure. ID do Tenant O endpoint de autorização para os aplicativos do Active Directory criado na conta do Microsoft Azure. ID do aplicativo cliente Fornece acesso ao Microsoft Active Directory em sua conta individual do Microsoft Azure. Chave secreta do aplicativo cliente A chave secreta exclusiva gerada para emparelhar com o ID do aplicativo cliente. - Configurações para criar e validar contas de nuvem
As seguintes permissões são necessárias para criar e validar contas de nuvem do Microsoft Azure.
Configuração Seleção Microsoft Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Microsoft Network - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Microsoft Resources - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft Storage - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Microsoft.Storage/storageAccounts/listKeys/action não é geralmente necessário, mas pode ser necessário para os usuários visualizarem contas de armazenamento.
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- Configurações para extensibilidade baseada em ação
Se você estiver usando o Microsoft Azure com extensibilidade baseada em ação, as seguintes permissões serão necessárias, além das permissões.
Configuração Seleção Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Autorização da Microsoft - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Insights da Microsoft - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
Se a propriedade
Storage account public access should be disallowed
for atribuída a um grupo de recursos com o tipo de efeitoDeny
, a criação automática de contas de armazenamento para ações de extensibilidade será impedida. Nesse cenário, as ações de extensibilidade não poderão ser executadas se o provedor FaaS estiver definido como Selecionar Automaticamente. Você deve definir manualmente o provedor FaaS como Microsoft Azure e configurar a conta de armazenamento e o grupo de recursos. - Configurações para extensibilidade com base em ação com extensões
Se você estiver usando o Microsoft Azure com extensibilidade baseada em ação com extensões, as seguintes permissões também serão necessárias.
Configuração Seleção Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
Para obter informações relacionadas sobre como criar uma conta de nuvem do Microsoft Azure, consulte Configurar o Microsoft Azure.
Credenciais da conta de nuvem (GCP) do Google Cloud Platform
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do Google Cloud Platform.
A conta de nuvem da Google Cloud Platform interage com o mecanismo de processamento da Google Cloud Platform.
As credenciais de Administrador e Proprietário do Projeto são necessárias para criar e validar contas de nuvem da Google Cloud Platform.
Se estiver usando um proxy de Internet HTTP externo, este deverá ser configurado para IPv4.
O serviço de mecanismo de processamento deve ser ativado. Ao criar a conta de nuvem no vRealize Automation, use a conta de serviço que foi criada quando o mecanismo de processamento foi inicializado.
Configuração | Seleção |
---|---|
roles/compute.admin |
Fornece controle total de todos os recursos do mecanismo de computação. |
roles/iam.serviceAccountUse |
Fornece acesso a usuários que gerenciam instâncias de máquina virtual configuradas para serem executadas como uma conta de serviço. Conceda acesso aos seguintes recursos e serviços:
|
roles/compute.imageUser |
Concede permissão para listar e ler imagens sem ter outras permissões na imagem. A concessão da função compute.imageUser no nível do projeto oferece aos usuários a capacidade de listar todas as imagens no projeto. Também permite que os usuários criem recursos, como instâncias e discos permanentes, com base em imagens do projeto.
|
roles/compute.instanceAdmin |
Concede permissões para criar, modificar e excluir instâncias de máquina virtual. Isso inclui permissões para criar, modificar e excluir discos e também para definir configurações VMBETA protegidas. Para usuários que gerenciam instâncias de máquina virtual (mas não configurações de rede ou segurança ou instâncias executadas como contas de serviço), conceda essa função à organização, pasta ou projeto que contém as instâncias, ou às instâncias individuais. Os usuários que gerenciam instâncias de máquina virtual configuradas para serem executadas como uma conta de serviço também precisam da função roles/iam.serviceAccountUser.
|
roles/compute.instanceAdmin.v1 |
Fornece controle total de instâncias do mecanismo de processamento, grupos de instâncias, discos, snapshots e imagens. Também fornece acesso de leitura a todos os recursos de rede do mecanismo de computação.
Observação: Se você conceder a um usuário essa função no nível da instância, ele não poderá criar novas instâncias.
|
Credenciais da conta de nuvem do NSX-T
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do NSX-T.
- Endereço IP ou FQDN do NSX-T
- Centro de dados do NSX-T - Credenciais de acesso e função de Administrador Empresarial
A função de auditor é necessária.
Categoria/Subcategoria | Permissão |
---|---|
Rede - Gateways de Nível 0 | Somente leitura |
Rede - Gateways de Nível-0 -> OSPF | Nenhum |
Rede - Gateways de Nível-1 | Acesso Total |
Rede - Segmentos | Acesso Total |
Rede - VPN | Nenhum |
Rede - NAT | Acesso Total |
Rede - Balanceamento de Carga | Acesso Total |
Rede - Política de Encaminhamento | Nenhum |
Rede - Estatísticas | Nenhum |
Rede - DNS | Nenhum |
Rede - DHCP | Acesso Total |
Rede - Pools de Endereços IP | Nenhum |
Rede - Perfis | Somente leitura |
Segurança - Detecção e Resposta a Ameaças | Nenhum |
Segurança - Firewall Distribuído | Acesso Total |
Segurança - IDS/IPS e Prevenção contra Malware | Nenhum |
Segurança - Inspeção de TLS | Nenhum |
Segurança - Firewall de Identidade | Nenhum |
Segurança - Firewall de Gateway | Nenhum |
Segurança - Gerenciamento da Cadeia de Serviços | Nenhum |
Segurança - Janela de Tempo do Firewall | Nenhum |
Segurança - Perfis | Nenhum |
Segurança - Perfis de Serviço | Nenhum |
Segurança - Configurações de Firewall | Acesso Total |
Segurança - Configurações de Segurança de Gateway | Nenhum |
Inventário | Acesso Total |
Solução de problemas | Nenhum |
Sistema | Nenhum |
Os administradores também precisam de acesso ao vCenter conforme descrito na seção Credenciais da conta de nuvem do vCenter deste tópico.
Credenciais da conta de nuvem do NSX-V
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do NSX-V.
- Credenciais de acesso e função de Administrador Empresarial do NSX-V
- Endereço IP ou FQDN do NSX-V
Os administradores também precisam de acesso ao vCenter como descrito na seção Adicionar uma conta de nuvem do vCenter nessa tabela.
Credenciais de conta de nuvem do VMware Cloud Director (vCD)
Esta seção descreve as credenciais necessárias para adicionar uma conta de nuvem do VMware Cloud Director (vCD).
Configuração | Seleção |
---|---|
Acessar Todos os vDCs de Organização | Tudo |
Catálogo |
|
Geral |
|
Entrada do Arquivo de Metadados | Criar/Modificar |
Rede de Organização |
|
Gateway do vDC da Organização |
|
vDC de Organização |
|
Organização |
|
Recursos de Políticas de Quotas | Exibir |
Modelo de VDC |
|
Modelo/Mídia de vApp |
|
Modelo vApp |
|
vApp |
|
Grupo do vDC |
|
Credenciais de integração do vRealize Operations Manager
Esta seção descreve as credenciais necessárias para a integração com o vRealize Operations Manager. Observe que essas credenciais são estabelecidas e configuradas no vRealize Operations Manager, e não no vRealize Automation.
Forneça uma conta de login local ou não local para o vRealize Operations Manager com os seguintes privilégios de leitura.
- Instância de adaptador vCenter Adaptador > Instância de adaptador do VC para vCenter-FQDN
Talvez seja necessário importar uma conta não local antes que você possa atribuir sua função somente leitura.
Integração do NSX com a solução da VMware no Microsoft Azure (AVS) para o vRealize Automation
Para obter informações sobre como conectar o NSX em execução na Solução da VMware (AVS) do Microsoft Azure no vRealize Automation, incluindo a configuração de funções personalizadas, consulte Permissões de usuário cloudadmin do NSX-T Data Center na documentação do produto da Microsoft.