vSphere+ 管理员必须配置访问权限,用户才能在 Automation Service Broker 中使用 Cloud Consumption Interface (CCI)。通过 CCI,用户可以创建主管命名空间以及任何关联的 IaaS 和合作伙伴 DevOps 服务。

Cloud Consumption Interface 启用概述

下图概述了为不熟悉 VMware Aria Automation 的 vSphere+ 用户设置对 CCI 的访问权限所需的简要工作流。该图下面的项目符号列表提供了更多详细信息以及适用文档的链接(如适用)。

启用 CCI 工作流。

  • 步骤 1 - 将 vCenter 载入到 vSphere+:vSphere 管理员必须在包含要对其提供访问权限的集群的 vCenter 实例和 vSphere+ 之间建立连接。有关详细信息,请参见将 vCenter Server 连接到 vCenter Cloud Gateway
  • 步骤 2 - 启用一个或多个主管集群:vSphere 管理员必须配置适用的主管集群。有关详细信息,请参见配置和管理主管集群
  • 步骤 3 - 启用开发人员体验:当管理员单击 vSphere+ 开发人员体验表单上的 完成 时,将启动一个工作流,用于设置示例项目和相关构造,以便用户能够使用传统集群和/或主管集群,具体取决于特定的配置。请注意,尽管 CCI 利用主管集群,但其他 VMware Aria Automation 用例依赖于传统集群。有关详细信息,请参见《使用和管理 vSphere+》
  • 步骤 4 - 为用户配置 Cloud Consumption Interface:用户可以在 VMware Cloud Services 控制台中使用 VMware Aria Automation。本章将介绍创建的基础架构以及用户如何访问该基础架构。
  • 步骤 5 - 使用者使用 Cloud Consumption Interface:用户可以访问指定的项目以及关联的主管命名空间和主管命名空间类。他们可以将这些命名空间类用作新命名空间的模板。CCI 提供了自定义 kubectl cci 插件,用于对管理员和用户任务进行命令行控制。有关详细信息,请参见本文的以下章节。

有关主管集群和命名空间以及它们如何与 vSPhere 和 Tanzu 配合使用的详细信息,请参见https://docs.vmware.com/cn/VMware-vSphere-with-Tanzu/index.html

其他配置注意事项

Cloud Consumption Interface 单点登录要求客户在 vSphere+ 安装过程中使用已联合到 VMware Cloud 和 Cloud Services 控制台的本地 Active Directory。通过联合 Active Directory 域,可以支持在主管命名空间和 IaaS 服务 UI 或命令行操作期间以及通过 vSphere+ 服务执行任何 vSphere+ 操作期间维护用户身份。

有关 vSphere+ 如何使用联合的详细信息,请参见 《vSphere+ 入门指南》 文档中的使用 VMware Cloud Services 设置企业联合

用户通过专用 Kubernetes 代理访问 CCI 服务和资源。为了在代理访问 vCenter Kubernetes API 时维护用户身份,CCI 使用与 vSphere+ 类似的单点登录流程。

Automation Service Broker 用户角色包括以 SSO 用户身份访问主管命名空间所需的特权。只有分配了此角色的用户才能访问在 vSphere+ vCenter 上创建的命名空间中的服务。

为 vSphere+ 用户启用开发人员体验

vSphere+管理员可以使用 vSphere+ Console 激活开发人员体验,其中包括 VMware Aria Automation 免费层(如果客户尚未拥有免费层)的权利。

管理员在 vSphere+ 中完成配置后,将自动运行一个配置工作流,该工作流将授权选定的用户和组使用 VMware Aria Automation 免费层,其中包括 Cloud Assembly 和 Automation Service Broker。此外,还会配置所有必要的组件,以在 VMware Aria Automation 免费层内启用和配置 Cloud Consumption Interface。结果将提供可供用户置备工作负载的精选示例 VMware Aria Automation 环境。

下表介绍了管理员在 vSphere+ 中根据集群选择创建的基础架构。

vSphere+ 集群选择 VMware Aria Automation 免费层中创建的基础架构
传统集群
  • 添加 vCenter 云帐户。
  • 为包含要载入的传统集群的每个数据中心创建一个云区域。如果数据中心内有多个集群,则会将其添加到该数据中心的云区域。
  • 创建名为 Default 的新项目。
  • 将云区域添加到该项目。
  • 将 vSphere + VI 管理员添加为项目管理员。
  • 将 vCenter/Cloud Services 控制台用户添加为项目用户
  • 为 vSphere + VI 管理员分配 VMware Aria Automation Assembler 和 Consumption 管理员角色。
  • 为 vCenter/Cloud Services 控制台用户分配 Automation Service Broker 用户角色。
主管集群
  • 添加 vCenter 云帐户。有关云帐户的信息,请参见 VMware Aria Automation 文档。
  • 为每个组织创建一个 CCI 系统项目 vmware-system-cci
  • 为每个组织创建一个名为“supervisor”的项目。
    • 将 vSphere + VI 管理员添加为项目管理员。
    • 使用项目角色绑定将 vCenter/Cloud Services 控制台用户添加为项目用户。
    • 有关项目的详细信息,请参见 VMware Aria Automation 文档。
  • 添加名为 onprem 的默认区域 - 每个组织一个。区域是主管命名空间的分组机制。
  • 添加名为 basic 的默认主管命名空间类。
  • 添加区域绑定配置,以将区域 onprem/项目 supervisor 绑定到主管集群。将根据匹配表达式选择主管集群。
  • 添加主管命名空间类绑定,以将名为 basic 的主管命名空间类绑定到新创建的名为 supervisor 的项目。
  • 添加主管命名空间类配置,以便为主管命名空间指定存储策略、内容库和虚拟机服务参数。将根据匹配表达式选择主管集群。

自动配置工作流完成后,用户将有权在 VMware Cloud Services 中访问 VMware Aria Automation 组件。

管理员可以创建的资源数量存在一些限制。有关限制的详细信息,请参见免费层限制

VMware Aria Automation 免费层用户有三种 VMware Aria Automation 访问情形,具体取决于用户项目成员资格以及项目是否有权访问云区域和/或 Kubernetes 区域。下面概述了这些情形。

  • 如果项目用户是仅配置了 Kubernetes 区域的项目的成员,则这些用户激活 Automation Service Broker 时,将在“使用”选项卡的左侧菜单中看到 CCI 的“主管命名空间”节点,但看不到也无权访问 Automation Service Broker 左侧菜单窗格中的“目录”或“部署”节点。
  • 如果项目用户是同时配置了云区域和 Kubernetes 区域的项目的成员,则这些用户激活 Automation Service Broker 时,将在左侧菜单中看到“目录”和“部署”节点,但无法通过“主管命名空间”节点查看或访问 CCI。
  • 如果项目用户是同时配置了云区域和 Kubernetes 区域的项目的成员,则他们有权访问“主管命名空间”节点以及 Automation Service Broker 左侧菜单中的“目录”和“部署”节点。