批准策略是您添加的一种管治级别,用于在运行部署和实施后操作请求之前对它们实施控制。您可以在 Service Broker 中定义批准策略,以便您或您指定的其他用户可在使用或销毁资源之前审核请求。此过程中使用的批准策略用例是为了进行说明,供您在探索管治选项时参考。

如果您只有一支小型团队负责添加和部署目录项,则批准策略可能不太有用。但是,如果您将目录提供给由开发人员和一般使用者构成的群体,则可以使用批准策略来确保有人在资源被使用或已置备项目被更改之前审查请求。

例如,您有一个目录项很重要,但它会占用大量资源。您希望由一个 IT 管理员检查所有部署请求,以确保请求是必要的。另一个示例与实施后操作相关。如果对许多人正在使用的部署进行更改,可能会产生灾难性的破坏。您需要管理该团队部署的项目管理员审核对已部署目录项进行的所有更改。

谁使用批准策略,或者谁会受到此策略的影响?

  • Service Broker 管理员。配置策略。
  • 目录使用者。请求应用了一个或多个策略的目录项或实施后操作的用户。
  • Cloud Assembly 中部署云模板的用户。请求 Cloud Assembly 中应用了一个或多个策略的模板或实施后操作的用户。
  • 指定的审批者。必须审核并批准或拒绝请求的用户。

实施批准策略时会发生什么?

可以实施多个批准策略。将评估批准策略,并将实施的策略应用于请求。如果存在多个有效策略且审批者是不同人员,则会添加所有审批者。如果您有多个策略,请务必了解此过程。有关详细信息,请参见批准策略目标和实施示例

  1. 定义批准策略。
  2. 用户请求目录项或实施后操作。在请求时,Service Broker 评估目录项以查看是否应用了任何策略。
  3. 实施批准策略。
    1. 部署卡视图将显示状态。例如,创建 - 批准挂起。
    2. 向请求者发送电子邮件通知。请参见如何在 Service Broker中跟踪需要批准的请求
    3. 向审批者发送电子邮件通知。请参见如何响应 Service Broker中的批准请求

      在请求获得批准之前,部署不会开始部署和使用基础架构资源,也不会对已部署的系统进行更改。向请求用户发送电子邮件通知,说明请求正等待批准。

    4. 审批者使用 Service Broker 中的“批准”选项卡响应请求。
  4. 批准过程完成。
    1. 如果请求被拒绝,将通知请求用户并取消部署请求。
    2. 如果请求获得批准,则继续部署。
    3. 可以将实施的策略配置为在审批者未采取操作时自动批准或拒绝请求。

如何使用部署条件?

要限制策略应用到的项目或活动,可以定义部署条件。有关条件的详细信息,请参见如何在 Service Broker 策略中配置部署条件

批准策略限制

  • 批准策略中不能包含“更改租约”操作。

审核批准策略用例并创建您自己的策略时,请查阅有关关键文本框的标志帮助,以了解更多信息。

前提条件

  • 审批者(可能不是普通的 Service BrokerVMware Cloud Assembly 用户)必须具有以下角色组合之一:
    • 组织成员和 Service Broker 用户
    • 组织成员和“管理批准”自定义角色

    虽然这些角色提供的是最低级别的权限,但仍能够批准或拒绝请求。

  • 定义用户规则时,用户必须具有有效的电子邮件地址。Service Broker 使用这些电子邮件地址发送批准通知。电子邮件服务器是 VMware 服务的一部分。该服务器不在您的管理范围内。如果您认为邮件未发送,请联系您的 VMware 服务代表。

过程

  1. 选择内容和策略 > 策略 > 定义 > 新建策略 > 批准策略
  2. 配置批准策略 1。
    作为管理员,您有一个目录项很重要,但也会消耗大量云资源。您希望您的两位 IT 管理员中至少有一位审核所有部署请求,以确保该请求是必要的且存在可以支持该请求的资源。
    1. 定义策略的有效时间。
      设置 示例值
      Scope 组织

      此策略将应用于组织中的所有项目。

      部署条件
      catalogItem equals CompanyApplication
    2. 定义批准行为。
      设置 示例值
      审批者模式 全部

      您希望所有 IT 管理人员都认同:部署请求不会浪费资源。

      审批者 {approvername1}@YourCompany, {approvername2}@YourCompany
      自动到期决策 拒绝

      您的云资源可能有负载,这意味着您不希望在未批准的情况下无意中部署项目。

      自动过期触发器 3

      此值应能支撑一个长周末,以防管理人员不可用。

      操作 Deployment.Create
    在这种情况下,如果任何目录使用者请求此目录项,则审批者 1 和审批者 2 均须在 3 天内批准请求,否则请求将被拒绝。
  3. 配置批准策略 2。
    作为管理员,您有一个项目 AcctProd,您希望项目管理员批准对部署进行的任何更改,包括可能产生灾难性后果的更改。例如,删除部署。
    1. 定义批准策略的有效时间。
      设置 示例值
      Scope 项目 AcctProd

      此策略将应用于与此项目关联的部署。

      部署条件
    2. 定义批准行为。
      设置 示例值
      审批者模式 任意
      审批者 {ProjectAdmin}@YourCompany
      自动到期决策 拒绝
      自动过期触发器 7
      操作 Deployment.Delete、Deployment.PowerOff、Deployment.Update 以及任何特定于组件的开关电源、重新引导和删除操作。
    在这种情况下,当 AcctProd 项目的成员请求对部署运行列出的操作时,如果项目管理员没有响应,则会在七天后拒绝该请求。
  4. 配置批准策略 3。
    作为管理员,您希望对资源消耗稍有控制。例如,当用户请求较大的目录项时,您需要评估和批准请求。大小由特定实例映射定义。
    1. 定义批准策略的有效时间。
      设置 示例值
      Scope 组织
      部署条件
      resources has any 
           Flavor equals large
    2. 定义批准行为。
      设置 示例值
      审批者模式 任意
      审批者 {AdminName}@YourCompany
      自动到期决策 拒绝

      您的云资源可能有消耗,这意味着您不希望在未批准的情况下无意中部署项目。

      自动过期触发器 5
      操作 Deployment.Create 和任何适用的 *.Machine.Resize 操作。例如,Cloud.vSphere.Machine.Resize。
      在这种情况下,当任何用户请求大型部署或将部署的大小调整为“大”时,如果云管理员没有响应,则请求将在 5 天后被拒绝。

后续步骤