批准策略是您添加的一种管治级别,用于在运行部署和实施后操作请求之前对它们实施控制。您可以在 Service Broker 中定义批准策略,以便您或您指定的其他用户可在使用或销毁资源之前审核请求。此过程中使用的批准策略用例是为了进行说明,供您在探索管治选项时参考。

如果您只有一支小型团队负责添加和部署目录项,则批准策略可能不太有用。但是,如果您将目录提供给由开发人员和一般使用者构成的群体,则可以使用批准策略来确保有人在资源被使用或已置备项目被更改之前审查请求。

例如,您有一个目录项很重要,但它会占用大量资源。您希望由一个 IT 管理员检查所有部署请求,以确保请求是必要的。另一个示例与实施后操作相关。如果对许多人正在使用的部署进行更改,可能会产生灾难性的破坏。您需要管理该团队部署的项目管理员审核对已部署目录项进行的所有更改。

谁使用批准策略,或者谁会受到此策略的影响?

  • Service Broker 管理员。配置策略。
  • 目录使用者。请求应用了一个或多个策略的目录项或实施后操作的用户。
  • Cloud Assembly 中部署云模板的用户。请求 Cloud Assembly 中应用了一个或多个策略的模板或实施后操作的用户。
  • 指定的审批者。必须审核并批准或拒绝请求的用户。您可以向选定用户授予审批者权限,也可以从以下审批者角色中进行选择。
    • AD 管理员。具有管理员属性的 Active Directory 用户。请参见为 AD 主管审批者角色配置 Active Directory 属性
    • 项目管理员。策略范围内项目的管理员会自动分配为审批者。如果项目没有专用管理员,则批准策略不会应用于该项目。
    • 项目主管。策略范围内分配了主管角色的项目成员。主管访问权限仅限于批准和拒绝项目的部署请求。如果项目没有专用主管,则批准策略不会应用于该项目。

实施批准策略时会发生什么?

可以实施多个批准策略。将评估批准策略,并将实施的策略应用于请求。如果存在多个有效策略且审批者是不同人员,则会添加所有审批者。如果您有多个策略,请务必了解此过程。有关详细信息,请参见批准策略目标和实施示例

  1. 定义批准策略。
  2. 用户请求目录项或实施后操作。在请求时,Service Broker 评估目录项以查看是否应用了任何策略。
  3. 实施批准策略。
    1. 部署卡视图将显示状态。例如,创建 - 批准挂起。
    2. 向请求者发送电子邮件通知。请参见如何在 Service Broker中跟踪需要批准的请求
    3. 向审批者发送电子邮件通知。请参见如何响应 Service Broker中的批准请求

      在请求获得批准之前,部署不会开始部署和使用基础架构资源,也不会对已部署的系统进行更改。向请求用户发送电子邮件通知,说明请求正等待批准。

    4. 审批者使用 Service Broker 中的“批准”选项卡响应请求。
  4. 批准过程完成。
    1. 如果请求被拒绝,将通知请求用户并取消部署请求。
    2. 如果请求获得批准,则继续部署。
    3. 可以将实施的策略配置为在审批者未采取操作时自动批准或拒绝请求。

如何使用部署条件?

要限制策略应用到的项目或活动,可以定义部署条件。有关条件的详细信息,请参见如何在 Service Broker 策略中配置部署条件

批准策略限制

  • 批准策略中不能包含“更改租约”操作。
  • 不支持在策略条件中使用自定义资源作为资源类型。

审核批准策略用例并创建您自己的策略时,请查阅有关关键文本框的标志帮助,以了解更多信息。

前提条件

  • 审批者(可能不是普通的 Service BrokervRealize Automation Cloud Assembly 用户)必须具有以下角色组合之一:
    • 组织成员和 Service Broker 用户
    • 组织成员和“管理批准”自定义角色

    虽然这些角色提供的是最低级别的权限,但仍能够批准或拒绝请求。

  • 确认已定义电子邮件通知服务器。请参见在 Service Broker 中添加电子邮件服务器以发送通知
  • 如果您计划使用 Active Directory 主管作为基于角色的批准类型,则必须使用为 vRealize Automation 配置的 Workspace One Access VMware Identity Manager 集成。您还必须在用户属性中包括 Active Directory 管理器属性。请参见为 AD 主管审批者角色配置 Active Directory 属性

过程

  1. 选择内容和策略 > 策略 > 定义 > 新建策略 > 批准策略
  2. 配置批准策略 1。
    作为管理员,您有一个目录项很重要,但也会消耗大量云资源。您希望您的两位 IT 管理员中至少有一位审核所有部署请求,以确保该请求是必要的且存在可以支持该请求的资源。
    1. 定义策略的有效时间。
      设置 示例值
      Scope 组织

      此策略将应用于组织中的所有项目。

      条件
      Catalog Item equals CompanyApplication
    2. 定义批准行为。
      设置 示例值
      批准类型 选择基于用户

      请选择作为请求审批者的用户。

      审批者模式 全部

      您希望所有 IT 管理人员都认同:部署请求不会浪费资源。

      审批者 {approvername1}@YourCompany, {approvername2}@YourCompany
      自动到期决策 拒绝

      您的云资源可能有负载,这意味着您不希望在未批准的情况下无意中部署项目。

      自动过期触发器 3

      此值应能支撑一个长周末,以防管理人员不可用。

      操作 Deployment.Create
    在这种情况下,如果任何目录使用者请求此目录项,则审批者 1 和审批者 2 均须在 3 天内批准请求,否则请求将被拒绝。
  3. 配置批准策略 2。
    作为管理员,您有多个项目,您希望项目管理员批准对部署进行的任何更改,包括可能产生灾难性后果的更改。例如,删除部署。
    1. 定义批准策略的有效时间。
      设置 示例值
      Scope
      多个项目
      Project name contains Prod

      该策略将应用于与符合范围条件的所有项目关联的部署。

      条件
    2. 定义批准行为。
      设置 示例值
      批准类型 选择基于角色
      审批者角色 项目管理员

      如果项目没有专用管理员,则批准策略不会应用于与该项目关联的请求。

      自动到期决策 拒绝
      自动过期触发器 7
      操作 Deployment.Delete、Deployment.PowerOff、Deployment.Update 以及任何特定于组件的开关电源、重新引导和删除操作。
    在这种情况下,当范围内项目中某个项目的成员请求对部署运行列出的操作时,如果项目管理员没有响应,则会在七天后拒绝该请求。
  4. 配置批准策略 3。
    作为管理员,您希望对资源消耗稍有控制。例如,当用户请求较大的目录项时,您需要评估和批准请求。大小由特定实例映射定义。
    1. 定义批准策略的有效时间。
      设置 示例值
      范围 组织
      条件
      Resources has any 
           Flavor equals large
    2. 定义批准行为。
      设置 示例值
      批准类型 选择基于用户
      审批者模式 任意
      审批者 {AdminName}@YourCompany
      自动到期决策 拒绝

      您的云资源可能有消耗,这意味着您不希望在未批准的情况下无意中部署项目。

      自动过期触发器 5
      操作 Deployment.Create 和任何适用的 *.Machine.Resize 操作。例如,Cloud.vSphere.Machine.Resize。
      在这种情况下,当任何用户请求大型部署或将部署的大小调整为“大”时,如果云管理员没有响应,则请求将在 5 天后被拒绝。

下一步做什么