Zum Arbeiten mit und Konfigurieren von Cloud-Konten in vRealize Automation müssen Sie sicherstellen, dass Sie über die folgenden Anmeldedaten verfügen.
Notwendige globale Anmeldedaten
Aufgabe | Voraussetzungen |
---|---|
Registrieren und Anmelden bei Cloud Assembly. |
Eine VMware-ID.
|
Herstellen einer Verbindung zu vRealize Automation-Diensten |
Offener HTTPS-Port 443 für ausgehenden Datenverkehr mit Zugriff über die Firewall auf:
Weitere Informationen zu Ports und Protokollen finden Sie unter VMware-Ports und -Protokolle. Weitere Informationen zu Ports und Protokollen finden Sie unter Portanforderungen in der Hilfe zur Referenzarchitektur. |
Anmeldedaten für vCenter-Cloud-Konten
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines vCenter-Cloud-Kontos benötigt werden.
- IP-Adresse oder FQDN von vCenter
Die für die Verwaltung von VMware Cloud on AWS- und vCenter-Cloud-Konten notwendigen Berechtigungen werden aufgelistet. Berechtigungen müssen für alle Cluster im vCenter und nicht nur für Cluster aktiviert sein, die Endpoints hosten.
Zur Unterstützung der Steuerung des Virtual Trusted Platform Module (vTPM) von VMware beim Bereitstellen von Windows 11-VMs benötigen Sie die Berechtigung Kryptografische Vorgänge -> Direktzugriff in vCenter. Ohne diese Berechtigung ist der Konsolenzugriff von vRealize Automation auf Windows 11-VMs nicht möglich. Weitere Informationen finden Sie unter Übersicht über das Virtual Trusted Platform Module.
Für alle vCenter-basierten Cloud-Konten, einschließlich NSX-V, NSX-T, vCenter und VMware Cloud on AWS, muss der Administrator über Anmeldedaten des vSphere-Endpoints oder diejenigen Anmeldedaten verfügen, unter denen der Agent-Dienst in vCenter ausgeführt wird und die administrativen Zugriff auf den Host-vCenter bereitstellen.
Einstellung | Auswahl |
---|---|
Datenspeicher |
|
Datenspeicher-Cluster |
|
Ordner |
|
Global |
|
Netzwerk |
|
Berechtigungen |
|
Ressource |
|
Profilgesteuerter Speicher |
|
Inhaltsbibliothek Zum Zuweisen einer Berechtigung für eine Inhaltsbibliothek muss ein Administrator dem Benutzer die Berechtigung als globale Berechtigung erteilen. Weitere Informationen finden Sie im Abschnitt Hierarchische Vererbung von Berechtigungen für Inhaltsbibliotheken unter Verwaltung virtueller vSphere-Maschinen in der VMware vSphere-Dokumentation. |
|
vSphere-Tags |
|
vApp |
|
Virtuelle Maschine – Bestandsliste |
|
Virtuelle Maschine – Interaktion |
|
Virtuelle Maschine – Konfiguration |
|
Virtuelle Maschine – Bereitstellung |
|
Virtuelle Maschine – Zustand |
|
Anmeldedaten für AWS-Cloud-Konten (Amazon Web Services)
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines Amazon Web Services-Cloud-Kontos benötigt werden. Im obigen Abschnitt Anmeldedaten für vCenter Cloud-Konten finden Sie Informationen zu den zusätzlichen Anforderungen für Anmeldedaten.
Bereitstellen eines Hauptbenutzerkontos mit Lese- und Schreibberechtigungen. Das Benutzerkonto muss Mitglied der Zugriffsrichtlinie für Hauptbenutzer (PowerUserAccess) im AWS-IAM-System (Identity and Access Management) sein.
Geben Sie die 20-stellige Zugriffsschlüssel-ID und den zugehörigen geheimen Zugriffsschlüssel ein.
Wenn Sie einen externen HTTP-Internet-Proxy verwenden, muss dieser für IPv4 konfiguriert sein.
Einstellung | Auswahl |
---|---|
Aktionen für die automatische Skalierung | Die folgenden AWS-Berechtigungen werden empfohlen, um automatische Skalierungsfunktionen zuzulassen:
|
Ressourcen für die automatische Skalierung | Die folgenden Berechtigungen sind erforderlich, um Ressourcenberechtigungen für die automatische Skalierung zuzulassen:
|
AWS STS-Ressourcen (AWS Security Token Service) | Die folgenden Berechtigungen sind erforderlich, damit die Funktionen des AWS Security Token Service (AWS STS) temporäre Anmeldedaten mit eingeschränkten Rechten für AWS-Identität und -Zugriff unterstützen können:
|
EC2-Aktionen | Die folgenden AWS-Berechtigungen sind erforderlich, um EC2-Funktionen zuzulassen:
|
EC2-Ressourcen |
|
Elastic Load Balancing – Lastausgleichsdienstaktionen |
|
Elastic Load Balancing – Lastausgleichsdienstressourcen |
|
AWS Identity and Access Management (IAM) |
Die folgenden Berechtigungen für die Identitäts- und Zugriffsverwaltung (IAM) von AWS können aktiviert werden, sind aber nicht erforderlich:
|
Anmeldedaten für Microsoft Azure-Cloud-Konten
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines Microsoft Azure-Cloud-Kontos benötigt werden.
Konfigurieren Sie eine Instanz von Microsoft Azure und rufen Sie ein gültiges Microsoft Azure-Abonnement ab, dessen Abonnement-ID verwendet werden kann.
Erstellen Sie eine Active Directory-Anwendung entsprechend der Beschreibung unter Vorgehensweise für die Verwendung des Portals zum Erstellen einer Azure AD-Anwendung und eines Dienstprinzipals für den Zugriff auf Ressourcen in der Microsoft Azure-Produktdokumentation.
Wenn Sie einen externen HTTP-Internet-Proxy verwenden, muss dieser für IPv4 konfiguriert sein.
- Allgemeine Einstellungen
Die folgenden allgemeinen Einstellungen sind erforderlich.
Einstellung Beschreibung Abonnement-ID Ermöglicht den Zugriff auf Ihre Microsoft Azure-Abonnements. Mandanten-ID Der Autorisierungs-Endpoint für die Active Directory-Anwendungen, die Sie in Ihrem Microsoft Azure-Konto erstellen. Client-Anwendungs-ID Bietet Zugriff auf Microsoft Active Directory in Ihrem individuellen Microsoft Azure-Konto. Geheimer Schüssel der Client-Anwendung Der eindeutige geheime Schlüssel, der zur Kopplung mit Ihrer Client-Anwendungs-ID erzeugt wurde. - Einstellungen zum Erstellen und Validieren von Cloud-Konten
Die folgenden Berechtigungen sind für das Erstellen und Validieren von Microsoft Azure-Cloud-Konten erforderlich.
Einstellung Auswahl Microsoft Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Microsoft Network - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Microsoft Resources - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft Storage - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Microsoft.Storage/storageAccounts/listKeys/action ist in der Regel nicht erforderlich, wird aber unter Umständen von Benutzern zur Anzeige von Speicherkonten benötigt.
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- Einstellungen für aktionsbasierte Erweiterbarkeit
Wenn Sie Microsoft Azure mit aktionsbasierter Erweiterbarkeit verwenden, sind neben den Mindestberechtigungen die folgenden Berechtigungen erforderlich.
Einstellung Auswahl Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Microsoft Authorization - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Microsoft Insights - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
Wenn die Eigenschaft
Storage account public access should be disallowed
einer Ressourcengruppe mit dem EffekttypDeny
zugewiesen ist, wird die automatische Erstellung von Speicherkonten für Erweiterbarkeitsaktionen verhindert. In einem solchen Szenario können die Erweiterbarkeitsaktionen nicht ausgeführt werden, wenn der FaaS-Anbieter auf Automatisch auswählen festgelegt ist. Sie müssen den FaaS-Anbieter manuell auf Microsoft Azure festlegen und das Speicherkonto und die Ressourcengruppe konfigurieren. - Einstellungen für aktionsbasierte Erweiterbarkeit mit Erweiterungen
Wenn Sie Microsoft Azure mit aktionsbasierter Erweiterbarkeit und Erweiterungen verwenden, sind die folgenden Berechtigungen ebenfalls erforderlich.
Einstellung Auswahl Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
Verwandte Informationen zum Erstellen eines Microsoft Azure-Cloud-Kontos finden Sie unter Konfigurieren von Microsoft Azure.
Anmeldedaten für GCP-Cloud-Konten (Google Cloud Platform)
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines Google Cloud Platform-Cloud-Kontos benötigt werden.
Das Cloud-Konto von Google Cloud Platform interagiert mit der Computing-Engine von Google Cloud Platform.
Zum Erstellen und Validieren von Google Cloud Platform-Cloud-Konten sind die Anmeldedaten des Projektadministrators und des Projektbesitzers erforderlich.
Wenn Sie einen externen HTTP-Internet-Proxy verwenden, muss dieser für IPv4 konfiguriert sein.
Der Computing-Engine-Dienst muss aktiviert werden. Verwenden Sie beim Erstellen des Cloud-Kontos in vRealize Automation das Dienstkonto, das beim Initialisieren der Computing-Engine erstellt wurde.
Einstellung | Auswahl |
---|---|
roles/compute.admin |
Bietet vollständige Kontrolle über alle Computing-Engine-Ressourcen. |
roles/iam.serviceAccountUse |
Bietet Zugriff auf Benutzer, die VM-Instanzen verwalten, die für die Ausführung als Dienstkonto konfiguriert sind. Gewährt Zugriff auf die folgenden Ressourcen und Dienste:
|
roles/compute.imageUser |
Bietet ausschließlich die Berechtigung zum Auflisten und Lesen von Images, jedoch keine anderen Berechtigungen für das Image. Wenn die Rolle „compute.imageUser“ auf Projektebene zugewiesen wird, haben Benutzer die Möglichkeit, alle Images im Projekt aufzulisten. Außerdem können Benutzer Ressourcen (z. B. Instanzen und persistente Festplatten) auf der Basis von Images im Projekt erstellen.
|
roles/compute.instanceAdmin |
Bietet Berechtigungen zum Erstellen, Ändern und Löschen von VM-Instanzen. Dazu gehören Berechtigungen zum Erstellen, Ändern und Löschen von Festplatten sowie zum Konfigurieren von abgeschirmten VMBETA-Einstellungen. Erteilen Sie diese Rolle Benutzern, die VM-Instanzen (aber keine Netzwerk- oder Sicherheitseinstellungen oder -instanzen, die als Dienstkonten ausgeführt werden) verwalten, für die Organisation, den Ordner oder das Projekt, welche die Instanzen enthalten, oder für die einzelnen Instanzen. Benutzer, die VM-Instanzen verwalten, welche für die Ausführung als Dienstkonto konfiguriert sind, benötigen zudem die Rolle roles/iam.serviceAccountUser.
|
roles/compute.instanceAdmin.v1 |
Bietet vollständige Kontrolle über Instanzen, Instanzgruppen, Festplatten, Snapshots und Images der Computing-Engine. Bietet auch Lesezugriff auf alle Netzwerkressourcen der Computing-Engine.
Hinweis: Wenn Sie einem Benutzer diese Rolle auf der Instanzebene zuweisen, kann dieser Benutzer keine neuen Instanzen erstellen.
|
Anmeldedaten für NSX-T-Cloud-Konten
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines NSX-T-Cloud-Kontos benötigt werden.
- IP-Adresse oder FQDN von NSX-T
- NSX-T Datencenter – Enterprise-Administrator-Rolle und -Zugriffsanmeldedaten
Administratoren benötigen ebenfalls Zugriff auf das vCenter (siehe Beschreibung im Abschnitt Hinzufügen eines vCenter Cloud-Kontos in dieser Tabelle).
Anmeldedaten für NSX-V-Cloud-Konten
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines NSX-V-Cloud-Kontos benötigt werden.
- NSX-V-Enterprise-Administrator-Rolle und -Zugriffsanmeldedaten
- IP-Adresse oder FQDN von NSX-V
Administratoren benötigen ebenfalls Zugriff auf das vCenter (siehe Beschreibung im Abschnitt Hinzufügen eines vCenter Cloud-Kontos in dieser Tabelle).
Anmeldedaten für vCD-Cloud-Konten (VMware Cloud Director)
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines vCD-Cloud-Kontos (VMware Cloud Director) benötigt werden. Beachten Sie, dass diese Schritte durchgeführt werden müssen.
Einstellung | Auswahl |
---|---|
Zugriff auf alle Organisations-vDCs | Alle |
Katalog |
|
Allgemein |
|
Metadaten-Dateieintrag | Erstellen/Ändern |
Organisationsnetzwerk |
|
Organisations-vDC-Gateway |
|
Organisations-vDC |
|
Organisation |
|
Kontingentrichtlinienfunktionen | Ansicht |
VDC-Vorlage |
|
vApp-Vorlage/Medien |
|
vApp-Vorlage |
|
vApp |
|
vDC-Gruppe |
|
Anmeldedaten für die vRealize Operations Manager-Integration
In diesem Abschnitt werden die Anmeldedaten beschrieben, die für die Integration mit vRealize Operations Manager benötigt werden. Beachten Sie, dass diese Anmeldedaten in vRealize Operations Manager und nicht in vRealize Automation eingerichtet und konfiguriert werden.
Geben Sie ein lokales oder nicht lokales Anmeldekonto für vRealize Operations Manager mit den folgenden Leseberechtigungen an.
- Adapterinstanz vCenter Adapter > VC-Adapterinstanz für vCenter-FQDN
Ein nicht lokales Konto muss möglicherweise zuerst importiert werden, bevor Sie dessen schreibgeschützte Rolle zuweisen können.
NSX-Integration mit Microsoft Azure VMware Solution (AVS) für vRealize Automation
Weitere Informationen zum Herstellen einer Verbindung zwischen NSX unter Microsoft Azure VMware Solution (AVS) und vRealize Automation, einschließlich der Konfiguration benutzerdefinierter Rollen, finden Sie unter CloudAdmin-Benutzerberechtigungen in NSX-T Data Center in der Microsoft-Produktdokumentation.