Bevor Sie mit der Arbeit in Cloud Assembly als Cloud-Administrator beginnen, müssen Sie Informationen zu Ihren Public Cloud- und Private Cloud-Konten erfassen. Mit dieser Checkliste können Sie mit dem Hinzufügen von Cloud-Ressourcen beginnen.
Notwendige globale Anmeldedaten
Aufgabe | Voraussetzungen |
---|---|
Registrieren und Anmelden bei Cloud Assembly. |
Eine VMware-ID.
|
Herstellen einer Verbindung zu vRealize Automation-Diensten |
Offener HTTPS-Port 443 für ausgehenden Datenverkehr mit Zugriff über die Firewall auf:
Weitere Informationen zu Ports und Protokollen finden Sie unter VMware-Ports und -Protokolle. Weitere Informationen zu Ports und Protokollen finden Sie unter Portanforderungen in der Hilfe zur Referenzarchitektur. |
vCenter Anmeldedaten für Cloud-Konten
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines vCenter-Cloud-Kontos benötigt werden.
- IP-Adresse oder FQDN von vCenter
Die für die Verwaltung von VMware Cloud on AWS- und vCenter-Cloud-Konten notwendigen Berechtigungen werden aufgelistet. Berechtigungen müssen für alle Cluster im vCenter und nicht nur für Cluster aktiviert sein, die Endpoints hosten.
Zur Unterstützung der Steuerung des Virtual Trusted Platform Module (vTPM) von VMware beim Bereitstellen von Windows 11-VMs benötigen Sie die Berechtigung Kryptografische Vorgänge -> Direktzugriff in vCenter. Ohne diese Berechtigung ist der Konsolenzugriff von vRealize Automation auf Windows 11-VMs nicht möglich. Weitere Informationen finden Sie unter Übersicht über das Virtual Trusted Platform Module.
Für alle vCenter-basierten Cloud-Konten, einschließlich NSX-V, NSX-T, vCenter und VMware Cloud on AWS, muss der Administrator über Anmeldedaten des vSphere-Endpoints oder diejenigen Anmeldedaten verfügen, unter denen der Agent-Dienst in vCenter ausgeführt wird und die administrativen Zugriff auf den Host-vCenter bereitstellen.
Einstellung | Auswahl |
---|---|
Datenspeicher |
|
Datenspeicher-Cluster |
|
Ordner |
|
Global |
|
Netzwerk |
|
Berechtigungen |
|
Ressource |
|
Profilgesteuerter Speicher |
|
Inhaltsbibliothek Zum Zuweisen einer Berechtigung für eine Inhaltsbibliothek muss ein Administrator dem Benutzer die Berechtigung als globale Berechtigung erteilen. Weitere Informationen finden Sie im Abschnitt Hierarchische Vererbung von Berechtigungen für Inhaltsbibliotheken unter Verwaltung virtueller vSphere-Maschinen in der VMware vSphere-Dokumentation. |
|
vSphere Tagging |
|
vApp |
|
Virtuelle Maschine – Bestandsliste |
|
Virtuelle Maschine – Interaktion |
|
Virtuelle Maschine – Konfiguration |
|
Virtuelle Maschine – Bereitstellung |
|
Virtuelle Maschine – Zustand |
|
Amazon Web Services (AWS) Anmeldedaten für Cloud-Konten
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines Amazon Web Services-Cloud-Kontos benötigt werden. Im obigen Abschnitt vCenterAnmeldedaten für Cloud-Konten finden Sie Informationen zu den zusätzlichen Anforderungen für Anmeldedaten.
Bereitstellen eines Hauptbenutzerkontos mit Lese- und Schreibberechtigungen. Das Benutzerkonto muss Mitglied der Zugriffsrichtlinie für Hauptbenutzer (PowerUserAccess) im AWS-IAM-System (Identity and Access Management) sein.
Geben Sie die 20-stellige Zugriffsschlüssel-ID und den zugehörigen geheimen Zugriffsschlüssel ein.
Wenn Sie einen externen HTTP-Internet-Proxy verwenden, muss dieser für IPv4 konfiguriert sein.
Einstellung | Auswahl |
---|---|
Aktionen für die automatische Skalierung | Die folgenden AWS-Berechtigungen werden empfohlen, um automatische Skalierungsfunktionen zuzulassen:
|
Ressourcen für die automatische Skalierung | Die folgenden Berechtigungen sind erforderlich, um Ressourcenberechtigungen für die automatische Skalierung zuzulassen:
|
AWS STS-Ressourcen (AWS Security Token Service) | Die folgenden Berechtigungen sind erforderlich, damit die Funktionen des AWS Security Token Service (AWS STS) temporäre Anmeldedaten mit eingeschränkten Rechten für AWS-Identität und -Zugriff unterstützen können:
|
EC2-Aktionen | Die folgenden AWS-Berechtigungen sind erforderlich, um EC2-Funktionen zuzulassen:
|
EC2-Ressourcen |
|
Elastic Load Balancing – Lastausgleichsdienstaktionen |
|
Elastic Load Balancing – Lastausgleichsdienstressourcen |
|
AWS Identity and Access Management (IAM) |
Die folgenden AWS IAM-Berechtigungen (AWS Identity and Access Management) können aktiviert werden, sind aber nicht erforderlich:
|
Microsoft Azure Anmeldedaten für Cloud-Konten
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines Microsoft Azure-Cloud-Kontos benötigt werden.
Konfigurieren Sie eine Instanz von Microsoft Azure und rufen Sie ein gültiges Microsoft Azure-Abonnement ab, dessen Abonnement-ID verwendet werden kann.
Erstellen Sie eine Active Directory-Anwendung entsprechend der Beschreibung unter Vorgehensweise für die Verwendung des Portals zum Erstellen einer Azure AD-Anwendung und eines Dienstprinzipals für den Zugriff auf Ressourcen in der Microsoft Azure-Produktdokumentation.
Wenn Sie einen externen HTTP-Internet-Proxy verwenden, muss dieser für IPv4 konfiguriert sein.
- Allgemeine Einstellungen
Die folgenden allgemeinen Einstellungen sind erforderlich.
Einstellung Beschreibung Abonnement-ID Ermöglicht den Zugriff auf Ihre Microsoft Azure-Abonnements. Mandanten-ID Der Autorisierungs-Endpoint für die Active Directory-Anwendungen, die Sie in Ihrem Microsoft Azure-Konto erstellen. Client-Anwendungs-ID Bietet Zugriff auf Microsoft Active Directory in Ihrem individuellen Microsoft Azure-Konto. Geheimer Schlüssel der Client-Anwendung Der eindeutige geheime Schlüssel, der zur Kopplung mit Ihrer Client-Anwendungs-ID erzeugt wurde. - Einstellungen zum Erstellen und Validieren von Cloud-Konten
Die folgenden Berechtigungen werden zum Erstellen und Validieren von Microsoft Azure-Cloud-Konten benötigt.
Einstellung Auswahl Microsoft Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Microsoft Network - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Microsoft Resources - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft Storage - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Microsoft.Storage/storageAccounts/listKeys/action ist in der Regel nicht erforderlich, wird aber unter Umständen von Benutzern zur Anzeige von Speicherkonten benötigt.
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- Einstellungen für aktionsbasierte Erweiterbarkeit
Wenn Sie Microsoft Azure mit aktionsbasierter Erweiterbarkeit verwenden, sind zusätzlich zu den Mindestberechtigungen die folgenden Berechtigungen erforderlich:
Einstellung Auswahl Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Microsoft Authorization - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Microsoft Insights - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
- Einstellungen für aktionsbasierte Erweiterbarkeit mit Erweiterungen
Wenn Sie Microsoft Azure mit aktionsbasierter Erweiterbarkeit und Erweiterungen verwenden, sind die folgenden Berechtigungen ebenfalls erforderlich.
Einstellung Auswahl Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
Verwandte Informationen zum Erstellen eines Microsoft Azure-Cloud-Kontos finden Sie unter Konfigurieren von Microsoft Azure.
Google Cloud Platform (GCP) Anmeldedaten für Cloud-Konten
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines Google Cloud Platform-Cloud-Kontos benötigt werden.
Das Cloud-Konto von Google Cloud Platform interagiert mit der Computing-Engine von Google Cloud Platform.
Zum Erstellen und Validieren von Google Cloud Platform-Cloud-Konten sind die Anmeldedaten des Projektadministrators und des Projektbesitzers erforderlich.
Wenn Sie einen externen HTTP-Internet-Proxy verwenden, muss dieser für IPv4 konfiguriert sein.
Der Computing-Engine-Dienst muss aktiviert werden. Verwenden Sie beim Erstellen des Cloud-Kontos in vRealize Automation das Dienstkonto, das beim Initialisieren der Computing-Engine erstellt wurde.
Einstellung | Auswahl |
---|---|
roles/compute.admin |
Bietet vollständige Kontrolle über alle Computing-Engine-Ressourcen. |
roles/iam.serviceAccountUse |
Bietet Zugriff auf Benutzer, die VM-Instanzen verwalten, die für die Ausführung als Dienstkonto konfiguriert sind. Gewährt Zugriff auf die folgenden Ressourcen und Dienste:
|
roles/compute.imageUser |
Bietet ausschließlich die Berechtigung zum Auflisten und Lesen von Images, jedoch keine anderen Berechtigungen für das Image. Wenn die Rolle „compute.imageUser“ auf Projektebene zugewiesen wird, haben Benutzer die Möglichkeit, alle Images im Projekt aufzulisten. Außerdem können Benutzer Ressourcen (z. B. Instanzen und persistente Festplatten) auf der Basis von Images im Projekt erstellen.
|
roles/compute.instanceAdmin |
Bietet Berechtigungen zum Erstellen, Ändern und Löschen von VM-Instanzen. Dazu gehören Berechtigungen zum Erstellen, Ändern und Löschen von Festplatten sowie zum Konfigurieren von abgeschirmten VMBETA-Einstellungen. Erteilen Sie diese Rolle Benutzern, die VM-Instanzen (aber keine Netzwerk- oder Sicherheitseinstellungen oder -instanzen, die als Dienstkonten ausgeführt werden) verwalten, für die Organisation, den Ordner oder das Projekt, welche die Instanzen enthalten, oder für die einzelnen Instanzen. Benutzer, die VM-Instanzen verwalten, welche für die Ausführung als Dienstkonto konfiguriert sind, benötigen zudem die Rolle roles/iam.serviceAccountUser.
|
roles/compute.instanceAdmin.v1 |
Bietet vollständige Kontrolle über Instanzen, Instanzgruppen, Festplatten, Snapshots und Images der Computing-Engine. Bietet auch Lesezugriff auf alle Netzwerkressourcen der Computing-Engine.
Hinweis: Wenn Sie einem Benutzer diese Rolle auf der Instanzebene zuweisen, kann dieser Benutzer keine neuen Instanzen erstellen.
|
NSX-T Anmeldedaten für Cloud-Konten
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines NSX-T-Cloud-Kontos benötigt werden.
- IP-Adresse oder FQDN von NSX-T
- NSX-T Datencenter – Enterprise-Administrator-Rolle und -Zugriffsanmeldedaten
Administratoren benötigen vCenter (siehe Beschreibung im Abschnitt Hinzufügen eines vCenter-Cloud-Kontos in dieser Tabelle).
NSX-V Anmeldedaten für Cloud-Konten
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines NSX-V-Cloud-Kontos benötigt werden.
- NSX-V Enterprise-Administrator-Rolle und -Zugriffsanmeldedaten
- IP-Adresse oder FQDN von NSX-V
Administratoren benötigen ebenfalls Zugriff auf den vCenter (siehe Beschreibung im Abschnitt Hinzufügen eines vCenter-Cloud-Kontos in dieser Tabelle).
Anmeldedaten für vCD-Cloud-Konten (VMware Cloud Director)
In diesem Abschnitt werden die Anmeldedaten beschrieben, die zum Hinzufügen eines vCD-Cloud-Kontos (VMware Cloud Director) benötigt werden.
Einstellung | Auswahl |
---|---|
Zugriff auf alle Organisations-vDCs | Alle |
Katalog |
|
Allgemein |
|
Metadaten-Dateieintrag | Erstellen/Ändern |
Organisationsnetzwerk |
|
Organisations-vDC-Gateway |
|
Organisations-vDC |
|
Organisation |
|
Kontingentrichtlinienfunktionen | Anzeigen |
VDC-Vorlage |
|
vApp-Vorlage/Medien |
|
vApp-Vorlage |
|
vApp |
|
vDC-Gruppe |
|
vRealize Operations Manager Integrationsanmeldedaten
In diesem Abschnitt werden die Anmeldedaten beschrieben, die für die Integration mit vRealize Operations Manager benötigt werden.
Geben Sie ein lokales oder nicht lokales Anmeldekonto für vRealize Operations Manager mit den folgenden Leseberechtigungen an.
- Adapterinstanz vCenter Adapter > VC-Adapterinstanz für vCenter-FQDN
Ein nicht lokales Konto muss möglicherweise zuerst importiert werden, bevor Sie die zugehörige schreibgeschützte Rolle zuweisen können.
NSX-Integration mit Microsoft Azure VMware Solution (AVS) für vRealize Automation
Weitere Informationen zum Herstellen einer Verbindung von NSX unter Microsoft Azure VMware Solution (AVS) mit vRealize Automation, einschließlich der Konfiguration benutzerdefinierter Rollen, finden Sie unter CloudAdmin-Benutzerberechtigungen in NSX-T Data Center in der Microsoft-Produktdokumentation.