Avant de commencer à travailler dans Cloud Assembly en tant qu'administrateur de cloud, vous devez collecter des informations sur vos comptes de cloud public et privé. Utilisez cette liste de contrôle. Elle facilitera l'ajout de vos ressources de cloud.
Informations d'identification globales requises.
Pour… | Vous avez besoin... |
---|---|
Vous inscrire à Cloud Assembly et vous y connecter |
D'un ID VMware.
|
Vous connecter aux services vRealize Automation |
D'un port HTTPS 443 ouvert au trafic sortant avec accès via le pare-feu à :
Pour plus d'informations sur les ports et les protocoles, reportez-vous à Ports et protocoles VMware. Pour plus d'informations sur les ports et les protocoles, reportez-vous à la section Configuration de ports requise dans la page d'aide Architecture de référence. |
Informations d'identification pour le compte de cloud vCenter
Cette section décrit les informations d'identification requises pour ajouter un compte de cloud vCenter.
- Adresse IP ou nom de domaine complet de vCenter
Les autorisations nécessaires pour gérer les comptes de cloud VMware Cloud on AWS et vCenter sont répertoriées. Ces autorisations doivent être activées pour tous les clusters de vCenter et pas uniquement les clusters qui hébergent des points de terminaison.
Pour prendre en charge le contrôle du vTPM (Virtual Trusted Platform Module) de VMware lors du déploiement de machines virtuelles Windows 11, vous devez disposer du privilège Opérations de chiffrement -> accès direct dans vCenter. Sans ce privilège, l'accès à la console de vRealize Automation sous Windows 11 n'est pas possible. Pour plus d'informations, reportez-vous à la section Présentation de Virtual Trusted Platform Module.
Pour tous les comptes de cloud basés sur vCenter (notamment NSX-V, NSX-T, vCenter et VMware Cloud on AWS), l'administrateur doit disposer des informations d'identification du point de terminaison vSphere ou des informations d'identification sous lesquelles le service de l'agent s'exécute dans vCenter, qui fournit un accès administratif à l'hôte vCenter.
Paramètre | Sélection |
---|---|
Banque de données |
|
Cluster de banques de données |
|
Dossier |
|
Global |
|
Réseau |
|
Autorisations |
|
Ressource |
|
Stockage à base de profils |
|
Bibliothèque de contenu Pour attribuer un privilège sur une bibliothèque de contenu, un administrateur doit accorder le privilège à l'utilisateur en tant que privilège global. Pour obtenir des informations complémentaires, reportez-vous à la section Héritage hiérarchique des autorisations pour les bibliothèques de contenu dans Administration d'une machine virtuelle vSphere dans la documentation VMware vSphere. |
|
Marquage vSphere |
|
vApp |
|
Machine virtuelle - Inventaire |
|
Machine virtuelle - Interaction |
|
Machine virtuelle - Configuration |
|
Machine virtuelle - Provisionnement |
|
Machine virtuelle - État |
|
Informations d'identification pour le compte de cloud Amazon Web Services (AWS)
Cette section décrit les informations d'identification requises pour ajouter un compte de cloud Amazon Web Services. Reportez-vous à la section Informations d'identification du compte de cloud vCenter ci-dessus pour connaître les exigences supplémentaires en matière d'informations d'identification.
D'indiquer un compte d'utilisateur avancé doté de droits de lecture et d'écriture. Le compte d'utilisateur doit être membre de la stratégie d'accès avancée (PowerUserAccess) dans le système de Gestion des identités et des accès (IAM) AWS.
Activez l'ID de clé d'accès à 20 chiffres et la clé d'accès secrète correspondante.
Si vous utilisez un proxy Internet HTTP externe, il doit être configuré pour IPv4.
Paramètre | Sélection |
---|---|
Mise à l'échelle automatique d'actions | Les autorisations AWS suivantes sont suggérées pour autoriser les fonctions de mise à l'échelle automatique :
|
Mise à l'échelle automatique de ressources | Les autorisations suivantes sont requises pour activer les autorisations de mise à l’échelle automatique des ressources :
|
Ressources AWS Security Token Service (AWS STS) | Les autorisations suivantes sont requises pour autoriser les fonctions AWS STS (Security Token Service) afin de prendre en charge des informations d'identification temporaires et à privilèges limités pour l'identité et l'accès AWS :
|
Actions EC2 | Les autorisations AWS suivantes sont requises pour autoriser les fonctions EC2 :
|
Ressources EC2 |
|
Équilibrage de charge élastique - actions de l’équilibreur de charge |
|
Équilibrage de charge élastique : ressources de l'équilibreur de charge |
|
Gestion des identités et des accès (IAM) AWS |
Les autorisations de la gestion des identités et des accès (IAM) AWS suivantes peuvent être activées, mais elles ne sont pas requises :
|
Informations d'identification pour le compte de cloud Microsoft Azure
Cette section décrit les informations d'identification requises pour ajouter un compte de cloud Microsoft Azure.
Configurez une instance de Microsoft Azure et obtenez un abonnement valide à Microsoft Azure à partir duquel vous pouvez utiliser l'ID d'abonnement.
Créez une application Active Directory comme décrit dans Utilisation du portail pour créer une application Azure AD et un principal de service pouvant accéder aux ressources dans la documentation du produit Microsoft Azure.
Si vous utilisez un proxy Internet HTTP externe, il doit être configuré pour IPv4.
- Paramètres généraux
Les paramètres globaux suivants sont requis.
Paramètre Description ID d'abonnement Vous permet d'accéder à vos abonnements Microsoft Azure. ID de locataire Point de terminaison d'autorisation pour les applications Active Directory que vous créez dans votre compte Microsoft Azure. ID de l'application cliente Offre un accès à Microsoft Active Directory dans votre compte individuel Microsoft Azure. Clé secrète de l'application cliente Clé secrète unique générée à des fins de couplage avec votre ID d'application cliente. - Paramètres de création et de validation des comptes de cloud
Les autorisations suivantes sont nécessaires pour créer et valider des comptes de cloud Microsoft Azure.
Paramètre Sélection Microsoft Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Réseau Microsoft - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Ressources Microsoft - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Stockage Microsoft - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Microsoft.Storage/storageAccounts/listKeys/action n'est généralement pas requis, mais peut être nécessaire pour que les utilisateurs puissent afficher les comptes de stockage.
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- Paramètres d’extensibilité basée sur l'action
Si vous utilisez Microsoft Azure avec une extensibilité basée sur l'action, les autorisations suivantes sont requises, en plus des autorisations minimales.
Paramètre Sélection Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Autorisation Microsoft - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Microsoft Insights - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
Si la propriété
Storage account public access should be disallowed
est attribuée à un groupe de ressources avec le type d'effetDeny
, la création automatique de comptes de stockage pour les actions d'extensibilité est empêchée. Dans ce cas, les actions d'extensibilité ne peuvent pas s'exécuter si le fournisseur FaaS est défini sur Sélection automatique. Vous devez définir manuellement le fournisseur FaaS sur Microsoft Azure et configurer le compte de stockage et le groupe de ressources. - Paramètres d’extensibilité basée sur l'action avec extensions
Si vous utilisez Microsoft Azure avec une extensibilité basée sur l'action, les autorisations suivantes sont également requises.
Paramètre Sélection Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
Pour obtenir des informations connexes sur la création d'un compte de cloud Microsoft Azure, reportez-vous à la section Configurer Microsoft Azure.
Informations d'identification pour le compte de cloud Google Cloud Platform (GCP)
Cette section décrit les informations d'identification requises pour ajouter un compte de cloud Google Cloud Platform.
Le compte de cloud Google Cloud Platform interagit avec le moteur de calcul Google Cloud Platform.
Les informations d'identification du propriétaire et de l'administrateur du projet sont requises pour créer et valider les comptes de cloud Google Cloud Platform.
Si vous utilisez un proxy Internet HTTP externe, il doit être configuré pour IPv4.
Le service du moteur de calcul doit être activé. Lors de la création du compte de cloud dans vRealize Automation, utilisez le compte de service qui a été créé lors de l'initialisation du moteur de calcul.
Paramètre | Sélection |
---|---|
roles/compute.admin |
Permet de contrôler toutes les ressources du moteur de calcul. |
roles/iam.serviceAccountUse |
Permet d'accéder aux utilisateurs qui gèrent des instances de machine virtuelle configurées pour s'exécuter en tant que compte de service. Accorde l'accès aux ressources et services suivants :
|
roles/compute.imageUser |
Permet de répertorier et de lire des images sans disposer d'autres autorisations sur ces images. L'attribution du rôle compute.imageUser au niveau du projet permet aux utilisateurs de répertorier toutes les images du projet. Il permet également aux utilisateurs de créer des ressources (instances et disques persistants, par exemple) basées sur des images du projet.
|
roles/compute.instanceAdmin |
Permet de créer, modifier et supprimer des instances de machine virtuelle. Cela inclut l'autorisation de créer, modifier et supprimer des disques, ainsi que de configurer les paramètres VMBETA protégés. Pour les utilisateurs qui gèrent des instances de machine virtuelle (mais pas les paramètres réseau ou de sécurité, ni les instances qui s'exécutent en tant que comptes de service), accordez ce rôle à l'organisation, au dossier ou au projet qui contient les instances, ou bien aux instances individuelles. Les utilisateurs qui gèrent des instances de machine virtuelle configurées pour s'exécuter en tant que compte de service ont également besoin du rôle roles/iam.serviceAccountUser.
|
roles/compute.instanceAdmin.v1 |
Permet de contrôler entièrement les instances de moteur de calcul, les groupes d'instances, les disques, les snapshots et les images. Fournit également un accès en lecture à toutes les ressources de mise en réseau du moteur de calcul.
Note : Si vous accordez ce rôle à un utilisateur au niveau de l'instance, l'utilisateur ne peut pas créer d'autres instances.
|
Informations d'identification pour le compte de cloud NSX-T
Cette section décrit les informations d'identification requises pour ajouter un compte de cloud NSX-T.
- Adresse IP ou nom de domaine complet de NSX-T
- Centre de données NSX-T - Rôle d'administrateur d'entreprise et informations d'identification d'accès
Le rôle d'auditeur est requis.
Catégorie/Sous-catégorie | Autorisation |
---|---|
Mise en réseau - Passerelles de niveau 0 | Lecture seule |
Mise en réseau - Passerelles de niveau 0 -> OSPF | Aucune |
Mise en réseau - Passerelles de niveau 1 | Accès complet |
Mise en réseau - Segments | Accès complet |
Mise en réseau - VPN | Aucune |
Mise en réseau - NAT | Accès complet |
Mise en réseau - Équilibrage de charge | Accès complet |
Mise en réseau - Stratégie de transfert | Aucune |
Mise en réseau - Statistiques | Aucune |
Mise en réseau - DNS | Aucune |
Mise en réseau - DHCP | Accès complet |
Mise en réseau - Pools d'adresses IP | Aucune |
Mise en réseau - Profils | Lecture seule |
Sécurité - Détection des menaces et réponse | Aucune |
Sécurité - Pare-feu distribué | Accès complet |
Sécurité - IDS/IPS et protection contre les programmes malveillants | Aucune |
Sécurité - Inspection TLS | Aucune |
Sécurité - Pare-feu d'identité | Aucune |
Sécurité - Pare-feu de passerelle | Aucune |
Sécurité - Gestion de la chaîne de services | Aucune |
Sécurité - Fenêtre de temps du pare-feu | Aucune |
Sécurité - Profils | Aucune |
Sécurité - Profils de service | Aucune |
Sécurité - Paramètres de pare-feu | Accès complet |
Sécurité - Paramètres de sécurité de la passerelle | Aucune |
Inventaire | Accès complet |
Dépannage | Aucune |
Système | Aucune |
Les administrateurs doivent également accéder à vCenter de la manière décrite dans la section Informations d'identification pour le compte de cloud vCenter de cette rubrique.
Informations d'identification pour le compte de cloud NSX-V
Cette section décrit les informations d'identification requises pour ajouter un compte de cloud NSX-V.
- Rôle Administrateur d'entreprise NSX-V et informations d'identification d'accès
- Adresse IP ou nom de domaine complet de NSX-V
Les administrateurs doivent également accéder à vCenter de la manière décrite dans la section Ajouter un compte de cloud vCenter de ce tableau.
informations d'identification de compte de cloud VMware Cloud Director (vCD)
Cette section décrit les informations d’identification requises pour ajouter un compte de cloud VMware Cloud Director (vCD).
Paramètre | Sélection |
---|---|
Accéder à tous les vDC d'organisation | Tout |
Catalogue |
|
Général |
|
Entrée de fichier de métadonnées | Créer/Modifier |
Réseau d'organisation |
|
Passerelle vDC d'organisation |
|
vDC d'organisation |
|
Organisation |
|
Capacités de stratégie de quota | Afficher |
Modèle de VDC |
|
Modèle de vApp / Support |
|
Modèle de vApp |
|
vApp |
|
Groupe de vDC |
|
Informations d'identification d'intégration de vRealize Operations Manager
Cette section décrit les informations d'identification requises pour l'intégration à vRealize Operations Manager. Notez que ces informations d'identification sont établies et configurées dans vRealize Operations Manager, pas dans vRealize Automation.
Fournissez un compte de connexion local ou non local pour vRealize Operations Manager avec les privilèges de lecture suivants.
- Adaptateur vCenter pour l'instance d'adaptateur > Instance d'adaptateur VC pour vCenter-FQDN
Il peut être nécessaire d'importer d'abord un compte non local avant de pouvoir attribuer son rôle en lecture seule.
Intégration de NSX à Microsoft Azure VMware Solution (AVS) pour vRealize Automation
Pour plus d'informations sur la connexion de NSX s'exécutant sur Microsoft Azure VMware Solution (AVS) à vRealize Automation, y compris sur la configuration des rôles personnalisés, reportez-vous à la section NSX-T Data Center cloudadmin user permissions dans la documentation du produit Microsoft.