Per configurare e utilizzare gli account cloud in VMware Aria Automation, verificare di disporre delle credenziali seguenti.
Credenziali globali necessarie
Operazione da eseguire | Requisiti |
---|---|
Registrarsi e accedere a Automation Assembler |
Un ID VMware.
|
Stabilire una connessione a VMware Aria Automation Services |
Porta HTTPS 443 aperta per il traffico in uscita con accesso attraverso il firewall a:
Per ulteriori informazioni sulle porte e sui protocolli, vedere VMware Ports and Protocols. Per ulteriori informazioni sulle porte e sui protocolli, vedere Requisiti delle porte nella guida Architettura di riferimento. |
Credenziali account cloud di vCenter
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di vCenter.
- Indirizzo IP o FQDN di vCenter
Sono elencate le autorizzazioni necessarie per gestire gli account cloud VMware Cloud on AWS e vCenter. Le autorizzazioni devono essere abilitate per tutti i cluster in vCenter, non solo per quelli che ospitano gli endpoint.
Per supportare il controllo di VMware Virtual Trusted Platform Module (vTPM) durante la distribuzione delle macchine virtuali Windows 11, è necessario disporre del privilegio operazioni crittografiche -> accesso diretto in vCenter. Senza questo privilegio, non è possibile accedere alla console da VMware Aria Automation alle macchine virtuali Windows 11. Per informazioni correlate, vedere Panoramica di Virtual Trusted Platform Module.
Per tutti gli account cloud basati su vCenter, inclusi NSX-V, NSX-T, vCenter e VMware Cloud on AWS, l'amministratore deve disporre delle credenziali dell'endpoint vSphere o delle credenziali utilizzate per eseguire il servizio dell'agente in vCenter, che forniscono l'accesso amministrativo a vCenter host.
Impostazione | Selezione |
---|---|
Libreria di contenuti Per assegnare un privilegio per una libreria di contenuti, un amministratore deve concedere il privilegio all'utente come privilegio globale. Per informazioni correlate, vedere Ereditarietà gerarchica delle autorizzazioni per le librerie di contenuti in Amministrazione delle macchine virtuali di vSphere nella documentazione di VMware vSphere. |
|
Datastore |
|
Cluster di datastore |
|
Cartella |
|
Globale |
|
Rete |
|
Autorizzazioni |
|
Storage basato sul profilo |
|
Risorsa |
|
vApp |
|
Macchina virtuale |
Modifica configurazione
Modifica inventario
Interazione
Il provisioning
Gestione snapshot
|
Applicazione di tag di vSphere |
|
Credenziali per l'account cloud di Amazon Web Services (AWS)
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di Amazon Web Services. Per ulteriori requisiti delle credenziali, vedere la sezione precedente relativa alle credenziali per l'account cloud di vCenter.
Fornire un account Power User con privilegi di lettura e scrittura. L'account utente deve essere un membro del criterio di accesso Power User (PowerUserAccess) nel sistema Identity and Access Management (IAM) di AWS.
Abilitare l'ID della chiave di accesso a 20 cifre e la chiave di accesso segreta corrispondente.
Se si utilizza un proxy Internet HTTP esterno, è necessario configurarlo per IPv4.
Impostazione | Selezione |
---|---|
Azioni di ridimensionamento automatico | Per consentire le funzioni di ridimensionamento automatico sono consigliate le seguenti autorizzazioni di AWS:
|
Risorse di ridimensionamento automatico | Per consentire le autorizzazioni delle risorse di ridimensionamento automatico, sono necessarie le autorizzazioni seguenti:
|
Risorse AWS Security Token Service (AWS STS) | Sono necessarie le seguenti autorizzazioni per consentire alle funzioni di AWS Security Token Service (AWS STS) di supportare le credenziali temporanee e con privilegi limitati per l'identità e l'accesso di AWS:
|
Azioni EC2 | Per consentire le funzioni EC2, sono necessarie le seguenti autorizzazioni di AWS:
|
Risorse EC2 |
|
Bilanciamento del carico elastico: azioni di bilanciamento del carico |
|
Bilanciamento del carico elastico: risorse di bilanciamento del carico |
|
Gestione di identità e accessi (IAM) AWS |
Le seguenti autorizzazioni di AWS Identity and Access Management (IAM) possono essere abilitate, tuttavia non sono obbligatorie:
|
Credenziali account cloud di Microsoft Azure
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di Microsoft Azure.
Configurare un'istanza di Microsoft Azure e ottenere una sottoscrizione valida per Microsoft Azure dalla quale sia possibile utilizzare l'ID sottoscrizione.
Creare un'applicazione di Active Directory come descritto in Procedure: Usare il portale per creare un'applicazione Azure Active Directory (Azure AD) e un'entità servizio che possano accedere alle risorse nella documentazione del prodotto Microsoft Azure.
Se si utilizza un proxy Internet HTTP esterno, è necessario configurarlo per IPv4.
- Impostazioni generali
Sono necessarie le seguenti impostazioni generali.
Impostazione Descrizione ID sottoscrizione Consente di accedere alle proprie sottoscrizioni di Microsoft Azure. ID tenant Endpoint di autorizzazione per le applicazioni di Active Directory create nell'account Microsoft Azure. ID applicazione client Consente di accedere a Microsoft Active Directory nell'account individuale di Microsoft Azure. Chiave privata applicazione client Chiave privata univoca generata per eseguire l'associazione con il proprio ID applicazione client. - Impostazioni per la creazione e la convalida degli account cloud
La creazione e la convalida degli account cloud di Microsoft Azure richiedono le autorizzazioni seguenti.
Impostazione Selezione Microsoft Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Microsoft Network - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Microsoft Resources - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft Storage - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Microsoft.Storage/storageAccounts/listKeys/action non è in genere obbligatoria, ma potrebbe essere necessaria per gli utenti che devono visualizzare gli account di storage.
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- Impostazioni per l'estendibilità basata su azioni
Se si utilizza Microsoft Azure con l'estendibilità basata sulle azioni, oltre alle autorizzazioni minime sono necessarie anche le autorizzazioni.
Impostazione Selezione Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Autorizzazione Microsoft - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Approfondimenti Microsoft - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
- Impostazioni per l'estendibilità basata su azioni con estensioni
Se si utilizza Microsoft Azure con l'estendibilità basata sulle azioni con estensioni, sono necessarie anche le autorizzazioni seguenti.
Impostazione Selezione Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
Per informazioni relative alla creazione di un account cloud Microsoft Azure, vedere Configurazione di Microsoft Azure.
Credenziali account cloud di Google Cloud Platform (GCP)
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di Google Cloud Platform.
L'account cloud di Google Cloud Platform interagisce con il motore di elaborazione di Google Cloud Platform.
Le credenziali di amministratore e proprietario del progetto sono necessarie per la creazione e la convalida degli account cloud di Google Cloud Platform.
Se si utilizza un proxy Internet HTTP esterno, è necessario configurarlo per IPv4.
Il servizio del motore di elaborazione deve essere abilitato. Quando si crea l'account cloud in VMware Aria Automation, utilizzare l'account del servizio che è stato creato quando il motore di elaborazione è stato inizializzato.
Impostazione | Selezione |
---|---|
roles/compute.admin |
Offre il controllo completo di tutte le risorse del motore di elaborazione. |
roles/iam.serviceAccountUse |
Fornisce l'accesso agli utenti che gestiscono le istanze di macchine virtuali configurate per essere eseguite come account di servizio. Concedere l'accesso alle seguenti risorse e servizi:
|
roles/compute.imageUser |
Fornisce l'autorizzazione a elencare e leggere le immagini senza dover disporre di altre autorizzazioni per l'immagine. La concessione del ruolo compute.imageUser a livello di progetto offre agli utenti la possibilità di elencare tutte le immagini nel progetto. Consente inoltre agli utenti di creare risorse, ad esempio istanze e dischi persistenti, in base alle immagini nel progetto.
|
roles/compute.instanceAdmin |
Fornisce le autorizzazioni per creare, modificare ed eliminare istanze di macchine virtuali. Sono incluse le autorizzazioni per creare, modificare ed eliminare i dischi, nonché per configurare le impostazioni VMBETA schermate. Per gli utenti che gestiscono istanze di macchine virtuali (ma non le impostazioni di rete o di sicurezza o le istanze eseguite come account di servizio), concedere questo ruolo all'organizzazione, alla cartella o al progetto che contiene le istanze o alle singole istanze. Gli utenti che gestiscono le istanze di macchine virtuali configurate per l'uso come account di servizio richiedono anche il ruolo roles/iam.serviceAccountUser.
|
roles/compute.instanceAdmin.v1 |
Offre il controllo completo delle istanze del motore di elaborazione, dei gruppi di istanze, dei dischi, degli snapshot e delle immagini. Fornisce inoltre l'accesso in lettura a tutte le risorse di rete del motore di elaborazione.
Nota: Se si concede a un utente questo ruolo a livello di istanza, tale utente non può creare nuove istanze.
|
Credenziali account cloud di NSX-T
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di NSX-T.
A partire da NSX-T Data Center 3.1, sono supportati i ruoli personalizzati.
Fornire un account con i seguenti privilegi di lettura e scrittura.
- Indirizzo IP o FQDN di NSX-T
- Nome utente e password di NSX-T
Associare l'utente sia al ruolo Controllo che al ruolo personalizzato, che dispone dei privilegi specificati descritti di seguito. Aggiungere questo utente per VMware Aria Automation come account cloud per l'autenticazione senza problemi con NSX-T.
Categoria/sottocategoria | Autorizzazione |
---|---|
Rete - Gateway di livello 0 | Sola lettura |
Rete - Gateway di livello 0 -> OSPF | Nessuna |
Rete - Gateway di livello 1 | Accesso completo |
Rete - Segmenti | Accesso completo |
Rete - VPN | Nessuna |
Rete - NAT | Accesso completo |
Rete - Bilanciamento del carico | Accesso completo |
Rete - Criteri di inoltro | Nessuna |
Rete - Statistiche | Nessuna |
Rete - DNS | Nessuna |
Rete - DHCP | Accesso completo |
Rete - Pool di indirizzi IP | Nessuna |
Rete - Profili | Sola lettura |
Sicurezza - Rilevamento delle minacce e risposta | Nessuna |
Sicurezza - Firewall distribuito | Accesso completo |
Sicurezza - IDS/IPS e prevenzione malware | Nessuna |
Sicurezza - Ispezione TLS | Nessuna |
Sicurezza - Firewall identità | Nessuna |
Sicurezza - Firewall gateway | Nessuna |
Sicurezza - Gestione della catena di servizi | Nessuna |
Sicurezza - Finestra temporale del firewall | Nessuna |
Sicurezza - Profili | Nessuna |
Sicurezza - Profili di servizio | Nessuna |
Sicurezza - Impostazioni firewall | Accesso completo |
Sicurezza - Impostazioni di sicurezza gateway | Nessuna |
Inventario | Accesso completo |
Risoluzione dei problemi | Nessuna |
Sistema | Nessuna |
Gli amministratori richiedono l'accesso anche a vCenter come descritto nella sezione Credenziali dell'account cloud di vCenter di questa tabella.
Credenziali account cloud di NSX-V
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di NSX-V.
- Ruolo di amministratore di NSX-V Enterprise e credenziali di accesso
- Indirizzo IP o FQDN di NSX-V
Gli amministratori richiedono l'accesso anche a vCenter come descritto nella sezione Aggiungere un account cloud di vCenter di questa tabella.
Credenziali per l'account cloud VMware Cloud on AWS (VMC on AWS)
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di VMware Cloud on AWS (VMC on AWS).
- Account [email protected] o qualsiasi altro account utente nel gruppo CloudAdmin
- Ruolo di amministratore di NSX Enterprise e credenziali di accesso
- Accesso da amministratore di NSX Cloud all'ambiente SDDC di VMware Cloud on AWS dell'organizzazione
- Accesso da amministratore all'ambiente SDDC di VMware Cloud on AWS dell'organizzazione
- Token API di VMware Cloud on AWS per l'ambiente VMware Cloud on AWS nel servizio VMware Cloud on AWS dell'organizzazione
- Indirizzo IP o FQDN di vCenter
Gli amministratori richiedono l'accesso a anche a vCenter come descritto nella sezione Aggiungere un account cloud di vCenter di questa tabella.
Per ulteriori informazioni sulle autorizzazioni necessarie per creare e utilizzare account cloud di VMware Cloud on AWS, vedere Gestione del data center di VMware Cloud on AWS nella documentazione di prodotto di VMware Cloud on AWShttps://docs.vmware.com/it/VMware-Cloud-on-AWS/index.html.
Credenziali account cloud di VMware Cloud Director (vCD)
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di VMware Cloud Director (vCD).
Impostazione | Selezione |
---|---|
Accedi a tutti i vDC dell'organizzazione | Tutto |
Catalogo |
|
Generale |
|
Voce file di metadati | Crea/Modifica |
Rete dell'organizzazione |
|
Gateway vDC dell'organizzazione |
|
vDC dell'organizzazione |
|
Organizzazione |
|
Funzionalità criterio di quota | Visualizza |
Modello VDC |
|
Modello/media vApp |
|
Modello di vApp |
|
vApp |
|
Gruppo di vDC |
|
Credenziali di integrazione di VMware Aria Operations
In questa sezione vengono descritte le credenziali necessarie per l'integrazione con VMware Aria Operations. Si tenga presente che queste credenziali vengono stabilite e configurate in VMware Aria Operations, non in VMware Aria Automation.
Fornire un account di accesso locale o non locale a VMware Aria Operations con i privilegi di lettura seguenti.
- Istanza adattatore vCenter Adattatore > Adattatore istanza VC per vCenter-FQDN
Potrebbe essere necessario importare prima un account non locale, prima di poterne assegnare il ruolo di sola lettura.
Integrazione di NSX con Microsoft Azure VMware Solution (AVS) per VMware Aria Automation
Per informazioni sulla connessione di NSX in esecuzione su Microsoft Azure VMware Solution (AVS) in VMware Aria Automation, inclusa la configurazione di ruoli personalizzati, vedere Autorizzazioni dell'utente amministratore del cloud di NSX-T Data Center nella documentazione del prodotto Microsoft.