Prima di iniziare a utilizzare VMware Aria Automation come amministratore del cloud, è necessario raccogliere informazioni sui propri account cloud pubblici e privati. Utilizzare l'elenco di controllo seguente per eseguire la configurazione prima di iniziare l'onboarding nel servizio.
Credenziali globali necessarie
Operazione da eseguire | Requisiti |
---|---|
Registrarsi e accedere a Automation Assembler |
Un ID VMware.
|
Stabilire una connessione a VMware Aria Automation Services |
Porta HTTPS 443 aperta per il traffico in uscita con accesso attraverso il firewall a:
Per ulteriori informazioni sulle porte e sui protocolli, vedere VMware Ports and Protocols. |
Credenziali account cloud di vCenter
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di vCenter.
- Indirizzo IP o FQDN di vCenter
- Autorizzazioni richieste per installare un proxy cloud in vCenter
Sono elencate le autorizzazioni necessarie per gestire gli account cloud VMware Cloud on AWS e vCenter. Le autorizzazioni devono essere abilitate per tutti i cluster in vCenter, non solo per quelli che ospitano gli endpoint.
Per supportare il controllo di VMware Virtual Trusted Platform Module (vTPM) durante la distribuzione delle macchine virtuali Windows 11, è necessario disporre del privilegio operazioni crittografiche -> accesso diretto in vCenter. Senza questo privilegio, non è possibile accedere alla console da VMware Aria Automation alle macchine virtuali Windows 11. Per informazioni correlate, vedere Panoramica di Virtual Trusted Platform Module.
Per tutti gli account cloud basati su vCenter, inclusi NSX-V, NSX-T, vCenter e VMware Cloud on AWS, l'amministratore deve disporre delle credenziali dell'endpoint vSphere o delle credenziali utilizzate per eseguire il servizio dell'agente in vCenter, che forniscono l'accesso amministrativo a vCenter host.
Impostazione | Selezione |
---|---|
Libreria di contenuti Per assegnare un privilegio per una libreria di contenuti, un amministratore deve concedere il privilegio all'utente come privilegio globale. Per informazioni correlate, vedere Ereditarietà gerarchica delle autorizzazioni per le librerie di contenuti in Amministrazione delle macchine virtuali di vSphere nella documentazione di VMware vSphere. |
|
Datastore |
|
Cluster di datastore |
|
Cartella |
|
Globale |
|
Rete |
|
Autorizzazioni |
|
Storage basato sul profilo |
|
Risorsa |
|
vApp |
|
Macchina virtuale |
Modifica configurazione
Modifica inventario
Interazione
Il provisioning
Gestione snapshot
|
Applicazione di tag di vSphere |
|
Credenziali per l'account cloud di Amazon Web Services (AWS)
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di Amazon Web Services. Per ulteriori requisiti delle credenziali, vedere la sezione precedente relativa alle credenziali per l'account cloud di vCenter.
Fornire un account Power User con privilegi di lettura e scrittura. L'account utente deve essere un membro del criterio di accesso Power User (PowerUserAccess) nel sistema Identity and Access Management (IAM) di AWS.
Abilitare l'ID della chiave di accesso a 20 cifre e la chiave di accesso segreta corrispondente.
Se si utilizza un proxy Internet HTTP esterno, è necessario configurarlo per IPv4.
Impostazione | Selezione |
---|---|
Azioni di ridimensionamento automatico | Per consentire le funzioni di ridimensionamento automatico sono consigliate le seguenti autorizzazioni di AWS:
|
Risorse di ridimensionamento automatico | Per consentire le autorizzazioni delle risorse di ridimensionamento automatico, sono necessarie le autorizzazioni seguenti:
|
Risorse AWS Security Token Service (AWS STS) | Sono necessarie le seguenti autorizzazioni per consentire alle funzioni di AWS Security Token Service (AWS STS) di supportare le credenziali temporanee e con privilegi limitati per l'identità e l'accesso di AWS:
|
Azioni EC2 | Per consentire le funzioni EC2, sono necessarie le seguenti autorizzazioni di AWS:
|
Risorse EC2 |
|
Bilanciamento del carico elastico: azioni di bilanciamento del carico |
|
Bilanciamento del carico elastico: risorse di bilanciamento del carico |
|
Gestione di identità e accessi (IAM) AWS |
Le seguenti autorizzazioni di AWS Identity and Access Management (IAM) possono essere abilitate, tuttavia non sono obbligatorie:
|
Credenziali account cloud di Microsoft Azure
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di Microsoft Azure.
Configurare un'istanza di Microsoft Azure e ottenere una sottoscrizione valida per Microsoft Azure dalla quale sia possibile utilizzare l'ID sottoscrizione.
Creare un'applicazione di Active Directory come descritto in Procedure: Usare il portale per creare un'applicazione Azure Active Directory (Azure AD) e un'entità servizio che possano accedere alle risorse nella documentazione del prodotto Microsoft Azure.
Se si utilizza un proxy Internet HTTP esterno, è necessario configurarlo per IPv4.
- Impostazioni generali
Sono necessarie le seguenti impostazioni generali.
Impostazione Descrizione ID sottoscrizione Consente di accedere alle proprie sottoscrizioni di Microsoft Azure. ID tenant Endpoint di autorizzazione per le applicazioni di Active Directory create nell'account Microsoft Azure. ID applicazione client Consente di accedere a Microsoft Active Directory nell'account individuale di Microsoft Azure. Chiave privata applicazione client Chiave privata univoca generata per eseguire l'associazione con il proprio ID applicazione client. - Impostazioni per la creazione e la convalida degli account cloud
La creazione e la convalida degli account cloud di Microsoft Azure richiedono le autorizzazioni seguenti.
Impostazione Selezione Microsoft Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Microsoft Network - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Microsoft Resources - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft Storage - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Microsoft.Storage/storageAccounts/listKeys/action non è in genere obbligatoria, ma potrebbe essere necessaria per gli utenti che devono visualizzare gli account di storage.
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- Impostazioni per l'estendibilità basata su azioni
Se si utilizza Microsoft Azure con l'estendibilità basata sulle azioni, oltre alle autorizzazioni minime sono necessarie anche le autorizzazioni.
Impostazione Selezione Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Autorizzazione Microsoft - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Approfondimenti Microsoft - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
- Impostazioni per l'estendibilità basata su azioni con estensioni
Se si utilizza Microsoft Azure con l'estendibilità basata sulle azioni con estensioni, sono necessarie anche le autorizzazioni seguenti.
Impostazione Selezione Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
Per informazioni relative alla creazione di un account cloud Microsoft Azure, vedere Configurazione di Microsoft Azure.
Credenziali account cloud di Google Cloud Platform (GCP)
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di Google Cloud Platform.
L'account cloud di Google Cloud Platform interagisce con il motore di elaborazione di Google Cloud Platform.
Le credenziali di amministratore e proprietario del progetto sono necessarie per la creazione e la convalida degli account cloud di Google Cloud Platform.
Se si utilizza un proxy Internet HTTP esterno, è necessario configurarlo per IPv4.
Il servizio del motore di elaborazione deve essere abilitato. Quando si crea l'account cloud in VMware Aria Automation, utilizzare l'account del servizio che è stato creato quando il motore di elaborazione è stato inizializzato.
Impostazione | Selezione |
---|---|
roles/compute.admin |
Offre il controllo completo di tutte le risorse del motore di elaborazione. |
roles/iam.serviceAccountUse |
Fornisce l'accesso agli utenti che gestiscono le istanze di macchine virtuali configurate per essere eseguite come account di servizio. Concedere l'accesso alle seguenti risorse e servizi:
|
roles/compute.imageUser |
Fornisce l'autorizzazione a elencare e leggere le immagini senza dover disporre di altre autorizzazioni per l'immagine. La concessione del ruolo compute.imageUser a livello di progetto offre agli utenti la possibilità di elencare tutte le immagini nel progetto. Consente inoltre agli utenti di creare risorse, ad esempio istanze e dischi persistenti, in base alle immagini nel progetto.
|
roles/compute.instanceAdmin |
Fornisce le autorizzazioni per creare, modificare ed eliminare istanze di macchine virtuali. Sono incluse le autorizzazioni per creare, modificare ed eliminare i dischi, nonché per configurare le impostazioni VMBETA schermate. Per gli utenti che gestiscono istanze di macchine virtuali (ma non le impostazioni di rete o di sicurezza o le istanze eseguite come account di servizio), concedere questo ruolo all'organizzazione, alla cartella o al progetto che contiene le istanze o alle singole istanze. Gli utenti che gestiscono le istanze di macchine virtuali configurate per l'uso come account di servizio richiedono anche il ruolo roles/iam.serviceAccountUser.
|
roles/compute.instanceAdmin.v1 |
Offre il controllo completo delle istanze del motore di elaborazione, dei gruppi di istanze, dei dischi, degli snapshot e delle immagini. Fornisce inoltre l'accesso in lettura a tutte le risorse di rete del motore di elaborazione.
Nota: Se si concede a un utente questo ruolo a livello di istanza, tale utente non può creare nuove istanze.
|
Credenziali account cloud di NSX-T
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di NSX-T.
A partire NSX-T Data Center 3.1, sono supportati i ruoli personalizzati.
- Indirizzo IP o FQDN di NSX-T
- NSX-T Data Center - Ruolo e credenziali di accesso di amministratore aziendale
È necessario il ruolo di auditor.
Categoria/sottocategoria | Autorizzazione |
---|---|
Rete - Gateway di livello 0 | Sola lettura |
Rete - Gateway di livello 0 -> OSPF | Nessuna |
Rete - Gateway di livello 1 | Accesso completo |
Rete - Segmenti | Accesso completo |
Rete - VPN | Nessuna |
Rete - NAT | Accesso completo |
Rete - Bilanciamento del carico | Accesso completo |
Rete - Criteri di inoltro | Nessuna |
Rete - Statistiche | Nessuna |
Rete - DNS | Nessuna |
Rete - DHCP | Accesso completo |
Rete - Pool di indirizzi IP | Nessuna |
Rete - Profili | Sola lettura |
Sicurezza - Rilevamento delle minacce e risposta | Nessuna |
Sicurezza - Firewall distribuito | Accesso completo |
Sicurezza - IDS/IPS e prevenzione malware | Nessuna |
Sicurezza - Ispezione TLS | Nessuna |
Sicurezza - Firewall identità | Nessuna |
Sicurezza - Firewall gateway | Nessuna |
Sicurezza - Gestione della catena di servizi | Nessuna |
Sicurezza - Finestra temporale del firewall | Nessuna |
Sicurezza - Profili | Nessuna |
Sicurezza - Profili di servizio | Nessuna |
Sicurezza - Impostazioni firewall | Accesso completo |
Sicurezza - Impostazioni di sicurezza gateway | Nessuna |
Inventario | Accesso completo |
Risoluzione dei problemi | Nessuna |
Sistema | Nessuna |
Gli amministratori richiedono l'accesso anche a vCenter come descritto nella sezione Credenziali dell'account cloud di vCenter di questa tabella.
Fornire anche le autorizzazioni per installare un proxy cloud nell'istanza di vCenter che gestisce questa istanza di NSX-T.
Credenziali account cloud di NSX-V
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di NSX-V.
- Ruolo di amministratore di NSX-V Enterprise e credenziali di accesso
- Indirizzo IP o FQDN di NSX-V
- Autorizzazioni necessarie per installare un proxy cloud nell'istanza di vCenter che gestisce questa istanza di NSX-V
Gli amministratori richiedono l'accesso anche a vCenter come descritto nella sezione Aggiungere un account cloud di vCenter di questa tabella.
Per informazioni correlate sul ruolo CloudAdmin nella documentazione del prodotto di VMware Cloud on AWS, vedere Privilegi CloudAdmin.
Credenziali per l'account cloud VMware Cloud on AWS (VMC on AWS)
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di VMware Cloud on AWS (VMC on AWS).
- Account [email protected] o qualsiasi altro account utente nel gruppo CloudAdmin
- Ruolo di amministratore di NSX Enterprise e credenziali di accesso
- Accesso da amministratore di NSX Cloud all'ambiente SDDC di VMware Cloud on AWS dell'organizzazione
- Accesso da amministratore all'ambiente SDDC di VMware Cloud on AWS dell'organizzazione
- Token API di VMware Cloud on AWS per l'ambiente VMware Cloud on AWS nel servizio VMware Cloud on AWS dell'organizzazione
- Indirizzo IP o FQDN di vCenter
- Autorizzazioni richieste per installare un proxy cloud in vCenter
Gli amministratori richiedono l'accesso a anche a vCenter come descritto nella sezione Aggiungere un account cloud di vCenter di questa tabella.
Per ulteriori informazioni sulle autorizzazioni necessarie per creare e utilizzare account cloud di VMware Cloud on AWS, vedere Gestione del data center di VMware Cloud on AWS nella documentazione di prodotto di VMware Cloud on AWShttps://docs.vmware.com/it/VMware-Cloud-on-AWS/index.html.
Credenziali account cloud di VMware Cloud Director (vCD)
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di VMware Cloud Director (vCD).
Impostazione | Selezione |
---|---|
Accedi a tutti i vDC dell'organizzazione | Tutto |
Catalogo |
|
Generale |
|
Voce file di metadati | Crea/Modifica |
Rete dell'organizzazione |
|
Gateway vDC dell'organizzazione |
|
vDC dell'organizzazione |
|
Organizzazione |
|
Funzionalità criterio di quota | Visualizza |
Modello VDC |
|
Modello/media vApp |
|
Modello di vApp |
|
vApp |
|
Gruppo di vDC |
|
Integrazione di NSX con Microsoft Azure VMware Solution (AVS) per VMware Aria Automation
Per informazioni sulla connessione di NSX in esecuzione su Microsoft Azure VMware Solution (AVS) in VMware Aria Automation, inclusa la configurazione di ruoli personalizzati, vedere Autorizzazioni dell'utente amministratore del cloud di NSX-T Data Center nella documentazione del prodotto Microsoft.
Prerequisiti di Automation Service Broker
Operazione da eseguire | Requisiti |
---|---|
Aggiungere un'origine del contenuto del modello di Automation Assembler. | È possibile importare modelli di Automation Assembler da un'istanza associata.
|
Aggiungere un'origine del modello di Amazon CloudFormation. | È possibile importare modelli Amazon CloudFormation archiviati in bucket di Amazon S3.
|
Aggiungere un account cloud di Amazon Web Services come regione di destinazione quando si distribuisce un modello. | Fornire un account Power User con privilegi di lettura e scrittura.
|
Prerequisiti di Automation Pipelines
Operazione da eseguire | Requisiti |
---|---|
Creare endpoint per assicurarsi che per gli sviluppatori siano disponibili istanze funzionanti. |
Ad esempio, gli sviluppatori potrebbero dover connettere le attività delle loro pipeline a un'origine dati a un repository o a un sistema di notifica. Questi componenti forniscono i dati per l'esecuzione delle pipeline. Gli endpoint possono essere basati su cloud o remoti. Per connettere Automation Pipelines a endpoint remoti locali, gli sviluppatori necessitano di un proxy cloud.
È inoltre possibile integrare
Automation Pipelines con altri componenti di
VMware Aria Automation.
|
Utilizzare Automation Pipelines per creare ed eseguire pipeline e per monitorare l'attività delle pipeline nei dashboard. |
Fornire agli sviluppatori il ruolo User . Dopo aver eseguito una pipeline, si desidererà sapere se:
|
Utilizzare i modelli di pipeline smart. | Per risparmiare tempo quando si crea una pipeline che crea, testa e distribuisce l'applicazione in modo nativo, utilizzare i modelli di pipeline smart. Ogni modello di pipeline smart pone una serie di domande e crea una pipeline in base alle risposte alle domande sugli aspetti seguenti:
Dopo che il modello di pipeline smart ha creato la pipeline, è possibile modificarla ulteriormente in base alle proprie esigenze. Per ulteriori informazioni sulla pianificazione della creazione nativa e sull'utilizzo dei modelli di pipeline smart, vedere Pianificazione di una build nativa di integrazione continua in Automation Pipelines prima di utilizzare il modello di pipeline smart. |