Per configurare e utilizzare gli account cloud in vRealize Automation, verificare di disporre delle credenziali seguenti.
Credenziali globali necessarie
Operazione da eseguire | Requisiti |
---|---|
Registrarsi e accedere a Cloud Assembly |
Un ID VMware.
|
Stabilire una connessione a vRealize Automation Services |
Porta HTTPS 443 aperta per il traffico in uscita con accesso attraverso il firewall a:
Per ulteriori informazioni sulle porte e sui protocolli, vedere VMware Ports and Protocols. Per ulteriori informazioni sulle porte e sui protocolli, vedere Requisiti delle porte nella guida Architettura di riferimento. |
Credenziali account cloud di vCenter
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di vCenter.
- Indirizzo IP o FQDN di vCenter
Sono elencate le autorizzazioni necessarie per gestire gli account cloud VMware Cloud on AWS e vCenter. Le autorizzazioni devono essere abilitate per tutti i cluster in vCenter, non solo per quelli che ospitano gli endpoint.
Per supportare il controllo di VMware Virtual Trusted Platform Module (vTPM) durante la distribuzione delle macchine virtuali Windows 11, è necessario disporre del privilegio operazioni crittografiche -> accesso diretto in vCenter. Senza questo privilegio, non è possibile accedere alla console da vRealize Automation alle macchine virtuali Windows 11. Per informazioni correlate, vedere Panoramica di Virtual Trusted Platform Module.
Per tutti gli account cloud basati su vCenter, inclusi NSX-V, NSX-T, vCenter e VMware Cloud on AWS, l'amministratore deve disporre delle credenziali dell'endpoint vSphere o delle credenziali utilizzate per eseguire il servizio dell'agente in vCenter, che forniscono l'accesso amministrativo a vCenter host.
Impostazione | Selezione |
---|---|
Datastore |
|
Cluster archivio dati |
|
Cartella |
|
Globale |
|
Rete |
|
Autorizzazioni |
|
Risorsa |
|
Storage basato sul profilo |
|
Libreria dei contenuti Per assegnare un privilegio per una libreria di contenuti, un amministratore deve concedere il privilegio all'utente come privilegio globale. Per informazioni correlate, vedere Ereditarietà gerarchica delle autorizzazioni per le librerie di contenuti in Amministrazione delle macchine virtuali di vSphere nella documentazione di VMware vSphere. |
|
Applicazione di tag di vSphere |
|
vApp |
|
Macchina virtuale - Inventario |
|
Macchina virtuale - Interazione |
|
Macchina virtuale - Configurazione |
|
Macchina virtuale - Provisioning |
|
Macchina virtuale - Stato |
|
Credenziali per l'account cloud di Amazon Web Services (AWS)
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di Amazon Web Services. Per ulteriori requisiti delle credenziali, vedere la sezione precedente relativa alle credenziali per l'account cloud di vCenter.
Fornire un account Power User con privilegi di lettura e scrittura. L'account utente deve essere un membro del criterio di accesso Power User (PowerUserAccess) nel sistema Identity and Access Management (IAM) di AWS.
Abilitare l'ID della chiave di accesso a 20 cifre e la chiave di accesso segreta corrispondente.
Se si utilizza un proxy Internet HTTP esterno, è necessario configurarlo per IPv4.
Impostazione | Selezione |
---|---|
Azioni di ridimensionamento automatico | Per consentire le funzioni di ridimensionamento automatico sono consigliate le seguenti autorizzazioni di AWS:
|
Risorse di ridimensionamento automatico | Per consentire le autorizzazioni delle risorse di ridimensionamento automatico, sono necessarie le autorizzazioni seguenti:
|
Risorse AWS Security Token Service (AWS STS) | Sono necessarie le seguenti autorizzazioni per consentire alle funzioni di AWS Security Token Service (AWS STS) di supportare le credenziali temporanee e con privilegi limitati per l'identità e l'accesso di AWS:
|
Azioni EC2 | Per consentire le funzioni EC2, sono necessarie le seguenti autorizzazioni di AWS:
|
Risorse EC2 |
|
Bilanciamento del carico elastico: azioni di bilanciamento del carico |
|
Bilanciamento del carico elastico: risorse di bilanciamento del carico |
|
Gestione di identità e accessi (IAM) AWS |
Le seguenti autorizzazioni di AWS Identity and Access Management (IAM) possono essere abilitate, tuttavia non sono obbligatorie:
|
Credenziali account cloud di Microsoft Azure
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di Microsoft Azure.
Configurare un'istanza di Microsoft Azure e ottenere una sottoscrizione valida per Microsoft Azure dalla quale sia possibile utilizzare l'ID sottoscrizione.
Creare un'applicazione di Active Directory come descritto in Procedure: Usare il portale per creare un'applicazione Azure Active Directory (Azure AD) e un'entità servizio che possano accedere alle risorse nella documentazione del prodotto Microsoft Azure.
Se si utilizza un proxy Internet HTTP esterno, è necessario configurarlo per IPv4.
- Impostazioni generali
Sono necessarie le seguenti impostazioni generali.
Impostazione Descrizione ID sottoscrizione Consente di accedere alle proprie sottoscrizioni di Microsoft Azure. ID tenant Endpoint di autorizzazione per le applicazioni di Active Directory create nell'account Microsoft Azure. ID applicazione client Consente di accedere a Microsoft Active Directory nell'account individuale di Microsoft Azure. Chiave privata applicazione client Chiave privata univoca generata per eseguire l'associazione con il proprio ID applicazione client. - Impostazioni per la creazione e la convalida degli account cloud
La creazione e la convalida degli account cloud di Microsoft Azure richiedono le autorizzazioni seguenti.
Impostazione Selezione Microsoft Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Microsoft Network - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Microsoft Resources - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft Storage - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Microsoft.Storage/storageAccounts/listKeys/action non è in genere obbligatoria, ma potrebbe essere necessaria per gli utenti che devono visualizzare gli account di storage.
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- Impostazioni per l'estendibilità basata su azioni
Se si utilizza Microsoft Azure con l'estendibilità basata sulle azioni, oltre alle autorizzazioni minime sono necessarie anche le autorizzazioni.
Impostazione Selezione Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Autorizzazione Microsoft - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Approfondimenti Microsoft - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
La proprietà
Storage account public access should be disallowed
viene assegnata a un gruppo di risorse con tipo di effettoDeny
. La creazione automatica degli account di storage per le azioni di estendibilità non è consentita. In questo scenario, le azioni di estendibilità non possono essere eseguite se il provider FaaS è impostato su Selezione automatica. È necessario impostare manualmente il provider FaaS su Microsoft Azure e configurare l'account di storage e il gruppo di risorse. - Impostazioni per l'estendibilità basata su azioni con estensioni
Se si utilizza Microsoft Azure con l'estendibilità basata sulle azioni con estensioni, sono necessarie anche le autorizzazioni seguenti.
Impostazione Selezione Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
Per informazioni correlate alla creazione di un account cloud Microsoft Azure, vedere Configurazione di Microsoft Azure.
Credenziali account cloud di Google Cloud Platform (GCP)
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di Google Cloud Platform.
L'account cloud di Google Cloud Platform interagisce con il motore di elaborazione di Google Cloud Platform.
Le credenziali di amministratore e proprietario del progetto sono necessarie per la creazione e la convalida degli account cloud di Google Cloud Platform.
Se si utilizza un proxy Internet HTTP esterno, è necessario configurarlo per IPv4.
Il servizio del motore di elaborazione deve essere abilitato. Quando si crea l'account cloud in vRealize Automation, utilizzare l'account del servizio che è stato creato quando il motore di elaborazione è stato inizializzato.
Impostazione | Selezione |
---|---|
roles/compute.admin |
Offre il controllo completo di tutte le risorse del motore di elaborazione. |
roles/iam.serviceAccountUse |
Fornisce l'accesso agli utenti che gestiscono le istanze di macchine virtuali configurate per essere eseguite come account di servizio. Concedere l'accesso alle seguenti risorse e servizi:
|
roles/compute.imageUser |
Fornisce l'autorizzazione a elencare e leggere le immagini senza dover disporre di altre autorizzazioni per l'immagine. La concessione del ruolo compute.imageUser a livello di progetto offre agli utenti la possibilità di elencare tutte le immagini nel progetto. Consente inoltre agli utenti di creare risorse, ad esempio istanze e dischi persistenti, in base alle immagini nel progetto.
|
roles/compute.instanceAdmin |
Fornisce le autorizzazioni per creare, modificare ed eliminare istanze di macchine virtuali. Sono incluse le autorizzazioni per creare, modificare ed eliminare i dischi, nonché per configurare le impostazioni VMBETA schermate. Per gli utenti che gestiscono istanze di macchine virtuali (ma non le impostazioni di rete o di sicurezza o le istanze eseguite come account di servizio), concedere questo ruolo all'organizzazione, alla cartella o al progetto che contiene le istanze o alle singole istanze. Gli utenti che gestiscono le istanze di macchine virtuali configurate per l'uso come account di servizio richiedono anche il ruolo roles/iam.serviceAccountUser.
|
roles/compute.instanceAdmin.v1 |
Offre il controllo completo delle istanze del motore di elaborazione, dei gruppi di istanze, dei dischi, degli snapshot e delle immagini. Fornisce inoltre l'accesso in lettura a tutte le risorse di rete del motore di elaborazione.
Nota: Se si concede a un utente questo ruolo a livello di istanza, tale utente non può creare nuove istanze.
|
Credenziali account cloud di NSX-T
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di NSX-T.
- Indirizzo IP o FQDN di NSX-T
- NSX-T Data Center - Ruolo e credenziali di accesso di amministratore aziendale
Gli amministratori richiedono l'accesso a anche a vCenter come descritto nella sezione Aggiungere un account cloud di vCenter di questa tabella.
Credenziali account cloud di NSX-V
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di NSX-V.
- Ruolo di amministratore di NSX-V Enterprise e credenziali di accesso
- Indirizzo IP o FQDN di NSX-V
Gli amministratori richiedono l'accesso anche a vCenter come descritto nella sezione Aggiungere un account cloud di vCenter di questa tabella.
Credenziali account cloud di VMware Cloud Director (vCD)
In questa sezione vengono descritte le credenziali necessarie per aggiungere un account cloud di VMware Cloud Director (vCD). Si noti che questi passaggi devono essere eseguiti in
Impostazione | Selezione |
---|---|
Accedi a tutti i vDC dell'organizzazione | Tutto |
Catalogo |
|
Generale |
|
Voce file di metadati | Crea/Modifica |
Rete dell'organizzazione |
|
Gateway vDC dell'organizzazione |
|
vDC dell'organizzazione |
|
Organizzazione |
|
Funzionalità criterio di quota | Visualizza |
Modello VDC |
|
Modello/media vApp |
|
Modello di vApp |
|
vApp |
|
Gruppo di vDC |
|
Credenziali di integrazione di vRealize Operations Manager
In questa sezione vengono descritte le credenziali necessarie per l'integrazione con vRealize Operations Manager. Si tenga presente che queste credenziali vengono stabilite e configurate in vRealize Operations Manager, non in vRealize Automation.
Fornire un account di accesso locale o non locale a vRealize Operations Manager con i privilegi di lettura seguenti.
- Istanza adattatore vCenter Adattatore > Adattatore istanza VC per vCenter-FQDN
Potrebbe essere necessario importare prima un account non locale, prima di poterne assegnare il ruolo di sola lettura.
Integrazione di NSX con Microsoft Azure VMware Solution (AVS) per vRealize Automation
Per informazioni sulla connessione di NSX in esecuzione su Microsoft Azure VMware Solution (AVS) in vRealize Automation, inclusa la configurazione di ruoli personalizzati, vedere Autorizzazioni dell'utente amministratore del cloud di NSX-T Data Center nella documentazione del prodotto Microsoft.