承認ポリシーはガバナンス レベルのポリシーです。展開および Day 2 アクションの申請が実行される前に、申請に対する制御を行うために追加します。Service Broker で承認ポリシーを定義することで、リソースが使用または破棄前に、承認者または承認者が指定したユーザーが申請を確認できるようにします。本手順では、承認ポリシーの使用事例を紹介し、ガバナンスのオプションについて解説します。

カタログ アイテムの追加と展開を行う小規模なチームのみが対象の場合、承認ポリシーは有用でないことがあります。しかし、大きなグループの開発者や一般的な利用者がカタログを利用できるようにする際には、承認ポリシーを使用することで、リソースの使用前やプロビジョニング済みのアイテムに変更を加える前に申請をチェックすることが可能になります。

たとえば、重要なカタログ アイテムが大量のリソースを使用している場合などです。この場合、IT 管理者に展開のすべての申請の確認を依頼し、申請の必要性を確認する必要があります。Day 2 アクションもこの場合に該当します。多くのユーザーが使用する展開に変更を加えると、非常に大きな影響が発生する可能性があります。この場合、チームの展開を管理するプロジェクト管理者は、カタログ アイテムに対するすべての変更の確認を依頼する必要があります。

承認ポリシーを使用するユーザーまたはその影響を受けるユーザー

  • Service Broker の管理者。ポリシーを構成します。
  • カタログの利用者。1 つ以上のポリシーが適用されるカタログ アイテムまたは Day 2 アクションを申請するユーザーです。
  • Cloud Assembly にクラウド テンプレートを展開しているユーザー。1 つ以上のポリシーが適用される Cloud Assembly のテンプレートまたは Day 2 アクションを申請するユーザー。
  • 指定された承認者。申請をチェックし、承認または拒否をする必要があるユーザーです。

承認ポリシーの適用プロセス

複数の承認ポリシーが適用可能な場合があります。承認ポリシーは評価が行われ、適用可能になったポリシーが申請に適用されます。有効なポリシーが複数あり、各ポリシーの承認者が異なる場合、すべての承認者が追加されます。複数のポリシーがある場合は、このプロセスを理解することが重要です。詳細については、承認ポリシーの目標と適用例を参照してください。

  1. 承認ポリシーが定義されます。
  2. ユーザーがカタログ アイテムまたは Day 2 アクションを申請します。申請が行われると、Service Broker はカタログ アイテムを評価し、適用されるポリシーの有無をチェックします。
  3. 承認ポリシーが適用されます。
    1. 展開カードにステータスが表示されます。たとえば、「Create - Approval Pending(作成 - 承認保留中)」などです。
    2. 申請者にメール通知が送信されます。承認が必要な申請を Service Brokerで追跡する方法を参照してください。
    3. 承認者にメール通知が送信されます。Service Brokerで承認申請に応答する方法を参照してください。

      展開を行う場合、申請が承認されるまでは、インフラストラクチャ リソースの展開および使用が開始されることはなく、展開済みのシステムが変更されることもありません。申請したユーザーに、申請が承認待ちの状態であることが E メールで通知されます。

    4. 承認者は Service Broker の [承認] タブを使用して申請に応答します。
  4. 承認のプロセスは以上で完了です。
    1. 申請が拒否された場合には、申請したユーザーに通知が行われ、展開の申請はキャンセルされます。
    2. 申請が承認された場合には、展開が開始されます。
    3. 承認者がアクションを行わない場合でも、適用されるポリシーが申請を自動的に承認または拒否するように設定することもできます。

展開条件の使用方法

展開条件を定義することによって、ポリシーを適用するアイテムまたはアクティビティを制限できます。展開条件の詳細については、Service Broker ポリシーでの展開条件の構成方法を参照してください。

承認ポリシーの制約

  • 承認ポリシーには、リースの変更アクションを含めることはできません。

承認ポリシーの使用事例を参照して、独自のポリシーを作成する場合は、キー テキスト ボックスの Signpost ヘルプを参照して、詳細情報を確認してください。

前提条件

  • 承認者は、通常の Service Broker または VMware Cloud Assembly のユーザーではない場合もありますが、次のロールの組み合わせのいずれかを保有している必要があります。
    • 組織のメンバーと Service Broker ユーザー
    • 組織のメンバーと承認の管理カスタム ロール

    これらのロールの権限は最小のレベルですが、申請の承認または拒否を行うことができます。

  • ユーザー ルールを定義する場合、ユーザーは有効なメール アドレスを保有している必要があります。Service Broker はこのメール アドレスを使用して、承認の通知を送信します。メール サーバは VMware サービスの一部です。ユーザーが管理することはできません。メッセージが送信されていないと思われる場合は、VMware のサービス担当者に連絡してください。

手順

  1. [コンテンツおよびポリシー] > [ポリシー] > [定義] > [新規ポリシー] > [承認ポリシー] の順に選択します。
  2. 承認ポリシー 1 を構成します。
    管理者が、クラウド リソースを大量に使用する重要なカタログ アイテムを保有しています。2 人の IT 管理者の少なくとも 1 人が、展開の申請を評価し、申請の必要性と、展開をサポートするリソースの有無を確認するようにします。
    1. ポリシーを有効にするタイミングを定義します。
      設定 サンプルの値
      範囲 組織

      このポリシーは、組織内のすべてのプロジェクトに適用されます。

      展開基準
      catalogItem equals CompanyApplication
    2. 承認の動作を定義します。
      設定 サンプルの値
      承認者モード すべて

      展開の申請によってリソースが浪費されないことについてすべての IT 管理者が同意することを条件にします。

      承認者 {approvername1}@YourCompany、{approvername2}@YourCompany
      自動有効期限の決定 拒否

      クラウド リソースの負荷を想定した場合、承認が得られないまま誤ってアイテムを展開することは望ましくありません。

      自動有効期限トリガー 3

      週末に管理者が不在になる可能性がある場合、この値を指定すると有効期限が週明けまで持ち越されます。

      アクション Deployment.Create
    このシナリオでは、カタログ利用者がこのカタログ アイテムを申請した場合、承認者 1 と承認者 2 の両者が 3 日以内に申請を承認する必要があります。そうでない場合は申請が拒否されます。
  3. 承認ポリシー 2 を構成します。
    AcctProd というプロジェクトを担当する管理者が、不可逆的な結果に至る可能性のある展開への変更をプロジェクト管理者に承認させる場合です。たとえば、展開を削除する場合です。
    1. 承認ポリシーが有効な場合を定義します。
      設定 サンプルの値
      範囲 Project AcctProd

      このポリシーは、このプロジェクトに関連付けられている展開に適用されます。

      展開基準 なし
    2. 承認の動作を定義します。
      設定 サンプルの値
      承認者モード 任意
      承認者 {ProjectAdmin}@YourCompany
      自動有効期限の決定 拒否
      自動有効期限トリガー 7
      アクション Deployment.Delete、Deployment.PowerOff、Deployment.Update、およびコンポーネント固有の電源/再起動/削除アクションのいずれか。
    このシナリオでは、AcctProd プロジェクトのメンバーが、ある展開に対してリストに表示したアクションを実行するように申請を送信して、プロジェクト管理者が応答しないときには、7 日後に申請が拒否されます。
  4. 承認ポリシー 3 を構成します。
    管理者は、リソース使用量の制御が必要になる場合があります。たとえば、ユーザーがサイズの大きいカタログ アイテムを申請した場合、その申請を評価してから承認する必要があります。サイズはフレーバー マッピングによって定義されます。
    1. 承認ポリシーが有効な場合を定義します。
      設定 サンプルの値
      範囲 組織
      展開基準
      resources has any 
           Flavor equals large
    2. 承認の動作を定義します。
      設定 サンプルの値
      承認者モード 任意
      承認者 {AdminName}@YourCompany
      自動有効期限の決定 拒否

      クラウド リソースの使用量を想定した場合、承認が得られないまま誤ってアイテムを展開することは望ましくありません。

      自動有効期限トリガー 5
      アクション Deployment.Create および該当する *.Machine.Resize アクション。たとえば、Cloud.vSphere.Machine.Resize です。
      このシナリオでは、ユーザーが大規模な展開の申請を送信したり、展開のサイズを大規模に変更して、クラウド管理者が応答しないときには、5 日後に申請が拒否されます。

次のタスク