Voordat u in VMware Aria Automation als cloudbeheerder gaat werken, moet u informatie verzamelen over uw openbare en privécloudaccounts. Gebruik deze checklist om u te helpen bij het instellen voordat u begint met het onboarden van de services.
Vereiste algemene inloggegevens
Om het volgende te doen... | U moet... |
---|---|
U registreren voor en aanmelden bij Automation Assembler |
Een VMware-id.
|
Verbinding maken met VMware Aria Automation-services |
HTTPS-poort 443 open voor uitgaand verkeer met toegang via de firewall naar:
Zie VMware Ports and Protocols voor meer informatie over poorten en protocollen. Zie Poortvereisten in de Help bij Referentie-architectuur voor meer informatie over poorten en protocollen. |
Inloggegevens voor vCenter-cloudaccount
In deze sectie worden de inloggegevens beschreven die vereist zijn om een vCenter-cloudaccount toe te voegen.
- IP-adres of FQDN voor vCenter
De rechten die nodig zijn om VMware Cloud on AWS- en vCenter-cloudaccounts te beheren, worden weergegeven. Rechten moeten worden ingeschakeld voor alle clusters in de vCenter, niet alleen clusters die eindpunten hosten.
Als u de controle over de Virtual Trusted Platform Module (vTPM) van VMware wilt ondersteunen bij het implementeren van Windows 11 VM's, moet u over het recht cryptografische bewerkingen >> directe toegang beschikken in vCenter. Zonder dit recht is toegang vanaf de console van VMware Aria Automation tot Windows 11 VM's niet mogelijk. Zie Overzicht van Virtual Trusted Platform Module voor gerelateerde informatie.
Voor alle vCenter-gebaseerde cloudaccounts, inclusief NSX-V, NSX-T, vCenter en VMware Cloud on AWS, moet de beheerder verificatiegegevens voor het vSphere-eindpunt hebben of de verificatiegegevens waaronder de agentservice wordt uitgevoerd in vCenter, die beheerders toegang bieden tot de host vCenter.
Instelling | Selectie |
---|---|
Inhoudsbibliotheek Als u een recht voor een inhoudsbibliotheek wilt toewijzen, moet een beheerder het recht aan de gebruiker verlenen als algemeen recht. Zie Hiërarchische overname van rechten voor contentbibliotheken in vSphere-beheer van virtuele machines in VMware vSphere-documentatie voor gerelateerde informatie. |
|
Gegevensopslag |
|
Gegevensopslagcluster |
|
Map |
|
Globaal |
|
Netwerk |
|
Rechten |
|
Profile-Driven Storage |
|
Resource |
|
vApp |
|
Virtuele machine |
Configuratie wijzigen
Inventaris bewerken
Interactie
Inrichting
Momentopnamebeheer
|
Taggen met vSphere |
|
Inloggegevens voor Amazon Web Services-cloudaccount (AWS)
In deze sectie worden de inloggegevens beschreven die vereist zijn om een Amazon Web Services-cloudaccount toe te voegen. Zie de bovenstaande sectie Inloggegevens voor vCenter-cloudaccount voor aanvullende vereisten voor inloggegevens.
Geef een hoofdgebruikersaccount op met bevoegdheden voor lezen en schrijven. Het gebruikersaccount moet lid zijn van het Power Access-beleid (PowerUserAccess) in het AWS Identity and Access Management (IAM)-systeem.
Schakel de 20-cijferige toegangssleutel-id en bijbehorende geheime toegangssleutel in.
Als u een externe HTTP-internetproxy gebruikt, moet deze zijn geconfigureerd voor IPv4.
Instelling | Selectie |
---|---|
Acties voor automatisch schalen | De volgende AWS-machtigingen worden aanbevolen om functies voor automatisch schalen toe te staan:
|
Resources voor automatisch schalen | De volgende rechten zijn vereist om resourcerechten voor automatisch schalen toe te staan:
|
AWS Security Token Service-resources (AWS STS) | De volgende machtigingen zijn vereist om AWS Security Token Service-functies (AWS STS) toe te staan om tijdelijke inloggegevens met beperkte rechten te ondersteunen voor AWS-identiteit en toegang:
|
EC2-acties | De volgende AWS-machtigingen zijn vereist om EC2-functies toe te staan:
|
EC2-resources |
|
Elastic load balancing - acties voor load balancer |
|
Elastic load balancing - resources voor load balancer |
|
AWS Identity and Access Management (IAM) |
De volgende rechten voor AWS Identity and Access Management (IAM) kunnen worden ingeschakeld, maar zijn niet vereist:
|
Inloggegevens voor Microsoft Azure-cloudaccount
In deze sectie worden de inloggegevens beschreven die vereist zijn om een Microsoft Azure-cloudaccount toe te voegen.
Configureer een Microsoft Azure-instantie en verkrijg een geldig Microsoft Azure-abonnement waarvan u de abonnements-id kunt gebruiken.
Maak een Active Directory-applicatie zoals beschreven in Procedure: gebruik de portal om een Azure AD-applicatie en service-principal te maken die toegang hebben tot resources in de Microsoft Azure-productdocumentatie.
Als u een externe HTTP-internetproxy gebruikt, moet deze zijn geconfigureerd voor IPv4.
- Algemene instellingen
De volgende algemene instellingen zijn vereist.
Instelling Beschrijving Abonnements-id Geeft u toegang tot uw Microsoft Azure-abonnementen. Tenant-id Het autorisatie-eindpunt voor de Active Directory-applicaties die u in uw Microsoft Azure-account maakt. Clientapplicatie-id Biedt toegang tot Microsoft Active Directory in uw individuele Microsoft Azure-account. Geheime sleutel clientapplicatie De unieke geheime sleutel die is gegenereerd om te koppelen met uw klantapplicatie-ID. - Instellingen voor het maken en valideren van cloudaccounts
De volgende rechten zijn nodig voor het maken en valideren van Microsoft Azure-cloudaccounts.
Instelling Selectie Microsoft Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Microsoft Network - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Microsoft Resources - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft-opslag - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Microsoft.Storage/storageAccounts/listKeys/action is doorgaans niet vereist, maar kan nodig zijn voor gebruikers om opslagaccounts weer te geven.
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- Instellingen voor actiegebaseerde uitbreidbaarheid
Als u Microsoft Azure gebruikt met actiegebaseerde uitbreidbaarheid, zijn naast de minimale rechten ook de volgende rechten vereist.
Instelling Selectie Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Microsoft Authorization - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Microsoft Insights - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
- Instellingen voor actiegebaseerde uitbreidbaarheid met extensies
Als u Microsoft Azure gebruikt met actiegebaseerde uitbreidbaarheid met extensies, zijn de volgende rechten ook vereist.
Instelling Selectie Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
Zie Microsoft Azure configureren voor gerelateerde informatie over het maken van een Microsoft Azure-cloudaccount.
Inloggegevens voor Google Cloud Platform-cloudaccount (GCP)
In deze sectie worden de inloggegevens beschreven die vereist zijn om een Google Cloud Platform-cloudaccount toe te voegen.
De Google Cloud Platform-cloudaccount werkt interactief met de Google Cloud Platform-berekeningsengine.
De verificatiegegevens van de Projectbeheerder en de Eigenaar zijn vereist voor het maken en valideren van Google Cloud Platform-cloudaccounts.
Als u een externe HTTP-internetproxy gebruikt, moet deze zijn geconfigureerd voor IPv4.
De service Engine berekenen moet zijn ingeschakeld. Wanneer u het cloudaccount in VMware Aria Automation maakt, gebruikt u het serviceaccount dat is gemaakt toen de berekeningsengine werd geïnitialiseerd.
Instelling | Selectie |
---|---|
rollen/compute.admin |
Biedt volledige controle over alle resources van de berekeningsengine. |
roles/iam.serviceAccountUse |
Biedt toegang tot gebruikers die instanties van virtuele machines beheren die zijn geconfigureerd om als serviceaccount te worden uitgevoerd. Verleen toegang tot de volgende resources en services:
|
rollen/compute.imageUser |
Geeft toestemming om images op te geven en te lezen zonder andere rechten op de image te hebben. Als u de compute.imageUser-rol op projectniveau verleent, krijgen gebruikers de mogelijkheid om alle images in het project weer te geven. Ook kunnen gebruikers resources, zoals instanties en persistente schijven, maken op basis van images in het project.
|
rollen/compute.instanceAdmin |
Biedt rechten om instanties van virtuele machines te maken, te wijzigen en te verwijderen. Dit omvat rechten om schijven te maken, te wijzigen en te verwijderen, en ook om afgeschermde VMBETA-instellingen te configureren. Voor gebruikers die instanties van virtuele machines beheren (maar geen netwerk- of beveiligingsinstellingen of -instanties die worden uitgevoerd als serviceaccounts), moet u deze rol toekennen aan de organisatie, de map of het project dat de instanties bevat, of aan de individuele instanties. Gebruikers die instanties van virtuele machines beheren die zijn geconfigureerd om als serviceaccount te worden uitgevoerd, hebben ook de rol rollen/iam.serviceAccountUser nodig.
|
rollen/compute.instanceAdmin.v1 |
Biedt volledige controle over instanties van de compute engine, instantiegroepen, schijven, momentopnamen en images. Biedt ook leestoegang tot alle netwerkresources van de compute engine.
Opmerking: Als u een gebruiker deze rol verleent op het niveau van de instantie, kan die gebruiker geen nieuwe instanties maken.
|
Inloggegevens voor NSX-T-cloudaccount
In deze sectie worden de inloggegevens beschreven die vereist zijn om een NSX-T-cloudaccount toe te voegen.
Vanaf NSX-T Data Center 3.1 worden aangepaste rollen ondersteund.
Geef een account op met de volgende bevoegdheden voor lezen en schrijven.
- IP-adres of FQDN voor NSX-T
- NSX-T-gebruikersnaam en -wachtwoord
Koppel de gebruiker aan zowel de rol Audit als de aangepaste rol, die de opgegeven rechten heeft die hieronder worden beschreven. Voeg deze gebruiker toe aan VMware Aria Automation als cloudaccount voor naadloze verificatie met NSX-T.
Categorie/subcategorie | Recht |
---|---|
Netwerken - Laag-0-gateways | Alleen-lezen |
Netwerken - Laag-0-gateways -> OSPF | Geen |
Netwerken - Laag-1-gateways | Volledige toegang |
Netwerken - Segmenten | Volledige toegang |
Netwerken - VPN | Geen |
Netwerken - NAT | Volledige toegang |
Netwerken - Load balancing | Volledige toegang |
Netwerken - Doorstuurbeleid | Geen |
Netwerken - Statistieken | Geen |
Netwerken - DNS | Geen |
Netwerken - DHCP | Volledige toegang |
Netwerken - IP-adrespools | Geen |
Netwerken - Profielen | Alleen-lezen |
Beveiliging - Bedreigingsdetectie en -reactie | Geen |
Beveiliging - Gedistribueerde firewall | Volledige toegang |
Beveiliging - IDS/IPS en malwarepreventie | Geen |
Beveiliging - TLS-inspectie | Geen |
Beveiliging - Identiteitsfirewall | Geen |
Beveiliging - Gatewayfirewall | Geen |
Beveiliging - Beheer van serviceketens | Geen |
Beveiliging - Firewalltijdvenster | Geen |
Beveiliging - Profielen | Geen |
Beveiliging - Serviceprofielen | Geen |
Beveiliging - Firewallinstellingen | Volledige toegang |
Beveiliging - Gatewaybeveiligingsinstellingen | Geen |
Inventaris | Volledige toegang |
Problemen oplossen | Geen |
Systeem | Geen |
Beheerders hebben ook toegang tot vCenter nodig zoals is beschreven in de sectie Inloggegevens voor een vCenter-cloudaccount toevoegen van dit onderwerp.
Inloggegevens voor NSX-V-cloudaccount
In deze sectie worden de inloggegevens beschreven die vereist zijn om een NSX-V-cloudaccount toe te voegen.
- Bedrijfsbeheerdersrol en inloggegevens voor NSX-V
- IP-adres of FQDN voor NSX-V
Beheerders hebben ook toegang tot vCenter nodig zoals is beschreven in de sectie Een vCenter-cloudaccount toevoegen van deze tabel.
Inloggegevens voor VMware Cloud on AWS-cloudaccount (VMC on AWS)
In deze sectie worden de inloggegevens beschreven die vereist zijn om een VMware Cloud on AWS-cloudaccount (VMC on AWS) toe te voegen.
- Het [email protected] of een gebruikersaccount in de CloudAdmin-groep
- Bedrijfsbeheerdersrol en inloggegevens voor NSX
- NSX-cloudbeheerderstoegang tot de VMware Cloud on AWS SDDC-omgeving van uw organisatie
- Beheerderstoegang tot de VMware Cloud on AWS SDDC-omgeving van uw organisatie
- Het API-token van VMware Cloud on AWS voor uw VMware Cloud on AWS-omgeving in de VMware Cloud on AWS-service van uw organisatie
- IP-adres of FQDN voor vCenter
Beheerders hebben ook toegang tot de vCenter nodig zoals is beschreven in de sectie Een vCenter-cloudaccount toevoegen van deze tabel.
Voor meer informatie over de rechten die nodig zijn om VMware Cloud on AWS-cloudaccounts te maken en te gebruiken, zie VMware Cloud on AWS-datacenter beheren in de productdocumentatie voor VMware Cloud on AWS .
Inloggegevens voor VMware Cloud Director-cloudaccount (vCD)
In deze sectie worden de inloggegevens beschreven die vereist zijn om een VMware Cloud Director-cloudaccount (vCD) toe te voegen.
Instelling | Selectie |
---|---|
Toegang tot alle organisatie-vDC's | Alle |
Catalogus |
|
Algemeen |
|
Invoer van metagegevensbestand | Maken/wijzigen |
Organisatienetwerk |
|
vDC-gateway van organisatie |
|
Organisatie-vDC |
|
Organisatie |
|
Mogelijkheden van quotumbeleid | Weergeven |
VDC-sjabloon |
|
vApp-sjabloon/-media |
|
vApp-sjabloon |
|
vApp |
|
vDC-groep |
|
Inloggegevens voor VMware Aria Operations-integratie
In deze sectie worden de inloggegevens beschreven die vereist zijn om te integreren met VMware Aria Operations. Houd er rekening mee dat deze inloggegevens worden vastgesteld en geconfigureerd in VMware Aria Operations, niet in VMware Aria Automation.
Geef een lokaal of niet-lokaal aanmeldingsaccount bij VMware Aria Operations op met de volgende leesrechten.
- Adapterinstantie vCenter-adapter > VC-adapterinstantie voor vCenter-FQDN
Mogelijk moet een niet-lokaal account eerst worden geïmporteerd, voordat u de alleen-lezen rol kunt toewijzen.
NSX-integratie met Microsoft Azure VMware Solution (AVS) voor VMware Aria Automation
Raadpleeg Gebruikersrechten voor NSX-T Data Center-cloudbeheerder voor informatie over het verbinden van NSX op Microsoft Azure VMware Solution (AVS) met VMware Aria Automation, inclusief het configureren van aangepaste rollen in de Microsoft-productdocumentatie.
Voorwaarden voor Automation Service Broker
Om het volgende te doen... | U moet... |
---|---|
Voeg een Automation Assembler-sjablooninhoudsbron toe. | U kunt Automation Assembler-sjablonen vanaf een gekoppelde instantie importeren.
|
Een Amazon CloudFormation-sjabloonbron toevoegen. | U kunt Amazon CloudFormation-sjablonen importeren die zijn opgeslagen in Amazon S3-buckets.
|
Een Amazon Web Services-cloudaccount toevoegen als een doelregio wanneer u een sjabloon implementeert. | Geef een hoofdgebruikersaccount op met bevoegdheden voor lezen en schrijven.
|
Voorwaarden voor Automation Pipelines
Om het volgende te doen... | U moet... |
---|---|
Maak eindpunten zodat u ervoor kunt zorgen dat er werkende instanties beschikbaar zijn voor ontwikkelaars. |
Uw ontwikkelaars moeten bijvoorbeeld hun pijplijntaken verbinden met een gegevensbron, opslagplaats of meldingssysteem. Deze onderdelen leveren gegevens zodat hun pijplijnen kunnen worden uitgevoerd.
U kunt
Automation Pipelines ook integreren met andere
VMware Aria Automation-onderdelen.
|
Gebruik Automation Pipelines om pijplijnen te maken en uit te voeren en pijplijnactiviteiten op de dashboards in de gaten te houden. |
Geef ontwikkelaars de rol van User . Nadat u een pijplijn hebt uitgevoerd, moet u het volgende weten:
|
Gebruik de slimme pijplijnsjablonen. | Gebruik de slimme pijplijnsjablonen om tijd te besparen wanneer u een pijplijn maakt die uw systeemeigen applicatie bouwt, test en implementeert. Elke slimme pijplijnsjabloon stelt u verschillende vragen en maakt een pijplijn op basis van hoe u de vragen beantwoordt over:
Nadat de slimme pijplijnsjabloon de pijplijn heeft gemaakt, kunt u de pijplijn verder aanpassen om deze nog specifieker te maken voor uw behoeften. Voor meer informatie over het plannen van uw systeemeigen build en het gebruik van slimme pijplijnsjablonen raadpleegt u Een native build voor continue integratie plannen in Automation Pipelines voordat u de slimme pijplijnsjabloon gebruikt. |