Goedkeuringsbeleidsregels zijn een niveau van governance dat u toevoegt om controle uit te oefenen over implementatieaanvragen en aanvragen voor acties voor dag 2 voordat deze worden uitgevoerd. U definieert goedkeuringsbeleidsregels in Service Broker zodat u, of anderen die u aanwijst, aanvragen controleert voordat resources worden verbruikt of vernietigd. De scenario's voor goedkeuringsbeleid in deze procedure zijn een introductie die u kunt gebruiken bij het verkennen van uw opties voor governance.

Als u slechts een klein team heeft voor het toevoegen en implementeren van catalogusitems, kunnen goedkeuringsbeleidsregels minder nuttig zijn. Maar als u de catalogus beschikbaar maakt voor een grotere groep ontwikkelaars en algemene consumenten, kunt u de goedkeuringsbeleidsregels gebruiken om ervoor te zorgen dat iemand een aanvraag controleert voordat de resources worden verbruikt of wijzigingen worden aangebracht in de ingerichte items.

U hebt bijvoorbeeld een catalogusitem dat belangrijk is, maar het verbruikt een aanzienlijke hoeveelheid resources. U wilt dat een van uw IT-beheerders alle implementatieaanvragen kunnen controleren om ervoor te zorgen dat de aanvraag is vereist. Een ander voorbeeld is van toepassing op acties voor dag 2. Het aanbrengen van wijzigingen in een implementatie die door velen wordt gebruikt, kan ernstige gevolgen hebben. U wilt dat de projectbeheerder die de implementatie voor dat team beheert alle wijzigingen in het geïmplementeerde catalogusitem controleert.

Wie werkt met of wordt beïnvloed door goedkeuringsbeleidsregels?

  • Service Broker-beheerder. Configureert de beleidsregels.
  • Catalogusgebruikers. Gebruikers die catalogusitems of dag 2-acties aanvragen waarop een of meer beleidsregels van toepassing zijn.
  • Gebruikers die cloudsjablonen implementeren in Cloud Assembly. Gebruikers die sjablonen of acties voor dag 2 aanvragen in Cloud Assembly waarop een of meer beleidsregels van toepassing zijn.
  • Aangewezen goedkeurders. Gebruikers die een aanvraag moeten controleren en vervolgens goedkeuren of weigeren. U kunt goedkeurdersrechten verlenen aan geselecteerde gebruikers en gebruikersgroepen of u kunt kiezen uit de volgende goedkeurdersrollen.
    • AD Manager. Active Directory gebruiker met beheerderskenmerken. Zie Active Directory-kenmerken voor de goedkeurderrol van AD Manager configureren.
    • Projectbeheerders. Beheerders van projecten binnen het beleidsbereik worden automatisch als goedkeurders toegewezen. Als een project geen speciale beheerder heeft, wordt het goedkeuringsbeleid niet op dat project toegepast.
    • Projectsupervisors. Leden van projecten binnen het beleidsbereik aan wie de rol van supervisor is toegewezen. Toegangsrechten voor supervisors zijn beperkt tot het goedkeuren en weigeren van implementatieaanvragen voor een project. Als een project geen speciale supervisor heeft, wordt het goedkeuringsbeleid niet op dat project toegepast.

Wat gebeurt er als goedkeuringsbeleidsregels worden afgedwongen?

Meerdere goedkeuringsbeleidsregels kunnen afdwingbaar zijn. Goedkeuringsbeleidsregels worden geëvalueerd en er wordt een afgedwongen beleid toegepast op de aanvraag. Wanneer er meerdere geldige beleidsregels zijn, waarbij de goedkeurders verschillende mensen zijn, worden alle goedkeurders toegevoegd. Wanneer u meerdere beleidsregels hebt, is het belangrijk dat u dit proces begrijpt. Zie Beleidsdoelstellingen en afdwingingsvoorbeelden voor goedkeuring voor meer informatie.

  1. Goedkeuringsbeleidsregels worden gedefinieerd.
  2. Een gebruiker vraagt een catalogusitem of actie voor dag 2 aan. Op het moment van de aanvraag evalueert Service Broker het catalogusitem om te zien of er beleidsregels van toepassing zijn.
  3. Er wordt een goedkeuringsbeleid afgedwongen.
    1. De implementatiekaart geeft de status weer. Bijvoorbeeld: Maken - Goedkeuring in behandeling.
    2. Er wordt een e-mailmelding naar de aanvrager verzonden. Zie Hoe kan ik mijn aanvragen die goedkeuring vereisen volgen in Service Broker?.
    3. Er wordt een e-mailmelding naar de goedkeurders verzonden. Zie Hoe reageer ik op een goedkeuringsaanvraag in Service Broker?.

      De implementatie begint niet met het implementeren en gebruiken van infrastructuurresources of met het aanbrengen van wijzigingen in een geïmplementeerd systeem totdat de aanvraag is goedgekeurd. De aanvragende gebruiker wordt per e-mail op de hoogte gesteld dat de aanvraag op goedkeuring wacht.

    4. De goedkeurders reageren op de aanvraag via de pagina Goedkeuringen in Service Broker.
  4. Het goedkeuringsproces is voltooid.
    1. Als de aanvraag wordt geweigerd, wordt de aanvragende gebruiker op de hoogte gesteld en wordt de implementatieaanvraag geannuleerd.
    2. Als de aanvraag wordt goedgekeurd, wordt de implementatie voortgezet.
    3. Het is mogelijk dat het afgedwongen beleid is geconfigureerd voor het automatisch goedkeuren of weigeren van een aanvraag als er geen actie wordt ondernomen door de goedkeurder.

Hoe kan ik de implementatiecriteria gebruiken?

Om te beperken op welke items of activiteiten het beleid van toepassing is, kunt u de implementatiecriteria definiëren. Zie Hoe configureer ik implementatiecriteria in Service Broker-beleidsregels voor meer informatie over de criteria.

Beperkingen van goedkeuringsbeleid

  • De actie Lease wijzigen is niet beschikbaar voor opname in een goedkeuringsbeleid.
  • Het gebruik van aangepaste resources als resourcetype in de beleidscriteria wordt niet ondersteund.

Wanneer u het scenario voor goedkeuringsbeleidsregels controleert en uw eigen beleid maakt, raadpleegt u de wegwijzerhulp bij de voornaamste tekstvakken voor meer informatie.

Voorwaarden

  • Een goedkeurder, die mogelijk geen gewone Service Broker- of Cloud Assembly-gebruiker is, moet een van de volgende combinaties van rollen hebben:
    • Organisatielid en Service Broker-gebruiker
    • Organisatielid en de custom rol Goedkeuringen beheren

    Deze rollen bieden het minimumniveau aan rechten en staan toe dat zij nog steeds een aanvraag goedkeuren of weigeren.

  • Controleer of de server voor e-mailmeldingen is gedefinieerd. Zie Een e-mailserver in Service Broker toevoegen om meldingen te verzenden.
  • Als u de Active Directory-manager als op rollen gebaseerd goedkeuringstype wilt gebruiken, moet u de Workspace ONE Access-integratie (voorheen VMware Identity Manager) gebruiken die is geconfigureerd voor vRealize Automation. U moet ook de Active Directory-managerkenmerken opnemen in de gebruikerskenmerken. Zie Active Directory-kenmerken voor de goedkeurderrol van AD Manager configureren.

Procedure

  1. Selecteer Inhoud en beleidsregels > Beleidsregels > Definities > Nieuw beleid > Goedkeuringsbeleid.
  2. Configureer goedkeuringsbeleid 1.
    Als beheerder hebt u een belangrijk catalogusitem dat ook een aanzienlijke hoeveelheid van uw cloudresources verbruikt. U wilt dat meerdere IT-beheerders aanvragen voor de implementatie controleren om ervoor te zorgen dat de aanvraag werkelijk nodig is en dat de resources beschikbaar zijn om deze te ondersteunen.
    1. Definieer wanneer het beleid geldig is.
      Instelling Voorbeeldwaarde
      Scope Organisatie

      Dit beleid wordt toegepast op alle projecten in uw organisatie.

      Criteria 
      Catalog Item equals CompanyApplication
    2. Definieer het goedkeuringsgedrag.
      Instelling Voorbeeldwaarde
      Goedkeuringsniveau 1

      U kunt een hiërarchie van niveaus maken op basis van de volgorde waarin u ze wilt verwerken.

      Goedkeuringstype Selecteer Op basis van gebruiker.

      U selecteert de gebruikers en gebruikersgroepen die de aanvraaggoedkeurders zijn.
      Goedkeurdersmodus Alle

      U wilt dat al uw IT-managers ermee akkoord gaan dat de implementatieaanvraag geen resources verspilt.
      Goedkeurders {GroupName1}@YourCompany, {ApproverName1}@YourCompany, {ApproverName2}@YourCompany

      De goedkeuringsaanvraag wordt naar alle leden van de gebruikersgroep verzonden. De aanvraag moet slechts door één lid van de groep worden goedgekeurd.
      Beslissing automatisch verval Weigeren

      De mogelijke belasting van uw cloudresources betekent dat u het item niet per ongeluk wilt implementeren zonder goedkeuring.
      Trigger automatisch verval 3

      Deze waarde moet u over een lang weekend tillen wanneer de managers mogelijk niet beschikbaar zijn.
      Acties Deployment.Create
    Als een catalogusgebruiker, in dit scenario, dit catalogusitem aanvraagt, moeten goedkeurder 1, goedkeurder 2 en een ander lid van gebruikersgroep 1 de aanvraag binnen 3 dagen goedkeuren, of de aanvraag wordt geweigerd.
  3. Configureer goedkeuringsbeleid 2.
    Als beheerder heeft u meerdere projecten waarvoor u wilt dat de projectbeheerder wijzigingen in de implementaties goedkeuren die mogelijk ernstige gevolgen hebben. Bijvoorbeeld: het verwijderen van de implementatie.
    1. Definieer wanneer het goedkeuringsbeleid geldig is.
      Instelling Voorbeeldwaarde
      Scope
      Meerdere projecten 
      Project name contains Prod

      Het beleid wordt toegepast op implementaties die zijn gekoppeld aan alle projecten die voldoen aan de criteria voor het bereik.
      Criteria Geen
    2. Definieer het goedkeuringsgedrag.
      Instelling Voorbeeldwaarde
      Goedkeuringsniveau 1
      Goedkeuringstype Selecteer Op basis van rol.
      Goedkeurdersrol Projectbeheerders

      Als een project geen speciale beheerder heeft, wordt het goedkeuringsbeleid niet op aanvragen voor dat project toegepast.

      Goedkeurdersmodus Willekeurig
      Beslissing automatisch verval Weigeren
      Trigger automatisch verval 7
      Acties Deployment.Delete, Deployment.PowerOff, Deployment.Update, en een van de onderdeelspecifieke acties Inschakelen, Opnieuw starten en Verwijderen.
    Wanneer in dit scenario een lid van een van de projecten in de reeks een aanvraag indient om de vermelde acties uit te voeren op een implementatie, wordt de aanvraag na zeven dagen afgewezen als de projectbeheerder niet reageert.
  4. Goedkeuringsbeleid 3 configureren.
    Als beheerder wilt u een beetje controle over het verbruik van resources houden. Wanneer een gebruiker bijvoorbeeld een catalogusitem aanvraagt waarvan het formaat groot is, wilt u de aanvraag evalueren en goedkeuren. Grootte wordt gedefinieerd door de soorttoewijzingen.
    1. Definieer wanneer het goedkeuringsbeleid geldig is.
      Instelling Voorbeeldwaarde
      Scope Organisatie
      Criteria 
      Resources has any 
     Flavor equals large
    2. Definieer het goedkeuringsgedrag.
      Instelling Voorbeeldwaarde
      Goedkeuringsniveau 1
      Goedkeuringstype Selecteer Op basis van gebruiker.
      Goedkeurdersmodus Willekeurig
      Goedkeurders {AdminName}@YourCompany
      Beslissing automatisch verval Weigeren

      Het mogelijke verbruik van uw cloudresources betekent dat u het item niet per ongeluk wilt implementeren zonder goedkeuring.
      Trigger automatisch verval 5
      Acties Deployment.Create en alle toepasselijke *.Machine.Resize-acties. Bijvoorbeeld: Cloud.vSphere.Machine.Resize.
      Wanneer een gebruiker in dit scenario een aanvraag indient voor een grote implementatie of als u de grootte van een implementatie naar groot wilt wijzigen, wordt de aanvraag na 5 dagen geweigerd als de cloudbeheerder niet reageert.

Volgende stappen