Прежде чем начать работу в VMware Aria Automation в качестве администратора облачных систем, необходимо собрать информацию об общедоступных и частных облачных учетных записях. Используйте этот контрольный список для настройки перед началом работы со службами.
Необходимые общие учетные данные
Задача | Действия |
---|---|
Зарегистрироваться и войти в Automation Assembler |
Идентификатор VMware.
|
Подключитесь к службам VMware Aria Automation |
Порт HTTPS 443, открытый для исходящего трафика, с доступом через брандмауэр к следующим узлам:
Дополнительные сведения о портах и протоколах см. в разделе VMware Ports and Protocols. Дополнительные сведения о портах и протоколах см. в разделе Требования к портам в справке по эталонной архитектуре. |
Учетные данные облачной учетной записи vCenter
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи vCenter.
- vCenter IP-адрес или полное доменное имя (FQDN)
Здесь перечислены разрешения, необходимые для облачных учетных записей VMware Cloud on AWS и vCenter. Разрешения должны быть активированы для всех кластеров vCenter, а не только для кластеров, в которых размещены конечные точки.
Для обеспечения управления виртуальным доверенным платформенным модулем VMware (vTPM) при развертывании виртуальных машин Windows 11 необходимо иметь привилегию криптографические операции -> прямой доступ в vCenter. Если эта привилегия отсутствует, доступ из консоли VMware Aria Automation к виртуальным машинам Windows 11 будет невозможен. Дополнительные сведения см. в разделе Обзор виртуального доверенного платформенного модуля.
Для всех облачных учетных записей на основе vCenter, в том числе NSX-V, NSX-T, vCenter и VMware Cloud on AWS, администратору требуются учетные данные конечной точки vSphere или учетные данные, которые служба агента использует в vCenter, что обеспечивает доступ к узлу vCenter с правами администратора.
Настройка | Выбор |
---|---|
Библиотека содержимого Чтобы назначить разрешение библиотеке содержимого, администратор должен предоставить пользователю глобальное разрешение. Дополнительные сведения см. в разделе Иерархическое наследование разрешений для библиотек содержимого в документе Администрирование виртуальных машин vSphere в документации по VMware vSphere. |
|
Хранилище данных |
|
Кластер центра обработки данных |
|
Папка |
|
Глобальная среда |
|
Сеть |
|
Разрешения |
|
Хранилище на основе профилей |
|
Ресурс |
|
vApp |
|
Виртуальная машина |
Изменить конфигурацию
Изменение иерархии
Взаимодействие
Подготовка
Управление моментальными снимками
|
Расстановка тегов vSphere |
|
Учетные данные облачной учетной записи Amazon Web Services (AWS)
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи Amazon Web Services. Дополнительные требования по добавлению учетных данных см. в разделе Учетные данные облачной учетной записи vCenter.
Укажите учетную запись привилегированного пользователя с правами чтения и записи. Учетная запись пользователя должна быть членом политики привилегированного доступа (PowerUserAccess) в системе «Управление учетными данными и доступом» (IAM) в AWS.
Активируйте доступ на основе 20-значного ключа доступа и соответствующего секретного ключа доступа.
Если используется внешний прокси-сервер HTTP, его необходимо настроить на IPv4.
Настройка | Выбор |
---|---|
Действия по автоматическому масштабированию | Чтобы разрешить функции автоматического масштабирования, рекомендуются следующие разрешения AWS.
|
Автоматическое масштабирование ресурсов | Для осуществления автоматического масштабирования ресурсов требуются следующие разрешения:
|
Ресурсы службы маркеров безопасности AWS (AWS STS) | Чтобы функции службы маркеров безопасности AWS (AWS STS) могли поддерживать временные учетные данные с ограниченными правами для идентификации и доступа AWS, требуются следующие разрешения.
|
Действия EC2 | Чтобы разрешить функции EC2, требуются следующие разрешения AWS.
|
Ресурсы EC2 |
|
Эластичная балансировка нагрузки: действия подсистемы балансировки нагрузки |
|
Эластичная балансировка нагрузки: ресурсы подсистемы балансировки нагрузки |
|
Управление учетными данными и доступом (IAM) в AWS |
Можно включить следующие разрешения на управление идентификацией и доступом (IAM) в AWS, хотя они не являются обязательными.
|
Учетные данные облачной учетной записи Microsoft Azure
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи Microsoft Azure.
Настройте экземпляр Microsoft Azure и получите действующую подписку Microsoft Azure, позволяющую использовать идентификатор подписки.
Создайте приложение Active Directory, как описано в разделе Использование портала для создания приложения Azure AD и субъекта службы, которые могут получать доступ к ресурсам в документации по продукту Microsoft Azure.
Если используется внешний прокси-сервер HTTP, его необходимо настроить на IPv4.
- Общие настройки
Требуется настроить следующие общие параметры.
Настройка Описание Идентификатор подписки Обеспечивает доступ к подпискам Microsoft Azure Идентификатор арендатора Конечная точка авторизации для приложений Active Directory, создаваемых вами в учетной записи Microsoft Azure. Идентификатор клиентского приложения Предоставляет доступ к Microsoft Active Directory в вашей индивидуальной учетной записи Microsoft Azure. Секретный ключ клиентского приложения Этот уникальный секретный ключ генерируется для привязки к идентификатору клиентского приложения - Параметры создания и проверки облачных учетных записей
Для создания и проверки облачных учетных записей Microsoft Azure требуются следующие разрешения.
Настройка Выбор Microsoft Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Microsoft Network - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Microsoft Resources - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft Storage - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Microsoft.Storage/storageAccounts/listKeys/action, как правило, не требуется. Но оно может быть нужно пользователям для просмотра учетных записей хранилища.
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- Параметры расширяемости на основе действий
Если вы используете Microsoft Azure со средствами расширяемости на основе действий, требуются указанные далее разрешения помимо минимальных.
Настройка Выбор Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Microsoft Authorization - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Microsoft Insights - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
- Параметры расширяемости на основе действий с расширениями
Если вы используете Microsoft Azure со средствами расширяемости на основе действий с расширениями, также требуются указанные далее разрешения.
Настройка Выбор Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
Дополнительные сведения о создании облачной учетной записи Microsoft Azure см. в разделе Настройка Microsoft Azure.
Учетные данные облачной учетной записи Google Cloud Platform (GCP)
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи Google Cloud Platform.
Облачная учетная запись Google Cloud Platform взаимодействует с вычислительным модулем Google Cloud Platform.
Для создания и проверки облачных учетных записей Google Cloud Platform требуются учетные данные администратора и владельца проекта.
Если используется внешний прокси-сервер HTTP, его необходимо настроить на IPv4.
Необходимо включить службу вычислительного модуля. При создании облачной учетной записи в VMware Aria Automation используйте учетную запись службы, которая была создана при инициализации вычислительного модуля.
Настройка | Выбор |
---|---|
roles/compute.admin |
Обеспечивает полный контроль над всеми ресурсами вычислительного модуля. |
roles/iam.serviceAccountUse |
Предоставляет доступ пользователям, которые управляют экземплярами виртуальных машин, настроенными для запуска в качестве учетной записи службы. Предоставьте доступ к следующим ресурсам и службам:
|
roles/compute.imageUser |
Предоставляет разрешение на перечисление и чтение изображений без других разрешений на образ. Роль compute.imageUser на уровне проекта позволяет пользователям перечислять все изображения в проекте. Она также позволяет пользователям создавать ресурсы, например, экземпляры и диски с сохранением состояния, на основе образов в проекте.
|
roles/compute.instanceAdmin |
Предоставляет разрешения на создание, изменение и удаление экземпляров виртуальных машин. К ним относятся разрешения на создание, изменение и удаление дисков, а также на настройку параметров экранированного VMBETA. Для пользователей, которые управляют экземплярами виртуальных машин (но не параметрами сети или безопасности или экземплярами, которые выполняются как учетные записи служб), предоставьте эту роль организации, папке или проекту, содержащему экземпляры, или отдельным экземплярам. Пользователям, которые управляют экземплярами виртуальных машин, настроенными для работы в качестве учетной записи службы, также требуется роль roles/iam.serviceAccountUser.
|
roles/compute.instanceAdmin.v1 |
Обеспечивает полный контроль над экземплярами вычислительного модуля, группами экземпляров, дисками, моментальными снимками и образами. Также предоставляет доступ на чтение всем сетевым ресурсам вычислительного модуля.
Примечание: Если пользователю назначить эту роль на уровне экземпляра, данный пользователь не сможет создавать новые экземпляры.
|
Учетные данные облачной учетной записи NSX-T
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи NSX-T.
В NSX-T Data Center 3.1 поддерживаются настраиваемые роли.
- NSX-T IP-адрес или полное доменное имя (FQDN)
- ЦОД NSX-T — роль администратора предприятия и учетные данные для доступа
Требуется роль аудитора.
Категория/подкатегория | Разрешение |
---|---|
Сетевые подключения — шлюзы уровня 0 | Только для чтения |
Сетевые подключения — шлюзы уровня 0 — > OSPF | Нет |
Сетевые подключения — шлюзы уровня 1 | Полный доступ |
Сетевые подключения — сегменты | Полный доступ |
Сетевые подключения — VPN | Нет |
Сетевые подключения — NAT | Полный доступ |
Сетевые подключения — балансировка нагрузки | Полный доступ |
Сетевые подключения — политика пересылки | Нет |
Сетевые подключения — статистика | Нет |
Сетевые подключения — DNS | Нет |
Сетевые подключения — DHCP | Полный доступ |
Сетевые подключения — пулы IP-адресов | Нет |
Сетевые подключения — профили | Только для чтения |
Безопасность — обнаружение угроз и реагирование | Нет |
Безопасность — распределенный брандмауэр | Полный доступ |
Безопасность — IDS/IPS и защита от вредоносных программ | Нет |
Безопасность — проверка TLS | Нет |
Безопасность — брандмауэр удостоверений | Нет |
Безопасность — брандмауэр шлюза | Нет |
Безопасность — управление цепочками служб | Нет |
Безопасность — временное окно брандмауэра | Нет |
Безопасность — профили | Нет |
Безопасность — профили служб | Нет |
Безопасность — настройки брандмауэра | Полный доступ |
Безопасность — настройки безопасности шлюза | Нет |
Иерархия | Полный доступ |
Устранение неполадок | Нет |
Система | Нет |
Администраторам также требуется доступ к vCenter, как описано в разделе Учетные данные облачной учетной записи vCenter этой темы.
Учетные данные облачной учетной записи NSX-V
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи NSX-V.
- NSX-V Роль администратора предприятия и учетные данные для доступа
- NSX-V IP-адрес или полное доменное имя (FQDN)
Администраторам также требуется доступ к vCenter, как описано в разделе Добавление облачной учетной записи vCenter в этой таблице.
Учетные данные облачной учетной записи VMware Cloud on AWS (VMC on AWS)
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи VMware Cloud on AWS (VMC on AWS).
- Учетная запись [email protected] или любая учетная запись пользователя в группе CloudAdmin
- NSX Роль администратора предприятия и учетные данные для доступа
- NSX Доступ с правами администратора облачных служб к среде программно-определяемого ЦОД VMware Cloud on AWS вашей организации
- Доступ с правами администратора к среде программно-определяемого ЦОД VMware Cloud on AWS вашей организации
- VMware Cloud on AWS Маркер API-интерфейса для среды VMware Cloud on AWS в службе VMware Cloud on AWS вашей организации
- vCenter IP-адрес или полное доменное имя (FQDN)
Администраторам также требуется доступ к vCenter, как описано в разделе Добавление облачной учетной записи vCenter в этой таблице.
Разрешения, необходимые для создания и использования облачных учетных записей VMware Cloud on AWS, подробно описаны в разделе Управление центром обработки данных VMware Cloud on AWS в документации по продукту VMware Cloud on AWS.
Учетные данные облачной учетной записи VMware Cloud Director (vCD)
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи VMware Cloud Director (vCD).
Настройка | Выбор |
---|---|
Доступ ко всем виртуальным центрам обработки данных организации | Все |
Каталог |
|
Общие |
|
Запись о файле метаданных | Создание/изменение |
Сеть организации |
|
Виртуальный ЦОД организации — шлюз |
|
Виртуальный ЦОД организации |
|
Организация |
|
Возможности политики квот | Представление |
Шаблон виртуального ЦОД |
|
Шаблон/носитель vApp |
|
Шаблон vApp |
|
vApp |
|
Группа виртуальных ЦОД |
|
Учетные данные интеграции VMware Aria Operations
В этом разделе описываются учетные данные, необходимые для интеграции с VMware Aria Operations. Обратите внимание, что эти учетные данные устанавливаются и настраиваются в VMware Aria Operations, а не в VMware Aria Automation.
Предоставьте следующие права чтения для локальной или внешней учетной записи в VMware Aria Operations.
- Экземпляр адаптера — адаптер vCenter > Экземпляр адаптера VC для vCenter-FQDN
Возможно, необходимо импортировать внешнюю учетную запись перед назначением роли «только для чтения».
Интеграция NSX с Microsoft Azure VMware Solution (AVS) для VMware Aria Automation
Дополнительные сведения о подключении среды NSX, запущенной в Microsoft Azure VMware Solution (AVS), к VMware Aria Automation, включая конфигурацию настраиваемых ролей, см. в разделе Разрешения для пользователей Cloudadmin в NSX-T Data Center в документации по продуктам Microsoft.
Необходимые условия для Automation Service Broker
Задача | Действия |
---|---|
Добавление источника содержимого шаблонов Automation Assembler. | Шаблоны Automation Assembler можно импортировать из связанного экземпляра.
|
Добавление источника шаблона Amazon CloudFormation. | Можно импортировать шаблоны Amazon CloudFormation, хранящиеся в корзинах Amazon S3.
|
Добавление облачной учетной записи Amazon Web Services в качестве целевого региона при развертывании шаблона. | Укажите учетную запись привилегированного пользователя с правами чтения и записи.
|
Необходимые условия для Automation Pipelines
Задача | Действия |
---|---|
Создание конечной точки, чтобы гарантировать доступность рабочих экземпляров для разработчиков. |
Например, разработчикам может потребоваться подключение задач конвейера к источнику данных, репозиторию или системе уведомлений. Эти компоненты предоставляют данные для выполнения конвейеров.
Кроме того, можно интегрировать
Automation Pipelines с другими компонентами
VMware Aria Automation.
|
Используйте Automation Pipelines для создания и запуска конвейеров, а также для мониторинга работы конвейеров с помощью панелей управления. |
Назначьте разработчикам роль User . После завершения процессов конвейера вам необходима следующая информация.
|
Используйте смарт-шаблоны конвейера. | Чтобы сэкономить время при создании конвейера, который выполняет сборку, тестирование и развертывание приложения с помощью встроенных инструментов, используйте смарт-шаблоны конвейера. Каждый смарт-шаблон конвейера содержит несколько вопросов, ответы на которые служат основой для построения конвейера:
После того как на основе смарт-шаблона конвейера будет создан конвейер, можно внести в него дополнительные изменения в соответствии с вашими требованиями. Дополнительные сведения о планировании собственной сборки и использовании смарт-шаблонов конвейеров см. в разделе Планирование собственной сборки непрерывной интеграции в Automation Pipelines перед использованием смарт-шаблона конвейера. |