Прежде чем начать работу в Cloud Assembly в качестве администратора облачных систем, необходимо собрать информацию об общедоступных и частных облачных учетных записях. Используйте этот контрольный список, чтобы начать добавление облачных ресурсов.
Необходимые общие учетные данные
Задача | Действия |
---|---|
Зарегистрироваться и войти в Cloud Assembly |
Идентификатор VMware.
|
Подключитесь к службам vRealize Automation |
Порт HTTPS 443, открытый для исходящего трафика, с доступом через брандмауэр к следующим узлам:
Дополнительные сведения о портах и протоколах см. в разделе VMware Ports and Protocols. Дополнительные сведения о портах и протоколах см. в разделе Требования к портам в справке по эталонной архитектуре. |
Учетные данные облачной учетной записи vCenter
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи vCenter.
- vCenter IP-адрес или полное доменное имя (FQDN)
Здесь перечислены разрешения, необходимые для облачных учетных записей VMware Cloud on AWS и vCenter. Разрешения должны быть активированы для всех кластеров vCenter, а не только для кластеров, в которых размещены конечные точки.
Для обеспечения управления виртуальным доверенным платформенным модулем VMware (vTPM) при развертывании виртуальных машин Windows 11 необходимо иметь привилегию криптографические операции -> прямой доступ в vCenter. Если эта привилегия отсутствует, доступ из консоли vRealize Automation к виртуальным машинам Windows 11 будет невозможен. Дополнительные сведения см. в разделе Обзор виртуального доверенного платформенного модуля.
Для всех облачных учетных записей на основе vCenter, в том числе NSX-V, NSX-T, vCenter и VMware Cloud on AWS, администратору требуются учетные данные конечной точки vSphere или учетные данные, которые служба агента использует в vCenter, что обеспечивает доступ к узлу vCenter с правами администратора.
Настройка | Выбор |
---|---|
Хранилище данных |
|
Кластер хранилища данных |
|
Папка |
|
Глобальная среда |
|
Сеть |
|
Разрешения |
|
Ресурс |
|
Хранилище на основе профилей |
|
Библиотека содержимого Чтобы назначить разрешение библиотеке содержимого, администратор должен предоставить пользователю глобальное разрешение. Дополнительные сведения см. в разделе Иерархическое наследование разрешений для библиотек содержимого в документе Администрирование виртуальных машин vSphere в документации по VMware vSphere. |
|
Расстановка тегов vSphere |
|
vApp |
|
Виртуальная машина — иерархия |
|
Виртуальная машина — взаимодействие |
|
Виртуальная машина — конфигурация |
|
Виртуальная машина — предоставление |
|
Виртуальная машина — состояние |
|
Учетные данные облачной учетной записи Amazon Web Services (AWS)
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи Amazon Web Services. Дополнительные требования по добавлению учетных данных см. в разделе Учетные данные облачной учетной записи vCenter.
Укажите учетную запись привилегированного пользователя с правами чтения и записи. Учетная запись пользователя должна быть членом политики привилегированного доступа (PowerUserAccess) в системе «Управление учетными данными и доступом» (IAM) в AWS.
Активируйте доступ на основе 20-значного ключа доступа и соответствующего секретного ключа доступа.
Если используется внешний прокси-сервер HTTP, его необходимо настроить на IPv4.
Настройка | Выбор |
---|---|
Действия по автоматическому масштабированию | Чтобы разрешить функции автоматического масштабирования, рекомендуются следующие разрешения AWS.
|
Автоматическое масштабирование ресурсов | Для осуществления автоматического масштабирования ресурсов требуются следующие разрешения:
|
Ресурсы службы маркеров безопасности AWS (AWS STS) | Чтобы функции службы маркеров безопасности AWS (AWS STS) могли поддерживать временные учетные данные с ограниченными правами для идентификации и доступа AWS, требуются следующие разрешения.
|
Действия EC2 | Чтобы разрешить функции EC2, требуются следующие разрешения AWS.
|
Ресурсы EC2 |
|
Эластичная балансировка нагрузки: действия подсистемы балансировки нагрузки |
|
Эластичная балансировка нагрузки: ресурсы подсистемы балансировки нагрузки |
|
Управление учетными данными и доступом (IAM) в AWS |
Можно включить следующие разрешения на управление идентификацией и доступом (IAM) в AWS, хотя они не являются обязательными.
|
Учетные данные облачной учетной записи Microsoft Azure
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи Microsoft Azure.
Настройте экземпляр Microsoft Azure и получите действующую подписку Microsoft Azure, позволяющую использовать идентификатор подписки.
Создайте приложение Active Directory, как описано в разделе Использование портала для создания приложения Azure AD и субъекта службы, которые могут получать доступ к ресурсам в документации по продукту Microsoft Azure.
Если используется внешний прокси-сервер HTTP, его необходимо настроить на IPv4.
- Общие настройки
Требуется настроить следующие общие параметры.
Настройка Описание Идентификатор подписки Обеспечивает доступ к подпискам Microsoft Azure Идентификатор арендатора Конечная точка авторизации для приложений Active Directory, создаваемых вами в учетной записи Microsoft Azure. Идентификатор клиентского приложения Предоставляет доступ к Microsoft Active Directory в вашей индивидуальной учетной записи Microsoft Azure. Секретный ключ клиентского приложения Этот уникальный секретный ключ генерируется для привязки к идентификатору клиентского приложения - Параметры создания и проверки облачных учетных записей
Для создания и проверки облачных учетных записей Microsoft Azure требуются следующие разрешения.
Настройка Выбор Microsoft Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Microsoft Network - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Microsoft Resources - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft Storage - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Microsoft.Storage/storageAccounts/listKeys/action, как правило, не требуется. Но оно может быть нужно пользователям для просмотра учетных записей хранилища.
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- Параметры расширяемости на основе действий
Если вы используете Microsoft Azure со средствами расширяемости на основе действий, требуются указанные далее разрешения помимо минимальных.
Настройка Выбор Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Microsoft Authorization - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Microsoft Insights - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
Если свойство
Storage account public access should be disallowed
назначено группе ресурсов с типом эффектаDeny
, автоматическое создание учетных записей хранения для действий по расширению запрещено. В этом сценарии действия по расширению выполнить невозможно, если для поставщика FaaS задано значение Автоматический выбор. Необходимо вручную задать для поставщика FaaS значение Microsoft Azure и настроить учетную запись хранения и группу ресурсов. - Параметры расширяемости на основе действий с расширениями
Если вы используете Microsoft Azure со средствами расширяемости на основе действий с расширениями, также требуются указанные далее разрешения.
Настройка Выбор Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
Дополнительные сведения о создании облачной учетной записи Microsoft Azure см. в разделе Настройка Microsoft Azure.
Учетные данные облачной учетной записи Google Cloud Platform (GCP)
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи Google Cloud Platform.
Облачная учетная запись Google Cloud Platform взаимодействует с вычислительным модулем Google Cloud Platform.
Для создания и проверки облачных учетных записей Google Cloud Platform требуются учетные данные администратора и владельца проекта.
Если используется внешний прокси-сервер HTTP, его необходимо настроить на IPv4.
Необходимо включить службу вычислительного модуля. При создании облачной учетной записи в vRealize Automation используйте учетную запись службы, которая была создана при инициализации вычислительного модуля.
Настройка | Выбор |
---|---|
roles/compute.admin |
Обеспечивает полный контроль над всеми ресурсами вычислительного модуля. |
roles/iam.serviceAccountUse |
Предоставляет доступ пользователям, которые управляют экземплярами виртуальных машин, настроенными для запуска в качестве учетной записи службы. Предоставьте доступ к следующим ресурсам и службам:
|
roles/compute.imageUser |
Предоставляет разрешение на перечисление и чтение изображений без других разрешений на образ. Роль compute.imageUser на уровне проекта позволяет пользователям перечислять все изображения в проекте. Она также позволяет пользователям создавать ресурсы, например, экземпляры и диски с сохранением состояния, на основе образов в проекте.
|
roles/compute.instanceAdmin |
Предоставляет разрешения на создание, изменение и удаление экземпляров виртуальных машин. К ним относятся разрешения на создание, изменение и удаление дисков, а также на настройку параметров экранированного VMBETA. Для пользователей, которые управляют экземплярами виртуальных машин (но не параметрами сети или безопасности или экземплярами, которые выполняются как учетные записи служб), предоставьте эту роль организации, папке или проекту, содержащему экземпляры, или отдельным экземплярам. Пользователям, которые управляют экземплярами виртуальных машин, настроенными для работы в качестве учетной записи службы, также требуется роль roles/iam.serviceAccountUser.
|
roles/compute.instanceAdmin.v1 |
Обеспечивает полный контроль над экземплярами вычислительного модуля, группами экземпляров, дисками, моментальными снимками и образами. Также предоставляет доступ на чтение всем сетевым ресурсам вычислительного модуля.
Примечание: Если пользователю назначить эту роль на уровне экземпляра, данный пользователь не сможет создавать новые экземпляры.
|
Учетные данные облачной учетной записи NSX-T
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи NSX-T.
- NSX-T IP-адрес или полное доменное имя (FQDN)
- ЦОД NSX-T — роль администратора предприятия и учетные данные для доступа
Требуется роль аудитора.
Категория/подкатегория | Разрешение |
---|---|
Сетевые подключения — шлюзы уровня 0 | Только для чтения |
Сетевые подключения — шлюзы уровня 0 — > OSPF | Нет |
Сетевые подключения — шлюзы уровня 1 | Полный доступ |
Сетевые подключения — сегменты | Полный доступ |
Сетевые подключения — VPN | Нет |
Сетевые подключения — NAT | Полный доступ |
Сетевые подключения — балансировка нагрузки | Полный доступ |
Сетевые подключения — политика пересылки | Нет |
Сетевые подключения — статистика | Нет |
Сетевые подключения — DNS | Нет |
Сетевые подключения — DHCP | Полный доступ |
Сетевые подключения — пулы IP-адресов | Нет |
Сетевые подключения — профили | Только для чтения |
Безопасность — обнаружение угроз и реагирование | Нет |
Безопасность — распределенный брандмауэр | Полный доступ |
Безопасность — IDS/IPS и защита от вредоносных программ | Нет |
Безопасность — проверка TLS | Нет |
Безопасность — брандмауэр удостоверений | Нет |
Безопасность — брандмауэр шлюза | Нет |
Безопасность — управление цепочками служб | Нет |
Безопасность — временное окно брандмауэра | Нет |
Безопасность — профили | Нет |
Безопасность — профили служб | Нет |
Безопасность — настройки брандмауэра | Полный доступ |
Безопасность — настройки безопасности шлюза | Нет |
Иерархия | Полный доступ |
Устранение неполадок | Нет |
Система | Нет |
Администраторам также требуется доступ к vCenter, как описано в разделе Учетные данные облачной учетной записи vCenter этой темы.
Учетные данные облачной учетной записи NSX-V
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи NSX-V.
- NSX-V Роль администратора предприятия и учетные данные для доступа
- NSX-V IP-адрес или полное доменное имя (FQDN)
Администраторам также требуется доступ к vCenter, как описано в разделе Добавление облачной учетной записи vCenter в этой таблице.
Учетные данные облачной учетной записи VMware Cloud Director (vCD)
В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи VMware Cloud Director (vCD).
Настройка | Выбор |
---|---|
Доступ ко всем виртуальным центрам обработки данных организации | Все |
Каталог |
|
Общие |
|
Запись о файле метаданных | Создание/изменение |
Сеть организации |
|
Виртуальный ЦОД организации — шлюз |
|
Виртуальный ЦОД организации |
|
Организация |
|
Возможности политики квот | Представление |
Шаблон виртуального ЦОД |
|
Шаблон/носитель vApp |
|
Шаблон vApp |
|
vApp |
|
Группа виртуальных ЦОД |
|
Учетные данные интеграции vRealize Operations Manager
В этом разделе описываются учетные данные, необходимые для интеграции с vRealize Operations Manager. Обратите внимание, что эти учетные данные устанавливаются и настраиваются в vRealize Operations Manager, а не в vRealize Automation.
Предоставьте следующие права чтения для локальной или внешней учетной записи в vRealize Operations Manager.
- Экземпляр адаптера — адаптер vCenter > Экземпляр адаптера VC для vCenter-FQDN
Возможно, необходимо импортировать внешнюю учетную запись перед назначением роли «только для чтения».
Интеграция NSX с Microsoft Azure VMware Solution (AVS) для vRealize Automation
Дополнительные сведения о подключении среды NSX, запущенной в Microsoft Azure VMware Solution (AVS), к vRealize Automation, включая конфигурацию настраиваемых ролей, см. в разделе Разрешения для пользователей Cloudadmin в NSX-T Data Center в документации по продуктам Microsoft.