Прежде чем начать работу в Cloud Assembly в качестве администратора облачных систем, необходимо собрать информацию об общедоступных и частных облачных учетных записях. Используйте этот контрольный список, чтобы начать добавление облачных ресурсов.

Необходимые общие учетные данные

Задача Действия

Зарегистрироваться и войти в Cloud Assembly

Идентификатор VMware.

  • Настройте учетную запись My VMware, используя корпоративный адрес электронной почты в VMware Customer Connect.

Подключитесь к службам vRealize Automation

Порт HTTPS 443, открытый для исходящего трафика, с доступом через брандмауэр к следующим узлам:
  • *.vmwareidentity.com
  • gaz.csp-vidm-prod.com
  • *.vmware.com

Дополнительные сведения о портах и протоколах см. в разделе VMware Ports and Protocols.

Дополнительные сведения о портах и протоколах см. в разделе Требования к портам в справке по эталонной архитектуре.

Учетные данные облачной учетной записи vCenter

В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи vCenter.

Для управления экземпляром vCenter Server агенту vSphere требуются соответствующие разрешения. Укажите учетную запись со следующими правами чтения и записи:
  • vCenter IP-адрес или полное доменное имя (FQDN)

Здесь перечислены разрешения, необходимые для облачных учетных записей VMware Cloud on AWS и vCenter. Разрешения должны быть активированы для всех кластеров vCenter, а не только для кластеров, в которых размещены конечные точки.

Для обеспечения управления виртуальным доверенным платформенным модулем VMware (vTPM) при развертывании виртуальных машин Windows 11 необходимо иметь привилегию криптографические операции -> прямой доступ в vCenter. Если эта привилегия отсутствует, доступ из консоли vRealize Automation к виртуальным машинам Windows 11 будет невозможен. Дополнительные сведения см. в разделе Обзор виртуального доверенного платформенного модуля.

Для всех облачных учетных записей на основе vCenter, в том числе NSX-V, NSX-T, vCenter и VMware Cloud on AWS, администратору требуются учетные данные конечной точки vSphere или учетные данные, которые служба агента использует в vCenter, что обеспечивает доступ к узлу vCenter с правами администратора.

Подробнее требования агента vSphere описаны в документации по продукту VMware vSphere.
Настройка Выбор
Хранилище данных
  • Выделение пространства
  • Просмотр хранилища данных
  • Операции с файлами на низком уровне
Кластер хранилища данных
  • Настройка кластера хранилища данных
Папка
  • Создание папок
  • Удаление папок
Глобальная среда
  • Управление настраиваемыми атрибутами
  • Задание настраиваемых атрибутов
Сеть
  • Назначение сети
Разрешения
  • Разрешение на изменение
Ресурс
  • Назначение виртуальной машины пулу ресурсов
  • Перенос выключенной виртуальной машины
  • Перенос включенной виртуальной машины
Хранилище на основе профилей
  • Представление хранилища на основе профилей

    Чтобы получить список политик хранилища, которые можно сопоставить с профилем хранилища, предоставьте разрешение StorageProfile.View всем учетным записям, подключающим vRealize Automation к vCenter.

Библиотека содержимого

Чтобы назначить разрешение библиотеке содержимого, администратор должен предоставить пользователю глобальное разрешение. Дополнительные сведения см. в разделе Иерархическое наследование разрешений для библиотек содержимого в документе Администрирование виртуальных машин vSphere в документации по VMware vSphere.

  • Добавление элемента библиотеки
  • Создание локальной библиотеки
  • Создание библиотеки с подпиской
  • Удаление элемента библиотеки
  • Удаление локальной библиотеки
  • Удаление библиотеки с подпиской
  • Загрузка файлов
  • Исключение элемента библиотеки
  • Изучение информации о подписке
  • Чтение хранилища
  • Синхронизация элемента библиотеки
  • Синхронизация библиотеки с подпиской
  • Механизм интроспекции
  • Обновление параметров конфигурации
  • Обновление файлов
  • Обновление библиотеки
  • Обновление элемента библиотеки
  • Обновление локальной библиотеки
  • Обновление библиотеки с подпиской
  • Просмотр параметров конфигурации
Расстановка тегов vSphere
  • Назначение или отмена назначения тега vSphere
  • Назначение или отмена назначения тега vSphere объекту
  • Создание тега vSphere
  • Создание категории тегов vSphere
  • Удаление тега vSphere
  • Удаление категории тегов vSphere
  • Редактирование тега vSphere
  • Редактирование категории тегов vSphere
  • Изменение поля UsedBy или категории
  • Изменение поля UsedBy для тега
vApp
  • Импортировать
  • Конфигурация приложения vApp

    Для шаблонов OVF и подготовки виртуальных машин из библиотеки содержимого требуется конфигурация приложения vApp.Import.

    При использовании cloud-init для сценариев настройки облачной среды требуется указать конфигурацию приложения vApp.Import. Этот параметр позволяет изменять внутреннюю структуру vApp, например сведения о продукте и свойства.

Виртуальная машина — иерархия
  • Создание на основе существующей
  • Создание новой
  • Перемещение
  • Удаление
Виртуальная машина — взаимодействие
  • Настройка параметров компакт-дисков
  • Взаимодействие с консолью
  • Подключение устройств
  • Выключение
  • Включение
  • Сброс
  • Приостановка
  • Установка инструментов
Виртуальная машина — конфигурация
  • Добавление существующего диска
  • Добавить новый элемент
  • Удаление диска
  • Добавление или удаление устройства
  • Дополнительно
  • Изменение количества ЦП
  • Изменение ресурсов
  • Расширение виртуального диска
  • Отслеживание изменений на диске
  • Память
  • Изменение параметров устройства
  • Переименование
  • Создание примечания
  • Параметры
  • Размещение файлов подкачки
Виртуальная машина — предоставление
  • Индивидуальная настройка
  • Клонирование шаблонов
  • Клонирование виртуальной машины
  • Развертывание шаблонов
  • Чтение спецификаций настройки
Виртуальная машина — состояние
  • Создание моментальных снимков
  • Удаление моментальных снимков
  • Возврат к моментальному снимку

Учетные данные облачной учетной записи Amazon Web Services (AWS)

В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи Amazon Web Services. Дополнительные требования по добавлению учетных данных см. в разделе Учетные данные облачной учетной записи vCenter.

Укажите учетную запись привилегированного пользователя с правами чтения и записи. Учетная запись пользователя должна быть членом политики привилегированного доступа (PowerUserAccess) в системе «Управление учетными данными и доступом» (IAM) в AWS.

Активируйте доступ на основе 20-значного ключа доступа и соответствующего секретного ключа доступа.

Если используется внешний прокси-сервер HTTP, его необходимо настроить на IPv4.

Для расширяемости на основе действий vRealize Automation (ABX) и интеграции внешнего поставщика IPAM могут потребоваться дополнительные разрешения.
Настройка Выбор
Действия по автоматическому масштабированию

Чтобы разрешить функции автоматического масштабирования, рекомендуются следующие разрешения AWS.

  • autoscaling:DescribeAutoScalingInstances
  • autoscaling:AttachInstances
  • autoscaling:DeleteLaunchConfiguration
  • autoscaling:DescribeAutoScalingGroups
  • autoscaling:CreateAutoScalingGroup
  • autoscaling:UpdateAutoScalingGroup
  • autoscaling:DeleteAutoScalingGroup
  • autoscaling:DescribeLoadBalancers
Автоматическое масштабирование ресурсов

Для осуществления автоматического масштабирования ресурсов требуются следующие разрешения:

  • *

    Предоставьте все разрешения на автоматическое масштабирование ресурсов.

Ресурсы службы маркеров безопасности AWS (AWS STS)

Чтобы функции службы маркеров безопасности AWS (AWS STS) могли поддерживать временные учетные данные с ограниченными правами для идентификации и доступа AWS, требуются следующие разрешения.

  • *

    Предоставьте все разрешения для ресурсов STS.

Действия EC2

Чтобы разрешить функции EC2, требуются следующие разрешения AWS.

  • ec2:AttachVolume
  • ec2:AuthorizeSecurityGroupIngress
  • ec2:DeleteSubnet
  • ec2:DeleteSnapshot
  • ec2:DescribeInstances
  • ec2:DeleteTags
  • ec2:DescribeRegions
  • ec2:DescribeVolumesModifications
  • ec2:CreateVpc
  • ec2:DescribeSnapshots
  • ec2:DescribeInternetGateways
  • ec2:DeleteVolume
  • ec2:DescribeNetworkInterfaces
  • ec2:StartInstances
  • ec2:DescribeAvailabilityZones
  • ec2:CreateInternetGateway
  • ec2:CreateSecurityGroup
  • ec2:DescribeVolumes
  • ec2:CreateSnapshot
  • ec2:ModifyInstanceAttribute
  • ec2:DescribeRouteTables
  • ec2:DescribeInstanceTypes
  • ec2:DescribeInstanceTypeOfferings
  • ec2:DescribeInstanceStatus
  • ec2:DetachVolume
  • ec2:RebootInstances
  • ec2:AuthorizeSecurityGroupEgress
  • ec2:ModifyVolume
  • ec2:TerminateInstances
  • ec2:DescribeSpotFleetRequestHistory
  • ec2:DescribeTags
  • ec2:CreateTags
  • ec2:RunInstances
  • ec2:DescribeNatGateways
  • ec2:StopInstances
  • ec2:DescribeSecurityGroups
  • ec2:CreateVolume
  • ec2:DescribeSpotFleetRequests
  • ec2:DescribeImages
  • ec2:DescribeVpcs
  • ec2:DeleteSecurityGroup
  • ec2:DeleteVpc
  • ec2:CreateSubnet
  • ec2:DescribeSubnets
  • ec2:RequestSpotFleet
    Примечание: Для расширяемости на основе действий vRealize Automation (ABX) или интеграции внешнего поставщика IPAM разрешение на запрос SpotFleet не требуется.
Ресурсы EC2
  • *

    Предоставьте все разрешения для ресурсов EC2.

Эластичная балансировка нагрузки: действия подсистемы балансировки нагрузки
  • elasticloadbalancing:DeleteLoadBalancer
  • elasticloadbalancing:DescribeLoadBalancers
  • elasticloadbalancing:RemoveTags
  • elasticloadbalancing:CreateLoadBalancer
  • elasticloadbalancing:DescribeTags
  • elasticloadbalancing:ConfigureHealthCheck
  • elasticloadbalancing:AddTags
  • elasticloadbalancing:CreateTargetGroup
  • elasticloadbalancing:DeleteLoadBalancerListeners
  • elasticloadbalancing:DeregisterInstancesFromLoadBalancer
  • elasticloadbalancing:RegisterInstancesWithLoadBalancer
  • elasticloadbalancing:CreateLoadBalancerListeners
Эластичная балансировка нагрузки: ресурсы подсистемы балансировки нагрузки
  • *

    Предоставьте все разрешения для ресурсов подсистемы балансировки нагрузки.

Управление учетными данными и доступом (IAM) в AWS
Можно включить следующие разрешения на управление идентификацией и доступом (IAM) в AWS, хотя они не являются обязательными.
  • iam:SimulateCustomPolicy
  • iam:GetUser
  • iam:ListUserPolicies
  • iam:GetUserPolicy
  • iam:ListAttachedUserPolicies
  • iam:GetPolicyVersion
  • iam:ListGroupsForUser
  • iam:ListGroupPolicies
  • iam:GetGroupPolicy
  • iam:ListAttachedGroupPolicies
  • iam:ListPolicyVersions

Учетные данные облачной учетной записи Microsoft Azure

В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи Microsoft Azure.

Настройте экземпляр Microsoft Azure и получите действующую подписку Microsoft Azure, позволяющую использовать идентификатор подписки.

Создайте приложение Active Directory, как описано в разделе Использование портала для создания приложения Azure AD и субъекта службы, которые могут получать доступ к ресурсам в документации по продукту Microsoft Azure.

Если используется внешний прокси-сервер HTTP, его необходимо настроить на IPv4.

  • Общие настройки
    Требуется настроить следующие общие параметры.
    Настройка Описание
    Идентификатор подписки Обеспечивает доступ к подпискам Microsoft Azure
    Идентификатор арендатора Конечная точка авторизации для приложений Active Directory, создаваемых вами в учетной записи Microsoft Azure.
    Идентификатор клиентского приложения Предоставляет доступ к Microsoft Active Directory в вашей индивидуальной учетной записи Microsoft Azure.
    Секретный ключ клиентского приложения Этот уникальный секретный ключ генерируется для привязки к идентификатору клиентского приложения
  • Параметры создания и проверки облачных учетных записей
    Для создания и проверки облачных учетных записей Microsoft Azure требуются следующие разрешения.
    Настройка Выбор
    Microsoft Compute
    • Microsoft.Compute/virtualMachines/extensions/write
    • Microsoft.Compute/virtualMachines/extensions/read
    • Microsoft.Compute/virtualMachines/extensions/delete
    • Microsoft.Compute/virtualMachines/deallocate/action
    • Microsoft.Compute/virtualMachines/delete
    • Microsoft.Compute/virtualMachines/powerOff/action
    • Microsoft.Compute/virtualMachines/read
    • Microsoft.Compute/virtualMachines/restart/action
    • Microsoft.Compute/virtualMachines/start/action
    • Microsoft.Compute/virtualMachines/write
    • Microsoft.Compute/availabilitySets/write
    • Microsoft.Compute/availabilitySets/read
    • Microsoft.Compute/availabilitySets/delete
    • Microsoft.Compute/disks/delete
    • Microsoft.Compute/disks/read
    • Microsoft.Compute/disks/write
    Microsoft Network
    • Microsoft.Network/loadBalancers/backendAddressPools/join/action
    • Microsoft.Network/loadBalancers/delete
    • Microsoft.Network/loadBalancers/read
    • Microsoft.Network/loadBalancers/write
    • Microsoft.Network/networkInterfaces/join/action
    • Microsoft.Network/networkInterfaces/read
    • Microsoft.Network/networkInterfaces/write
    • Microsoft.Network/networkInterfaces/delete
    • Microsoft.Network/networkSecurityGroups/join/action
    • Microsoft.Network/networkSecurityGroups/read
    • Microsoft.Network/networkSecurityGroups/write
    • Microsoft.Network/networkSecurityGroups/delete
    • Microsoft.Network/publicIPAddresses/delete
    • Microsoft.Network/publicIPAddresses/join/action
    • Microsoft.Network/publicIPAddresses/read
    • Microsoft.Network/publicIPAddresses/write
    • Microsoft.Network/virtualNetworks/read
    • Microsoft.Network/virtualNetworks/subnets/delete
    • Microsoft.Network/virtualNetworks/subnets/join/action
    • Microsoft.Network/virtualNetworks/subnets/read
    • Microsoft.Network/virtualNetworks/subnets/write
    • Microsoft.Network/virtualNetworks/write
    Microsoft Resources
    • Microsoft.Resources/subscriptions/resourcegroups/delete
    • Microsoft.Resources/subscriptions/resourcegroups/read
    • Microsoft.Resources/subscriptions/resourcegroups/write
    Microsoft Storage
    • Microsoft.Storage/storageAccounts/delete
    • Microsoft.Storage/storageAccounts/read
    • Microsoft.Storage/storageAccounts/write

    • Microsoft.Storage/storageAccounts/listKeys/action, как правило, не требуется. Но оно может быть нужно пользователям для просмотра учетных записей хранилища.

    Microsoft Web
    • Microsoft.Web/sites/read
    • Microsoft.Web/sites/write
    • Microsoft.Web/sites/delete
    • Microsoft.Web/sites/config/read
    • Microsoft.Web/sites/config/write
    • Microsoft.Web/sites/config/list/action
    • Microsoft.Web/sites/publishxml/action
    • Microsoft.Web/serverfarms/write
    • Microsoft.Web/serverfarms/delete
    • Microsoft.Web/sites/hostruntime/functions/keys/read
    • Microsoft.Web/sites/hostruntime/host/read
    • Microsoft.web/sites/functions/masterkey/read
  • Параметры расширяемости на основе действий
    Если вы используете Microsoft Azure со средствами расширяемости на основе действий, требуются указанные далее разрешения помимо минимальных.
    Настройка Выбор
    Microsoft Web
    • Microsoft.Web/sites/read
    • Microsoft.Web/sites/write
    • Microsoft.Web/sites/delete
    • Microsoft.Web/sites/*/action
    • Microsoft.Web/sites/config/read
    • Microsoft.Web/sites/config/write
    • Microsoft.Web/sites/config/list/action
    • Microsoft.Web/sites/publishxml/action
    • Microsoft.Web/serverfarms/write
    • Microsoft.Web/serverfarms/delete
    • Microsoft.Web/sites/hostruntime/functions/keys/read
    • Microsoft.Web/sites/hostruntime/host/read
    • Microsoft.Web/sites/functions/masterkey/read
    • Microsoft.Web/apimanagementaccounts/apis/read
    Microsoft Authorization
    • Microsoft.Authorization/roleAssignments/read
    • Microsoft.Authorization/roleAssignments/write
    • Microsoft.Authorization/roleAssignments/delete
    Microsoft Insights
    • Microsoft.Insights/Components/Read
    • Microsoft.Insights/Components/Write
    • Microsoft.Insights/Components/Query/Read

    Если свойство Storage account public access should be disallowed назначено группе ресурсов с типом эффекта Deny, автоматическое создание учетных записей хранения для действий по расширению запрещено. В этом сценарии действия по расширению выполнить невозможно, если для поставщика FaaS задано значение Автоматический выбор. Необходимо вручную задать для поставщика FaaS значение Microsoft Azure и настроить учетную запись хранения и группу ресурсов.

  • Параметры расширяемости на основе действий с расширениями
    Если вы используете Microsoft Azure со средствами расширяемости на основе действий с расширениями, также требуются указанные далее разрешения.
    Настройка Выбор
    Microsoft.Compute
    • Microsoft.Compute/virtualMachines/extensions/write
    • Microsoft.Compute/virtualMachines/extensions/read
    • Microsoft.Compute/virtualMachines/extensions/delete

Дополнительные сведения о создании облачной учетной записи Microsoft Azure см. в разделе Настройка Microsoft Azure.

Учетные данные облачной учетной записи Google Cloud Platform (GCP)

В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи Google Cloud Platform.

Облачная учетная запись Google Cloud Platform взаимодействует с вычислительным модулем Google Cloud Platform.

Для создания и проверки облачных учетных записей Google Cloud Platform требуются учетные данные администратора и владельца проекта.

Если используется внешний прокси-сервер HTTP, его необходимо настроить на IPv4.

Необходимо включить службу вычислительного модуля. При создании облачной учетной записи в vRealize Automation используйте учетную запись службы, которая была создана при инициализации вычислительного модуля.

Кроме того, требуются следующие разрешения вычислительного модуля, в зависимости от действий, которые может выполнить пользователь.
Настройка Выбор

roles/compute.admin

Обеспечивает полный контроль над всеми ресурсами вычислительного модуля.

roles/iam.serviceAccountUse

Предоставляет доступ пользователям, которые управляют экземплярами виртуальных машин, настроенными для запуска в качестве учетной записи службы. Предоставьте доступ к следующим ресурсам и службам:

  • compute.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

roles/compute.imageUser

Предоставляет разрешение на перечисление и чтение изображений без других разрешений на образ. Роль compute.imageUser на уровне проекта позволяет пользователям перечислять все изображения в проекте. Она также позволяет пользователям создавать ресурсы, например, экземпляры и диски с сохранением состояния, на основе образов в проекте.

  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

roles/compute.instanceAdmin

Предоставляет разрешения на создание, изменение и удаление экземпляров виртуальных машин. К ним относятся разрешения на создание, изменение и удаление дисков, а также на настройку параметров экранированного VMBETA.

Для пользователей, которые управляют экземплярами виртуальных машин (но не параметрами сети или безопасности или экземплярами, которые выполняются как учетные записи служб), предоставьте эту роль организации, папке или проекту, содержащему экземпляры, или отдельным экземплярам.

Пользователям, которые управляют экземплярами виртуальных машин, настроенными для работы в качестве учетной записи службы, также требуется роль roles/iam.serviceAccountUser.

  • compute.acceleratorTypes
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers
  • compute.diskTypes
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.list
  • compute.disks.resize
  • compute.disks.setLabels
  • compute.disks.update
  • compute.disks.use
  • compute.disks.useReadOnly
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • compute.instanceGroupManagers
  • compute.instanceGroups
  • compute.instanceTemplates
  • compute.instances
  • compute.licenses.get
  • compute.licenses.list
  • compute.machineTypes
  • compute.networkEndpointGroups
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions
  • compute.reservations.get
  • compute.reservations.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

roles/compute.instanceAdmin.v1

Обеспечивает полный контроль над экземплярами вычислительного модуля, группами экземпляров, дисками, моментальными снимками и образами. Также предоставляет доступ на чтение всем сетевым ресурсам вычислительного модуля.
Примечание: Если пользователю назначить эту роль на уровне экземпляра, данный пользователь не сможет создавать новые экземпляры.
  • compute.acceleratorTypes
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.diskTypes
  • compute.disks
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images
  • compute.instanceGroupManagers
  • compute.instanceGroups
  • compute.instanceTemplates
  • compute.instances
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes
  • compute.licenses
  • compute.machineTypes
  • compute.networkEndpointGroups
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.snapshots
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Учетные данные облачной учетной записи NSX-T

В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи NSX-T.

Укажите учетную запись со следующими правами чтения и записи.
  • NSX-T IP-адрес или полное доменное имя (FQDN)
  • ЦОД NSX-T — роль администратора предприятия и учетные данные для доступа

Требуется роль аудитора.

Включите следующие минимальные привилегии в зависимости от требований и функций.
Категория/подкатегория Разрешение
Сетевые подключения — шлюзы уровня 0 Только для чтения
Сетевые подключения — шлюзы уровня 0 — > OSPF Нет
Сетевые подключения — шлюзы уровня 1 Полный доступ
Сетевые подключения — сегменты Полный доступ
Сетевые подключения — VPN Нет
Сетевые подключения — NAT Полный доступ
Сетевые подключения — балансировка нагрузки Полный доступ
Сетевые подключения — политика пересылки Нет
Сетевые подключения — статистика Нет
Сетевые подключения — DNS Нет
Сетевые подключения — DHCP Полный доступ
Сетевые подключения — пулы IP-адресов Нет
Сетевые подключения — профили Только для чтения
Безопасность — обнаружение угроз и реагирование Нет
Безопасность — распределенный брандмауэр Полный доступ
Безопасность — IDS/IPS и защита от вредоносных программ Нет
Безопасность — проверка TLS Нет
Безопасность — брандмауэр удостоверений Нет
Безопасность — брандмауэр шлюза Нет
Безопасность — управление цепочками служб Нет
Безопасность — временное окно брандмауэра Нет
Безопасность — профили Нет
Безопасность — профили служб Нет
Безопасность — настройки брандмауэра Полный доступ
Безопасность — настройки безопасности шлюза Нет
Иерархия Полный доступ
Устранение неполадок Нет
Система Нет

Администраторам также требуется доступ к vCenter, как описано в разделе Учетные данные облачной учетной записи vCenter этой темы.

Учетные данные облачной учетной записи NSX-V

В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи NSX-V.

Укажите учетную запись со следующими правами чтения и записи:
  • NSX-V Роль администратора предприятия и учетные данные для доступа
  • NSX-V IP-адрес или полное доменное имя (FQDN)

Администраторам также требуется доступ к vCenter, как описано в разделе Добавление облачной учетной записи vCenter в этой таблице.

Учетные данные облачной учетной записи VMware Cloud Director (vCD)

В этом разделе описываются учетные данные, необходимые для добавления облачной учетной записи VMware Cloud Director (vCD).

Для создания облачной учетной записи VMware Cloud Director в vRealize Automation требуется указать учетные данные пользователя VMware Cloud Director с ролью администратора организации. В частности, для создания и проверки облачных учетных записей VMware Cloud Director в vRealize Automation требуется следующий набор разрешений роли администратора организации, доступных в VMware Cloud Director:
Настройка Выбор
Доступ ко всем виртуальным центрам обработки данных организации Все
Каталог
  • Добавление объекта vApp из My Cloud
  • Просмотр частных и общих каталогов
  • Просмотр опубликованных каталогов
Общие
  • Администратор — управление
  • Администратор — просмотр
Запись о файле метаданных Создание/изменение
Сеть организации
  • Изменение свойств
  • Представление
Виртуальный ЦОД организации — шлюз
  • Представление
  • Изменение свойств
  • Просмотр свойств
Виртуальный ЦОД организации
  • Представление
  • Просмотр ЦП и резервирования памяти
Организация
  • Изменение свойств
  • Представление
Возможности политики квот Представление
Шаблон виртуального ЦОД
  • Создание экземпляра
  • Представление
Шаблон/носитель vApp
  • Копирование
  • Создание/отправка
  • Изменение
  • Представление
  • VAPP_VM_METADATA_TO_VCENTER
Шаблон vApp
  • Изменить владельца
  • Извлечение
  • Загрузка
vApp
  • Изменить владельца
  • Копирование
  • Создание/перенастройка
  • Удалить
  • Загрузка
  • Изменение свойств
  • Изменение ЦП виртуальной машины
  • Изменение параметров резервирования ЦП и памяти ВМ для всех типов виртуальных ЦОД
  • Изменение жесткого диска ВМ
  • Изменение памяти ВМ
  • Изменение сети ВМ
  • Изменение свойств ВМ
  • Управление настройками пароля ВМ
  • Операции управления питанием
  • Общий доступ
  • Операции с моментальными снимками
  • Отправить
  • Использование консоли
  • Параметры загрузки ВМ
  • Просмотр ACL
  • Просмотр показателей ВМ
Группа виртуальных ЦОД
  • Настройка
  • Настройка ведения журналов
  • Представление
Создание и использование облачной учетной записи VMware Cloud Director в vRealize Automation не поддерживается, если в vRealize Automation включен режим FIPS.

Учетные данные интеграции vRealize Operations Manager

В этом разделе описываются учетные данные, необходимые для интеграции с vRealize Operations Manager. Обратите внимание, что эти учетные данные устанавливаются и настраиваются в vRealize Operations Manager, а не в vRealize Automation.

Предоставьте следующие права чтения для локальной или внешней учетной записи в vRealize Operations Manager.

  • Экземпляр адаптера — адаптер vCenter > Экземпляр адаптера VC для vCenter-FQDN

Возможно, необходимо импортировать внешнюю учетную запись перед назначением роли «только для чтения».

Интеграция NSX с Microsoft Azure VMware Solution (AVS) для vRealize Automation

Дополнительные сведения о подключении среды NSX, запущенной в Microsoft Azure VMware Solution (AVS), к vRealize Automation, включая конфигурацию настраиваемых ролей, см. в разделе Разрешения для пользователей Cloudadmin в NSX-T Data Center в документации по продуктам Microsoft.