| Зарегистрироваться и войти в vRealize Automation Cloud Assembly |
Идентификатор VMware.
- Настройте учетную запись My VMware, используя корпоративный адрес электронной почты.
|
| Подключитесь к службам vRealize Automation |
Порт HTTPS 443, открытый для исходящего трафика, с доступом через брандмауэр к следующим узлам:
- *.vmwareidentity.com
- gaz.csp-vidm-prod.com
- *.vmware.com
Дополнительные сведения о портах и протоколах см. в разделе VMware Ports and Protocols.
Дополнительные сведения о необходимых портах и протоколах см. в следующих разделах:
|
| Добавить облачную учетную запись Amazon Web Services (AWS) |
Укажите учетную запись привилегированного пользователя с правами чтения и записи. Учетная запись пользователя должна быть членом политики привилегированного доступа (PowerUserAccess) в системе «Управление учетными данными и доступом» (IAM) в AWS.
- 20-значный идентификатор ключа доступа и соответствующий секретный ключ доступа
Если используется внешний прокси-сервер HTTP, его необходимо настроить на IPv4. Для расширяемости на основе действий vRealize Automation (ABX) и интеграции внешнего поставщика IPAM могут потребоваться дополнительные разрешения.
Чтобы разрешить функции автоматического масштабирования, рекомендуются следующие разрешения AWS.
- Действия по автоматическому масштабированию:
- autoscaling:DescribeAutoScalingInstances
- autoscaling:AttachInstances
- autoscaling:DeleteLaunchConfiguration
- autoscaling:DescribeAutoScalingGroups
- autoscaling:CreateAutoScalingGroup
- autoscaling:UpdateAutoScalingGroup
- autoscaling:DeleteAutoScalingGroup
- autoscaling:DescribeLoadBalancers
- Автоматическое масштабирование ресурсов:
Чтобы функции службы маркеров безопасности AWS (AWS STS) могли поддерживать временные учетные данные с ограниченными правами для идентификации и доступа AWS, требуются следующие разрешения.
Чтобы разрешить функции EC2, требуются следующие разрешения AWS.
- Действия EC2:
- Ресурсы EC2:
Для выполнения функций эластичной балансировки нагрузки требуются следующие разрешения AWS.
- Действия с подсистемой балансировки нагрузки:
- elasticloadbalancing:DeleteLoadBalancer
- elasticloadbalancing:DescribeLoadBalancers
- elasticloadbalancing:RemoveTags
- elasticloadbalancing:CreateLoadBalancer
- elasticloadbalancing:DescribeTags
- elasticloadbalancing:ConfigureHealthCheck
- elasticloadbalancing:AddTags
- elasticloadbalancing:CreateTargetGroup
- elasticloadbalancing:DeleteLoadBalancerListeners
- elasticloadbalancing:DeregisterInstancesFromLoadBalancer
- elasticloadbalancing:RegisterInstancesWithLoadBalancer
- elasticloadbalancing:CreateLoadBalancerListeners
- Ресурсы подсистемы балансировки нагрузки:
Можно включить следующие разрешения на управление идентификацией и доступом (IAM) в AWS, хотя они не являются обязательными.
- iam:SimulateCustomPolicy
- iam:GetUser
- iam:ListUserPolicies
- iam:GetUserPolicy
- iam:ListAttachedUserPolicies
- iam:GetPolicyVersion
- iam:ListGroupsForUser
- iam:ListGroupPolicies
- iam:GetGroupPolicy
- iam:ListAttachedGroupPolicies
- iam:ListPolicyVersions
|
| Добавить облачную учетную запись Microsoft Azure |
Настройте экземпляр Microsoft Azure и получите действующую подписку Microsoft Azure, позволяющую использовать идентификатор подписки. Создайте приложение Active Directory, как описано в разделе Использование портала для создания приложения Azure AD и субъекта службы, которые могут получать доступ к ресурсам в документации по продукту Microsoft Azure. Если используется внешний прокси-сервер HTTP, его необходимо настроить на IPv4.
Запишите следующую информацию.
- Идентификатор подписки
Обеспечивает доступ к подпискам Microsoft Azure
- Идентификатор арендатора
Конечная точка авторизации для приложений Active Directory, создаваемых вами в учетной записи Microsoft Azure.
- Идентификатор клиентского приложения
Предоставляет доступ к Microsoft Active Directory в вашей индивидуальной учетной записи Microsoft Azure.
- Секретный ключ клиентского приложения
Этот уникальный секретный ключ генерируется для привязки к идентификатору клиентского приложения
Для создания и проверки учетных записей облачных служб
Microsoft Azure требуются следующие разрешения:
- Microsoft Compute
- Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
- Microsoft Network
- Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
- Microsoft Resources
- Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
- Microsoft Storage
- Microsoft Web
- Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
Если вы используете
Microsoft Azure со средствами расширяемости на основе действий, помимо минимальных разрешений требуются следующие:
- Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
Если вы используете
Microsoft Azure со средствами расширяемости на основе действий с расширениями, также нужны следующие разрешения:
- Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
|
| Добавить облачную учетную запись Google Cloud Platform (GCP) |
Облачная учетная запись Google Cloud Platform взаимодействует с вычислительным модулем Google Cloud Platform. Для создания и проверки облачных учетных записей Google Cloud Platform требуются учетные данные администратора и владельца проекта. Если используется внешний прокси-сервер HTTP, его необходимо настроить на IPv4. Необходимо включить службу вычислительного модуля. При создании облачной учетной записи в vRealize Automation используйте учетную запись службы, которая была создана при инициализации вычислительного модуля. Также требуются следующие разрешения вычислительного модуля, в зависимости от действий, которые может выполнить пользователь.
- roles/compute.admin
Обеспечивает полный контроль над всеми ресурсами вычислительного модуля.
- roles/iam.serviceAccountUser
Предоставляет доступ пользователям, которые управляют экземплярами виртуальных машин, настроенными для запуска в качестве учетной записи службы. Предоставьте доступ к следующим ресурсам и службам:
- compute.*
- resourcemanager.projects.get
- resourcemanager.projects.list
- serviceusage.quotas.get
- serviceusage.services.get
- serviceusage.services.list
- roles/compute.imageUser
Предоставляет разрешение на перечисление и чтение изображений без других разрешений на образ. Роль compute.imageUser на уровне проекта позволяет пользователям перечислять все изображения в проекте. Она также позволяет пользователям создавать ресурсы, например, экземпляры и диски с сохранением состояния, на основе образов в проекте.
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- resourcemanager.projects.get
- resourcemanager.projects.list
- serviceusage.quotas.get
- serviceusage.services.get
- serviceusage.services.list
- roles/compute.instanceAdmin
Предоставляет разрешения на создание, изменение и удаление экземпляров виртуальных машин. К ним относятся разрешения на создание, изменение и удаление дисков, а также на настройку параметров экранированного VMBETA. Для пользователей, которые управляют экземплярами виртуальных машин (но не параметрами сети или безопасности или экземплярами, которые выполняются как учетные записи служб), предоставьте эту роль организации, папке или проекту, содержащему экземпляры, или отдельным экземплярам. Пользователям, которые управляют экземплярами виртуальных машин, настроенными для работы в качестве учетной записи службы, также требуется роль roles/iam.serviceAccountUser.
- compute.acceleratorTypes
- compute.addresses.get
- compute.addresses.list
- compute.addresses.use
- compute.autoscalers
- compute.diskTypes
- compute.disks.create
- compute.disks.createSnapshot
- compute.disks.delete
- compute.disks.get
- compute.disks.list
- compute.disks.resize
- compute.disks.setLabels
- compute.disks.update
- compute.disks.use
- compute.disks.useReadOnly
- compute.globalAddresses.get
- compute.globalAddresses.list
- compute.globalAddresses.use
- compute.globalOperations.get
- compute.globalOperations.list
- compute.images.get
- compute.images.getFromFamily
- compute.images.list
- compute.images.useReadOnly
- compute.instanceGroupManagers
- compute.instanceGroups
- compute.instanceTemplates
- compute.instances
- compute.licenses.get
- compute.licenses.list
- compute.machineTypes
- compute.networkEndpointGroups
- compute.networks.get
- compute.networks.list
- compute.networks.use
- compute.networks.useExternalIp
- compute.projects.get
- compute.regionOperations.get
- compute.regionOperations.list
- compute.regions
- compute.reservations.get
- compute.reservations.list
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.targetPools.get
- compute.targetPools.list
- compute.zoneOperations.get
- compute.zoneOperations.list
- compute.zones
- resourcemanager.projects.get
- resourcemanager.projects.list
- serviceusage.quotas.get
- serviceusage.services.get
- serviceusage.services.list
- roles/compute.instanceAdmin.v1
Обеспечивает полный контроль над экземплярами вычислительного модуля, группами экземпляров, дисками, моментальными снимками и образами. Также предоставляет доступ на чтение всем сетевым ресурсам вычислительного модуля.
Примечание: Если пользователю назначить эту роль на уровне экземпляра, данный пользователь не сможет создавать новые экземпляры.
- compute.acceleratorTypes
- compute.addresses.get
- compute.addresses.list
- compute.addresses.use
- compute.autoscalers
- compute.backendBuckets.get
- compute.backendBuckets.list
- compute.backendServices.get
- compute.backendServices.list
- compute.diskTypes
- compute.disks
- compute.firewalls.get
- compute.firewalls.list
- compute.forwardingRules.get
- compute.forwardingRules.list
- compute.globalAddresses.get
- compute.globalAddresses.list
- compute.globalAddresses.use
- compute.globalForwardingRules.get
- compute.globalForwardingRules.list
- compute.globalOperations.get
- compute.globalOperations.list
- compute.healthChecks.get
- compute.healthChecks.list
- compute.httpHealthChecks.get
- compute.httpHealthChecks.list
- compute.httpsHealthChecks.get
- compute.httpsHealthChecks.list
- compute.images
- compute.instanceGroupManagers
- compute.instanceGroups
- compute.instanceTemplates
- compute.instances
- compute.interconnectAttachments.get
- compute.interconnectAttachments.list
- compute.interconnectLocations
- compute.interconnects.get
- compute.interconnects.list
- compute.licenseCodes
- compute.licenses
- compute.machineTypes
- compute.networkEndpointGroups
- compute.networks.get
- compute.networks.list
- compute.networks.use
- compute.networks.useExternalIp
- compute.projects.get
- compute.projects.setCommonInstanceMetadata
- compute.regionBackendServices.get
- compute.regionBackendServices.list
- compute.regionOperations.get
- compute.regionOperations.list
- compute.regions
- compute.reservations.get
- compute.reservations.list
- compute.resourcePolicies
- compute.routers.get
- compute.routers.list
- compute.routes.get
- compute.routes.list
- compute.snapshots
- compute.sslCertificates.get
- compute.sslCertificates.list
- compute.sslPolicies.get
- compute.sslPolicies.list
- compute.sslPolicies.listAvailableFeatures
- compute.subnetworks.get
- compute.subnetworks.list
- compute.subnetworks.use
- compute.subnetworks.useExternalIp
- compute.targetHttpProxies.get
- compute.targetHttpProxies.list
- compute.targetHttpsProxies.get
- compute.targetHttpsProxies.list
- compute.targetInstances.get
- compute.targetInstances.list
- compute.targetPools.get
- compute.targetPools.list
- compute.targetSslProxies.get
- compute.targetSslProxies.list
- compute.targetTcpProxies.get
- compute.targetTcpProxies.list
- compute.targetVpnGateways.get
- compute.targetVpnGateways.list
- compute.urlMaps.get
- compute.urlMaps.list
- compute.vpnTunnels.get
- compute.vpnTunnels.list
- compute.zoneOperations.get
- compute.zoneOperations.list
- compute.zones
- resourcemanager.projects.get
- resourcemanager.projects.list
- serviceusage.quotas.get
- serviceusage.services.get
- serviceusage.services.list
|
| Добавить облачную учетную запись NSX-T |
Укажите учетную запись со следующими правами чтения и записи:
- NSX-T Роль администратора предприятия и учетные данные для доступа
- NSX-T IP-адрес или полное доменное имя (FQDN)
Администраторам также требуется доступ к vCenter Server, как описано в следующих требованиях к агенту vSphere для раздела облачных учетных записей на основе vCenter на этой странице. |
| Добавить облачную учетную запись NSX-V |
Укажите учетную запись со следующими правами чтения и записи:
- NSX-V Роль администратора предприятия и учетные данные для доступа
- NSX-V IP-адрес или полное доменное имя (FQDN)
Администраторам также требуется доступ к vCenter Server, как описано в следующих требованиях к агенту vSphere для раздела облачных учетных записей на основе vCenter на этой странице. |
| Добавить облачную учетную запись vCenter |
Укажите учетную запись со следующими правами чтения и записи:
- vCenter IP-адрес или полное доменное имя (FQDN)
Администраторам также требуется доступ к vCenter Server, как описано в следующих требованиях к агенту vSphere для раздела облачных учетных записей на основе vCenter на этой странице. |
| Добавить облачную учетную запись VMware Cloud on AWS (VMC) |
Укажите учетную запись со следующими правами чтения и записи:
- Учетная запись cloudadmin@vmc.local или любая учетная запись пользователя в группе CloudAdmin
- NSX Роль администратора предприятия и учетные данные для доступа
- NSX Доступ с правами администратора облачных служб к среде программно-определяемого ЦОД VMware Cloud on AWS вашей организации
- Доступ с правами администратора к среде программно-определяемого ЦОД VMware Cloud on AWS вашей организации
- VMware Cloud on AWS Маркер API-интерфейса для среды VMware Cloud on AWS в службе VMware Cloud on AWS вашей организации
- vCenter IP-адрес или полное доменное имя (FQDN)
Администраторам также требуется доступ к экземпляру vCenter, который используется в целевом программно-определяемом ЦОД VMware Cloud on AWS и имеет все разрешения, указанные в следующем разделе Требования агента vSphere для облачных учетных записей на основе vCenter на этой странице. Разрешения, необходимые для создания и использования облачных учетных записей VMware Cloud on AWS, подробно описаны в разделе Управление центром обработки данных VMware Cloud on AWS в документации по продукту VMware Cloud on AWS. |
