Политики подтверждения — это уровень управления, который добавляется, чтобы контролировать запросы на развертывание и действия по регулярному обслуживанию перед их запуском. Политики подтверждения определяются в Service Broker, чтобы вы или другие назначенные вами пользователи могли проверять запросы перед тем, как ресурсы будут использованы или уничтожены. С примеров использования политик подтверждения в этой процедуре можно начать знакомство с возможностями управления.

Если элементы каталога добавляет и развертывает небольшая рабочая группа, политики подтверждения могут быть менее полезны. Но когда доступ к каталогу предоставлен более широким группам разработчиков и обычных потребителей, политики подтверждения нужны. Они позволяют убедиться, что запрос будет проверен до потребления ресурсов или внесения изменений в предоставленные элементы.

Например, один из важных элементов каталога потребляет значительный объем ресурсов. Необходимо, чтобы один из ИТ-администраторов проверял обоснованность всех запросов на развертывание. Другой пример относится к действиям по регулярному обслуживанию. Внесение изменений в развертывания с множеством пользователей может иметь разрушительные последствия. Необходимо, чтобы администратор проекта, который управляет развертываниями для этой группы, проверял все изменения в развернутом элементе каталога.

Кто работает с политиками подтверждения или зависит от них?

  • Администратор Service Broker. Настраивает политики.
  • Пользователи каталога. Пользователи, запрашивающие элементы каталога или действия по регулярному обслуживанию, к которым применяются одна или несколько политик.
  • Пользователи, развертывающие облачные шаблоны в Cloud Assembly. Пользователи, запрашивающие шаблоны или действия по регулярному обслуживанию в Cloud Assembly, к которым применяются одна политика или несколько.
  • Назначенные утверждающие. Пользователи, которые должны проверить, а затем утвердить или отклонить запрос. Можно предоставить права утверждающего выбранным пользователям и группам пользователей или выбрать из следующих ролей утверждающего.
    • Диспетчер AD. Пользователь Active Directory с атрибутами диспетчера. См. раздел Настройка атрибутов Active Directory для роли утверждающего диспетчера Active Directory.
    • Администраторы проекта. Администраторы проектов в области действия политики автоматически назначаются в качестве утверждающих лиц. Если в проекте нет выделенного администратора, политика утверждения не применяется к такому проекту.
    • Координаторы проекта. Участники проектов в области действия политики, которым назначена роль координатора проекта. Права доступа координатора ограничены утверждением и отклонением запросов на развертывание в рамках проекта. Если в проекте нет выделенного координатора, политика утверждения не применяется к такому проекту.

Что происходит при применении политик подтверждения?

Может быть применено несколько политик подтверждения. Политики подтверждения оцениваются, и действующая политика применяется к запросу. При наличии нескольких действующих политик с разными утверждающими, будут добавлены все утверждающие. При наличии нескольких политик важно понимать этот процесс. Дополнительные сведения см. в разделе Цели и примеры применения политик утверждения.

  1. Политики подтверждения определены.
  2. Пользователь запрашивает элемент каталога или действие по регулярному обслуживанию. В момент запроса Service Broker оценивает элемент каталога на применимость политик.
  3. Применяется политика подтверждения.
    1. а.В карточке развертывания отображается состояние. Например, создание — ожидается подтверждение.
    2. б.Инициатору запроса отправляется уведомление по электронной почте. См. раздел Отслеживание запросов, требующих подтверждения в Service Broker.
    3. в.Утверждающим отправляется уведомление по электронной почте. См. раздел Ответ на запрос, требующий подтверждения в Service Broker.

      Развертывание и потребление ресурсов инфраструктуры или внесение изменений в развернутую систему не начинается, пока запрос не будет подтвержден. Инициатор запроса получает уведомление по электронной почте о том, что запрос ожидает подтверждения.

    4. г.Утверждающие отвечают на запрос на странице «Утверждения» в Service Broker.
  4. Процесс подтверждения завершен.
    1. а.При отклонении запроса его инициатор получает соответствующее уведомление и запрос на развертывание отменяется.
    2. б.В случае подтверждения запроса развертывание продолжается.
    3. в.В примененной политике может быть настроено автоматическое утверждение или отклонение запроса при бездействии утверждающего.

Как использовать критерии развертывания?

Чтобы ограничить применение политики конкретными видами элементов или действий, можно использовать критерии развертывания. Дополнительные сведения о критериях см. в разделе Настройка критериев развертывания в политиках Service Broker.

Ограничения политик подтверждения

  • Действие изменения срока аренды недоступно для включения в политику подтверждения.
  • Использование настраиваемых ресурсов в качестве типа ресурса в критериях политики не поддерживается.

Просматривая примеры использования политик подтверждения и создания собственной политики, дополнительные сведения об основных текстовых полях см. в справке по указателям.

Необходимые условия

  • Утверждающий, который может не быть обычным пользователем Service Broker или Cloud Assembly, должен иметь одну из следующих комбинаций ролей.
    • Участник организации и пользователь Service Broker
    • Участник организации и обладатель настраиваемой роли «Управление утверждениями»

    Эти роли обеспечивают минимальный уровень разрешений и при этом позволяют утверждать или отклонять запросы.

  • Убедитесь, что почтовый сервер для уведомлений определен. См. раздел Добавление почтового сервера в Service Broker для отправки уведомлений.
  • Если в качестве типа утверждения на основе ролей планируется использовать диспетчер Active Directory, необходимо использовать интеграцию с Workspace ONE Access VMware Identity Manager, настроенную для vRealize Automation. Необходимо также включить атрибуты диспетчера Active Directory в атрибуты пользователя. См. раздел Настройка атрибутов Active Directory для роли утверждающего диспетчера Active Directory.

Процедура

  1. Выберите Содержимое и политики > Политики > Определения > Создать политику > Политика подтверждения.
  2. Настройте политику подтверждения 1.
    Администратор замечает, что один из важных элементов каталога потребляет значительное количество облачных ресурсов. Обоснованность поступающих запросов на развертывания и наличие ресурсов для их поддержки должны проверяться несколькими менеджерами.
    1. а. Определите время действия политики.
      Настройка Пример значения
      Scope Организация

      Эта политика применяется ко всем проектам в организации.

      Критерии
      Catalog Item equals CompanyApplication
    2. б. Определите особенности подтверждения.
      Настройка Пример значения
      Уровень утверждения 1

      Вы устанавливаете приоритеты для уровней исходя из порядка их обработки.

      Тип утверждения Выберите На основе пользователей.

      Вы выбираете пользователей и группы пользователей, которые могут утверждать запрос.

      Режим утверждающего Все

      Необходимо, чтобы все ИТ-менеджеры подтвердили, что запрос развертывания не расходует ресурсы впустую.

      Утверждающие {Имя_группы1}@Ваша_компания, {Имя_утверждающего1}@Ваша_компания, {Имя_утверждающего2}@Ваша_компания

      Запрос на утверждение отправляется всем участникам группы пользователей. Запрос должен быть утвержден только одним участником группы.

      Решение об автоматическом истечении срока действия Отклонить

      Развертывания элементов могут создавать нагрузку на облачные ресурсы, поэтому их случайное развертывание без подтверждения недопустимо.

      Триггер автоматического истечения срока действия 3

      Это значение учитывает вероятность длинных выходных, когда руководители могут быть недоступны.

      Действия Deployment.Create
    В этом случае, если потребитель каталога запрашивает данный элемент каталога, утверждающий 1, утверждающий 2 и один любой участник группы пользователей 1 должны утвердить запрос в течение трех дней, в противном случае он будет отклонен.
  3. Настройте политику подтверждения 2.
    У администратора есть несколько проектов, в которых требуется утверждение администраторами проектов любых изменений в развертываниях, способных привести к серьезным последствиям. Например, удаление развертывания.
    1. а. Определите время действия политики подтверждения.
      Настройка Пример значения
      Scope
      Несколько проектов
      Project name contains Prod

      Политика применяется к развертываниям, связанным со всеми проектами, которые соответствуют критериям области.

      Критерии Нет
    2. б. Определите особенности подтверждения.
      Настройка Пример значения
      Уровень утверждения 1
      Тип утверждения Выберите На основе ролей.
      Роль утверждающего Администраторы проекта

      Если в проекте нет выделенного администратора, политика утверждения не применяется к запросам, связанным с этим проектом.

      Режим утверждающего Любой
      Решение об автоматическом истечении срока действия Отклонить
      Триггер автоматического истечения срока действия 7
      Действия Deployment.Delete, Deployment.PowerOff, Deployment.Update, а также любые действия, связанные с включением, перезагрузкой и удалением, для определенных компонентов.
    В этом сценарии, когда участник одного из проектов области отправляет запрос на выполнение перечисленных действий в развертывании, запрос отклоняется через 7 дней, если администратор проекта на него не отвечает.
  4. Настройка политики утверждения № 3.
    Администратору необходимо иметь некоторый контроль над потреблением ресурсов. Допустим, пользователь запрашивает элемент каталога большого размера и администратору необходимо оценить и утвердить запрос. Размер определяется сопоставлениями конфигураций ресурсов.
    1. а. Определите время действия политики подтверждения.
      Настройка Пример значения
      Scope Организация
      Критерии
      Resources has any 
           Flavor equals large
    2. б. Определите особенности подтверждения.
      Настройка Пример значения
      Уровень утверждения 1
      Тип утверждения Выберите На основе пользователей.
      Режим утверждающего Любой
      Утверждающие {AdminName}@YourCompany
      Решение об автоматическом истечении срока действия Отклонить

      Предоставление элемента повышает использование облачных ресурсов, поэтому развертывание элементов без утверждения нежелательно.

      Триггер автоматического истечения срока действия 5
      Действия Deployment.Create и любые применимые действия *.Machine.Resize. Например, Cloud.vSphere.Machine.Resize.
      В этом сценарии при отправке любым пользователем запроса на крупное развертывание или увеличение размера развертывания, запрос отклоняется через 5 дней, если администратор облачных систем не реагирует на него.

Дальнейшие действия