Определение политик действий по регулярному обслуживанию позволяет контролировать, какие изменения пользователи могут вносить в развертывания и ресурсы их компонентов. Создание списка разрешенных действий, которые могут выполняться в отношении развертываний всеми или только некоторыми пользователями, позволяет предотвратить инициирование разрушительных или дорогостоящих изменений. Примеры использования, связанные с политиками действий по регулярному обслуживанию, приведены во введении к процедуре.

При предоставлении пользователям прав на выполнение действий по регулярному обслуживанию необходимо указать конкретные действия, которые они могут запускать. Для этого создается список включенных элементов, а не список исключений.

Когда политика действий по регулярному обслуживанию вступает в силу?

  • Если политики действий по регулярному обслуживанию не определены, управление не применяется и все пользователи имеют доступ ко всем действиям. Изначальное отсутствие управления предусмотрено для того, чтобы на первых этапах работы для выполнения действий по регулярному обслуживанию в Service Broker и Cloud Assembly не требовалось знание политик текущего обслуживания.
  • Когда потребуется контролировать доступ пользователей к действиям, добавьте управление в виде политики действий по регулярному обслуживанию. После вступления в силу первой политики, политики действий по регулярному обслуживанию применяются ко всем пользователям в Service Broker и Cloud Assembly. В результате выбранные действия могут выполнять только те пользователи, для которых первая политика имеет истинное значение. Все остальные пользователи исключаются. Они исключаются, так как политики действий включают в себя доверенных пользователей. Исключение всех остальных позволяет создавать политики в соответствии с целями управления.
  • Чтобы предоставить право на выполнение выбранных действий другим пользователям, необходимо создать соответствующие политики.

Общий доступ к развертыванию в проектах влияет на настройку предоставления прав выполнения действий по регулярному обслуживанию. Если в проекте нет общего доступа, развертывание может видеть только инициатор запроса. Если в проекте включен общий доступ к развертываниям, все участники проекта могут видеть развертывание и выполнять любые действия, разрешенные им политикой действий по регулярному обслуживанию. Общий доступ к развертываниям настраивается на уровне проекта. Выберите Инфраструктура > Администрирование > Проекты, затем выберите проект и перейдите на вкладку Пользователи.

При выборе способа создания политик действий по регулярному обслуживанию необходимо учитывать наличие или отсутствие общего доступа.

Чтобы определить более точное время применения политик действий по регулярному обслуживанию, можно настроить область, роль и критерии. Эти настройки определяют, к каким развертываниям применяется политика и кто может выполнять действия, когда она применяется.

  • Развертывания, к которым применяется политика.
    • Область определяет, на каком уровне политика применяется к развертываниям: на уровне организации или проекта.
    • Критерии сужают область действия политики до определенных аспектов развертываний.
  • Кто может выполнять действия с этими развертываниями.
    • Роль позволяет ее обладателям выполнять выбранные действия в рамках выбранных критериев и области. Возможны следующие роли: администратор проекта, участник проекта или именованная настраиваемая роль.

Политики текущего обслуживания применяются, когда пользователь пытается управлять развертыванием с помощью меню действий в развертывании или в ресурсах компонентов.

Этот пример использования, иллюстрирующий набор политик действий по регулярному обслуживанию, предполагает, что в проекте включен общий доступ к развертываниям.

При просмотре примера использования политик действий текущего обслуживания необходимо также выбрать действия. Необходимо выбрать действия, которые поддерживают облачные учетные записи.

  • Эти действия зависят от облачной среды. Предоставляя пользователям права на внесение изменений, учитывайте, в каких облачных учетных записях эти пользователи будут выполнять развертывания, и убедитесь, что выбраны все облачные версии действий. Например, добавьте действия Cloud.AWS.EC2.Instance.Resize, Cloud.GCP.Machine.Resize и Cloud.Azure.Machine.Resize, чтобы предоставить пользователям право изменять размер этих компьютеров.
  • Действия, не зависящие от облачной среды, например Cloud.Machine.Resize, предусмотрены для размещения ресурсов в случаях, когда в рамках процесса внедрения или переноса не удается определить тип компьютера. Если пользователям предоставлено право на выполнение действий, независимых от облачной среды, вы не можете разрешить им выполнять действия, связанные с облачной средой, которые будут вносить изменения в развернутые ресурсы. Независимые от среды действия могут появиться в меню действий, но при их выполнении не будет происходить никаких изменений. Не предоставляйте право на независимые от среды действия. Разрешайте только действия, связанные с облачной средой, чтобы гарантировать доступность действий для пользователей различных облачных платформ.

Необходимые условия

  • Список возможных действий см. в разделе Какие действия можно выполнять в развертываниях Service Broker.
  • Дополнительные сведения о создании критериев развертывания см. в разделе Настройка критериев развертывания в политиках Service Broker.
  • Настраиваемые роли используются в политике регулярного обслуживания № 4. Создание роли «Специалист по устранению неполадок в развертывании»; при наличии роли «Управление развертыванием» в рамках настраиваемой роли «Устранение неполадок в развертывании» участники не ограничиваются проектом. Роль «Управление развертыванием» позволяет уполномоченным пользователям просматривать все развертывания и выполнять все действия. Если роль «Устранение неполадок в развертывании» не включает в себя роль «Управление развертываниями», уполномоченные пользователи могут просматривать развертывания в зависимости от членства в проекте. Дополнительные сведения о настраиваемых ролях см. в примере использования настраиваемой роли.

Процедура

  1. Выберите Содержимое и политики > Политики > Определения > Создать политику > Политика действий по регулярному обслуживанию.
  2. Настройте политику текущего обслуживания 1.
    Чтобы контролировать затраты на хранение, администратору необходимо ограничить возможность пользователей запрашивать моментальные снимки.
    1. а. Определите время действия политики.
      Настройка Пример значения
      Scope Организация

      Эта политика применяется ко всем развертываниям в организации.
      Критерии Нет
      Тип применения Мягкое

      Этот тип применения позволяет создавать другие политики, связанные с действиями моментального снимка, переопределяющими эту политику.
      Роль Участник

      Эта роль применяет политику ко всем участникам проекта.
    2. б. Укажите действия, которые пользователи могут выполнять, но не выбирайте действия моментальных снимков.
      Пользователям явно предоставляются права на выполнение действий. Чтобы действия с моментальными снимками были недоступны пользователям, убедитесь, что эти действия не выбраны.
    В этом сценарии ни один из участников проекта не имеет прав на создание моментальных снимков. Нет их и у администраторов проектов. На следующем этапе необходимо создать политику, которая дает право администраторам проектов создавать моментальные снимки и управлять ими.
  3. Настройте политику текущего обслуживания 2.
    Администратору необходимо предоставить администраторам проектов возможность создавать моментальные снимки и управлять ими.
    1. а. Определите время действия политики.
      Настройка Пример значения
      Scope Организация

      Эта политика применяется ко всем развертываниям в организации.
      Критерии Нет
      Тип применения Мягкое

      Этот тип применения позволяет создавать другие политики, связанные с действиями моментального снимка, переопределяющими эту политику.

      Роль Администратор

      Эта роль применяет политику для администраторов проектов.

    2. б. Выберите действия с моментальными снимками, которые должны выполняться администраторами.
      Администраторы проектов также имеют право выполнять любые действия, которые разрешены для участников их проектов. Предоставлять им разрешение выполнять действия, доступные участникам, не требуется.
    В этом сценарии администраторы проектов имеют право выполнять действия, связанные с моментальными снимками, и все действия, разрешенные для участников их проектов.
  4. Настройте политику текущего обслуживания 3.
    У администратора проекта есть два разработчика, задачи которых могут привести к невозможности использовать развертывание. Требуется предоставить им права доступа к моментальному снимку, чтобы они могли отменить изменения без вашего вмешательства. Вы предоставляете двум участникам проекта право выполнять действия с моментальными снимками.
    1. а. Определите время действия политики.
      Настройка Пример значения
      Scope Проект MT5

      Эта политика применяется к развертываниям, связанным с данным проектом.
      Критерии 
      Catalog Item equals Multi-tier five machine with LB 
AND 
    (Created By equals [email protected] 
    OR 
    Created By equals [email protected])

      В соответствии с этим выражением критериев при применении политик будут учитываться только те развертывания, в которых пользователями Jan или Kris развернут элемент каталога с именем «многоуровневая, 5 компьютеров с балансировкой нагрузки».
      Тип применения Жесткое

      Этот тип применения обеспечивает применение политики на основе определения.

      Роль Участник

      Эта роль применяет политику к элементу каталога, определенному в критериях развертывания.
    2. б. Выберите действия с моментальными снимками, которые будут выполняться указанными пользователями.
      Администраторы проектов также имеют право выполнять любые действия, которые разрешены для участников их проектов.
    В этом сценарии, пользователям Jan и Kris доступны действия с моментальными снимками над элементом каталога «многоуровневая, 5 компьютеров с балансировкой нагрузки», развернутым кем-то из них. Несмотря на то, что другие участники проекта могут видеть это развертывание, выполнять действия с моментальными снимками могут только Jan, Kris и администратор проекта.
  5. Настройте политику текущего обслуживания 4.
    Администратору необходимо назначить разрешения на выполнение большинства действий по регулярному обслуживанию для пользователей, которым назначена настраиваемая роль «Специалист по устранению неполадок в развертывании». Большинство разрешений для настраиваемой роли распространяются на все проекты, однако на странице «Развертывания» пользователи могут видеть только те элементы, которые соответствуют их членству в проектах. Чтобы просмотреть развертывания, пользователи, которым назначены настраиваемые роли, должны быть участниками проектов, в рамках которых эти роли развернуты.
    1. а. Определите время действия политики.
      Настройка Пример значения
      Scope Организация
      Критерии Нет
      Тип применения Мягкое

      Этот тип применения позволяет создавать другие политики по расширенному регулярному обслуживанию, которые переопределяют данную политику.
      Роль Выберите роль Специалист по устранению неполадок в развертывании.
    2. б. Выберите все действия, которые должны быть доступны обладателям настраиваемой роли.
    В этом сценарии все пользователи с ролью «Устранение неполадок в развертывании» могут управлять всеми развертываниями и выполнять все выбранные действия по регулярному обслуживанию в разных проектах. Роль «Управление развертываниями» предоставляет права администратора службы для выполнения соответствующих действий в развертываниях. Если настраиваемая роль «Устранение неполадок в развертывании» не включает в себя роль «Управление развертываниями», пользователи могут выполнять все выбранные действия по регулярному обслуживанию в развертываниях, относящихся к их проектам.

Дальнейшие действия