身為 VMware Aria Automation 管理員,您必須先設定 CCI 主管服務 Single Sign-On (SSO) 驗證,然後再為使用者啟用 CCI。
CCI Single Sign-On 要求使用者使用已聯盟至 vCenter 和 VMware Aria Automation 的本機 Active Directory。將Active Directory網域同盟支援在主管命名空間和 IaaS 服務、UI 或命令行作業期間維護使用者身分識別。
使用者透過專用 Kubernetes Proxy 存取 CCI 服務和資源,以允許在 Proxy 存取 vCenter Kubernetes API 時保持使用者身分的 Single Sign-On 流程。然後,Automation Service Broker 使用者服務角色和專案成員角色將具有以 SSO 使用者身分存取已佈建主管命名空間的必要權限。
設定 SSO 之前:
- 驗證基礎結構是否包括以下內容:
- VMware Cloud Foundation (VCF) SDDC Manager 5.1.1
- vCenter 8.0U2
- 下載以下在主管叢集上設定 CCI 主管 Single Sign-On (SSO) 所需的檔案:
- 服務定義 YAML 檔案:cci-supervisor-service.yml,可從 https://via.vmw.com/nwBhzS 取得。
- Python 指令碼:service_config_from_automation.py,可從 https://via.vmw.com/ZKcwG0 取得。
- 確認 Workspace ONE Access 使用 userPrincipalName 作為目錄搜尋屬性。
正在向 vCenter 登錄 CCI 服務
必須先將 CCI 服務新增為主管服務,才能在主管上安裝 CCI 服務。您可以上傳服務定義 YAML 檔案,並向 vCenter 登錄 CCI 服務。
- 登入 vCenter。
- 在工作負載管理下,選取服務索引標籤。
- 對於 vCenter,選取 vCenter,它用於管理要安裝 CCI Single Sign-On 服務且計劃將該服務與 VMware Aria Automation 整合的主管叢集。
- 在新增服務動態磚上,按一下新增按鈕。
- 在顯示的 [登錄服務] 頁面上,按一下上傳按鈕,然後指定 YAML 檔案。
- 顯示 YAML 檔案詳細資料時,驗證服務詳細資料,然後按一下完成。
幾分鐘後,將顯示名為 CCI 服務的主管服務的新動態磚。![使用 [CCI 服務] 動態磚管理工作負載](images/GUID-DFB28D15-4CD1-4412-B443-3B18B1483593-low.png)
在主管上安裝CCI服務
必須在將新增至 VMware Aria Automation 的 vCenter 雲端帳戶包含的所有主管上安裝 CCI 服務。執行以下步驟,以在主管上安裝 CCI 服務:
- 若要從 VMware Aria Automation 應用裝置中擷取 idpConfig YAML 裝載,請針對 VMware Aria Automation FQDN 執行 service_config_from_automation.py Python 指令碼。
下列程式代碼範例顯示 命令以及來自 執行的輸出。
$ service_config_from_automation.py cava-n-81-091.eng.vmware.com idpConfig: | {"issuer_url": "http://identity-service.prelude.svc.cluster.local:8000", "keyset": {"keys": [{"kty": "RSA", "kid": "2012508753258651971", "use": "sig", "n": "nl8UIBQghopFuObcSYMoEpr-26U75rl1Z9EJwqq8qEnX-NW61So5gmoJvOdAhKdIgfIPGn3dlvXLwN04cqZFYfc5mXunXzjdfimXn8p6MhUirDzmZysYXQXiLDnozkTdJMp2M1xLwkCGfECO5KXTkRSRJZMDDoTKM_K63dVUMPncgRRV0BXHP8HFSzhWKOjqpqAjIg4jfe0IloXCQlsbXZYVL3VLmBVb52XzbjLZkzbHy7VEkft8ixlzKH4vg5hKwqlqm4NlaD0mvKLHTWYcZowY2JX9HDqTykkp2asbTU9TXMmStgnLpWEHtuZYdqib2kmb9IIoqZC7V4Mk22MDfQ", "e": "AQAB"}]}}此 YAML 用作安裝 CCI 服務時的輸入。複製並儲存指令碼輸出,以供日後使用。
- 在 [CCI 服務] 動態磚上,按一下在主管上安裝。
![在 [CCI 服務] 動態磚上,按一下 [動作] > [在主管上安裝]。](images/GUID-2C259B36-B70F-43BA-8389-C7101F7F39AE-low.png)
- 將顯示 [CCI 服務安裝] 對話方塊。
- 如果您有多個主管,請選取要安裝 CCI 的主管。該服務必須安裝在要與 CCI 一起使用的所有主管上。
- 將您儲存的 YAML 輸出貼至 YAML 服務組態 (可選) 文字區域。
- 按一下確定開始安裝。
![將 YAML 輸出貼至 [YAML 服務組態 (可選)] 文字方塊](images/GUID-6142EAAF-2971-48AB-B3DF-7AB0A42468A1-low.png)
安裝應在幾分鐘內完成。
- 成功安裝後,檢查工作負載管理服務索引標籤下的 [CCI 服務] 動態磚。主管按鈕上的計數會增加。
- 按一下主管按鈕以驗證安裝。
- (選擇性) 若要透過登入 vCenter 檢查 CCI 服務是否正在執行,請執行以下步驟:
- 從命名空間清單中,選取名稱中包含 svc-cci...domain... 的命名空間。
- 按一下計算索引標籤,然後在 [核心 Kubernetes] 下選取 vSphere 網繭。
- 在 vSphere網繭 下,檢查 CCI 服務是否正在執行。
