核准原則是您新增的管理層級,用於在執行部署和第 2 天動作請求之前對其進行控制。您可以在 Service Broker 中定義核准原則,以便您或指定的其他使用者能夠在資源耗用或銷毀之前檢閱請求。此程序中的核准原則使用案例是一項簡介,可供您在探索管理選項時使用。

如果您僅有一個小型團隊新增和部署目錄項目,則核准原則可能會不太有用。但是,當您將目錄提供給規模更大的一組開發人員和一般取用者時,您可以使用核准原則以確保有人在耗用資源或對已佈建項目進行變更之前檢閱請求。

例如,您有一個重要的目錄項目,但它會耗用大量資源。您希望由其中一個 IT 管理員檢閱任何部署請求,以確保需要該請求。另一個範例適用於第 2 天動作。變更由多人使用的部署可能會造成破壞。您希望專案管理員透過檢閱已部署目錄項目的所有變更,從而管理該團隊的部署。

哪些人會使用核准原則,或哪些人會受到此原則的影響?

  • Service Broker 管理員。設定原則。
  • 目錄取用者。請求套用一或多個原則之目錄項目或第 2 天動作的使用者。
  • Cloud Assembly 中部署雲端範本的使用者。在套用一或多個原則的 Cloud Assembly 中請求範本或第 2 天動作的使用者。
  • 指定的核准者。必須檢閱並核准或拒絕請求的使用者。

如果強制執行核准原則,會發生什麼情況?

可強制執行多個核准原則。系統會評估核准原則,並將強制執行的原則套用至請求。如果有多個有效原則,且核准者是不同的人員,則會新增所有核准者。當您有多個原則時,請務必瞭解此程序。如需詳細資訊,請參閱核准原則目標和強制執行範例

  1. 已定義核准原則。
  2. 使用者請求目錄項目或第 2 天動作。在請求時,Service Broker 評估會目錄項目以確認是否套用了任何原則。
  3. 隨即強制執行核准原則。
    1. 部署卡會顯示狀態。例如,建立 - 核准擱置中。
    2. 系統會將電子郵件通知傳送給請求者。請參閱如何在 Service Broker中追蹤需要核准的請求
    3. 系統會將電子郵件通知傳送給核准者。請參閱如何在 Service Broker 中回應核准請求

      在核准請求之前,此部署不會開始部署和耗用基礎結構資源,也不會對已部署的系統進行變更。請求使用者會收到請求正等待核准的電子郵件通知。

    4. 核准者使用 Service Broker 中的 [核准] 索引標籤回應請求。
  4. 核准程序已完成。
    1. 如果請求遭到拒絕,系統會通知請求使用者,並取消部署請求。
    2. 如果請求已獲核准,則部署會繼續進行。
    3. 在核准者不採取動作的情況下,可能會將強制執行的原則設定為自動核准或拒絕請求。

如何使用部署準則?

若要限制原則套用到的項目或活動,您可以定義部署準則。如需有關準則的詳細資訊,請參閱如何在 Service Broker 原則中設定部署準則

核准原則限制

  • 變更租用動作不可納入核准原則中。

當您檢閱核准原則使用案例並建立您自己的原則時,請參閱關鍵文字方塊中的路標說明以取得詳細資訊。

必要條件

  • 核准者 (可能不是一般 Service BrokerVMware Cloud Assembly 使用者) 必須擁有以下角色組合之一:
    • 組織成員和 Service Broker 使用者
    • 組織成員和「管理核准」自訂角色

    這些角色提供最低層級的權限,並且仍允許他們核准或拒絕請求。

  • 當您定義使用者規則時,使用者必須具有有效的電子郵件地址。Service Broker 會使用這些電子郵件地址來傳送核准通知。電子郵件伺服器是 VMware 服務的一部分。它不在您的管理範圍內。如果您認為訊息並未傳送,請連絡您的 VMware 服務代表。

程序

  1. 選取內容和原則 > 原則 > 定義 > 新增原則 > 核准原則
  2. 設定核准原則 1。
    做為管理員,您有一個重要的目錄項目,該項目同時耗用大量雲端資源。您希望兩個 IT 管理員中至少有一個 IT 管理員檢閱任何部署請求,以確保確實需要該請求,且存在支援該請求的資源。
    1. 定義原則的有效時間。
      設定 範例值
      範圍 組織

      此原則將套用到您組織中的所有專案。

      部署準則
      catalogItem equals CompanyApplication
    2. 定義核准行為。
      設定 範例值
      核准者模式 全部

      您希望所有 IT 管理員一致認為部署請求不會浪費資源。

      核准者 {approvername1}@YourCompany、{approvername2}@YourCompany
      自動到期決定 拒絕

      您的雲端資源上可能存在的負載意味著您不希望在未經核准的情況下無意中部署該項目。

      自動到期觸發器 3

      當管理員可能沒空時,此值應該可以支撐一個漫長的周末。

      動作 Deployment.Create
    在此案例中,如果有任何目錄取用者請求此目錄項目,核准者 1 和核准者 2 都必須在 3 天內核准請求,否則請求會遭到拒絕。
  3. 設定核准原則 2。
    做為管理員,您擁有一個專案 AcctProd,希望其專案管理員核准對可能造成嚴重後果的部署所做的任何變更。例如,刪除部署。
    1. 定義核准原則的有效時間。
      設定 範例值
      範圍 專案 AcctProd

      此原則已套用至與此專案相關聯的部署。

      部署準則
    2. 定義核准行為。
      設定 範例值
      核准者模式 任何
      核准者 {ProjectAdmin}@YourCompany
      自動到期決定 拒絕
      自動到期觸發器 7
      動作 Deployment.Delete、Deployment.PowerOff、Deployment.Update,以及任何元件特定的電源、重新開機和刪除動作。
    在此案例中,當 AcctProd 專案的成員提交對部署執行所列動作的請求時,如果專案管理員沒有回應,則會在七天後拒絕該請求。
  4. 設定核准原則 3。
    身為管理員,您想要對資源耗用保持一點控制權。例如,當使用者請求大型大小的目錄項目時,您想要評估並核准該請求。大小由類型模板對應定義。
    1. 定義核准原則的有效時間。
      設定 範例值
      範圍 組織
      部署準則
      resources has any 
           Flavor equals large
    2. 定義核准行為。
      設定 範例值
      核准者模式 任何
      核准者 {AdminName}@YourCompany
      自動到期決定 拒絕

      您的雲端資源上可能存在的耗用意味著您不希望在未經核准的情況下無意中部署該項目。

      自動到期觸發器 5
      動作 Deployment.Create 和任何適用的 *.Machine.Resize 動作。例如,Cloud.vSphere.Machine.Resize。
      在此案例中,當任何使用者提交大型部署的請求或將部署大小調整為大型的請求時,如果雲端管理員沒有回應,則會在 5 天後拒絕該請求。

後續步驟