核准原則是您新增的管理層級,用於在執行部署和第 2 天動作請求之前對其進行控制。您可以在 Service Broker 中定義核准原則,以便您或指定的其他使用者能夠在資源耗用或銷毀之前檢閱請求。此程序中的核准原則使用案例是一項簡介,可供您在探索管理選項時使用。

如果您僅有一個小型團隊新增和部署目錄項目,則核准原則可能會不太有用。但是,當您將目錄提供給規模更大的一組開發人員和一般取用者時,您可以使用核准原則以確保有人在耗用資源或對已佈建項目進行變更之前檢閱請求。

例如,您有一個重要的目錄項目,但它會耗用大量資源。您希望由其中一個 IT 管理員檢閱任何部署請求,以確保需要該請求。另一個範例適用於第 2 天動作。變更由多人使用的部署可能會造成破壞。您希望管理該團隊部署的專案管理員檢閱已部署目錄項目的所有變更。

哪些人會使用核准原則,或哪些人會受到此原則的影響?

  • Service Broker 管理員。設定原則。
  • 目錄取用者。請求套用一或多個原則之目錄項目或第 2 天動作的使用者。
  • Cloud Assembly 中部署雲端範本的使用者。在套用一或多個原則的 Cloud Assembly 中請求範本或第 2 天動作的使用者。
  • 指定的核准者。必須檢閱並核准或拒絕請求的使用者。您可以向所選使用者和使用者群組授與核准者權限,也可以從以下核准者角色中進行選擇。
    • AD 管理員。具有管理員屬性的 Active Directory 使用者。請參閱為 AD 管理員核准者角色設定 Active Directory 屬性
    • 專案管理員。原則範圍內的專案管理員會自動指派為核准者。如果專案沒有專用管理員,則核准原則不會套用至該專案。
    • 專案主管。原則範圍內指派了主管角色的專案成員。主管存取權限僅限於核准和拒絕專案的部署請求。如果專案沒有專用主管,則核准原則不會套用至該專案。

如果強制執行核准原則,會發生什麼情況?

可強制執行多個核准原則。系統會評估核准原則,並將強制執行的原則套用至請求。如果有多個有效原則,且核准者是不同的人員,則會新增所有核准者。當您有多個原則時,請務必瞭解此程序。如需詳細資訊,請參閱核准原則目標和強制執行範例

  1. 已定義核准原則。
  2. 使用者請求目錄項目或第 2 天動作。在請求時,Service Broker 評估會目錄項目以確認是否套用了任何原則。
  3. 隨即強制執行核准原則。
    1. 部署卡會顯示狀態。例如,建立 - 核准擱置中。
    2. 系統會將電子郵件通知傳送給請求者。請參閱如何追蹤需要核准的請求
    3. 系統會將電子郵件通知傳送給核准者。請參閱如何回應核准請求

      在核准請求之前,此部署不會開始部署和耗用基礎結構資源,也不會對已部署的系統進行變更。請求使用者會收到請求正等待核准的電子郵件通知。

    4. 核准者使用 Service Broker 中的 [核准] 頁面回應請求。
  4. 核准程序已完成。
    1. 如果請求遭到拒絕,系統會通知請求使用者,並取消部署請求。
    2. 如果請求已獲核准,則部署會繼續進行。
    3. 可以將強制執行的原則設定為在核准者未採取任何動作時自動核准或拒絕請求。

如何使用部署準則?

若要限制原則套用到的項目或活動,您可以定義部署準則。如需有關準則的詳細資訊,請參閱如何在 Service Broker 原則中設定部署準則

核准原則限制

  • 變更租用動作不可納入核准原則中。
  • 不支援在原則準則中使用自訂資源作為資源類型。

當您檢閱核准原則使用案例並建立您自己的原則時,請參閱關鍵文字方塊中的路標說明以取得詳細資訊。

必要條件

  • 核准者 (可能不是一般 Service BrokerCloud Assembly 使用者) 必須擁有以下角色組合之一:
    • 組織成員和 Service Broker 使用者
    • 組織成員和「管理核准」自訂角色

    這些角色提供最低層級的權限,並且仍允許他們核准或拒絕請求。

  • 確認已定義電子郵件通知伺服器。請參閱在 Service Broker 中新增電子郵件伺服器以傳送通知
  • 如果計劃使用 Active Directory 管理員作為角色型核准類型,則必須使用針對 vRealize Automation 設定的 Workspace One Access VMware Identity Manager 整合。此外,還必須在使用者屬性中包含 Active Directory 管理員屬性。請參閱為 AD 管理員核准者角色設定 Active Directory 屬性

程序

  1. 選取內容和原則 > 原則 > 定義 > 新增原則 > 核准原則
  2. 設定核准原則 1。
    做為管理員,您有一個重要的目錄項目,該項目同時耗用大量雲端資源。您希望多位管理員檢閱所有部署請求,以確保確實需要該請求,且存在支援該請求的資源。
    1. 定義原則的有效時間。
      設定 範例值
      範圍 組織

      此原則將套用到您組織中的所有專案。

      準則 
      Catalog Item equals CompanyApplication
    2. 定義核准行為。
      設定 範例值
      核准層級 1

      根據您所希望的處理順序排列層級優先順序。
      核准類型 選取使用者型

      選取作為請求核准者的使用者和使用者群組。
      核准者模式 全部

      您希望所有 IT 管理員一致認為部署請求不會浪費資源。
      核准者 {GroupName1}@YourCompany、{ApproverName1}@YourCompany、{ApproverName2}@YourCompany

      核准請求將傳送給使用者群組的所有成員。只能一位群組成員核准請求。
      自動到期決定 拒絕

      您的雲端資源上可能存在的負載意味著您不希望在未經核准的情況下無意中部署該項目。
      自動到期觸發器 3

      當管理員可能沒空時,此值應該可以支撐一個漫長的周末。
      動作 Deployment.Create
    在此案例中,如果有任何目錄取用者請求此目錄項目,則核准者 1、核准者 2 和使用者群組 1 的任何一位成員均須在 3 天內核准請求,否則請求會遭到拒絕。
  3. 設定核准原則 2。
    身為管理員,您擁有多個專案,希望其專案管理員核准對可能造成嚴重後果的部署所做的任何變更。例如,刪除部署。
    1. 定義核准原則的有效時間。
      設定 範例值
      範圍
      多個專案 
      Project name contains Prod

      該原則將套用至與符合範圍準則之所有專案相關聯的部署。
      準則
    2. 定義核准行為。
      設定 範例值
      核准層級 1
      核准類型 選取角色型
      核准者角色 專案管理員

      如果專案沒有專用的管理員,則核准原則不會套用至與該專案相關聯的請求。

      核准者模式 任何
      自動到期決定 拒絕
      自動到期觸發器 7
      動作 Deployment.Delete、Deployment.PowerOff、Deployment.Update,以及任何元件特定的電源、重新開機和刪除動作。
    在此案例中,當其中一個限定專案的成員提交對部署執行所列動作的請求時,如果專案管理員沒有回應,則會在七天後拒絕該請求。
  4. 設定核准原則 3。
    身為管理員,您想要對資源耗用保持一點控制權。例如,當使用者請求大型大小的目錄項目時,您想要評估並核准該請求。大小由類型模板對應定義。
    1. 定義核准原則的有效時間。
      設定 範例值
      範圍 組織
      準則 
      Resources has any 
     Flavor equals large
    2. 定義核准行為。
      設定 範例值
      核准層級 1
      核准類型 選取使用者型
      核准者模式 任何
      核准者 {AdminName}@YourCompany
      自動到期決定 拒絕

      您的雲端資源上可能存在的耗用意味著您不希望在未經核准的情況下無意中部署該項目。
      自動到期觸發器 5
      動作 Deployment.Create 和任何適用的 *.Machine.Resize 動作。例如,Cloud.vSphere.Machine.Resize。
      在此案例中,當任何使用者提交大型部署的請求或將部署大小調整為大型的請求時,如果雲端管理員沒有回應,則會在 5 天後拒絕該請求。

下一步