開始以雲端管理員身分使用 Cloud Assembly 之前,您必須收集公有和私有雲端帳戶的相關資訊。使用此檢查清單來協助您開始新增雲端資源。
所需的整體認證
若要執行以下作業... | 您需要... |
---|---|
註冊並登入 Cloud Assembly |
VMware 識別碼。
|
連線到 vRealize Automation Services |
HTTPS 連接埠 443 向傳出流量開啟,可透過防火牆存取:
如需有關連接埠和通訊協定的詳細資訊,請參閱〈VMware 連接埠和通訊協定〉。 如需有關連接埠和通訊協定的詳細資訊,請參閱《參考架構》說明中的〈連接埠需求〉。 |
vCenter 雲端帳戶認證
本節說明新增 vCenter 雲端帳戶所需的認證。
- vCenter IP 位址或 FQDN
將列出管理 VMware Cloud on AWS 和 vCenter 雲端帳戶所需的權限。必須針對 vCenter 中的所有叢集啟用這些權限,而非僅針對主控端點的叢集啟用。
若要在部署 Windows 11 虛擬機器時支援控制 VMware 虛擬信賴平台模組 (vTPM),您必須在 vCenter 中具有密碼編譯作業 -> 直接存取權限。如果沒有此權限,則無法從 vRealize Automation 對 Windows 11 虛擬機器進行主控台存取。如需相關資訊,請參閱〈虛擬信賴平台模組概觀〉。
對於所有以 vCenter 為基礎的雲端帳戶 (包括 NSX-V、NSX-T、vCenter 和 VMware Cloud on AWS),管理員必須具有 vSphere 端點認證或用以在 vCenter 中執行代理程式服務的認證,以提供對主機 vCenter 的管理存取權。
設定 | 選取項目 |
---|---|
資料存放區 |
|
資料存放區叢集 |
|
資料夾 |
|
全域 |
|
網路 |
|
權限 |
|
資源 |
|
設定檔導向儲存 |
|
內容程式庫 若要指派內容程式庫的權限,管理員必須將該權限做為全域權限授與使用者。如需相關資訊,請參閱 VMware vSphere 說明文件之《vSphere 虛擬機器管理》中的〈內容程式庫權限的階層式繼承〉。 |
|
vSphere 標記 |
|
vApp |
|
虛擬機器 - 詳細目錄 |
|
虛擬機器 - 互動 |
|
虛擬機器 - 組態 |
|
虛擬機器 - 佈建 |
|
虛擬機器 - 狀態 |
|
Amazon Web Services (AWS) 雲端帳戶認證
本節說明新增 Amazon Web Services 雲端帳戶所需的認證。如需其他認證需求,請參閱上述 vCenter 雲端帳戶認證一節。
提供具有讀取和寫入權限的進階使用者帳戶。使用者帳戶必須是 AWS 身分識別與存取管理 (IAM) 系統中的電源存取原則 (PowerUserAccess) 的成員。
啟用 20 位數的存取金鑰識別碼及對應的密碼存取金鑰存取權。
如果您使用外部 HTTP 網際網路 Proxy,則必須針對 IPv4 進行設定。
設定 | 選取項目 |
---|---|
自動調整動作 | 若要允許自動調整功能,建議具備下列 AWS 權限:
|
自動調整資源 | 需要具備下列權限才能允許自動調整資源權限:
|
AWS Security Token Service (AWS STS) 資源 | 若要允許 AWS Security Token Service (AWS STS) 功能支援用於 AWS 身分識別與存取的暫時有限權限認證,需要具備下列權限:
|
EC2 動作 | 若要允許 EC2 功能,需要具備下列 AWS 權限:
|
EC2 資源 |
|
彈性負載平衡 - 負載平衡器動作 |
|
彈性負載平衡 - 負載平衡器資源 |
|
AWS 身分識別與存取管理 (IAM) |
您可以啟用下列 AWS 身分識別與存取管理 (IAM) 權限,但這些權限不是必要權限:
|
Microsoft Azure 雲端帳戶認證
本節說明新增 Microsoft Azure 雲端帳戶所需的認證。
設定 Microsoft Azure 執行個體,並取得可使用訂閱識別碼的有效 Microsoft Azure 訂閱。
建立 Active Directory 應用程式,如 Microsoft Azure 產品說明文件中的〈操作方法:使用入口網站建立可存取資源的 Azure AD 應用程式和服務主體〉所述。
如果您使用外部 HTTP 網際網路 Proxy,則必須針對 IPv4 進行設定。
- 一般設定
需要下列整體設定。
設定 說明 訂閱識別碼 可讓您存取 Microsoft Azure 訂閱。 承租人識別碼 在 Microsoft Azure 帳戶中建立的 Active Directory 應用程式的授權端點。 用戶端應用程式識別碼 提供 Microsoft Azure 個別帳戶中 Microsoft Active Directory 的存取權。 用戶端應用程式秘密金鑰 與您的用戶端應用程式識別碼配對而產生的唯一秘密金鑰。 - 用於建立和驗證雲端帳戶的設定
建立和驗證 Microsoft Azure 雲端帳戶需要下列權限。
設定 選取項目 Microsoft 計算 - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
- Microsoft.Compute/virtualMachines/deallocate/action
- Microsoft.Compute/virtualMachines/delete
- Microsoft.Compute/virtualMachines/powerOff/action
- Microsoft.Compute/virtualMachines/read
- Microsoft.Compute/virtualMachines/restart/action
- Microsoft.Compute/virtualMachines/start/action
- Microsoft.Compute/virtualMachines/write
- Microsoft.Compute/availabilitySets/write
- Microsoft.Compute/availabilitySets/read
- Microsoft.Compute/availabilitySets/delete
- Microsoft.Compute/disks/delete
- Microsoft.Compute/disks/read
- Microsoft.Compute/disks/write
Microsoft 網路 - Microsoft.Network/loadBalancers/backendAddressPools/join/action
- Microsoft.Network/loadBalancers/delete
- Microsoft.Network/loadBalancers/read
- Microsoft.Network/loadBalancers/write
- Microsoft.Network/networkInterfaces/join/action
- Microsoft.Network/networkInterfaces/read
- Microsoft.Network/networkInterfaces/write
- Microsoft.Network/networkInterfaces/delete
- Microsoft.Network/networkSecurityGroups/join/action
- Microsoft.Network/networkSecurityGroups/read
- Microsoft.Network/networkSecurityGroups/write
- Microsoft.Network/networkSecurityGroups/delete
- Microsoft.Network/publicIPAddresses/delete
- Microsoft.Network/publicIPAddresses/join/action
- Microsoft.Network/publicIPAddresses/read
- Microsoft.Network/publicIPAddresses/write
- Microsoft.Network/virtualNetworks/read
- Microsoft.Network/virtualNetworks/subnets/delete
- Microsoft.Network/virtualNetworks/subnets/join/action
- Microsoft.Network/virtualNetworks/subnets/read
- Microsoft.Network/virtualNetworks/subnets/write
- Microsoft.Network/virtualNetworks/write
Microsoft 資源 - Microsoft.Resources/subscriptions/resourcegroups/delete
- Microsoft.Resources/subscriptions/resourcegroups/read
- Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft 儲存 - Microsoft.Storage/storageAccounts/delete
- Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Microsoft.Storage/storageAccounts/listKeys/action 通常不是必要權限,但使用者檢視儲存區帳戶時可能需要具備此權限。
Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.web/sites/functions/masterkey/read
- 以動作為基礎的擴充性設定
如果您要將 Microsoft Azure 與以動作為基礎的擴充性搭配使用,則除了最小權限之外,還需要下列權限。
設定 選取項目 Microsoft Web - Microsoft.Web/sites/read
- Microsoft.Web/sites/write
- Microsoft.Web/sites/delete
- Microsoft.Web/sites/*/action
- Microsoft.Web/sites/config/read
- Microsoft.Web/sites/config/write
- Microsoft.Web/sites/config/list/action
- Microsoft.Web/sites/publishxml/action
- Microsoft.Web/serverfarms/write
- Microsoft.Web/serverfarms/delete
- Microsoft.Web/sites/hostruntime/functions/keys/read
- Microsoft.Web/sites/hostruntime/host/read
- Microsoft.Web/sites/functions/masterkey/read
- Microsoft.Web/apimanagementaccounts/apis/read
Microsoft 授權 - Microsoft.Authorization/roleAssignments/read
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
Microsoft Insights - Microsoft.Insights/Components/Read
- Microsoft.Insights/Components/Write
- Microsoft.Insights/Components/Query/Read
如果將
Storage account public access should be disallowed
內容指派給效果類型為Deny
的資源群組,則會阻止為擴充性動作自動建立儲存區帳戶。在這種情況下,如果將 FaaS 提供者設定為自動選取,則擴充性動作將無法執行。必須手動將 FaaS 提供者設定為 Microsoft Azure 並設定儲存區帳戶和資源群組。 - 具有延伸的以動作為基礎的擴充性設定
如果您要將 Microsoft Azure 與具有延伸的以動作為基礎的擴充性搭配使用,則還需要下列權限。
設定 選取項目 Microsoft.Compute - Microsoft.Compute/virtualMachines/extensions/write
- Microsoft.Compute/virtualMachines/extensions/read
- Microsoft.Compute/virtualMachines/extensions/delete
如需建立 Microsoft Azure 雲端帳戶的相關資訊,請參閱〈設定 Microsoft Azure〉。
Google Cloud Platform (GCP) 雲端帳戶認證
本節說明新增 Google Cloud Platform 雲端帳戶所需的認證。
Google Cloud Platform 雲端帳戶與 Google Cloud Platform 計算引擎互動。
建立並驗證 Google Cloud Platform 雲端帳戶時需要專案管理員和擁有者認證。
如果您使用外部 HTTP 網際網路 Proxy,則必須針對 IPv4 進行設定。
必須啟用計算引擎服務。在 vRealize Automation 中建立雲端帳戶時,請使用在初始化計算引擎時所建立的服務帳戶。
設定 | 選取項目 |
---|---|
roles/compute.admin |
提供所有計算引擎資源的完整控制權。 |
roles/iam.serviceAccountUse |
為管理設定為做為服務帳戶執行的虛擬機器執行個體的使用者提供存取權。授與下列資源和服務的存取權:
|
roles/compute.imageUser |
提供列出和讀取映像的權限,沒有映像的其他權限。在專案層級授與 compute.imageUser 角色,可讓使用者列出專案中的所有映像。還可以讓使用者根據專案中的映像建立資源,例如執行個體和持續性磁碟。
|
roles/compute.instanceAdmin |
提供建立、修改和刪除虛擬機器執行個體的權限。這包括建立、修改和刪除磁碟以及設定受防護的 VMBETA 設定的權限。 對於管理虛擬機器執行個體 (但不是網路或安全性設定,或做為服務帳戶執行的執行個體) 的使用者,將此角色授與包含執行個體的組織、資料夾或專案,或授與個別執行個體。 管理設定為做為服務帳戶執行的虛擬機器執行個體的使用者還需要 roles/iam.serviceAccountUser 角色。
|
roles/compute.instanceAdmin.v1 |
提供計算引擎執行個體、執行個體群組、磁碟、快照和映像的完整控制權。還提供對所有計算引擎網路資源的讀取權限。
備註: 如果您在執行個體層級授與使用者此角色,則該使用者無法建立新的執行個體。
|
NSX-T 雲端帳戶認證
本節說明新增 NSX-T 雲端帳戶所需的認證。
- NSX-T IP 位址或 FQDN
- NSX-T Data Center - 企業管理員角色和存取認證
需要具有稽核員角色。
類別/子類別 | 權限 |
---|---|
網路 - 第 0 層閘道 | 唯讀 |
網路 - 第 0 層閘道 -> OSPF | 無 |
網路 - 第 1 層閘道 | 完整存取權 |
網路 - 區段 | 完整存取權 |
網路 - VPN | 無 |
網路 - NAT | 完整存取權 |
網路 - 負載平衡 | 完整存取權 |
網路 - 轉送原則 | 無 |
網路 - 統計資料 | 無 |
網路 - DNS | 無 |
網路 - DHCP | 完整存取權 |
網路 - IP 位址集區 | 無 |
網路 - 設定檔 | 唯讀 |
安全性 - 威脅偵測與回應 | 無 |
安全性 - 分散式防火牆 | 完整存取權 |
安全性 - IDS/IPS 和惡意程式碼防護 | 無 |
安全性 - TLS 檢查 | 無 |
安全性 - 身分識別防火牆 | 無 |
安全性 - 閘道防火牆 | 無 |
安全性 - 服務鏈結管理 | 無 |
安全性 - 防火牆時間範圍 | 無 |
安全性 - 設定檔 | 無 |
安全性 - 服務設定檔 | 無 |
安全性 - 防火牆設定 | 完整存取權 |
安全性 - 閘道安全設定 | 無 |
詳細目錄 | 完整存取權 |
疑難排解 | 無 |
系統 | 無 |
管理員還需要能夠存取 vCenter,如本主題的〈vCenter 雲端帳戶認證〉一節中所述。
NSX-V 雲端帳戶認證
本節說明新增 NSX-V 雲端帳戶所需的認證。
- NSX-V 企業管理員角色和存取認證
- NSX-V IP 位址或 FQDN
管理員還需要能夠存取 vCenter,如此表的〈新增 vCenter 雲端帳戶〉一節中所述。
VMware Cloud Director (vCD) 雲端帳戶認證
本節說明新增 VMware Cloud Director (vCD) 雲端帳戶所需的認證。
設定 | 選取項目 |
---|---|
存取所有組織 vDC | 全部 |
目錄 |
|
一般 |
|
中繼資料檔案項目 | 建立/修改 |
組織網路 |
|
組織 vDC 閘道 |
|
組織 vDC |
|
組織 |
|
配額原則功能 | 檢視 |
VDC 範本 |
|
vApp 範本/媒體 |
|
vApp 範本 |
|
vApp |
|
vDC 群組 |
|
vRealize Operations Manager 整合認證
本節說明與 vRealize Operations Manager 整合所需的認證。請注意,這些認證在 vRealize Operations Manager 中建立和設定,而不是在 vRealize Automation 中建立和設定。
提供具有下列讀取權限的 vRealize Operations Manager 本機或非本機登入帳戶。
- 介面卡執行個體 vCenter 介面卡 > vCenter-FQDN 的 VC 介面卡執行個體
可能需要先匯入非本機帳戶,然後才能指派其唯讀角色。
NSX 與 Microsoft Azure VMware 解決方案 (AVS) 整合以在 vRealize Automation 中使用
如需將 Microsoft Azure VMware 解決方案 (AVS) 上執行的 NSX 連線到 vRealize Automation 的相關資訊 (包括設定自訂角色),請參閱 Microsoft 產品說明文件中的 NSX-T Data Center cloudadmin 使用者權限。