Skip to main content
Cloud Manager 3.7
Eine neuere Version dieses Produkts ist erhältlich.
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Einrichten und Hinzufügen von Azure-Konten zu Cloud Manager

Beitragende

Wenn Sie Cloud Volumes ONTAP in verschiedenen Azure-Konten implementieren möchten, müssen Sie diese Konten die erforderlichen Berechtigungen erteilen und anschließend Details zu den Konten in Cloud Manager einfügen.

Hinweis Bei der Implementierung von Cloud Manager über Cloud Central fügt Cloud Manager automatisch das Azure Konto hinzu, in dem Sie Cloud Manager implementiert haben. Ein initiales Konto wird nicht hinzugefügt, wenn Sie die Cloud Manager Software manuell auf einem vorhandenen System installieren. "Weitere Informationen zu Azure Konten und Berechtigungen".

Azure-Berechtigungen über einen Service-Principal gewähren

Cloud Manager benötigt Berechtigungen zum Ausführen von Aktionen in Azure. Sie können einem Azure-Konto die erforderlichen Berechtigungen erteilen, indem Sie einen Service-Principal in Azure Active Directory erstellen und einrichten, sowie die für Cloud Manager erforderlichen Azure Zugangsdaten erhalten.

Über diese Aufgabe

In der folgenden Abbildung wird dargestellt, wie Cloud Manager Berechtigungen zum Ausführen von Vorgängen in Azure erhält. Ein Service-Prinzipalobjekt, das an ein oder mehrere Azure Subscriptions gebunden ist, stellt Cloud Manager in Azure Active Directory dar und wird einer benutzerdefinierten Rolle zugewiesen, die die erforderlichen Berechtigungen zulässt.

Konzeptionelles Bild, das zeigt, wie Cloud Manager Authentifizierung und Autorisierung von Azure Active Directory erhält, bevor er einen API-Aufruf durchführen kann. In Active Directory definiert die Rolle "Cloud Manager Operator" Berechtigungen. Sie ist an ein oder mehrere Azure Subscriptions und ein Service-Prinzipalobjekt gebunden, das die Cloud Manager Applikation repräsentiert.

Erstellen einer Azure Active Directory-Anwendung

Erstellen einer Azure Active Directory (AD)-Applikation und eines Service-Principal, den Cloud Manager für die rollenbasierte Zugriffssteuerung nutzen kann

Bevor Sie beginnen

Sie müssen über die richtigen Berechtigungen in Azure verfügen, um eine Active Directory-Anwendung zu erstellen und die Anwendung einer Rolle zuzuweisen. Weitere Informationen finden Sie unter "Microsoft Azure-Dokumentation: Erforderliche Berechtigungen".

Schritte
  1. Öffnen Sie über das Azure-Portal den Azure Active Directory-Service.

    Zeigt den Active Directory-Dienst in Microsoft Azure an.

  2. Klicken Sie im Menü auf App-Registrierungen.

  3. Klicken Sie auf Neue Registrierung.

  4. Geben Sie Details zur Anwendung an:

    • Name: Geben Sie einen Namen für die Anwendung ein.

    • Kontotyp: Wählen Sie einen Kontotyp aus (jeder funktioniert mit Cloud Manager).

    • Redirect URI: Wählen Sie Web und geben Sie dann eine beliebige URL ein – z. B. https://url

  5. Klicken Sie Auf Registrieren.

Ergebnis

Sie haben die AD-Anwendung und den Service-Principal erstellt.

Anwendung einer Rolle zuweisen

Sie müssen den Service-Principal an ein oder mehrere Azure-Abonnements binden und ihm die benutzerdefinierte Rolle „OnCommand Cloud Manager Operator“ zuweisen, damit Cloud Manager über Berechtigungen in Azure verfügt.

Schritte
  1. Erstellen einer benutzerdefinierten Rolle:

    1. Laden Sie die herunter "Cloud Manager Azure-Richtlinie".

    2. Ändern Sie die JSON-Datei, indem Sie dem zuweisbaren Bereich Azure-Abonnement-IDs hinzufügen.

      Sie sollten die ID für jedes Azure Abonnement hinzufügen, aus dem Benutzer Cloud Volumes ONTAP Systeme erstellen.

      Beispiel

      "AssignableScopes": [
      "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
      "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
      "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
    3. Verwenden Sie die JSON-Datei, um eine benutzerdefinierte Rolle in Azure zu erstellen.

      Im folgenden Beispiel wird gezeigt, wie eine benutzerdefinierte Rolle mithilfe der Azure CLI 2.0 erstellt wird:

      Az Rollendefinition erstellen --Role-Definition C:\Policy_for_Cloud_Manager_Azure_3.7.4.json

    Sie sollten nun über eine benutzerdefinierte Rolle namens OnCommand Cloud Manager Operator verfügen.

  2. Applikation der Rolle zuweisen:

    1. Öffnen Sie im Azure-Portal den Service Abonnements.

    2. Wählen Sie das Abonnement aus.

    3. Klicken Sie auf Zugriffskontrolle (IAM) > Hinzufügen > Rollenzuweisung hinzufügen.

    4. Wählen Sie die Rolle OnCommand Cloud Manager Operator aus.

    5. * Azure AD Benutzer, Gruppe oder Serviceprincipal* ausgewählt lassen.

    6. Suchen Sie nach dem Namen der Anwendung (Sie finden sie nicht in der Liste durch Scrollen).

      Ein Screenshot mit dem Formular Rollenzuweisung hinzufügen im Azure Portal

    7. Wählen Sie die Anwendung aus und klicken Sie auf Speichern.

      Der Service Principal für den Cloud Manager verfügt jetzt über die erforderlichen Azure Berechtigungen für das Abonnement.

    Wenn Sie Cloud Volumes ONTAP aus mehreren Azure Subscriptions bereitstellen möchten, müssen Sie den Service-Prinzipal an jedes dieser Subscriptions binden. Mit Cloud Manager können Sie das Abonnement auswählen, das Sie bei der Implementierung von Cloud Volumes ONTAP verwenden möchten.

Windows Azure Service Management-API-Berechtigungen werden hinzugefügt

Der Service-Principal muss über die Berechtigungen „Windows Azure Service Management API“ verfügen.

Schritte
  1. Klicken Sie im Azure Active Directory-Dienst auf App-Registrierungen und wählen Sie die Anwendung aus.

  2. Klicken Sie auf API-Berechtigungen > Berechtigung hinzufügen.

  3. Wählen Sie unter Microsoft APIs Azure Service Management aus.

    Ein Screenshot des Azure Portals, in dem die Berechtigungen der Azure Service Management API angezeigt werden.

  4. Klicken Sie auf Zugriff auf Azure Service Management als Benutzer der Organisation und dann auf Berechtigungen hinzufügen.

    Ein Screenshot des Azure Portals, in dem das Hinzufügen der Azure Service Management APIs angezeigt wird

Abrufen der Anwendungs-ID und der Verzeichnis-ID

Wenn Sie dem Cloud Manager das Azure-Konto hinzufügen, müssen Sie die Anwendungs- (Client-) ID und die Verzeichnis- (Mandanten-)ID für die Applikation angeben. Cloud Manager verwendet die IDs, um sich programmatisch anzumelden.

Schritte
  1. Klicken Sie im Azure Active Directory-Dienst auf App-Registrierungen und wählen Sie die Anwendung aus.

  2. Kopieren Sie die Application (Client) ID und die Directory (Tenant) ID.

    Ein Screenshot, der die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant) für eine Anwendung in Azure Active Directory anzeigt

Erstellen eines Clientgeheimnisses

Sie müssen ein Client-Geheimnis erstellen und Cloud Manager dann den Wert des Geheimnisses zur Verfügung stellen, damit Cloud Manager es zur Authentifizierung mit Azure AD verwenden kann.

Hinweis Wenn Sie das Konto zu Cloud Manager hinzufügen, bezieht sich Cloud Manager auf das Kundengeheimnis als Applikationsschlüssel.
Schritte
  1. Öffnen Sie den Dienst Azure Active Directory.

  2. Klicken Sie auf App-Registrierungen und wählen Sie Ihre Anwendung aus.

  3. Klicken Sie auf Zertifikate & Geheimnisse > Neuer Client Secret.

  4. Geben Sie eine Beschreibung des Geheimnisses und eine Dauer an.

  5. Klicken Sie Auf Hinzufügen.

  6. Kopieren Sie den Wert des Clientgeheimnisses.

    Ein Screenshot des Azure-Portals, in dem ein Client-Geheimnis für den Azure AD-Service-Principal angezeigt wird

Ergebnis

Ihr Service-Principal ist jetzt eingerichtet und Sie sollten die Anwendungs- (Client-)ID, die Verzeichnis- (Mandanten-)ID und den Wert des Clientgeheimnisses kopiert haben. Sie müssen diese Informationen in Cloud Manager eingeben, wenn Sie ein Azure-Konto hinzufügen.

Hinzufügen von Azure-Konten zu Cloud Manager

Nachdem Sie ein Azure Konto mit den erforderlichen Berechtigungen angegeben haben, können Sie das Konto zu Cloud Manager hinzufügen. Damit können Sie Cloud Volumes ONTAP Systeme in diesem Konto starten.

Schritte
  1. Klicken Sie oben rechts in der Cloud Manager-Konsole auf das Symbol Einstellungen und wählen Sie Cloud Provider & Support Accounts aus.

    Ein Screenshot, in dem das Symbol „Einstellungen“ oben rechts in der Cloud Manager Konsole angezeigt wird.

  2. Klicken Sie auf Neues Konto hinzufügen und wählen Sie Microsoft Azure.

  3. Geben Sie Informationen zum Azure Active Directory Service Principal ein, der die erforderlichen Berechtigungen erteilt:

  4. Bestätigen Sie, dass die Richtlinienanforderungen erfüllt wurden, und klicken Sie dann auf Konto erstellen.

Ergebnis

Sie können jetzt auf der Seite Details und Anmeldeinformationen zu einem anderen Konto wechseln, wenn Sie eine neue Arbeitsumgebung erstellen:

Ein Screenshot, in dem die Auswahl zwischen Cloud-Provider-Konten angezeigt wird, nachdem Sie auf der Seite Details  Credentials auf Switch Account geklickt haben.

Verknüpfen weiterer Azure-Abonnements mit einer gemanagten Identität

Mit Cloud Manager können Sie das Azure Konto und das Abonnement auswählen, in dem Sie Cloud Volumes ONTAP implementieren möchten. Sie können kein anderes Azure-Abonnement für das verwaltete Identitätsprofil auswählen, es sei denn, Sie verknüpfen das "Verwaltete Identität" Mit diesen Abonnements.

Über diese Aufgabe

Eine verwaltete Identität ist "Zunächst das Azure-Konto" Wenn Sie Cloud Manager über NetApp Cloud Central implementieren. Bei der Implementierung von Cloud Manager erstellte Cloud Central die Rolle "OnCommand Cloud Manager Operator" und wies sie der virtuellen Cloud Manager-Maschine zu.

Schritte
  1. Melden Sie sich beim Azure Portal an.

  2. Öffnen Sie den Dienst Abonnements und wählen Sie dann das Abonnement aus, in dem Sie Cloud Volumes ONTAP-Systeme bereitstellen möchten.

  3. Klicken Sie auf Access Control (IAM).

    1. Klicken Sie auf Hinzufügen > Rollenzuordnung hinzufügen und fügen Sie dann die Berechtigungen hinzu:

      • Wählen Sie die Rolle OnCommand Cloud Manager Operator aus.

        Hinweis OnCommand Cloud Manager Operator ist der im angegebene Standardname "Cloud Manager-Richtlinie". Wenn Sie einen anderen Namen für die Rolle ausgewählt haben, wählen Sie stattdessen diesen Namen aus.
      • Weisen Sie einer virtuellen Maschine Zugriff zu.

      • Wählen Sie das Abonnement aus, in dem die virtuelle Cloud Manager-Maschine erstellt wurde.

      • Wählen Sie die virtuelle Cloud Manager-Maschine aus.

      • Klicken Sie Auf Speichern.

  4. Wiederholen Sie diese Schritte für weitere Abonnements.

Ergebnis

Wenn Sie eine neue Arbeitsumgebung erstellen, sollten Sie nun über mehrere Azure-Abonnements für das verwaltete Identitätsprofil verfügen.

Ein Screenshot, in dem die Möglichkeit angezeigt wird, bei der Auswahl eines Microsoft Azure Provider-Kontos mehrere Azure-Abonnements auszuwählen.