Einrichten und Hinzufügen von Azure-Konten zu Cloud Manager
Wenn Sie Cloud Volumes ONTAP in verschiedenen Azure-Konten implementieren möchten, müssen Sie diese Konten die erforderlichen Berechtigungen erteilen und anschließend Details zu den Konten in Cloud Manager einfügen.
Bei der Implementierung von Cloud Manager über Cloud Central fügt Cloud Manager automatisch das Azure Konto hinzu, in dem Sie Cloud Manager implementiert haben. Ein initiales Konto wird nicht hinzugefügt, wenn Sie die Cloud Manager Software manuell auf einem vorhandenen System installieren. "Weitere Informationen zu Azure Konten und Berechtigungen". |
Azure-Berechtigungen über einen Service-Principal gewähren
Cloud Manager benötigt Berechtigungen zum Ausführen von Aktionen in Azure. Sie können einem Azure-Konto die erforderlichen Berechtigungen erteilen, indem Sie einen Service-Principal in Azure Active Directory erstellen und einrichten, sowie die für Cloud Manager erforderlichen Azure Zugangsdaten erhalten.
In der folgenden Abbildung wird dargestellt, wie Cloud Manager Berechtigungen zum Ausführen von Vorgängen in Azure erhält. Ein Service-Prinzipalobjekt, das an ein oder mehrere Azure Subscriptions gebunden ist, stellt Cloud Manager in Azure Active Directory dar und wird einer benutzerdefinierten Rolle zugewiesen, die die erforderlichen Berechtigungen zulässt.
Erstellen einer Azure Active Directory-Anwendung
Erstellen einer Azure Active Directory (AD)-Applikation und eines Service-Principal, den Cloud Manager für die rollenbasierte Zugriffssteuerung nutzen kann
Sie müssen über die richtigen Berechtigungen in Azure verfügen, um eine Active Directory-Anwendung zu erstellen und die Anwendung einer Rolle zuzuweisen. Weitere Informationen finden Sie unter "Microsoft Azure-Dokumentation: Erforderliche Berechtigungen".
-
Öffnen Sie über das Azure-Portal den Azure Active Directory-Service.
-
Klicken Sie im Menü auf App-Registrierungen.
-
Klicken Sie auf Neue Registrierung.
-
Geben Sie Details zur Anwendung an:
-
Name: Geben Sie einen Namen für die Anwendung ein.
-
Kontotyp: Wählen Sie einen Kontotyp aus (jeder funktioniert mit Cloud Manager).
-
Redirect URI: Wählen Sie Web und geben Sie dann eine beliebige URL ein – z. B. https://url
-
-
Klicken Sie Auf Registrieren.
Sie haben die AD-Anwendung und den Service-Principal erstellt.
Anwendung einer Rolle zuweisen
Sie müssen den Service-Principal an ein oder mehrere Azure-Abonnements binden und ihm die benutzerdefinierte Rolle „OnCommand Cloud Manager Operator“ zuweisen, damit Cloud Manager über Berechtigungen in Azure verfügt.
-
Erstellen einer benutzerdefinierten Rolle:
-
Laden Sie die herunter "Cloud Manager Azure-Richtlinie".
-
Ändern Sie die JSON-Datei, indem Sie dem zuweisbaren Bereich Azure-Abonnement-IDs hinzufügen.
Sie sollten die ID für jedes Azure Abonnement hinzufügen, aus dem Benutzer Cloud Volumes ONTAP Systeme erstellen.
Beispiel
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
Verwenden Sie die JSON-Datei, um eine benutzerdefinierte Rolle in Azure zu erstellen.
Im folgenden Beispiel wird gezeigt, wie eine benutzerdefinierte Rolle mithilfe der Azure CLI 2.0 erstellt wird:
Az Rollendefinition erstellen --Role-Definition C:\Policy_for_Cloud_Manager_Azure_3.7.4.json
Sie sollten nun über eine benutzerdefinierte Rolle namens OnCommand Cloud Manager Operator verfügen.
-
-
Applikation der Rolle zuweisen:
-
Öffnen Sie im Azure-Portal den Service Abonnements.
-
Wählen Sie das Abonnement aus.
-
Klicken Sie auf Zugriffskontrolle (IAM) > Hinzufügen > Rollenzuweisung hinzufügen.
-
Wählen Sie die Rolle OnCommand Cloud Manager Operator aus.
-
* Azure AD Benutzer, Gruppe oder Serviceprincipal* ausgewählt lassen.
-
Suchen Sie nach dem Namen der Anwendung (Sie finden sie nicht in der Liste durch Scrollen).
-
Wählen Sie die Anwendung aus und klicken Sie auf Speichern.
Der Service Principal für den Cloud Manager verfügt jetzt über die erforderlichen Azure Berechtigungen für das Abonnement.
Wenn Sie Cloud Volumes ONTAP aus mehreren Azure Subscriptions bereitstellen möchten, müssen Sie den Service-Prinzipal an jedes dieser Subscriptions binden. Mit Cloud Manager können Sie das Abonnement auswählen, das Sie bei der Implementierung von Cloud Volumes ONTAP verwenden möchten.
-
Windows Azure Service Management-API-Berechtigungen werden hinzugefügt
Der Service-Principal muss über die Berechtigungen „Windows Azure Service Management API“ verfügen.
-
Klicken Sie im Azure Active Directory-Dienst auf App-Registrierungen und wählen Sie die Anwendung aus.
-
Klicken Sie auf API-Berechtigungen > Berechtigung hinzufügen.
-
Wählen Sie unter Microsoft APIs Azure Service Management aus.
-
Klicken Sie auf Zugriff auf Azure Service Management als Benutzer der Organisation und dann auf Berechtigungen hinzufügen.
Abrufen der Anwendungs-ID und der Verzeichnis-ID
Wenn Sie dem Cloud Manager das Azure-Konto hinzufügen, müssen Sie die Anwendungs- (Client-) ID und die Verzeichnis- (Mandanten-)ID für die Applikation angeben. Cloud Manager verwendet die IDs, um sich programmatisch anzumelden.
-
Klicken Sie im Azure Active Directory-Dienst auf App-Registrierungen und wählen Sie die Anwendung aus.
-
Kopieren Sie die Application (Client) ID und die Directory (Tenant) ID.
Erstellen eines Clientgeheimnisses
Sie müssen ein Client-Geheimnis erstellen und Cloud Manager dann den Wert des Geheimnisses zur Verfügung stellen, damit Cloud Manager es zur Authentifizierung mit Azure AD verwenden kann.
Wenn Sie das Konto zu Cloud Manager hinzufügen, bezieht sich Cloud Manager auf das Kundengeheimnis als Applikationsschlüssel. |
-
Öffnen Sie den Dienst Azure Active Directory.
-
Klicken Sie auf App-Registrierungen und wählen Sie Ihre Anwendung aus.
-
Klicken Sie auf Zertifikate & Geheimnisse > Neuer Client Secret.
-
Geben Sie eine Beschreibung des Geheimnisses und eine Dauer an.
-
Klicken Sie Auf Hinzufügen.
-
Kopieren Sie den Wert des Clientgeheimnisses.
Ihr Service-Principal ist jetzt eingerichtet und Sie sollten die Anwendungs- (Client-)ID, die Verzeichnis- (Mandanten-)ID und den Wert des Clientgeheimnisses kopiert haben. Sie müssen diese Informationen in Cloud Manager eingeben, wenn Sie ein Azure-Konto hinzufügen.
Hinzufügen von Azure-Konten zu Cloud Manager
Nachdem Sie ein Azure Konto mit den erforderlichen Berechtigungen angegeben haben, können Sie das Konto zu Cloud Manager hinzufügen. Damit können Sie Cloud Volumes ONTAP Systeme in diesem Konto starten.
-
Klicken Sie oben rechts in der Cloud Manager-Konsole auf das Symbol Einstellungen und wählen Sie Cloud Provider & Support Accounts aus.
-
Klicken Sie auf Neues Konto hinzufügen und wählen Sie Microsoft Azure.
-
Geben Sie Informationen zum Azure Active Directory Service Principal ein, der die erforderlichen Berechtigungen erteilt:
-
Anwendungs-ID: Siehe Abrufen der Anwendungs-ID und der Verzeichnis-ID.
-
Mandanten-ID (oder Verzeichnis-ID): Siehe Abrufen der Anwendungs-ID und der Verzeichnis-ID.
-
Anwendungsschlüssel (das Clientgeheimnis): Siehe Erstellen eines Clientgeheimnisses.
-
-
Bestätigen Sie, dass die Richtlinienanforderungen erfüllt wurden, und klicken Sie dann auf Konto erstellen.
Sie können jetzt auf der Seite Details und Anmeldeinformationen zu einem anderen Konto wechseln, wenn Sie eine neue Arbeitsumgebung erstellen:
Verknüpfen weiterer Azure-Abonnements mit einer gemanagten Identität
Mit Cloud Manager können Sie das Azure Konto und das Abonnement auswählen, in dem Sie Cloud Volumes ONTAP implementieren möchten. Sie können kein anderes Azure-Abonnement für das verwaltete Identitätsprofil auswählen, es sei denn, Sie verknüpfen das "Verwaltete Identität" Mit diesen Abonnements.
Eine verwaltete Identität ist "Zunächst das Azure-Konto" Wenn Sie Cloud Manager über NetApp Cloud Central implementieren. Bei der Implementierung von Cloud Manager erstellte Cloud Central die Rolle "OnCommand Cloud Manager Operator" und wies sie der virtuellen Cloud Manager-Maschine zu.
-
Melden Sie sich beim Azure Portal an.
-
Öffnen Sie den Dienst Abonnements und wählen Sie dann das Abonnement aus, in dem Sie Cloud Volumes ONTAP-Systeme bereitstellen möchten.
-
Klicken Sie auf Access Control (IAM).
-
Klicken Sie auf Hinzufügen > Rollenzuordnung hinzufügen und fügen Sie dann die Berechtigungen hinzu:
-
Wählen Sie die Rolle OnCommand Cloud Manager Operator aus.
OnCommand Cloud Manager Operator ist der im angegebene Standardname "Cloud Manager-Richtlinie". Wenn Sie einen anderen Namen für die Rolle ausgewählt haben, wählen Sie stattdessen diesen Namen aus. -
Weisen Sie einer virtuellen Maschine Zugriff zu.
-
Wählen Sie das Abonnement aus, in dem die virtuelle Cloud Manager-Maschine erstellt wurde.
-
Wählen Sie die virtuelle Cloud Manager-Maschine aus.
-
Klicken Sie Auf Speichern.
-
-
-
Wiederholen Sie diese Schritte für weitere Abonnements.
Wenn Sie eine neue Arbeitsumgebung erstellen, sollten Sie nun über mehrere Azure-Abonnements für das verwaltete Identitätsprofil verfügen.