En savoir plus sur les modes opérationnels et les identifiants AWS
Suggérer des modifications
PDF
NetApp Workload Factory propose trois modes opérationnels qui vous permettent de contrôler soigneusement l'accès entre Workload Factory et votre parc cloud en fonction de vos politiques informatiques. Le mode opérationnel que vous utilisez est déterminé par le niveau d’autorisations AWS que vous fournissez à Workload Factory.
Modes de fonctionnement
Les modes opérationnels fournissent une organisation logique des fonctionnalités et des capacités fournies par Workload Factory, en corrélation avec le niveau de confiance que vous attribuez. L’objectif principal des modes opérationnels est de communiquer clairement quelles tâches Workload Factory peut ou ne peut pas effectuer au sein de votre compte AWS.
- Mode de base
-
Représente une relation de confiance zéro dans laquelle aucune autorisation AWS n'est attribuée à Workload Factory. Il est conçu pour l'exploration précoce de Workload Factory et l'utilisation des différents assistants pour créer l'infrastructure en tant que code (IaC) nécessaire. Vous pouvez copier le code et l'utiliser dans AWS en saisissant manuellement vos informations d'identification AWS.
- Mode lecture seule
-
Améliore l'expérience du mode de base en ajoutant des autorisations en lecture seule afin que les modèles IaC soient remplis avec vos variables spécifiques (par exemple, VPC, groupes de sécurité, etc.). Cela vous permet d'exécuter l'IaC directement depuis votre compte AWS sans fournir d'autorisations de modification à Workload Factory.
- Mode lecture/écriture
-
Représente une relation de confiance totale afin que Workload Factory se voie attribuer toutes les autorisations. Cela permet à Workload Factory d'exécuter et d'automatiser les opérations dans AWS en votre nom avec les informations d'identification attribuées qui disposent des autorisations nécessaires à l'exécution.
En savoir plus sur "autorisations pour NetApp Workload Factory" .
Fonctions du mode opérationnel
Les fonctions disponibles à l'aide de chacun des modes augmentent avec chaque mode.
| Mode | Automatisation de Workload Factory | L'automatisation dans AWS grâce à IAC | Découverte et exécution automatique des ressources AWS | Suivi de la progression |
|---|---|---|---|---|
Basique |
Non |
Modèle IAC au minimum complet |
Non |
Non |
Lecture seule |
Non |
Modèle IAC modérément complet |
Oui |
Oui |
Lecture/écriture |
Automatisation totale |
Modèle IAC complet avec automatisation complète |
Oui |
Oui |
Conditions requises pour le mode opérationnel
Il n’y a aucun sélecteur que vous devez définir dans Workload Factory pour identifier le mode que vous prévoyez d’utiliser. Le mode est déterminé en fonction des informations d’identification et des autorisations AWS que vous attribuez à votre compte Workload Factory.
| Mode | Identifiants de compte AWS | Lien |
|---|---|---|
Basique |
Non requis |
Non requis |
Lecture seule |
Lecture seule |
Non requis |
Lecture/écriture |
Informations d'identification en lecture/écriture |
Obligatoire |
Exemples de mode opérationnel
Vous pouvez configurer vos informations d’identification pour fournir un mode pour un composant de charge de travail et un autre mode pour un autre composant. Par exemple, vous pouvez configurer le mode lecture/écriture pour les opérations où vous déployez et gérez les systèmes de fichiers FSx for ONTAP , mais configurer uniquement le mode lecture seule pour la création et le déploiement de charges de travail de base de données à l'aide de Workload Factory.
Vous pouvez fournir ces fonctionnalités dans un seul ensemble d'informations d'identification dans un compte Workload Factory, ou vous pouvez créer plusieurs ensembles d'informations d'identification lorsque chaque information d'identification fournit des fonctionnalités de déploiement de charge de travail uniques.
Exemple 1
Les utilisateurs de compte qui utilisent les informations d'identification auxquelles ont été accordées les autorisations suivantes auront un contrôle total (mode lecture/écriture) pour créer des systèmes de fichiers FSx pour ONTAP, déployer des bases de données et afficher d'autres types de stockage AWS utilisés dans le compte.
Cependant, ils ne disposeront d’aucun contrôle d’automatisation pour la création et le déploiement de charges de travail VMware (mode de base) à partir de Workload Factory. S'ils souhaitent créer des charges de travail VMware, ils devront copier le code de Codebox, se connecter manuellement à leur compte AWS et renseigner manuellement les entrées manquantes dans le code généré pour utiliser cette fonctionnalité.
Exemple 2
Dans ce cas, l'utilisateur a créé deux ensembles d'informations d'identification pour permettre différentes capacités opérationnelles en fonction de l'ensemble d'informations d'identification sélectionné. Généralement, chaque ensemble d'informations d'identification est associé à un compte AWS différent.
Le premier ensemble d'informations d'identification inclut des autorisations qui donnent aux utilisateurs un contrôle total pour la création de systèmes de fichiers FSx pour ONTAP (et la possibilité d'afficher d'autres types de stockage AWS utilisés dans le compte), mais uniquement des autorisations en lecture seule lors de l'utilisation de charges de travail VMware.
Le second ensemble d'identifiants fournit uniquement des autorisations qui donnent aux utilisateurs un contrôle total pour la création des systèmes de fichiers FSX pour ONTAP et l'affichage des autres types de stockage AWS utilisés dans le compte.
Identifiants AWS
Nous avons conçu un flux d'enregistrement des informations d'identification du rôle AWS supposé qui :
-
Prend en charge des autorisations de compte AWS plus alignées : vous pouvez spécifier les fonctionnalités des workloads que vous souhaitez utiliser et définir les exigences de règles IAM en fonction de ces sélections.
-
Vous permet d'ajuster les autorisations accordées au compte AWS lorsque vous acceptez ou désabonnez-vous de certaines fonctionnalités de workloads.
-
Simplifie la création manuelle de règles IAM grâce à des fichiers de règles JSON personnalisés que vous pouvez appliquer dans la console AWS.
-
Simplifie également le processus d'enregistrement des identifiants en offrant aux utilisateurs une option automatisée pour la création de règles IAM et de rôles requises à l'aide de piles AWS CloudFormation.
-
Il est mieux adapté aux utilisateurs de FSX for ONTAP qui préfèrent stocker leurs identifiants dans les limites de l'écosystème cloud AWS en permettant le stockage des identifiants de services FSX pour ONTAP dans un système de gestion des secrets basé sur AWS.
Une ou plusieurs identifiants AWS
Lorsque vous utilisez votre première fonctionnalité Workload Factory (ou vos premières fonctionnalités), vous devez créer les informations d'identification à l'aide des autorisations requises pour ces fonctionnalités de charge de travail. Vous ajouterez les informations d’identification à Workload Factory, mais vous devrez accéder à la console de gestion AWS pour créer le rôle et la politique IAM. Ces informations d’identification seront disponibles dans votre compte lorsque vous utiliserez n’importe quelle fonctionnalité de Workload Factory.
Votre ensemble initial d'identifiants AWS peut inclure une règle IAM pour une fonctionnalité ou pour de nombreuses fonctionnalités. Cela dépend simplement des besoins de votre entreprise.
L'ajout de plusieurs ensembles d'informations d'identification AWS à Workload Factory fournit des autorisations supplémentaires nécessaires pour utiliser des fonctionnalités supplémentaires, telles que les systèmes de fichiers FSx pour ONTAP , déployer des bases de données sur FSx pour ONTAP, migrer des charges de travail VMware, etc.