Scopri le modalità operative e le credenziali AWS
Suggerisci modifiche
PDF
NetApp Workload Factory offre tre modalità operative che consentono di controllare attentamente l'accesso tra Workload Factory e il cloud in base alle policy IT. La modalità operativa utilizzata è determinata dal livello di autorizzazioni AWS fornite a Workload Factory.
Modalità operative
Le modalità operative forniscono un'organizzazione logica delle funzionalità e delle capacità fornite da Workload Factory, in base al livello di attendibilità assegnato. L'obiettivo principale nelle modalità operative è comunicare chiaramente quali attività Workload Factory può o non può eseguire all'interno del tuo account AWS.
- Modalità base
-
Rappresenta una relazione di zero-trust in cui non vengono assegnate autorizzazioni AWS a Workload Factory. È progettato per l'esplorazione preliminare di Workload Factory e l'utilizzo delle varie procedure guidate per creare l'Infrastructure as Code (IaC) necessaria. Puoi copiare il codice e utilizzarlo in AWS inserendo manualmente le tue credenziali AWS.
- Modalità di sola lettura
-
Migliora l'esperienza della modalità base aggiungendo autorizzazioni di sola lettura in modo che i modelli IaC vengano compilati con le tue variabili specifiche (ad esempio, VPC, gruppi di sicurezza, ecc.). Ciò consente di eseguire l'IaC direttamente dal tuo account AWS senza dover fornire autorizzazioni di modifica a Workload Factory.
- Modalità lettura/scrittura
-
Rappresenta una relazione di fiducia completa in modo che a Workload Factory vengano assegnate autorizzazioni complete. Ciò consente a Workload Factory di eseguire e automatizzare le operazioni in AWS per tuo conto, insieme alle credenziali assegnate che dispongono delle autorizzazioni necessarie per l'esecuzione.
Scopri di più su "autorizzazioni per NetApp Workload Factory" .
Funzioni della modalità operativa
Le funzioni disponibili utilizzando ciascuna delle modalità aumentano con ogni modalità.
| Modalità | Automazione da Workload Factory | Automazione in AWS tramite IAC | Rilevamento e completamento automatico delle risorse AWS | Monitoraggio dell'avanzamento |
|---|---|---|---|---|
Di base |
No |
Modello IAC minimamente completo |
No |
No |
Sola lettura |
No |
Modello IAC moderatamente completo |
Sì |
Sì |
Lettura/scrittura |
Automazione completa |
Modello IAC completo con automazione completa |
Sì |
Sì |
Requisiti della modalità operativa
Non è necessario impostare alcun selettore in Workload Factory per identificare la modalità che si intende utilizzare. La modalità viene determinata in base alle credenziali e alle autorizzazioni AWS assegnate al tuo account Workload Factory.
| Modalità | Credenziali dell'account AWS | Collegamento |
|---|---|---|
Di base |
Non richiesto |
Non richiesto |
Sola lettura |
Sola lettura |
Non richiesto |
Lettura/scrittura |
Credenziali di lettura/scrittura |
Obbligatorio |
Esempi di modalità operativa
È possibile impostare le credenziali in modo da fornire una modalità per un componente del carico di lavoro e un'altra modalità per un altro componente. Ad esempio, è possibile configurare la modalità di lettura/scrittura per le operazioni in cui si distribuiscono e si gestiscono file system FSx per ONTAP , ma configurare solo la modalità di sola lettura per la creazione e la distribuzione di carichi di lavoro del database tramite Workload Factory.
È possibile fornire queste funzionalità all'interno di un singolo set di credenziali in un account Workload Factory oppure è possibile creare più set di credenziali quando ogni credenziale fornisce funzionalità di distribuzione del carico di lavoro uniche.
Esempio 1
Gli utenti dell'account che utilizzano le credenziali a cui sono state concesse le seguenti autorizzazioni avranno il controllo completo (modalità lettura/scrittura) per la creazione di file system FSx per ONTAP, la distribuzione di database e la visualizzazione di altri tipi di storage AWS utilizzati nell'account.
Tuttavia, non disporranno di controlli di automazione per la creazione e la distribuzione di carichi di lavoro VMware (modalità di base) da Workload Factory. Se desiderano creare carichi di lavoro VMware, dovranno copiare il codice da Codebox, accedere manualmente al proprio account AWS e popolare manualmente le voci mancanti nel codice generato per utilizzare questa funzionalità.
Esempio 2
In questo caso, l'utente ha creato due set di credenziali per consentire diverse funzionalità operative a seconda del set di credenziali selezionato. Generalmente, ogni set di credenziali viene accoppiato a un account AWS diverso.
Il primo set di credenziali include autorizzazioni che forniscono agli utenti il controllo completo sulla creazione di file system FSx for ONTAP (e la possibilità di visualizzare altri tipi di storage AWS utilizzati nell'account), ma solo autorizzazioni di sola lettura quando si lavora con carichi di lavoro VMware.
Il secondo set di credenziali fornisce solo autorizzazioni che garantiscono agli utenti un controllo completo sulla creazione di file system FSX per ONTAP e sulla visualizzazione degli altri tipi di storage AWS utilizzati nell'account.
Credenziali AWS
Abbiamo progettato un flusso di registrazione con credenziali AWS presumono il ruolo che:
-
Supporto di autorizzazioni degli account AWS più allineate, consentendoti di specificare le funzionalità dei workload che desideri utilizzare e fornendo requisiti di policy IAM in base a tali selezioni.
-
Consente di regolare le autorizzazioni degli account AWS assegnate in base al consenso esplicito o di esclusione di funzionalità specifiche dei carichi di lavoro.
-
Semplifica la creazione manuale delle policy IAM fornendo file di policy JSON personalizzati che puoi applicare nella console AWS.
-
Semplifica ulteriormente il processo di registrazione delle credenziali offrendo agli utenti un'opzione automatica per la creazione di ruoli e policy IAM richieste utilizzando gli stack di AWS CloudFormation.
-
Si allinea in modo migliore con FSX per gli utenti ONTAP che preferiscono avere le proprie credenziali memorizzate entro i confini dell'ecosistema cloud di AWS, consentendo lo storage delle credenziali dei servizi FSX per ONTAP in un backend di gestione segreta basato su AWS.
Una o più credenziali AWS
Quando utilizzi la tua prima funzionalità (o funzionalità) di Workload Factory, dovrai creare le credenziali utilizzando le autorizzazioni richieste per tali funzionalità del carico di lavoro. Aggiungerai le credenziali a Workload Factory, ma dovrai accedere alla AWS Management Console per creare il ruolo e la policy IAM. Queste credenziali saranno disponibili nel tuo account quando utilizzi qualsiasi funzionalità di Workload Factory.
Il tuo set iniziale di credenziali AWS può includere una policy IAM per una funzionalità o per molte funzionalità. Dipende semplicemente dai tuoi requisiti di business.
L'aggiunta di più di un set di credenziali AWS a Workload Factory fornisce autorizzazioni aggiuntive necessarie per utilizzare funzionalità aggiuntive, come i file system FSx for ONTAP , distribuire database su FSx for ONTAP, migrare carichi di lavoro VMware e altro ancora.