Adicionando contas de provedores de nuvem ao Cloud Manager
Se você quiser implantar o Cloud Volumes ONTAP em diferentes contas de nuvem, precisará fornecer as permissões necessárias para essas contas e adicionar os detalhes ao Cloud Manager.
Ao implantar o Cloud Manager a partir do Cloud Central, o Cloud Manager adiciona automaticamente um "conta de provedor de nuvem" à conta na qual você implantou o Cloud Manager. Uma conta inicial de provedor de nuvem não será adicionada se você instalou manualmente o software Cloud Manager em um sistema existente.
Configuração e adição de contas da AWS ao Cloud Manager
Se você quiser implantar o Cloud Volumes ONTAP em diferentes contas da AWS, precisará fornecer as permissões necessárias para essas contas e adicionar os detalhes ao Cloud Manager. A forma como você fornece as permissões depende se deseja fornecer ao Cloud Manager chaves AWS ou o ARN de uma função em uma conta confiável.
Concessão de permissões ao fornecer chaves da AWS
Se você quiser fornecer ao Cloud Manager chaves da AWS para um usuário do IAM, precisará conceder as permissões necessárias a esse usuário. A política do IAM do Cloud Manager define as ações e recursos da AWS que o Cloud Manager pode usar.
-
Faça download da política do IAM do Cloud Manager no "Página de políticas do Cloud Manager".
-
No console do IAM, crie sua própria política copiando e colando o texto da política do IAM do Cloud Manager.
-
Anexe a política a uma função do IAM ou a um usuário do IAM.
A conta agora tem as permissões necessárias. Agora você pode adicioná-lo ao Cloud Manager.
Concessão de permissões assumindo funções do IAM em outras contas
Você pode configurar um relacionamento de confiança entre a conta da AWS de origem na qual implantou a instância do Cloud Manager e outras contas da AWS usando funções do IAM. Em seguida, você fornecerá ao Cloud Manager o ARN das funções do IAM das contas confiáveis.
-
Vá para a conta de destino onde você deseja implantar o Cloud Volumes ONTAP e criar uma função do IAM selecionando outra conta da AWS.
Certifique-se de fazer o seguinte:
-
Insira o ID da conta onde reside a instância do Cloud Manager.
-
Anexe a política do IAM do Cloud Manager, que está disponível no "Página de políticas do Cloud Manager".
-
-
Vá para a conta de origem onde reside a instância do Cloud Manager e selecione a função do IAM anexada à instância.
-
Clique em Relações de confiança > Editar relação de confiança.
-
Adicione a ação "sts:AssumeRole" e o ARN da função que você criou na conta de destino.
Exemplo
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "arn:aws:iam::ACCOUNT-B-ID:role/ACCOUNT-B-ROLENAME" } }
-
A conta agora tem as permissões necessárias. Agora você pode adicioná-lo ao Cloud Manager.
Adicionando contas da AWS ao Cloud Manager
Depois de fornecer uma conta da AWS com as permissões necessárias, você pode adicionar a conta ao Cloud Manager. Isso permite que você inicie sistemas Cloud Volumes ONTAP nessa conta.
-
No canto superior direito do console do Cloud Manager, clique na lista suspensa tarefa e selecione Configurações de conta.
-
Clique em Adicionar nova conta e selecione AWS.
-
Escolha se você deseja fornecer chaves da AWS ou o ARN de uma função do IAM confiável.
-
Confirme se os requisitos da política foram atendidos e clique em criar conta.
Agora você pode alternar para outra conta na página Detalhes e credenciais ao criar um novo ambiente de trabalho:
Configuração e adição de contas do Azure ao Cloud Manager
Se você quiser implantar o Cloud Volumes ONTAP em diferentes contas do Azure, precisará fornecer as permissões necessárias para essas contas e adicionar detalhes sobre as contas ao Cloud Manager.
Concessão de permissões do Azure usando um princípio de serviço
O Cloud Manager precisa de permissões para executar ações no Azure. Você pode conceder as permissões necessárias a uma conta do Azure criando e configurando um responsável de serviço no Azure ative Directory e obtendo as credenciais do Azure de que o Cloud Manager precisa.
A imagem a seguir mostra como o Cloud Manager obtém permissões para executar operações no Azure. Um objeto principal de serviço, vinculado a uma ou mais assinaturas do Azure, representa o Cloud Manager no Azure ative Directory e é atribuído a uma função personalizada que permite as permissões necessárias.
|
As etapas a seguir usam o novo portal do Azure. Se você tiver algum problema, você deve usar o portal clássico do Azure. |
Criando uma função personalizada com as permissões necessárias do Cloud Manager
Uma função personalizada é necessária para fornecer ao Cloud Manager as permissões de que ele precisa para iniciar e gerenciar o Cloud Volumes ONTAP no Azure.
-
Faça download do "Política do Azure do Cloud Manager".
-
Modifique o arquivo JSON adicionando IDs de assinatura do Azure ao escopo atribuível.
Você deve adicionar o ID para cada assinatura do Azure a partir da qual os usuários criarão sistemas Cloud Volumes ONTAP.
Exemplo
"AssignableScopes": [ "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz", "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz", "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
-
Use o arquivo JSON para criar uma função personalizada no Azure.
O exemplo a seguir mostra como criar uma função personalizada usando a CLI do Azure 2,0:
Criar --role-definition C: /Policy_for_cloud_Manager_Azure_3,6.1.json*
Agora você deve ter uma função personalizada chamada Operador do Gerenciador de nuvem da OnCommand.
Criando um princípio de serviço do ative Directory
Você deve criar um diretor de serviço do ative Directory para que o Cloud Manager possa se autenticar com o Azure active Directory.
Você deve ter as permissões apropriadas no Azure para criar um aplicativo do ative Directory e atribuir o aplicativo a uma função. Para obter detalhes, "Documentação do Microsoft Azure: Use o portal para criar o principal de serviço e aplicativo do ative Directory que possa acessar recursos" consulte .
-
No portal do Azure, abra o serviço Azure ative Directory.
-
No menu, clique em inscrições de aplicativos (legado).
-
Crie o responsável do serviço:
-
Clique em novo Registro de inscrição.
-
Insira um nome para o aplicativo, mantenha Web app / API selecionado e insira qualquer URL, por exemplo, http://url
-
Clique em criar.
-
-
Modifique o aplicativo para adicionar as permissões necessárias:
-
Selecione a aplicação criada.
-
Em Configurações, clique em permissões obrigatórias e, em seguida, clique em Adicionar.
-
Clique em Selecione uma API, selecione Windows Azure Service Management API e clique em Select.
-
Clique em Acesse o Gerenciamento de Serviços do Azure como usuários da organização, clique em Selecionar e, em seguida, clique em Concluído.
-
-
Crie uma chave para o responsável pelo serviço:
-
Em Configurações, clique em teclas.
-
Introduza uma descrição, selecione uma duração e, em seguida, clique em Guardar.
-
Copie o valor da chave.
Você precisa inserir o valor da chave ao adicionar uma conta de provedor de nuvem ao Cloud Manager.
-
Clique em Propriedades e copie o ID do aplicativo para o responsável do serviço.
Semelhante ao valor da chave, você precisa inserir o ID do aplicativo no Cloud Manager ao adicionar uma conta de provedor de nuvem ao Cloud Manager.
-
-
Obtenha o ID de locatário do ative Directory para a sua organização:
-
No menu ative Directory, clique em Propriedades.
-
Copie a ID do diretório.
Assim como o ID do aplicativo e a chave do aplicativo, você deve inserir o ID do locatário do ative Directory ao adicionar uma conta do provedor de nuvem ao Cloud Manager.
-
Agora você deve ter um responsável de serviço do ative Directory e você deve ter copiado o ID do aplicativo, a chave do aplicativo e o ID do locatário do ative Directory. Você precisa inserir essas informações no Cloud Manager ao adicionar uma conta de provedor de nuvem.
Atribuir a função Operador do Cloud Manager ao responsável do serviço
Você deve vincular o principal de serviço a uma ou mais assinaturas do Azure e atribuir-lhe a função de Operador do Cloud Manager para que o Cloud Manager tenha permissões no Azure.
Se você quiser implantar o Cloud Volumes ONTAP a partir de várias assinaturas do Azure, então você deve vincular o principal de serviço a cada uma dessas assinaturas. O Cloud Manager permite que você selecione a assinatura que deseja usar ao implantar o Cloud Volumes ONTAP.
-
No portal do Azure, selecione Subscrições no painel esquerdo.
-
Selecione a subscrição.
-
Clique em Access Control (IAM) e, em seguida, clique em Add.
-
Selecione a função Operador do Gerenciador de nuvem da OnCommand.
-
Procure o nome do aplicativo (não é possível encontrá-lo na lista rolando).
-
Selecione a aplicação, clique em Select e, em seguida, clique em OK.
O principal de serviço do Cloud Manager agora tem as permissões necessárias do Azure.
Adicionando contas do Azure ao Cloud Manager
Depois de fornecer uma conta do Azure com as permissões necessárias, você pode adicionar a conta ao Cloud Manager. Isso permite que você inicie sistemas Cloud Volumes ONTAP nessa conta.
-
No canto superior direito do console do Cloud Manager, clique na lista suspensa tarefa e selecione Configurações de conta.
-
Clique em Adicionar nova conta e selecione Microsoft Azure.
-
Insira informações sobre o principal de serviço do Azure ative Directory que concede as permissões necessárias.
-
Confirme se os requisitos da política foram atendidos e clique em criar conta.
Agora você pode alternar para outra conta na página Detalhes e credenciais ao criar um novo ambiente de trabalho:
Associar subscrições adicionais do Azure a uma identidade gerida
O Cloud Manager permite que você escolha a conta e a assinatura do Azure na qual você deseja implantar o Cloud Volumes ONTAP. Não é possível selecionar uma assinatura diferente do Azure para o perfil de identidade gerenciado, a menos que você associe a "identidade gerenciada" essas assinaturas.
Uma identidade gerenciada é a inicial "conta de provedor de nuvem" quando você implementa o Cloud Manager a partir do NetApp. Quando você implantou o Cloud Manager, o Cloud Central criou a função de Operador do OnCommand Cloud Manager e a atribuiu à máquina virtual do Cloud Manager.
-
Faça login no portal do Azure.
-
Abra o serviço assinaturas e selecione a assinatura na qual deseja implantar sistemas Cloud Volumes ONTAP.
-
Clique em Access Control (IAM).
-
Clique em Adicionar > Adicionar atribuição de função e, em seguida, adicione as permissões:
-
Selecione a função Operador do Gerenciador de nuvem da OnCommand.
Operador do Gerenciador de nuvem do OnCommand é o nome padrão fornecido no "Política do Cloud Manager". Se você escolher um nome diferente para a função, selecione esse nome em vez disso. -
Atribua acesso a uma Máquina Virtual.
-
Selecione a assinatura na qual a máquina virtual do Cloud Manager foi criada.
-
Selecione a máquina virtual do Cloud Manager.
-
Clique em Salvar.
-
-
-
Repita estes passos para subscrições adicionais.
Ao criar um novo ambiente de trabalho, agora você deve ter a capacidade de selecionar entre várias assinaturas do Azure para o perfil de identidade gerenciado.