Skip to main content
Cloud Manager 3.8
Uma versão mais recente deste produto está disponível.
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Gerenciamento de credenciais e assinaturas do Azure para o Cloud Manager

Colaboradores

Ao criar um sistema Cloud Volumes ONTAP, você precisa selecionar as credenciais do Azure e a assinatura do Marketplace para usar com esse sistema. Se você gerenciar várias assinaturas do Azure Marketplace, poderá atribuir cada uma delas a diferentes credenciais do Azure na página credenciais.

Há duas maneiras de gerenciar credenciais do Azure no Cloud Manager. Primeiro, se você quiser implantar o Cloud Volumes ONTAP em diferentes contas do Azure, precisará fornecer as permissões necessárias e adicionar as credenciais ao Cloud Manager. A segunda maneira é associar assinaturas adicionais à identidade gerenciada do Azure.

Observação Ao implantar um conetor do Cloud Manager, o Cloud Manager adiciona automaticamente a conta do Azure na qual você implantou o conetor. Uma conta inicial não será adicionada se você tiver instalado manualmente o software Connector em um sistema existente. "Saiba mais sobre as contas e permissões do Azure".

Concessão de permissões do Azure usando um princípio de serviço

O Cloud Manager precisa de permissões para executar ações no Azure. Você pode conceder as permissões necessárias a uma conta do Azure criando e configurando um responsável de serviço no Azure ative Directory e obtendo as credenciais do Azure de que o Cloud Manager precisa.

Sobre esta tarefa

A imagem a seguir mostra como o Cloud Manager obtém permissões para executar operações no Azure. Um objeto principal de serviço, vinculado a uma ou mais assinaturas do Azure, representa o Cloud Manager no Azure ative Directory e é atribuído a uma função personalizada que permite as permissões necessárias.

Imagem conceitual que mostra o Cloud Manager obtendo autenticação e autorização do Azure ative Directory antes que ele possa fazer uma chamada de API. No ative Directory, a função Operador do Cloud Manager define permissões. Ele está vinculado a uma ou mais assinaturas do Azure e a um objeto principal de serviço que representa o aplicativo Cloud Manager.

Criando um aplicativo Azure ative Directory

Crie um aplicativo e um diretor de serviço do Azure ative Directory (AD) que o Cloud Manager pode usar para controle de acesso baseado em funções.

Antes de começar

Você deve ter as permissões certas no Azure para criar um aplicativo do ative Directory e atribuir o aplicativo a uma função. Para obter detalhes, "Documentação do Microsoft Azure: Permissões necessárias" consulte .

Passos
  1. No portal do Azure, abra o serviço Azure ative Directory.

    Mostra o serviço ative Directory no Microsoft Azure.

  2. No menu, clique em inscrições de aplicativos.

  3. Clique em novo registo.

  4. Especifique detalhes sobre o aplicativo:

    • Nome: Insira um nome para o aplicativo.

    • Tipo de conta: Selecione um tipo de conta (qualquer funcionará com o Cloud Manager).

    • * URI de redirecionamento*: Selecione Web e, em seguida, insira qualquer URL, por exemplo, https://url

  5. Clique em Register.

Resultado

Você criou o aplicativo AD e o principal de serviço.

Atribuindo a aplicação a uma função

Você deve vincular o principal de serviço a uma ou mais assinaturas do Azure e atribuir-lhe a função personalizada "Operador do Gerenciador de nuvem do OnCommand" para que o Gerenciador de nuvem tenha permissões no Azure.

Passos
  1. Crie uma função personalizada:

    1. Faça download do "Política do Azure do Cloud Manager".

    2. Modifique o arquivo JSON adicionando IDs de assinatura do Azure ao escopo atribuível.

      Você deve adicionar o ID para cada assinatura do Azure a partir da qual os usuários criarão sistemas Cloud Volumes ONTAP.

      Exemplo

      "AssignableScopes": [
      "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
      "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
      "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
    3. Use o arquivo JSON para criar uma função personalizada no Azure.

      O exemplo a seguir mostra como criar uma função personalizada usando a CLI do Azure 2,0:

      az role definition create --role-definition C:\Policy_for_cloud_Manager_Azure_3.8.7.json

    Agora você deve ter uma função personalizada chamada Cloud Manager Operator.

  2. Atribua o aplicativo à função:

    1. No portal do Azure, abra o serviço Subscrições.

    2. Selecione a subscrição.

    3. Clique em Access control (IAM) > Add > Add Role assignment (Adicionar > Adicionar atribuição de função*).

    4. Selecione a função Operador do Cloud Manager.

    5. Mantenha Usuário, grupo ou responsável de serviço do Azure AD selecionado.

    6. Procure o nome do aplicativo (você não pode encontrá-lo na lista rolando).

      Uma captura de tela que mostra o formulário Adicionar atribuição de função no portal do Azure.

    7. Selecione o aplicativo e clique em Salvar.

      O responsável de serviço do Cloud Manager agora tem as permissões necessárias do Azure para essa assinatura.

    Se você quiser implantar o Cloud Volumes ONTAP a partir de várias assinaturas do Azure, então você deve vincular o principal de serviço a cada uma dessas assinaturas. O Cloud Manager permite que você selecione a assinatura que deseja usar ao implantar o Cloud Volumes ONTAP.

Adicionando permissões de API de Gerenciamento de Serviços do Windows Azure

O responsável do serviço deve ter permissões "Windows Azure Service Management API".

Passos
  1. No serviço Azure ative Directory, clique em inscrições de aplicativos e selecione o aplicativo.

  2. Clique em permissões de API > Adicionar uma permissão.

  3. Em Microsoft APIs, selecione Azure Service Management.

    Uma captura de tela do portal do Azure que mostra as permissões da API de Gerenciamento de Serviços do Azure.

  4. Clique em Acesse o Gerenciamento de Serviços do Azure como usuários da organização e clique em Adicionar permissões.

    Uma captura de tela do portal do Azure que mostra a adição das APIs de Gerenciamento de Serviços do Azure.

Obtendo o ID do aplicativo e o ID do diretório

Quando você adiciona a conta do Azure ao Cloud Manager, você precisa fornecer o ID do aplicativo (cliente) e o ID do diretório (locatário) para o aplicativo. O Cloud Manager usa as IDs para fazer login programaticamente.

Passos
  1. No serviço Azure ative Directory, clique em inscrições de aplicativos e selecione o aplicativo.

  2. Copie o ID do aplicativo (cliente) e o ID do diretório (locatário).

    Uma captura de tela que mostra a ID do aplicativo (cliente) e ID do diretório (locatário) de um aplicativo no Azure ative Directory.

Criando um segredo de cliente

Você precisa criar um segredo de cliente e, em seguida, fornecer ao Cloud Manager o valor do segredo para que o Cloud Manager possa usá-lo para autenticar com o Azure AD.

Observação Quando você adiciona a conta ao Cloud Manager, o Cloud Manager se refere ao segredo do cliente como a chave do aplicativo.
Passos
  1. Abra o serviço Azure ative Directory.

  2. Clique em inscrições de aplicativos e selecione sua inscrição.

  3. Clique em certificados e segredos > segredo de novo cliente.

  4. Forneça uma descrição do segredo e uma duração.

  5. Clique em Add.

  6. Copie o valor do segredo do cliente.

    Uma captura de tela do portal do Azure que mostra um segredo de cliente para o principal de serviço do Azure AD.

Resultado

Seu responsável de serviço está configurado e você deve ter copiado o ID do aplicativo (cliente), o ID do diretório (locatário) e o valor do segredo do cliente. Você precisa inserir essas informações no Cloud Manager ao adicionar uma conta do Azure.

Adição de credenciais do Azure ao Cloud Manager

Depois de fornecer uma conta do Azure com as permissões necessárias, você pode adicionar as credenciais dessa conta ao Cloud Manager. Isso permite que você inicie sistemas Cloud Volumes ONTAP nessa conta.

O que você vai precisar

Você precisa criar um conetor antes de alterar as configurações do Cloud Manager. "Saiba como".

Passos
  1. No canto superior direito do console do Cloud Manager, clique no ícone Configurações e selecione credenciais.

    Uma captura de tela que mostra o ícone Configurações no canto superior direito do console do Cloud Manager.

  2. Clique em Adicionar credenciais e selecione Microsoft Azure.

  3. Insira informações sobre o principal de serviço do Azure ative Directory que concede as permissões necessárias:

  4. Confirme se os requisitos da política foram atendidos e clique em continuar.

  5. Escolha a assinatura paga conforme o uso que você deseja associar às credenciais ou clique em Adicionar assinatura se você ainda não tiver uma.

    Para criar um sistema Cloud Volumes ONTAP com pagamento conforme o uso, as credenciais do Azure devem estar associadas a uma assinatura do Cloud Volumes ONTAP no mercado Azure.

  6. Clique em Add.

Resultado

Agora você pode alternar para diferentes conjuntos de credenciais na página Detalhes e credenciais "ao criar um novo ambiente de trabalho":

Uma captura de tela que mostra a seleção entre credenciais depois de clicar em Editar credenciais na página Detalhes  credenciais.

Associar uma subscrição do Azure Marketplace às credenciais

Depois de adicionar suas credenciais do Azure ao Cloud Manager, você pode associar uma assinatura do Azure Marketplace a essas credenciais. A assinatura permite criar um sistema Cloud Volumes ONTAP com pagamento conforme o uso e usar outros serviços de nuvem da NetApp.

Há dois cenários em que você pode associar uma assinatura do Azure Marketplace depois de já ter adicionado as credenciais ao Cloud Manager:

  • Você não associou uma assinatura quando adicionou inicialmente as credenciais ao Cloud Manager.

  • Você deseja substituir uma assinatura existente do Azure Marketplace por uma nova assinatura.

O que você vai precisar

Você precisa criar um conetor antes de alterar as configurações do Cloud Manager. "Saiba como".

Passos
  1. No canto superior direito do console do Cloud Manager, clique no ícone Configurações e selecione credenciais.

  2. Passe o Mouse sobre um conjunto de credenciais e clique no menu de ação.

  3. No menu, clique em assinatura associada.

    Uma captura de tela da página credenciais onde você pode adicionar uma assinatura às credenciais do Azure a partir do menu.

  4. Selecione uma assinatura na lista suspensa ou clique em Adicionar assinatura e siga as etapas para criar uma nova assinatura.

    O vídeo a seguir começa no contexto do assistente de ambiente de trabalho, mas mostra o mesmo fluxo de trabalho depois de clicar em Adicionar assinatura:

Associar subscrições adicionais do Azure a uma identidade gerida

O Cloud Manager permite que você escolha as credenciais do Azure e a assinatura do Azure na qual você deseja implantar o Cloud Volumes ONTAP. Não é possível selecionar uma assinatura diferente do Azure para o perfil de identidade gerenciado, a menos que você associe a "identidade gerenciada" essas assinaturas.

Sobre esta tarefa

Uma identidade gerenciada é "A conta inicial do Azure" quando você implementa um conetor do Cloud Manager. Quando você implantou o conetor, o Cloud Manager criou a função Operador do Cloud Manager e atribuiu-a à máquina virtual do conetor.

Passos
  1. Faça login no portal do Azure.

  2. Abra o serviço assinaturas e selecione a assinatura na qual deseja implantar o Cloud Volumes ONTAP.

  3. Clique em Access Control (IAM).

    1. Clique em Adicionar > Adicionar atribuição de função e, em seguida, adicione as permissões:

      • Selecione a função Operador do Cloud Manager.

        Observação Operador do Cloud Manager é o nome padrão fornecido no "Política do Cloud Manager". Se você escolher um nome diferente para a função, selecione esse nome em vez disso.
      • Atribua acesso a uma Máquina Virtual.

      • Selecione a assinatura na qual a máquina virtual do conetor foi criada.

      • Selecione a máquina virtual do conetor.

      • Clique em Salvar.

  4. Repita estes passos para subscrições adicionais.

Resultado

Ao criar um novo ambiente de trabalho, agora você deve ter a capacidade de selecionar entre várias assinaturas do Azure para o perfil de identidade gerenciado.

Uma captura de tela que mostra a capacidade de selecionar várias assinaturas do Azure ao selecionar uma conta do Microsoft Azure Provider.