了解操作模式和AWS凭据
建议更改
PDF
NetApp Workload Factory 提供三种操作模式,使您能够根据您的 IT 策略仔细控制 Workload Factory 和云资产之间的访问。您使用的操作模式取决于您向 Workload Factory 提供的 AWS 权限级别。
操作模式
操作模式提供了工作负载工厂提供的功能和能力的逻辑组织,与您分配的信任级别相关。操作模式的主要目标是清楚地传达 Workload Factory 在您的 AWS 账户中可以或不能执行哪些任务。
- 基本模式
-
表示零信任关系,其中没有为 Workload Factory 分配任何 AWS 权限。它旨在用于工作负载工厂的早期探索和使用各种向导来创建所需的基础设施即代码 (IaC)。您可以复制代码并通过手动输入 AWS 凭证在 AWS 中使用它。
- 只读模式
-
通过添加只读权限来增强基本模式的体验,以便 IaC 模板填充您的特定变量(例如,VPC、安全组等)。这使您能够直接从您的 AWS 账户执行 IaC,而无需向 Workload Factory 提供任何修改权限。
- 读/写模式
-
表示完全信任关系,以便 Workload Factory 获得完全权限。这允许 Workload Factory 代表您在 AWS 中执行和自动执行操作,并提供具有执行所需权限的分配凭证。
操作模式功能
使用每种模式时、可用功能会随每种模式而增加。
| 模式 | 工作负载工厂的自动化 | 使用IAC在AWS中实现自动化 | AWS资源发现和自动完成 | 进度监控 |
|---|---|---|---|---|
基本 |
否 |
至少完成IAC模板 |
否 |
否 |
只读 |
否 |
适度填写IAC模板 |
是 |
是 |
读/写 |
完全自动化 |
完全自动化的完整IAC模板 |
是 |
是 |
操作模式要求
您无需在 Workload Factory 中设置选择器来识别您计划使用哪种模式。该模式根据您分配给 Workload Factory 帐户的 AWS 凭证和权限确定。
| 模式 | AWS帐户凭据 | 链路 |
|---|---|---|
基本 |
不需要 |
不需要 |
只读 |
只读 |
不需要 |
读/写 |
读/写凭据 |
必填 |
操作模式示例
您可以设置凭据来为一个工作负载组件提供一种模式,为另一个工作负载组件提供另一种模式。例如,您可以为部署和管理 FSx for ONTAP文件系统的操作配置读/写模式,但仅为使用 Workload Factory 创建和部署数据库工作负载配置只读模式。
您可以在 Workload Factory 帐户中的一组凭证中提供这些功能,也可以创建多组凭证,每个凭证提供独特的工作负载部署功能。
示例1
使用已获得以下权限的凭证的帐户用户将拥有创建 FSx for ONTAP 文件系统、部署数据库和查看帐户中使用的其他类型的 AWS 存储的完全控制权(读/写模式)。
但是,他们没有从 Workload Factory 创建和部署 VMware 工作负载(基本模式)的自动化控制。如果他们想要创建 VMware 工作负载,他们需要从 Codebox 复制代码,手动登录他们的 AWS 帐户,并手动填充生成的代码中缺少的条目以使用此功能。
示例2
在此、用户创建了两组凭据、以根据所选凭据集提供不同的操作功能。通常、每组凭据都会与一个不同的AWS帐户配对。
第一组凭证包括授予用户完全控制创建 FSx for ONTAP 文件系统的权限(以及查看帐户中使用的其他类型的 AWS 存储的能力),但在使用 VMware 工作负载时仅有只读权限。
第二组凭据仅提供权限、用户可以完全控制为ONTAP文件系统创建FSx以及查看帐户中使用的其他类型AWS存储。
AWS凭据
我们设计了一个AWS假定角色凭据注册流、该流可:
-
通过允许您指定要使用的工作负载功能并根据这些选择提供IAM策略要求、支持更一致的AWS帐户权限。
-
允许您在选择加入或退出特定工作负载功能时调整已授予的AWS帐户权限。
-
通过提供可在AWS控制台中应用的定制JSON策略文件、简化手动IAM策略创建。
-
通过使用AWS CloudFormation堆栈为用户提供所需IAM策略和角色创建的自动化选项、进一步简化了凭据注册流程。
-
通过允许将FSx for ONTAP服务凭据存储在基于AWS的机密管理后端、更好地与FSx for ONTAP用户保持一致、他们强烈希望将其凭据存储在AWS云生态系统的边界内。
一个或多个AWS凭据
当您使用第一个工作负载工厂功能(或多个功能)时,您需要使用这些工作负载功能所需的权限来创建凭据。您将把凭证添加到 Workload Factory,但您需要访问 AWS 管理控制台来创建 IAM 角色和策略。当使用 Workload Factory 中的任何功能时,这些凭证将在您的帐户中可用。
您的初始AWS凭据集可以包含一项功能或多项功能的IAM策略。这完全取决于您的业务需求。
向 Workload Factory 添加多组 AWS 凭证可提供使用其他功能所需的额外权限,例如 FSx for ONTAP文件系统、在 FSx for ONTAP上部署数据库、迁移 VMware 工作负载等。