Skip to main content
Setup and administration
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

瞭解Azure認證與權限

貢獻者

瞭解 BlueXP 如何使用 Azure 認證來代表您執行動作、以及這些認證如何與市場訂閱相關聯。瞭解這些詳細資料有助於您管理一或多個 Azure 訂閱的認證。例如、您可能想要瞭解何時將額外的 Azure 認證新增至 BlueXP 。

Azure 初始認證

從BlueXP部署Connector時、您需要使用具備部署Connector虛擬機器權限的Azure帳戶或服務主體。所需權限列於 "Azure 的連接器部署原則"

當BlueXP在Azure中部署Connector虛擬機器時、它會啟用 "系統指派的託管身分識別" 在虛擬機器上建立自訂角色、然後將其指派給虛擬機器。此角色可為BlueXP提供所需的權限、以管理該Azure訂閱中的資源和程序。 "檢閱BlueXP如何使用權限"

顯示在Azure帳戶和訂閱中部署Connector的BlueXP概念性映像。系統指派的託管身分識別已啟用、並將自訂角色指派給Connector虛擬機器。

如果您為 Cloud Volumes ONTAP 建立新的工作環境、 BlueXP 預設會選取以下 Azure 認證:

在「詳細資料擴大機;認證」頁面中顯示「切換帳戶」選項的螢幕擷取畫面。

您可以 Cloud Volumes ONTAP 使用初始 Azure 認證來部署所有的整套系統、也可以新增其他認證資料。

額外的 Azure 訂閱、提供託管身分識別

指派給 Connector VM 的系統指派託管身分識別與您啟動 Connector 的訂閱相關聯。如果您想要選擇不同的 Azure 訂閱、則需要 "將託管身分識別與這些訂閱建立關聯"

其他 Azure 認證資料

如果您想要將不同的 Azure 認證搭配 BlueXP 使用、則必須將必要的權限授予 "在 Microsoft Entra ID 中建立及設定服務主體" 針對每個 Azure 帳戶。下圖顯示兩個額外的帳戶、每個帳戶都設有提供權限的服務主體和自訂角色:

顯示初始 Azure 帳戶(透過自訂角色和託管身分識別接收權限)的概念性映像、以及透過自訂角色和服務主體接收權限的兩個額外帳戶。

您可以 "將帳戶認證新增至BlueXP" 提供 AD 服務主體的詳細資料。

例如、您可以在建立新的 Cloud Volumes ONTAP 工作環境時、在認證之間切換:

螢幕快照、顯示在「詳細資料  擴大機;認證」頁面中選取「切換帳戶」之後、在雲端供應商帳戶之間進行選擇。

認證與市場訂閱

您新增至 Connector 的認證必須與 Azure Marketplace 訂閱相關聯、才能以每小時費率( PAYGO )或每年合約支付 Cloud Volumes ONTAP 費用、以及使用其他 BlueXP 服務。

請注意以下關於 Azure 認證與市場訂閱的資訊:

  • 您只能將一項 Azure Marketplace 訂閱與一組 Azure 認證建立關聯

  • 您可以使用新訂閱來取代現有的市場訂閱

常見問題集

下列問題與認證和訂閱有關。

我可以變更適用於 Cloud Volumes ONTAP 工作環境的 Azure Marketplace 訂閱嗎?

是的、您可以。當您變更與一組 Azure 認證相關聯的 Azure Marketplace 訂閱時、所有現有和新的 Cloud Volumes ONTAP 工作環境都將從新訂閱中扣除費用。

我是否可以新增多個 Azure 認證、每個認證都有不同的市場訂閱?

屬於同一 Azure 訂閱的所有 Azure 認證資料將與同一 Azure Marketplace 訂閱相關聯。

如果您有多個 Azure 認證屬於不同的 Azure 訂閱、則這些認證可以與相同的 Azure Marketplace 訂閱或不同的市場訂閱相關聯。

我可以將現有的 Cloud Volumes ONTAP 工作環境移轉至不同的 Azure 訂閱嗎?

否、您無法將與 Cloud Volumes ONTAP 工作環境相關的 Azure 資源移轉至不同的 Azure 訂閱。

認證如何適用於市場部署和內部部署?

以上各節說明建議的連接器部署方法、該方法來自於BlueXP。您也可以從 Azure Marketplace 在 Azure 中部署 Connector 、也可以在自己的 Linux 主機上安裝 Connector 軟體。

如果您使用 Marketplace 、您可以將自訂角色指派給 Connector VM 和系統指派的託管身分識別、以提供權限、或是使用 Microsoft Entra 服務主體。

對於內部部署、您無法設定 Connector 的託管身分識別、但可以使用服務主體來提供權限。

若要瞭解如何設定權限、請參閱下列頁面: