Skip to main content
Cloud Manager 3.6
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

將雲端供應商帳戶新增至Cloud Manager

貢獻者
PDF

如果您想要在Cloud Volumes ONTAP 不同的雲端帳戶中部署此功能、則必須提供這些帳戶所需的權限、然後將詳細資料新增至Cloud Manager。

當您從Cloud Central部署Cloud Manager時、Cloud Manager會自動新增 "雲端供應商帳戶" 適用於您部署Cloud Manager的帳戶。如果您在現有系統上手動安裝Cloud Manager軟體、則不會新增初始雲端供應商帳戶。

設定AWS帳戶並將其新增至Cloud Manager

如果您想要在 Cloud Volumes ONTAP 不同的 AWS 帳戶中部署此功能、則必須提供這些帳戶所需的權限、然後將詳細資料新增至 Cloud Manager 。您提供權限的方式取決於您是要為 Cloud Manager 提供 AWS 金鑰、還是要為信任帳戶中的角色提供 ARN 。

提供AWS金鑰時授予權限

如果您想要為 IAM 使用者提供 AWS 金鑰給 Cloud Manager 、則必須將必要的權限授予該使用者。Cloud Manager IAM 原則定義了允許 Cloud Manager 使用的 AWS 動作和資源。

步驟

  1. 請從下載 Cloud Manager IAM 原則 "Cloud Manager 原則頁面"

  2. 從 IAM 主控台複製並貼上 Cloud Manager IAM 原則中的文字、以建立您自己的原則。

    "AWS 文件:建立 IAM 原則"

  3. 將原則附加至 IAM 角色或 IAM 使用者。

結果

帳戶現在擁有必要的權限。 您現在可以將它新增至 Cloud Manager

在其他帳戶中假設 IAM 角色來授予權限

您可以使用IAM角色、在部署Cloud Manager執行個體的來源AWS帳戶與其他AWS帳戶之間建立信任關係。接著、您將從信任的帳戶中、為 Cloud Manager 提供 IAM 角色的 ARN 。

步驟

  1. 前往您要部署 Cloud Volumes ONTAP 的目標帳戶、並選取 * 其他 AWS 帳戶 * 來建立 IAM 角色。

    請務必執行下列動作:

  2. 前往Cloud Manager執行個體所在的來源帳戶、然後選取附加至執行個體的IAM角色。

    1. 按一下*信任關係>編輯信任關係*。

    2. 新增「STS:AssumeRole」動作和您在目標帳戶中建立之角色的ARN。

      • 範例 *

    {
 "Version": "2012-10-17",
 "Statement": {
   "Effect": "Allow",
   "Action": "sts:AssumeRole",
   "Resource": "arn:aws:iam::ACCOUNT-B-ID:role/ACCOUNT-B-ROLENAME"
}
}
結果

帳戶現在擁有必要的權限。 您現在可以將它新增至 Cloud Manager

將AWS帳戶新增至Cloud Manager

在您提供具備所需權限的AWS帳戶之後、您可以將帳戶新增至Cloud Manager。如此一來、您就能在 Cloud Volumes ONTAP 該帳戶中啟動支援系統。

步驟

  1. 在Cloud Manager主控台右上角、按一下工作下拉式清單、然後選取*帳戶設定*。

  2. 按一下「新增帳戶」、然後選取「* AWS *」。

  3. 選擇您要提供AWS金鑰或信任IAM角色的ARN。

  4. 確認已符合原則需求、然後按一下「 * 建立帳戶 * 」。

結果

您現在可以在建立新的工作環境時、從「詳細資料與認證」頁面切換至其他帳戶:

在詳細資料 認證頁面中按一下「切換帳戶」之後、顯示在雲端供應商帳戶之間選取的快照。

設定Azure帳戶並新增至Cloud Manager

如果您想要在Cloud Volumes ONTAP 不同的Azure帳戶中部署功能、則必須提供這些帳戶所需的權限、然後將帳戶的詳細資料新增至Cloud Manager。

使用服務主體授予 Azure 權限

Cloud Manager 需要權限才能在 Azure 中執行動作。您可以在 Azure Active Directory 中建立及設定服務主體、並取得 Cloud Manager 所需的 Azure 認證資料、將必要的權限授予 Azure 帳戶。

關於這項工作

下圖說明 Cloud Manager 如何取得在 Azure 中執行作業的權限。與一或多個 Azure 訂閱相關聯的服務主體物件、代表 Azure Active Directory 中的 Cloud Manager 、並指派給允許必要權限的自訂角色。

概念性映像顯示 Cloud Manager 在進行 API 呼叫之前、先從 Azure Active Directory 取得驗證與授權。在 Active Directory 中、 Cloud Manager 操作員角色定義權限。它與一或多個 Azure 訂閱以及代表 Cloud Manger 應用程式的服務主要物件相關聯。

註 下列步驟使用新的Azure入口網站。如果您遇到任何問題、請使用Azure經典入口網站。
步驟

  1. 以所需的Cloud Manager權限建立自訂角色

  2. 建立Active Directory服務主體

  3. 將自訂的Cloud Manager營運者角色指派給服務主管

以所需的Cloud Manager權限建立自訂角色

需要自訂角色、才能為Cloud Manager提供在Cloud Volumes ONTAP Azure中啟動及管理功能所需的權限。

步驟

  1. 下載 "Cloud Manager Azure 原則"

  2. 將 Azure 訂閱 ID 新增至可指派的範圍、以修改 Json 檔案。

    您應該為使用者建立 Cloud Volumes ONTAP 的各個 Azure 訂閱新增 ID 。

    • 範例 *

    "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

  3. 使用 Json 檔案在 Azure 中建立自訂角色。

    下列範例說明如何使用 Azure CLI 2.0 建立自訂角色:

    • AZ角色定義建立:-role定義C:\Policy_for_cove_Manager_Azure _3.6.1.json*

結果

現在您應該擁有名為OnCommand 「Cloud Manager操作者」的自訂角色。

建立Active Directory服務主體

您必須建立Active Directory服務主體、Cloud Manager才能與Azure Active Directory進行驗證。

開始之前

您必須擁有Azure中適當的權限、才能建立Active Directory應用程式、並將應用程式指派給角色。如需詳細資訊、請參閱 "Microsoft Azure說明文件:使用入口網站建立可存取資源的Active Directory應用程式和服務主體"

步驟

  1. 從 Azure 入口網站開啟 * Azure Active Directory * 服務。

    顯示 Microsoft Azure 中的 Active Directory 服務。

  2. 在功能表中、按一下*應用程式註冊(舊版)*。

  3. 建立服務主體:

    1. 按一下「新增應用程式登錄」。

    2. 輸入應用程式名稱、保留*網路應用程式/ API*選取狀態、然後輸入任何URL、例如 http://url

    3. 按一下「 * 建立 * 」。

  4. 修改應用程式以新增所需的權限:

    1. 選取建立的應用程式。

    2. 按一下「設定」下的*必要權限*、然後按一下「新增」。

      顯示Microsoft Azure中Active Directory應用程式的設定、並強調新增API存取所需權限的選項。

    3. 按一下「選取API」、選取「* Windows Azure服務管理API*」、然後按一下「選取」。

      顯示在Microsoft Azure中新增API存取Active Directory應用程式時要選擇的API。API是Windows Azure服務管理API。

    4. 按一下「以組織使用者身分存取Azure服務管理」、按一下「選取」、然後按一下「完成」。

  5. 建立服務主體的金鑰:

    1. 在「設定」下、按一下「金鑰」。

    2. 輸入說明、選取持續時間、然後按一下*「儲存*」。

    3. 複製金鑰值。

      將雲端供應商帳戶新增至Cloud Manager時、您必須輸入主要值。

    4. 按一下「內容」、然後複製服務主體的應用程式ID。

      與主要價值類似、將雲端供應商帳戶新增至Cloud Manager時、您必須在Cloud Manager中輸入應用程式ID。

    顯示Azure Active Directory服務主體的應用程式ID。

  6. 取得組織的Active Directory租戶ID:

    1. 在Active Directory功能表中、按一下*內容*。

    2. 複製目錄ID。

      顯示Azure入口網站中的Active Directory內容、以及您需要複製的目錄ID。

    如同應用程式ID和應用程式金鑰、您必須在將雲端供應商帳戶新增至Cloud Manager時輸入Active Directory租戶ID。

結果

您現在應該擁有Active Directory服務主體、而且應該已經複製應用程式ID、應用程式金鑰和Active Directory租戶ID。新增雲端供應商帳戶時、您必須在Cloud Manager中輸入此資訊。

將Cloud Manager營運者角色指派給服務主管

您必須將服務主體繫結至一或多個Azure訂閱、並指派Cloud Manager營運者角色給它、以便Cloud Manager在Azure中擁有權限。

關於這項工作

如果您想要從 Cloud Volumes ONTAP 多個 Azure 訂閱中部署支援功能、則必須將服務授權對象繫結至每個訂閱項目。Cloud Manager 可讓您選擇部署 Cloud Volumes ONTAP 時要使用的訂閱。

步驟

  1. 從Azure入口網站、在左窗格中選取*訂閱*。

  2. 選取訂閱。

  3. 按一下「存取控制(IAM)」、然後按一下「新增」。

  4. 選擇* OnCommand 《Cloud Manager operator*》角色。

  5. 搜尋應用程式名稱(您無法透過捲動在清單中找到)。

  6. 選取應用程式、按一下*選取*、然後按一下*確定*。

結果

Cloud Manager的服務主體現在擁有必要的Azure權限。

將Azure帳戶新增至Cloud Manager

在您提供Azure帳戶所需的權限之後、即可將帳戶新增至Cloud Manager。如此一來、您就能在 Cloud Volumes ONTAP 該帳戶中啟動支援系統。

步驟

  1. 在Cloud Manager主控台右上角、按一下工作下拉式清單、然後選取*帳戶設定*。

  2. 按一下*「Add New Account*(新增帳戶)」、然後選取「Microsoft Azure *(Microsoft Azure

  3. 輸入Azure Active Directory服務主體的相關資訊、以授予必要的權限。

  4. 確認已符合原則需求、然後按一下「 * 建立帳戶 * 」。

結果

您現在可以在建立新的工作環境時、從「詳細資料與認證」頁面切換至其他帳戶:

在詳細資料 認證頁面中按一下「切換帳戶」之後、顯示在雲端供應商帳戶之間選取的快照。

將額外的 Azure 訂閱與託管身分識別建立關聯

Cloud Manager可讓您選擇要部署Cloud Volumes ONTAP 的Azure帳戶和訂閱。除非您建立關聯、否則您無法為託管身分識別設定檔選取不同的 Azure 訂閱 "託管身分識別" 這些訂閱。

關於這項工作

託管身分識別為初始身分識別 "雲端供應商帳戶" 當您從NetApp Cloud Central部署Cloud Manager時、當您部署Cloud Manager時、Cloud Central建立OnCommand 了「不再只是做為運算子的解決方案」角色、並將其指派給Cloud Manager虛擬機器。

步驟

  1. 登入 Azure 入口網站。

  2. 開啟 * 「訂閱」 * 服務、然後選取您要在其中部署 Cloud Volumes ONTAP 的訂閱。

  3. 按一下 * 存取控制( IAM ) * 。

    1. 按一下「 * 新增 * > * 新增角色指派 * 」、然後新增權限:

      • 選擇* OnCommand 《Cloud Manager operator*》角色。

        註 中提供的預設名稱為「Cloud Manager操作員」OnCommand "Cloud Manager 原則"。如果您為角色選擇不同的名稱、請改為選取該名稱。

      • 指派 * 虛擬機器 * 的存取權。

      • 選取建立Cloud Manager虛擬機器的訂閱。

      • 選取Cloud Manager虛擬機器。

      • 按一下「 * 儲存 * 」。

  4. 請重複這些步驟以取得額外訂閱內容。

結果

當您建立新的工作環境時、現在應該能夠從多個 Azure 訂閱中選取託管身分識別設定檔。

此螢幕快照顯示選取 Microsoft Azure Provider 帳戶時、可選擇多個 Azure 訂閱。