Skip to main content
Cloud Manager 3.8
此產品有較新版本可以使用。
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

管理 Azure 認證與 Cloud Manager 訂閱

貢獻者

當您建立 Cloud Volumes ONTAP 一個不完善的系統時、您必須選擇 Azure 認證資料和 Marketplace 訂閱、才能與該系統搭配使用。如果您管理多個 Azure Marketplace 訂閱、您可以從「認證」頁面將每個訂閱指派給不同的 Azure 認證。

在 Cloud Manager 中管理 Azure 認證的方法有兩種。首先、如果您想要在 Cloud Volumes ONTAP 不同的 Azure 帳戶中部署功能、則必須提供必要的權限、並將認證資料新增至 Cloud Manager 。第二種方法是將額外的訂閱與 Azure 託管身分識別建立關聯。

註 當您從 Cloud Manager 部署 Connector 時、 Cloud Manager 會自動新增您部署 Connector 的 Azure 帳戶。如果您在現有系統上手動安裝 Connector 軟體、則不會新增初始帳戶。 "瞭解 Azure 帳戶與權限"

使用服務主體授予 Azure 權限

Cloud Manager 需要權限才能在 Azure 中執行動作。您可以在 Azure Active Directory 中建立及設定服務主體、並取得 Cloud Manager 所需的 Azure 認證資料、將必要的權限授予 Azure 帳戶。

關於這項工作

下圖說明 Cloud Manager 如何取得在 Azure 中執行作業的權限。與一或多個 Azure 訂閱相關聯的服務主體物件、代表 Azure Active Directory 中的 Cloud Manager 、並指派給允許必要權限的自訂角色。

概念性映像顯示 Cloud Manager 在進行 API 呼叫之前、先從 Azure Active Directory 取得驗證與授權。在 Active Directory 中、 Cloud Manager 操作員角色定義權限。它與一或多個 Azure 訂閱以及代表 Cloud Manger 應用程式的服務主要物件相關聯。

建立 Azure Active Directory 應用程式

建立 Azure Active Directory ( AD )應用程式與服務主體、讓 Cloud Manager 可用於角色型存取控制。

開始之前

您必須在 Azure 中擁有適當權限、才能建立 Active Directory 應用程式、並將應用程式指派給角色。如需詳細資訊、請參閱 "Microsoft Azure 說明文件:必要權限"

步驟
  1. 從 Azure 入口網站開啟 * Azure Active Directory * 服務。

    顯示 Microsoft Azure 中的 Active Directory 服務。

  2. 在功能表中、按一下 * 應用程式註冊 * 。

  3. 按一下「 * 新登錄 * 」。

  4. 指定應用程式的詳細資料:

    • * 名稱 * :輸入應用程式的名稱。

    • * 帳戶類型 * :選取帳戶類型(任何帳戶類型都可與 Cloud Manager 搭配使用)。

    • * 重新導向 URI* :選取 * Web* 、然後輸入任何 URL 、例如: https://url

  5. 按一下 * 註冊 * 。

結果

您已建立 AD 應用程式和服務主體。

將應用程式指派給角色

您必須將服務委託人繫結至一或多個 Azure 訂閱、並指派自訂的「 OnCommand 支援對象」角色給該委託人、以便 Cloud Manager 在 Azure 中擁有權限。

步驟
  1. 建立自訂角色:

    1. 下載 "Cloud Manager Azure 原則"

    2. 將 Azure 訂閱 ID 新增至可指派的範圍、以修改 Json 檔案。

      您應該為使用者建立 Cloud Volumes ONTAP 的各個 Azure 訂閱新增 ID 。

      • 範例 *

      "AssignableScopes": [
      "/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
      "/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
      "/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"
    3. 使用 Json 檔案在 Azure 中建立自訂角色。

      下列範例說明如何使用 Azure CLI 2.0 建立自訂角色:

      「 AZ 角色定義建立 - 角色定義 C : \Policy_for_Cloud Manager 、 Azure _3.8.7.json 」

    您現在應該擁有名為 Cloud Manager operator 的自訂角色。

  2. 將應用程式指派給角色:

    1. 從 Azure 入口網站開啟 * 訂閱 * 服務。

    2. 選取訂閱。

    3. 按一下 * 存取控制( IAM ) > 新增 > 新增角色指派 * 。

    4. 選取 * Cloud Manager operator* 角色。

    5. 保留 * Azure AD 使用者、群組或服務主體 * 的選取狀態。

    6. 搜尋應用程式名稱(您無法透過捲動在清單中找到)。

      在 Azure 入口網站中顯示「新增角色指派」表單的快照。

    7. 選取應用程式、然後按一下 * 「 Save (儲存)」 * 。

      Cloud Manager 的服務主體現在擁有該訂閱所需的 Azure 權限。

    如果您想要從 Cloud Volumes ONTAP 多個 Azure 訂閱中部署支援功能、則必須將服務授權對象繫結至每個訂閱項目。Cloud Manager 可讓您選擇部署 Cloud Volumes ONTAP 時要使用的訂閱。

新增 Windows Azure Service Management API 權限

服務主體必須具有「 Windows Azure Service Management API 」權限。

步驟
  1. 在 * Azure Active Directory * 服務中、按一下 * 應用程式註冊 * 、然後選取應用程式。

  2. 按一下「 * API 權限 > 新增權限 * 」。

  3. 在「 * Microsoft API* 」下、選取「 * Azure 服務管理 * 」。

    Azure 入口網站的快照、顯示 Azure 服務管理 API 權限。

  4. 按一下「 * 以組織使用者身分存取 Azure 服務管理 * 」、然後按一下「 * 新增權限 * 」。

    Azure 入口網站的快照、顯示新增 Azure 服務管理 API 。

取得應用程式 ID 和目錄 ID

將 Azure 帳戶新增至 Cloud Manager 時、您必須提供應用程式的應用程式(用戶端) ID 和目錄(租戶) ID 。Cloud Manager 會使用 ID 以程式設計方式登入。

步驟
  1. 在 * Azure Active Directory * 服務中、按一下 * 應用程式註冊 * 、然後選取應用程式。

  2. 複製 * 應用程式(用戶端) ID* 和 * 目錄(租戶) ID* 。

    顯示 Azure Active Directory 中應用程式的應用程式(用戶端) ID 和目錄(租戶) ID 的快照。

建立用戶端機密

您需要建立用戶端機密、然後為 Cloud Manager 提供機密的價值、以便 Cloud Manager 使用它來驗證 Azure AD 。

註 將帳戶新增至 Cloud Manager 時、 Cloud Manager 會將用戶端機密稱為應用程式金鑰。
步驟
  1. 開啟 * Azure Active Directory * 服務。

  2. 按一下 * 應用程式註冊 * 、然後選取您的應用程式。

  3. 按一下 * 「憑證與機密」 > 「新用戶端機密」 * 。

  4. 提供機密與持續時間的說明。

  5. 按一下「 * 新增 * 」。

  6. 複製用戶端機密的值。

    Azure 入口網站的快照、顯示 Azure AD 服務主體的用戶端機密。

結果

您的服務主體現在已設定完成、您應該已經複製應用程式(用戶端) ID 、目錄(租戶) ID 、以及用戶端機密的值。新增 Azure 帳戶時、您必須在 Cloud Manager 中輸入此資訊。

將 Azure 認證資料新增至 Cloud Manager

在您提供 Azure 帳戶所需的權限之後、即可將該帳戶的認證資料新增至 Cloud Manager 。如此一來、您就能在 Cloud Volumes ONTAP 該帳戶中啟動支援系統。

您需要的產品

您必須先建立連接器、才能變更 Cloud Manager 設定。 "瞭解方法"

步驟
  1. 在 Cloud Manager 主控台右上角、按一下「設定」圖示、然後選取 * 認證 * 。

    顯示 Cloud Manager 主控台右上角「設定」圖示的快照。

  2. 按一下 * 「 Add Credentials 」(新增認證) * 、然後選取 * 「 Microsoft Azure 」

  3. 輸入 Azure Active Directory 服務主體的相關資訊、以授予必要的權限:

  4. 確認已符合原則需求、然後按一下 * 繼續 * 。

  5. 選擇您要與認證相關聯的隨用隨付訂閱、或是如果您還沒有認證、請按一下 * 新增訂閱 * 。

    若要建立隨用付費 Cloud Volumes ONTAP 的功能、 Azure 認證資料必須與 Cloud Volumes ONTAP 從 Azure Marketplace 訂閱的功能相關聯。

  6. 按一下「 * 新增 * 」。

結果

您現在可以從「詳細資料與認證」頁面切換至不同的認證集合 "在建立新的工作環境時"

在詳細資料  認證資料頁面中按一下「編輯認證資料」之後、顯示在認證資料之間選取的快照。

將 Azure Marketplace 訂閱與認證資料建立關聯

將 Azure 認證資料新增至 Cloud Manager 之後、您可以將 Azure Marketplace 訂閱與這些認證資料建立關聯。訂閱可讓您建立隨用隨付 Cloud Volumes ONTAP 的功能、並使用其他 NetApp 雲端服務。

您可能會在將認證新增至 Cloud Manager 之後、在兩種情況下建立 Azure Marketplace 訂閱的關聯:

  • 初次將認證新增至 Cloud Manager 時、您並未建立訂閱關聯。

  • 您想要以新的訂閱取代現有的 Azure Marketplace 訂閱。

您需要的產品

您必須先建立連接器、才能變更 Cloud Manager 設定。 "瞭解方法"

步驟
  1. 在 Cloud Manager 主控台右上角、按一下「設定」圖示、然後選取 * 認證 * 。

  2. 將游標暫留在一組認證上、然後按一下動作功能表。

  3. 從功能表中、按一下「 * 關聯訂閱 * 」。

    「認證」頁面的快照、您可以從功能表新增 Azure 認證訂閱。

  4. 從下拉式清單中選取訂閱、或按一下「 * 新增訂閱 * 」、然後依照步驟建立新的訂閱。

    下列影片會從工作環境精靈的內容開始播放、但會在您按一下「 * 新增訂閱 * 」之後顯示相同的工作流程:

將額外的 Azure 訂閱與託管身分識別建立關聯

Cloud Manager 可讓您選擇要部署 Cloud Volumes ONTAP 的 Azure 認證和 Azure 訂閱。除非您建立關聯、否則您無法為託管身分識別設定檔選取不同的 Azure 訂閱 "託管身分識別" 這些訂閱。

關於這項工作

託管身分識別是 "初始 Azure 帳戶" 當您從 Cloud Manager 部署 Connector 時。部署 Connector 時、 Cloud Manager 會建立 Cloud Manager 操作員角色、並將其指派給 Connector 虛擬機器。

步驟
  1. 登入 Azure 入口網站。

  2. 開啟 * 訂閱 * 服務、然後選取您要部署 Cloud Volumes ONTAP 的訂閱內容。

  3. 按一下 * 存取控制( IAM ) * 。

    1. 按一下「 * 新增 * > * 新增角色指派 * 」、然後新增權限:

      • 選取 * Cloud Manager operator* 角色。

        註 Cloud Manager 運算子是中提供的預設名稱 "Cloud Manager 原則"。如果您為角色選擇不同的名稱、請改為選取該名稱。
      • 指派 * 虛擬機器 * 的存取權。

      • 選取建立 Connector 虛擬機器的訂閱。

      • 選取 Connector 虛擬機器。

      • 按一下「 * 儲存 * 」。

  4. 請重複這些步驟以取得額外訂閱內容。

結果

當您建立新的工作環境時、現在應該能夠從多個 Azure 訂閱中選取託管身分識別設定檔。

此螢幕快照顯示選取 Microsoft Azure Provider 帳戶時、可選擇多個 Azure 訂閱。