Autoryzowanie osób niebędących właścicielami do wdrożenia systemu Avere vFXT

Te instrukcje są obejściem, które umożliwia użytkownikowi bez uprawnień właściciela subskrypcji tworzenie systemu Avere vFXT dla platformy Azure.

(Zalecanym sposobem wdrożenia systemu Avere vFXT jest posiadanie użytkownika z uprawnieniami właściciela do wykonania kroków tworzenia, jak wyjaśniono w temacie Przygotuj się do utworzenia rozwiązania Avere vFXT).

Obejście polega na utworzeniu dodatkowej roli dostępu, która daje swoim użytkownikom wystarczające uprawnienia do instalowania klastra. Rola musi zostać utworzona przez właściciela subskrypcji, a właściciel musi przypisać ją do odpowiednich użytkowników.

Właściciel subskrypcji musi również zaakceptować warunki użytkowania obrazu platformy handlowej Avere vFXT.

Ważne

Wszystkie te kroki muszą zostać wykonane przez użytkownika z uprawnieniami właściciela w subskrypcji, która będzie używana dla klastra.

1. Skopiuj te wiersze i zapisz je w pliku (na przykład averecreatecluster.json). Użyj identyfikatora subskrypcji w instrukcji AssignableScopes .

   {
       "AssignableScopes": ["/subscriptions/<SUBSCRIPTION_ID>"],
       "Name": "avere-create-cluster",
       "IsCustom": "true"
       "Description": "Can create Avere vFXT clusters",
       "NotActions": [],
       "Actions": [
           "Microsoft.Authorization/*/read",
           "Microsoft.Authorization/roleAssignments/*",
           "Microsoft.Authorization/roleDefinitions/*",
           "Microsoft.Compute/*/read",
           "Microsoft.Compute/availabilitySets/*",
           "Microsoft.Compute/virtualMachines/*",
           "Microsoft.Network/*/read",
           "Microsoft.Network/networkInterfaces/*",
           "Microsoft.Network/routeTables/write",
           "Microsoft.Network/routeTables/delete",
           "Microsoft.Network/routeTables/routes/delete",
           "Microsoft.Network/virtualNetworks/subnets/join/action",
           "Microsoft.Network/virtualNetworks/subnets/read",
   
           "Microsoft.Resources/subscriptions/resourceGroups/read",
           "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
           "Microsoft.Storage/*/read",
           "Microsoft.Storage/storageAccounts/listKeys/action"
       ],
   }
   

2. Uruchom to polecenie, aby utworzyć rolę:

   az role definition create --role-definition <PATH_TO_FILE>

   Przykład:

   az role definition create --role-definition ./averecreatecluster.json
   

3. Przypisz tę rolę użytkownikowi, który utworzy klaster:

   az role assignment create --assignee <USERNAME> --scope /subscriptions/<SUBSCRIPTION_ID> --role 'avere-create-cluster'

Po zakończeniu tego procesu rola daje każdemu użytkownikowi przypisanie mu następujących uprawnień do subskrypcji:

• Tworzenie i konfigurowanie infrastruktury sieciowej
• Tworzenie kontrolera klastra
• Uruchamianie skryptów tworzenia klastra z kontrolera klastra w celu utworzenia klastra