Oprávnění k nasazení Avere vFXT pro jiné uživatele než vlastníky

Tyto pokyny jsou alternativním řešením, které umožňuje uživateli bez oprávnění vlastníka předplatného vytvořit Avere vFXT for Azure předplatného.

(Doporučeným způsobem nasazení systému Avere vFXT je mít uživatele s oprávněními vlastníka k vytváření kroků, jak je vysvětleno v tématu Příprava na vytvoření Avere vFXT.)

Alternativní řešení zahrnuje vytvoření další přístupové role, která uživatelům poskytne dostatečná oprávnění k instalaci clusteru. Roli musí vytvořit vlastník předplatného a vlastník ji musí přiřadit příslušným uživatelům.

Vlastník předplatného musí také přijmout podmínky použití pro image Avere vFXT marketplace.

Důležité

Všechny tyto kroky musí provést uživatel s oprávněními vlastníka předplatného, které se použije pro cluster.

  1. Zkopírujte tyto řádky a uložte je do souboru (například averecreatecluster.json). V příkazu použijte ID vašeho předplatného AssignableScopes .

    {
        "AssignableScopes": ["/subscriptions/<SUBSCRIPTION_ID>"],
        "Name": "avere-create-cluster",
        "IsCustom": "true"
        "Description": "Can create Avere vFXT clusters",
        "NotActions": [],
        "Actions": [
            "Microsoft.Authorization/*/read",
            "Microsoft.Authorization/roleAssignments/*",
            "Microsoft.Authorization/roleDefinitions/*",
            "Microsoft.Compute/*/read",
            "Microsoft.Compute/availabilitySets/*",
            "Microsoft.Compute/virtualMachines/*",
            "Microsoft.Network/*/read",
            "Microsoft.Network/networkInterfaces/*",
            "Microsoft.Network/routeTables/write",
            "Microsoft.Network/routeTables/delete",
            "Microsoft.Network/routeTables/routes/delete",
            "Microsoft.Network/virtualNetworks/subnets/join/action",
            "Microsoft.Network/virtualNetworks/subnets/read",
    
            "Microsoft.Resources/subscriptions/resourceGroups/read",
            "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
            "Microsoft.Storage/*/read",
            "Microsoft.Storage/storageAccounts/listKeys/action"
        ],
    }
    
  2. Spuštěním tohoto příkazu vytvořte roli:

    az role definition create --role-definition <PATH_TO_FILE>

    Příklad:

    az role definition create --role-definition ./averecreatecluster.json
    
  3. Přiřaďte tuto roli uživateli, který cluster vytvoří:

    az role assignment create --assignee <USERNAME> --scope /subscriptions/<SUBSCRIPTION_ID> --role 'avere-create-cluster'

Po dokončení tohoto procesu role uděluje libovolnému uživateli, který mu přiřadil následující oprávnění k předplatnému:

  • Vytvoření a konfigurace síťové infrastruktury
  • Vytvoření kontroleru clusteru
  • Spusťte skripty pro vytvoření clusteru z kontroleru clusteru a vytvořte cluster.