Avere vFXT のデプロイを所有者以外に承認する
以下の手順は、サブスクリプション所有者特権のないユーザーが Avere vFXT for Azure システムを作成できるようにするための回避策です
(Avere vFXT システムをデプロイするための推奨される方法は、「Prepare to create the Avere vFXT (Avere vFXT の作成準備)」で説明されているように、所有者特権を持つユーザーに作成手順を実行してもらう方法です)。
この回避策では、クラスターをインストールするための十分なアクセス許可をユーザーに付与する追加のアクセス ロールを作成します。 このロールは、サブスクリプション所有者が作成したうえで、適切なユーザーに割り当てる必要があります。
サブスクリプション所有者は、Avere vFXT マーケットプレース イメージの利用規約に同意する必要もあります。
重要
以下のすべての手順は、クラスターに使用されるサブスクリプションに対して所有者特権を持つユーザーが行う必要があります。
以下の行をコピーし、ファイル (たとえば
averecreatecluster.json) に保存します。AssignableScopesステートメントでは、自分のサブスクリプション ID を使用します。{ "AssignableScopes": ["/subscriptions/<SUBSCRIPTION_ID>"], "Name": "avere-create-cluster", "IsCustom": "true" "Description": "Can create Avere vFXT clusters", "NotActions": [], "Actions": [ "Microsoft.Authorization/*/read", "Microsoft.Authorization/roleAssignments/*", "Microsoft.Authorization/roleDefinitions/*", "Microsoft.Compute/*/read", "Microsoft.Compute/availabilitySets/*", "Microsoft.Compute/virtualMachines/*", "Microsoft.Network/*/read", "Microsoft.Network/networkInterfaces/*", "Microsoft.Network/routeTables/write", "Microsoft.Network/routeTables/delete", "Microsoft.Network/routeTables/routes/delete", "Microsoft.Network/virtualNetworks/subnets/join/action", "Microsoft.Network/virtualNetworks/subnets/read", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.Resources/subscriptions/resourceGroups/resources/read", "Microsoft.Storage/*/read", "Microsoft.Storage/storageAccounts/listKeys/action" ], }次のコマンドを実行して、ロールを作成します。
az role definition create --role-definition <PATH_TO_FILE>例:
az role definition create --role-definition ./averecreatecluster.jsonクラスターを作成するユーザーにこのロールを割り当てます。
az role assignment create --assignee <USERNAME> --scope /subscriptions/<SUBSCRIPTION_ID> --role 'avere-create-cluster'
このプロセスの完了後、このロールに割り当てられるすべてのユーザーに、サブスクリプションに対する以下のアクセス許可が付与されます。
- ネットワーク インフラストラクチャを作成および構成する
- クラスター コントローラーを作成する
- クラスター コントローラーからクラスター作成スクリプトを実行してクラスターを作成する