Auktorisera icke-ägare för att distribuera Avere vFXT

De här anvisningarna är en lösning som gör att en användare utan behörighet som prenumerationsägare kan skapa ett Avere vFXT för Azure-system.

(Det rekommenderade sättet att distribuera Avere vFXT-systemet är att låta en användare med ägarbehörighet utföra stegen för att skapa, enligt beskrivningen i Förbered för att skapa Avere vFXT.)

Lösningen handlar om att skapa en ytterligare åtkomstroll som ger användarna tillräckliga behörigheter för att installera klustret. Rollen måste skapas av en prenumerationsägare och en ägare måste tilldela den till lämpliga användare.

En prenumerationsägare måste också godkänna användningsvillkoren för Avere vFXT Marketplace-avbildningen.

Viktigt!

Alla dessa steg måste utföras av en användare med ägarbehörighet för den prenumeration som ska användas för klustret.

1. Kopiera dessa rader och spara dem i en fil (till exempel averecreatecluster.json). Använd ditt prenumerations-ID i -instruktionen AssignableScopes .

   {
       "AssignableScopes": ["/subscriptions/<SUBSCRIPTION_ID>"],
       "Name": "avere-create-cluster",
       "IsCustom": "true"
       "Description": "Can create Avere vFXT clusters",
       "NotActions": [],
       "Actions": [
           "Microsoft.Authorization/*/read",
           "Microsoft.Authorization/roleAssignments/*",
           "Microsoft.Authorization/roleDefinitions/*",
           "Microsoft.Compute/*/read",
           "Microsoft.Compute/availabilitySets/*",
           "Microsoft.Compute/virtualMachines/*",
           "Microsoft.Network/*/read",
           "Microsoft.Network/networkInterfaces/*",
           "Microsoft.Network/routeTables/write",
           "Microsoft.Network/routeTables/delete",
           "Microsoft.Network/routeTables/routes/delete",
           "Microsoft.Network/virtualNetworks/subnets/join/action",
           "Microsoft.Network/virtualNetworks/subnets/read",
   
           "Microsoft.Resources/subscriptions/resourceGroups/read",
           "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
           "Microsoft.Storage/*/read",
           "Microsoft.Storage/storageAccounts/listKeys/action"
       ],
   }
   

2. Kör det här kommandot för att skapa rollen:

   az role definition create --role-definition <PATH_TO_FILE>

   Exempel:

   az role definition create --role-definition ./averecreatecluster.json
   

3. Tilldela den här rollen till den användare som ska skapa klustret:

   az role assignment create --assignee <USERNAME> --scope /subscriptions/<SUBSCRIPTION_ID> --role 'avere-create-cluster'

När du har slutfört den här processen ger rollen alla användare som tilldelats den följande behörigheter för prenumerationen:

• Skapa och konfigurera nätverksinfrastrukturen
• Skapa klusterkontrollanten
• Kör klusterskapandeskript från klusterstyrenheten för att skapa klustret