Ami du jour, bonjour !
vRealize est un outil très pratique pour gérer votre Infrastructure as a Service (IaaS)
La dernière version 8 offre enfin des features "As Code" très intéressantes, tout ou presque peut être configuré par API (donc aussi via Terraform).
Cependant, la plateforme a quelques défauts qui, si vous n'y prenez pas garde, vous feront perdre beaucoup de temps, entre autres, au niveau de la gestion des utilisateurs.
Les modules de vRealize
vRealize se compose principalement de trois modules. D'autres modules sont aussi disponibles, mais en fonction des licences, certains peuvent ne pas être disponibles dans votre entreprise :
- Orchestrator
- Cloud Assembly
- Service Broker
Comment cela fonctionne
vRealize offre deux niveaux pour les utilisateurs :
- Niveau global
- User: un utilisateur ou un administrateur
- Niveau d'accès de chaque module (Admin, User, Viewer)
- Niveau du projet
- Admin du projet
- User du projet
Le modèle RBAC
Un peu plus haut, je vous indiquais que tout ou presque pouvait être configuré par Terraform. Le "ou presque" intervient entre autres dans la gestion des utilisateurs. Le niveau global ne peut pas être configuré facilement via Terraform. Par conséquent, il est important d'utiliser un modèle RBAC sécuritaire mais aussi simple à maintenir, surtout si vous comptez avoir des centaines de Users.
Ainsi, j'ai pour habitude de définir les niveaux d'accès de la façon suivante :
- Admin de la plateforme
- Concepteur de Cloud Template
- Consommateur de Cloud Template
Le niveau projet peut être configuré par Terraform, mais on peut rester sur un modèle simple :
- Admin : Les administrateurs de la plateforme
- Member : les concepteurs ou consommateurs s'ils ont besoin d'accès à ce projet particulier
Quelques exemples concrets
Utilisateur du projet Toto qui a le droit de commander
Global :
- Normal User
- Service Broker Viewer
Niveau projet :
- Member du projet Toto
Utilisateur du projet Toto qui a le droit de modifier les Cloud Template
Global :
- Normal User
- Service Broker Viewer
- Cloud Assembly administrator
Niveau projet :
- Member du projet Toto
Administrateur de la suite vRealize
Global :
- Owner
- Service Broker administrator
- Cloud Assembly administrator
- Orchestrator administrator
Niveau projet :
- Rien, le rôle Owner donne les bons droits
Lister tous les deploiements du projet Toto, mais sans droit de modification
Global :
- Normal User
- Service Broker Viewer
Niveau projet :
- Rien
Sur ce, Ami de vRealize Automation, je vous souhaite plein de jolies montage !
