Dans Self-Service, il est possible de mettre en place des politiques d’approbations lors de l’utilisation d’un blueprint ou d’un runbook pour valider ou non le déploiement.
Il y a peu de ressources qui illustre la mise en pratique de cette option, voici une petite démonstration de l’utilisation de cette fonctionnalité.
Création d’une politique d’approbation
Les politiques d’approbation nécessitent au préalable le déploiement d’une VM policy-engine dont le déploiement pas à pas est expliqué dans la documentation officielle de l’éditeur « Policy Engine Deployment Guide« .
Une fois cette policy engine en place, nous avons accès à une section « Policy » dans le Menu Self-Service, dans laquelle nous allons pouvoir sélectionner « Create an approval Policy ».
Pour la première étape de création, il est nécessaire de choisir :
- Un nom pour la politique d’approbation
- Un projet sur lequel la politique va s’appliquer
- Un type d’entité « Runbook » ou « Application » concernée par l’approbation
- Une action qui va définir le déclenchement de l’approbation : « Launch » ou « Day 2 Operation » pour les applications ou « Execute » pour les runbooks
Il est ensuite nécessaire de remplir des conditions, qui peuvent être unique ou multiple.
Plusieurs conditions sont possibles en fonction de l’attribut, sur une quantité de ressource, sur un nom d’application …
La documentation Nutanix détaille largement les attributs et substrats selon les environnements de déploiements pour vous permettre de trouver la configuration adéquate : Conditions in Approval Policy
Dans mon cas, je choisi de faire une policy sur une quantité de ressources supérieure à une valeur fixée pour vcpu et mémoire ainsi que conditionné uniquement au déploiement de VM sur environnement AHV.
Il est ensuite nécessaire de sélectionner au moins un « Approver » pour la demande, qu’il soit local ou sur un source d’authentification externe déclarée (dans Prism Central).
La politique d’approbation est bien active et peut être testé.
Nous allons donc déployer une application dans un blueprint en tentant de dépasser les valeurs autorisées pour lever le déclenchement de la politique d’approbation. Je lance donc le blueprint avec un utilisateur différent d’administrateur.
Dans l’audit du déploiement, on peut voir une approbation en attente :
En se connectant sur le portail avec un compte administrateur (des Approvers), on peut voir dans la requête dans les attentes d’approbation et revoir ses caractéristiques avant de la valider :
Après avoir validé la requête, si on retourne sur l’Audit du déploiement, on peut voir que la requête est approuvée et que le déploiement reprends :
Si le SMTP est configuré et que les approbateurs/demandeurs ont une adresse mail valide, un mail est envoyé à l’approbateur et au demandeur avec le modèle suivant.
