Absichern Ihrer privaten Cloudumgebung

  • Artikel

Definieren Sie in Azure die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für den CloudSimple-Dienst, das CloudSimple-Portal und die private Cloud. Benutzer, Gruppen und Rollen für den Zugriff auf vCenter in der privaten Cloud werden mithilfe von VMware SSO angegeben.

Azure RBAC für den CloudSimple-Dienst

Die Erstellung des CloudSimple-Diensts erfordert die Rolle Besitzer oder Mitwirkender im Azure-Abonnement. Standardmäßig können alle Besitzer und Mitwirkende einen CloudSimple-Dienst erstellen und auf das CloudSimple-Portal zugreifen, um private Clouds zu erstellen und zu verwalten. Pro Region kann nur ein CloudSimple-Dienst erstellt werden. Führen Sie die folgenden Schritte aus, um den Zugriff auf bestimmte Administratoren zu beschränken.

  1. Erstellen eines CloudSimple-Diensts in einer neuen Ressourcengruppe im Azure-Portal
  2. Geben Sie die Azure RBAC für die Ressourcengruppe an.
  3. Erwerben Sie Knoten, und verwenden Sie dieselbe Ressourcengruppe wie für den CloudSimple-Dienst.

Nur die Benutzer mit den Berechtigungen Besitzer oder Mitwirkender für die Ressourcengruppe können den CloudSimple-Dienst sehen und das CloudSimple-Portal aufrufen.

Weitere Informationen finden Sie unter Was ist die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC)?.

RBAC für private vCenter-Cloud

Der Standardbenutzer CloudOwner@cloudsimple.local wird in der vCenter-SSO-Domäne erstellt, sobald eine private Cloud erstellt wird. Der Benutzer „CloudOwner“ hat Berechtigungen zum Verwalten von vCenter. vCenter SSO werden zusätzliche Identitätsquellen hinzugefügt, um verschiedenen Benutzern Zugriff zu gewähren. In vCenter werden vordefinierte Rollen und Gruppen eingerichtet, mit deren Hilfe weitere Benutzer hinzugefügt werden können.

Hinzufügen neuer Benutzer zu vCenter

  1. Erhöhen Sie Berechtigungen für den Benutzer CloudOwner@cloudsimple.local in der privaten Cloud.
  2. Melden Sie sich bei vCenter mithilfe von CloudOwner@cloudsimple.local an.
  3. Fügen Sie vCenter SSO-Benutzer hinzu.
  4. Fügen Sie Benutzer zu SSO-Gruppen in vCenter hinzu.

Weitere Informationen zu vordefinierten Rollen und Gruppen finden Sie unter Berechtigungsmodell der privaten CloudSimple-Cloud von VMware-vCenter.

Hinzufügen neuer Identitätsquellen

Sie können zusätzliche Identitätsanbieter zur vCenter SSO-Domäne Ihrer privaten Cloud hinzufügen. Identitätsanbieter ermöglichen die Authentifizierung, und SSO-Gruppen von vCenter die Autorisierung der Benutzer.

  1. Erhöhen Sie Berechtigungen für den Benutzer CloudOwner@cloudsimple.local in der privaten Cloud.
  2. Melden Sie sich bei vCenter mithilfe von CloudOwner@cloudsimple.local an.
  3. Fügen Sie Benutzer aus dem Identitätsanbieter zu SSO-Gruppen für vCenter hinzu.

Absichern des Netzwerks in Ihrer privaten Cloudumgebung

Die Netzwerksicherheit der privaten Cloudumgebung wird durch die Absicherung des Netzwerkzugriffs und die Steuerung des Netzwerkdatenverkehrs zwischen Ressourcen gewährleistet.

Zugreifen auf private Cloudressourcen

Der Zugriff auf die private vCenter-Cloud und Ressourcen erfolgt über eine sichere Netzwerkverbindung:

  • ExpressRoute-Verbindung . ExpressRoute bietet eine sichere, breitbandige und latenzarme Verbindung mit Ihrer lokalen Umgebung. Mithilfe der Verbindung können Ihre lokalen Dienste, Netzwerke und Benutzer auf Ihre private vCenter-Cloud zugreifen.
  • Site-to-Site-VPN-Gateway . Ein Site-to-Site-VPN ermöglicht den lokalen Zugriff auf Ihre privaten Cloudressourcen über einen sicheren Tunnel. Sie legen fest, welche lokalen Netzwerke den Netzwerkdatenverkehr an Ihre private Cloud senden und von dieser empfangen können.
  • Point-to-Site-VPN Gateway . Verwenden Sie eine Point-to-Site-VPN-Verbindung für den schnellen Remotezugriff auf Ihre private vCenter-Cloud.

Steuern des Netzwerkdatenverkehrs in der privaten Cloud

Firewalltabellen und-regeln steuern den Netzwerkdatenverkehr in der privaten Cloud. Die Firewalltabelle ermöglicht die Steuerung des Netzwerkdatenverkehrs zwischen einem Quellnetzwerk oder einer IP-Adresse und einem Zielnetzwerk oder einer IP-Adresse basierend auf der in der Tabelle definierten Kombination von Regeln.

  1. Erstellen Sie eine Firewalltabelle.
  2. Fügen Sie der Firewalltabelle Regeln hinzu.
  3. Fügen Sie eine Firewalltabelle an ein VLAN/Subnetz an.