Cómo proteger el entorno de nube privada
Establezca el control de acceso basado en rol (RBAC) en el servicio CloudSimple, en el portal de CloudSimple y en la nube privada de Azure. Los usuarios, grupos y roles necesarios para acceder a la instancia de vCenter de la nube privada se especifican mediante SSO de VMware.
Azure RBAC en el servicio CloudSimple
La creación del servicio CloudSimple requiere el rol Propietario o Colaborador en la suscripción de Azure. Todos los propietarios y colaboradores pueden crear un servicio CloudSimple y acceder al portal de CloudSimple de forma predeterminada para crear y administrar nubes privadas. Solo se puede crear un servicio CloudSimple por región. Para restringir el acceso a solo algunos administradores, realice el procedimiento que se indica a continuación.
- Cree un servicio CloudSimple en un grupo de recursos nuevo en Azure Portal.
- Especifique Azure RBAC en el grupo de recursos.
- Adquiera nodos y use el mismo grupo de recursos que el servicio CloudSimple.
Solo los usuarios que tienen privilegios de Propietario o Colaborador en el grupo de recursos verán el servicio CloudSimple e iniciarán el portal de CloudSimple.
Para obtener más información, consulte ¿Qué es el control de acceso basado en roles (RBAC) de Azure?
RBAC para vCenter de nube privada
Cuando se crea una nube privada, se crea un usuario predeterminado CloudOwner@cloudsimple.local
en el dominio de SSO de vCenter. El usuario CloudOwner tiene privilegios para administrar vCenter. Se irán agregando más orígenes de identidades al SSO de vCenter para permitir el acceso a distintos usuarios. Se configurarán roles y grupos predefinidos en vCenter para usarlos para agregar más usuarios.
Adición de nuevos usuarios a vCenter
- Escale privilegios para el usuario CloudOwner@cloudsimple.local en la nube privada.
- Inicie sesión en vCenter con CloudOwner@cloudsimple.local.
- Agregue usuarios de inicio de sesión único de vCenter.
- Agregue usuarios a grupos de inicio de sesión único de vCenter.
Para más información sobre los roles y grupos predefinidos, vea el artículo Modelo de permisos de la nube privada de VMware vCenter de CloudSimple.
Adición de nuevos orígenes de identidades
Se pueden agregar más proveedores de identidades relativos al dominio de SSO de vCenter de la nube privada. Los proveedores de identidades facilitan la característica de autenticación y los grupos de SSO de vCenter proporcionan autorización a los usuarios.
- Use Active Directory como proveedor de identidades en la instancia de vCenter de nube privada.
- Use Active AD como proveedor de identidades en la instancia de vCenter de nube privada.
- Escale privilegios para el usuario CloudOwner@cloudsimple.local en la nube privada.
- Inicie sesión en vCenter con CloudOwner@cloudsimple.local.
- Agregue usuarios desde el proveedor de identidades a los grupos de inicio de sesión único de vCenter.
Protección de red en el entorno de nube privada
La seguridad de red del entorno de nube privada se controla mediante la protección del acceso a la red y el control del tráfico de red entre los recursos.
Acceso a los recursos de nube privada
El acceso a los recursos y a la instancia de vCenter de nube privada se realiza a través de una conexión de red segura:
- Conexión ExpressRoute . ExpressRoute proporciona una conexión segura de baja latencia y ancho de banda elevado desde el entorno local. Mediante esta conexión, los servicios locales, las redes y los usuarios tienen acceso a la instancia de vCenter de nube privada.
- Puerta de enlace de VPN de sitio a sitio . Las VPN de sitio a sitio proporcionan acceso a los recursos de nube privada desde el entorno local a través de un túnel seguro. Hay que especificar qué redes locales pueden enviar y recibir tráfico de red a la nube privada.
- Puerta de enlace de VPN de punto a sitio . Use una conexión VPN de punto a sitio para acceder de forma remota rápida a la instancia de vCenter de nube privada.
Control del tráfico de red en la nube privada
Las reglas y tablas de firewall controlan el tráfico de red en la nube privada. La tabla de firewall permite controlar el tráfico de red entre una red o una dirección IP de origen y una red o dirección IP de destino en función de la combinación de reglas definida en la tabla en cuestión.
- Cree una tabla de firewall.
- Agregue reglas a la tabla de firewall.
- Asocie una tabla de firewall a una VLAN o una subred.