Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Définissez le contrôle d’accès en fonction du rôle (RBAC) pour le service CloudSimple, le portail CloudSimple et le cloud privé à partir d’Azure. Les utilisateurs, les groupes et les rôles pour accéder à vCenter of Private Cloud sont spécifiés à l’aide de l’authentification unique VMware.
RBAC Azure pour le service CloudSimple
La création du service CloudSimple nécessite un rôle Propriétaire ou Contributeur sur l’abonnement Azure. Par défaut, tous les propriétaires et contributeurs peuvent créer un service CloudSimple et accéder au portail CloudSimple pour créer et gérer des clouds privés. Un seul service CloudSimple peut être créé par région. Pour restreindre l’accès à des administrateurs spécifiques, suivez la procédure ci-dessous.
- Créer un service CloudSimple dans un nouveau groupe de ressources sur le portail Azure
- Spécifiez Azure RBAC pour le groupe de ressources.
- Acheter des nœuds et utiliser le même groupe de ressources que le service CloudSimple
Seuls les utilisateurs disposant de privilèges Propriétaire ou Contributeur sur le groupe de ressources verront le service CloudSimple et lancez le portail CloudSimple.
Pour plus d’informations, consultez Présentation du contrôle d’accès en fonction du rôle Azure (Azure RBAC).
RBAC pour vCenter de cloud privé
Un utilisateur CloudOwner@cloudsimple.local par défaut est créé dans le domaine vCenter SSO lorsqu’un cloud privé est créé. L’utilisateur CloudOwner dispose de privilèges pour gérer vCenter. Des sources d’identité supplémentaires sont ajoutées à l’authentification unique vCenter pour permettre l’accès à différents utilisateurs. Les rôles et groupes prédéfinis sont configurés sur le vCenter qui peut être utilisé pour ajouter des utilisateurs supplémentaires.
Ajouter de nouveaux utilisateurs à vCenter
- Augmentez les privilèges de CloudOwner@cloudsimple.local l’utilisateur sur le cloud privé.
- Se connecter à vCenter à l’aide de CloudOwner@cloudsimple.local
- Ajoutez vCenter Single Sign-On Users.
- Ajoutez des utilisateurs à des groupes d’authentification unique vCenter.
Pour plus d’informations sur les rôles et groupes prédéfinis, consultez le modèle d’autorisation cloud privé CloudSimple de l’article VMware vCenter .
Ajouter de nouvelles sources d’identité
Vous pouvez ajouter des fournisseurs d’identité supplémentaires pour le domaine vCenter SSO de votre cloud privé. Les fournisseurs d’identité fournissent l’authentification et les groupes d’authentification unique vCenter fournissent une autorisation pour les utilisateurs.
- Utilisez Active Directory comme fournisseur d’identité sur un vCenter de cloud privé.
- Utiliser Azure AD comme fournisseur d’identité sur un vCenter de cloud privé
- Augmentez les privilèges de CloudOwner@cloudsimple.local l’utilisateur sur le cloud privé.
- Se connecter à vCenter à l’aide de CloudOwner@cloudsimple.local
- Ajoutez des utilisateurs du fournisseur d’identité aux groupes vCenter Single Sign-On.
Sécuriser le réseau sur votre environnement de cloud privé
La sécurité réseau de l’environnement de cloud privé est contrôlée par la sécurisation de l’accès réseau et le contrôle du trafic réseau entre les ressources.
Accès aux ressources de cloud privé
L’accès au vCenter de cloud privé et aux ressources se fait sur une connexion réseau sécurisée :
- Connexion ExpressRoute. ExpressRoute fournit une connexion sécurisée, à bande passante élevée et à faible latence à partir de votre environnement local. L’utilisation de la connexion permet à vos services, réseaux et utilisateurs locaux d’accéder à votre vCenter de cloud privé.
- Passerelle VPN de site à site. Le VPN de site à site donne accès à vos ressources de cloud privé à partir d’un site local via un tunnel sécurisé. Vous spécifiez quels réseaux locaux peuvent envoyer et recevoir le trafic réseau vers votre cloud privé.
- Passerelle VPN point à site. Utilisez la connexion VPN point à site pour un accès à distance rapide à votre vCenter de cloud privé.
Contrôler le trafic réseau dans un cloud privé
Les tables et règles de pare-feu contrôlent le trafic réseau dans le cloud privé. La table de pare-feu vous permet de contrôler le trafic réseau entre un réseau source ou une adresse IP et un réseau de destination ou une adresse IP en fonction de la combinaison de règles définies dans la table.
- Créez une table de pare-feu.
- Ajoutez des règles à la table de pare-feu.
- Attachez une table de pare-feu à un réseau local virtuel/sous-réseau.