Nagyvállalati szintű identitás- és hozzáférés-kezelés Azure VMware Solution
Ez a cikk az identitás- és hozzáférés-kezelés, valamint az identitáskezelési fogalmak Azure VMware Solution található információkra épül.
Ezekkel az információkkal megvizsgálhatja az identitás- és hozzáférés-kezelés olyan tervezési szempontjait és javaslatait, amelyek a Azure VMware Solution központi telepítésére vonatkoznak.
A Azure VMware Solution identitáskövetelményei az Azure-beli implementációtól függően változnak. A cikkben szereplő információk a leggyakoribb forgatókönyveken alapulnak.
Kialakítási szempontok
A Azure VMware Solution üzembe helyezése után az új környezet vCenterje tartalmaz egy nevű beépített helyi felhasználótcloudadmin
. Ez a felhasználó a CloudAdmin szerepkörhöz van rendelve, és több engedéllyel rendelkezik a vCenter Serverben. Egyéni szerepköröket is létrehozhat a Azure VMware Solution környezetben a szerepköralapú hozzáférés-vezérlés (RBAC) minimális jogosultsági elve alapján.
Tervezési javaslatok
Az identitás- és hozzáférés-kezelés nagyvállalati szintű kezdőzónájának részeként helyezzen üzembe egy Active Directory tartományi szolgáltatások (AD DS) tartományvezérlőt az identitás-előfizetésben.
Korlátozza a CloudAdmin szerepkörhöz hozzárendelt felhasználók számát. Egyéni szerepkörök és minimális jogosultságok használatával rendelhet felhasználókat Azure VMware Solution.
A cloudadmin- és NSX-rendszergazdai jelszavak rotálásakor körültekintően járjon el.
Korlátozza Azure VMware Solution szerepköralapú hozzáférés-vezérlési (RBAC-) engedélyeket az Azure-ban arra az erőforráscsoportra, ahol az üzembe van helyezve, valamint azokat a felhasználókat, akiknek kezelniük kell Azure VMware Solution.
Ha szükséges, csak egyéni szerepkörökkel rendelkező vSphere-engedélyeket konfiguráljon a hierarchia szintjén. Érdemesebb engedélyeket alkalmazni a megfelelő virtuálisgép-mappára vagy erőforráskészletre. Kerülje a vSphere-engedélyek alkalmazását az adatközpont szintjén vagy felett.
Frissítse az Active Directory-helyeket és -szolgáltatásokat, hogy az Azure- és Azure VMware Solution AD DS-forgalmat a megfelelő tartományvezérlőkre irányítsa.
Használja a Futtatás parancsot a magánfelhőben a következőhöz:
Adjon hozzá egy AD DS-tartományvezérlőt a vCenter Server és az NSX-T adatközpont identitásforrásaként.
Adja meg a csoport életciklus-műveletét
vsphere.local\CloudAdmins
.
Hozzon létre csoportokat az Active Directoryban, és használja az RBAC-t a vCenter Server és az NSX-T Data Center kezeléséhez. Létrehozhat egyéni szerepköröket, és Active Directory-csoportokat rendelhet az egyéni szerepkörökhöz.
Következő lépések
Tudnivalók a Azure VMware Solution nagyvállalati szintű forgatókönyv hálózati topológiájáról és kapcsolatáról. Vizsgálja meg a Microsoft Azure-ral és Azure VMware Solution való hálózatkezeléssel és kapcsolattal kapcsolatos tervezési szempontokat és ajánlott eljárásokat.