Azure VMware Solution의 엔터프라이즈급 ID 및 액세스 관리
이 문서는 ID 및 액세스 관리와 Azure VMware Solution ID 개념에 있는 정보를 기반으로 합니다.
이 정보를 사용하여 Azure VMware Solution에 관한 ID 및 액세스 관리에 대한 디자인 고려 사항 및 권장 사항을 살펴봅니다.
Azure VMware Solution의 ID 요구 사항은 Azure에서의 해당 구현에 따라 달라집니다. 이 문서에서 제공하는 정보는 가장 일반적인 시나리오를 기반으로 합니다.
디자인 고려 사항
Azure VMware Solution을 배포하고 나면 새 환경의 vCenter에 cloudadmin이라는 기본 제공 로컬 사용자가 포함됩니다. 이 사용자는 vCenter Server에서 여러 권한이 있는 CloudAdmin 역할에 할당됩니다. RBAC(역할 기반 액세스 제어)를 사용하여 최소 권한 원칙을 사용하여 Azure VMware Solution 환경에서 사용자 지정 역할을 만들 수도 있습니다.
디자인 권장 사항
ID 및 액세스 관리 엔터프라이즈급 랜딩 존의 일부로 ID 구독에 AD DS(Active Directory Domain Services) 도메인 컨트롤러를 배포합니다.
CloudAdmin 역할을 할당하는 사용자 수를 제한합니다. 사용자 지정 역할 및 최소 권한을 사용하여 사용자를 Azure VMware Solution에 할당합니다.
cloudadmin 및 NSX 관리자 암호를 순환할 때 주의합니다.
Azure의 Azure VMware Solution RBAC(역할 기반 액세스 제어) 권한을 배포된 리소스 그룹 및 Azure VMware Solution을 관리해야 하는 사용자로 제한합니다.
필요한 경우 계층 구조 수준에서 사용자 지정 역할을 사용하여 vSphere 권한만 구성합니다. 적절한 VM 폴더 또는 리소스 풀에서 권한을 적용하는 것이 더 좋습니다. 데이터 센터 수준 이상에서 vSphere 권한을 적용하지 않도록 합니다.
Azure 및 Azure VMware Solution AD DS 트래픽을 적절한 도메인 컨트롤러로 보내도록 Active Directory 사이트 및 서비스를 업데이트합니다.
프라이빗 클라우드에서 실행 명령을 사용하여 다음을 수행합니다.
vCenter Server 및 NSX-T 데이터 센터의 ID 원본으로 AD DS 도메인 컨트롤러를 추가합니다.
vsphere.local\CloudAdmins그룹에서 수명 주기 작업을 제공합니다.
Active Directory에서 그룹을 만들고 RBAC를 사용하여 vCenter Server 및 NSX-T 데이터 센터를 관리합니다. 사용자 지정 역할을 만들고 사용자 지정 역할에 Active Directory 그룹을 할당할 수 있습니다.
다음 단계
Azure VMware Solution 엔터프라이즈급 시나리오의 네트워크 토폴로지 및 연결에 대해 알아봅니다. Microsoft Azure 및 Azure VMware Solution을 사용한 네트워킹 및 연결에 대한 디자인 고려 사항 및 모범 사례를 검토합니다.