Share via

Uw privécloudomgeving beveiligen

  • Artikel

Definieer op rollen gebaseerd toegangsbeheer (RBAC) voor CloudSimple Service, CloudSimple-portal en Privécloud vanuit Azure. Gebruikers, groepen en rollen voor toegang tot vCenter of Private Cloud worden opgegeven met behulp van VMware SSO.

Azure RBAC voor CloudSimple-service

Voor het maken van de CloudSimple-service is de rol Eigenaar of Inzender vereist voor het Azure-abonnement. Standaard kunnen alle eigenaren en inzenders een CloudSimple-service maken en toegang krijgen tot de CloudSimple-portal voor het maken en beheren van privéclouds. Er kan slechts één CloudSimple-service per regio worden gemaakt. Als u de toegang wilt beperken tot specifieke beheerders, volgt u de onderstaande procedure.

  1. Een CloudSimple-service maken in een nieuwe resourcegroep op Azure Portal
  2. Geef Azure RBAC op voor de resourcegroep.
  3. Knooppunten aanschaffen en dezelfde resourcegroep gebruiken als de CloudSimple-service

Alleen de gebruikers met de bevoegdheden Eigenaar of Inzender voor de resourcegroep zien de CloudSimple-service en starten de CloudSimple-portal.

Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)) voor meer informatie.

RBAC voor vCenter van privécloud

Er wordt een standaardgebruiker CloudOwner@cloudsimple.local gemaakt in het vCenter SSO-domein wanneer een privécloud wordt gemaakt. CloudOwner-gebruiker heeft bevoegdheden voor het beheren van vCenter. Er worden extra identiteitsbronnen toegevoegd aan de vCenter SSO om toegang te verlenen aan verschillende gebruikers. Vooraf gedefinieerde rollen en groepen worden ingesteld op het vCenter dat kan worden gebruikt om extra gebruikers toe te voegen.

Nieuwe gebruikers toevoegen aan vCenter

  1. Escaleer de bevoegdheden voor CloudOwner@cloudsimple.local de gebruiker in de privécloud.
  2. Meld u aan bij vCenter met behulp van CloudOwner@cloudsimple.local
  3. VCenter Single Sign-On Users toevoegen.
  4. Gebruikers toevoegen aan vCenter-groepen voor eenmalige aanmelding.

Zie het artikel CloudSimple Private Cloud Permission Model of VMware vCenter voor meer informatie over vooraf gedefinieerde rollen en groepen.

Nieuwe identiteitsbronnen toevoegen

U kunt extra id-providers toevoegen voor het vCenter SSO-domein van uw privécloud. Id-providers bieden verificatie en vCenter SSO-groepen bieden autorisatie voor gebruikers.

  1. Escaleer de bevoegdheden voor CloudOwner@cloudsimple.local de gebruiker in de privécloud.
  2. Meld u aan bij vCenter met behulp van CloudOwner@cloudsimple.local
  3. Voeg gebruikers van de id-provider toe aan vCenter-groepen voor eenmalige aanmelding.

Netwerk beveiligen in uw privécloudomgeving

De netwerkbeveiliging van de privécloudomgeving wordt beheerd door netwerktoegang te beveiligen en het netwerkverkeer tussen resources te beheren.

Toegang tot privécloudresources

Toegang tot vCenter en resources in de privécloud vindt plaats via een beveiligde netwerkverbinding:

  • ExpressRoute-verbinding. ExpressRoute biedt een beveiligde verbinding met hoge bandbreedte en lage latentie vanuit uw on-premises omgeving. Als u de verbinding gebruikt, hebben uw on-premises services, netwerken en gebruikers toegang tot uw vCenter voor privécloud.
  • Site-naar-site-VPN-gateway. Site-naar-site-VPN biedt toegang tot uw privécloudresources vanaf on-premises via een beveiligde tunnel. U geeft op welke on-premises netwerken netwerkverkeer naar uw privécloud kunnen verzenden en ontvangen.
  • Punt-naar-site-VPN-gateway. Gebruik punt-naar-site-VPN-verbinding voor snelle externe toegang tot uw vCenter van de privécloud.

Netwerkverkeer beheren in privécloud

Firewalltabellen en -regels beheren het netwerkverkeer in de privécloud. Met de firewalltabel kunt u het netwerkverkeer tussen een bronnetwerk of IP-adres en een doelnetwerk of IP-adres beheren op basis van de combinatie van regels die in de tabel zijn gedefinieerd.

  1. Maak een firewalltabel.
  2. Voeg regels toe aan de firewalltabel.
  3. Koppel een firewalltabel aan een VLAN/subnet.