Zarządzanie tożsamościami i dostępem w skali przedsiębiorstwa dla Azure VMware Solution

  • Artykuł

Ten artykuł opiera się na informacjach znalezionych w temacie Identity and access management andAzure VMware Solution identity concepts (Zarządzanie tożsamościami i dostępem oraz pojęcia dotyczące tożsamości Azure VMware Solution).

Te informacje służą do analizowania zagadnień projektowych i zaleceń dotyczących zarządzania tożsamościami i dostępem, które są specyficzne dla wdrożenia Azure VMware Solution.

Wymagania dotyczące tożsamości dla Azure VMware Solution różnią się w zależności od jej implementacji na platformie Azure. Informacje podane w tym artykule są oparte na najbardziej typowych scenariuszach.

Zagadnienia dotyczące projektowania

Po wdrożeniu Azure VMware Solution program vCenter nowego środowiska zawiera wbudowanego użytkownika lokalnego o nazwie cloudadmin. Ten użytkownik jest przypisywany do roli CloudAdmin z kilkoma uprawnieniami w programie vCenter Server. Role niestandardowe można również tworzyć w środowisku Azure VMware Solution przy użyciu zasady najniższych uprawnień z kontrolą dostępu opartą na rolach (RBAC).

Zalecenia dotyczące projektowania

  • W ramach strefy docelowej zarządzania tożsamościami i dostępem w skali przedsiębiorstwa wdróż kontroler domeny Active Directory Domain Services (AD DS) w subskrypcji tożsamości.

  • Ogranicz liczbę użytkowników, którym przypisano rolę CloudAdmin. Użyj ról niestandardowych i najniższych uprawnień, aby przypisać użytkowników do Azure VMware Solution.

  • Zachowaj ostrożność podczas rotacji haseł administratora chmury i NSX.

  • Ogranicz Azure VMware Solution uprawnienia kontroli dostępu opartej na rolach (RBAC) na platformie Azure do grupy zasobów, w której jest wdrożona, oraz użytkowników, którzy muszą zarządzać Azure VMware Solution.

  • W razie potrzeby skonfiguruj tylko uprawnienia vSphere z rolami niestandardowymi na poziomie hierarchii. Lepiej jest zastosować uprawnienia do odpowiedniego folderu maszyny wirtualnej lub puli zasobów. Unikaj stosowania uprawnień vSphere na poziomie centrum danych lub wyższym.

  • Zaktualizuj lokacje i usługi Active Directory, aby skierować ruch usług AD DS na platformę Azure i Azure VMware Solution do odpowiednich kontrolerów domeny.

  • Użyj polecenia Uruchom w chmurze prywatnej, aby:

    • Dodaj kontroler domeny usług AD DS jako źródło tożsamości dla programu vCenter Server i centrum danych NSX-T.

    • Podaj operację cyklu życia grupy vsphere.local\CloudAdmins .

  • Utwórz grupy w usłudze Active Directory i użyj kontroli dostępu opartej na rolach do zarządzania serwerem vCenter i centrum danych NSX-T. Do ról niestandardowych można tworzyć role niestandardowe i przypisywać grupy usługi Active Directory do ról niestandardowych.

Następne kroki

Dowiedz się więcej o topologii sieci i łączności dla scenariusza w skali przedsiębiorstwa Azure VMware Solution. Zapoznaj się z zagadnieniami dotyczącymi projektowania i najlepszymi rozwiązaniami dotyczącymi sieci i łączności z platformą Microsoft Azure i Azure VMware Solution.

Topologia sieci i łączność