Основные понятия об удостоверениях для Решения Azure VMware

  • Статья

Решение Azure VMware частные облака подготовлены с помощью vCenter Server и NSX Manager. Вы используете vCenter Server для управления рабочими нагрузками виртуальных машин и диспетчером NSX для управления и расширения частного облака. Роль Cloud Администратор используется для vCenter Server и роли Cloud Администратор (с ограниченными разрешениями) используется для диспетчера NSX.

Доступ к vCenter Server и удостоверение

В Решение Azure VMware VMware vCenter Server имеет встроенную учетную запись локального пользователя с именем Cloud Администратор которая назначена роли Cloud Администратор. Вы можете настроить пользователей и группы в Windows Server Active Directory с помощью роли Cloud Администратор для частного облака. Как правило, роль CloudAdmin создает рабочие нагрузки в частном облаке и управляет ими. Но в Решение Azure VMware роль Cloud Администратор имеет права vCenter Server, отличные от других облачных решений VMware и локальных развертываний.

Внимание

Локальная облачная Администратор учетная запись пользователя должна использоваться в качестве учетной записи аварийного доступа для сценариев аварийного доступа в частном облаке. Она не предназначена для ежедневных административных действий или для интеграции с другими службами.

  • В локальном развертывании vCenter Server и ESXi администратор имеет доступ к учетной записи vCenter Server administrator@vsphere.local и корневой учетной записи ESXi. Администратору также может быть назначено больше пользователей и групп Windows Server Active Directory.

  • В развертывании Решение Azure VMware администратор не имеет доступа к учетной записи пользователя Администратор istrator или корневой учетной записи ESXi. Но администратор может назначать пользователей Windows Server Active Directory и группирования роли Cloud Администратор в vCenter Server. Роль Cloud Администратор не имеет разрешений на добавление источника удостоверений, например локального протокола доступа к каталогу (LDAP) или защищенного сервера LDAP (LDAPS) на сервер vCenter Server. Однако можно использовать команды Run для добавления источника удостоверений и назначения роли Cloud Администратор пользователям и группам.

Учетная запись пользователя в частном облаке не может получить доступ к определенным компонентам управления, которые корпорация Майкрософт поддерживает и управляет ими. Примерами являются кластеры, узлы, хранилища данных и распределенные виртуальные коммутаторы.

Примечание.

В Решение Azure VMware домен единого входа vsphere.local предоставляется в качестве управляемого ресурса для поддержки операций платформы. Вы не можете использовать его для создания локальных групп и пользователей, кроме тех, которые предоставляются по умолчанию в частном облаке.

Внимание

Решение Azure VMware предлагает пользовательские роли на сервере vCenter Server, но в настоящее время не предлагает их на портале Решение Azure VMware. Дополнительные сведения см . в разделе "Создание пользовательских ролей на сервере vCenter Server " далее в этой статье.

Просмотр привилегий vCenter Server

Выполните следующие действия, чтобы просмотреть привилегии, предоставленные роли Решение Azure VMware Cloud Администратор в Решение Azure VMware частном облаке vCenter.

  1. Войдите в клиент vSphere и перейдите в Меню>Администрирование.

  2. В разделе Контроль доступа выберите Роли.

  3. В списке ролей выберите CloudAdmin и выберите Привилегии.

    Снимок экрана: роли и привилегии для Облака Администратор в клиенте vSphere.

Роль Cloud Администратор в Решение Azure VMware имеет следующие привилегии на сервере vCenter Server. Дополнительные сведения см. в документации по продуктам VMware.

Право Description
Оповещения Подтверждение оповещение
Создание оповещения
Отключение действия оповещения
Изменение оповещения
Удаление оповещения
Установка статуса оповещения
Библиотека содержимого Добавление элемента библиотеки
Добавление корневого сертификата в хранилище доверия
Проверка шаблона
Ознакомьтесь с шаблоном
Создание подписки для опубликованной библиотеки
Создание локальной библиотеки
Создание или удаление реестра Гавани
Создание библиотеки с подпиской
Создание, удаление или очистка проекта реестра Гавани
Удаление элемента библиотеки
Удаление локальной библиотеки
Удаление корневого сертификата из хранилища доверия
Удаление библиотеки с подпиской
Удаление подписки опубликованной библиотеки
Загрузка файлов
Вытеснение элементов библиотеки
Вытеснение библиотеки с подпиской
Импорт хранилища
Управление ресурсами реестра Гавани для указанного вычислительного ресурса
Проба информации о подписке
Публикация элемента библиотеки для ее подписчиков
Публикация библиотеки для ее подписчиков
Чтение из хранилища
Синхронизация элемента библиотеки
Синхронизация библиотеки с подпиской
Самодиагностика типа
Обновление параметров конфигурации
Обновление файлов
Обновление библиотеки
Обновление элемента библиотеки
Обновление локальной библиотеки
Обновление библиотеки с подпиской
Обновление подписки опубликованной библиотеки
Просмотр параметров конфигурации
Криптографические операции Прямой доступ
Datastore Выделение места
Обзор хранилища данных
Настройка хранилища данных
Низкоуровневые файловые операции
Удаление файлов
Обновление метаданных виртуальной машины
Папка Создать папку
Удалить папку
Переместить папку
Переименовать папку
Global Отмена задачи
Глобальный тег
Работоспособность
Регистрация событий в журнале
Управление настраиваемыми атрибутами
Диспетчеры служб
Задание пользовательского атрибута
Системный тег
Узел Репликация vSphere
    Управление репликацией
Сеть Assign network
Разрешения Изменение разрешений
Изменение роли
Управляемые профилем служба хранилища Просмотр хранилища, управляемого профилем
Ресурс Применение рекомендации
Назначение vApp пулу ресурсов
Assign virtual machine to resource pool
Создание пула ресурсов
Миграция выключенной виртуальной машины
Миграция включенной виртуальной машины
Изменение пула ресурсов
Перемещение пула ресурсов
Запрос vMotion
Удаление пула ресурсов
Переименование пула ресурсов
Запланированная задача Создание задачи
Изменение задачи
Удаление задачи
Запуск задачи
Сеансы Сообщение
Проверка сеанса
Просмотр хранилища Представления
vApp Добавление виртуальной машины
Назначение пула ресурсов
Назначение vApp
Клонировать
Создание
DELETE
Экспорт
Импорт
Передвинуть
Выключение питания
Включение
Переименовать
Приостановить
Unregister;
Просмотр среды OVF
Настройка приложения vApp
Настройка экземпляра vApp
Настройка managedBy для vApp
Конфигурация ресурса vApp
Виртуальная машина Изменение конфигурации
    Получение аренды диска
    Добавление существующего диска
    Добавление нового диска
    Добавление или удаление устройства
    Расширенная конфигурация
    Изменение количества ЦП
    Изменение памяти
    Изменить параметры
    Изменение размещения файлов подкачки
    Изменение ресурса
    Настройка USB-устройства узла
    Настройка необработанного устройства
    Настройка managedBy
    Отображение настроек подключения
    Расширение виртуального диска
    изменение параметров устройства;
    Совместимость отказоустойчивости запросов
    Запрос бесхозных файлов
    Перезагрузить из путей
    Удаление диска
    Переименовать
    Сброс гостевой информации
    Задание аннотации
    Переключение отслеживания изменений диска
    Переключение родительской вилки
    Обновление совместимости виртуальной машины
Изменение инвентаризации
    Создание из существующего
    создание
    Передвинуть
    Регистр
    Удалить
    Unregister;
Гостевые операции
    Изменение псевдонима гостевой операции
    Запрос псевдонима гостевой операции
    Изменение гостевой операции
    Выполнение программы гостевой операции
    Запросы гостевой операции
Взаимодействие
    Ответ на вопрос
    Резервное копирование операции на виртуальной машине
    Настройка CD в качестве носителя
    Настройка флоппи-диска в качестве носителя
    Подключить устройства
    Взаимодействие с консолью
    Создание снимка экрана
    Дефрагментация всех дисков
    Перетаскивание
    Управление гостевой операционной системой через API VIX
    Внедрение скан-кодов USB HID
    Установка средств VMware
    Пауза и возобновление
    Очистка или сжатие операций
    Выключение питания
    Включение
    Запись сеанса на виртуальной машине
    Воспроизведение сеанса на виртуальной машине
    Reset
    Возобновление отказоустойчивости
    Приостановить
    Приостановка отказоустойчивости
    Тестовая отработка отказа
    Тестовая перезагрузка вторичной виртуальной машины
    Отключение отказоустойчивости
    Включение отказоустойчивости
Подготовка
    Разрешение доступа к диску
    Разрешение доступа к файлу
    Allow read-only disk access
    Разрешение загрузки для виртуальной машины
    Клонирование шаблона
    Клонирование виртуальной машины
    Создание шаблона из виртуальной машины
    Настройка гостя
    Развертывание шаблона
    Пометка в качестве шаблона
    Изменение спецификации настройки
    Повышение уровня дисков
    Чтение спецификаций настройки
Конфигурация сервиса
    Разрешить уведомления
    Разрешение опроса уведомлений о глобальных событиях
    Управление конфигурацией службы
    Изменение конфигурации службы
    Запрос конфигураций службы
    Чтение конфигурации службы
Управление моментальными снимками
    Создать моментальный снимок
    Удаление моментального снимка
    Переименование моментального снимка
    Восстановление моментального снимка
Репликация vSphere
    Настройка репликации
    Управление репликацией
    Мониторинг репликации
vService Создание зависимости
Удаление зависимости
Перенастройка конфигурации зависимостей
Обновление зависимости
Разметка vSphere Назначение и отмена назначения тега vSphere
Создание тега vSphere
Создание категории тегов vSphere
Удаление тега vSphere
Удаление категории тегов vSphere
Изменение тега vSphere
Изменение категории тегов vSphere
Изменение поля UsedBy для категории
Изменение поля UsedBy для тега

Создание пользовательских ролей на сервере vCenter Server

Решение Azure VMware поддерживает использование пользовательских ролей с привилегиями, равными или меньшими, чем роль CloudAdmin. Используйте роль Cloud Администратор для создания, изменения или удаления пользовательских ролей с привилегиями меньше или равно их текущей роли.

Примечание.

Можно создавать роли с привилегиями выше, чем разрешения CloudAdmin. Однако вы не можете назначить роль каким-либо пользователям или группам или удалить эту роль. Роли, имеющие привилегии, превышающие облачные Администратор не поддерживаются.

Чтобы предотвратить создание ролей, которые не могут быть назначены или удалены, клонируйте роль CloudAdmin как основу для создания новых пользовательских ролей.

Создание пользовательской роли

  1. Войдите на сервер vCenter Server cloudadmin@vsphere.local или пользователь с помощью роли Cloud Администратор.

  2. Перейдите в раздел конфигурации Роли и выберите Меню>Администрирование>Управление доступом>Роли.

  3. Выберите роль CloudAdmin и щелкните значок действия Клонировать роль.

    Примечание.

    Не клонируйте роль Администратор, так как ее нельзя использовать. Кроме того, пользовательская роль, созданная не может быть удалена cloudadmin@vsphere.local.

  4. Укажите имя для клонированной роли.

  5. Удалите привилегии для роли и нажмите кнопку "ОК". Клонированная роль отображается в списке Роли.

Применение настраиваемой роли

  1. Перейдите к объекту, для которого требуется добавленное разрешение. Например, чтобы применить разрешение к папке, перейдите в раздел Меню>Виртуальные машины и шаблоны>Имя папки.

  2. Щелкните объект правой кнопкой мыши и выберите команду Добавить разрешение.

  3. В раскрывающемся списке Пользователь, где можно найти группу или пользователя, выберите источник удостоверений.

  4. Найдите пользователя или группу после выбора источника удостоверения в разделе Пользователь.

  5. Выберите роль, которую хотите применить к пользователю или группе.

    Примечание.

    Попытка применить пользователя или группу к роли, которая имеет привилегии, превышающие значение Cloud Администратор приведет к ошибкам.

  6. При необходимости установите флажок Распространить на дочерние элементы и нажмите кнопку . Добавленное разрешение отображается в разделе Разрешения.

Доступ и удостоверение диспетчера NSX VMware

При подготовке частного облака с помощью портал Azure компоненты управления программно-определяемым центром обработки данных (SDDC), такими как vCenter Server и VMware NSX Manager, подготавливаются для клиентов.

Корпорация Майкрософт отвечает за управление жизненным циклом (модуль) NSX, например VMware NSX Manager и (модуль) VMware NSX Edge. Они отвечают за загрузку конфигурации сети, например создание шлюза Уровня 0.

Вы несете ответственность за конфигурацию программно-определяемой сети VMware NSX (SDN), например:

  • Сегменты сети
  • Другие шлюзы уровня 1
  • Правила распределенного брандмауэра
  • Службы с отслеживанием состояния, такие как брандмауэр шлюза
  • Подсистема балансировки нагрузки на шлюзах уровня 1

Вы можете получить доступ к VMware NSX Manager с помощью встроенного локального пользователя Cloudadmin, назначенного пользовательской роли, которая предоставляет пользователю ограниченные привилегии для управления VMware NSX. Хотя корпорация Майкрософт управляет жизненным циклом VMware NSX, некоторые операции не допускаются пользователем. Операции не допускаются, включая изменение конфигурации узлов и пограничных транспортных узлов или запуск обновления. Для новых пользователей Решение Azure VMware развертывает их с определенным набором разрешений, необходимых для этого пользователя. Цель состоит в том, чтобы обеспечить четкое разделение управления между конфигурацией уровня управления Решение Azure VMware и Решение Azure VMware пользователем частного облака.

Для новых развертываний частного облака доступ VMware NSX предоставляется встроенным локальным пользовательским cloudadmin, назначенным роли cloudadmin с определенным набором разрешений для использования функций VMware NSX для рабочих нагрузок.

Разрешения пользователя VMware NSX cloudadmin

Следующие разрешения назначаются пользователю cloudadmin в Решение Azure VMware NSX.

Примечание.

Пользователь VMware NSX cloudadmin на Решение Azure VMware не совпадает с упоминание пользователя Cloudadmin, упоминание в документации по продукту VMware. Следующие разрешения применяются к API политики NSX VMware. Функциональные возможности API диспетчера могут быть ограничены.

Категория Тип Операция Разрешение
Сеть Подключение Шлюзы уровня 0
Шлюзы уровня 1
Segments		 Только для чтения
Полный доступ
Полный доступ
Сеть Сетевые службы VPN
NAT
Балансировка нагрузки
Политика пересылки
Статистика		 Полный доступ
Полный доступ
Полный доступ
Только для чтения
Полный доступ
Сеть Управление IP-адресами DNS
DHCP
Пулы IP-адресов		 Полный доступ
Полный доступ
Полный доступ
Сеть Профили Полный доступ
Безопасность Восточная западная безопасность Распределенный брандмауэр
Распределенные идентификаторы и IPS
Брандмауэр удостоверений		 Полный доступ
Полный доступ
Полный доступ
Безопасность Северная южная безопасность Брандмауэр шлюза
Анализ URL-адресов		 Полный доступ
Полный доступ
Безопасность Интроспекция сети Только для чтения
Безопасность Endpoint Protection Только для чтения
Безопасность Настройки Полный доступ
Запасы Полный доступ
Устранение неполадок IPFIX Полный доступ
Устранение неполадок Зеркалирование портов Полный доступ
Устранение неполадок Трассировка Полный доступ
Системные Настройка
Настройки
Настройки
Настройки		 Брандмауэр удостоверений
Пользователи и роли
Управление сертификатами (только сертификат службы)
Параметры пользовательского интерфейса		 Полный доступ
Полный доступ
Полный доступ
Полный доступ
Системные Все остальные Только для чтения

Разрешения, предоставленные роли Решение Azure VMware cloudadmin, можно просмотреть в Решение Azure VMware частном облаке VMware NSX.

  1. Войдите в диспетчер NSX.
  2. Перейдите к системам и найдите пользователей и ролей.
  3. Выберите и разверните роль cloudadmin, найденную в разделе "Роли".
  4. Выберите категорию, например сеть или безопасность, чтобы просмотреть определенные разрешения.

Примечание.

Частные облака, созданные до июня 2022 г ., переключятся с роли администратора на роль cloudadmin . Вы получите уведомление через службу работоспособности служб Azure, включающую временная шкала этого изменения, чтобы можно было изменить учетные данные NSX, которые вы использовали для другой интеграции.

Интеграция LDAP NSX для управления доступом на основе ролей (RBAC)

В развертывании Решение Azure VMware VMware NSX можно интегрировать с внешней службой каталогов LDAP, чтобы добавить пользователей или группу удаленных каталогов и назначить им роль VMware NSX RBAC, например локальное развертывание. Дополнительные сведения о включении интеграции LDAP VMware NSX см. в документации по продукту VMware.

В отличие от локального развертывания, не все предопределенные роли NSX RBAC поддерживаются с решением Azure VMware, чтобы обеспечить Решение Azure VMware управление конфигурацией уровня управления IaaS отдельно от конфигурации сети клиента и безопасности. Дополнительные сведения см. в следующем разделе: поддерживаемые роли NSX RBAC.

Примечание.

Интеграция LDAP VMware NSX поддерживается только с пользователем VMware NSX "cloudadmin".

Поддерживаемые и неподдерживаемые роли NSX RBAC

В развертывании Решение Azure VMware следующие предопределенные роли RBAC VMware NSX поддерживаются с интеграцией LDAP:

  • Аудитор
  • Cloudadmin
  • Администратор LB
  • Оператор LB
  • АДМИНИСТРАТОР VPN
  • Оператор сети

В развертывании Решение Azure VMware следующие предопределенные роли RBAC VMware NSX не поддерживаются с интеграцией LDAP:

  • Администратор организации
  • Сетевая Администратор
  • администратор безопасности;
  • Администратор партнера NetX
  • Администратор партнера GI

Вы можете создавать пользовательские роли в NSX с разрешениями меньше или равно облачным Администратор роли, созданной корпорацией Майкрософт. Ниже приведены примеры создания поддерживаемой роли "Сетевая Администратор" и "Безопасность Администратор".

Примечание.

Создание пользовательской роли завершится ошибкой, если вы назначите разрешение, запрещенное cloud Администратор роли.

Создание роли "Администратор сети AVS"

Чтобы создать эту настраиваемую роль, выполните следующие действия.

  1. Перейдите к системным>пользователям и ролям.>

  2. Клонируйте сеть Администратор и укажите имя, AVS Network Администратор.

  3. Измените следующие разрешения на "Только чтение" или "Нет", как показано в столбце разрешений в следующей таблице.

    Категория Подкатегории Функция Разрешение
    Сеть


    		 Подключение

    Сетевые службы    		 Шлюзы уровня 0
    Шлюзы > уровня 0 OSPF
    Политика пересылки    		 Только для чтения
    нет
    нет

  4. Примените изменения и сохраните роль.

Создание роли "Администратор безопасности AVS"

Чтобы создать эту настраиваемую роль, выполните следующие действия.

  1. Перейдите к системным>пользователям и ролям.>

  2. Клонируйте Администратор безопасности и укажите имя AVS Security Администратор.

  3. Измените следующие разрешения на "Только чтение" или "Нет", как показано в столбце разрешений в следующей таблице.

Категория Подкатегории Функция Разрешение
Сеть Сетевые службы Политика пересылки нет
Безопасность


 Интроспекция сети
Endpoint Protection
Настройки

Профили служб		 нет
None
нет
  1. Примените изменения и сохраните роль.

Примечание.

Параметр конфигурации AD брандмауэра удостоверений системы>NSX VMware не поддерживается настраиваемой ролью NSX. Рекомендуется назначить пользователю роль оператора безопасности с настраиваемой ролью, чтобы разрешить управление функцией брандмауэра удостоверений (IDFW) для этого пользователя.

Примечание.

Функция трассировки NSX VMware не поддерживается пользовательской ролью VMware NSX. Рекомендуется назначить роль аудитора пользователю вместе с пользовательской ролью, чтобы включить функцию Traceflow для этого пользователя.

Примечание.

Интеграция VMware Aria Operations Automation с компонентом NSX Решение Azure VMware требует добавления роли аудитора пользователю с ролью NSX Manager cloudadmin.

Следующие шаги

Теперь, когда вы получили общие сведения об удостоверениях в Решении Azure VMware, можно почитать следующие разделы.