Azure VMware 解決方案 身分識別概念
Azure VMware 解決方案 私人雲端會布建 vCenter Server 和 NSX Manager。 您可以使用 vCenter Server 來管理虛擬機 (VM) 工作負載和 NSX 管理員來管理和擴充私人雲端。 Cloud 管理員 角色用於 vCenter Server,而 Cloud 管理員 角色(具有限制的許可權)則用於 NSX Manager。
vCenter Server 存取和身分識別
在 Azure VMware 解決方案 中,VMware vCenter Server 有一個名為 Cloud 的內建本機用戶帳戶 管理員 指派 Cloud 管理員 角色。 您可以使用私人雲端的雲端 管理員 角色,在 Windows Server Active Directory 中設定使用者和群組。 一般而言,雲端 管理員 角色會在私人雲端中建立和管理工作負載。 但在 Azure VMware 解決方案 中,Cloud 管理員 角色具有不同於其他 VMware 雲端解決方案和內部部署的 vCenter Server 許可權。
重要
本機雲端 管理員 用戶帳戶應作為私人雲端中「打破玻璃」案例的緊急存取帳戶。 它不適合用於每日系統管理活動,或與其他服務整合。
在 vCenter Server 和 ESXi 內部部署中,系統管理員可以存取 vCenter Server administrator@vsphere.local 帳戶和 ESXi 根帳戶。 系統管理員也可以指派給更多 Windows Server Active Directory 使用者和群組。
在 Azure VMware 解決方案 部署中,系統管理員無法存取 管理員 istrator 用戶帳戶或 ESXi 根帳戶。 但是系統管理員可以在 vCenter Server 中指派 Windows Server Active Directory 使用者和群組 Cloud 管理員 角色。 雲端 管理員 角色沒有許可權將身分識別來源新增至 vCenter Server,例如內部部署輕量型目錄存取通訊協定 (LDAP) 或安全 LDAP (LDAPS) 伺服器。 不過,您可以使用執行命令來新增身分識別來源,並將 Cloud 管理員 角色指派給使用者和群組。
私人雲端中的用戶帳戶無法存取或管理 Microsoft 支援和管理的特定管理元件。 範例包括叢集、主機、數據存放區和分散式虛擬交換器。
注意
在 Azure VMware 解決方案 中,vsphere.local 單一登錄 (SSO) 網域會以受控資源的形式提供,以支援平台作業。 您無法使用它來建立或管理本機群組和使用者,但預設會提供私人雲端的本地組和使用者除外。
重要
Azure VMware 解決方案 在 vCenter Server 上提供自定義角色,但目前並未在 Azure VMware 解決方案 入口網站上提供自定義角色。 如需詳細資訊,請參閱 本文稍後的<在 vCenter Server 上建立自定義角色>一節。
檢視 vCenter Server 許可權
使用下列步驟來檢視 Azure VMware 解決方案 雲端 管理員 角色在 Azure VMware 解決方案 私人雲端 vCenter 上授與的許可權。
登入 vSphere 用戶端並移至功能表> 管理員 istration。
在 [存取控制] 下,選取 [角色]。
從角色清單中,選取 [雲端 管理員 然後選取 [許可權]。
Azure VMware 解決方案 中的 Cloud 管理員 角色在 vCenter Server 上具有下列許可權。 如需詳細資訊,請參閱 VMware 產品檔。
| 權限 | 描述 |
|---|---|
| 警報 | 通知警示 建立警示 停用警示動作 修改警示 拿掉警示 設定警示狀態 |
| 內容庫 | 新增連結庫專案 將跟證書新增至信任存放區 簽入範本 查看範本 建立已發行連結庫的訂用帳戶 建立本機連結庫 建立或刪除港登錄 建立訂閱的連結庫 建立、刪除或清除港登錄專案 刪除連結庫專案 刪除本機連結庫 從信任存放區刪除跟證書 刪除訂閱的連結庫 刪除已發佈連結庫的訂用帳戶 下載檔案 收回連結庫專案 收回訂閱的連結庫 匯入記憶體 在指定的計算資源上管理 Harbor 登錄資源 探查訂用帳戶資訊 將連結庫專案發佈至其訂閱者 將連結庫發佈至其訂閱者 讀取記憶體 同步連結庫專案 同步訂閱的連結庫 類型反省 更新組態設定 更新檔案 更新連結庫 更新連結庫專案 更新本機連結庫 更新訂閱的連結庫 更新已發行連結庫的訂閱 檢視組態設定 |
| 密碼編譯作業 | 直接存取 |
| Datastore | 配置空間 瀏覽資料存放區 設定資料存放區 低階檔案作業 拿掉檔案 更新虛擬機元數據 |
| 資料夾 | 建立 資料夾 刪除資料夾 移動資料夾 重新命名資料夾 |
| 全球 | 取消工作 全域標籤 健全狀況 記錄事件 管理自訂屬性 服務管理員 設定自訂屬性 系統標籤 |
| 主機 | vSphere Replication 管理複寫 |
| Network | 指派網路 |
| 權限 | 修改權限 修改角色 |
| 配置檔驅動 儲存體 | 配置檔驅動記憶體檢視 |
| 資源 | 套用建議 將 vApp 指派給資源集區 將虛擬機指派給資源集區 建立資源集區 移轉已關閉電源的虛擬機 在虛擬機上移轉電源 修改資源集區 移動資源集區 查詢 vMotion 拿掉資源集區 重新命名資源集區 |
| 排程的任務 | 建立工作 修改工作 拿掉工作 執行工作 |
| 工作階段 | 訊息 驗證會話 |
| 儲存體 檢視 | 檢視 |
| vApp | 新增虛擬機 指派資源集區 指派 vApp 複製 建立 刪除 Export 匯入 移動 關閉電源 開啟電源 重新命名 暫止 Unregister 檢視 OVF 環境 vApp 應用程式組態 vApp 實例組態 vApp managedBy 組態 vApp 資源設定 |
| 虛擬機器 | 變更組態 取得磁碟租用 新增現有的磁碟 新增磁碟 新增或移除裝置 進階設定 變更 CPU 計數 變更記憶體 變更設定 變更 swapfile 位置 變更資源 設定主機 USB 裝置 設定原始裝置 設定managedBy 顯示線上設定 擴充虛擬磁碟 修改裝置設定 查詢容錯相容性 查詢未擁有的檔案 從路徑重載 拿掉磁碟 重新命名 重設來賓資訊 設定批注 切換磁碟變更追蹤 切換分叉父代 升級虛擬機相容性 編輯清查 從現有建立 新建 移動 註冊 移除 Unregister 客體作業 客體作業別名修改 客體作業別名查詢 客體作業修改 客體作業程序執行 客體作業查詢 互動 回答問題 虛擬機上的備份作業 設定CD媒體 設定軟盤媒體 連接裝置 主控台互動 建立螢幕快照 重組所有磁碟 拖放 VIX API 的客體作業系統管理 插入 USB HID 掃描代碼 安裝 VMware 工具 暫停或取消暫停 抹除或壓縮作業 關閉電源 開啟電源 在虛擬機上記錄會話 在虛擬機上重新執行會話 Reset 繼續容錯 暫止 暫停容錯 測試容錯移轉 測試重新啟動次要 VM 關閉容錯 開啟容錯 佈建 允許磁碟存取 允許檔案存取 允許唯讀磁碟存取 允許虛擬機下載 複製範本 複製虛擬機 從虛擬機建立範本 自定義來賓 部署範本 標示為範本 修改自定義規格 升級磁碟 讀取自定義規格 服務設定 允許通知 允許輪詢全域事件通知 管理服務組態 修改服務組態 查詢服務組態 讀取服務組態 快照集管理 建立快照集 拿掉快照集 重新命名快照集 還原快照集 vSphere Replication 設定複寫 管理複寫 監視複寫 |
| vService | 建立相依性 終結相依性 重新設定相依性設定 更新相依性 |
| vSphere 標記 | 指派和取消指派 vSphere 標籤 建立 vSphere 標籤 建立 vSphere 標籤類別 刪除 vSphere 標籤 刪除 vSphere 標籤類別 編輯 vSphere 標籤 編輯 vSphere 標籤類別 修改 Category 的 UsedBy 欄位 修改 Tag 的 UsedBy 欄位 |
在 vCenter Server 上建立自定義角色
Azure VMware 解決方案 支援使用與 Cloud 管理員 角色相等或小於許可權的自定義角色。 使用 Cloud 管理員 角色來建立、修改或刪除具有小於或等於其目前角色許可權的自定義角色。
注意
您可以建立具有大於 Cloud 的許可權的角色 管理員。 不過,您無法將角色指派給任何使用者或群組,或刪除角色。 不支援具有大於雲端許可權的角色 管理員。
若要防止建立無法指派或刪除的角色,請複製 Cloud 管理員 角色作為建立新自定義角色的基礎。
建立自訂角色
使用 cloudadmin@vsphere.local 或具有 Cloud 管理員 角色的使用者登入 vCenter Server。
流覽至 [角色組態] 區段,然後選取 [功能表> 管理員 istration> 存取控制> Roles]。
選取 [雲端 管理員 角色],然後選取 [複製角色動作] 圖示。
注意
請勿複製 管理員 istrator 角色,因為您無法使用它。 此外,無法刪除 cloudadmin@vsphere.local所建立的自定義角色。
提供您想要用於複製角色的名稱。
拿掉角色的許可權,然後選取 [ 確定]。 複製的角色會顯示在 [角色 ] 清單中。
套用自定義角色
流覽至需要新增許可權的物件。 例如,若要將許可權套用至資料夾,請流覽至功能表>VM和範本>資料夾名稱。
以滑鼠右鍵按兩下物件,然後選取 [ 新增許可權]。
在 [使用者] 下拉式清單中選取 [身分識別來源],您可以在其中找到群組或使用者。
在選取 [使用者] 區段下的 [識別來源] 之後,搜尋使用者 或群組。
選取您要套用至使用者或群組的角色。
注意
嘗試將使用者或群組套用至具有大於 Cloud 許可權的角色 管理員 將會導致錯誤。
視需要檢查 [ 傳播至子系 ],然後選取 [ 確定]。 新增的許可權會顯示在 [ 許可權] 區段中。
VMware NSX Manager 存取和身分識別
使用 Azure 入口網站 布建私人雲端時,會為客戶布建軟體定義數據中心 (SDDC) 管理元件,例如 vCenter Server 和 VMware NSX Manager。
Microsoft 負責 NSX 設備的生命週期管理,例如 VMware NSX Manager 和 VMware NSX Edge 設備。 他們負責啟動載入網路設定,例如建立第0層閘道。
您要負責 VMware NSX 軟體定義網路 (SDN) 設定, 例如:
- 網路區段
- 其他第1層閘道
- 分散式防火牆規則
- 網關防火牆等具狀態服務
- 第 1 層閘道上的負載平衡器
您可以使用指派給自定義角色的內建本機使用者 「cloudadmin」 來存取 VMware NSX 管理員,而自定義角色會將有限的許可權授與用戶來管理 VMware NSX。 雖然 Microsoft 管理 VMware NSX 的生命週期,但使用者不允許某些作業。 不允許的作業包括編輯主機和邊緣傳輸節點的設定,或開始升級。 針對新的使用者,Azure VMware 解決方案 使用該使用者所需的特定許可權集來部署它們。 目的是提供 Azure VMware 解決方案 控制平面設定與 Azure VMware 解決方案 私人雲端使用者之間的明確控制區隔。
針對新的私人雲端部署,VMware NSX 存取會提供內建的本機使用者 cloudadmin,指派給 cloudadmin 角色,並具有一組特定許可權,以針對工作負載使用 VMware NSX 功能。
VMware NSX cloudadmin 用戶權力
下列許可權會指派給 Azure VMware 解決方案 NSX 中的 cloudadmin 使用者。
注意
Azure VMware 解決方案 上的 VMware NSX cloudadmin 使用者與 VMware 產品檔中提及的 cloudadmin 使用者不同。 下列許可權適用於 VMware NSX 原則 API。 管理員 API 功能可能會受到限制。
| 類別 | 類型 | 作業 | 權限 |
|---|---|---|---|
| 網路 | 連線性 | 第 0 層閘道 第 1 層閘道 區隔 |
唯讀 完整存取 完整存取 |
| 網路 | 網路服務 | VPN NAT 負載平衡 轉送原則 統計資料 |
完整存取 完整存取 完整存取 唯讀 完整存取 |
| 網路 | IP 管理 | DNS DHCP IP 位址池 |
完整存取 完整存取 完整存取 |
| 網路 | 設定檔 | 完整存取 | |
| 安全性 | 東西部安全性 | 分散式防火牆 分散式標識碼和IPS 身分識別防火牆 |
完整存取 完整存取 完整存取 |
| 安全性 | 北南安全 | 網關防火牆 URL 分析 |
完整存取 完整存取 |
| 安全性 | 網路簡介 | 唯讀 | |
| 安全性 | Endpoint Protection | 唯讀 | |
| 安全性 | 設定 | 完整存取 | |
| 存貨 | 完整存取 | ||
| 疑難排解 | IPFIX | 完整存取 | |
| 疑難排解 | 連接埠鏡像 | 完整存取 | |
| 疑難排解 | Traceflow | 完整存取 | |
| 系統 | 組態 設定 設定 設定 |
身分識別防火牆 使用者和角色 憑證管理(僅限服務憑證) 用戶介面 設定 |
完整存取 完整存取 完整存取 完整存取 |
| 系統 | 所有其他 | 唯讀 |
您可以在 Azure VMware 解決方案 私人雲端 VMware NSX 上檢視授與 Azure VMware 解決方案 cloudadmin 角色的許可權。
- 登入 NSX 管理員。
- 流覽至 [ 系統] ,然後找出 [使用者和角色]。
- 選取並展開 cloudadmin 角色,位於 [角色] 底下。
- 選取類別,例如 [網络] 或 [安全性],以檢視特定許可權。
注意
在 2022 年 6 月之前建立的私人雲端將從系統管理員角色切換至 cloudadmin 角色。 您將透過 Azure 服務健康狀態收到通知,其中包含此變更的時間軸,以便變更您用於其他整合的 NSX 認證。
角色型存取控制的 NSX LDAP 整合 (RBAC)
在 Azure VMware 解決方案 部署中,VMware NSX 可以與外部 LDAP 目錄服務整合,以新增遠端目錄使用者或群組,並指派 VMware NSX RBAC 角色,例如內部部署。 如需如何啟用 VMware NSX LDAP 整合的詳細資訊,請參閱 VMware 產品檔。
不同於內部部署,Azure VMware 解決方案不支援所有預先定義的 NSX RBAC 角色,以將 Azure VMware 解決方案 IaaS 控制平面設定管理與租用戶網路和安全性設定分開。 如需詳細資訊,請參閱下一節支援的NSX RBAC角色。
注意
VMware NSX LDAP 整合僅支援 SDDC 與 VMware NSX “cloudadmin” 使用者。
支援和不支援的NSX RBAC角色
在 Azure VMware 解決方案 部署中,LDAP 整合支援下列 VMware NSX 預先定義的 RBAC 角色:
- 稽核員
- Cloudadmin
- LB 管理員
- LB 運算子
- VPN 管理員
- 網路操作員
在 Azure VMware 解決方案 部署中,LDAP 整合不支援下列 VMware NSX 預先定義的 RBAC 角色:
- 企業管理員
- 網路 管理員
- 安全性系統管理員
- NetX 合作夥伴 管理員
- GI 合作夥伴 管理員
您可以在 NSX 中建立自定義角色,其許可權小於或等於 Cloud 管理員 Microsoft 所建立的角色。 以下是如何建立支援的「網路 管理員」和「安全性 管理員」角色的範例。
注意
如果您指派 Cloud 管理員 角色不允許的許可權,自定義角色建立將會失敗。
建立「AVS 網路管理員」角色
使用下列步驟來建立此自定義角色。
流覽至 [系統>使用者和角色角色]。>
複製網路 管理員 並提供名稱 AVS 網路 管理員。
將下列許可權修改 為 「Read Only」 或 「None」,如下表的 Permission 數據 行所示。
類別 子類別 功能 權限 網路 連線性
網路服務第 0 層閘道
第 0 層閘道 > OSPF
轉送原則唯讀
無
無套用 變更並 儲存 角色。
建立「AVS 安全性管理員」角色
使用下列步驟來建立此自定義角色。
流覽至 [系統>使用者和角色角色]。>
複製安全性 管理員 並提供名稱「AVS 安全性 管理員」。
將下列許可權修改 為 「Read Only」 或 「None」,如下表的 Permission 數據 行所示。
| 類別 | 子類別 | 功能 | 權限 |
|---|---|---|---|
| 網路 | 網路服務 | 轉送原則 | 無 |
| 安全性 |
網路簡介 Endpoint Protection 設定 |
服務配置檔 |
無 None 無 |
- 套用 變更並 儲存 角色。
注意
NSX 自定義角色不支援 VMware NSX 系統>識別防火牆 AD 設定選項。 建議將安全性操作員角色指派給具有自定義角色的使用者,以允許管理該使用者的身分識別防火牆 (IDFW) 功能。
注意
VMware NSX 自定義角色不支援 VMware NSX Traceflow 功能。 建議將稽核員角色指派給使用者,以及自定義角色,以啟用該使用者的 Traceflow 功能。
注意
VMware Aria Operations Automation 與 Azure VMware 解決方案 的 NSX 元件整合需要將「稽核員」角色新增至具有 NSX Manager cloudadmin 角色的使用者。
下一步
既然您已涵蓋 Azure VMware 解決方案 存取和身分識別概念,您可能想要瞭解: