在 Azure 中為 CloudSimple 服務、CloudSimple 入口網站和私人雲端定義基於角色的存取控制 (RBAC)。 使用 VMware SSO 來指定存取私人雲端 vCenter 的使用者、群組和角色。
適用於 CloudSimple 服務的 Azure RBAC
建立 CloudSimple 服務需要在 Azure 訂用帳戶上具有 擁有者 或 參與者 角色。 根據預設,所有擁有者和參與者都可以建立 CloudSimple 服務並存取 CloudSimple 入口網站,以建立和管理私人雲端。 每個區域只能建立一個 CloudSimple 服務。 若要限制特定系統管理員的存取權,請遵循下列程式。
- 在 Azure 入口網站上的新 資源群組 中建立 CloudSimple 服務
- 指定資源群組的 Azure RBAC。
- 購買節點並使用與 CloudSimple 服務相同的資源群組
只有具有資源群組上 擁有者 或 參與者 許可權的使用者,才會看到 CloudSimple 服務並啟動 CloudSimple 入口網站。
如需詳細資訊,請參閱 什麼是 Azure 角色型存取控制 (Azure RBAC)。
私有雲 vCenter 的 RBAC
建立私人雲端時,會在 vCenter SSO 網域中建立預設使用者 CloudOwner@cloudsimple.local。 CloudOwner 使用者具有管理 vCenter 的許可權。 其他身分識別來源會新增至 vCenter SSO,以授與不同使用者的存取權。 預先定義的角色和群組是在 vCenter 上設定,可用來新增其他使用者。
將新的使用者新增至 vCenter
- CloudOwner@cloudsimple.local。
- 使用 CloudOwner@cloudsimple.local 登入 vCenter
- 新增 vCenter 單一 Sign-On 使用者。
- 將使用者新增至 vCenter 單一登錄群組。
如需預先定義角色和群組的詳細資訊,請參閱 VMware vCenter CloudSimple 私人雲端許可權模型一文。
新增身分識別來源
您可以為私人雲端的 vCenter SSO 網域新增其他識別提供者。 身分識別提供者提供驗證,而 vCenter SSO 群組會為使用者提供授權。
- CloudOwner@cloudsimple.local。
- 使用 CloudOwner@cloudsimple.local 登入 vCenter
- 將身分識別提供者中的使用者新增至 vCenter 單一登入群組。
保護私人雲端環境上的網路
私人雲端環境的網路安全性是透過保護網路存取及控制資源之間的網路流量來控制。
存取私人雲端資源
私人雲端 vCenter 和資源存取是透過安全的網路連線:
- ExpressRoute 連線。 ExpressRoute 提供來自內部部署環境的安全、高頻寬、低延遲連線。 使用連線可讓內部部署服務、網路和使用者存取您的私人雲端 vCenter。
- 站對站 VPN 閘道。 站對站 VPN 可讓您透過安全通道從內部部署存取私人雲端資源。 您可以指定哪些內部部署網路可以傳送和接收至私人雲端的網路流量。
- 點對站 VPN 閘道。 使用點對站 VPN 連線,快速遠端存取您的私人雲端 vCenter。
控制私人雲端中的網路流量
防火牆數據表和規則可控制私人雲端中的網路流量。 防火牆數據表可讓您根據數據表中定義的規則組合,控制來源網路或IP位址與目的地網路或IP位址之間的網路流量。
- 建立防火牆資料表 。
- 將規則 新增至防火牆數據表。
- 將防火牆資料表附加至 VLAN/子網。