本文以 身分識別和存取管理和Azure VMware 解決方案身分識別概念中找到的資訊為基礎。
使用這項資訊來檢查身分識別與存取管理的設計考慮和建議,這些管理是 Azure VMware 解決方案部署特有的。
Azure VMware 解決方案的身分識別需求會根據其在 Azure 中的實作而有所不同。 本文中提供的資訊是以最常見的案例為基礎。
設計考量
部署 Azure VMware 解決方案之後,新環境的 vCenter 包含名為 cloudadmin的內建本機使用者。 此使用者會指派給 vCenter Server 中具有數個許可權的 CloudAdmin 角色。 您也可以使用角色型訪問控制 (RBAC) 的最低許可權原則,在 Azure VMware 解決方案環境中建立自定義角色。
設計建議
在身分識別和存取管理企業級登錄區中,請在身分識別訂閱中部署 Active Directory Domain Services(AD DS)域控制器。
限制您指派 CloudAdmin 角色的用戶數目。 使用自定義角色和最低許可權將使用者指派給 Azure VMware 解決方案。
將 Azure 中的 Azure VMware 解決方案角色型存取控制 (RBAC) 許可權限制為部署所在的資源群組,以及需要管理 Azure VMware 解決方案的使用者。
只有在需要時,才在階層層級設定具有自定義角色的 vSphere 許可權。 最好是在 適當的 VM 資料夾 或資源集區上套用許可權。 避免在數據中心層級或以上套用 vSphere 許可權。
將 Active Directory 視站與服務進行更新,以便將 Azure 和 Azure VMware 解決方案的 AD DS 流量導向至合適的網域控制器。
使用私人雲端中的 [執行] 命令 來:
將 AD DS 域控制器新增為 vCenter Server 和 NSX-T 資料中心的身分識別來源。
在
vsphere.local\CloudAdmins群組上提供生命周期作業。
在 Active Directory 中建立群組,並使用 RBAC 來管理 vCenter Server 和 NSX-T 資料中心。 您可以建立 自定義角色 ,並將 Active Directory 群組 指派 給自定義角色。
後續步驟
瞭解 Azure VMware 解決方案企業級案例的網路拓撲和連線能力。 檢視有關 Microsoft Azure 與 Azure VMware 解決方案的網路和連線設計考量及最佳實務。