適用於 Azure VMware 解決方案的企業規模身分識別和存取管理
本文建立在身分識別與存取管理和 Azure VMware 解決方案身分識別概念中的資訊之上。
使用此資訊來探討 Azure VMware 解決方案部署專用的身分識別和存取管理的設計考量和建議。
Azure VMware 解決方案的身分識別需求會根據其在 Azure 中的實作而有所不同。 本文提供的資訊是以最常見的案例為基礎。
設計考量
部署 Azure VMware 解決方案之後,新環境的 vCenter 會包含名稱為 cloudadmin 的內建本機使用者。 此使用者獲指派給具有 vCenter Server 中數個許可權的 CloudAdmin 角色。 您也可以使用角色型存取控制 (RBAC) 的最低許可權原則,在Azure VMware 解決方案環境中建立自訂角色。
設計建議
在身分識別與存取管理企業規模登陸區域中,在身分識別訂閱中部署 Active Directory Domain Services (AD DS) 網域控制站。
限制您指派 CloudAdmin 角色的使用者數目。 使用自訂角色和最低權限,將使用者指派給 Azure VMware 解決方案。
在輪替 cloudadmin 與 NSX 管理員密碼時請特別小心。
將 Azure 中的 Azure VMware 解決方案角色型存取控制 (RBAC) 權限限制為其部署所在的資源群組,以及需要管理 Azure VMware 解決方案的使用者。
請在必要時才在階層層級使用自訂角色來設定 vSphere 權限。 最好將權限套用在適當的 VM 資料夾或資源集區。 避免在資料中心層級或以上層級套用 vSphere 權限。
更新 Active Directory 網站和服務,將 Azure 和 Azure VMware 解決方案 AD DS 流量導向適當的網域控制站。
使用您私人雲端中的執行命令以:
新增 AD DS 網域控制站作為 vCenter Server 和 NSX-T 資料中心的身分識別來源。
在
vsphere.local\CloudAdmins群組上提供生命週期作業。
在 Active Directory 中建立群組,並使用 RBAC 來管理 vCenter Server 和 NSX-T 資料中心。 您可以建立自訂角色,並將 Active Directory 群組指派給自訂角色。
後續步驟
深入了解 Azure VMware 解決方案企業規模案例的網路拓撲和連線。 探討關於使用 Microsoft Azure 和 Azure VMware 解決方案進行網路設定和連線的設計考量和最佳做法。