Sdílet prostřednictvím

Správa identit a přístupu pro Azure VMware Solution na podnikové úrovni

  • Článek

Tento článek vychází z informací v tématu Koncepty správy identit a přístupu a Azure VMware Solution identit.

Tyto informace slouží k prozkoumání aspektů návrhu a doporučení pro správu identit a přístupu, která jsou specifická pro nasazení Azure VMware Solution.

Požadavky na identitu pro Azure VMware Solution se liší v závislosti na implementaci v Azure. Informace uvedené v tomto článku vycházejí z nejběžnějších scénářů.

Na co dát pozor při navrhování

Po nasazení Azure VMware Solution obsahuje vCenter nového prostředí předdefinovaný místní uživatel s názvem cloudadmin. Tento uživatel má na vCenter Serveru přiřazenou roli Správce cloudu s několika oprávněními. V prostředí Azure VMware Solution můžete také vytvářet vlastní role pomocí principu nejnižšího oprávnění s řízením přístupu na základě role (RBAC).

Doporučení k návrhu

  • Jako součást cílové zóny správy identit a přístupu na podnikové úrovni nasaďte řadič domény Active Directory Domain Services (AD DS) v předplatném identity.

  • Omezte počet uživatelů, kterým přiřadíte roli Správce cloudu. K přiřazení uživatelů k Azure VMware Solution použijte vlastní role a nejnižší oprávnění.

  • Při obměně hesel správce cloudu a NSX postupujte opatrně.

  • Omezte Azure VMware Solution oprávnění řízení přístupu na základě role (RBAC) v Azure na skupinu prostředků, ve které je nasazené, a na uživatele, kteří potřebují spravovat Azure VMware Solution.

  • V případě potřeby nakonfigurujte oprávnění vSphere pouze s vlastními rolemi na úrovni hierarchie. Lepší je použít oprávnění u příslušné složky virtuálního počítače nebo fondu zdrojů. Nepoužívejte oprávnění vSphere na úrovni datacentra nebo nad úrovní datového centra.

  • Aktualizujte lokality a služby Active Directory tak, aby směrovat provoz Azure a Azure VMware Solution AD DS do příslušných řadičů domény.

  • Příkaz Spustit v privátním cloudu umožňuje:

    • Přidejte řadič domény služby AD DS jako zdroj identity pro vCenter Server a datové centrum NSX-T.

    • Zadejte operace životního cyklu skupiny vsphere.local\CloudAdmins .

  • Vytvořte skupiny ve službě Active Directory a použijte RBAC ke správě vCenter Serveru a datacentra NSX-T. Můžete vytvářet vlastní role a přiřazovat k nim skupiny Active Directory.

Další kroky

Seznamte se s topologií sítě a možnostmi připojení pro Azure VMware Solution scénář na podnikové úrovni. Prozkoumejte aspekty návrhu a osvědčené postupy týkající se sítí a připojení s Microsoft Azure a Azure VMware Solution.

Síťová topologie a možnosti připojení