Jak zabezpieczyć środowisko chmury prywatnej
Definiowanie kontroli dostępu opartej na rolach (RBAC) dla usługi CloudSimple Service, portalu CloudSimple i chmury prywatnej z platformy Azure. Użytkownicy, grupy i role służące do uzyskiwania dostępu do chmury prywatnej vCenter są określane przy użyciu logowania jednokrotnego programu VMware.
Kontrola dostępu oparta na rolach platformy Azure dla usługi CloudSimple
Tworzenie usługi CloudSimple wymaga roli właściciel lub współautor w subskrypcji platformy Azure. Domyślnie wszyscy właściciele i współautorzy mogą tworzyć usługę CloudSimple i uzyskiwać dostęp do portalu CloudSimple do tworzenia chmur prywatnych i zarządzania nimi. Na region można utworzyć tylko jedną usługę CloudSimple. Aby ograniczyć dostęp do określonych administratorów, wykonaj poniższą procedurę.
- Tworzenie usługi CloudSimple w nowej grupie zasobów w Azure Portal
- Określ kontrolę dostępu opartą na rolach platformy Azure dla grupy zasobów.
- Kupowanie węzłów i używanie tej samej grupy zasobów co usługa CloudSimple
Tylko użytkownicy, którzy mają uprawnienia właściciela lub współautora w grupie zasobów, zobaczą usługę CloudSimple i uruchomą portal CloudSimple.
Aby uzyskać więcej informacji, zobacz Co to jest kontrola dostępu oparta na rolach (RBAC) platformy Azure.
Kontrola dostępu oparta na rolach dla chmury prywatnej w wersji vCenter
Domyślny użytkownik CloudOwner@cloudsimple.local
jest tworzony w domenie logowania jednokrotnego programu vCenter po utworzeniu chmury prywatnej. Użytkownik cloudOwner ma uprawnienia do zarządzania programem vCenter. Dodatkowe źródła tożsamości są dodawane do logowania jednokrotnego programu vCenter w celu udzielenia dostępu do różnych użytkowników. Wstępnie zdefiniowane role i grupy są konfigurowane w programie vCenter, który może służyć do dodawania dodatkowych użytkowników.
Dodawanie nowych użytkowników do programu vCenter
- Eskaluj uprawnienia użytkownika CloudOwner@cloudsimple.local w chmurze prywatnej.
- Zaloguj się do programu vCenter przy użyciu polecenia CloudOwner@cloudsimple.local
- Dodaj użytkowników z pojedynczymi Sign-On programu vCenter.
- Dodaj użytkowników do grup logowania jednokrotnego programu vCenter.
Aby uzyskać więcej informacji na temat wstępnie zdefiniowanych ról i grup, zobacz CloudSimple Private Cloud permission model of VMware vCenter (Model uprawnień chmury prywatnej w usłudze CloudSimple w programie VMware vCenter ).
Dodawanie nowych źródeł tożsamości
Możesz dodać dodatkowych dostawców tożsamości dla domeny logowania jednokrotnego programu vCenter w chmurze prywatnej. Dostawcy tożsamości zapewniają uwierzytelnianie i grupy logowania jednokrotnego programu vCenter zapewniają autoryzację dla użytkowników.
- Użyj usługi Active Directory jako dostawcy tożsamości w programie Private Cloud vCenter.
- Używanie Azure AD jako dostawcy tożsamości w usłudze Private Cloud vCenter
- Eskaluj uprawnienia użytkownika CloudOwner@cloudsimple.local w chmurze prywatnej.
- Zaloguj się do programu vCenter przy użyciu polecenia CloudOwner@cloudsimple.local
- Dodaj użytkowników z dostawcy tożsamości do grup logowania jednokrotnego programu vCenter.
Bezpieczna sieć w środowisku chmury prywatnej
Zabezpieczenia sieci środowiska chmury prywatnej są kontrolowane przez zabezpieczanie dostępu do sieci i kontrolowanie ruchu sieciowego między zasobami.
Dostęp do zasobów chmury prywatnej
Usługa Private Cloud vCenter i dostęp do zasobów odbywa się za pośrednictwem bezpiecznego połączenia sieciowego:
- Połączenie usługi ExpressRoute. Usługa ExpressRoute zapewnia bezpieczne połączenie o wysokiej przepustowości i małych opóźnieniach ze środowiska lokalnego. Użycie połączenia umożliwia lokalnym usługom, sieciom i użytkownikom dostęp do centrum vCenter chmury prywatnej.
- Brama sieci VPN typu lokacja-lokacja. Sieć VPN typu lokacja-lokacja zapewnia dostęp do zasobów chmury prywatnej ze środowiska lokalnego za pośrednictwem bezpiecznego tunelu. Określ, które sieci lokalne mogą wysyłać i odbierać ruch sieciowy do chmury prywatnej.
- Brama sieci VPN typu punkt-lokacja. Użyj połączenia sieci VPN typu punkt-lokacja, aby uzyskać szybki dostęp zdalny do centrum vCenter chmury prywatnej.
Kontrolowanie ruchu sieciowego w chmurze prywatnej
Tabele i reguły zapory kontrolują ruch sieciowy w chmurze prywatnej. Tabela zapory umożliwia kontrolowanie ruchu sieciowego między siecią źródłową lub adresem IP a siecią docelową lub adresem IP na podstawie kombinacji reguł zdefiniowanych w tabeli.
- Utwórz tabelę zapory.
- Dodaj reguły do tabeli zapory.
- Dołącz tabelę zapory do sieci VLAN/podsieci.