Partilhar via

Como proteger o ambiente da Cloud Privada

  • Artigo

Defina o controlo de acesso baseado em funções (RBAC) para o Serviço CloudSimple, o portal cloudSimple e a Cloud Privada do Azure. Os utilizadores, grupos e funções para aceder ao vCenter da Nuvem Privada são especificados com o SSO do VMware.

RBAC do Azure para o serviço CloudSimple

A criação do serviço CloudSimple requer a função Proprietário ou Contribuidor na subscrição do Azure. Por predefinição, todos os proprietários e contribuidores podem criar um serviço CloudSimple e aceder ao portal da CloudSimple para criar e gerir Clouds Privadas. Apenas um serviço CloudSimple pode ser criado por região. Para restringir o acesso a administradores específicos, siga o procedimento abaixo.

  1. Criar um Serviço CloudSimple num novo grupo de recursos no portal do Azure
  2. Especifique o RBAC do Azure para o grupo de recursos.
  3. Comprar nós e utilizar o mesmo grupo de recursos que o serviço CloudSimple

Apenas os utilizadores com privilégios de Proprietário ou Contribuidor no grupo de recursos verão o serviço CloudSimple e iniciarão o portal cloudSimple.

Para obter mais informações, veja O que é o controlo de acesso baseado em funções do Azure (RBAC do Azure).

RBAC para o vCenter de Nuvem Privada

Um utilizador CloudOwner@cloudsimple.local predefinido é criado no domínio SSO do vCenter quando é criada uma Cloud Privada. O utilizador do CloudOwner tem privilégios para gerir o vCenter. São adicionadas origens de identidade adicionais ao SSO do vCenter para conceder acesso a diferentes utilizadores. As funções e grupos predefinidos são configurados no vCenter que pode ser utilizado para adicionar utilizadores adicionais.

Adicionar novos utilizadores ao vCenter

  1. Escalar privilégios para CloudOwner@cloudsimple.local o utilizador na Cloud Privada.
  2. Iniciar sessão no vCenter com CloudOwner@cloudsimple.local
  3. Adicionar Utilizadores de Sign-On Único do vCenter.
  4. Adicionar utilizadores a grupos de início de sessão único do vCenter.

Para obter mais informações sobre funções e grupos predefinidos, veja o artigo CloudSimple Private Cloud permission model of VMware vCenter (Modelo de permissão cloud da Cloud Privada do VMware vCenter ).

Adicionar novas origens de identidade

Pode adicionar fornecedores de identidade adicionais para o domínio SSO do vCenter da sua Cloud Privada. Os fornecedores de identidade fornecem autenticação e os grupos de SSO do vCenter fornecem autorização aos utilizadores.

  1. Escalar privilégios para CloudOwner@cloudsimple.local o utilizador na Cloud Privada.
  2. Iniciar sessão no vCenter com CloudOwner@cloudsimple.local
  3. Adicione utilizadores do fornecedor de identidade a grupos de início de sessão único do vCenter.

Proteger a rede no seu ambiente de Nuvem Privada

A segurança de rede do ambiente da Cloud Privada é controlada ao proteger o acesso à rede e controlar o tráfego de rede entre recursos.

Acesso aos recursos da Cloud Privada

O acesso a recursos e ao vCenter da Cloud Privada é através de uma ligação de rede segura:

  • Ligação do ExpressRoute. O ExpressRoute fornece uma ligação segura, de alta largura de banda e de baixa latência a partir do seu ambiente no local. A utilização da ligação permite que os seus serviços, redes e utilizadores no local acedam ao vCenter da Cloud Privada.
  • Gateway de VPN Site a Site. A VPN Site a Site dá acesso aos seus recursos da Cloud Privada a partir do local através de um túnel seguro. Especifique as redes no local que podem enviar e receber tráfego de rede para a sua Cloud Privada.
  • Gateway de VPN Ponto a Site. Utilize a ligação VPN Ponto a Site para um acesso remoto rápido ao vCenter da Cloud Privada.

Controlar o tráfego de rede na Cloud Privada

As tabelas e regras da firewall controlam o tráfego de rede na Cloud Privada. A tabela de firewall permite-lhe controlar o tráfego de rede entre uma rede de origem ou endereço IP e uma rede de destino ou endereço IP com base na combinação de regras definidas na tabela.

  1. Criar uma tabela de firewall.
  2. Adicione regras à tabela de firewall.
  3. Anexe uma tabela de firewall a uma VLAN/sub-rede.