Поделиться через

Корпоративное управление доступом и удостоверениями для Решения Azure VMware

  • Статья

В этой статье используются сведения о понятиях управления удостоверениями и доступом и идентификатора Решения Azure VMware.

Используйте эту информацию, чтобы ознакомиться рекомендациями по проектированию для управления удостоверениями и доступом, относящимися к развертыванию Решения Azure VMware.

Требования к удостоверениям для Решения Azure VMware зависят от его реализации в Azure. Сведения, приведенные в этой статье, основаны на самых распространенных сценариях.

Рекомендации по проектированию

После развертывания Решения Azure VMware сервер vCenter в новой среде содержит встроенного локального пользователя с именем cloudadmin. Этому пользователю назначена роль CloudAdmin с несколькими разрешениями в vCenter Server. Вы также можете создавать настраиваемые роли в среде Решение Azure VMware, используя принцип минимальных привилегий с управлением доступом на основе ролей (RBAC).

Рекомендации по проектированию

  • В рамках целевой зоны корпоративного уровня управления удостоверениями и доступом разверните контроллер домена служб Active Directory (AD DS) в подписке на удостоверения.

  • Ограничьте число пользователей, которым назначена роль CloudAdmin. Используйте пользовательские роли и наименьшие привилегии, чтобы назначить пользователей Решению Azure VMware.

  • Будьте внимательны при смене паролей администратора cloudadmin и NSX.

  • Ограничьте разрешения управления доступом на основе ролей (RBAC) Решения Azure VMware в Azure для группы ресурсов, в которой оно развернуто, и пользователей, которым требуется управлять Решением Azure VMware.

  • При необходимости настройте только разрешения vSphere с пользовательскими ролями на уровне иерархии. Рекомендуется применять разрешения к соответствующей папке виртуальной машины или пулу ресурсов. Не следует применять разрешения vSphere на уровне центра обработки данных или выше.

  • Обновите сайты и службы Active Directory, чтобы направить трафик AD DS Решения Azure VMware на соответствующие контроллеры домена.

  • Используйте команду выполнения в частном облаке, чтобы:

    • Добавьте контроллер домена AD DS в качестве источника удостоверений для vCenter Server и NSX-T Data Center.

    • предоставить в группе vsphere.local\CloudAdmins операцию жизненного цикла;

  • Создание групп в Active Directory и использование RBAC для управления vCenter Server и центром обработки данных NSX-T. Вы можете создавать пользовательские роли и назначать им группы Active Directory.

Дальнейшие действия

Сведения о топологии сети и возможности подключения для корпоративного сценария Решения Azure VMware. Изучите аспекты проектирования и рекомендации по работе с сетями и подключениями для Microsoft Azure и Решения Azure VMware.

Топология сети и возможности подключения