本文基于 标识和访问管理和Azure VMware 解决方案标识概念中找到的信息。
使用此信息可以检查特定于 Azure VMware 解决方案部署的标识和访问管理的设计注意事项和建议。
Azure VMware 解决方案的标识要求因 Azure 中的实现而异。 本文中提供的信息基于最常见的方案。
设计注意事项
部署 Azure VMware 解决方案后,新环境的 vCenter 包含一个名为的内置本地用户 cloudadmin。 此用户分配到 vCenter Server 中具有多个权限的 CloudAdmin 角色。 还可以使用基于角色的访问控制(RBAC)的最小特权原则在 Azure VMware 解决方案环境中创建自定义角色。
设计建议
作为企业级标识和访问管理登陆区的一部分,请在标识订阅中部署 Active Directory 域服务(AD DS)域控制器。
限制分配 CloudAdmin 角色的用户数。 使用自定义角色和最低特权将用户分配到 Azure VMware 解决方案。
将 Azure 中的 Azure VMware 解决方案基于角色的访问控制(RBAC)权限限制为部署的资源组,以及需要管理 Azure VMware 解决方案的用户。
仅在需要时在层次结构级别使用自定义角色来配置 vSphere 权限。 最好在 相应的 VM 文件夹 或资源池中应用权限。 避免在数据中心级别或更高级别应用 vSphere 权限。
将 Active Directory 站点和服务更新为将 Azure 和 Azure VMware 解决方案 AD DS 流量定向到相应的域控制器。
使用私有云中的 “运行”命令 可以:
将 AD DS 域控制器添加为 vCenter Server 和 NSX-T 数据中心的标识源。
在
vsphere.local\CloudAdmins组上执行生命周期操作。
在 Active Directory 中创建组,并使用 RBAC 管理 vCenter Server 和 NSX-T 数据中心。 可以 创建自定义角色 并将 Active Directory 组 分配给 自定义角色。
后续步骤
了解 Azure VMware 解决方案企业规模方案的网络拓扑和连接。 检查与 Microsoft Azure 和 Azure VMware 解决方案相关的网络和连接设计注意事项和最佳实践。