如何保护私有云环境

为 Azure 的 CloudSimple 服务、CloudSimple 门户和私有云定义基于角色的访问控制 (RBAC)。 使用 VMware SSO 指定用于访问私有云 vCenter 的用户、组和角色。

CloudSimple 服务的 Azure RBAC

创建 CloudSimple 服务需要 Azure 订阅的“所有者”或“参与者”角色。 默认情况下，所有的所有者和参与者都可以创建 CloudSimple 服务，并访问 CloudSimple 门户来创建和管理私有云。 只能为每个区域创建一个 CloudSimple 服务。 若要限制对特定管理员的访问权限，请执行以下过程。

1. 在 Azure 门户上的新资源组中创建 CloudSimple 服务
2. 指定资源组的 Azure RBAC。
3. 购买节点并使用与 CloudSimple 服务相同的资源组

只有对资源组拥有“所有者”或“参与者”权限的用户才会看到 CloudSimple 服务并启动 CloudSimple 门户。

有关详细信息，请参阅什么是 Azure 基于角色的访问控制 (Azure RBAC)。

私有云 vCenter 的 RBAC

创建私有云时，将在 vCenter SSO 域中创建一个默认用户 CloudOwner@cloudsimple.local。 CloudOwner 用户具有管理 vCenter 的权限。 其他标识源会添加到 vCenter SSO，以提供对不同用户的访问权限。 预定义的角色和组是在 vCenter 上设置的，可用于添加其他用户。

将新用户添加到 vCenter

1. 为私有云上的 CloudOwner@cloudsimple.local 用户提升权限。
2. 使用 CloudOwner@cloudsimple.local 登录 vCenter
3. 添加 VCenter 单一登录用户。
4. 将用户添加到 vCenter 单一登录组。

有关预定义的角色和组的详细信息，请参阅 VMware vCenter 的 CloudSimple 私有云权限模型一文。

添加新的标识源

你可以为私有云的 vCenter SSO 域添加其他标识提供者。 标识提供者提供身份验证，vCenter SSO 组为用户提供授权。

• 在私有云 vCenter 上将 Active Directory 用作标识提供者。
• 在私有云 vCenter 上将 Azure AD 用作标识提供者

1. 为私有云上的 CloudOwner@cloudsimple.local 用户提升权限。
2. 使用 CloudOwner@cloudsimple.local 登录 vCenter
3. 将标识提供者中的用户添加到 vCenter 单一登录组。

在私有云环境中保护网络

私有云环境的网络安全通过保护网络访问和控制资源之间的网络流量来控制。

访问私有云资源

私有云 vCenter 和资源访问通过安全的网络连接进行：

• ExpressRoute 连接。 ExpressRoute 从本地环境提供安全、高带宽、低延迟的连接。 使用连接可让你的本地服务、网络和用户访问私有云 vCenter。
• 站点到站点 VPN 网关。 站点到站点 VPN 可通过安全隧道从本地访问私有云资源。 指定哪些本地网络可以向私有云发送和接收网络流量。
• 点到站点 VPN 网关。 使用点到站点 VPN 连接快速远程访问私有云 vCenter。

控制私有云中的网络流量

防火墙表和规则控制私有云中的网络流量。 利用防火墙表，你可以基于在表中定义的规则组合来控制源网络或 IP 地址与目标网络或 IP 地址之间的网络流量。

1. 创建防火墙表。
2. 将规则添加到防火墙表。
3. 将防火墙表附加到 VLAN/子网。