Koncepty identit azure VMware Solution

  • Článek

Privátní cloudy Azure VMware Solution se zřizují pomocí vCenter Serveru a NSX Manageru. Pomocí vCenter Serveru můžete spravovat úlohy virtuálních počítačů a správce NSX ke správě a rozšíření privátního cloudu. Role Cloud Správa se používá pro vCenter Server a roli Cloud Správa (s omezenými oprávněními) pro správce NSX.

Přístup a identita vCenter Serveru

V Azure VMware Solution má VMware vCenter Server integrovaný místní uživatelský účet s názvem Cloud Správa který má přiřazenou roli Cloud Správa. Uživatele a skupiny ve Windows Serveru Active Directory můžete nakonfigurovat pomocí role Cloud Správa pro váš privátní cloud. Obecně platí, že role Cloud Správa vytváří a spravuje úlohy ve vašem privátním cloudu. V Řešení Azure VMware má ale role Cloud Správa oprávnění vCenter Serveru, která se liší od jiných cloudových řešení VMware a místních nasazení.

Důležité

Místní cloud Správa uživatelský účet by se měl použít jako účet pro nouzový přístup pro scénáře "rozbitého skla" ve vašem privátním cloudu. Není určená k používání pro každodenní aktivity správy ani pro integraci s jinými službami.

  • V místním nasazení vCenter Serveru a ESXi má správce přístup k účtu vCenter Serveru administrator@vsphere.local a kořenovému účtu ESXi. Správce může být také přiřazen více uživatelům a skupinám služby Windows Server Active Directory.

  • V nasazení azure VMware Solution nemá správce přístup k uživatelskému účtu Správa istrator nebo kořenovému účtu ESXi. Správce ale může uživatelům a skupinám služby Windows Server Active Directory přiřadit roli Cloud Správa vCenter Serveru. Role Cloud Správa nemá oprávnění k přidání zdroje identity, jako je místní server LDAP (Lightweight Directory Access Protocol) nebo Secure LDAPS (Secure LDAPS) do serveru vCenter. Příkazy Spustit ale můžete použít k přidání zdroje identity a přiřazení role Cloud Správa uživatelům a skupinám.

Uživatelský účet v privátním cloudu nemá přístup ke konkrétním komponentám pro správu, které Microsoft podporuje a spravuje. Mezi příklady patří clustery, hostitele, úložiště dat a distribuované virtuální přepínače.

Poznámka:

V Azure VMware Solution je doména jednotného přihlašování (SSO) vsphere.local poskytována jako spravovaný prostředek pro podporu operací platformy. Nemůžete ho použít k vytváření nebo správě místních skupin a uživatelů s výjimkou těch, které jsou ve výchozím nastavení poskytovány ve vašem privátním cloudu.

Důležité

Azure VMware Solution nabízí na vCenter Serveru vlastní role, ale v současné době je nenabízí na portálu Azure VMware Solution. Další informace najdete v části Vytvoření vlastních rolí na vCenter Serveru dále v tomto článku.

Zobrazení oprávnění vCenter Serveru

Pomocí následujícího postupu můžete zobrazit oprávnění udělená službě Azure VMware Solution Cloud Správa roli vCenter privátního cloudu Azure VMware Solution.

  1. Přihlaste se ke klientovi vSphere a přejděte do nabídky> Správa istrace.

  2. V části Řízení přístupu vyberte Role.

  3. V seznamu rolí vyberte Cloud Správa a pak vyberte Oprávnění.

    Snímek obrazovky znázorňující role a oprávnění pro Cloud Správa v klientovi vSphere

Role Cloud Správa ve službě Azure VMware Solution má na vCenter Serveru následující oprávnění. Další informace najdete v dokumentaci k produktu VMware.

Privilege Popis
Upozornění Potvrzení upozornění
Vytvoření alarmu
Zakázat akci alarmu
Úprava alarmu
Odebrání alarmu
Nastavení stavu alarmu
Knihovna obsahu Přidat položku knihovny
Přidání kořenového certifikátu do úložiště důvěryhodnosti
Vrácení šablony se změnami
Rezervace šablony
Vytvoření předplatného pro publikovanou knihovnu
Vytvoření místní knihovny
Vytvoření nebo odstranění registru Harbor
Vytvoření odebírané knihovny
Vytvoření, odstranění nebo vymazání projektu registru Harbor
Odstranit položku knihovny
Odstranění místní knihovny
Odstranění kořenového certifikátu z úložiště důvěryhodnosti
Odstranění odebírané knihovny
Odstranění předplatného publikované knihovny
Stažení souborů
Vyřazení položek knihovny
Vyřazení odebírané knihovny
Import úložiště
Správa prostředků registru Harbor u zadaného výpočetního prostředku
Informace o odběru sondy
Publikování položky knihovny pro předplatitele
Publikování knihovny pro předplatitele
Úložiště pro čtení
Synchronizovat položku knihovny
Synchronizace odebírané knihovny
Introspekce typu
Aktualizace nastavení konfigurace
Aktualizace souborů
Aktualizovat knihovnu
Aktualizace položky knihovny
Aktualizace místní knihovny
Aktualizace odebírané knihovny
Aktualizace předplatného publikované knihovny
Zobrazení nastavení konfigurace
Kryptografické operace Přímý přístup
Datastore Přidělení místa
Procházení úložiště dat
Konfigurace úložiště dat
Operace se soubory nízké úrovně
Odebrání souborů
Aktualizace metadat virtuálního počítače
Složka Vytvořit složku
Odstranit složku
Přesunout složku
Přejmenovat složku
Globální Zrušit úkol
Globální značka
Zdravotnictví
Událost protokolu
Správa vlastních atributů
Správci služeb
Nastavení vlastního atributu
Systémová značka
Hostitel Replikace vSphere
    Správa replikace
Síť Přiřazení sítě
Oprávnění Modify permissions
Úprava role
Úložiště řízené profilem Zobrazení úložiště řízené profilem
Prostředek Použít doporučení
Přiřazení aplikace vApp k fondu zdrojů
Přiřazení virtuálního počítače k fondu zdrojů
Vytvoření fondu zdrojů
Migrace vypnutého virtuálního počítače
Migrace na virtuálním počítači
Úprava fondu zdrojů
Přesun fondu zdrojů
Query vMotion
Odebrání fondu zdrojů
Přejmenování fondu zdrojů
Naplánovaný úkol Vytvoření úkolu
Úprava úkolu
Odebrat úkol
Spustit úkol
Přednášky Zpráva
Ověření relace
Zobrazení úložiště Zobrazení
vApp Přidání virtuálního počítače
Přiřazení fondu zdrojů
Přiřazení aplikace vApp
Klonování
Vytvořit
Odstranit
Export
Dovoz
Přesunout
Vypnutí
Zapnutí
Přejmenovat
Suspend
Zrušit registraci
Zobrazení prostředí OVF
Konfigurace aplikace vApp
Konfigurace instance vApp
Konfigurace vApp managedBy
Konfigurace prostředku vApp
Virtuální počítač Změnit konfiguraci
    Získání zapůjčení disku
    Přidání existujícího disku
    Přidání nového disku
    Přidání nebo odebrání zařízení
    Rozšířená konfigurace
    Změna počtu procesorů
    Změna paměti
    Změna nastavení
    Změna umístění swapfile
    Změna prostředku
    Konfigurace hostitelského zařízení USB
    Konfigurace nezpracovaných zařízení
    Konfigurace managedBy
    Zobrazení nastavení připojení
    Rozšíření virtuálního disku
    Úprava nastavení zařízení
    Kompatibilita odolnosti proti chybám dotazů
    Dotazování nesměných souborů
    Opětovné načtení z cest
    Odebrání disku
    Přejmenovat
    Resetování informací o hostech
    Nastavení poznámek
    Přepnutí sledování změn disku
    Přepnout nadřazený fork
    Upgrade kompatibility virtuálních počítačů
Úprava inventáře
    Vytvořit z existujícího
    vytvoření nových
    Přesunout
    Registrovat
    Odebrat
    Zrušit registraci
Operace hosta
    Úprava aliasu operace hosta
    Dotaz aliasu operace hosta
    Úpravy operací hosta
    Spuštění programu operace hosta
    Dotazy na operace hosta
Interakce
    Odpověď na otázku
    Operace zálohování na virtuálním počítači
    Konfigurace média CD
    Konfigurace disketové jednotky
    Připojte zařízení
    Interakce konzoly
    Vytvořit snímek obrazovky
    Defragmentace všech disků
    Přetažení
    Správa hostovaného operačního systému pomocí rozhraní API VIX
    Vložení kódů skenování USB HID
    Instalace nástrojů VMware
    Pozastavení nebo zrušení pozastavení
    Operace vymazání nebo zmenšení
    Vypnutí
    Zapnutí
    Záznam relace na virtuálním počítači
    Přehrání relace na virtuálním počítači
    Reset
    Obnovení odolnosti proti chybám
    Suspend
    Pozastavení odolnosti proti chybám
    Test převzetí služeb při selhání
    Testování restartování sekundárního virtuálního počítače
    Vypnutí odolnosti proti chybám
    Zapnutí odolnosti proti chybám
Zřizování
    Povolit přístup k disku
    Povolit přístup k souborům
    Povolit přístup k disku jen pro čtení
    Povolit stahování virtuálních počítačů
    Klonování šablony
    Klonování virtuálního počítače
    Vytvoření šablony z virtuálního počítače
    Přizpůsobení hosta
    Nasazení šablony
    Označit jako šablonu
    Úprava specifikace přizpůsobení
    Zvýšení úrovně disků
    Specifikace přizpůsobení pro čtení
Konfigurace služby
    Povolit oznámení
    Povolit dotazování globálních oznámení událostí
    Správa konfigurace služby
    Úprava konfigurace služby
    Dotazování konfigurací služby
    Konfigurace služby čtení
Správa snímků
    Vytvořit snímek
    Odebrat snímek
    Přejmenování snímku
    Vrácení snímku
Replikace vSphere
    Konfigurace replikace
    Správa replikace
    Monitorování replikace
vService Vytvoření závislosti
Zničit závislost
Změna konfigurace závislostí
Aktualizace závislosti
Označování vSphere Přiřazení a zrušení přiřazení značky vSphere
Vytvoření značky vSphere
Vytvoření kategorie značek vSphere
Odstranění značky vSphere
Odstranit kategorii značek vSphere
Úprava značky vSphere
Upravit kategorii značek vSphere
Změnit pole UsedBy pro kategorii
Úprava pole UsedBy pro značku

Vytvoření vlastních rolí na vCenter Serveru

Azure VMware Solution podporuje použití vlastních rolí se stejnými nebo menšími oprávněními než role Cloud Správa. Pomocí role Cloud Správa můžete vytvářet, upravovat nebo odstraňovat vlastní role s oprávněními, která jsou menší nebo rovna jejich aktuální roli.

Poznámka:

Můžete vytvářet role s oprávněními většími než Cloud Správa. Roli ale nemůžete přiřadit žádným uživatelům ani skupinám ani roli odstranit. Role s oprávněními většími než cloud Správa nejsou podporovány.

Pokud chcete zabránit vytváření rolí, které nelze přiřadit nebo odstranit, naklonujte roli Cloud Správa jako základ pro vytváření nových vlastních rolí.

Vytvoření vlastní role

  1. Přihlaste se k vCenter Serveru pomocí cloudadmin@vsphere.local role Cloud nebo uživatel s rolí Cloud Správa.

  2. Přejděte do části Konfigurace rolí a vyberte Nabídku> Správa zádání>rolí řízení>přístupu.

  3. Vyberte roli Cloud Správa a vyberte ikonu akce Klonovat roli.

    Poznámka:

    Nenaklonujte roli Správa istratoru, protože ji nemůžete použít. Vlastní vytvořená role se také nedá odstranit cloudadmin@vsphere.local.

  4. Zadejte požadovaný název klonované role.

  5. Odeberte oprávnění pro roli a vyberte OK. Klonovaná role je viditelná v seznamu rolí .

Použití vlastní role

  1. Přejděte k objektu, který vyžaduje přidané oprávnění. Pokud chcete například použít oprávnění ke složce, přejděte do nabídky>virtuální počítače a název složky šablon.>

  2. Klikněte pravým tlačítkem myši na objekt a vyberte Přidat oprávnění.

  3. V rozevíracím seznamu Uživatel vyberte zdroj identity, kde lze skupinu nebo uživatele najít.

  4. Po výběru zdroje identity v části Uživatel vyhledejte uživatele nebo skupinu.

  5. Vyberte roli, kterou chcete použít pro uživatele nebo skupinu.

    Poznámka:

    Při pokusu o použití uživatele nebo skupiny na roli, která má oprávnění větší než cloud Správa způsobí chyby.

  6. V případě potřeby zaškrtněte políčko Rozšířit na podřízené položky a vyberte OK. Přidané oprávnění se zobrazí v části Oprávnění .

Přístup a identita VMware NSX Manageru

Když je privátní cloud zřízený pomocí webu Azure Portal, zřizují se pro zákazníky komponenty pro správu softwarově definovaných datových center (SDDC), jako je vCenter Server a VMware NSX Manager.

Microsoft zodpovídá za správu životního cyklu zařízení NSX, jako jsou VMware NSX Manager a zařízení VMware NSX Edge. Zodpovídají za spouštění konfigurace sítě, jako je vytvoření brány vrstvy 0.

Zodpovídáte za konfiguraci softwarově definovaných sítí (SDN) VMware NSX, například:

  • Segmenty sítě
  • Další brány vrstvy 1
  • Pravidla distribuované brány firewall
  • Stavové služby, jako je brána firewall brány
  • Nástroj pro vyrovnávání zatížení na branách vrstvy 1

Ke Správci VMware NSX můžete přistupovat pomocí integrovaného místního uživatele "cloudadmin" přiřazeného k vlastní roli, která uživateli poskytuje omezená oprávnění ke správě VMware NSX. Zatímco Microsoft spravuje životní cyklus VMware NSX, některé operace uživatel nepovoluje. Mezi operace, které nejsou povolené, patří úprava konfigurace hostitelského a hraničního přenosového uzlu nebo spuštění upgradu. Pro nové uživatele je Azure VMware Solution nasadí s konkrétní sadou oprávnění potřebných tímto uživatelem. Účelem je poskytnout jasné oddělení řízení mezi konfigurací řídicí roviny řešení Azure VMware a uživatelem privátního cloudu Azure VMware Solution.

Pro nová nasazení privátního cloudu se přístup K VMware NSX poskytuje integrovaný místní správce cloudu přiřazený k roli správce cloudu s konkrétní sadou oprávnění pro použití funkcí VMware NSX pro úlohy.

Uživatelská oprávnění správce cloudu VMware NSX

Následující oprávnění jsou přiřazena uživateli cloudadmin v Azure VMware Solution NSX.

Poznámka:

Uživatel cloudadmin VMware NSX ve službě Azure VMware Solution není stejný jako uživatel cloudadmin uvedený v dokumentaci k produktu VMware. Následující oprávnění platí pro rozhraní API zásad VMware NSX. Funkce rozhraní API správce můžou být omezené.

Kategorie Typ Operace Oprávnění
Sítě Připojení Brány vrstvy 0
Brány vrstvy 1
Segments		 Jen pro čtení
Plný přístup
Plný přístup
Sítě Network Services Síť VPN
NAT
Vyrovnávání zatížení
Zásady předávání
Statistika		 Plný přístup
Plný přístup
Plný přístup
Jen pro čtení
Plný přístup
Sítě Správa IP adres DNS
DHCP
Fondy IP adres		 Plný přístup
Plný přístup
Plný přístup
Sítě Profily Plný přístup
Zabezpečení Zabezpečení – východ – západ Distribuovaná brána firewall
Distribuovaná IDS a IPS
Brána firewall identit		 Plný přístup
Plný přístup
Plný přístup
Zabezpečení Zabezpečení severního jihu Brána firewall brány
Analýza adres URL		 Plný přístup
Plný přístup
Zabezpečení Introspekce sítě Jen pro čtení
Zabezpečení Funkce Endpoint Protection Jen pro čtení
Zabezpečení Nastavení Plný přístup
Zásoby Plný přístup
Řešení problému IPFIX Plný přístup
Řešení problému Zrcadlení portů Plný přístup
Řešení problému Traceflow Plný přístup
Systémový Konfigurace
Nastavení
Nastavení
Nastavení		 Brána firewall identit
Uživatelé a role
Správa certifikátů (pouze certifikát služby)
Nastavení uživatelského rozhraní		 Plný přístup
Plný přístup
Plný přístup
Plný přístup
Systémový Všechny ostatní Jen pro čtení

Oprávnění udělená roli správce cloudu Azure VMware Solution můžete zobrazit ve vašem privátním cloudu VMware VMware NSX ve službě Azure VMware Solution.

  1. Přihlaste se ke Správci NSX.
  2. Přejděte do systémů a vyhledejte uživatele a role.
  3. Vyberte a rozbalte roli správce cloudu, která se nachází v části Role.
  4. Pokud chcete zobrazit konkrétní oprávnění, vyberte kategorii, například Sítě nebo Zabezpečení.

Poznámka:

Privátní cloudy vytvořené před červnem 2022 se převedou z role správce na roli správce . Prostřednictvím služby Azure Service Health obdržíte oznámení, které zahrnuje časovou osu této změny, abyste mohli změnit přihlašovací údaje NSX, které jste použili pro jinou integraci.

Integrace protokolu LDAP NSX pro řízení přístupu na základě role (RBAC)

V nasazení azure VMware Solution je možné integrovat VMware NSX s externí adresářovou službou LDAP a přidat vzdálené uživatele adresáře nebo skupinu a přiřadit jim roli RBAC VMware NSX, jako je místní nasazení. Další informace o povolení integrace protokolu LDAP VMware NSX najdete v dokumentaci k produktu VMware.

Na rozdíl od místního nasazení se u řešení Azure VMware nepodporují všechny předdefinované role NSX RBAC, aby se správa konfigurace řídicí roviny IaaS řešení Azure VMware zachovala odděleně od konfigurace sítě a zabezpečení tenanta. Další informace najdete v další části s podporovanými rolemi NSX RBAC.

Poznámka:

Integrace protokolu LDAP VMware NSX se podporuje jenom u uživatele SDDC s uživatelem cloudadmin VMware NSX.

Podporované a nepodporované role NSX RBAC

V nasazení azure VMware Solution se s integrací PROTOKOLU LDAP podporují následující předdefinované role RBAC VMware NSX:

  • Auditor
  • Cloudadmin
  • Správa nástroje pro vyrovnávání zatížení
  • Operátor nástroje pro vyrovnávání zatížení
  • Správa VPN
  • Síťový operátor

V nasazení azure VMware Solution nejsou s integrací PROTOKOLU LDAP podporovány následující předdefinované role RBAC VMware NSX:

  • Podnikový správce
  • Síťové Správa
  • Správce zabezpečení
  • NetX Partner Správa
  • Gi Partner Správa

V NSX můžete vytvářet vlastní role s oprávněními menšími nebo rovnou cloudovým Správa rolím vytvořeným Microsoftem. Následuje příklad vytvoření podporované role Network Správa a Security Správa.

Poznámka:

Vytvoření vlastní role selže, pokud přiřadíte oprávnění, které cloud nepovoluje Správa roli.

Vytvoření role Správce sítě AVS

Pomocí následujícího postupu vytvořte tuto vlastní roli.

  1. Přejděte do rolí> a uživatelů systému.>

  2. Naklonujte síť Správa a zadejte název síťového Správa AVS.

  3. Upravte následující oprávnění na "Jen pro čtení" nebo "Žádné", jak je vidět ve sloupci Oprávnění v následující tabulce.

    Kategorie Podkategorie Funkce Oprávnění
    Sítě


    		 Připojení

    Network Services    		 Brány vrstvy 0
    Brány vrstvy > 0 OSPF
    Zásady předávání    		 Jen pro čtení
    Nic
    Nic

  4. Použijte změny a uložte roli.

Vytvoření role Správce zabezpečení AVS

Pomocí následujícího postupu vytvořte tuto vlastní roli.

  1. Přejděte do rolí> a uživatelů systému.>

  2. Naklonujte Správa zabezpečení a zadejte název AVS Security Správa.

  3. Upravte následující oprávnění na "Jen pro čtení" nebo "Žádné", jak je vidět ve sloupci Oprávnění v následující tabulce.

Kategorie Podkategorie Funkce Oprávnění
Sítě Network Services Zásady předávání Nic
Zabezpečení


 Introspekce sítě
Funkce Endpoint Protection
Nastavení

Profily služeb		 Nic
Žádné
Nic
  1. Použijte změny a uložte roli.

Poznámka:

Vlastní role NSX nepodporuje konfiguraci ad brány firewall systémové>identity VMware NSX. Doporučuje se uživateli přiřadit roli Operátor zabezpečení s vlastní rolí, aby bylo možné pro daného uživatele spravovat funkci firewallu identit (IDFW).

Poznámka:

Funkce Trasování VMware NSX není podporována vlastní rolí VMware NSX. Doporučuje se uživateli přiřadit roli Auditor spolu s vlastní rolí, aby pro daného uživatele povolila funkci Traceflow.

Poznámka:

Integrace služby VMware Aria Operations Automation s komponentou NSX řešení Azure VMware vyžaduje přidání role auditora do uživatele s rolí správce cloudu NSX Manageru.

Další kroky

Teď, když jste se zabývali koncepty přístupu a identit řešení Azure VMware, můžete se o tom dozvědět víc: