Gestione delle identità e degli accessi di scalabilità aziendale per la soluzione Azure VMware
Questo articolo si basa sulle informazioni disponibili in Gestione delle identità e degli accessi e Concetti di identità della soluzione Azure VMware.
Usare queste informazioni per esaminare le considerazioni di progettazione e i consigli per la gestione delle identità e degli accessi specifici della distribuzione della soluzione Azure VMware.
I requisiti di identità per la soluzione Azure VMware variano a seconda dell'implementazione in Azure. Le informazioni contenute in questo articolo si basano sugli scenari più comuni.
Considerazioni relative alla progettazione
Dopo aver distribuito la soluzione Azure VMware, il vCenter del nuovo ambiente contiene un utente locale incorporato denominato cloudadmin
. Questo utente viene assegnato al ruolo CloudAdmin con diverse autorizzazioni nel server vCenter. È anche possibile creare ruoli personalizzati nell'ambiente soluzione Azure VMware usando il principio dei privilegi minimi con il controllo degli accessi in base al ruolo.
Suggerimenti per la progettazione
Come parte della zona di destinazione di scalabilità aziendale delle identità e degli accessi, distribuire un controller di dominio Active Directory Domain Services (AD DS) nella sottoscrizione di identità.
Limitare il numero di utenti assegnati al ruolo CloudAdmin. Usare ruoli personalizzati e privilegi minimi per assegnare gli utenti alla soluzione Azure VMware.
Prestare attenzione quando si ruotano le password di amministratore cloudadmin e NSX.
Limitare le autorizzazioni di controllo degli accessi in base al ruolo della soluzione Azure VMware in Azure al gruppo di risorse in cui viene distribuito e agli utenti che devono gestire la soluzione Azure VMware.
Configurare le autorizzazioni vSphere solo con ruoli personalizzati a livello di gerarchia, se necessario. È meglio applicare le autorizzazioni nella cartella della macchina virtuale pertinente o nel pool di risorse. Evitare l'applicazione delle autorizzazioni vSphere a livello di data center o superiore.
Aggiornare Siti e servizi di Active Directory per indirizzare il traffico Active Directory Domain Services di Azure e della soluzione Azure VMware ai controller di dominio appropriati.
Usare il comando Esegui nel cloud privato per:
Aggiungere un controller di dominio di Active Directory Domain Services come origine delle identità per il server vCenter e il data center NSX-T.
Fornire l'operazione del ciclo di vita nel gruppo
vsphere.local\CloudAdmins
.
Creare gruppi in Active Directory e usare il controllo degli accessi in base al ruolo per gestire il server vCenter e il data center NSX-T. È possibile creare ruoli personalizzati e assegnarvi gruppi di Active Directory.
Passaggi successivi
Informazioni sulla topologia di rete e sulla connettività per uno scenario di scalabilità aziendale della soluzione Azure VMware. Esaminare le procedure consigliate e le considerazioni di progettazione per la rete e la connettività con Microsoft Azure e la soluzione Azure VMware.