Поделиться через

Азур ВМваре: концепции идентификации

Облака Azure VMware Solution развертываются с помощью vCenter Server и NSX Manager. Вы используете vCenter Server для управления рабочими нагрузками виртуальных машин и диспетчером NSX для управления и расширения частного облака. Роль CloudAdmin используется для vCenter Server, а роль CloudAdmin (с ограниченными разрешениями) используется для диспетчера NSX.

Доступ и идентификация в vCenter Server

В Решение Azure VMware VMware vCenter Server имеет встроенную учетную запись локального пользователя с именем CloudAdmin, назначаемую роль CloudAdmin. Вы можете настроить пользователей и группы в Windows Server Active Directory с ролью CloudAdmin для частного облака. Как правило, роль CloudAdmin создает рабочие нагрузки в частном облаке и управляет ими. Но в Решение Azure VMware роль CloudAdmin имеет привилегии vCenter Server, отличные от других облачных решений VMware и локальных развертываний.

Внимание

Локальная учетная запись пользователя CloudAdmin должна использоваться в качестве учетной записи аварийного доступа в экстренных ситуациях в вашем частном облаке. Она не предназначена для ежедневных административных действий или для интеграции с другими службами.

  • В локальном развертывании vCenter Server и ESXi администратор имеет доступ к учетной записи vCenter Server [email protected] и корневой учетной записи ESXi. Администратору также может быть назначено больше пользователей и групп Windows Server Active Directory.

  • В развертывании решения Azure VMware администратор не имеет доступа к учетной записи пользователя Administrator или учетной записи root ESXi. Но администратор может назначить пользователям и группам Windows Server Active Directory роль CloudAdmin в vCenter Server. Роль CloudAdmin не имеет разрешений на добавление источника удостоверений, например локального сервера LDAP или защищённого сервера LDAPS, к серверу vCenter. Однако можно использовать команды Run для добавления источника удостоверений и назначения роли CloudAdmin пользователям и группам.

Учетная запись пользователя в частном облаке не может получить доступ к определенным компонентам управления, которые корпорация Майкрософт поддерживает и управляет ими. Примерами являются кластеры, узлы, хранилища данных и распределенные виртуальные коммутаторы.

Примечание.

В Решение Azure VMware домен единого входа vsphere.local предоставляется в качестве управляемого ресурса для поддержки операций платформы. Вы не можете использовать его для создания локальных групп и пользователей, кроме тех, которые предоставляются по умолчанию в частном облаке.

Внимание

Решение Azure VMware предлагает пользовательские роли на сервере vCenter Server, но в настоящее время не предлагает их на портале Решение Azure VMware. Дополнительные сведения см. в разделе "Создание пользовательских ролей на сервере vCenter Server", размещенном далее в этой статье.

Просмотр привилегий vCenter Server

чтобы просмотреть привилегии, предоставленные роли CloudAdmin в Решении Azure VMware, выполните следующие действия в вашем vCenter частного облака Azure VMware Solution.

  1. Войдите в клиент vSphere и перейдите в Меню>Администрирование.

  2. В разделе Контроль доступа выберите Роли.

  3. В списке ролей выберите CloudAdmin и выберите Привилегии.

    Снимок экрана: роли и привилегии для CloudAdmin в клиенте vSphere.

Роль CloudAdmin в Azure VMware Solution обладает следующими привилегиями на сервере vCenter. Дополнительные сведения см. в документации по продуктам VMware.

Привилегия Описание
Оповещения Подтвердить оповещение
Создание оповещения
Отключение действия оповещения
Изменение оповещения
Удаление оповещения
Установка статуса оповещения
Библиотека содержимого Добавление элемента библиотеки
Добавление корневого сертификата в хранилище доверия
Проверка шаблона
Ознакомьтесь с шаблоном
Создание подписки для опубликованной библиотеки
Создание локальной библиотеки
Создание или удаление реестра Гавани
Создание библиотеки с подпиской
Создание, удаление или очистка проекта реестра Гавани
Удаление элемента библиотеки
Удаление локальной библиотеки
Удалить корневой сертификат из хранилища доверенных сертификатов
Удаление библиотеки с подпиской
Удалить подписку для опубликованной библиотеки
Загрузка файлов
Удаление элементов библиотеки
Удаление подписанной библиотеки
Импорт хранилища
Управляйте ресурсами реестра Harbor для указанного вычислительного ресурса
Проверка информации о подписке
Публикация элемента библиотеки для ее подписчиков
Опубликовать библиотеку для ее подписчиков
Чтение из хранилища
Синхронизация элемента библиотеки
Синхронизация подписанной библиотеки
Самодиагностика типа
Обновление параметров конфигурации
Обновление файлов
Обновление библиотеки
Обновление элемента библиотеки
Обновление локальной библиотеки
Обновление библиотеки с подпиской
Обновление подписки опубликованной библиотеки
Просмотр параметров конфигурации
Криптографические операции Прямой доступ
Хранилище данных Выделение места
Обзор хранилища данных
Настройка хранилища данных
Низкоуровневые файловые операции
Удаление файлов
Обновление метаданных виртуальной машины
Папка Создать папку
Удалить папку
Переместить папку
Переименовать папку
Глобальный Отмена задачи
Глобальный тег
Здоровье
Регистрация событий в журнале
Управление настраиваемыми атрибутами
Диспетчеры служб
Установить пользовательский атрибут
Системный тег
Хост Репликация vSphere
    Управление репликацией
Сеть Назначить сеть
Разрешения Изменение разрешений
Изменение роли
Управляемое профилем хранилище Просмотр хранилища, управляемого профилем
Ресурс Применение рекомендации
Назначение vApp пулу ресурсов
Назначить виртуальную машину в пул ресурсов
Создание пула ресурсов
Переместить выключенную виртуальную машину
Переместить включённую виртуальную машину
Изменение пула ресурсов
Перемещение пула ресурсов
Запрос vMotion
Удалите пул ресурсов
Переименование пула ресурсов
Запланированная задача Создать задачу
Изменение задачи
Удалить задачу
Запуск задачи
Сеансы Сообщение
Проверка сеанса
Просмотр хранилища Просмотр
vApp Добавление виртуальной машины
Назначение пула ресурсов
Назначить vApp
Клонировать
Создать
Удалить
Экспорт
Импорт
Передвинуть
Выключение питания
Включить
Переименовать
Приостановить
Отменить регистрацию
Просмотр среды OVF
Настройка приложения vApp
Настройка экземпляра vApp
Настройка managedBy для vApp
Конфигурация ресурса vApp
Виртуальная машина Изменение конфигурации
    Получение аренды диска
    Добавление существующего диска
    Добавление нового диска
    Добавление или удаление устройства
    Расширенная конфигурация
    Изменение количества ЦП
    Изменение памяти
    Изменить параметры
    Изменение размещения файлов подкачки
    Изменение ресурса
    Настройте USB-устройство хоста
    Настройка необработанного устройства
    Настройка managedBy
    Отображение настроек подключения
    Расширение виртуального диска
    изменение параметров устройства;
    Совместимость отказоустойчивости запросов
    Запрос файлов без владельца
    Перезагрузить из указанных путей
    Удаление диска
    Переименовать
    Сброс гостевой информации
    Настройка аннотации
    Включение/выключение отслеживания изменений диска
    Переключение родительского форка
    Обновление совместимости виртуальной машины
Изменение инвентаризации
    Создание из существующего
    Создать новое
    Передвинуть
    Регистрация
    Удалить
    Отменить регистрацию
Гостевые операции
    Изменение псевдонима гостевой операции
    Запрос псевдонима гостевой операции
    Изменения операций гостя
    Выполнение программы гостевой операции
    Запросы гостевых операций
Взаимодействие
    Ответ на вопрос
    Операция резервного копирования на виртуальной машине
    Настройка CD-носителей
    Настройка флоппи-диска
    Подключить устройства
    Взаимодействие с консолью
    Создание снимка экрана
    Дефрагментация всех дисков
    Перетаскивание
    Управление гостевой операционной системой через API VIX
    Внедрение скан-кодов USB HID
    Установка средств VMware
    Пауза или возобновление
    Операции очистки или сокращения
    Выключение питания
    Включить
    Запись сеанса на виртуальной машине
    Воспроизведение сеанса на виртуальной машине
    Сброс
    Возобновление отказоустойчивости
    Приостановить
    Приостановка отказоустойчивости
    Тестирование отказоустойчивости
    Тестовая перезагрузка вторичной виртуальной машины
    Отключение отказоустойчивости
    Включите отказоустойчивость
Подготовка
    Разрешение доступа к диску
    Разрешение доступа к файлу
    Разрешить доступ к диску только для чтения
    Разрешить загрузку виртуальной машины
    Клонирование шаблона
    Клонирование виртуальной машины
    Создание шаблона из виртуальной машины
    Настройка гостя
    Развертывание шаблона
    Отметить как шаблон
    Изменение спецификации настройки
    Продвижение дисков
    Изучение спецификаций настройки
Конфигурация сервиса
    Разрешить уведомления
    Разрешить опрос уведомлений о глобальных событиях
    Управление конфигурацией службы
    Изменение конфигурации службы
    Запрос параметров сервиса
    Чтение конфигурации службы
Управление моментальными снимками
    Создать моментальный снимок
    Удаление моментального снимка
    Переименование моментального снимка
    Восстановление моментального снимка
Репликация vSphere
    Настройка репликации
    Управление репликацией
    Мониторинг репликации
vService Создание зависимости
Удаление зависимости
Перенастройка конфигурации зависимостей
Обновить зависимость
Тегирование vSphere Назначение и отмена назначения тега vSphere
Создание тега vSphere
Создание категории тегов vSphere
Удаление тега vSphere
Удаление категории тегов vSphere
Изменение тега vSphere
Изменение категории тегов vSphere
Изменение поля UsedBy для категории
Изменение поля UsedBy для тега

Создание пользовательских ролей на сервере vCenter Server

Решение Azure VMware поддерживает использование пользовательских ролей с привилегиями, равными или меньшими, чем роль CloudAdmin. Используйте роль CloudAdmin для создания, изменения или удаления пользовательских ролей с привилегиями меньше или равно их текущей роли.

Примечание.

Можно создавать роли с привилегиями выше, чем разрешения CloudAdmin. Однако вы не можете назначить роль каким-либо пользователям или группам или удалить эту роль. Роли, имеющие привилегии, превышающие значение CloudAdmin, не поддерживаются.

Чтобы предотвратить создание ролей, которые не могут быть назначены или удалены, клонируйте роль CloudAdmin как основу для создания новых пользовательских ролей.

Создайте пользовательскую роль

  1. Войдите на сервер vCenter Server с [email protected] или войдите как пользователь с ролью CloudAdmin.

  2. Перейдите в раздел конфигурации Роли и выберите Меню>Администрирование>Управление доступом>Роли.

  3. Выберите роль CloudAdmin и нажмите значок действия Клонировать роль.

    Примечание.

    Не клонируйте роль Администратор, так как ее нельзя использовать. Кроме того, созданная пользовательская роль не может быть удалена [email protected].

  4. Укажите имя для клонированной роли.

  5. Удалите привилегии для роли и нажмите кнопку "ОК". Клонированная роль отображается в списке Роли.

Применение настраиваемой роли

  1. Перейдите к объекту, для которого требуется добавленное разрешение. Например, чтобы применить разрешение к папке, перейдите в раздел Меню>Виртуальные машины и шаблоны>Имя папки.

  2. Щелкните объект правой кнопкой мыши и выберите команду Добавить разрешение.

  3. В раскрывающемся списке Пользователь выберите источник удостоверения, где находится группа или пользователь.

  4. Найдите пользователя или группу, выбрав источник идентификации в разделе Пользователь.

  5. Выберите роль, которую хотите применить к пользователю или группе.

    Примечание.

    Попытка применить пользователя или группу к роли, которая имеет привилегии, превышающие значение CloudAdmin, приведет к ошибкам.

  6. При необходимости установите флажок Распространить на дочерние элементы и выберите OK. Добавленное разрешение отображается в разделе Разрешения.

Идентификация и доступ к диспетчеру NSX VMware

При подготовке частного облака с помощью портала Azure для клиентов подготавливаются компоненты управления программно-определяемым центром обработки данных (SDDC), такие как vCenter Server и VMware NSX Manager.

Корпорация Майкрософт отвечает за управление жизненным циклом устройств NSX, таких как VMware NSX Manager и устройства VMware NSX Edge. Они отвечают за загрузку конфигурации сети, например создание шлюза Уровня 0.

Вы несете ответственность за конфигурацию программно-определяемой сети VMware NSX (SDN), например:

  • Сегменты сети
  • Другие шлюзы уровня 1
  • Правила распределенного брандмауэра
  • Сервисы с отслеживанием состояния, такие как файервол шлюза
  • Подсистема балансировки нагрузки на шлюзах уровня 1

Вы можете получить доступ к VMware NSX Manager с помощью встроенного локального пользователя "cloudadmin", назначенного на пользовательскую роль, которая предоставляет пользователю ограниченные привилегии для управления VMware NSX. Хотя корпорация Майкрософт управляет жизненным циклом VMware NSX, некоторые операции не допускаются пользователем. Операции не допускаются, включая изменение конфигурации хост-узлов и пограничных транспортных узлов или начало обновления. Для новых пользователей Решение Azure VMware развертывает их с определенным набором разрешений, необходимых для этого пользователя. Цель состоит в том, чтобы обеспечить четкое разделение управления между конфигурацией уровня управления Решение Azure VMware и Решение Azure VMware пользователем частного облака.

Для новых развертываний частного облака доступ к VMware NSX предоставляется встроенным локальным пользователем cloudadmin, назначенным в роль cloudadmin с определенным набором разрешений для использования функций VMware NSX для рабочих нагрузок.

Разрешения пользователя VMware NSX cloudadmin

Следующие разрешения назначаются пользователю cloudadmin в решении Azure VMware Solution NSX.

Примечание.

Пользователь VMware NSX cloudadmin в Решение Azure VMware не совпадает с пользователем cloudadmin, упомянутым в документации по продукту VMware. Следующие разрешения применяются к API политики NSX VMware. Функциональные возможности API диспетчера могут быть ограничены.

Категория Тип Операция Разрешение
Сеть Подключение Шлюзы уровня 0
Шлюзы уровня 1
Сегменты		 Только для чтения
Полный доступ
Полный доступ
Сеть Сетевые службы VPN
NAT
Балансировка нагрузки
Политика пересылки
Статистика		 Полный доступ
Полный доступ
Полный доступ
Только для чтения
Полный доступ
Сеть Управление IP-адресами DNS (Система доменных имён)
DHCP
Пулы IP-адресов		 Полный доступ
Полный доступ
Полный доступ
Сеть Профили Полный доступ
Безопасность Восточная западная безопасность Распределенный брандмауэр
Распределенные системы обнаружения вторжений и предотвращения вторжений
Идентификационный брандмауэр		 Полный доступ
Полный доступ
Полный доступ
Безопасность Северная южная безопасность Брандмауэр шлюза
Анализ URL-адресов		 Полный доступ
Полный доступ
Безопасность Интроспекция сети Только для чтения
Безопасность Защита конечных точек Только для чтения
Безопасность Настройки Полный доступ
Запасы Полный доступ
Устранение неполадок IPFIX Полный доступ
Устранение неполадок Зеркалирование портов Полный доступ
Устранение неполадок Трассировка потока Полный доступ
Система Настройка
Настройки
Настройки
Настройки		 Брандмауэр идентичности
Пользователи и роли
Управление сертификатами (только сертификат службы)
Параметры пользовательского интерфейса		 Полный доступ
Полный доступ
Полный доступ
Полный доступ
Система Все остальные Только для чтения

Разрешения, предоставленные в роли cloudadmin в решении Azure VMware, можно просмотреть в частном облаке Azure VMware Solution NSX.

  1. Войдите в менеджер NSX.
  2. Перейдите к системам и найдите пользователей и ролей.
  3. Выберите и разверните роль cloudadmin, найденную в разделе "Роли".
  4. Выберите категорию, например сеть или безопасность, чтобы просмотреть определенные разрешения.

Примечание.

Частные облака, созданные до июня 2022 г ., переключятся с роли администратора на роль cloudadmin . Вы получите уведомление через службу работоспособности Azure, которая включает временную шкалу этого изменения, чтобы вы могли изменить учетные данные NSX, которые вы использовали для другой интеграции.

Интеграция LDAP NSX для управления доступом на основе ролей (RBAC)

В развертывании решения Azure VMware можно интегрировать VMware NSX с внешней службой каталогов LDAP, чтобы добавлять пользователей или группы из удаленного каталога и назначать им роль RBAC в VMware NSX, как в локальном развертывании. Дополнительные сведения о включении интеграции LDAP VMware NSX см. в документации по продукту VMware.

В отличие от локального развертывания, не все предопределенные роли NSX RBAC поддерживаются в решении Azure VMware, чтобы сохранить управление конфигурацией уровня IaaS отдельно от конфигурации сети клиента и безопасности. Для получения дополнительной информации см. следующий раздел: Поддерживаемые роли NSX RBAC.

Примечание.

Интеграция LDAP с VMware NSX поддерживается только для SDDC с пользователем VMware NSX "cloudadmin".

Поддерживаемые и неподдерживаемые роли NSX RBAC

В развертывании решения Azure VMware поддерживаются следующие предопределенные роли VMware NSX RBAC при интеграции с LDAP:

  • Аудитор
  • Cloudadmin
  • Администратор LB
  • Оператор LB
  • Администратор VPN
  • Оператор сети

В развертывании Azure VMware Solution следующие предустановленные роли RBAC VMware NSX не поддерживаются при интеграции с LDAP.

  • Администратор организации
  • Администратор сети
  • администратор безопасности;
  • Администратор партнера NetX
  • Администратор ПАРТНЕРА GI

Пользовательские роли можно создать в NSX с разрешениями меньше или равно роли CloudAdmin, созданной корпорацией Майкрософт. Ниже приведены примеры создания поддерживаемой роли "Администратор сети" и "Администратор безопасности".

Примечание.

Создание пользовательской роли завершится ошибкой, если вы назначите разрешение, не разрешенное ролью CloudAdmin.

Создание роли "Администратор сети AVS"

Чтобы создать эту настраиваемую роль, выполните следующие действия.

  1. Перейдите к Система>Пользователи и роли>Роли.

  2. Клонируйте сетевого администратора и укажите имя администратора сети AVS.

  3. Измените следующие разрешения на "Только чтение" или "Нет", как показано в столбце разрешений в следующей таблице.

    Категория Подкатегория Функция Разрешение
    Сеть


    		 Подключение

    Сетевые службы    		 Шлюзы уровня 0
    Шлюзы > уровня 0 OSPF
    Политика пересылки    		 Только для чтения
    нет
    нет

  4. Примените изменения и сохраните роль.

Создание роли "Администратор безопасности AVS"

Чтобы создать эту настраиваемую роль, выполните следующие действия.

  1. Перейдите к Система>Пользователи и роли>Роли.

  2. Клонируйте администратора безопасности и укажите имя "Администратор безопасности AVS".

  3. Измените следующие разрешения на "Только чтение" или "Нет", как показано в столбце разрешений в следующей таблице.

Категория Подкатегория Функция Разрешение
Сеть Сетевые службы Политика пересылки нет
Безопасность


 Интроспекция сети
Защита конечных точек
Настройки

Профили служб		 нет
нет
нет
  1. Примените изменения и сохраните роль.

Примечание.

Параметр конфигурации брандмауэра удостоверений AD системы VMware NSX не поддерживается настраиваемой ролью NSX. Рекомендуется назначить пользователю роль оператора безопасности с настраиваемой ролью, чтобы разрешить управление функцией брандмауэра удостоверений (IDFW) для этого пользователя.

Примечание.

Функция Traceflow VMware NSX не поддерживается пользовательской ролью для VMware NSX. Рекомендуется назначить роль аудитора пользователю вместе с пользовательской ролью, чтобы включить функцию Traceflow для этого пользователя.

Примечание.

Интеграция VMware Aria Operations Automation с компонентом NSX в составе решения Azure VMware Solution требует добавления роли "аудитор" пользователю, имеющему роль "NSX Manager cloudadmin".

Следующие шаги

Теперь, когда вы изучили концепции доступа и идентификации в Решении Azure VMware, возможно, вы захотите узнать больше о следующих темах.