Основные понятия об удостоверениях для Решения Azure VMware
Решение Azure VMware частные облака подготовлены с помощью vCenter Server и NSX Manager. Вы используете vCenter Server для управления рабочими нагрузками виртуальных машин и диспетчером NSX для управления и расширения частного облака. Роль Cloud Администратор используется для vCenter Server и роли Cloud Администратор (с ограниченными разрешениями) используется для диспетчера NSX.
Доступ к vCenter Server и удостоверение
В Решение Azure VMware VMware vCenter Server имеет встроенную учетную запись локального пользователя с именем Cloud Администратор которая назначена роли Cloud Администратор. Вы можете настроить пользователей и группы в Windows Server Active Directory с помощью роли Cloud Администратор для частного облака. Как правило, роль CloudAdmin создает рабочие нагрузки в частном облаке и управляет ими. Но в Решение Azure VMware роль Cloud Администратор имеет права vCenter Server, отличные от других облачных решений VMware и локальных развертываний.
Внимание
Локальная облачная Администратор учетная запись пользователя должна использоваться в качестве учетной записи аварийного доступа для сценариев аварийного доступа в частном облаке. Она не предназначена для ежедневных административных действий или для интеграции с другими службами.
В локальном развертывании vCenter Server и ESXi администратор имеет доступ к учетной записи vCenter Server [email protected] и корневой учетной записи ESXi. Администратору также может быть назначено больше пользователей и групп Windows Server Active Directory.
В развертывании Решение Azure VMware администратор не имеет доступа к учетной записи пользователя Администратор istrator или корневой учетной записи ESXi. Но администратор может назначать пользователей Windows Server Active Directory и группирования роли Cloud Администратор в vCenter Server. Роль Cloud Администратор не имеет разрешений на добавление источника удостоверений, например локального протокола доступа к каталогу (LDAP) или защищенного сервера LDAP (LDAPS) на сервер vCenter Server. Однако можно использовать команды Run для добавления источника удостоверений и назначения роли Cloud Администратор пользователям и группам.
Учетная запись пользователя в частном облаке не может получить доступ к определенным компонентам управления, которые корпорация Майкрософт поддерживает и управляет ими. Примерами являются кластеры, узлы, хранилища данных и распределенные виртуальные коммутаторы.
Примечание.
В Решение Azure VMware домен единого входа vsphere.local предоставляется в качестве управляемого ресурса для поддержки операций платформы. Вы не можете использовать его для создания локальных групп и пользователей, кроме тех, которые предоставляются по умолчанию в частном облаке.
Внимание
Решение Azure VMware предлагает пользовательские роли на сервере vCenter Server, но в настоящее время не предлагает их на портале Решение Azure VMware. Дополнительные сведения см . в разделе "Создание пользовательских ролей на сервере vCenter Server " далее в этой статье.
Просмотр привилегий vCenter Server
Выполните следующие действия, чтобы просмотреть привилегии, предоставленные роли Решение Azure VMware Cloud Администратор в Решение Azure VMware частном облаке vCenter.
Войдите в клиент vSphere и перейдите в Меню>Администрирование.
В разделе Контроль доступа выберите Роли.
В списке ролей выберите CloudAdmin и выберите Привилегии.
Роль Cloud Администратор в Решение Azure VMware имеет следующие привилегии на сервере vCenter Server. Дополнительные сведения см. в документации по продуктам VMware.
Право | Description |
---|---|
Оповещения | Подтверждение оповещение Создание оповещения Отключение действия оповещения Изменение оповещения Удаление оповещения Установка статуса оповещения |
Библиотека содержимого | Добавление элемента библиотеки Добавление корневого сертификата в хранилище доверия Проверка шаблона Ознакомьтесь с шаблоном Создание подписки для опубликованной библиотеки Создание локальной библиотеки Создание или удаление реестра Гавани Создание библиотеки с подпиской Создание, удаление или очистка проекта реестра Гавани Удаление элемента библиотеки Удаление локальной библиотеки Удаление корневого сертификата из хранилища доверия Удаление библиотеки с подпиской Удаление подписки опубликованной библиотеки Загрузка файлов Вытеснение элементов библиотеки Вытеснение библиотеки с подпиской Импорт хранилища Управление ресурсами реестра Гавани для указанного вычислительного ресурса Проба информации о подписке Публикация элемента библиотеки для ее подписчиков Публикация библиотеки для ее подписчиков Чтение из хранилища Синхронизация элемента библиотеки Синхронизация библиотеки с подпиской Самодиагностика типа Обновление параметров конфигурации Обновление файлов Обновление библиотеки Обновление элемента библиотеки Обновление локальной библиотеки Обновление библиотеки с подпиской Обновление подписки опубликованной библиотеки Просмотр параметров конфигурации |
Криптографические операции | Прямой доступ |
Datastore | Выделение места Обзор хранилища данных Настройка хранилища данных Низкоуровневые файловые операции Удаление файлов Обновление метаданных виртуальной машины |
Папка | Создать папку Удалить папку Переместить папку Переименовать папку |
Global | Отмена задачи Глобальный тег Работоспособность Регистрация событий в журнале Управление настраиваемыми атрибутами Диспетчеры служб Задание пользовательского атрибута Системный тег |
Узел | Репликация vSphere Управление репликацией |
Сеть | Assign network |
Разрешения | Изменение разрешений Изменение роли |
Управляемые профилем служба хранилища | Просмотр хранилища, управляемого профилем |
Ресурс | Применение рекомендации Назначение vApp пулу ресурсов Assign virtual machine to resource pool Создание пула ресурсов Миграция выключенной виртуальной машины Миграция включенной виртуальной машины Изменение пула ресурсов Перемещение пула ресурсов Запрос vMotion Удаление пула ресурсов Переименование пула ресурсов |
Запланированная задача | Создание задачи Изменение задачи Удаление задачи Запуск задачи |
Сеансы | Сообщение Проверка сеанса |
Просмотр хранилища | Представления |
vApp | Добавление виртуальной машины Назначение пула ресурсов Назначение vApp Клонировать Создание DELETE Экспорт Импорт Передвинуть Выключение питания Включение Переименовать Приостановить Unregister; Просмотр среды OVF Настройка приложения vApp Настройка экземпляра vApp Настройка managedBy для vApp Конфигурация ресурса vApp |
Виртуальная машина | Изменение конфигурации Получение аренды диска Добавление существующего диска Добавление нового диска Добавление или удаление устройства Расширенная конфигурация Изменение количества ЦП Изменение памяти Изменить параметры Изменение размещения файлов подкачки Изменение ресурса Настройка USB-устройства узла Настройка необработанного устройства Настройка managedBy Отображение настроек подключения Расширение виртуального диска изменение параметров устройства; Совместимость отказоустойчивости запросов Запрос бесхозных файлов Перезагрузить из путей Удаление диска Переименовать Сброс гостевой информации Задание аннотации Переключение отслеживания изменений диска Переключение родительской вилки Обновление совместимости виртуальной машины Изменение инвентаризации Создание из существующего создание Передвинуть Регистр Удалить Unregister; Гостевые операции Изменение псевдонима гостевой операции Запрос псевдонима гостевой операции Изменение гостевой операции Выполнение программы гостевой операции Запросы гостевой операции Взаимодействие Ответ на вопрос Резервное копирование операции на виртуальной машине Настройка CD в качестве носителя Настройка флоппи-диска в качестве носителя Подключить устройства Взаимодействие с консолью Создание снимка экрана Дефрагментация всех дисков Перетаскивание Управление гостевой операционной системой через API VIX Внедрение скан-кодов USB HID Установка средств VMware Пауза и возобновление Очистка или сжатие операций Выключение питания Включение Запись сеанса на виртуальной машине Воспроизведение сеанса на виртуальной машине Reset Возобновление отказоустойчивости Приостановить Приостановка отказоустойчивости Тестовая отработка отказа Тестовая перезагрузка вторичной виртуальной машины Отключение отказоустойчивости Включение отказоустойчивости Подготовка Разрешение доступа к диску Разрешение доступа к файлу Allow read-only disk access Разрешение загрузки для виртуальной машины Клонирование шаблона Клонирование виртуальной машины Создание шаблона из виртуальной машины Настройка гостя Развертывание шаблона Пометка в качестве шаблона Изменение спецификации настройки Повышение уровня дисков Чтение спецификаций настройки Конфигурация сервиса Разрешить уведомления Разрешение опроса уведомлений о глобальных событиях Управление конфигурацией службы Изменение конфигурации службы Запрос конфигураций службы Чтение конфигурации службы Управление моментальными снимками Создать моментальный снимок Удаление моментального снимка Переименование моментального снимка Восстановление моментального снимка Репликация vSphere Настройка репликации Управление репликацией Мониторинг репликации |
vService | Создание зависимости Удаление зависимости Перенастройка конфигурации зависимостей Обновление зависимости |
Разметка vSphere | Назначение и отмена назначения тега vSphere Создание тега vSphere Создание категории тегов vSphere Удаление тега vSphere Удаление категории тегов vSphere Изменение тега vSphere Изменение категории тегов vSphere Изменение поля UsedBy для категории Изменение поля UsedBy для тега |
Создание пользовательских ролей на сервере vCenter Server
Решение Azure VMware поддерживает использование пользовательских ролей с привилегиями, равными или меньшими, чем роль CloudAdmin. Используйте роль Cloud Администратор для создания, изменения или удаления пользовательских ролей с привилегиями меньше или равно их текущей роли.
Примечание.
Можно создавать роли с привилегиями выше, чем разрешения CloudAdmin. Однако вы не можете назначить роль каким-либо пользователям или группам или удалить эту роль. Роли, имеющие привилегии, превышающие облачные Администратор не поддерживаются.
Чтобы предотвратить создание ролей, которые не могут быть назначены или удалены, клонируйте роль CloudAdmin как основу для создания новых пользовательских ролей.
Создание пользовательской роли
Войдите на сервер vCenter Server [email protected] или пользователь с помощью роли Cloud Администратор.
Перейдите в раздел конфигурации Роли и выберите Меню>Администрирование>Управление доступом>Роли.
Выберите роль CloudAdmin и щелкните значок действия Клонировать роль.
Примечание.
Не клонируйте роль Администратор, так как ее нельзя использовать. Кроме того, пользовательская роль, созданная не может быть удалена [email protected].
Укажите имя для клонированной роли.
Удалите привилегии для роли и нажмите кнопку "ОК". Клонированная роль отображается в списке Роли.
Применение настраиваемой роли
Перейдите к объекту, для которого требуется добавленное разрешение. Например, чтобы применить разрешение к папке, перейдите в раздел Меню>Виртуальные машины и шаблоны>Имя папки.
Щелкните объект правой кнопкой мыши и выберите команду Добавить разрешение.
В раскрывающемся списке Пользователь, где можно найти группу или пользователя, выберите источник удостоверений.
Найдите пользователя или группу после выбора источника удостоверения в разделе Пользователь.
Выберите роль, которую хотите применить к пользователю или группе.
Примечание.
Попытка применить пользователя или группу к роли, которая имеет привилегии, превышающие значение Cloud Администратор приведет к ошибкам.
При необходимости установите флажок Распространить на дочерние элементы и нажмите кнопку OК. Добавленное разрешение отображается в разделе Разрешения.
Доступ и удостоверение диспетчера NSX VMware
При подготовке частного облака с помощью портал Azure компоненты управления программно-определяемым центром обработки данных (SDDC), такими как vCenter Server и VMware NSX Manager, подготавливаются для клиентов.
Корпорация Майкрософт отвечает за управление жизненным циклом (модуль) NSX, например VMware NSX Manager и (модуль) VMware NSX Edge. Они отвечают за загрузку конфигурации сети, например создание шлюза Уровня 0.
Вы несете ответственность за конфигурацию программно-определяемой сети VMware NSX (SDN), например:
- Сегменты сети
- Другие шлюзы уровня 1
- Правила распределенного брандмауэра
- Службы с отслеживанием состояния, такие как брандмауэр шлюза
- Подсистема балансировки нагрузки на шлюзах уровня 1
Вы можете получить доступ к VMware NSX Manager с помощью встроенного локального пользователя Cloudadmin, назначенного пользовательской роли, которая предоставляет пользователю ограниченные привилегии для управления VMware NSX. Хотя корпорация Майкрософт управляет жизненным циклом VMware NSX, некоторые операции не допускаются пользователем. Операции не допускаются, включая изменение конфигурации узлов и пограничных транспортных узлов или запуск обновления. Для новых пользователей Решение Azure VMware развертывает их с определенным набором разрешений, необходимых для этого пользователя. Цель состоит в том, чтобы обеспечить четкое разделение управления между конфигурацией уровня управления Решение Azure VMware и Решение Azure VMware пользователем частного облака.
Для новых развертываний частного облака доступ VMware NSX предоставляется встроенным локальным пользовательским cloudadmin, назначенным роли cloudadmin с определенным набором разрешений для использования функций VMware NSX для рабочих нагрузок.
Разрешения пользователя VMware NSX cloudadmin
Следующие разрешения назначаются пользователю cloudadmin в Решение Azure VMware NSX.
Примечание.
Пользователь VMware NSX cloudadmin на Решение Azure VMware не совпадает с упоминание пользователя Cloudadmin, упоминание в документации по продукту VMware. Следующие разрешения применяются к API политики NSX VMware. Функциональные возможности API диспетчера могут быть ограничены.
Категория | Тип | Операция | Разрешение |
---|---|---|---|
Сеть | Подключение | Шлюзы уровня 0 Шлюзы уровня 1 Segments |
Только для чтения Полный доступ Полный доступ |
Сеть | Сетевые службы | VPN NAT Балансировка нагрузки Политика пересылки Статистика |
Полный доступ Полный доступ Полный доступ Только для чтения Полный доступ |
Сеть | Управление IP-адресами | DNS DHCP Пулы IP-адресов |
Полный доступ Полный доступ Полный доступ |
Сеть | Профили | Полный доступ | |
Безопасность | Восточная западная безопасность | Распределенный брандмауэр Распределенные идентификаторы и IPS Брандмауэр удостоверений |
Полный доступ Полный доступ Полный доступ |
Безопасность | Северная южная безопасность | Брандмауэр шлюза Анализ URL-адресов |
Полный доступ Полный доступ |
Безопасность | Интроспекция сети | Только для чтения | |
Безопасность | Endpoint Protection | Только для чтения | |
Безопасность | Настройки | Полный доступ | |
Запасы | Полный доступ | ||
Устранение неполадок | IPFIX | Полный доступ | |
Устранение неполадок | Зеркалирование портов | Полный доступ | |
Устранение неполадок | Трассировка | Полный доступ | |
Системные | Настройка Настройки Настройки Настройки |
Брандмауэр удостоверений Пользователи и роли Управление сертификатами (только сертификат службы) Параметры пользовательского интерфейса |
Полный доступ Полный доступ Полный доступ Полный доступ |
Системные | Все остальные | Только для чтения |
Разрешения, предоставленные роли Решение Azure VMware cloudadmin, можно просмотреть в Решение Azure VMware частном облаке VMware NSX.
- Войдите в диспетчер NSX.
- Перейдите к системам и найдите пользователей и ролей.
- Выберите и разверните роль cloudadmin, найденную в разделе "Роли".
- Выберите категорию, например сеть или безопасность, чтобы просмотреть определенные разрешения.
Примечание.
Частные облака, созданные до июня 2022 г ., переключятся с роли администратора на роль cloudadmin . Вы получите уведомление через службу работоспособности служб Azure, включающую временная шкала этого изменения, чтобы можно было изменить учетные данные NSX, которые вы использовали для другой интеграции.
Интеграция LDAP NSX для управления доступом на основе ролей (RBAC)
В развертывании Решение Azure VMware VMware NSX можно интегрировать с внешней службой каталогов LDAP, чтобы добавить пользователей или группу удаленных каталогов и назначить им роль VMware NSX RBAC, например локальное развертывание. Дополнительные сведения о включении интеграции LDAP VMware NSX см. в документации по продукту VMware.
В отличие от локального развертывания, не все предопределенные роли NSX RBAC поддерживаются с решением Azure VMware, чтобы обеспечить Решение Azure VMware управление конфигурацией уровня управления IaaS отдельно от конфигурации сети клиента и безопасности. Дополнительные сведения см. в следующем разделе: поддерживаемые роли NSX RBAC.
Примечание.
Интеграция LDAP VMware NSX поддерживается только с пользователем VMware NSX "cloudadmin".
Поддерживаемые и неподдерживаемые роли NSX RBAC
В развертывании Решение Azure VMware следующие предопределенные роли RBAC VMware NSX поддерживаются с интеграцией LDAP:
- Аудитор
- Cloudadmin
- Администратор LB
- Оператор LB
- АДМИНИСТРАТОР VPN
- Оператор сети
В развертывании Решение Azure VMware следующие предопределенные роли RBAC VMware NSX не поддерживаются с интеграцией LDAP:
- Администратор организации
- Сетевая Администратор
- администратор безопасности;
- Администратор партнера NetX
- Администратор партнера GI
Вы можете создавать пользовательские роли в NSX с разрешениями меньше или равно облачным Администратор роли, созданной корпорацией Майкрософт. Ниже приведены примеры создания поддерживаемой роли "Сетевая Администратор" и "Безопасность Администратор".
Примечание.
Создание пользовательской роли завершится ошибкой, если вы назначите разрешение, запрещенное cloud Администратор роли.
Создание роли "Администратор сети AVS"
Чтобы создать эту настраиваемую роль, выполните следующие действия.
Перейдите к системным>пользователям и ролям.>
Клонируйте сеть Администратор и укажите имя, AVS Network Администратор.
Измените следующие разрешения на "Только чтение" или "Нет", как показано в столбце разрешений в следующей таблице.
Категория Подкатегории Функция Разрешение Сеть Подключение
Сетевые службыШлюзы уровня 0
Шлюзы > уровня 0 OSPF
Политика пересылкиТолько для чтения
нет
нетПримените изменения и сохраните роль.
Создание роли "Администратор безопасности AVS"
Чтобы создать эту настраиваемую роль, выполните следующие действия.
Перейдите к системным>пользователям и ролям.>
Клонируйте Администратор безопасности и укажите имя AVS Security Администратор.
Измените следующие разрешения на "Только чтение" или "Нет", как показано в столбце разрешений в следующей таблице.
Категория | Подкатегории | Функция | Разрешение |
---|---|---|---|
Сеть | Сетевые службы | Политика пересылки | нет |
Безопасность |
Интроспекция сети Endpoint Protection Настройки |
Профили служб |
нет None нет |
- Примените изменения и сохраните роль.
Примечание.
Параметр конфигурации AD брандмауэра удостоверений системы>NSX VMware не поддерживается настраиваемой ролью NSX. Рекомендуется назначить пользователю роль оператора безопасности с настраиваемой ролью, чтобы разрешить управление функцией брандмауэра удостоверений (IDFW) для этого пользователя.
Примечание.
Функция трассировки NSX VMware не поддерживается пользовательской ролью VMware NSX. Рекомендуется назначить роль аудитора пользователю вместе с пользовательской ролью, чтобы включить функцию Traceflow для этого пользователя.
Примечание.
Интеграция VMware Aria Operations Automation с компонентом NSX Решение Azure VMware требует добавления роли аудитора пользователю с ролью NSX Manager cloudadmin.
Следующие шаги
Теперь, когда вы получили общие сведения об удостоверениях в Решении Azure VMware, можно почитать следующие разделы.