مفاهيم هوية Azure VMware Solution

يتم توفير السحب الخاصة ل Azure VMware Solution مع خادم vCenter ومدير NSX. يمكنك استخدام خادم vCenter لإدارة أحمال عمل الجهاز الظاهري (VM) وإدارة NSX لإدارة السحابة الخاصة وتوسيعها. يتم استخدام دور Cloud مسؤول لخادم vCenter ويتم استخدام دور Cloud مسؤول (بأذونات مقيدة) ل NSX Manager.

الوصول إلى خادم vCenter والهوية

في Azure VMware Solution، يحتوي خادم VMware vCenter على حساب مستخدم محلي مضمن يسمى Cloud مسؤول تم تعيينه لدور Cloud مسؤول. يمكنك تكوين المستخدمين والمجموعات في Windows Server Active Directory باستخدام دور Cloud مسؤول للسحابة الخاصة بك. بشكل عام، يقوم دور Cloud مسؤول بإنشاء وإدارة أحمال العمل في السحابة الخاصة بك. ولكن في Azure VMware Solution، يحتوي دور Cloud مسؤول على امتيازات خادم vCenter تختلف عن حلول سحابة VMware الأخرى والنشرات المحلية.

هام

يجب استخدام حساب مستخدم Cloud مسؤول المحلي كحساب وصول في حالات الطوارئ لسيناريوهات "break glass" في السحابة الخاصة بك. لا يقصد استخدامه للأنشطة الإدارية اليومية أو للتكامل مع الخدمات الأخرى.

• في نشر vCenter Server وESXi المحلي، يمكن للمسؤول الوصول إلى حساب خادم vCenter administrator@vsphere.local وحساب جذر ESXi. قد يتم تعيين المسؤول أيضا إلى المزيد من مستخدمي Windows Server Active Directory ومجموعاته.

• في توزيع Azure VMware Solution، لا يملك المسؤول حق الوصول إلى حساب مستخدم مسؤول istrator أو حساب جذر ESXi. ولكن يمكن للمسؤول تعيين مستخدمي Windows Server Active Directory ومجموعات دور Cloud مسؤول في vCenter Server. لا يملك دور Cloud مسؤول أذونات لإضافة مصدر هوية مثل خادم البروتوكول الخفيف لتغيير بيانات الدليل (LDAP) أو خادم LDAP الآمن (LDAPS) إلى خادم vCenter. ومع ذلك، يمكنك استخدام أوامر التشغيل لإضافة مصدر هوية وتعيين دور Cloud مسؤول للمستخدمين والمجموعات.

لا يمكن لحساب مستخدم في سحابة خاصة الوصول إلى مكونات إدارة معينة تدعمها Microsoft وتديرها أو تديرها. تتضمن الأمثلة المجموعات والمضيفين ومخازن البيانات ومفاتيح التبديل الظاهرية الموزعة.

إشعار

في Azure VMware Solution، يتم توفير مجال تسجيل الدخول الأحادي vsphere.local (SSO) كمورد مدار لدعم عمليات النظام الأساسي. لا يمكنك استخدامه لإنشاء أو إدارة المجموعات المحلية والمستخدمين باستثناء المجموعات التي يتم توفيرها بشكل افتراضي مع السحابة الخاصة بك.

هام

يقدم Azure VMware Solution أدوارا مخصصة على خادم vCenter ولكنه لا يقدمها حاليا على مدخل Azure VMware Solution. لمزيد من المعلومات، راجع قسم إنشاء أدوار مخصصة على خادم vCenter لاحقا في هذه المقالة.

عرض امتيازات خادم vCenter

استخدم الخطوات التالية لعرض الامتيازات الممنوحة لدور Azure VMware Solution Cloud مسؤول على سحابة Azure VMware Solution الخاصة vCenter.

1. سجل الدخول إلى vSphere Client وانتقل إلى Menu> مسؤول istration.

2. ضمن التحكم بالوصول، حدد الأدوار.

3. من قائمة الأدوار، حدد Cloud مسؤول ثم حدد Privileges.

   

يتمتع دور Cloud مسؤول في Azure VMware Solution بالامتيازات التالية على خادم vCenter. لمزيد من المعلومات، راجع وثائق منتج VMware.

الامتياز	‏‏الوصف
انذارات	الموافقة على التنبيه إنشاء منبه تعطيل إجراء المنبه تعديل المنبه إزالة المنبه تعيين حالة المنبه
مكتبة المحتويات	إضافة عنصر مكتبة إضافة شهادة الجذر إلى مخزن الثقة إيداع قالب سحب قالب إنشاء اشتراك لمكتبة منشورة إنشاء مكتبة محلية إنشاء سجل Harbor أو حذفه إنشاء مكتبة مشترك إنشاء مشروع سجل Harbor أو حذفه أو إزالته حذف عنصر المكتبة حذف المكتبة المحلية حذف شهادة الجذر من مخزن الثقة حذف المكتبة المشتركة حذف اشتراك مكتبة منشورة تحميل الملفات إخلاء عناصر المكتبة استرداد المكتبة المشتركة استيراد التخزين إدارة موارد سجل Harbor على مورد حساب محدد فحص معلومات الاشتراك نشر عنصر مكتبة لمشتركيها نشر مكتبة لمشتركيها قراءة التخزين مزامنة عنصر المكتبة مزامنة المكتبة المشتركة استبطان النوع تحديث إعدادات التكوين حدث الملفات تحديث المكتبة تحديث عنصر المكتبة تحديث المكتبة المحلية تحديث المكتبة المشتركة تحديث اشتراك مكتبة منشورة عرض إعدادات التكوين
عمليات التشفير	الوصول المباشر
مخزن بيانات	تخصيص مساحة استعراض مخزن البيانات تكوين مخزن البيانات عمليات الملفات منخفضة المستوى إزالة الملفات تحديث بيانات تعريف الجهاز الظاهري
المجلد	إنشاء مجلد حذف مجلد نقل المجلد إعادة تسمية المجلد
العالميه	إلغاء المهمة علامة عمومية الصحة حدث السجل إدارة السمات المخصصة مديرو الخدمة تعيين سمة مخصصة علامة النظام
المضيف	النسخ المتماثل vSphere     إدارة النسخ المتماثل
الشبكه	تعيين شبكة
الأذونات	تعديل الأذونات تعديل الدور
التخزين المستند إلى ملف التعريف	طريقة عرض التخزين المستندة إلى ملف التعريف
المورد	تطبيق التوصية تعيين vApp إلى تجمع الموارد تعيين الجهاز الظاهري إلى تجمع الموارد إنشاء تجمع موارد ترحيل الجهاز الظاهري الذي تم تشغيله الترحيل الذي يتم تشغيله على الجهاز الظاهري تعديل تجمع الموارد نقل تجمع الموارد الاستعلام عن vMotion إزالة تجمع الموارد إعادة تسمية تجمع الموارد
مهمة مجدولة	إنشاء مهمة تعديل المهمة إزالة المهمة تشغيل المهمة
جلسات العمل	رسالة التحقق من صحة جلسة العمل
طريقة عرض التخزين	العرض
vApp	إضافة جهاز ظاهري تعيين تجمع الموارد تعيين vApp استنساخ إنشاء حذف تصدير استيراد نقل إيقاف تشغيل الطاقة تشغيل الطاقة إعادة تسمية تعليق تسجيل عرض بيئة OVF تكوين تطبيق vApp تكوين مثيل vApp تكوين vApp المدار بواسطة تكوين مورد vApp
الجهاز الظاهري	تغيير التكوين     الحصول على تأجير القرص     إضافة قرص موجود     إضافة قرص جديد     إضافة جهاز أو إزالته     تكوين متقدم     تغيير عدد وحدات المعالجة المركزية     تغيير الذاكرة     تغيير الإعدادات     تغيير موضع ملف التبديل     تغيير المورد     تكوين جهاز USB المضيف     تكوين الجهاز الخام     تكوين managedBy     عرض إعدادات الاتصال     توسيع القرص الظاهري     تعديل إعدادات الجهاز     توافق التسامح مع خطأ الاستعلام     الاستعلام عن الملفات غير المكلفة     إعادة التحميل من المسارات     إزالة القرص     إعادة تسمية     إعادة تعيين معلومات الضيف     تعيين تعليق توضيحي     تبديل تعقب تغيير القرص     تبديل أصل التشعب     ترقية توافق الجهاز الظاهري تحرير المخزون     إنشاء من موجود     إنشاء و الجديدة في     نقل     تسجيل     إزالة     تسجيل عمليات الضيف     تعديل الاسم المستعار لعملية الضيف     استعلام الاسم المستعار لعملية الضيف     تعديلات عملية الضيف     تنفيذ برنامج عملية الضيف     استعلامات عملية الضيف التفاعل     الإجابة على السؤال     عملية النسخ الاحتياطي على الجهاز الظاهري     تكوين وسائط CD     تكوين الوسائط المرنة     أجهزة الاتصال     تفاعل وحدة التحكم     إنشاء لقطة شاشة     إلغاء تجزئة جميع الأقراص     السحب والإفلات     إدارة نظام التشغيل الضيف بواسطة واجهة برمجة تطبيقات VIX     إدخال رموز فحص USB HID     تثبيت أدوات VMware     إيقاف مؤقت أو إلغاء الإيقاف المؤقت     مسح العمليات أو تقليصها     إيقاف تشغيل الطاقة     تشغيل الطاقة     تسجيل جلسة العمل على الجهاز الظاهري     إعادة تشغيل جلسة العمل على الجهاز الظاهري     Reset     استئناف التسامح مع الخطأ     تعليق     تعليق التسامح مع الخطأ     تجاوز الفشل التجريبي     اختبار إعادة تشغيل الجهاز الظاهري الثانوي     إيقاف تشغيل التسامح مع الخطأ     تشغيل التسامح مع الخطأ التزويد     السماح بالوصول إلى القرص     السماح بالوصول إلى الملفات     السماح بالوصول إلى القرص للقراءة فقط     السماح بتنزيل الجهاز الظاهري     استنساخ القالب     استنساخ الجهاز الظاهري     إنشاء قالب من الجهاز الظاهري     تخصيص الضيف     نشر القالب     وضع علامة كقالب     تعديل مواصفات التخصيص     ترقية الأقراص     قراءة مواصفات التخصيص تكوين الخدمة     السماح بالإعلامات     السماح باستطلاع إعلامات الأحداث العمومية     إدارة تكوين الخدمة     تعديل تكوين الخدمة     تكوينات خدمة الاستعلام     قراءة تكوين الخدمة إدارة اللقطات     إنشاء لقطة     إزالة اللقطة     إعادة تسمية اللقطة     إرجاع اللقطة النسخ المتماثل vSphere     تكوين النسخ المتماثل     إدارة النسخ المتماثل     مراقبة النسخ المتماثل
vService	إنشاء تبعية تدمير التبعية إعادة تكوين تكوين التبعية تحديث التبعية
وضع علامات على vSphere	تعيين علامة vSphere وإلغاء تعيينها إنشاء علامة vSphere إنشاء فئة علامة vSphere حذف علامة vSphere حذف فئة علامة vSphere تحرير علامة vSphere تحرير فئة علامة vSphere تعديل الحقل UsedBy للفئة تعديل الحقل UsedBy للعلامة

إنشاء أدوار مخصصة على خادم vCenter

يدعم Azure VMware Solution استخدام الأدوار المخصصة ذات الامتيازات المتساوية أو الأقل من دور Cloud مسؤول. استخدم دور Cloud مسؤول لإنشاء أدوار مخصصة أو تعديلها أو حذفها بامتيازات أقل من أو تساوي دورها الحالي.

إشعار

يمكنك إنشاء أدوار بامتيازات أكبر من Cloud مسؤول. ومع ذلك، لا يمكنك تعيين الدور لأي مستخدمين أو مجموعات أو حذف الدور. الأدوار التي لها امتيازات أكبر من تلك الخاصة بالسحابة مسؤول غير مدعومة.

لمنع إنشاء أدوار لا يمكن تعيينها أو حذفها، انسخ دور Cloud مسؤول كأساس لإنشاء أدوار مخصصة جديدة.

إنشاء دور مخصص

1. سجل الدخول إلى خادم vCenter باستخدام cloudadmin@vsphere.local أو مستخدم مع دور Cloud مسؤول.

2. انتقل إلى قسم Roles configuration وحدد Menu> مسؤول istration>Access Control>Roles.

3. حدد دور Cloud مسؤول وحدد رمز إجراء Clone role.

   إشعار

   لا تنسخ دور مسؤول istrator لأنه لا يمكنك استخدامه. أيضا، لا يمكن حذف الدور المخصص الذي تم إنشاؤه بواسطة cloudadmin@vsphere.local.

4. قم بتوفير الاسم الذي تريده للدور المستنسخ.

5. قم بإزالة امتيازات الدور وحدد موافق. الدور المستنسخ مرئي في قائمة الأدوار .

تطبيق دور مخصص

1. انتقل إلى الكائن الذي يتطلب الإذن المضاف. على سبيل المثال، لتطبيق الإذن على مجلد، انتقل إلى قائمة>الأجهزة الظاهرية واسم مجلد القوالب.>

2. انقر بزر الماوس الأيمن فوق الكائن وحدد إضافة إذن.

3. حدد مصدر الهوية في القائمة المنسدلة المستخدم حيث يمكن العثور على المجموعة أو المستخدم.

4. ابحث عن المستخدم أو المجموعة بعد تحديد مصدر الهوية ضمن قسم المستخدم .

5. حدد الدور الذي تريد تطبيقه على المستخدم أو المجموعة.

   إشعار

   ستؤدي محاولة تطبيق مستخدم أو مجموعة على دور له امتيازات أكبر من امتيازات السحابة مسؤول إلى حدوث أخطاء.

6. تحقق من النشر إلى الأطفال إذا لزم الأمر، وحدد موافق. يظهر الإذن المضاف في قسم الأذونات.

الوصول إلى VMware NSX Manager والهوية

عند توفير سحابة خاصة باستخدام مدخل Microsoft Azure، يتم توفير مكونات إدارة مركز البيانات (SDDC) المعرفة بالبرامج مثل vCenter Server وVMware NSX Manager للعملاء.

تتحمل Microsoft مسؤولية إدارة دورة حياة أجهزة NSX مثل VMware NSX Manager وأجهزة VMware NSX Edge. إنهم مسؤولون عن تكوين شبكة تمهيد التشغيل، مثل إنشاء بوابة Tier-0.

أنت مسؤول عن تكوين شبكة VMware NSX المعرفة بالبرامج (SDN)، على سبيل المثال:

• قطع الشبكة
• بوابات المستوى 1 الأخرى
• قواعد جدار الحماية الموزعة
• الخدمات ذات الحالة مثل جدار حماية البوابة
• موازن التحميل على بوابات المستوى 1

يمكنك الوصول إلى VMware NSX Manager باستخدام المستخدم المحلي المضمن "cloudadmin" المعين لدور مخصص يمنح امتيازات محدودة للمستخدم لإدارة VMware NSX. بينما تدير Microsoft دورة حياة VMware NSX، لا يسمح المستخدم بعمليات معينة. تتضمن العمليات غير المسموح بها تحرير تكوين عقد نقل المضيف والحافة أو بدء ترقية. بالنسبة للمستخدمين الجدد، يقوم Azure VMware Solution بنشرهم بمجموعة محددة من الأذونات التي يحتاجها هذا المستخدم. الغرض من ذلك هو توفير فصل واضح للتحكم بين تكوين وحدة التحكم في Azure VMware Solution ومستخدم السحابة الخاصة ل Azure VMware Solution.

بالنسبة إلى عمليات النشر السحابية الخاصة الجديدة، يتم توفير الوصول إلى VMware NSX مع cloudadmin مستخدم محلي مضمن تم تعيينه إلى دور cloudadmin مع مجموعة محددة من الأذونات لاستخدام وظيفة VMware NSX لأحمال العمل.

أذونات مستخدم VMware NSX cloudadmin

يتم تعيين الأذونات التالية إلى مستخدم cloudadmin في Azure VMware Solution NSX.

إشعار

مستخدم VMware NSX cloudadmin على Azure VMware Solution ليس هو نفسه مستخدم cloudadmin المذكور في وثائق منتج VMware. تنطبق الأذونات التالية على واجهة برمجة تطبيقات نهج VMware NSX. قد تكون وظيفة واجهة برمجة تطبيقات المدير محدودة.

الفئة	نوع	العملية	الإذن
الشبكات	قابلية التوصيل	بوابات من المستوى 0 بوابات المستوى 1 Segments	للقراءة فقط الوصول الكامل الوصول الكامل
الشبكات	خدمات الشبكة	الشبكة الخاصة الظاهرية (VPN) ترجمة عناوين الشبكة (NAT) موازنة التحميل نهج إعادة التوجيه الإحصائيات	الوصول الكامل الوصول الكامل الوصول الكامل للقراءة فقط الوصول الكامل
الشبكات	إدارة IP	DNS DHCP تجمعات عناوين IP	الوصول الكامل الوصول الكامل الوصول الكامل
الشبكات	ملفات التعريف		الوصول الكامل
الأمان	أمن شرق الغرب	جدار الحماية الموزع معرفات موزعة وIPS جدار حماية الهوية	الوصول الكامل الوصول الكامل الوصول الكامل
الأمان	أمن الشمال الجنوبي	جدار حماية البوابة تحليل URL	الوصول الكامل الوصول الكامل
الأمان	استبطان الشبكة		للقراءة فقط
الأمان	حماية نقطة النهاية		للقراءة فقط
الأمان	إعدادات		الوصول الكامل
مخزون			الوصول الكامل
استكشاف الأخطاء وإصلاحها	IPFIX		الوصول الكامل
استكشاف الأخطاء وإصلاحها	النسخ المتطابق للمنفذ		الوصول الكامل
استكشاف الأخطاء وإصلاحها	تدفق التتبع		الوصول الكامل
النظام	التكوين إعدادات‬ إعدادات‬ إعدادات‬	جدار حماية الهوية المستخدمون والأدوار إدارة الشهادات (شهادة الخدمة فقط) الإعدادات واجهة المستخدم	الوصول الكامل الوصول الكامل الوصول الكامل الوصول الكامل
النظام	جميع البقية		للقراءة فقط

يمكنك عرض الأذونات الممنوحة لدور Azure VMware Solution cloudadmin على سحابة Azure VMware Solution الخاصة VMware NSX.

1. سجل الدخول إلى NSX Manager.
2. انتقل إلى الأنظمة وحدد موقع المستخدمين والأدوار.
3. حدد دور cloudadmin ووسعه، الموجود ضمن Roles.
4. حدد فئة مثل الشبكات أو الأمان لعرض الأذونات المحددة.

إشعار

ستتحول السحب الخاصة التي تم إنشاؤها قبل يونيو 2022 من دور المسؤول إلى دور cloudadmin . ستتلقى إعلاما من خلال Azure Service Health يتضمن المخطط الزمني لهذا التغيير حتى تتمكن من تغيير بيانات اعتماد NSX التي استخدمتها للتكامل الآخر.

تكامل NSX LDAP للتحكم في الوصول المستند إلى الدور (RBAC)

في نشر Azure VMware Solution، يمكن دمج VMware NSX مع خدمة دليل LDAP الخارجية لإضافة مستخدمي الدليل البعيد أو المجموعة، وتعيين دور VMware NSX RBAC لهم، مثل النشر المحلي. لمزيد من المعلومات حول كيفية تمكين تكامل VMware NSX LDAP، راجع وثائق منتج VMware.

على عكس النشر المحلي، لا يتم دعم جميع أدوار NSX RBAC المعرفة مسبقا مع حل Azure VMware للحفاظ على إدارة تكوين وحدة التحكم في Azure VMware Solution IaaS منفصلة عن شبكة المستأجر وتكوين الأمان. لمزيد من المعلومات، راجع القسم التالي، أدوار NSX RBAC المدعومة.

إشعار

يتم دعم تكامل VMware NSX LDAP فقط مع SDDC مع مستخدم VMware NSX "cloudadmin".

أدوار NSX RBAC المدعومة وغير المدعومة

في توزيع Azure VMware Solution، يتم دعم أدوار VMware NSX RBAC المعرفة مسبقا مع تكامل LDAP:

• المدقق
• مسؤول السحابة
• مسؤول LB
• عامل تشغيل LB
• مسؤول VPN
• عامل تشغيل الشبكة

في نشر Azure VMware Solution، لا يتم دعم أدوار RBAC المحددة مسبقا ل VMware NSX التالية مع تكامل LDAP:

• مسؤول المؤسسة
• مسؤول الشبكة
• مسؤول الأمان
• مسؤول شريك NetX
• مسؤول شريك GI

يمكنك إنشاء أدوار مخصصة في NSX بأذونات أقل من أو تساوي Cloud مسؤول الدور الذي أنشأته Microsoft. فيما يلي أمثلة حول كيفية إنشاء دور "مسؤول الشبكة" و"مسؤول الأمان" المدعوم.

إشعار

سيفشل إنشاء دور مخصص إذا قمت بتعيين إذن غير مسموح به من قبل Cloud مسؤول الدور.

إنشاء دور "AVS network admin"

استخدم الخطوات التالية لإنشاء هذا الدور المخصص.

1. انتقل إلى System>Users and Roles>Roles.

2. استنساخ مسؤول الشبكة وتوفير الاسم، AVS Network مسؤول.

3. قم بتعديل الأذونات التالية إلى "للقراءة فقط" أو "بلا" كما يظهر في عمود الإذن في الجدول التالي.

   فئة	فئة فرعية	ميزة	الإذن
   الشبكات	قابلية التوصيل خدمات الشبكة	بوابات من المستوى 0 بوابات > الطبقة 0 OSPF نهج إعادة التوجيه	للقراءة فقط بلا بلا

4. تطبيق التغييرات وحفظ الدور.

إنشاء دور "AVS security admin"

استخدم الخطوات التالية لإنشاء هذا الدور المخصص.

1. انتقل إلى System>Users and Roles>Roles.

2. استنساخ مسؤول الأمان وتوفير الاسم، "مسؤول أمان AVS".

3. قم بتعديل الأذونات التالية إلى "للقراءة فقط" أو "بلا" كما يظهر في عمود الإذن في الجدول التالي.

فئة	فئة فرعية	ميزة	الإذن
الشبكات	خدمات الشبكة	نهج إعادة التوجيه	بلا
الأمان	استبطان الشبكة حماية نقطة النهاية إعدادات	ملفات تعريف الخدمة	بلا None بلا

4. تطبيق التغييرات وحفظ الدور.

إشعار

لا يدعم الدور المخصص NSX خيار تكوين VMware NSX System>Identity Firewall AD. التوصية هي تعيين دور عامل تشغيل الأمان للمستخدم الذي له الدور المخصص للسماح بإدارة ميزة جدار حماية الهوية (IDFW) لهذا المستخدم.

إشعار

لا يدعم الدور المخصص VMware NSX Traceflow ميزة VMware NSX. التوصية هي تعيين دور المدقق للمستخدم جنبا إلى جنب مع الدور المخصص لتمكين ميزة Traceflow لهذا المستخدم.

إشعار

يتطلب تكامل VMware Aria Operations Automation مع مكون NSX ل Azure VMware Solution إضافة دور "المدقق" إلى المستخدم مع دور NSX Manager cloudadmin.

الخطوات التالية

الآن بعد أن قمت بتغطية مفاهيم الوصول إلى Azure VMware Solution والهوية، قد تحتاج إلى التعرف على:

• كيفية تكوين مصدر هوية خارجي ل vCenter

• كيفية تمكين مورد Azure VMware Solution

• تفاصيل كل امتياز

• كيف يراقب Azure VMware Solution السحابات الخاصة ويصلحها