Azure VMware Solution konceptů identit
Azure VMware Solution privátní cloudy jsou zřízené s vCenter Server a NSX-T Manager. Pomocí serveru vCenter budete spravovat úlohy virtuálních počítačů a NSX-T Manager spravovat a rozšiřovat privátní cloud. Role Správce cloudu se používá pro vCenter a omezená práva správce pro NSX-T Manager.
Přístup a identita vCenter
V řešení Azure VMware má vCenter integrovaný místní uživatel s názvem cloudadmin přiřazený k roli cloudadmin. Můžete nakonfigurovat uživatele a skupiny ve službě Active Directory (AD) s rolí CloudAdmin pro váš privátní cloud. Obecně platí, že role CloudAdmin vytváří a spravuje úlohy v privátním cloudu. Ale v řešení Azure VMware má role CloudAdmin oprávnění vCenter, která se liší od jiných cloudových řešení VMware a místních nasazení.
Důležité
Místní uživatel cloudadmin by měl být považován za účet pro nouzový přístup pro scénáře "break sklo" v privátním cloudu. Nejedná se o každodenní administrativní činnosti nebo integraci s dalšími službami.
V případě místního nasazení vCenter a ESXi má správce přístup k @ místnímu účtu správce vCenter vSphere. Můžou mít taky přiřazené víc uživatelů a skupin služby AD.
V nasazení řešení Azure VMware nemá správce přístup k uživatelskému účtu správce. Můžou ale k roli CloudAdmin v vCenter přiřadit uživatele a skupiny AD. Role CloudAdmin nemá oprávnění přidat zdroj identity, jako je místní server LDAP nebo LDAPs do vCenter. Můžete ale použít příkazy spustit k přidání zdroje identity a přiřazení role cloudadmin uživatelům a skupinám.
Uživatel privátního cloudu nemá přístup ke službě a nemůže konfigurovat konkrétní součásti pro správu, které Microsoft podporuje a spravuje. Například clustery, hostitelé, úložiště dat a distribuované virtuální přepínače.
Poznámka
V řešení Azure VMware je k dispozici jako spravovaný prostředek pro podporu operací platformy vSphere. Local SSO doména. Nepodporuje vytváření a správu místních skupin a uživatelů kromě těch, které jsou ve výchozím nastavení k dispozici ve vašem privátním cloudu.
Důležité
Azure VMware Solution nabízí vlastní role ve vCenter, ale v současné době je nenabízí na Azure VMware Solution Portal. Další informace najdete v části Vytváření vlastních rolí na serveru vCenter dále v tomto článku.
Zobrazení oprávnění vCenter
Můžete zobrazit oprávnění udělená roli správce cloudu Azure VMware Solution cloud ve vašem Azure VMware Solution vCenter privátního cloudu.
Přihlaste se ke klientovi vSphere a přejděte na Menu Administration (Správa > nabídky).
V Access Control vyberte Role.
V seznamu rolí vyberte CloudAdmin a pak vyberte Oprávnění.
Role CloudAdmin v Azure VMware Solution má následující oprávnění ve vCenter. Další informace najdete v dokumentaci k produktu VMware.
| Privilege | Description |
|---|---|
| Upozornění | Potvrzení upozornění Vytvoření alarmu Zakázat akci alarmu Úprava alarmu Odebrání alarmu Nastavení stavu alarmu |
| Knihovna obsahu | Přidání položky knihovny Vytvoření předplatného pro publikovanou knihovnu Vytvoření místní knihovny Vytvoření odebírané knihovny Odstranění položky knihovny Odstranění místní knihovny Odstranění odebírané knihovny Odstranění předplatného publikované knihovny Stažení souborů Vyřazení položek knihovny Vyřazení odebírané knihovny Import úložiště Informace o předplatném sondy Publikování položky knihovny pro předplatitele Publikování knihovny pro předplatitele Úložiště pro čtení Položka knihovny synchronizace Synchronizace odebírané knihovny Introspekce typu Aktualizace nastavení konfigurace Aktualizace souborů Aktualizace knihovny Aktualizace položky knihovny Aktualizace místní knihovny Aktualizace odebírané knihovny Aktualizace předplatného publikované knihovny Zobrazení nastavení konfigurace |
| Kryptografické operace | Přímý přístup |
| Úložiště dat | Přidělení místa Procházení úložiště dat Konfigurace úložiště dat Operace se souborem nízké úrovně Odebrání souborů Aktualizace metadat virtuálního počítače |
| Složka | Vytvoření složky Odstranění složky Přesunutí složky Přejmenování složky |
| Globální | Zrušit úlohu Globální značka Zdravotnictví Událost protokolu Správa vlastních atributů Správci služeb Nastavení vlastního atributu Systémová značka |
| Hostitel | Replikace vSphere správa replikace |
| Síť | Přiřazení sítě |
| Oprávnění | Úprava oprávnění Úprava role |
| Profil | Zobrazení úložiště řízeného profilem |
| Prostředek | Použití doporučení Přiřazení vApp k fondu zdrojů Přiřazení virtuálního počítače k fondu zdrojů Vytvoření fondu zdrojů Migrace vypnutého virtuálního počítače Migrace zapnutého virtuálního počítače Úprava fondu zdrojů Přesunutí fondu zdrojů Dotazování vMotion Odebrání fondu zdrojů Přejmenování fondu zdrojů |
| Naplánovaná úloha | Vytvořit úlohu Upravit úlohu Odebrat úlohu Spustit úlohu |
| Relace | Zpráva Ověřit relaci |
| zobrazení Storage | Zobrazení |
| vApp | Přidat virtuální počítač Přiřadit fond zdrojů Přiřadit vApp Klonování Vytvořit Odstranit Export Import Přesunout Napájení vypnuto Zapnout přejmenování Suspend Zrušit registraci Zobrazit prostředí OVF Konfigurace aplikace vApp konfigurace instance vApp Konfigurace vApp managedBy Konfigurace prostředků vApp |
| Virtuální počítač | Změnit konfiguraci získání zapůjčení disku přidat existující disk přidat nový disk přidat nebo odebrat zařízení Pokročilá konfigurace Změna počtu PROCESORů změnit paměť změnit nastavení změnit umístění swapfile Prostředek změny Konfigurace hostitelského zařízení USB konfigurace nezpracovaného zařízení konfigurace managedBy zobrazení nastavení připojení – zvětšit virtuální disk upravit nastavení zařízení Kompatibilita dotazů na odolnost proti chybám nevlastněných souborů dotazů Opětovné načtení z cest odebrat disk Přejmenování resetovat informace o hostovi nastavit poznámku přepínání sledování změn disků Přepínací tlačítko pro rozvětvení upgrade kompatibility virtuálních počítačů Upravit inventář vytvořit z existujícího vytvořit nový přesun registraci odebrat zrušit registraci Operace hosta úpravy aliasu operace hosta dotaz na alias operace hosta úpravy operací hosta provádění programu operace hosta dotazy na operace hosta Interakce Odpověď na otázku operaci zálohování na virtuálním počítači nakonfigurovat médium CD konfigurace disketových médií Připojení zařízení Interakce konzoly Vytvoření snímku obrazovky defragmentovat všechny disky přetahování správu hostovaného operačního systému pomocí rozhraní API pro VIX vložení kódů kontroly USB HID instalaci nástrojů VMware Pozastavení nebo zastavení operace vymazání nebo zmenšení Vypínání zapnutí relace záznamu na virtuálním počítači relace přehrání na virtuálním počítači Pozastavení pozastavit odolnost proti chybám testovací převzetí služeb při selhání sekundární virtuální počítač pro restartování testu vypnout odolnost proti chybám zapnout odolnost proti chybám Zřizování povolení přístupu k disku povolení přístupu k souborům povolí přístup k disku jen pro čtení. povolení stahování virtuálního počítače šablonu klonování klonovat virtuální počítač vytvořit šablonu z virtuálního počítače přizpůsobení hosta nasazení šablony označit jako šablonu upravit specifikaci přizpůsobení zvýšit úroveň disků čtení – specifikace přizpůsobení Konfigurace služeb povolení oznámení povolení cyklického dotazování na globální oznamování událostí spravovat konfiguraci služby upravit konfiguraci služby Konfigurace služby dotazů Konfigurace služby čtení Správa snímků vytvoření snímku odebrat snímek přejmenovat snímek vrátit snímek vSphere replikace konfiguraci replikace spravovat replikaci monitorování replikace |
| vService | Vytvořit závislost Zničit závislost Překonfigurujte konfiguraci závislostí. Aktualizovat závislost |
| označování vSphere | Přiřadit a zrušit přiřazení značky vSphere Vytvořit značku vSphere Vytvořit kategorii značek vSphere Odstranit značku vSphere Odstranit kategorii značek vSphere Upravit značku vSphere Upravit kategorii značek vSphere Upravit pole UsedBy pro kategorii Upravit pole UsedBy pro značku |
Vytváření vlastních rolí na vCenter
Řešení Azure VMware podporuje použití vlastních rolí se stejnými nebo méně oprávněními než role CloudAdmin.
Pomocí role CloudAdmin můžete vytvářet, upravovat nebo odstraňovat vlastní role s oprávněními nižšími než nebo rovným jejich aktuální roli. Můžete vytvořit role s oprávněními většími než CloudAdmin, ale nemůžete přiřadit roli žádným uživatelům nebo skupinám ani roli odstranit.
Pokud chcete zabránit vytváření rolí, které se nedají přiřadit ani odstranit, naklonujte roli CloudAdmin jako základ pro vytváření nových vlastních rolí.
Vytvoření vlastní role
Přihlaste se k vCenter pomocí cloudadmin @ vSphere. Local nebo uživatele s rolí cloudadmin.
Přejděte do části konfigurace rolí a vyberte nabídky > Správa > Access Control > rolí.
Vyberte roli CloudAdmin a vyberte ikonu Akce klonovat roli .
Poznámka
Neklonujte roli správce , protože ji nemůžete použít. Vlastní vytvořenou roli také nelze odstranit pomocí cloudadmin @ vSphere. Local.
Zadejte název, který chcete klonovat roli.
Přidejte nebo odeberte oprávnění pro roli a vyberte OK. Naklonovaná role se zobrazí v seznamu role .
Použití vlastní role
Přejděte k objektu, který vyžaduje přidané oprávnění. Chcete-li například použít oprávnění pro složku, přejděte do nabídky > virtuální počítače a > název složky šablony.
Klikněte pravým tlačítkem na objekt a vyberte Přidat oprávnění.
Vyberte zdroj identity v rozevíracím seznamu uživatel , kde se dá najít skupina nebo uživatel.
Po výběru zdroje identity v části uživatel vyhledejte uživatele nebo skupinu.
Vyberte roli, kterou chcete použít pro uživatele nebo skupinu.
V případě potřeby zaškrtněte možnost rozšířit na podřízené objekty a vyberte OK. Přidaná oprávnění se zobrazí v oddílu oprávnění .
Přístup a identita správce NSX – T
Poznámka
NSX-T 3.1.2 se aktuálně podporuje pro všechny nové privátní cloudy.
Pro přístup ke Správci NSX-T použijte účet správce . Má úplná oprávnění a umožňuje vytvářet a spravovat brány (T1) vrstvy 1 (T1), segmenty (logické přepínače) a všechny služby. Kromě toho oprávnění poskytují přístup k bráně NSX-T úrovně 0 (T0). Změna v bráně T0 by mohla způsobit snížení výkonu sítě nebo přístupu k privátnímu cloudu. Otevřete žádost o podporu v Azure Portal, abyste požádali o změny v bráně NSX-T T0.
Další kroky
Teď, když jste se seznámili s koncepty přístupu k řešení a identitou Azure VMware, se můžete seznámit s těmito informacemi: