AVS(Azure VMware Solution) ID 개념
Azure VMware Solution 프라이빗 클라우드는 vCenter Server 및 NSX Manager를 사용하여 프로비전됩니다. vCenter Server를 사용하여 VM(가상 머신) 워크로드를 관리하고 NSX Manager를 사용하여 프라이빗 클라우드를 관리하고 확장합니다. 클라우드관리 역할은 vCenter Server에 사용되며, 클라우드관리 역할(제한된 권한 포함)은 NSX Manager에 사용됩니다.
vCenter Server 액세스 및 ID
Azure VMware Solution에서 VMware vCenter Server에는 CloudAdmin 역할에 할당된 CloudAdmin이라는 기본 제공 로컬 사용자 계정이 있습니다. 프라이빗 클라우드에 대한 CloudAdmin 역할을 사용하여 Windows Server Active Directory에서 사용자 및 그룹을 구성할 수 있습니다. 일반적으로 CloudAdmin 역할은 프라이빗 클라우드에서 워크로드를 만들고 관리합니다. 그러나 Azure VMware Solution에서 CloudAdmin 역할에는 다른 VMware 클라우드 솔루션 및 온-프레미스 배포와 다른 vCenter Server 권한이 있습니다.
Important
로컬 CloudAdmin 사용자 계정은 프라이빗 클라우드의 "비상" 시나리오에 대한 비상 액세스 계정으로 사용되어야 합니다. 일상적인 관리 활동이나 다른 서비스와의 통합을 위해 사용할 용도로 만들어진 것이 아닙니다.
vCenter Server 및 ESXi 온-프레미스 배포에서 관리자는 vCenter Server administrator@vsphere.local 계정 및 ESXi 루트 계정에 액세스할 수 있습니다. 관리자는 더 많은 Windows Server Active Directory 사용자 및 그룹에도 할당할 수 있습니다.
Azure VMware Solution 배포에서 관리자는 관리자 사용자 계정 또는 ESXi 루트 계정에 액세스할 수 없습니다. 그러나 관리자는 Windows Server Active Directory 사용자를 할당하고 vCenter Server에서 CloudAdmin 역할을 그룹화할 수 있습니다. CloudAdmin 역할에는 온-프레미스 LDAP(Lightweight Directory Access Protocol) 또는 LDAPS(보안 LDAP) 서버와 같은 ID 원본을 vCenter Server에 추가할 수 있는 권한이 없습니다. 그러나 실행 명령을 사용하여 ID 원본을 추가하고 사용자 및 그룹에 CloudAdmin 역할을 할당할 수 있습니다.
프라이빗 클라우드의 사용자 계정은 Microsoft에서 지원하고 관리하는 특정 관리 구성 요소에 액세스하거나 관리할 수 없습니다. 예를 들어 클러스터, 호스트, 데이터 저장소 및 분산 가상 스위치가 포함됩니다.
참고 항목
Azure VMware Solution에서 vsphere.local SSO(Single Sign-On) 도메인은 플랫폼 작업을 지원하기 위한 관리되는 리소스로 제공됩니다. 프라이빗 클라우드에서 기본적으로 제공되는 그룹 및 사용자를 제외하고 로컬 그룹 및 사용자를 만들거나 관리하는 데 사용할 수 없습니다.
Important
Azure VMware Solution은 vCenter Server에서 사용자 지정 역할을 제공하지만 Azure VMware Solution 포털에서는 현재 제공하지 않습니다. 자세한 내용은 이 문서의 뒷부분에 있는 vCenter Server에서 사용자 지정 역할 만들기 섹션을 참조하세요.
vCenter Server 권한 보기
다음 단계를 사용하여 Azure VMware Solution 프라이빗 클라우드 vCenter의 Azure VMware Solution CloudAdmin 역할에 부여된 권한을 볼 수 있습니다.
vSphere 클라이언트에 로그인하고 메뉴>관리로 이동합니다.
액세스 제어에서 역할을 선택합니다.
역할 목록에서 CloudAdmin 을 선택한 다음, 권한을 선택합니다.
Azure VMware Solution의 CloudAdmin 역할에 있는 vCenter Server에 대한 권한은 다음과 같습니다. 자세한 내용은 VMware 제품 설명서를 참조하세요.
| Privilege | 설명 |
|---|---|
| 경보 | 알람 수신 확인 알람 만들기 알람 동작 사용 안 함 알람 수정 알람 제거 알람 상태 설정 |
| 콘텐츠 라이브러리 | 라이브러리 항목 추가 신뢰 저장소에 루트 인증서 추가 템플릿 체크 인 템플릿 확인 게시된 라이브러리에 구독 만들기 로컬 라이브러리 만들기 Harbor 레지스트리 만들기 또는 삭제 구독 라이브러리 만들기 Harbor 레지스트리 프로젝트 만들기, 삭제 또는 제거 라이브러리 항목 삭제 로컬 라이브러리 삭제 신뢰 저장소에서 루트 인증서 삭제 구독 라이브러리 삭제 게시된 라이브러리의 구독 삭제 파일 다운로드 라이브러리 항목 제거 구독 라이브러리 제거 스토리지 가져오기 지정된 컴퓨팅 리소스에서 Harbor 레지스트리 리소스 관리 구독 정보 검색 구독자에 라이브러리 항목 게시 구독자에 라이브러리 게시 스토리지 읽기 라이브러리 항목 동기화 구독 라이브러리 동기화 검사 입력 구성 설정 업데이트 파일 업데이트 라이브러리 업데이트 라이브러리 항목 업데이트 로컬 라이브러리 업데이트 구독 라이브러리 업데이트 게시된 라이브러리의 구독 업데이트 구성 설정 보기 |
| 암호화 작업 | 직접 액세스(direct access) |
| Datastore | 공간 할당 데이터 저장소 찾아보기 데이터 저장소 구성 하위 수준 파일 작업 파일 제거 가상 머신 메타데이터 업데이트 |
| 폴더 | 폴더 만들기 폴더 삭제 폴더 이동 폴더 이름 바꾸기 |
| Global | 작업 취소 글로벌 태그 상태 이벤트 로그 사용자 지정 특성 관리 서비스 관리자 사용자 지정 특성 설정 시스템 태그 |
| 호스트 | vSphere 복제 복제 관리 |
| 네트워크 | Assign network |
| 권한 | 권한 수정 역할 수정 |
| 프로필 기반 스토리지 | 프로필 기반 스토리지 보기 |
| 리소스 | 권장 구성 적용 리소스 풀에 vApp 할당 Assign virtual machine to resource pool 리소스 풀 만들기 전원이 꺼진 가상 머신 마이그레이션 전원이 켜진 가상 머신 마이그레이션 리소스 풀 수정 리소스 풀 이동 vMotion 쿼리 리소스 풀 제거 리소스 풀 이름 바꾸기 |
| 예약된 태스크 | 작업 만들기 작업 수정 작업 제거 태스크 실행 |
| 세션 | 메시지 세션 유효성 검사 |
| 스토리지 보기 | 보기 |
| vApp | 가상 머신 추가 리소스 풀 할당 vApp 할당 복제 만들기 삭제 내보내기 가져오기 이동 전원 끄기 전원 켜기 이름 바꾸기 일시 중단 등록 취소 OVF 환경 보기 vApp 애플리케이션 구성 vApp 인스턴스 구성 vApp managedBy 구성 vApp 리소스 구성 |
| 가상 머신 | 구성 변경 디스크 임대 획득 기존 디스크 추가 새 디스크 추가 디바이스 추가 또는 제거 고급 구성 CPU 수 변경 메모리 변경 설정 변경 스왑 파일 배치 변경 리소스 변경 호스트 USB 디바이스 구성 원시 디바이스 구성 managedBy 구성 연결 설정 표시 가상 디스크 확장 디바이스 설정 수정 쿼리 내결함성 호환성 소유하지 않은 파일 쿼리 경로에서 다시 로드 디스크 제거 이름 바꾸기 게스트 정보 다시 설정 주석 설정 디스크 변경 내용 추적 토글 포크 부모 토글 가상 머신 호환성 업그레이드 인벤토리 편집 기존에서 만들기 새로 만들기 이동 등록 제거 등록 취소 게스트 작업 게스트 작업 별칭 수정 게스트 작업 별칭 쿼리 게스트 작업 수정 게스트 작업 프로그램 실행 게스트 작업 쿼리 상호 작용 질문 응답 가상 머신에서 작업 백업 CD 미디어 구성 플로피 미디어 구성 디바이스 연결 상호 작용 콘솔 스크린샷 만들기 모든 디스크 조각 모음 끌어서 놓기 VIX API로 게스트 운영 체제 관리 USB HID 검사 코드 삽입 VMware 도구 설치 일시 중지 또는 해제 작업 초기화 또는 축소 전원 끄기 전원 켜기 가상 머신에서 세션 레코드 가상 머신에서 세션 재생 Reset 내결함성 다시 시작 일시 중단 내결함성 일시 중단 테스트 장애 조치 보조 VM 다시 시작 테스트 내결함성 끄기 내결함성 켜기 프로비저닝 디스크 액세스 허용 파일 액세스 허용 Allow read-only disk access 가상 머신 다운로드 허용 템플릿 복제 가상 머신 복제 가상 머신에서 템플릿 만들기 게스트 사용자 지정 템플릿 배포 템플릿으로 표시 사용자 지정 사양 수정 디스크 승격 사용자 지정 사양 읽기 서비스 구성 알림 허용 글로벌 이벤트 알림의 폴링 허용 서비스 구성 관리 서비스 구성 수정 서비스 구성 쿼리 서비스 구성 읽기 스냅샷 관리 스냅샷 만들기 스냅샷 제거 스냅샷 이름 바꾸기 스냅샷 되돌리기 vSphere 복제 복제 구성 복제 관리 복제 모니터링 |
| vService | 종속성 만들기 종속성 제거 종속성 구성 다시 구성 종속성 업데이트 |
| vSphere 태그 지정 | vSphere 태그 할당/취소 vSphere 태그 만들기 vSphere 태그 범주 만들기 vSphere 태그 삭제 vSphere 태그 범주 삭제 vSphere 태그 편집 vSphere 태그 범주 편집 범주용 UsedBy 필드 수정 태그용 UsedBy 필드 수정 |
vCenter Server에서 사용자 지정 역할 만들기
Azure VMware Solution은 CloudAdmin 역할보다 낮거나 같은 권한으로 사용자 지정 역할 사용을 지원합니다. CloudAdmin 역할을 사용하여 현재 역할보다 적거나 같은 권한이 있는 사용자 지정 역할을 생성, 수정 또는 삭제합니다.
참고 항목
CloudAdmin보다 큰 권한으로 역할을 만들 수 있습니다. 그러나 역할을 사용자 또는 그룹에 할당하거나 역할을 삭제할 수는 없습니다. CloudAdmin보다 높은 권한이 있는 역할은 지원되지 않습니다.
할당하거나 삭제할 수 없는 역할 생성을 방지하기 위해 새 사용자 지정 역할을 만들기 위한 기준으로 CloudAdmin 역할을 복제합니다.
사용자 지정 역할 만들기
cloudadmin@vsphere.local 또는 CloudAdmin 역할이 있는 사용자를 사용하여 vCenter Server에 로그인합니다.
역할 구성 섹션으로 이동하고 메뉴>관리>액세스 제어>역할을 선택합니다.
CloudAdmin 역할을 선택하고 역할 작업 복제 아이콘을 선택합니다.
참고 항목
관리자 역할은 사용할 수 없으므로 복제하지 마세요. 또한 사용자가 만든 사용자 지정 역할은 cloudadmin@vsphere.local이 삭제할 수 없습니다.
복제된 역할에 원하는 이름을 입력합니다.
역할에 대한 권한을 제거하고, 확인을 선택합니다. 복제된 역할은 역할 목록에 표시됩니다.
사용자 지정 역할 적용
추가된 권한이 필요한 개체로 이동합니다. 예를 들어, 폴더에 권한을 적용하려면 메뉴>VM 및 템플릿>폴더 이름으로 이동합니다.
개체를 마우스 오른쪽 단추로 클릭하고 사용 권한 추가를 선택합니다.
그룹 또는 사용자를 찾을 수 있는 사용자 드롭다운에서 ID 원본을 선택합니다.
사용자 섹션에서 ID 원본을 선택한 후 사용자 또는 그룹을 검색합니다.
사용자 또는 그룹에 적용할 역할을 선택합니다.
참고 항목
사용자 또는 그룹을 CloudAdmin보다 높은 권한의 역할에 적용하려고 하면 오류가 발생합니다.
필요한 경우 자식에 전파를 선택하고 확인을 선택합니다. 추가된 권한은 권한 섹션에 표시됩니다.
VMware NSX Manager 액세스 및 ID
Azure Portal을 사용하여 프라이빗 클라우드를 프로비전하면 vCenter Server 및 VMware NSX Manager와 같은 SDDC(소프트웨어 정의 데이터 센터) 관리 구성 요소가 고객을 위해 프로비전됩니다.
Microsoft는 VMware NSX Manager 및 VMware NSX Edge 어플라이언스 같은 NSX 어플라이언스 수명 주기 관리를 담당합니다. 계층 0 게이트웨이 만들기와 같은 네트워크 구성을 부트스트랩합니다.
VMware NSX SDN(소프트웨어 정의 네트워킹) 구성은 다음과 같습니다.
- 네트워크 세그먼트
- 기타 계층 1 게이트웨이
- 분산 방화벽 규칙
- 게이트웨이 방화벽과 같은 상태 저장 서비스
- 계층 1 게이트웨이의 부하 분산 장치
VMware NSX를 관리하는 사용자에게 제한된 권한을 부여하는 사용자 지정 역할에 할당된 기본 제공 로컬 사용자 "cloudadmin"을 사용하여 VMware NSX Manager에 액세스할 수 있습니다. Microsoft는 VMware NSX의 수명 주기를 관리하지만 특정 작업은 사용자가 허용하지 않습니다. 허용되지 않는 작업에는 호스트 및 에지 전송 노드의 구성 편집 또는 업그레이드 시작이 포함됩니다. 새 사용자의 경우 Azure VMware Solution은 해당 사용자에게 필요한 특정 권한 세트를 사용하여 배포합니다. 이는 Azure VMware Solution 컨트롤 플레인 구성과 Azure VMware Solution 프라이빗 클라우드 사용자 간의 제어를 명확하게 분리하기 위한 것입니다.
새 프라이빗 클라우드 배포의 경우 VMware NSX 액세스는 워크로드에 VMware NSX 기능을 사용하기 위한 특정 권한 집합을 사용하여 cloudadmin 역할에 할당된 기본 제공 로컬 사용자 cloudadmin 과 함께 제공됩니다.
VMware NSX cloudadmin 사용자 권한
다음 권한은 Azure VMware Solution NSX의 cloudadmin 사용자에게 할당됩니다.
참고 항목
Azure VMware Solution의 VMware NSX cloudadmin 사용자는 VMware 제품 설명서에 멘션 cloudadmin 사용자와 동일하지 않습니다. 다음 권한은 VMware NSX 정책 API에 적용됩니다. 관리자 API 기능이 제한될 수 있습니다.
| Category | Type | 연산 | Permission |
|---|---|---|---|
| 네트워킹 | 연결 | 계층 0 게이트웨이 계층 1 게이트웨이 세그먼트 |
읽기 전용 전체 액세스 전체 액세스 |
| 네트워킹 | Network Services | VPN NAT 부하 분산 전달 정책 통계 |
전체 액세스 전체 액세스 전체 액세스 읽기 전용 전체 액세스 |
| 네트워킹 | IP 관리 | DNS DHCP IP 주소 풀 |
전체 액세스 전체 액세스 전체 액세스 |
| 네트워킹 | 프로필 | 전체 액세스 | |
| 보안 | 동-서 보안 | 분산 방화벽 분산 IDS 및 IPS ID 방화벽 |
전체 액세스 전체 액세스 전체 액세스 |
| 보안 | 북-남 보안 | 게이트웨이 방화벽 URL 분석 |
전체 액세스 전체 액세스 |
| 보안 | 네트워크 검사 | 읽기 전용 | |
| 보안 | Endpoint Protection | 읽기 전용 | |
| 보안 | 설정 | 전체 액세스 | |
| 재고품 | 전체 액세스 | ||
| 문제 해결 | IPFIX | 전체 액세스 | |
| 문제 해결 | 포트 미러링 | 전체 액세스 | |
| 문제 해결 | 추적 흐름 | 전체 액세스 | |
| 시스템 | 구성 설정 설정 설정 |
ID 방화벽 사용자 및 역할 인증서 관리(서비스 인증서만 해당) 사용자 인터페이스 설정 |
전체 액세스 전체 액세스 전체 액세스 전체 액세스 |
| 시스템 | 다른 모든 | 읽기 전용 |
Azure VMware Solution 프라이빗 클라우드 VMware NSX에서 Azure VMware Solution cloudadmin 역할에 부여된 권한을 볼 수 있습니다.
- NSX 관리자에 로그인합니다.
- 시스템으로 이동하여 사용자 및 역할을 찾습니다.
- 역할 아래에 있는 cloudadmin 역할을 선택하여 펼칩니다.
- [네트워킹] 또는 [보안]과 같은 범주를 선택하여 특정 권한을 봅니다.
참고 항목
2022년 6월 이전에 만든 프라이빗 클라우드는 admin 역할에서 cloudadmin 역할로 전환됩니다. 다른 통합에 사용한 NSX 자격 증명을 변경할 수 있도록 이 변경의 타임라인 포함하는 Azure Service Health를 통해 알림을 받게 됩니다.
RBAC(역할 기반 액세스 제어)에 대한 NSX LDAP 통합
Azure VMware Solution 배포에서 VMware NSX를 외부 LDAP 디렉터리 서비스와 통합하여 원격 디렉터리 사용자 또는 그룹을 추가하고 온-프레미스 배포와 같은 VMware NSX RBAC 역할을 할당할 수 있습니다. VMware NSX LDAP 통합을 사용하도록 설정하는 방법에 대한 자세한 내용은 VMware 제품 설명서를 참조 하세요.
온-프레미스 배포와 달리 Azure VMware Solution IaaS 컨트롤 플레인 구성 관리를 테넌트 네트워크 및 보안 구성과 별도로 유지하기 위해 미리 정의된 모든 NSX RBAC 역할이 Azure VMware 솔루션에서 지원되지는 않습니다. 자세한 내용은 다음 섹션인 지원되는 NSX RBAC 역할을 참조하세요.
참고 항목
VMware NSX LDAP 통합은 VMware NSX "cloudadmin" 사용자와 SDDC에서만 지원됩니다.
지원되는 NSX RBAC 역할 및 지원되지 않는 NSX RBAC 역할
Azure VMware Solution 배포에서 다음 VMware NSX 미리 정의된 RBAC 역할은 LDAP 통합에서 지원됩니다.
- 감사자
- Cloudadmin
- LB 관리자
- LB 운영자
- VPN 관리자
- 네트워크 운영자
Azure VMware Solution 배포에서 다음 VMware NSX 미리 정의된 RBAC 역할은 LDAP 통합에서 지원되지 않습니다.
- 엔터프라이즈 관리자
- 네트워크 관리자
- 보안 관리자
- Netx 파트너 관리자
- GI 파트너 관리자
Microsoft에서 만든 Cloud관리 역할보다 작거나 같은 권한을 사용하여 NSX에서 사용자 지정 역할을 만들 수 있습니다. 다음은 지원되는 "네트워크 관리자" 및 "보안 관리자" 역할을 만드는 방법에 대한 예입니다.
참고 항목
CloudAdmin 역할에서 허용하지 않는 권한을 할당하면 사용자 지정 역할 만들기가 실패합니다.
"AVS 네트워크 관리자" 역할 만들기
다음 단계를 사용하여 이 사용자 지정 역할을 만듭니다.
시스템>사용자 및 역할>역할로 차례로 이동합니다.
네트워크 관리자를 복제하고, 이름을 AVS 네트워크 관리자로 지정합니다.
다음 표의 권한 열에서 표시한 대로 다음 권한을 "읽기 전용" 또는 "없음"으로 수정합니다.
범주 하위 범주 기능 Permission 네트워킹 연결
Network Services계층 0 게이트웨이
계층 0 게이트웨이 > OSPF
전달 정책읽기 전용
없음
없음변경 내용을 적용하고, 역할을 저장합니다.
"AVS 보안 관리자" 역할 만들기
다음 단계를 사용하여 이 사용자 지정 역할을 만듭니다.
시스템>사용자 및 역할>역할로 차례로 이동합니다.
보안 관리자를 복제하고 이름을 "AVS 보안 관리자"로 지정합니다.
다음 표의 권한 열에서 표시한 대로 다음 권한을 "읽기 전용" 또는 "없음"으로 수정합니다.
| 범주 | 하위 범주 | 기능 | Permission |
|---|---|---|---|
| 네트워킹 | Network Services | 전달 정책 | 없음 |
| 보안 |
네트워크 검사 Endpoint Protection 설정 |
서비스 프로필 |
없음 None 없음 |
- 변경 내용을 적용하고, 역할을 저장합니다.
참고 항목
VMware NSX 시스템>ID 방화벽 AD 구성 옵션은 NSX 사용자 지정 역할에서 지원되지 않습니다. 사용자에 대한 IDFW(ID 방화벽) 기능을 관리할 수 있도록 보안 운영자 역할을 사용자 지정 역할이 있는 해당 사용자에게 할당하는 것이 좋습니다.
참고 항목
VMware NSX 추적 흐름 기능은 VMware NSX 사용자 지정 역할에서 지원되지 않습니다. 추적 흐름 기능을 사용자에게 사용하도록 설정할 수 있도록 위의 사용자 지정 역할과 함께 감사자 역할을 해당 사용자에게 할당하는 것이 좋습니다.
참고 항목
Azure VMware Solution의 NSX 구성 요소와 VMware Aria Operations Automation을 통합하려면 NSX Manager cloudadmin 역할을 사용하여 사용자에게 "감사자" 역할을 추가해야 합니다.
다음 단계
이제 Azure VMware Solution 액세스 및 ID 개념을 살펴보았으므로 다음에 대해 알아볼 수 있습니다.