Azure VMware Solution identiteitsconcepten

  • Artikel
  • 6 minuten om te lezen

Azure VMware Solution privé clouds worden ingericht met een vCenter Server en NSX-T Manager. U gebruikt vCenter om workloads van virtuele machines (VM's) te beheren en NSX-T Manager de privécloud te beheren en uit te breiden. De rol CloudAdmin wordt gebruikt voor vCenter en beperkte beheerdersrechten voor NSX-T Manager.

vCenter-toegang en -identiteit

In Azure VMware Solution vCenter is een ingebouwde lokale gebruiker met de naam cloudadmin toegewezen aan de rol CloudAdmin. U kunt gebruikers en groepen configureren in Active Directory (AD) met de rol CloudAdmin voor uw privécloud. In het algemeen maakt en beheert de rol CloudAdmin workloads in uw privécloud. Maar in Azure VMware Solution heeft de rol CloudAdmin vCenter-bevoegdheden die verschillen van andere VMware-cloudoplossingen en on-premises implementaties.

Belangrijk

De lokale cloudadmin-gebruiker moet worden behandeld als een account voor toegang in noodgevallen voor 'break glass'-scenario's in uw privécloud. Het is niet voor dagelijkse beheeractiviteiten of integratie met andere services.

  • In een on-premises vCenter- en ESXi-implementatie heeft de beheerder toegang tot het vCenter-beheerdersaccount @ vsphere.local. Er kunnen ook meer AD-gebruikers en -groepen aan worden toegewezen.

  • In een Azure VMware Solution heeft de beheerder geen toegang tot het gebruikersaccount van de beheerder. Ze kunnen echter AD-gebruikers en -groepen toewijzen aan de rol CloudAdmin in vCenter. De rol CloudAdmin heeft geen machtigingen om een identiteitsbron, zoals een on-premises LDAP- of LDAPS-server, toe te voegen aan vCenter. U kunt echter Run-opdrachten gebruiken om een identiteitsbron toe te voegen en de cloudadmin-rol toe te wijzen aan gebruikers en groepen.

De privécloudgebruiker heeft geen toegang tot en kan geen specifieke beheeronderdelen configureren die microsoft ondersteunt en beheert. Bijvoorbeeld clusters, hosts, gegevensstores en gedistribueerde virtuele switches.

Notitie

In Azure VMware Solution wordt het domein vsphere.local SSO geleverd als een beheerde resource ter ondersteuning van platformbewerkingen. Het biedt geen ondersteuning voor het maken en beheren van lokale groepen en gebruikers, anders dan de groepen die standaard worden geleverd met uw privécloud.

Belangrijk

Azure VMware Solution biedt aangepaste rollen in vCenter, maar biedt deze momenteel niet op de Azure VMware Solution portal. Zie de sectie Aangepaste rollen maken in vCenter verder in dit artikel voor meer informatie.

De vCenter-bevoegdheden weergeven

U kunt de bevoegdheden weergeven die zijn verleend aan Azure VMware Solution CloudAdmin-rol op uw Azure VMware Solution privécloud vCenter.

  1. Meld u aan bij de vSphere-client en ga naar > Menubeheer.

  2. Selecteer Access Control onder Access Control .

  3. Selecteer CloudAdmin in de lijst met rollen en selecteer vervolgens Bevoegdheden.

    Schermopname van de rollen en bevoegdheden voor CloudAdmin in de vSphere-client.

De rol CloudAdmin in Azure VMware Solution heeft de volgende bevoegdheden voor vCenter. Zie de VMware-productdocumentatie voor meer informatie.

Bevoegdheid Description
Waarschuwingen Waarschuwing bevestigen
Alarm maken
Alarmactie uitschakelen
Alarm wijzigen
Alarm verwijderen
Alarmstatus instellen
Inhoudsbibliotheek Bibliotheekitem toevoegen
Een abonnement maken voor een gepubliceerde bibliotheek
Lokale bibliotheek maken
Geabonneerde bibliotheek maken
Bibliotheekitem verwijderen
Lokale bibliotheek verwijderen
Geabonneerde bibliotheek verwijderen
Abonnement van een gepubliceerde bibliotheek verwijderen
Bestanden downloaden
Bibliotheekitems verwijderen
Geabonneerde bibliotheek verwijderen
Opslag importeren
Abonnementsgegevens onderzoeken
Een bibliotheekitem publiceren naar abonnees
Een bibliotheek publiceren naar abonnees
Leesopslag
Bibliotheekitem synchroniseren
Geabonneerde bibliotheek synchroniseren
Typeintrospectie
Configuratie-instellingen bijwerken
Bestanden bijwerken
Bibliotheek bijwerken
Bibliotheekitem bijwerken
Lokale bibliotheek bijwerken
Geabonneerde bibliotheek bijwerken
Abonnement van een gepubliceerde bibliotheek bijwerken
Configuratie-instellingen weergeven
Cryptografische bewerkingen Directe toegang
Gegevensarchief Ruimte toewijzen
Door gegevensarchief bladeren
Gegevensstore configureren
Bestandsbewerkingen op laag niveau
Bestanden verwijderen
Metagegevens van virtuele machines bijwerken
Map Map maken
Map verwijderen
Map verplaatsen
Naam van map wijzigen
Globaal Taak annuleren
Globale tag
Gezondheidszorg
Logboekgebeurtenis
Aangepaste kenmerken beheren
Servicemanagers
Aangepast kenmerk instellen
Systeemtag
Host vSphere-replicatie
    replicatie beheren
Netwerk Netwerk toewijzen
Machtigingen Machtigingen wijzigen
Rol wijzigen
Profiel Profielgestuurde opslagweergave
Resource Aanbeveling toepassen
vApp toewijzen aan resourcegroep
Virtuele machine toewijzen aan resourcegroep
Resourcegroep maken
Uitgeschakelde virtuele machine migreren
Ingeschakelde migratie op virtuele machine
Resourcegroep wijzigen
Resourcegroep verplaatsen
Query's uitvoeren op vMotion
Resourcegroep verwijderen
De naam van de resourcegroep wijzigen
Geplande taak Taak maken
Taak wijzigen
Taak verwijderen
Taak uitvoeren
Sessies Bericht
Sessie valideren
Storage weergeven Weergave
vApp Virtuele machine toevoegen
Resourcegroep toewijzen
vApp toewijzen
Klonen
Maken
Verwijderen
Exporteren
Importeren
Verplaatsen
Uitschakelen
In-/uit
Naam wijzigen
Onderbreken
Registratie ongedaan maken
OVF-omgeving weergeven
vApp-toepassingsconfiguratie
Configuratie van vApp-exemplaar
vApp managedBy-configuratie
vApp-resourceconfiguratie
Virtuele machine Configuratie wijzigen
    schijflease verkrijgen
    bestaande schijf toevoegen
    nieuwe schijf toevoegen
    apparaat toevoegen of verwijderen
    Geavanceerde configuratie
    AANTAL CPU's wijzigen
    Geheugen wijzigen
    Instellingen wijzigen
    wisselbestandsplaatsing wijzigen
    Resource wijzigen
    USB-hostapparaat configureren
    onbewerkte apparaat configureren
    ManagedBy configureren
    Verbindingsinstellingen weergeven
    virtuele schijf uitbreiden
    Apparaatinstellingen wijzigen
    Compatibiliteit met fouttolerantie van query's
    niet-geowne bestanden opvragen
    opnieuw laden vanuit paden
    schijf verwijderen
    naam wijzigen
    gastgegevens opnieuw instellen
    Aantekening instellen
    het bijhouden van schijfwijziging in-/uitschakelen
    de bovenliggende vork in-/uitschakelen
    Upgrade virtual machine compatibility (Compatibiliteit van virtuele machines bijwerken)
Inventaris bewerken
    maken van bestaande
    Nieuwe maken
    verplaatsen
    registreren
    verwijderen
    registratie ongedaan maken
Gastbewerkingen
    van gastbewerkingsalias wijzigen
    aliasquery voor gastbewerkingen
    gastbewerking wijzigen
    programma voor gastbewerkingen uitvoeren
    gastbewerkingsquery's uitvoeren
Interactie
    antwoordvraag
    back-upbewerking op virtuele machine
    CD-media configureren
    Diskettes configureren
    Verbinding maken apparaten
interactie     console
    schermopname maken
    alle schijven defragmenteren
    slepen en neerzetten
    gastbesturingssysteembeheer door VIX-API
    USB-SCANcodes injecteren
    VMware-hulpprogramma's installeren
    onderbreken of niet gebruiken
    wissen of verkleinen
    uitschakelen
    in
    recordsessie op virtuele machine
    opnieuw afspelen op virtuele machine
    suspend
    -fouttolerantie opschorten
    failover testen
    secundaire VM opnieuw opstarten testen
    fouttolerantie uitschakelen
    Fouttolerantie in te zetten
Inrichten
    schijftoegang toestaan
    bestandstoegang toestaan
    alleen-lezenschijftoegang toestaan
    downloaden van virtuele machine toestaan
    Kloonsjabloon
    virtuele machine klonen
    sjabloon maken op basis van een virtuele machine
    Gast aanpassen
    Sjabloon implementeren
    als sjabloon markeren
    Aanpassingsspecificatie wijzigen
    Schijven promoveren
    leesaanpassingsspecificaties
Serviceconfiguratie
    Meldingen toestaan
    polling van globale gebeurtenismeldingen toestaan
    Serviceconfiguratie beheren
    Serviceconfiguratie wijzigen
    queryserviceconfiguraties configureren
    Read-service configureren
Momentopnamebeheer
    Momentopname maken
    Momentopname verwijderen
    Naam van momentopname wijzigen
    Momentopname terugdraaien
vSphere-replicatie
    replicatie configureren
    replicatie beheren
    replicatie controleren
vService Afhankelijkheid maken
Afhankelijkheid vernietigen
Configuratie van afhankelijkheid opnieuw configureren
Afhankelijkheid bijwerken
vSphere-tagging vSphere-tag toewijzen en de toewijzing in- en verwijderen
vSphere-tag maken
vSphere-tagcategorie maken
vSphere-tag verwijderen
vSphere-tagcategorie verwijderen
vSphere-tag bewerken
vSphere-tagcategorie bewerken
Het veld UsedBy wijzigen voor categorie
UsedBy-veld voor tag wijzigen

Aangepaste rollen maken in vCenter

Azure VMware Solution ondersteunt het gebruik van aangepaste rollen met gelijke of minder bevoegdheden dan de CloudAdmin-rol.

U gebruikt de rol CloudAdmin om aangepaste rollen te maken, wijzigen of verwijderen met bevoegdheden die kleiner zijn dan of gelijk zijn aan hun huidige rol. U kunt rollen maken met meer bevoegdheden dan CloudAdmin, maar u kunt de rol niet toewijzen aan gebruikers of groepen of de rol verwijderen.

Als u wilt voorkomen dat er rollen worden gemaakt die niet kunnen worden toegewezen of verwijderd, kloont u de cloudadmin-rol als basis voor het maken van nieuwe aangepaste rollen.

Een aangepaste rol maken

  1. Meld u aan bij vCenter met cloudadmin @ vsphere.local of een gebruiker met de rol CloudAdmin.

  2. Navigeer naar de sectie Rollenconfiguratie en selecteer > > Menubeheer Access Control > Rollen.

  3. Selecteer de rol CloudAdmin en selecteer het actiepictogram Rol klonen.

    Notitie

    Kloon de beheerdersrol niet omdat u deze niet kunt gebruiken. Bovendien kan de aangepaste rol die is gemaakt, niet worden verwijderd door cloudadmin @ vsphere.local.

  4. Geef de naam op die u wilt gebruiken voor de gekloonde rol.

  5. Voeg bevoegdheden voor de rol toe of verwijder deze en selecteer OK. De gekloonde rol is zichtbaar in de lijst Rollen.

Een aangepaste rol toepassen

  1. Navigeer naar het object dat de toegevoegde machtiging vereist. Als u bijvoorbeeld machtigingen wilt toepassen op een map, gaat u naar > Menu-VM's en > Mapnaam van sjablonen.

  2. Klik met de rechtermuisknop op het object en selecteer Machtiging toevoegen.

  3. Selecteer de Identiteitsbron in de vervolgkeuzeop de plaats waar de groep of gebruiker kan worden gevonden.

  4. Zoek naar de gebruiker of groep nadat u de identiteitsbron in de sectie Gebruiker heeft geselecteerd.

  5. Selecteer de rol die u wilt toepassen op de gebruiker of groep.

  6. Schakel indien nodig Doorgeven aan kinderen in en selecteer OK. De toegevoegde machtiging wordt weergegeven in de sectie Machtigingen.

NSX-T Manager toegang en identiteit

Notitie

NSX-T 3.1.2 wordt momenteel ondersteund voor alle nieuwe privé clouds.

Gebruik het beheerdersaccount voor toegang tot NSX-T Manager. Het heeft volledige bevoegdheden en stelt u in staat om Gateways op laag 1 (T1), segmenten (logische switches) en alle services te maken en beheren. Bovendien geven de bevoegdheden u toegang tot de NSX-T Tier-0-gateway (T0). Een wijziging van de T0-gateway kan leiden tot slechtere netwerkprestaties of geen toegang tot de privécloud. Open een ondersteuningsaanvraag in de Azure Portal om wijzigingen aan te vragen in uw NSX-T T0-gateway.

Volgende stappen

Nu u de Azure VMware Solution en identiteitsconcepten hebt behandeld, kunt u het volgende leren: