如何保護您的私人雲端環境

針對 CloudSimple 服務、CloudSimple 入口網站，以及 Azure 的私人雲端定義角色形存取控制 (RBAC)。 使用 VMware SSO 指定可存取私人雲端 vCenter 的使用者、群組和角色。

CloudSimple 服務的 Azure RBAC

建立 CloudSimple 服務需要 Azure 訂用帳戶的擁有者或參與者角色。 根據預設，所有擁有者和參與者都可以建立 CloudSimple 服務，並存取 CloudSimple 入口網站，進而建立和管理私人雲端。 每個區域只能建立一個 CloudSimple 服務。 若要限制特定管理員的存取權，請遵循下列程序。

1. 在 Azure 入口網站的新資源群組中建立 CloudSimple 服務
2. 指定資源群組的 Azure RBAC。
3. 購買節點，並使用與 CloudSimple 服務相同的資源群組

只有在資源群組上具備擁有者或參與者權限的使用者，才會看到 CloudSimple 服務並可啟動 CloudSimple 入口網站。

如需詳細資訊，請參閱什麼是 Azure 角色型存取控制 (Azure RBAC)？

私人雲端 vCenter 的 RBAC

建立私人雲端時，系統會在 vCenter SSO 網域中建立預設使用者 CloudOwner@cloudsimple.local。 CloudOwner 使用者有權管理 vCenter。 其他身分識別來源會新增至 vCenter SSO，以將存取權授與不同使用者。 預先定義的角色和群組是在 vCenter 上設定，可用來新增其他使用者。

將新使用者新增至 vCenter

1. 為私人雲端的 CloudOwner@cloudsimple.local 使用者提升權限。
2. 使用 CloudOwner@cloudsimple.local 登入 vCenter
3. 新增 vCenter 單一登入使用者。
4. 將使用者新增至 vCenter 單一登入群組。

如需預先定義的角色和群組詳細資訊，請參閱 VMware vCenter 的 CloudSimple 私人雲端權限模型 一文。

新增身分識別來源

您可以為私人雲端的 vCenter SSO 網域新增其他識別提供者。 識別提供者提供驗證，而 vCenter SSO 群組會為使用者提供授權。

• 使用 Active Directory 作為私人雲端 vCenter 上的識別提供者。
• 使用 Azure AD 作為私人雲端 vCenter 上的識別提供者

1. 為私人雲端的 CloudOwner@cloudsimple.local 使用者提升權限。
2. 使用 CloudOwner@cloudsimple.local 登入 vCenter
3. 將使用者從識別提供者新增至 vCenter 單一登入群組。

保護私人雲端環境的網路

私人雲端環境的網路安全性是透過保護網路存取權，以及控制資源之間的網路流量來加以管控。

私人雲端資源的存取權

私人雲端 vCenter 和資源存取權是使用安全的網路連線：

• ExpressRoute 連線。 ExpressRoute 提供來自內部部署環境的安全、高頻寬、低延遲連線。 使用連線可讓您的內部部署服務、網路和使用者存取私人雲端 vCenter。
• 站對站 VPN 閘道。 站對站 VPN 可讓您透過安全通道，從內部部署存取私人雲端資源。 您可以指定哪些內部部署網路可以傳送和接收私人雲端的網路流量。
• 點對站 VPN 閘道。 使用點對站 VPN 連線，快速從遠端來存取私人雲端 vCenter。

控制私人雲端的網路流量

防火牆資料表和規則可控制私人雲端的網路流量。 防火牆資料表可讓您根據資料表中定義的規則組合，控制來源網路/ IP 位址與目的地網路/ IP 位址之間的網路流量。

1. 建立防火牆資料表。
2. 將規則新增至防火牆資料表。
3. 將防火牆資料表附加至 VLAN/子網路。