مفاهيم هوية Azure VMware Solution

يتم توفير السحب الخاصة ل Azure VMware Solution مع خادم vCenter ومدير NSX. يمكنك استخدام خادم vCenter لإدارة أحمال عمل الجهاز الظاهري (VM) وإدارة NSX لإدارة السحابة الخاصة وتوسيعها. يتم استخدام دور CloudAdmin لخادم vCenter ويتم استخدام دور CloudAdmin (بأذونات مقيدة) ل NSX Manager.

الوصول إلى خادم vCenter والهوية

في Azure VMware Solution، يحتوي خادم VMware vCenter على حساب مستخدم محلي مضمن يسمى CloudAdmin تم تعيينه لدور CloudAdmin. يمكنك تكوين المستخدمين والمجموعات في Windows Server Active Directory مع دور CloudAdmin للسحابة الخاصة بك. بشكل عام، يقوم دور CloudAdmin بإنشاء وإدارة أحمال العمل في السحابة الخاصة بك. ولكن في Azure VMware Solution، يحتوي دور CloudAdmin على امتيازات خادم vCenter تختلف عن حلول سحابة VMware الأخرى والنشرات المحلية.

• في نشر vCenter Server وESXi المحلي، يمكن للمسؤول الوصول إلى حساب خادم vCenter administrator@vsphere.local وحساب جذر ESXi. قد يتم تعيين المسؤول أيضا إلى المزيد من مستخدمي Windows Server Active Directory ومجموعاته.

• في نشر Azure VMware Solution، لا يملك المسؤول حق الوصول إلى حساب مستخدم المسؤول أو حساب جذر ESXi. ولكن يمكن للمسؤول تعيين مستخدمي Windows Server Active Directory ومجموعات دور CloudAdmin في خادم vCenter. لا يملك دور CloudAdmin أذونات لإضافة مصدر هوية مثل بروتوكول الوصول إلى الدليل الخفيف (LDAP) أو خادم LDAP الآمن (LDAPS) إلى خادم vCenter. ومع ذلك، يمكنك استخدام أوامر التشغيل لإضافة مصدر هوية وتعيين دور CloudAdmin للمستخدمين والمجموعات.

لا يمكن لحساب مستخدم في سحابة خاصة الوصول إلى مكونات إدارة معينة تدعمها Microsoft وتديرها أو تديرها. تتضمن الأمثلة المجموعات والمضيفين ومخازن البيانات ومفاتيح التبديل الظاهرية الموزعة.

عرض امتيازات خادم vCenter

استخدم الخطوات التالية لعرض الامتيازات الممنوحة لدور Azure VMware Solution CloudAdmin على سحابة Azure VMware Solution الخاصة vCenter.

1. سجل الدخول إلى عميل vSphere وانتقل إلى إدارة القائمة>.

2. ضمن التحكم بالوصول، حدد الأدوار.

3. من قائمة الأدوار، حدد CloudAdmin ثم حدد Privileges.

   

دور CloudAdmin في Azure VMware Solution له الامتيازات التالية على خادم vCenter. لمزيد من المعلومات، راجع وثائق منتج VMware.

إنشاء أدوار مخصصة على خادم vCenter

يدعم Azure VMware Solution استخدام الأدوار المخصصة بامتيازات متساوية أو أقل من دور CloudAdmin. استخدم دور CloudAdmin لإنشاء أدوار مخصصة أو تعديلها أو حذفها بامتيازات أقل من أو تساوي دورها الحالي.

لمنع إنشاء أدوار لا يمكن تعيينها أو حذفها، انسخ دور CloudAdmin كأساس لإنشاء أدوار مخصصة جديدة.

إنشاء دور مخصص

1. سجل الدخول إلى خادم vCenter باستخدام cloudadmin@vsphere.local أو مستخدم مع دور CloudAdmin.

2. انتقل إلى قسم تكوين الأدوار وحدد أدوار التحكم>في الوصول لإدارة>القائمة.>

3. حدد دور CloudAdmin وحدد أيقونة إجراء دور النسخ.

   إشعار

   لا تقم باستنساخ دور المسؤول لأنه لا يمكنك استخدامه. أيضا، لا يمكن حذف الدور المخصص الذي تم إنشاؤه بواسطة cloudadmin@vsphere.local.

4. قم بتوفير الاسم الذي تريده للدور المستنسخ.

5. قم بإزالة امتيازات الدور وحدد موافق. الدور المستنسخ مرئي في قائمة الأدوار .

تطبيق دور مخصص

1. انتقل إلى الكائن الذي يتطلب الإذن المضاف. على سبيل المثال، لتطبيق الإذن على مجلد، انتقل إلى قائمة>الأجهزة الظاهرية واسم مجلد القوالب.>

2. انقر بزر الماوس الأيمن فوق الكائن وحدد إضافة إذن.

3. حدد مصدر الهوية في القائمة المنسدلة المستخدم حيث يمكن العثور على المجموعة أو المستخدم.

4. ابحث عن المستخدم أو المجموعة بعد تحديد مصدر الهوية ضمن قسم المستخدم .

5. حدد الدور الذي تريد تطبيقه على المستخدم أو المجموعة.

   إشعار

   ستؤدي محاولة تطبيق مستخدم أو مجموعة على دور له امتيازات أكبر من CloudAdmin إلى حدوث أخطاء.

6. تحقق من النشر إلى الأطفال إذا لزم الأمر، وحدد موافق. يظهر الإذن المضاف في قسم الأذونات.

الوصول إلى VMware NSX Manager والهوية

عند توفير سحابة خاصة باستخدام مدخل Microsoft Azure، يتم توفير مكونات إدارة مركز البيانات (SDDC) المعرفة بالبرامج مثل vCenter Server وVMware NSX Manager للعملاء.

تتحمل Microsoft مسؤولية إدارة دورة حياة أجهزة NSX مثل VMware NSX Manager وأجهزة VMware NSX Edge. إنهم مسؤولون عن تكوين شبكة تمهيد التشغيل، مثل إنشاء بوابة Tier-0.

أنت مسؤول عن تكوين شبكة VMware NSX المعرفة بالبرامج (SDN)، على سبيل المثال:

• قطع الشبكة
• بوابات المستوى 1 الأخرى
• قواعد جدار الحماية الموزعة
• الخدمات ذات الحالة مثل جدار حماية البوابة
• موازن التحميل على بوابات المستوى 1

يمكنك الوصول إلى VMware NSX Manager باستخدام المستخدم المحلي المضمن "cloudadmin" المعين لدور مخصص يمنح امتيازات محدودة للمستخدم لإدارة VMware NSX. بينما تدير Microsoft دورة حياة VMware NSX، لا يسمح المستخدم بعمليات معينة. تتضمن العمليات غير المسموح بها تحرير تكوين عقد نقل المضيف والحافة أو بدء ترقية. بالنسبة للمستخدمين الجدد، يقوم Azure VMware Solution بنشرهم بمجموعة محددة من الأذونات التي يحتاجها هذا المستخدم. الغرض من ذلك هو توفير فصل واضح للتحكم بين تكوين وحدة التحكم في Azure VMware Solution ومستخدم السحابة الخاصة ل Azure VMware Solution.

بالنسبة إلى عمليات النشر السحابية الخاصة الجديدة، يتم توفير الوصول إلى VMware NSX مع cloudadmin مستخدم محلي مضمن تم تعيينه إلى دور cloudadmin مع مجموعة محددة من الأذونات لاستخدام وظيفة VMware NSX لأحمال العمل.

أذونات مستخدم VMware NSX cloudadmin

يتم تعيين الأذونات التالية إلى مستخدم cloudadmin في Azure VMware Solution NSX.

يمكنك عرض الأذونات الممنوحة لدور Azure VMware Solution cloudadmin على سحابة Azure VMware Solution الخاصة VMware NSX.

1. سجل الدخول إلى NSX Manager.
2. انتقل إلى الأنظمة وحدد موقع المستخدمين والأدوار.
3. حدد دور cloudadmin ووسعه، الموجود ضمن Roles.
4. حدد فئة مثل الشبكات أو الأمان لعرض الأذونات المحددة.

تكامل NSX LDAP للتحكم في الوصول المستند إلى الدور (RBAC)

في نشر Azure VMware Solution، يمكن دمج VMware NSX مع خدمة دليل LDAP الخارجية لإضافة مستخدمي الدليل البعيد أو المجموعة، وتعيين دور VMware NSX RBAC لهم، مثل النشر المحلي. لمزيد من المعلومات حول كيفية تمكين تكامل VMware NSX LDAP، راجع وثائق منتج VMware.

على عكس النشر المحلي، لا يتم دعم جميع أدوار NSX RBAC المعرفة مسبقا مع حل Azure VMware للحفاظ على إدارة تكوين وحدة التحكم في Azure VMware Solution IaaS منفصلة عن شبكة المستأجر وتكوين الأمان. لمزيد من المعلومات، راجع القسم التالي، أدوار NSX RBAC المدعومة.

أدوار NSX RBAC المدعومة وغير المدعومة

في توزيع Azure VMware Solution، يتم دعم أدوار VMware NSX RBAC المعرفة مسبقا مع تكامل LDAP:

• المدقق
• مسؤول السحابة
• مسؤول LB
• عامل تشغيل LB
• مسؤول VPN
• عامل تشغيل الشبكة

في نشر Azure VMware Solution، لا يتم دعم أدوار RBAC المحددة مسبقا ل VMware NSX التالية مع تكامل LDAP:

• مسؤول المؤسسة
• مسؤول الشبكة
• مسؤول الأمان
• مسؤول شريك NetX
• مسؤول شريك GI

يمكنك إنشاء أدوار مخصصة في NSX بأذونات أقل من أو تساوي دور CloudAdmin الذي أنشأته Microsoft. فيما يلي أمثلة حول كيفية إنشاء دور "مسؤول الشبكة" و"مسؤول الأمان" المدعوم.

إنشاء دور "AVS network admin"

استخدم الخطوات التالية لإنشاء هذا الدور المخصص.

1. انتقل إلى System>Users and Roles>Roles.

2. استنساخ مسؤول الشبكة وتوفير الاسم، AVS Network Admin.

3. قم بتعديل الأذونات التالية إلى "للقراءة فقط" أو "بلا" كما يظهر في عمود الإذن في الجدول التالي.

   فئة	فئة فرعية	ميزة	الإذن
   الشبكات	قابلية التوصيل خدمات الشبكة	بوابات من المستوى 0 بوابات > الطبقة 0 OSPF نهج إعادة التوجيه	للقراءة فقط بلا بلا

4. تطبيق التغييرات وحفظ الدور.

إنشاء دور "AVS security admin"

استخدم الخطوات التالية لإنشاء هذا الدور المخصص.

1. انتقل إلى System>Users and Roles>Roles.

2. استنساخ مسؤول الأمان وتوفير الاسم، "AVS Security Admin".

3. قم بتعديل الأذونات التالية إلى "للقراءة فقط" أو "بلا" كما يظهر في عمود الإذن في الجدول التالي.

4. تطبيق التغييرات وحفظ الدور.

الخطوات التالية

الآن بعد أن قمت بتغطية مفاهيم الوصول إلى Azure VMware Solution والهوية، قد تحتاج إلى التعرف على:

• كيفية تكوين مصدر هوية خارجي ل vCenter

• كيفية تمكين مورد Azure VMware Solution

• تفاصيل كل امتياز

• كيف يراقب Azure VMware Solution السحابات الخاصة ويصلحها