Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Defina el control de acceso basado en rol (RBAC) para el servicio CloudSimple, el portal de CloudSimple y la nube privada desde Azure. Los usuarios, grupos y roles para acceder a vCenter de la nube privada se especifican mediante el SSO de VMware.
Azure RBAC para el servicio CloudSimple
La creación del servicio CloudSimple requiere el rol Propietario o Colaborador en la suscripción de Azure. De forma predeterminada, todos los propietarios y colaboradores pueden crear un servicio CloudSimple y acceder al portal de CloudSimple para crear y administrar nubes privadas. Solo se puede crear un servicio CloudSimple por región. Para restringir el acceso a administradores específicos, siga el procedimiento siguiente.
- Creación de un servicio CloudSimple en un nuevo grupo de recursos en Azure Portal
- Especifique RBAC de Azure para el grupo de recursos.
- Comprar nodos y usar el mismo grupo de recursos que el servicio CloudSimple
Solo los usuarios que tengan privilegios de propietario o colaborador en el grupo de recursos verán el servicio CloudSimple e iniciarán el portal de CloudSimple.
Para más información, consulte ¿Qué es el control de acceso basado en rol de Azure (RBAC de Azure)?.
RBAC para vCenter de nube privada
Cuando se crea una nube privada, se crea un usuario CloudOwner@cloudsimple.local predeterminado en el dominio de SSO de vCenter. El usuario de CloudOwner tiene privilegios para administrar vCenter. Se agregan orígenes de identidad adicionales a vCenter Single Sign-On para conceder acceso a diferentes usuarios. Los roles y grupos predefinidos se configuran en vCenter que se pueden usar para agregar usuarios adicionales.
Incorporación de nuevos usuarios a vCenter
- Escale los privilegios de CloudOwner@cloudsimple.local usuario en la nube privada.
- Inicio de sesión en vCenter mediante CloudOwner@cloudsimple.local
- Agregue usuarios de vCenter Single Sign-On.
- Agregue usuarios a los grupos de single sign-on de vCenter.
Para más información sobre los roles y grupos predefinidos, consulte el artículo Modelo de permisos de nube privada de CloudSimple de VMware vCenter .
Añadir nuevos orígenes de identidad
Puede agregar proveedores de identidades adicionales para el dominio de SSO de vCenter de la nube privada. Los proveedores de identidades proporcionan autenticación y grupos de SSO de vCenter proporcionan autorización para los usuarios.
- Use Active Directory como proveedor de identidades en vCenter de nube privada.
- Uso de Azure AD como proveedor de identidades en vCenter de nube privada
- Escale los privilegios de CloudOwner@cloudsimple.local usuario en la nube privada.
- Inicio de sesión en vCenter mediante CloudOwner@cloudsimple.local
- Agregue usuarios del proveedor de identidades a los grupos de inicio de sesión única de vCenter.
Protección de la red en el entorno de nube privada
La seguridad de red del entorno de nube privada se controla mediante la protección del acceso a la red y el control del tráfico de red entre los recursos.
Acceso a recursos de nube privada
El acceso a vCenter y recursos de la nube privada se realiza a través de una conexión de red segura:
- Conexión de ExpressRoute. ExpressRoute proporciona una conexión segura, de ancho de banda alto y de baja latencia desde el entorno local. El uso de la conexión permite que los servicios, redes y usuarios locales accedan a vCenter de la nube privada.
- Puerta de enlace de VPN de sitio a sitio. Vpn de sitio a sitio proporciona acceso a los recursos de la nube privada desde el entorno local a través de un túnel seguro. Especifique qué redes locales pueden enviar y recibir tráfico de red a la nube privada.
- Puerta de enlace de VPN de punto a sitio. Use la conexión VPN de punto a sitio para el acceso remoto rápido a vCenter de la nube privada.
Control del tráfico de red en la nube privada
Las tablas y reglas de firewall controlan el tráfico de red en la nube privada. La tabla de firewall permite controlar el tráfico de red entre una red de origen o una dirección IP y una red de destino o una dirección IP en función de la combinación de reglas definidas en la tabla.
- Cree una tabla de firewall.
- Agregue reglas a la tabla de firewall.
- Adjunte una tabla de firewall a una VLAN o subred.