作者: Colin Jao 饒康立 – VMware資深技術顧問,主要負責VMware NSX產品線,目前致力於網路虛擬化、分散式安全防護技術與SD-WAN方案的介紹與推廣。

針對NSX-T如何結合VMware Identity Manager (vIDM) 來達成不同管理者的權限控制以及集中的帳號管理,我們需要討論下面三個問題:

 

  • NSX-T內角色權限管控 (Role-Based-Access-Control, RBAC) 的做法是如何

 

  • NSX-T 如何接取到前端的VMware Identity Manager

 

  • VMware Identity Manager如何配置,如何與其他目錄服務或是安全認證方案進行結合

 

上面的三點內,本篇網誌我們要集中火力討論第一點,NSX-T內有哪些角色,不同的角色有哪些權限。而後篇網誌內我們則要說明NSX-T方案要怎麼接取到前端的vIDM。第三點對於vIDM怎麼安裝,不是我們的重點,但下篇網誌內會簡單地說明步驟。

 

好那NSX-T Data Center內,管理者有哪些不同的角色 (Role) 呢?目前在NSX-T 2.3版內,總共有下列十種內建的角色:

 

  • Enterprise Administrator (EA): 最高權限管理者,可以做所有的事。當大家安裝完NSX-T,預設的本地admin帳號就是隸屬於Enterprise Administrator這個角色

 

  • Network Engineer (NE): 對於網路服務如Switching and Routing擁有全部權限

 

  • Network Operator (NO): 對於網路服務僅能夠讀取配置但無法修改,但可以執行網路相關的Monitor / Troubleshooting工具

 

  • Security Engineer (SE): 對於安全服務如防火牆配置 / 加解密服務擁有全部權限

 

  • Security Operator (SO): 對於安全服務僅能夠讀取配置但無法修改,但可以執行安全相關的Monitor / Troubleshooting工具

 

  • Load Balancer Administrator (LB Adm): 對於負載平衡服務擁有全部權限

 

  • Load Balancer Auditor (LB Aud): 對於負載平衡服務擁有讀取權限

 

  • Auditor (A): 對於NSX-T內的所有配置均擁有讀取權限,但無法修改

 

如果你安裝完基礎的NSX-T,就會看到上面這八種內建角色。但如果這個NSX-T環境還有結合NSX Cloud方案,有安裝Cloud Service Manager,那就還有另外兩種相關的角色:

 

  • Cloud Service Administrator (CS Adm): 可以對Cloud Service相關服務進行管理與配置

 

  • Cloud Service Auditor (CS Aud): 對Cloud Service相關服務具備讀取權限

 

上面的說明,想必大家還是看得模模糊糊。NSX-T的文件內對於哪個角色可以做什麼事有很完整的對應表,但因為太大,又是標準文件各位都能夠查得到,我就只貼部分,如下圖:

上面這張圖的完整版本(列出所有權限與角色的對應),大家可以透過下列方式查詢:

 

  • 下載NSX-T Data Center的Administration Guide,在Operations and Management章節內的Managing User Accounts and Role-Based Access Control這個段落內就可以找到上面這張表,

 

  • 或是線上版本,以NSX-T 2.3版來說是在https://docs.vmware.com/en/VMware-NSX-T-Data-Center/2.3/com.vmware.nsxt.admin.doc/GUID-26C44DE8-1854-4B06-B6DA-A2FD426CDF44.html 這邊

 

而在上表內的FA / E / R / None代表的分別是

 

  • FA (Full Access): 可以讀取以及進行配置異動

 

  • E (Execute): 可以執行對應工具

 

  • R (Read Only): 只能讀取相關配置,不能進行配置更動

 

  • None: 不相關 / 不具備任何權限

 

這樣的對照很清晰了吧。

 

當我們已經做好vIDM與NSX-T的整合(下一篇網誌),此時我們用admin帳號登入NSX-T管理介面,從System – Users – Role Assignment內,就可以看到有哪些帳戶,以及對應的權限有哪些。下圖內可以看到基礎的admin帳戶就是Enterprise Administrator,另外我從vIDM拉入了幾個帳號並且配置了對應的Roles

 

比如說[email protected]這個帳號被授與了Auditor / Security Engineer / Security Operations的權限。當然,我們可以對各個帳號的角色進行修改:

一個要注意的是到目前的版本,NSX-T仍僅能支援內建帳戶(也就是上面講的那十個),而還沒有客製化角色細部權限的功能。希望在後續的新版本內會把這個需求做出來。

 

下一篇網誌內,我們與各位介紹NSX-T與vIDM的整合方式。