IBM Cloud Docs
VMware Solutions 工作负载域

VMware Solutions 工作负载域

客户工作负载虚拟机 (VM) 正在使用带有客户自带 IP (BYOIP) 地址空间的覆盖虚拟化网络。 将这些 IP 范围与客户工作负载 AD 域关联,而不是 IBM Cloud® for VMware Solutions 基础架构 Active Directory™ (AD) 域。 我们建议 VMware Solutions 基础架构的 AD 域仅为管理 vCenter Server 实例保存资源和用户帐户。 工作负载虚拟机的资源和用户账户位于单独的林或域中。

基础架构设备和虚拟机(如vCenter和 NSX Manager)部署在底层网络上,其 IP 地址空间由IBM Cloud 分配。 除非进行了配置,否则覆盖网络上的客户工作负载虚拟机无法连接到底层网络上的 AD 域控制器。 此外,下层网络上的基础架构设备无法连接到上层网络上的客户工作负载 AD 域控制器。

VMware Solutions客户通常在其VMware Solutions工作负载域中使用以下模型之一。

  • 新的独立 AD 林域。
  • 信任现有林的新 AD 林。
  • 扩展森林并创建新域。
  • 使用 AD 站点扩展域模型。
  • 扩展域。

新的独立 AD 林域模式

这种模式部署的是一个没有信任的独立林域。 在此部署模型中,将为您的 vCenter Server 实例中托管的工作负载配置新的森林和 VMware Solutions 工作负载域。 该域与内部运行的现有 AD 不同,是独立的。 选择这种模式的主要原因是要在两个林或域之间保持账户和资源分离。 在这种模式下,客户至少需要将两个域控制器作为虚拟机托管在每个vCenterServer 实例中。 这些 VM 将连接到覆盖网络,并且新的域控制器将具有“主域控制器”角色。 所有用户凭证、服务帐户和计算机对象都在这些域控制器托管的IBM Cloud for VMware Solutions工作负载域中。 内部部署和IBM Cloud之间不需要 AD 网络连接,因为两个 AD 森林之间不共享任何内容。 IBM Cloud for VMware Solutions基础架构域仅用于系统管理员的用户凭证和服务帐户,以及底层连接基础架构组件的资源对象。 下图显示了该独立 AD 森林模型的Active Directory域服务拓扑结构。

新的单机版 AD 林域图
的单机版 AD 林域图* 新的单机版 AD 林域

信任现有林的新 AD 林模型

此模式在IBM Cloud中部署一个新的林域,并对企业内部的现有林域建立信任。 如果计划将内部 AD 林中的用户账户用于作为VMware Solutions工作负载林域中vCenterServer 实例托管的虚拟机运行的资源,则必须至少与运行在IBM Cloud 中的 AD 林域建立单向信任。 在此部署模式中,您的IBM Cloud for VMware Solutions工作负载林域将成为资源对象所在的资源域,而内部部署域将成为用户账户域。 您必须在内部部署和IBM Cloud 之间建立 AD 连接。 通常,双向信任不会部署在此模型中,因为会使用替代部署模式来扩展 Active Directory。 IBM Cloud for VMware Solutions基础架构域仅用于系统管理员的用户凭证和服务帐户,以及底层连接基础架构组件的资源对象。 下图显示了这种新的森林信任模式的Active Directory域服务拓扑结构。

在现有森林图中新建 AD 森林并建立信任关系
AD 森林并建立信任关系*在现有森林
新建 AD 森林并建立信任关系

扩展林并创建新域模型

在此部署模式中,您将现有的 AD 林从内部部署扩展到 IBM Cloud 并创建一个新的子域。 现在,更多域控制器作为虚拟机运行,托管在 vCenter 服务器实例上。 这种部署方式简单、灵活,并具有以下优势:

  • 您无需设立更多信托。
  • IBM Cloud中的域控制器同时处理账户和资源。
  • 更弹性地应对网络连接问题。

在这种模式下,客户至少需要将两个域控制器作为虚拟机托管在每个vCenterServer 实例中。 这些 VM 将连接到覆盖网络,并且新的域控制器将对子域具有“主域控制器”角色。 所有用户凭证、服务帐户和资源对象都在这些域控制器托管的 IBM Cloud for VMware Solutions 工作负载子域中。 然而,由于父子关系中固有的双向信任,子域资源对象可以通过使用父域中的用户来访问,而父域资源对象也可以通过使用子域中的用户来访问。 您的数据中心与IBM之间需要网络连接,以便在域控制器之间进行初始和持续的数据复制。 下图显示了带有新子域模型的扩展林的Active Directory域服务拓扑。

扩展森林并创建新的域图
扩展森林并创建新的域图*扩展森林并创建新的域

使用 AD 站点扩展域模型

在这种模式下,客户至少需要将两个域控制器作为虚拟机托管在每个vCenterServer 实例中。 这些 VM 将连接到覆盖网络,并且此网络将连接到企业中的现有客户域控制器。 将在现有林域中配置一个新的 AD 站点和一个新的站点链接。 新的域控制器将连接到现有域,并移入新的 AD 站点。 AD 站点包含覆盖子网。 新的域控制器将具有“其他域控制器”角色,而现有域控制器将具有“主域控制器”角色。 有关详细信息,请参阅 了解 Active Directory 站点拓扑。 下图显示了该带 AD 站点模型的扩展域的Active Directory域服务拓扑。

![用 AD 站点图扩展域](../../images/adds-extenddomainwithsites.svg "用 AD 站点图扩展域* 用 AD 站点图扩展域* 用 AD 站点" caption-side="bottom"}"){: caption="域

IBM Cloud for VMware Solutions基础架构域仅用于系统管理员的用户凭证和服务帐户,以及底层连接基础架构组件的资源对象。 如果需要,现有林可以使用信任来链接到 IBM Cloud for VMware Solutions 林中。

扩展域模型

这种扩展域模型是最简单的模型。 通过这种模式,您可以在混合场景中无缝设置和使用 IBM Cloud,并将对应用程序的影响降至最低。 数据中心和IBM之间需要第 2 层网络连接,因此是VMware®HCX 的理想模式。 这种模式允许现有的域控制器最初保留在内部,这些域控制器可通过使用从已迁移虚拟机延伸的第 2 层网络进行访问。 已迁移的 VM 中的域和 DNS 配置无需针对迁移进行更改。 在必需的时间内,域控制器可以迁移到 vCenter Server 实例,无需任何更改。

根据 Active Directory 域服务的复杂程度,当移除第 2 层网络扩展时,如果不将完整的林域移动到 IBM Cloud 中,可能需要完成更多 Active Directory 域服务任务。 使用 AD 站点有助于控制内部部署与IBM Cloud之间第 3 层网络的复制流量。 请参阅上一部分中描述的使用 AD 站点扩展域模型。 下图显示了该扩展域模型的 Active Directory 域服务拓扑。

扩展域图{: caption="扩展域图扩展" caption-side="bottom"}

重构 AD 域

可以重组 AD 域,但具体细节不在本文讨论范围之内。 回顾以下两类重组:

  • 森林间重组 - 在森林间迁移对象时,源域和目标域环境都存在,如有必要,可以在迁移过程中回滚到源环境。
  • 林内重构 - 重构林中的域时,已迁移的帐户在源域中不再存在。

有关详细信息,请参阅 ADMT 指南 - 迁移和重组 Active Directory 域(文档下载)。

vCenter Server 实例中 AD 的最佳实践指南

查看以下有关 vCenter Server 实例中 AD 的指导。

  • 有关支持的 AD 信任的更多信息,请参阅 由 VMware vCenter 单点登录支持的 Microsoft Active Directory 信任
  • 使用身份源启用 vCenter 以对所有 vCenter 服务和系统管理员进行身份验证。 该配置由VMware Solutions自动化完成,客户可随时添加系统管理员用户。 所有管理VMwareServer 实例的系统管理员的用户账户都是该域的成员。
  • 创建一个域,作为支持VMware vSphere®和 NSX 基础架构组件的系统管理员的单点访问控制。 该配置由 VMware Solutions自动化完成。
  • 部署两台域控制器,以实现弹性。 如果选择单个 VSI AD/DNS 选项,请配置第二个Microsoft® Windows®VSI 并将其配置为域控制器。
  • 不要更改现有域名。
  • 请勿更改现有的 ic4V-vCenter AD 安全组。
  • 不要更改现有的用户自动化或其组员资格。
  • 不要更改现有的附加服务账户,否则会更改其组成员资格。
  • 部署IBM Cloud for VMware Solutions工作负载域控制器时,请将它们部署在没有通向 NAT 网关或其他提供出站互联网访问的设备的路由的子网中。
  • 更新所有域控制器上的操作系统安全补丁。
  • 使用 NSX 分布式防火墙限制允许进入域控制器的端口和协议。
  • 仅允许来自可信网络的远程管理访问,如远程桌面协议 (RDP)。
  • 考虑是否需要对虚拟机进行加密。
  • 如果选择将 AD 服务器部署到vSphere群集中,请为服务器提供Microsoft Windows许可和激活,以确保合规性和可用性。
  • 将 NSX VPN(如果适用)与 AD SSO 相集成。
  • 将 vSphere ESXi 主机与 AD SSO 集成。
  • 考虑扩展IBM Cloud for VMware Solutions基础设施域中现有的 AD 安全组结构,以提供更多的职责分离。 下表中提供了此结构的示例。 单个用户账户不得存在于一个以上的组中,因为它们是相互排斥的。
Active Directory安全组
AD 安全组名 描述 SSO 角色映射
NSX Enterprise 管理员 最大的一组特权。 包含一小组用户,负责管理 NSX 的所有组件,包括所有 NSX 操作(部署、配置、升级)和管理安全策略。 分配给 NSX Manager 中的“NSX Enterprise 管理员”角色。
NSX 管理员 “NSX Enterprise 管理员”组的子集。 适用于仅需要 NSX 操作(例如,安装虚拟设备或配置端口组)的许可权的用户。 分配给 NSX Manager 中的“NSX 管理员”角色。
NSX 安全管理员 “NSX Enterprise 管理员”组的子集。 适用于仅需要 NSX 安全性(例如,定义数据安全策略,创建端口组以及为 NSX 模块创建报告)的许可权的用户。 指定为 NSX 管理器中的“安全管理员”角色。 初始使用全局作用域。
NSX 审计员 “NSX Enterprise 管理员”组的子集。 适用于需要 NSX 只读许可权的用户。 指定为 NSX Manager 中的“审计员”角色。 初始使用全局作用域。
ESX 管理员 将 ESXi 主机添加到 Active Directory 时使用该组。 它允许系统管理员直接连接到使用 vSphere 客户端的 ESXi,并使用 SSH 连接到使用命名账户而不是 "root "的 ESXi 控制台。 在 ESXi 主机的高级设置中,缺省组名为“ESX 管理员”。 可以更改此组名。 如果更改其名称,请确保也创建了一个名称相同的 AD 安全组。 此组必须在每个 ESXi 主机的高级设置 (ConfigurationSoftwareAdvanced SettingsConfig.HostAgent.plugins.hostsvc.esxAdministratorGroup) 中进行定义,但不需要特殊的 vCenter 应用程序级别角色或许可权。