网络和安全管理员角色

vCenter 服务器模型采用单一网络管理员角色，负责管理所有网络组件（如底层网络、vSRX, 和 NSX™）。

调整的工作负载网络管理员角色必须分解为多个独立的管理员角色，以防止出现这种情况。

以下是建议的网络和安全管理员角色：

• IaaS安全管理员 - IaaS安全管理员角色的重点是保护所有平台基础架构组件免受来自网络的威胁。 责任范围包括为IBM Cloud受监管工作负载保护和控制对VMware管理和边缘层的访问所需的安全对象。 这些对象包括为用户工作负载提供计算和存储资源的 ESXi 主机。 IaaS 安全管理员还可对 IBM Cloud 控制台进行必要的访问，以部署和管理网络网关设备。 如果 NSX 安全对象影响 IBM Cloud 管理层和边缘层的安全，VMware Regulated Workloads，则 IaaS 安全管理员可能会在管理 NSX 安全对象方面发挥作用。 建议考虑启用IaaS安全管理员访问 NSX 平台是否会带来不可接受的风险。
• IaaS网络管理员 - IaaS网络管理员的范围仅限于管理平面、边缘服务层以及向工作负载提供计算和存储资源的硬件运行所需的底层网络。 IaaS 网络管理员可获得对 IBM Cloud 控制台的必要访问权限，以履行角色的指定职责。 IaaS 网络管理员无法访问 NSX 门户。
• NSX 管理员 - NSX 管理员的访问权限仅限于 NSX 门户。 NSX 管理员的职责范围非常广泛，足以创建允许必要流量所需的任何必要全局网络和安全对象。 这些流量必须完全满足使用网络资源的工作负载的要求。 NSX 管理员在IBM Cloud for VMware Regulated Workloads 平台的管理或边缘层的网络或安全方面不起任何作用。 NSX 网络管理员可为应用程序或业务组网络管理员定义更有限的范围，以便他们创建满足特定要求所需的网络对象。

NSX 管理员角色可分为以下角色：

• NSX 网络超级管理员 - 负责部署和运行必要的共享网络对象，如工作负载的 T0 路由器或边缘网关。
• NSX 网络安全管理员 - 专门的安全管理员，其职责仅限于 NSX 的防火墙和安全方面。
• 租户 NSX 管理员--如果需要，范围仅限于功能/应用/业务单位，以管理范围有限的资源。 例如，它包括 T1 路由器的部署。

管理集群

vSphere 管理员负责整个虚拟化计算和存储基础架构的正确配置、运行和维护。 平台安全管理员和网络管理员共同负责网络和管理基础设施安全方面的保护和运行。 网络管理员的职责范围包括软件定义网络 (NSX) 的配置、运行和维护，该网络为 SaaS 消费者工作负载提供网络和安全服务。

使用 NSX 作为软件定义网络提供商，可消除对 vCenter 设备控制 SDN 的依赖。 因此，平台网络管理员和vSphere管理员可以明确区分网络和计算资源以及存储的职责和责任。

vSphere 管理员和网络管理员都创建了具有必要和适当权限级别的角色，以使 SaaS 应用程序管理员能够履行所需的职责。 零信任模型的使用提高了整个 调整的工作负载 实现的安全性。

网关集群

虽然 vSphere 管理员负责组成网关群集的底层 ESXi 主机的正常运行，但 VMware 管理员对在其上运行的 vSRX 设备节点没有访问权限。 没有适用于网关群集的软件定义网络，因此 NSX 管理员无法访问 vSRX 设备节点。

安全管理员全权负责 vSRX 网关群集的配置、运行和维护。 只有安全管理员有权实施影响 调整的工作负载 管理层安全立场的配置更改。

在使用 FortiGate 设备等物理设备代替网关群集的情况下，虽然不存在虚拟平台管理员的角色，但安全管理员仍负责其操作。

工作负载集群

vSphere 管理员只负责工作负载主机的正常运行，工作负载主机提供虚拟化计算、存储和网络服务，供客户端应用程序使用。

负责管理层的安全管理员除了要求制定适当的策略外，对 SaaS 应用程序的安全性不承担任何责任。 这些策略可保护SaaS用户部署其应用程序的基础架构，并保护 NSX 向其传递南北流量的网络边界。

SaaS提供商可能会指定一名或多名 NSX 租户网络管理员来配置和管理通过 NSX 交付的网络服务，以支持部署到工作负载群集中的应用程序的要求。 平台网络管理员为租户网络管理员分配有限的访问权限和范围。 分配的范围可能包括部署和修改影响工作负载范围但不超出工作负载范围的安全策略的能力。

相关链接

• IBM Cloud合规计划