IBM Cloud Docs
VMware Solutions工作負載域

VMware Solutions工作負載域

您的客戶工作負載虛擬機器 (VM) 正在使用具有客戶自帶 IP (BYOIP) 位址空間的覆蓋虛擬化網路。 將這些 IP 範圍與客戶工作負載 AD 網域關聯,而不是與IBM Cloud® for VMware Solutions基礎架構Active Directory™ (AD) 網域關聯。 我們建議VMware Solutions基礎架構 AD 網域保留僅用於管理vCenter Server 執行個體的資源和使用者帳戶。 工作負載虛擬機器的資源和使用者帳戶保存在單獨的林或網域中。

基礎架構設備和虛擬機器(例如vCenter和 NSX Manager)部署在底層網路上,其 IP 位址空間由IBM Cloud指派。 除非進行配置,否則覆蓋網路上的客戶工作負載虛擬機器無法存取底層網路上的 AD 網域控制器。 此外,底層網路上的基礎設施設備無法到達覆蓋網路上的客戶工作負載 AD 網域控制器。

VMware Solutions客戶通常會為其VMware Solutions工作負載域使用下列模型之一。

  • 新的獨立 AD 林域。
  • 信任現有樹系的新 AD 樹系。
  • 擴展林並建立新網域。
  • 使用 AD 站台延伸網域模型。
  • 延伸網域。

新的獨立 AD 林域模型

此模型部署一個沒有信任的獨立林域。 在此部署模型中,將為vCenter Server 執行個體中所託管的工作負載配置新的林和VMware Solutions工作負載域。 該網域與本地運行的現有 AD 不同且獨立。 選擇此模型的主要原因是在兩個林或網域之間保持帳戶和資源分開。 在此模型中,客戶至少配置兩個網域控制站作為每個vCenter Server 執行個體中所託管的虛擬機器。 這些 VM 將連接至層疊網路,並且新的網域控制站將具有「主要網域控制站」角色。 所有使用者憑證、服務帳戶和電腦物件都位於這些網域控制站上託管的此IBM Cloud for VMware Solutions工作負載網域中。 在本地和IBM Cloud之間不需要 AD 網路連接,因為兩個 AD 林之間不共用任何內容。 IBM Cloud for VMware Solutions基礎架構網域僅用於系統管理員的使用者憑證和服務帳戶以及底層連接的基礎架構元件的資源物件。 下圖顯示了此獨立 AD 林模型的Active Directory網域服務拓樸。

新的獨立 AD 林域圖
新的獨立 AD 林域圖

信任現有樹系的新 AD 樹系模型

此模型在IBM Cloud中部署一個新的林域,並信任本地現有的林。 如果您打算將本機 AD 林中的使用者帳戶用於作為託管在VMware Solutions工作負載林域中的vCenter伺服器執行個體上的虛擬機器執行的資源,則必須至少建立對 AD 的單向信任網域運行在IBM Cloud. 在此部署模型中,您的IBM Cloud for VMware Solutions工作負載林域將成為資源物件所在的資源網域,而本機網域將成為使用者帳戶網域。 您必須在本機和IBM Cloud之間具有 AD 連線。 通常,雙向信任不會部署在此模型中,因為會使用替代部署模式來延伸 Active Directory。 IBM Cloud for VMware Solutions基礎架構網域僅用於系統管理員的使用者憑證和服務帳戶以及底層連接的基礎架構元件的資源物件。 下圖顯示了這個具有信任模型的新林的Active Directory域服務拓樸。

信任現有林的新 AD 林圖
信任現有林的新 AD 林圖

延伸樹系並建立新網域模型

在此部署模型中,您將現有的 AD 林從本機擴展到IBM Cloud並建立一個新的子網域。 更多網域控制站現在以託管在vCenter Server 執行個體上的虛擬機器執行。 這種部署簡單、靈活,具有以下優點:

  • 您無需設立更多信託。
  • IBM Cloud中的網域控制站正在處理帳戶和資源。
  • 針對網路連線功能問題更具備援能力。

在此模型中,客戶至少配置兩個網域控制站作為每個vCenter Server 執行個體中所託管的虛擬機器。 這些 VM 將連接至層疊網路,並且新的網域控制站將對子網路域具有「主要網域控制站」角色。 所有使用者憑證、服務帳戶和資源物件都位於這些網域控制站上託管的此IBM Cloud for VMware Solutions工作負載子網域中。 但是,由於父子關係固有的雙向信任,可以使用父網域中的使用者存取子網域資源對象,也可以使用子網域中的使用者存取父域資源物件。 您的資料中心和IBM之間需要網路連接,以便在網域控制器之間進行初始和持續的資料複製。 下圖顯示了具有新子域模型的擴展林的Active Directory域服務拓撲。

擴充林並建立新的網域圖
擴充林並建立新的網域圖

使用 AD 站台延伸網域模型

在此模型中,客戶至少配置兩個網域控制站作為每個vCenter Server 執行個體中所託管的虛擬機器。 這些 VM 將連接至層疊網路,並且此網路將連接至企業中的現有客戶網域控制站。 將在現有林域中配置新的 AD 站點以及新站點連結。 新的網域控制站將連接至現有網域,並移入新的 AD 站台。 AD 站台包含層疊子網路。 新的網域控制站將具有「其他網域控制站」角色,而現有網域控制站將具有「主要網域控制站」角色。 有關詳細信息,請參閱 了解Active Directory網站拓撲。 下圖顯示了具有 AD 站點模型的此擴充域的Active Directory域服務拓撲。

使用 AD 網站圖擴充網域
使用 AD 網站圖擴充網域

IBM Cloud for VMware Solutions基礎架構網域僅用於系統管理員的使用者憑證和服務帳戶以及底層連接的基礎架構元件的資源物件。 如果需要,現有樹系可以使用信任來鏈結到 IBM Cloud for VMware Solutions 樹系中。

延伸網域模型

這個擴展域模型是最簡單的模型。 透過此模型,您可以在混合場景中無縫設定並使用IBM Cloud同時對應用程式的影響最小。 您的資料中心和IBM之間需要第 2 層網路連接,因此這是VMware® HCX 的理想模型。 此模型允許現有網域控制器最初保留在本地,並且可以透過使用遷移後的虛擬機器的延伸第 2 層網路來存取這些網域控制站。 已移轉的 VM 中的網域和 DNS 配置無需針對移轉進行變更。 在必要的時間內,網域控制站可以移轉到 vCenter Server 實例,無需任何變更。

根據Active Directory網域服務的複雜性,當刪除第 2 層網路擴充時,如果未將完整的林域移至IBM Cloud,則可能需要完成更多Active Directory網域服務任務。 使用 AD 網站有助於控製本地和IBM Cloud之間跨第 3 層網路的複製流量。 請參閱上一區段中說明的使用 AD 站台延伸網域模型。 下圖顯示了此擴展域模型的Active Directory域服務拓撲。

擴展域圖
擴展域圖

重組 AD 網域

可以重組 AD 域,但詳細資訊超出了本文檔的範圍。 檢視以下兩種類型的重組:

  • 林間重構 - 當您在林之間遷移物件時,來源域和目標域環境都存在,如果需要,您可以在遷移過程中回滾到來源環境。
  • 樹系內重組 - 重組樹系中的網域時,已移轉的帳戶在來源網域中不再存在。

有關詳細信息,請參閱 ADMT 指南 - 遷移和重組Active Directory網域(文件下載)。

vCenter Server 實例中 AD 的最佳作法手冊

請參閱以下有關vCenter Server 執行個體中 AD 的指南。

  • 有關支援的 AD 信任的詳細信息,請參閱 VMware vCenter Single Sign-on 支援的 Microsoft Active Directory信任
  • 為vCenter啟用身份來源,以對所有vCenter服務和系統管理員進行身份驗證。 此配置由VMware Solutions自動化完成,可供客戶新增其係統管理員使用者。 所有管理VMware Server 執行個體的系統管理員都擁有屬於該網域成員的使用者帳戶。
  • 建立一個網域,作為支援VMware vSphere®和 NSX 基礎架構元件的系統管理員的單點存取控制。 此配置由VMware Solutions自動化完成。
  • 部署兩個網域控制器以實現彈性。 如果您選擇單一 VSI AD/DNS 選項,請設定第二個Microsoft® Windows® VSI 並配置為網域控制站。
  • 請勿更改現有域名。
  • 請勿變更現有的 ic4V-vCenter AD 安全性群組。
  • 請勿變更現有的使用者自動化或其群組成員資格已變更。
  • 請勿變更現有的附加服務帳戶,否則其群組成員資格將會被變更。
  • 當您部署IBM Cloud for VMware Solutions工作負載網域控制站時,請將它們部署在沒有到 NAT 閘道或其他可提供出站 Internet 存取的裝置的路由的子網路中。
  • 讓所有網域控制站上的作業系統安全性修補程式保持最新。
  • 使用 NSX 分散式防火牆限制容許進入網域控制站的埠和通訊協定。
  • 僅容許來自可信任網路的遠端管理存取,如遠端桌面通訊協定 (RDP)。
  • 考慮是否需要對虛擬機器進行加密。
  • 如果您選擇將 AD 伺服器部署到vSphere叢集中,請為伺服器提供Microsoft Windows許可和激活,以確保合規性和可用性。
  • 整合 NSX VPN(適用時)與 AD SSO。
  • 將 vSphere ESXi 主機與 AD SSO 整合。
  • 考慮擴充IBM Cloud for VMware Solutions基礎架構域中的現有 AD 安全性群組結構,以提供更多的職責分離。 下表中提供了此結構的範例。 單一使用者帳戶不得存在於多個群組中,因為它們是互斥的。
Active Directory安全性群組
AD 安全群組名稱 說明 SSO 角色對映
NSX 企業管理者 最大的特權集。 包含一小組負責管理 NSX 所有元件的用戶,包括所有 NSX 操作(部署、設定、升級)以及管理安全性策略。 指派給 NSX Manager 中的「NSX Enterprise 管理者」角色。
NSX 管理者 NSX 企業管理者群組的子集。 適用於僅需要 NSX 作業(例如,安裝虛擬應用裝置或配置埠群組)的許可權的使用者。 指派給 NSX Manager 中的「NSX 管理者」角色。
NSX 安全管理者 NSX 企業管理者群組的子集。 適用於僅需要 NSX 安全(例如,定義資料安全原則,建立埠群組以及為 NSX 模組建立報告)的許可權的使用者。 在 NSX Manager 中指派「安全管理員」角色。 一開始請使用「廣域」範圍。
NSX 審核員 NSX 企業管理者群組的子集。 適用於需要 NSX 唯讀許可權的使用者。 在 NSX Manager 中指派「審核員」角色。 一開始請使用「廣域」範圍。
ESX 管理者 當 ESXi 主機新增至Active Directory時,將使用該群組。 它允許系統管理員直接連接到使用vSphere客戶端的 ESXi,並使用 SSH 連線到使用命名帳戶而不是「root」的 ESXi 控制台。 在 ESXi 主機的進階設定中,預設群組名為「ESX 管理者」。 可以變更此群組名稱。 如果變更其名稱,請確保也建立了名稱相同的 AD 安全性群組。 此群組必須在每個 ESXi 主機的進階設定 (ConfigurationSoftwareAdvanced SettingsConfig.HostAgent.plugins.hostsvc.esxAdministratorGroup) 中進行定義,但不需要特殊的 vCenter 應用程式層次角色或許可權。