はじめに
最近、VMware Cloud on AWSを利用するときに、cloudadmin@vmc.local以外でログインが可能か?と聞かれます。
結論から言うと、外部のLDAP(Active Directory)を設定すれば、利用することが可能です。
設定も含めて、VMwareのサイトにも掲載されていますが、せっかくなのでまとめておこうと思います。
TIPSシリーズとして、ちょっとしたノウハウを書いていきたいと思います。
ちなみに、複数のリージョンでVMware Cloud on AWSとAWS Managed Active Directoryの組み合わせは非常に便利です。
どこのSDDCでも同じID/Passwordでログインできるので・・・。オンプレのADでもよいですが・・・。
VMware ManagedのvCenterについて
VMware Cloud on AWS(以降VMCと表記します)はVMwareとAWSフルマネージドのサービスです。
vCenterもマネージドとなっており、ユーザ側で設定できる機能が少なくなっています。
また、オンプレミスのVCSAだと、administrator@vsphere.localですが、VMCはcloudadmin@vmc.localというIDでログインします。
VMCのvCenterはインターネット経由でアクセスしてログインします。
ちなみに、Cloud Service Consoleで、vCenterのログインをPrivate IP経由に変更することも可能です。
URLは同じですが、DNSのresolvでPrivate IPを返すように設定できます。
こちらはCloud Service ConsoleのSettingの画面
右側のEDITを押すと、設定画面が表示されます。
Public IPはGlobal IP
Private IPはvCenterのPrivate IPが表示されます。
なぜこの機能が必要か?
VMC標準では、cloudadmin@vmc.localで管理者権限のみが提供されます。パスワードもユーザ側では 変更できません 変更可能です。修正します。(2022/11/4)
実運用に入ると、運用者や仮想マシンの管理者というロールが必要となってきます。
オンプレミスでは、vCenterのvsphere.localにIDが登録できましたが、フルマネージドのVMCでは、vmc.localにアカウントの追加ができません。
そこで、冒頭の外部LDAPを設定することで、仮想マシン毎のロールが可能となります。
実際に、設定していきましょう。
実際の設定について
実際の設定は、vCenterから実施します。
左上のバーから、管理画面に遷移します。
Single Sign Onの画面で、ドメインがないことを確認します。
外部連携のソースを登録します。
今回はActive Directory(AWS Managed Active Directory)を登録します。
aws-event.localはAWS Managed Active Directoryになります。一般の識別子と異なりますので注意してください。
設定後に一度ログアウトしないと反映されません。注意しましょう。
Active Directoryが参照可能になったのを確認しましょう。
実際につかってみる。
cloudadmin@vmc.localで設定を行います。
vCenterの直下に、Cloudadminの権限でActive DirectoryのUserを登録します。
アクセスは赤い線を参照ください。
権限の登録はこんな感じです。
登録後はこうなります。
実際にログインしてみます。
右上のユーザ表示の部分がログインのドメインIDになっていることと、先ほどまで見えていたManagement-ResoucePoolが見えなくなっていることが分かると思います。
ユーザ側の仮想マシンは自由に触れます。
応用編
特定の仮想マシンだけ権限をつけることも可能です。
この場合は、仮想マシンフォルダの一部に権限を付与しています。
管理者権限との差異のため同じ画面を管理者画面で表示しておきます。
まとめ
オンプレミスからシームレスに移行できるとか、L2延伸ができるなどのテクノロジーが強調されがちなVMware Cloud on AWSですが、
運用面も考えて、機能が解放されているので、このあたりもしっかり活用出来ればと思います。