VMware Aria Automation 使 IT 提供商能够在每个部署中设置多个租户或组织。提供商可以设置多个租户组织,并在每个部署中分配基础架构,还可以管理租户的用户。
在 VMware Aria Automation 多组织配置中,提供商可以创建多个组织,每个租户组织管理自己的项目、资源和部署。虽然提供商无法远程管理租户基础架构,但他们可以登录到租户那里管理租户内的基础架构。
- Workspace ONE Access- 此产品为多租户和在租户组织内提供用户和组管理的 Active Directory 域连接提供基础架构支持。
- VMware Aria Suite Lifecycle- 此产品支持为受支持的产品(如 VMware Aria Automation)创建和配置租户。此外,它还提供一些证书管理功能。
- VMware Aria Automation- 提供商和用户可登录到 VMware Aria Automation 以访问租户,并可在租户中创建和管理部署。
配置多租户时,用户应熟悉所有这三个产品及其相关文档。
具有 VMware Aria Suite Lifecycle 特权的管理员可以使用 VMware Aria Suite Lifecycle 的“租户”页面(位于身份与租户管理服务下)创建和管理租户。租户是使用 Active Directory IWA 或 LDAP 连接构建的。它们由 VMware Aria Automation 部署所需的关联 Workspace ONE Access 实例提供支持。
配置多租户时,可以从基本租户或主租户开始。此租户是在部署底层 Workspace ONE Access 应用程序时创建的默认租户。其他租户(称为子租户)可以基于主租户。VMware Aria Automation 当前最多支持使用标准三节点部署的 20 个租户组织。
为 VMware Aria Automation 启用多租户之前,必须先在单个组织配置中安装该应用程序,然后使用 VMware Aria Suite Lifecycle 设置多组织配置。Workspace ONE Access 部署支持对租户和关联的 Active Directory 域连接进行管理。
最初设置多租户时,会在 VMware Aria Suite Lifecycle 中指定一个提供商管理员。如果需要,可以稍后更改此指定或添加管理员。在多组织配置下,VMware Aria Automation 用户和组主要通过 Workspace ONE Access 进行管理。
创建组织后,授权用户可以登录到其应用程序,创建或使用项目和资源以及创建部署。管理员可以在 VMware Aria Automation 中管理用户角色。
为多组织配置进行设置
完成 VMware Aria Automation 安装后,可以启用多组织部署。设置多组织配置时,必须配置外部 Workspace ONE Access 供多租户使用,然后使用 Lifecycle Manager 创建并配置租户。这同时适用于新部署和现有部署。作为设置租户的初始步骤,您必须使用 VMware Aria Suite Lifecycle 为在 Workspace ONE Access 上默认创建的主租户设置别名。基于此主租户创建的子租户会从此主租户继承 Active Directory 域配置。
在 Lifecycle Manager 中,可以将租户分配给产品(如 VMware Aria Automation)和特定环境。设置租户时,还必须指定租户管理员。默认情况下,会基于租户主机名启用多租户。用户可以选择按 DNS 名称手动配置租户名称。在此过程中,必须设置多个标志支持多租户,并且还必须配置负载均衡器。
如果使用集群实例,则基于 Workspace ONE Access 和 VMware Aria Automation 租户的主机名都将指向负载均衡器。
如果集群 VMware Aria Automation 和 Workspace ONE Access 负载均衡器不使用通配符证书,则用户必须将租户主机名添加为证书上的 SAN 条目(对于创建的每个新租户)。
您无法在 VMware Aria Automation 或 VMware Aria Suite Lifecycle 中删除租户。如果需要将租户添加到现有的多租户部署中,您可以使用 VMware Aria Suite Lifecycle 执行此操作,但这需要三到四个小时的停机时间。
有关使用 VMware Aria Suite Lifecycle Workspace ONE Access 的详细信息,请参阅本主题开头的文档链接。
主机名和多租户
在以前版本的 VMware Aria Automation 中,用户使用基于目录路径的 URL 访问租户。在当前的多租户实施中,用户将根据主机名访问租户。
此外,VMware Aria Automation 用户用于访问租户的主机名格式与 Workspace ONE Access 中用于访问租户的格式不同。例如,有效的主机名如下所示: tenant1.example.eng.vmware.com
,而不是 vidm-node1.eng.vmware.com
。
多租户和证书
必须为多组织配置中涉及的所有组件创建证书。对于 Workspace ONE Access、VMware Aria Suite Lifecycle 和 VMware Aria Automation,您将需要一个或多个证书,具体取决于使用的是单节点配置还是集群配置。
配置证书时,可以将通配符与 SAN 名称配合使用,也可以使用专用名称。使用通配符将在一定程度上简化证书管理,因为每当添加新租户时,都必须更新证书。如果 VMware Aria Automation 和 Workspace ONE Access 负载均衡器不使用通配符证书,则对于创建的每个新租户,您都必须将租户主机名添加为证书上的 SAN 条目。此外,如果使用 SAN,则在添加或删除主机或更改主机名时,必须手动更新证书。还必须为租户更新 DNS 条目。
请注意,VMware Aria Suite Lifecycle 不会为每个租户创建单独的证书。相反,它会对列出的每个租户主机名创建单个证书。对于基本配置,租户的 CNAME 使用以下格式:tenantname.vrahostname.domain。对于高可用性配置,名称使用以下格式:tenantname.vraLBhostname.domain。
如果使用的是集群 Workspace ONE Access 配置,请注意,Lifecycle Manager 无法更新负载均衡器证书,因此必须手动进行更新。此外,如果您需要重新注册 VMware Aria Suite Lifecycle 外部的产品或服务,这是一个手动过程。