通过 VMware VMware Cloud Director,可以将虚拟基础架构资源池化到虚拟数据中心 (VDC),然后通过基于 Web 的门户和编程接口将其作为基于目录的完全自动化服务向用户公开,从而构建安全的多租户云。
本《VMware Cloud Director 服务提供商管理指南》介绍了有关将资源添加到系统、创建和置备组织、管理资源和组织以及监控系统的信息。
服务提供商、子提供者和租户
除了服务提供商和租户之外,VMware Cloud Director 10.6 还引入了子提供者的概念。子提供者是租户用户配置,可以创建和管理租户组织。提供者可以授权租户组织成为子提供者,方法是向租户组织授予必要的管理权限和遍历其他组织的权限。子提供者管理员无法向其租户授予这些权限。
如果要将现有租户组织更改为子提供者组织,则必须向其发布 Default Sub-Provider Entitlement
权限包,并将子提供者管理员角色或包含一组等效权限的权限包和角色发布到该租户组织。创建组织时,如果选择子提供者选项,VMware Cloud Director 会自动将 Default Sub-Provider Entitlement
权限包和子提供者管理员角色发布到新创建的组织。
- 创建组织
- 创建、查看、管理和删除组织 VDC
- 创建、查看、管理和删除组织 VDC 网络
- 切换到组织
- 设置组织 IdP
- 执行所有标准租户操作
- 创建和发布角色
- 创建和发布权限包
- 查看外部网络
- 共享和发布目录
- 管理目录订阅
子提供者管理的租户组织的限制
- 无法将
System
组织管理的租户组织重新分配给子提供者。 - 无法将子提供者管理的租户组织重新分配给
System
组织。 - 无法将已由子提供者管理的租户组织重新分配给其他子提供者。
vSphere 和 NSX 资源
VMware Cloud Director 依赖于 vSphere 资源提供运行虚拟机所需的 CPU 和内存。此外,vSphere 数据存储还可以为虚拟机操作所需的虚拟机文件和其他文件提供存储。VMware Cloud Director 还使用 vSphere Distributed Switch、vSphere 端口组和 NSX Data Center for vSphere 支持虚拟机网络。
VMware Cloud Director 还可以使用 NSX 的资源。有关向云注册 NSX Manager 实例的信息,请参见“在 VMware Cloud Director 中注册 NSX Manager 实例”主题或《面向服务提供商的 VMware Cloud Director API 编程指南》。
您可以使用底层 vSphere 和 NSX 资源来创建云资源。
VMware Cloud Director 可以充当 HTTP 代理服务器,您可以使用该服务器使组织能够访问底层 vSphere 环境。
云资源
云资源是其底层 vSphere 资源的抽象层。可以为 VMware Cloud Director 虚拟机和 vApp 提供计算资源和内存资源。vApp 是虚拟系统,包含一个或多个独立虚拟机以及定义操作详细信息的参数。云资源还支持您访问存储和网络连接。
云资源包括提供者 VDC 和组织 VDC、外部网络、组织 VDC 网络和网络池。
您必须先添加 vSphere 资源,然后才能将云资源添加到 VMware Cloud Director。
计算资源超额置备
CPU 和内存分配与超额置备相同。
存储置备
提供者可以向其租户授予提供者 VDC 存储策略。子提供者可以通过将已授予的存储策略发布到其租户组织 VDC 来使用这些策略。与 CPU 和内存不同,存储不能超额置备。子提供者分配给租户的存储不能超过其存储分配。例如,如果提供者具有 100 GB 存储,并且向子提供者授予的存储策略仅包含 50 GB,则子提供者可以为其租户组织 VDC 分配的总存储量为 50 GB。
提供者可以授予比可用物理存储更多的存储。但是,子提供者无法了解他们为租户超额置备了多少存储,因为他们不知道有多少物理存储。
专用 vCenter 实例和代理
专用 vCenter 实例是封装整个 vCenter 安装的云资源。一个专用 vCenter 实例包括一个或多个代理,这些代理是底层 vSphere 环境中不同组件的访问点。提供者可以创建和启用专用 vCenter 实例和代理。提供者可以将专用 vCenter 实例发布到租户。
要创建并管理专用 vCenter 实例和代理,可以使用Service Provider Admin Portal或 vCloud OpenAPI。请参见在 VMware Cloud Director 中管理专用 vCenter 实例和 VMware Cloud Director OpenAPI 入门。
提供者虚拟数据中心
提供者 VDC 可将单个 vCenter 资源池的计算资源和内存资源与可用于该资源池的一个或多个数据存储的存储资源结合在一起。
提供者 VDC 可以使用与 vCenter 实例关联的 NSX-V Manager 中的网络资源,也可以使用已注册到云的 NSX Manager 实例中的网络资源。
您可以为不同地理位置或业务部门的用户,或者具有不同性能要求的用户创建多个提供者 VDC。
组织虚拟数据中心
组织 VDC 为组织提供资源,并从提供者 VDC 进行分区。组织 VDC 提供了一个能够存储、部署并操作虚拟系统的环境。它们还可以为软盘和 CD ROM 等虚拟媒体提供存储。
一个组织可以有多个组织 VDC。
VMware Cloud Director 网络
- 外部网络
- 组织 VDC 网络
- vApp 网络
网络池支持部分组织 VDC 网络和所有 vApp 网络。
外部网络
外部网络是基于 vSphere 端口组的逻辑区分网络。组织 VDC 网络可以连接到外部网络,向 vApp 内部的虚拟机提供 Internet 连接。
VMware Cloud Director 支持 IPv6 外部网络。一个 IPv6 外部网络可同时支持 IPv4 和 IPv6 子网,一个 IPv4 外部网络也可同时支持 IPv4 和 IPv6 子网。
默认情况下,只有系统管理员才能创建和管理外部网络。
组织虚拟数据中心网络
组织 VDC 网络属于 VMware Cloud Director 组织 VDC,并且可用于组织中的所有 vApp。组织 VDC 网络允许组织中的 vApp 相互通信。要提供外部连接,可以将组织 VDC 网络连接到外部网络。您还可以创建连接到组织内部的隔离组织 VDC 网络。
VMware Cloud Director 支持对直连组织 VDC 网络和路由组织 VDC 网络使用 IPv6。
系统管理员可以创建由 NSX 逻辑交换机支持的隔离 VDC 网络。组织管理员可以创建由网络池支持的隔离 VDC 网络。
VMware Cloud Director 通过在 VDC 组中配置延伸网络来使用跨 VDC 网络。
默认情况下,只有系统管理员才能创建直连 VDC 网络和跨 VDC 网络。系统管理员和组织管理员可以管理组织 VDC 网络,但组织管理员可执行的操作有一些限制。
vApp 网络
vApp 网络属于 vApp,并允许 vApp 中的虚拟机相互通信。要使 vApp 能够与组织中的其他 vApp 通信,可以将 vApp 网络连接到组织 VDC 网络。如果组织 VDC 网络连接到外部网络,则 vApp 可以与其他组织中的 vApp 通信。网络池支持 vApp 网络。
具有 vApp 访问权限的大多数用户均可创建并管理自己的 vApp 网络。有关使用 vApp 中网络的信息,请参见VMware Cloud Director 子提供者和租户指南。
网络池
网络池是一组可在一个组织 VDC 中使用的无差别网络。VLAN ID 或端口组等 vSphere 网络资源支持网络池。VMware Cloud Director 使用网络池创建 NAT 路由网络和内部组织 VDC 网络以及所有 vApp 网络。池中每个网络的网络流量均在第 2 层与其他所有网络隔离。
VMware Cloud Director 中的每个组织 VDC 均可拥有一个网络池。多个组织 VDC 可以共享一个网络池。组织 VDC 的网络池提供为满足组织 VDC 的网络配额而创建的网络。
只有系统管理员才能创建和管理网络池。
组织
VMware Cloud Director 通过使用组织来支持多租户。组织是用于管理一批用户、组和计算资源的单元。用户将在组织级别进行身份验证,提供用户在创建或导入时由组织管理员建立的凭据。系统管理员可以创建并置备组织,而组织管理员可以管理组织用户、组和目录。VMware Cloud Director 子提供者和租户指南介绍了组织管理员任务。
用户和组
组织可以包含任意数量的用户和组。组织管理员可以创建用户以及从 LDAP 等目录服务中导入用户和组。系统管理员负责管理每个组织可用的一组权限。系统管理员可以创建全局租户角色并将其发布到一个或多个组织。组织管理员可以在其组织中创建本地角色。
目录
组织使用目录来存储 vApp 模板和媒体文件。具有目录访问权限的组织成员可以使用包含的 vApp 模板和媒体文件来创建自己的 vApp。系统管理员可以允许组织发布目录,使其可供其他组织使用。然后,组织管理员可以决定为其用户提供哪些目录项。