本主题详细介绍超级租户配置的必备条件。

网络连接要求

超级租户必须具有外围网络(如上图中的 DMZ),其中租户设备和其他面向外部的组件(如 Unified Access Gateway)位于防火墙后面。租户管理员必须为每个要隔离的客户创建子网。每个子网都必须进行标记(通常使用客户 ID 或名称),以便在管理程序和平台上轻松识别客户。管理员必须配置这些子网,以便允许在 DMZ 和客户子网(如图 2.5 中的 N1C1 和 N2C2)之间传递流量,反之亦然。管理员可以在 vCenter 中使用 DVS(分布式虚拟交换机)或标准 vSwitch 网络。使用分布式虚拟网络可能比较有利,因为根据网络规范,每个数据中心的 VLAN 数量会受到限制(4096 个 VLAN 或更少)。

租户 Active Directory 和 DNS 配置

租户管理员可以通过创建特定于客户的安全组来使用单个 Active Directory 为所有客户提供服务。域控制器和 DNS 服务器必须位于 DMZ 网络中,以便为所有客户分配的子网都可以连接。请查看 Microsoft 建议的最佳做法,以便在子网之间使用域控制器。

管理员应为每个客户创建安全组,以便在平台中轻松执行用户管理和配置(如用户映射)。可以通过在 Active Directory 中的 OU 下创建包含安全组的组织单位来分隔客户。

租户 DHCP 配置

租户管理员应根据子网的网络拓扑配置 DHCP。通过利用网络路由器的 BOOTP 中继代理功能或将另一台计算机用作每个子网上的中继代理,可以使用单个 DHCP 服务器为所有子网桌面客户端提供服务。

应验证每个 DHCP 范围,以确保每个网络子网的域控制器和 DNS 配置正确。

请参阅 Microsoft 建议和最佳做法,以配置 DHCP 服务器:http://technet.microsoft.com/en-us/library/cc771390.aspx

映像

租户管理员应创建映像并根据客户的要求对其进行自定义。如果需要,管理员可以为每个客户创建单独的映像。

注: 由于 Microsoft 许可限制,可能不建议在超级租户中使用 Windows 客户端操作系统映像(如 Windows 7)。具体来说,与 Windows 7(以及 Windows XP 和 Windows 8)关联的许可证要求虚拟实例在每个客户的隔离硬件上运行(例如,客户 A 和客户 B 的 Windows 7 实例不能位于同一服务器或刀片上)。由于许可限制,常见的方法是使用外观为 Windows 7 的单个 Windows Server 实例。这种方法不仅为最终用户提供了熟悉的桌面外观,还允许通过 SPLA 许可共享基础架构。有关详细信息,请参阅 microsoft.com 上的 Microsoft Windows 虚拟化许可。