您可以使用 vRealize Suite Lifecycle Manager,通过 vReallize Automation 8.1 在 VMware Identity Manager 3.3.2 上启用内部部署的多租户功能。
对于 vReallize Automation 8.1,默认情况下,将以 tenant-in-host-name 模式启用多租户功能,而不是以 tenant-in-path 模式。.
使用 tenant-in-host-name 模式时,您必须使用租户的完全限定域名 (FQDN) 的 URL 来访问租户。负载平衡器 URL 或 VMware Identity Manager URL 不起作用。例如:
- 启用多租户功能之前的 URL:https://load-balancer.vmwareidentity.com/SAAS/t/tenant1
- 启用多租户功能后的 URL:https://tenant1.vmwareidentity.com
在实现负载平衡的 VMware Identity Manager 部署中启用多租户功能之后,请准备重新注册现有 vRealize 产品。
下图说明了有效的 URL 和无效的 URL。该图还提供了负载平衡器和 DNS 配置的示例。
前提条件
创建相应的 DNS 条目:
单节点或群集式 | 操作 |
---|---|
对于单节点 VMware Identity Manager 部署 | 创建 DNS 条目,以将每个租户的完全限定域名解析为 VMware Identity Manager IP 地址。 |
对于群集式 VMware Identity Manager 部署 | 创建 DNS 条目,以将每个租户的完全限定域名解析为负载平衡器 IP 地址。 |
过程
- ♦ 使用 vRealize Suite Lifecycle Manager 可启用多租户功能。
请参见《 vRealize Suite Lifecycle Manager 8.1 安装、升级和管理指南》中有关创建租户的信息。重要事项: 启用多租户功能时,请遵循以下准则。
- 配置 SSL 证书时,最佳做法是使用通配符主体备用名称 (SAN) 证书,该证书最好由公共证书颁发机构 (CA) 签名。但是,您也可以将自签名证书与通配符 SAN 结合使用。
注: 如果您使用不带通配符 SAN 的证书,请执行以下步骤(如果适用)。
- 将所有租户完全限定域名作为 SAN 添加到证书中。
- 每次创建租户时,请确保将新租户 FQDN 作为 SAN 添加到 VMware Identity Manager 证书中。更新证书时,需要重新启动 Horizon 服务。
- 以下 VMware Identity Manager Connector 信息适用。
- 对于子租户,默认情况下,连接器不会显示在“连接器”页面上。只有在使用连接器实例创建企业目录后,VMware Identity Manager 控制台中的“连接器”页面才会列出该连接器实例。
- 如果使用集成 Windows 身份验证 (IWA) 或 Kerberos 身份验证,请使用外部 Windows 连接器。
- 始终从主租户执行域加入操作。
- 如果您选择为子租户上的不同域创建 IWA 目录,请使用不同的外部 Windows 连接器实例。
- 根据任何子租户激活的外部连接器实例仅用于该租户。
- 根据主租户激活的外部连接器实例可以在所有子租户中使用。
- 配置 SSL 证书时,最佳做法是使用通配符主体备用名称 (SAN) 证书,该证书最好由公共证书颁发机构 (CA) 签名。但是,您也可以将自签名证书与通配符 SAN 结合使用。
后续步骤
您必须使用主租户别名完全限定域名重新注册现有的 vRealize 产品,比如 VMware vRealize Operations、VMware vRealize Automation 和 VMware vRealize Log Insight。请参见 vRealize Suite Lifecycle Manager 8.1 文档。