多租户模型

本节介绍多租户模型，说明了如何通过租户 FQDN 访问租户，以及启用多租户以及证书和 DNS 要求的重要性。

启用多租户

以前的主租户 (Master tenant) 现在仍称为主租户 (Primary tenant)。尽管在实施前操作中，即时可用的 VMware Identity Manager 已包含主租户，但此配置仍保留为最小配置，因此无法进一步在主租户下创建租户。将在 VMware Identity Manager 上执行一系列配置和 API 调用，以启用多租户。启用多租户后，必须为主租户创建别名。有关启用多租户的详细信息，请参见启用多租户。

例如，FQDN 为“idm1.vmwlab.local”的 VMware Identity Manager 具有名称为“idm1”的主租户。启用多租户之前，必须为主租户创建别名。例如，“master-tenant”在引用主租户的所有位置设置并使用同一别名。

租户 FQDN

默认情况下，在 VMware Identity Manager 上创建的租户通过租户 URL 进行访问，这些 URL 可能就只是映射到 VMware Identity Manager 服务器的 FQDN。每个租户都有自己的租户 FQDN。例如，在具有主机名 idm1.vmwlab.local、主租户名 (idm1) 和主租户别名 (master-tenant) 的单节点 VMware Identity Manager 上，应通过 FQDN master-tenant.vmwlab.local 访问主租户。如果创建了新租户 (tenant1)，则只能通过 tenant1.vmwlab.local 访问该租户。

由于每个租户都需要一个专用 FQDN，因此，在 VMware Identity Manager 上创建租户时，强制要求使用 A 类型的 DNS 记录将租户 FQDN 映射到 VMware Identity Manager 服务器 IP 地址。对于集群 VMware Identity Manager 部署，每个租户 FQDN 都必须有一个 A 类型的记录映射到 VMware Identity Manager 负载均衡器 IP 地址。

vRealize Automation 也适用相同的模型。当 vRealize Automation 与某个租户关联时，必须通过 vRealize Automation 租户 FQDN 访问 vRealize Automation 租户。例如，FQDN 为 idm1.vmwlab.local 的 VMware Identity Manager 具有可通过 tenant1.vmwlab.local 访问的租户“tenant1”，vRealize Automation 8.1 vra1.vmwlab.local 已与此 VMware Identity Manager 集成且已与“tenant1”关联。如上所述，vRealize Automation 租户和 VMware Identity Manager 租户 1:1 映射，因此主租户 vRealize Automation 仍可通过 vra1.vmwlab.local 进行访问，而“tenant 1”vRealize Automation 必须通过 tenant1.vra1.vmwlab.local 进行访问。

注： VMware Identity Manager 租户 FQDN 和 vRealize Automation 租户 FQDN 之间存在差异。对于 VMware Identity Manager 实例，租户 FQDN 格式为租户名称 (tenant1) 后跟 VMware Identity Manager 域名 (vmwlab.local)。例如， tenant1.vmwlab.local。由于是租户名称后跟域，因此集群 VMware Identity Manager 也一样。对于 vRealize Automation， vRealize Automation 租户 FQDN 格式为租户名称 (tenant1) 后跟 vRealize Automation 服务器 FQDN (vra1.vmwlab.local)。例如， tenant1.vra1.vmwlab.local。对于位于负载均衡器 vra-lb.vmwlab.local 后面的集群 vRealize Automation，必须通过 tenant1.vra-lb.vmwlab.local 访问租户 tenant1。

与 VMware Identity Manager 类似，即使 vRealize Automation 租户 FQDN 也需要 DNS 映射。但是，对于 vRealize Automation，应使用 CNAME 类型的记录将 vRealize Automation 租户 FQDN 映射到 vRealize Automation 服务器 FQDN。对于集群 vRealize Automation 部署，所有 vRealize Automation 租户 FQDN 都必须具有指向 vRealize Automation 负载均衡器 FQDN 的 CNAME 类型 DNS 记录。

除了 DNS 映射是强制性必备条件外，租户还必须具有证书才能正常工作。根据部署架构，VMware Identity Manager、vRealize Automation 服务器及其负载均衡器应具有相应的证书来存储所有必需的租户 FQDN。

单节点设置中的租户 FQDN

VMware Identity Manager 节点：idm1.vmwlab.local
vRealize Automation 节点：vra1.vmwlab.local
主租户别名：master-tenant
租户：tenant-1、tenant-2

租户名称	VMware Identity Manager 租户 FQDN	vRealize Automation 租户 FQDN
`master-tenant`	https://master-tenant.vmwlab.local	https://vra1.vmwlab.local
`tenant-1`	https://tenant-1.vmwlab.local	https://tenant-1.vra1.vmwlab.local
`tenant-2`	https://tenant-2.vmwlab.local	https://tenant-2.vra1.vmwlab.local

集群设置中的租户 FQDN

VMware Identity Manager 负载均衡器：idm-lb.vmwlab.local
VMware Identity Manager 节点：idm1.vmwlab.local, idm2.vmwlab.local、idm3.vmwlab.local
vRealize Automation 负载均衡器：vra-lb.vmwlab.local
vRealize Automation 节点：vra1.vmwlab.local, vra2.vmwlab.local、vra3.vmwlab.local
主租户别名：master-tenant
租户：tenant-1、tenant-2

租户名称	VMware Identity Manager 租户 FQDN	vRealize Automation 租户 FQDN
`master-tenant`	https://master-tenant.vmwlab.local	https:// vra-lb.vmwlab.local
`tenant-1`	https://tenant-1.vmwlab.local	https://tenant-1.vra-lb.vmwlab.local
`tenant-2`	https://tenant-2.vmwlab.local	https://tenant-2.vra-lb.vmwlab.local

注：启用多租户后，应该只能通过租户 FQDN 访问 VMware Identity Manager。旧的 FQDN 和主机名（idm1.vmwlab.local、idm2.vmwlab.local、idm3.vmwlab.local 和 idm-lb.vmwlab.local）将失效。

强制证书要求

根据 VMware Identity Manager 和 vRealize Automation 的部署类型，其相应的服务器证书本身应包含所有租户 FQDN。由于每个租户构成自己的租户 FQDN（ VMware Identity Manager 租户 FQDN 和 vRealize Automation 租户 FQDN），因此每个创建的租户都需要将其租户 FQDN 添加到 VMware Identity Manager 和 vRealize Automation 证书中。要在 VMware Identity Manager 上启用多租户，还需要更新 VMware Identity Manager 证书，因为主租户将获得新的别名并且主租户 FQDN 会发生变化。

注：

在 VMware Identity Manager 上更改证书以启用多租户或创建租户时，此操作会关闭服务并导致停机。如果 VMware Identity Manager 证书发生更改，服务将中断。在中断期间，出于身份验证目的与 VMware Identity Manager 集成的产品或服务无法使用 VMware Identity Manager 身份验证登录。此外，要更改 VMware Identity Manager 证书，必须在所有产品和服务上执行重新信任，这将再次导致产品停机。
对于已创建并与 vRealize Automation 关联的每个新租户，即使必须更改 vRealize Automation 证书，也会导致 vRealize Automation 服务中断。
为避免 vRealize Automation、VMware Identity Manager 以及与 VMware Identity Manager 集成的其他产品和服务上发生服务中断，通常建议使用通配符证书。对于新租户，对 VMware Identity Manager 证书或 vRealize Automation 证书所做的任何更改都可能导致 vRealize Automation 中断。
如果未使用通配符证书，将在所有必需证书中针对每个租户 FQDN 创建特定 SAN 条目。
vRealize Suite Lifecycle Manager保密库服务有助于管理 VMware Identity Manager 和 vRealize Automation 服务器节点上的证书。使用 vRealize Suite Lifecycle Manager，当您替换 VMware Identity Manager 证书时，将自动在所有产品上重新信任 VMware Identity Manager 证书。
vRealize Suite Lifecycle Manager 外部产品或服务必须手动处理。Locker 服务不会处理负载平衡器证书的更新。它们由用户手动完成。每次更改负载均衡器证书时，必须在产品上重新信任这些证书。
- 对于 VMware Identity Manager，VMware Identity Manager 中的 vRealize Suite Lifecycle Manager 证书内部更新或替换操作可确保在更新 VMware Identity Manager 服务器证书之前重新信任 VMware Identity Manager 负载均衡器证书。因此，建议先手动更改 VMware Identity Manager 负载均衡器证书，然后执行 VMware Identity Manager 证书，以通过 vRealize Suite Lifecycle Manager保密库服务进行更新或替换。
- 对于 vRealize Automation 8.x，在 vRealize Automation 负载均衡器上终止 SSL 并手动更改负载均衡器证书时，请确保单击 vRealize Automation 8.x 产品卡视图下的“重新信任负载均衡器”以重新信任 vRealize Automation 中的负载均衡器证书。有关更多详细信息，请参见vRealize Suite Lifecycle Manager 中其他产品的实施后操作。

强制 DNS 要求

对于单节点 VMware Identity Manager，需要使用 A 类型的 DNS 记录将租户 FQDN 指向 VMware Identity Manager 服务器 IP 地址。对于集群 VMware Identity Manager，需要使用 A 类型的 DNS 记录将租户 FQDN 指向 VMware Identity Manager 负载均衡器 IP 地址。

在 vRealize Automation 中，对于单个节点，需要 CNAME 类型的 DNS 记录将 vRealize Automation 租户 FQDN 指向 vRealize Automation 服务器 FQDN。对于集群 vRealize Automation，必须使用 CNAME 类型的 DNS 记录将 vRealize Automation 租户 FQDN 指向 vRealize Automation 负载均衡器 FQDN。

多租户的要求

图 1. 单节点 VMware Identity Manager 和 vRealize Automation	图 2. VMware Identity Manager 和 vRealize Automation 集群
图 3. vIDM 单节点和 vRA 集群	图 4. VMware Identity 集群和 vRealize Automation 单节点