vRealize Automation 使 IT 提供商能够在每个部署中设置多个租户或组织。提供商可以设置多个租户组织,并在每个部署中分配基础架构,还可以管理租户的用户。

vRealize Automation 多组织配置中,提供商可以创建多个组织,每个租户组织管理自己的项目、资源和部署。虽然提供商无法远程管理租户基础架构,但他们可以登录到租户那里管理租户内的基础架构。

多租户依赖于以下三个 VMware 产品的协调和配置,概述如下:
  • Workspace ONE Access- 此产品为多租户和在租户组织内提供用户和组管理的 Active Directory 域连接提供基础架构支持。
  • vRealize Suite Lifecycle Manager- 此产品支持为受支持的产品(如 vRealize Automation)创建和配置租户。此外,它还提供一些证书管理功能。
  • vRealize Automation- 提供商和用户可登录到 vRealize Automation 以访问租户,并可在租户中创建和管理部署。

配置多租户时,用户应熟悉所有这三个产品及其相关文档。

有关使用 vRealize Suite Lifecycle Manager 和 Workspace ONE Access 的详细信息,请参见以下内容。

具有 vRealize Suite Lifecycle Manager 特权的管理员使用 Lifecycle Manager 的“租户”页面(位于“身份与租户管理”服务下)创建和管理租户。使用 Active Directory IWA 或 LDAP 连接构建租户,并且部署 vRealize Automation 所需的关联 VMware Workspace ONE Access 实例对他们提供支持。有关使用 Lifecycle Manager 的信息,请参见相关文档。

配置多租户时,可以从基本租户或主租户开始。此租户是在部署底层 Workspace ONE Access 应用程序时创建的默认租户。其他租户(称为子租户)可以基于主租户。vRealize Automation 当前最多支持使用标准三节点部署的 20 个租户组织。

为多租户启用 vRealize Automation 之前,必须先在单个组织配置中安装该应用程序,然后使用 Lifecycle Manager 设置多组织配置。Workspace ONE Access 部署支持对租户和关联的 Actice Directory 域连接进行管理。

最初设置多租户时,会在 Lifecycle Manager 中指定一个提供商管理员。如果需要,可以稍后更改此指定或添加管理员。在多组织配置下,vRealize Automation 用户和组主要通过 Workspace ONE Access 进行管理。

创建组织后,授权用户可以登录到其应用程序,创建或使用项目和资源以及创建部署。管理员可以在 vRealize Automation 中管理用户角色。

为多组织配置进行设置

完成 vRealize Automation 安装后,可以启用多组织部署。设置多组织配置时,必须配置外部 Workspace ONE Access 供多租户使用,然后使用 Lifecycle Manager 创建并配置租户。这同时适用于新部署和现有部署。作为设置租户的初始步骤,您必须使用 Lifecycle Manager 为在 Workspace ONE Access 上默认创建的主租户设置别名。基于此主租户创建的子租户会从此主租户继承 Active Directory 域配置。

在 Lifecycle Manager 中,可以将租户分配给产品(如 vRealize Automation)和特定环境。设置租户时,还必须指定租户管理员。默认情况下,会基于租户主机名启用多租户。用户可以选择按 DNS 名称手动配置租户名称。在此过程中,必须设置多个标志支持多租户,并且还必须配置负载均衡器。

如果使用集群实例,则基于 Workspace ONE AccessvRealize Automation 租户的主机名都将指向负载均衡器。

如果集群 vRealize AutomationWorkspace ONE Access 负载均衡器不使用通配符证书,则用户必须将租户主机名添加为证书上的 SAN 条目(对于创建的每个新租户)。

您无法删除 vRealize Automation 或 Lifecycle Manager 中的租户。如果需要将租户添加到现有的多租户部署中,您可以使用 Lifecycle Manager 执行此操作,但这需要三到四个小时的停机时间。

有关使用 vRealize Suite Lifecycle Manager Workspace ONE Access 的详细信息,请参阅本主题开头的文档链接。

主机名和多租户

在以前版本的 vRealize Automation 中,用户使用基于目录路径的 URL 访问租户。在当前的多租户实施中,用户将根据主机名访问租户。

此外,vRealize Automation 用户用于访问租户的主机名格式与 Workspace ONE Access 中用于访问租户的格式不同。例如,有效的主机名如下所示: tenant1.example.eng.vmware.com,而不是 vidm-node1.eng.vmware.com

多租户和证书

必须为多组织配置中涉及的所有组件创建证书。对于 Workspace ONE Access、Lifecycle Manager 和 vRealize Automation,您将需要一个或多个证书,具体取决于使用的是单节点配置还是集群配置。

配置证书时,可以将通配符与 SAN 名称配合使用,也可以使用专用名称。使用通配符将在一定程度上简化证书管理,因为每当添加新租户时,都必须更新证书。如果 vRealize AutomationWorkspace ONE Access 负载均衡器不使用通配符证书,则对于创建的每个新租户,您都必须将租户主机名添加为证书上的 SAN 条目。此外,如果使用 SAN,则在添加或删除主机或更改主机名时,必须手动更新证书。还必须为租户更新 DNS 条目。

请注意,Lifecyle Manager 不会为每个租户创建单独的证书。相反,它会对列出的每个租户主机名创建单个证书。对于基本配置,租户的 CNAME 使用以下格式:tenantname.vrahostname.domain。对于高可用性配置,名称使用以下格式:tenantname.vraLBhostname.domain。

如果使用的是集群 Workspace ONE Access 配置,请注意,Lifecycle Manager 无法更新负载均衡器证书,因此您必须手动更新它。此外,如果您需要重新注册 Lifecycle Manager 外部的产品或服务,这是一个手动过程。