Orchestrator 多租户功能在租户间实现了一定程度的隔离。

在启用多租户功能后,Orchestrator 管理的对象将拆分为系统范围的对象和特定于租户的范围的对象。这些对象包括工作流、操作、软件包、配置、类别、策略、策略模板、任务、工作流运行和其他内容。

系统范围

系统范围是容纳在所有租户之间共享的所有 Orchestrator 内容的语义空间。系统内容包括以下项目:

  • 默认 Orchestrator 插件中包含的所有对象。

  • 在启用多租户功能之前创建的自定义对象。

  • vRealize Automation 系统管理员创建的对象。

  • 预定义的自动化内容(工作流、操作和其他内容),由系统租户管理,并且可由所有非系统租户读取和调用。

租户对于此内容拥有只读访问权限,并且无法创建、修改或删除任何系统范围的对象。

特定于租户的范围

特定于租户的对象与创建它们的租户相关联。这些对象可以包括工作流、操作、策略、策略模板、资源和其他内容。租户可以编辑或删除自己创建的内容。他们可以运行和查看系统内容以及他们自己的特定于租户的内容。

租户无法查看、编辑或删除系统范围的对象或由其他租户创建的对象。

多租户环境中的 Orchestrator 插件

vRealize Orchestrator 7.4 不支持 Orchestrator 插件和插件清单对象的多租户功能。属于插件清单的对象是系统范围的一部分。

注:

您通过从插件库运行工作流创建的对象(如端点和清单项目)对所有租户可见并且可供他们访问。

资源分配

Orchestrator 服务器资源(如 CPU、内存、存储、网络带宽、数据库空间、最大工作流运行数量、线程池和其他资源)在所有租户之间共享。如果其中一个租户达到所分配资源的限制,使用同一 Orchestrator 实例的所有其他租户都会受到影响。

安全

vRealize Orchestrator 7.4 中租户之间的安全隔离使用 vRealize Automation 中定义的系统管理员和租户管理员用户角色。有关 vRealize Automation 中用户角色的详细信息,请参见准备和使用 vRealize Automation 中的服务蓝本中的用户角色概述

注:

vRealize Automation 系统管理员必须是 Orchestrator 管理员组的成员,该管理员组是您在控制中心配置身份验证提供程序时在管理员组文本框中输入的。

可从 Orchestrator 客户端配置的用户权限与任何 vRealize Automation 用户角色都没有对应关系。您必须为特定用户或组明确配置用户权限。有关设置用户权限的详细信息,请参见使用 VMware vRealize Orchestrator 客户端