Konfigurieren und Verwalten von Bereitstellungen mit mehreren Sites

Zum Verwalten und Überwachen mehrerer geografisch verteilter VMware Cloud Director-Installationen oder -Servergruppen und deren Organisationen als Einzelentitäten können Dienstanbieter und Mandanten die Multisite-Funktion von VMware Cloud Director verwenden.

Effektive Implementierung mehrerer Sites

Wenn Sie zwei VMware Cloud Director-Sites verknüpfen, können diese Sites als Einzelentität verwaltet werden. Weiterhin ermöglichen Sie Organisationen an diesen Sites, Verknüpfungen untereinander zu erstellen. Weitere Informationen finden Sie im Erstellen einer Site-Zuordnung. Wenn eine Organisation Mitglied einer Verknüpfung ist, können Benutzer der Organisation das VMware Cloud Director Tenant Portal für den Zugriff auf Organisations-Assets an jeder Mitglieds-Site verwenden, obwohl jede Mitgliedsorganisation und dazugehörige Assets lokal zur jeweiligen Site gehören.

Hinweis:

Die Sites müssen dieselbe VMware Cloud Director-API-Version aufweisen oder um eine Hauptversion auseinanderliegen. Beispiel: Sie können eine VMware Cloud Director 10.1-Site (API-Version 34.0) mit einer VMware Cloud Director-Site der Version 10.0, 10.1, 10.2 oder 10.2.2 und den jeweiligen API-Versionen 33.0, 34.0, 35.0 oder 35.2 verknüpfen.

Nachdem Sie zwei Sites verknüpft haben, können Sie mit der VMware Cloud Director-API oder dem VMware Cloud Director Tenant Portal Organisationen zuweisen, welche jene Sites in Anspruch nehmen. Weitere Informationen finden Sie im Thema VMware Cloud Director API-Programmierhandbuch oder im Thema Konfigurieren und Verwalten von Multisite-Bereitstellungen im Handbuch für das VMware Cloud Director Mandantenportal.

Eine Site oder eine Organisation kann eine unbegrenzte Anzahl an Verknüpfungen mit einer gleichgeordneten Site oder einer gleichgeordneten Organisation aufweisen, wobei jedoch jede Verknüpfung aus genau zwei Mitgliedern besteht. Jede Site oder jede Organisation muss über einen eigenen privaten Schlüssel verfügen. Mitglieder von Verknüpfungen können eine vertrauenswürdige Beziehung durch den Austausch von öffentlichen Schlüsseln einrichten. Diese werden verwendet, um signierte Anforderungen von einem Mitglied an ein anderes zu überprüfen.

Jede Site in einer Verknüpfung wird durch den Umfang einer Servergruppe VMware Cloud Director (eine Gruppe von Servern, die eine VMware Cloud Director -Datenbank gemeinsam nutzen) definiert. Jede Organisation in einer Verknüpfung belegt eine einzelne Site. Der Administrator der Organisation steuert den Zugriff von Benutzern und Gruppen der Organisation auf Assets auf jeder Mitglieds-Site.

Site-Objekte und Site-Verknüpfungen

Bei der Installation oder Aktualisierung wird ein Site-Objekt erstellt, das die lokale VMware Cloud Director-Servergruppe darstellt. Ein Systemadministrator mit Berechtigungen für mehrere VMware Cloud Director-Servergruppen kann diese als eine Verknüpfung von VMware Cloud Director-Sites konfigurieren.

Verknüpfungen von Organisationen

Nachdem die Verknüpfung der Sites abgeschlossen ist, können Organisationsadministratoren auf beliebigen Mitglieds-Sites mit der Zuordnung der zugehörigen Organisationen beginnen.

Hinweis: Sie können eine System-Organisation keiner Mandantenorganisation zuordnen. Die System-Organisation auf jeder beliebigen Site kann nur mit der System-Organisation auf einer anderen Site verknüpft werden.

Benutzer- und Gruppenidentitäten

Verknüpfungen von Sites und Organisationen müssen denselben Identitätsanbieter verwenden. Benutzer- und Gruppenidentitäten für alle Organisationen in der Verknüpfung müssen über diesen Identitätsanbieter verwaltet werden.

Verknüpfungen können den Identitätsanbieter auswählen, der für sie am besten geeignet ist. .

Steuerung des Site-Zugriffs für Organisationsbenutzer und -gruppen

Organisationsadministratoren können ihren Identitätsanbieter zur Erstellung von Benutzer- oder Gruppenzugriffstoken konfigurieren, die an allen oder nur an bestimmten Mitglieds-Sites gültig sind. Während die Benutzer- und Gruppenidentitäten in allen Mitgliedsorganisationen identisch sein müssen, sind Benutzer- und Gruppenrechte durch die Rollen beschränkt, denen jene Benutzer und Gruppen in jeder Mitgliedsorganisation zugewiesen sind. Die Zuweisung einer Rolle zu einem Benutzer oder zu einer Gruppe erfolgt für eine Organisation lokal, wie auch jegliche benutzerdefinierten Rollen, die Sie erstellen.

Anforderungen an den Lastausgleichsdienst

Für eine effektive Implementierung einer Bereitstellung mit mehreren Sites müssen Sie einen Lastausgleichsdienst konfigurieren, der an einem institutionellen Endpunkt (z. B. https://vcloud.example.com) eingehende Anfragen an die Endpunkte für jedes Mitglied der Site-Zuordnung (z. B. https://us.vcloud.example.com und https://uk.vcloud.example.com) verteilt. Wenn eine Site mehrere Zellen aufweist, müssen Sie einen Lastausgleichsdienst konfigurieren, der eingehende Anforderungen an alle zugehörigen Zellen verteilt, damit eine Anforderung an https://us.vcloud.example.com von https://cell1.us.vcloud.example.com, https://cell2.us.vcloud.example.com usw. verarbeitet werden kann.

Hinweis: Sie dürfen den globalen Lastausgleichsdienst, in diesem Fall https://vcloud.example.com, nur für den Zugriff auf die Benutzeroberfläche verwenden. Wenn Sie eigene Skripts oder Programme entwickeln, die die REST API verwenden, müssen diese Aufrufe eine bestimmte Site als Ziel verwenden.

Ab VMware Cloud Director 10.3 werden alle Clientanforderungen umgeleitet, die beim Lastausgleichs-Endpoint für eine Bereitstellung mit mehreren Sites eingehen. Wenn eine Anforderung beim Lastausgleichs-Endpoint eingeht (auch wenn die Site, bei der die Anforderung eingeht, der richtige ist), wird eine Umleitung ausgegeben und in der für den Benutzer sichtbaren URL angezeigt, um den Benutzer darüber zu informieren, dass die Anforderung an den richtigen Speicherort weitergeleitet wurde.

Sie können beispielsweise über eine Bereitstellung mit zwei Sites – https://site1.vcloud.example.com und https://site2.vcloud.example.com – hinter einem globalen Lastausgleichs-Endpoint https://us.vcloud.example.com verfügen. Wenn ab VMware Cloud Director 10.3 eine Anforderung am Lastausgleichs-Endpoint für eine Organisation eingeht, die sich an Site 1 – https://us.vcloud.example.com/org1 befindet, gibt die Site bei Eingang der Anforderung an Site 1 eine Umleitung an sich selbst aus, indem sie die Anforderung an https://site1.vcloud.example.com/org1 weiterleitet. VMware Cloud Director 10.2.x und frühere Versionen geben keine Umleitungen aus, wenn ein Lastausgleichsdienst eine Anforderung für eine Organisation erhält, die sich am selben Ort befindet, und die Anforderung über die URL-Adresse des öffentlichen Endpoints https://us.vcloud.example.com/org1 versorgt wird.

Anforderungen an die Netzwerkkonnektivität

Wenn Sie die Funktion „Multisite“ verwenden möchten, muss jede Zelle auf jeder Site in der Lage sein, REST API-Anforderungen an die REST API-Endpoints aller Sites zu senden. Wenn Sie die Beispiele aus dem Abschnitt „Anforderungen für Lastausgleichsdienst“ verwenden, müssen cell1.us.vcloud.example.com und cell2.us.vcloud.example.com in der Lage sein, den REST API-Endpoint für uk.example.com zu erreichen. Umgekehrt gilt dies für alle Zellen unter uk.example.com. Dies bedeutet, dass eine Zelle auch in der Lage sein muss, REST API-Aufrufe an ihren eigenen REST API-Endpoint zu senden, damit cell1.us.vcloud.example.com einen REST API-Aufruf an https://us.vcloud.example.com senden kann.

Das Senden von REST API-Anforderungen an die REST API-Endpoints aller Sites ist für ein REST API-Fanout erforderlich. Beispiel: Wenn die Benutzeroberfläche oder ein API-Client eine mehrere Sites umfassende Anforderung sendet, um eine Seite mit Organisationen aus allen Sites abzurufen, und cell1.us.vcloud.example.com die Anforderung verarbeitet. Die Zelle cell1 muss einen REST API-Aufruf senden, um eine Seite mit Organisationen aus jeder Site mithilfe des REST API-Endpoints abzurufen, der für diese Site konfiguriert ist. Wenn alle Sites ihre Seite mit Organisationen zurückgeben, sammelt cell1 die Ergebnisse und gibt eine einzelne Ergebnisseite mit den Daten aus allen anderen Sites zurück.

Sites und Zertifikate

Wenn eine Site mit anderen Sites verknüpft ist und das zugehörige Zertifikat aktualisiert wird, müssen Sie die anderen Sites gegebenenfalls über die Änderung informieren. Wenn Sie die anderen Sites nicht über die Zertifikatsänderung informieren, kann dies Auswirkungen auf das Fanout für mehrere Sites haben.

Wenn Sie ein Zertifikat auf einer Site durch ein gültiges, ordnungsgemäß signiertes Zertifikat ersetzen, müssen Sie die anderen Sites nicht darüber informieren. Da das Zertifikat gültig und ordnungsgemäß signiert ist, können die Zellen auf den anderen Sites ohne Unterbrechung weiterhin eine sichere Verbindung mit dem Zertifikat herstellen.

Wenn Sie ein Zertifikat an einer Site durch ein selbstsigniertes Zertifikat ersetzen oder ein anderes Problem mit dem Zertifikat auftritt, das die automatische Vertrauensstellung verhindert, müssen andere Sites darüber informiert werden. Wenn das Zertifikat beispielsweise abläuft, müssen Sie die anderen Sites darüber in Kenntnis setzen. Auf allen anderen Sites müssen Sie das Zertifikat in Vertrauenswürdige Zertifikate im Service Provider Admin Portal hochladen. Weitere Informationen finden Sie im Importieren vertrauenswürdiger Zertifikate. Beim Importieren des Zertifikats kann die Site, auf die das Zertifikat hochgeladen wird, der Site vertrauen, die das neue Zertifikat erhält.

Hinweis: Sie können diese Zertifikate in die vertrauenswürdigen Zertifikate der anderen Sites importieren, bevor Sie sie auf der Remote-Site installieren. Hiermit werden Kommunikationsunterbrechungen ausgeschlossen, da sich sowohl das alte als auch das neue Zertifikat im Pool der vertrauenswürdigen Zertifikate befinden. Sie müssen die Sites nicht erneut verknüpfen.

Status der Mitglieder der Verknüpfung

Nach dem Erstellen einer Verknüpfung von Sites oder Organisationen ruft das lokale System regelmäßig den Status aller Mitglieder der Remote-Verknüpfung ab und aktualisiert diesen Status in der VMware Cloud Director-Datenbank der lokalen Site. Der Mitgliedsstatus wird im Element Status eines SiteAssociationMember oder OrgAssociationMember angezeigt. Das Element Status kann einen von drei Werten aufweisen:

ACTIVE: Die Verknüpfung wurde von beiden Parteien hergestellt und die Kommunikation mit der Remoteseite war erfolgreich.
ASYMMETRIC: Die Verknüpfung wurde auf der lokalen Site hergestellt, aber die Remote-Site hat noch nicht reagiert.
UNREACHABLE: Eine Verknüpfung wurde von beiden Parteien erstellt, aber die Remote-Site ist derzeit nicht im Netzwerk erreichbar.

In Service Provider Admin Portal und Tenant Portal werden die Statusangaben als Connected, Partially Connected und Unreachable angezeigt.

Der Prozess mit dem Mitgliederstatus „Taktsignal“ wird mit der Identität des Site-übergreifenden Systembenutzers ausgeführt, einem lokalen VMware Cloud Director-Benutzerkonto, das in der Systemorganisation während der VMware Cloud Director-Installation erstellt wurde. Obwohl dieses Konto Mitglied der Systemorganisation ist, verfügt es nicht über Administratorrechte. Es verfügt lediglich über die Berechtigung Multisite: System Operations, mit der es eine VMware Cloud Director-API-Anforderung zum Abrufen des Status des Remotemitglieds einer Site-Verknüpfung durchführen kann.