Konfigurieren und Verwalten von Multisite-Bereitstellungen in VMware Cloud Director

Zum Verwalten und Überwachen mehrerer geografisch verteilter VMware Cloud Director-Installationen oder ‑Servergruppen und deren Organisationen als Einzelentitäten können Sie die Multisite-Funktion von VMware Cloud Director verwenden.

Effektive Implementierung mehrerer Sites

Wenn Sie zwei VMware Cloud Director-Sites verknüpfen, können diese Sites als Einzelentität verwaltet werden. Weiterhin ermöglichen Sie Organisationen an diesen Sites, Verknüpfungen untereinander zu erstellen. Weitere Informationen finden Sie im Erstellen einer Site-Zuordnung in VMware Cloud Director. Wenn eine Organisation Mitglied einer Verknüpfung ist, können Benutzer der Organisation das VMware Cloud Director Tenant Portal für den Zugriff auf Organisations-Assets an jeder Mitglieds-Site verwenden, obwohl jede Mitgliedsorganisation und dazugehörige Assets lokal zur jeweiligen Site gehören.

Hinweis:

Die Sites müssen dieselbe VMware Cloud Director-API-Version aufweisen oder um eine Hauptversion auseinanderliegen. Beispiel: Sie können eine VMware Cloud Director 10.1-Site (API-Version 34.0) mit einer VMware Cloud Director-Site der Version 10.0, 10.1, 10.2 oder 10.2.2 und den jeweiligen API-Versionen 33.0, 34.0, 35.0 oder 35.2 verknüpfen.

Nachdem Sie zwei Sites verknüpft haben, können Sie mit der VMware Cloud Director-API oder dem VMware Cloud Director Tenant Portal Organisationen zuweisen, welche jene Sites in Anspruch nehmen. Weitere Informationen finden Sie im Thema VMware Cloud Director API-Programmierhandbuch oder im Thema Konfigurieren und Verwalten von Multisite-Bereitstellungen im VMware Cloud Director-Mandantenhandbuch.

Eine Site oder eine Organisation kann eine unbegrenzte Anzahl an Verknüpfungen mit einer gleichgeordneten Site oder einer gleichgeordneten Organisation aufweisen, wobei jedoch jede Verknüpfung aus genau zwei Mitgliedern besteht. Jede Site oder jede Organisation muss über einen eigenen privaten Schlüssel verfügen. Mitglieder von Verknüpfungen können eine vertrauenswürdige Beziehung durch den Austausch von öffentlichen Schlüsseln einrichten. Diese werden verwendet, um signierte Anforderungen von einem Mitglied an ein anderes zu überprüfen.

Jede Site in einer Verknüpfung wird durch den Umfang einer Servergruppe VMware Cloud Director (eine Gruppe von Servern, die eine VMware Cloud Director -Datenbank gemeinsam nutzen) definiert. Jede Organisation in einer Verknüpfung belegt eine einzelne Site. Der Administrator der Organisation steuert den Zugriff von Benutzern und Gruppen der Organisation auf Assets auf jeder Mitglieds-Site.

Site-Objekte und Site-Verknüpfungen

Bei der Installation oder Aktualisierung wird ein Site-Objekt erstellt, das die lokale VMware Cloud Director-Servergruppe darstellt. Ein Systemadministrator mit Berechtigungen für mehrere VMware Cloud Director-Servergruppen kann diese als eine Verknüpfung von VMware Cloud Director-Sites konfigurieren.

Sitenamen

Jedes Site-Objekt wird mit einem benannten Attribut erstellt, welches eine UUID ist.

GET https://Site-B.example.com/api/site
...
<Site name="b5920690-fe13-4c31-8e23-9e86005e7a7b" ...>
   ...
   <RestEndpoint>https://Site-A.example.com/api/org/Org-A</RestEndpoint>
   <RestEndpointCertificate>-----BEGIN CERTIFICATE-----
      MIIDDTCCAfWgAwIBAgI...Ix0eSE= -----END CERTIFICATE-----
   </RestEndpointCertificate>
   ...
</Site>

Zwar ist es keine Voraussetzung, dass der Sitename mit dem Hostnamen am API-Endpoint übereinstimmt, ein Systemadministrator kann jedoch den Sitenamen zur besseren Verwaltung für VMware Cloud Director-API-Benutzer wie folgt mit einer Anforderung aktualisieren:

PUT https://Site-B.example.com/api/site
content-type: application/vnd.vmware.vcloud.site+xml
...
<Site name="Site-B" ...>
   ...
   <RestEndpoint>https://Site-A.example.com/api/org/Org-A</RestEndpoint>
   <RestEndpointCertificate>-----BEGIN CERTIFICATE-----
      MIIDDTCCAfWgAwIBAgI...Ix0eSE= -----END CERTIFICATE-----
   </RestEndpointCertificate>
   ...
</Site>

Das Element „ Site“ im Hauptteil der Anforderung muss die Formatierung, in der es von der Anforderung „ GET .../site“ zurückgegeben wurde, beibehalten. Zusätzliche Zeichen, insbesondere Absätze, Zeilenumbrüche oder Leerzeichen, vor oder nach den Zertifikaten können bewirken, dass das System eine Ausnahme aufgrund einer fehlerhaften Anforderung zurückgibt.

Verknüpfungen von Organisationen

Nachdem die Verknüpfung der Sites abgeschlossen ist, können Organisationsadministratoren auf beliebigen Mitglieds-Sites mit der Zuordnung der zugehörigen Organisationen beginnen.

Hinweis: Sie können eine System-Organisation keiner Mandantenorganisation zuordnen. Die System-Organisation auf jeder beliebigen Site kann nur mit der System-Organisation auf einer anderen Site verknüpft werden.

Autorisierungs-Header und Anforderungs-Fanout

Die Session-Antwort auf eine erfolgreiche Anmeldungsanforderung enthält einen X-VMWARE-VCLOUD-ACCESS-TOKEN-Header, dessen Wert ein codierter Schlüssel ist, den Sie verwenden können. Und sie enthält den Wert des X-VMWARE-VCLOUD-TOKEN-TYPE-Headers, um einen JWT-Authorization-Header zum Einbeziehen in nachfolgende Anforderungen anstelle des veralteten x-vcloud-authorization-Headers zu erstellen, der Sie nicht für die Mitglieder der Verknüpfung authentifiziert. Weitere Informationen zur Anmeldung bei der VMware Cloud Director-API finden Sie unter Erstellen einer VMware Cloud Director-API-Sitzung.

Sie können Anforderungen ausführen, die an mehrere Mitglieder der Verknüpfung aufgefächert werden. Geben Sie dazu in der Accept-Kopfzeile das multisite=value-Paar an. Wenn Sie möchten, dass die Anforderung aufgefächert wird, können Sie für value den Wert global oder eine durch Doppelpunkte getrennte Liste mit Speicherort-IDs angeben. Informationen zum Abrufen der Speicherort-IDs finden Sie unter Autorisierte Speicherorte. Wenn Sie value auf local festlegen, wird die Anforderung nicht aufgefächert, enthält jedoch Multisite-Metadaten, die in der Auffächerung enthalten sind.

Wenn Sie beispielsweise eine Anforderung erstellen, z. B. eine Abfrage zum Abrufen von Ressourcenlisten aus einer Verknüpfung von Organisationen, können Sie das multisite=global-Paar in der Accept-Kopfzeile angeben. Durch Angabe des multisite=global-Paars sind Sie in der Lage, die Anforderung an alle Mitglieder der Verknüpfung aufzufächern und eine aggregierte Liste zurückzugeben.

Accept: application/*;version=30.0;multisite=global

Sie können eine durch Doppelpunkte getrennte Liste der Speicherort-IDs angeben, z. B. multisite=ID-a:ID-b:ID-x. Wenn Sie diesen Wert nicht dem Accept-Header hinzufügen, gibt die Anforderung nur die Ressourcen zurück, die der Organisation gehören, die Ziel der Anforderung ist. Wenn Sie keine Anforderung an dieselbe Organisation stellen, bei der Sie sich authentifizieren, müssen Sie auch einen X-VMWARE-VCLOUD-AUTH-CONTEXT-Header hinzufügen, der den Namen der Organisation angibt, die Ihre Anforderung ausführt.

Wenn eine Authentifizierungsanforderung das multisite= value-Paar einschließt, enthält die Antwort Link-Elemente, falls die Anforderung bei einem der Mitglieder der Verknüpfung fehlschlägt. Die Fehlerkategorie wird durch den rel-Wert des Links dargestellt.

rel="fanout:failed": Der Mitgliederstatus war ACTIVE, aber die Authentifizierung des Mitglieds ist aus irgendeinem anderen Grund fehlgeschlagen.
rel="fanout:skipped": Die Authentifizierung des Mitglieds wurde übersprungen, da der Verknüpfungsstatus ASYMMETRIC oder UNREACHABLE war.

Die fehlgeschlagene oder übersprungene Anforderungs-URL ist in href der Wert des Link.

Autorisierte Speicherorte

Wenn Sie sich bei einer Site authentifizieren, die Mitglied einer Verknüpfung ist, enthält die Antwort Session ein AuthorizedLocations-Element, das VMware Cloud Director-API- und VMware Cloud Director-Mandantenportal-Endpoints für andere Mitglieder der Verknüpfung bereitstellt. Beispiel:

Site-A.example.com und Site-B.example.com werden verknüpft.
Der Benutzer meldet sich bei Site-A als Systemadministrator an.

Anforderung:

POST https://Site-A.example.com/api/sessions
Authorization: Basic ...
Accept: application/*;version=30.0
...

Antwort:

200 OK
...
X-VMWARE-VCLOUD-ACCESS-TOKEN: eyJhbGciOiJSUzI1NiJ9....Rn4Xw
X-VMWARE-VCLOUD-TOKEN-TYPE: Bearer
Content-Type: application/vnd.vmware.vcloud.session+xml;version=30.0;multisite=global
...
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Session ...
   ...  
   <AuthorizedLocations>
      <Location>
         <LocationId>a93c9db9-7471-3192-8d09-a8f7eeda85f9@9a41...
         </LocationId>
         <SiteName>Site-A</SiteName>
         <OrgName>System</OrgName>
         <RestApiEndpoint>https://site-a.example.com
         </RestApiEndpoint>
         <UIEndpoint>https://site-a.example.com
         </UIEndpoint>
         <AuthContext>System</AuthContext>
      </Location>
      <Location>
         <LocationId>a93c9db9-7471-3192-8d09-a8f7eeda85f9@4f56...
         </LocationId>
         <SiteName>Site-B</SiteName>
         <OrgName>System</OrgName>
         <RestApiEndpoint>https://site-b.example.com
         </RestApiEndpoint>
         <UIEndpoint>https://site-b.example.com
         </UIEndpoint>
         <AuthContext>System</AuthContext>
      </Location>
   </AuthorizedLocations>
</Session>

Benutzer- und Gruppenidentitäten

Verknüpfungen von Sites und Organisationen müssen denselben Identitätsanbieter verwenden. Benutzer- und Gruppenidentitäten für alle Organisationen in der Verknüpfung müssen über diesen Identitätsanbieter verwaltet werden.

Verknüpfungen können den Identitätsanbieter auswählen, der für sie am besten geeignet ist. Weitere Informationen finden Sie im Verwalten von Identitätsanbietern in VMware Cloud Director.

Ab VMware Cloud Director 10.4.1 können Dienstkonten mithilfe der Multisite-Funktion mehrere geografisch verteilte VMware Cloud Director-Installationen oder ‑Servergruppen und deren Organisationen als einzelne Entitäten verwalten und überwachen. Wenn ein Dienstkonto eine Anforderung an eine andere Organisation stellt als diejenige, für die es authentifiziert wurde, müssen Sie sicherstellen, dass das Dienstkonto in der zugeordneten Organisation vorhanden ist und dass es denselben Namen und dieselbe Software-ID hat. Weitere Informationen finden Sie im Verwalten von Dienstkonten in VMware Cloud Director.

Steuerung des Site-Zugriffs für Organisationsbenutzer und -gruppen

Organisationsadministratoren können ihren Identitätsanbieter zur Erstellung von Benutzer- oder Gruppenzugriffstoken konfigurieren, die an allen oder nur an bestimmten Mitglieds-Sites gültig sind. Während die Benutzer- und Gruppenidentitäten in allen Mitgliedsorganisationen identisch sein müssen, sind Benutzer- und Gruppenrechte durch die Rollen beschränkt, denen jene Benutzer und Gruppen in jeder Mitgliedsorganisation zugewiesen sind. Die Zuweisung einer Rolle zu einem Benutzer oder zu einer Gruppe erfolgt für eine Organisation lokal, wie auch jegliche benutzerdefinierten Rollen, die Sie erstellen.

Anforderungen an den Lastausgleichsdienst

Für eine effektive Implementierung einer Bereitstellung mit mehreren Sites müssen Sie einen Lastausgleichsdienst konfigurieren, der an einem institutionellen Endpunkt (z. B. https://vcloud.example.com) eingehende Anfragen an die Endpunkte für jedes Mitglied der Site-Zuordnung (z. B. https://us.vcloud.example.com und https://uk.vcloud.example.com) verteilt. Wenn eine Site mehrere Zellen aufweist, müssen Sie einen Lastausgleichsdienst konfigurieren, der eingehende Anforderungen an alle zugehörigen Zellen verteilt, damit eine Anforderung an https://us.vcloud.example.com von https://cell1.us.vcloud.example.com, https://cell2.us.vcloud.example.com usw. verarbeitet werden kann.

Hinweis: Sie dürfen den globalen Lastausgleichsdienst, in diesem Fall https://vcloud.example.com, nur für den Zugriff auf die Benutzeroberfläche verwenden. Wenn Sie eigene Skripts oder Programme entwickeln, die die REST API verwenden, müssen diese Aufrufe eine bestimmte Site als Ziel verwenden.

Ab VMware Cloud Director 10.3 werden alle Clientanforderungen umgeleitet, die beim Lastausgleichs-Endpoint für eine Bereitstellung mit mehreren Sites eingehen. Wenn eine Anforderung beim Lastausgleichs-Endpoint eingeht (auch wenn die Site, bei der die Anforderung eingeht, der richtige ist), wird eine Umleitung ausgegeben und in der für den Benutzer sichtbaren URL angezeigt, um den Benutzer darüber zu informieren, dass die Anforderung an den richtigen Speicherort weitergeleitet wurde.

Sie können beispielsweise über eine Bereitstellung mit zwei Sites – https://site1.vcloud.example.com und https://site2.vcloud.example.com – hinter einem globalen Lastausgleichs-Endpoint https://us.vcloud.example.com verfügen. Wenn ab VMware Cloud Director 10.3 eine Anforderung am Lastausgleichs-Endpoint für eine Organisation eingeht, die sich an Site 1 – https://us.vcloud.example.com/org1 befindet, gibt die Site bei Eingang der Anforderung an Site 1 eine Umleitung an sich selbst aus, indem sie die Anforderung an https://site1.vcloud.example.com/org1 weiterleitet. VMware Cloud Director 10.2.x und frühere Versionen geben keine Umleitungen aus, wenn ein Lastausgleichsdienst eine Anforderung für eine Organisation erhält, die sich am selben Ort befindet, und die Anforderung über die URL-Adresse des öffentlichen Endpoints https://us.vcloud.example.com/org1 versorgt wird.

Anforderungen an die Netzwerkkonnektivität

Wenn Sie die Funktion „Multisite“ verwenden möchten, muss jede Zelle auf jeder Site in der Lage sein, REST API-Anforderungen an die REST API-Endpoints aller Sites zu senden. Wenn Sie die Beispiele aus dem Abschnitt „Anforderungen für Lastausgleichsdienst“ verwenden, müssen cell1.us.vcloud.example.com und cell2.us.vcloud.example.com in der Lage sein, den REST API-Endpoint für uk.example.com zu erreichen. Umgekehrt gilt dies für alle Zellen unter uk.example.com. Dies bedeutet, dass eine Zelle auch in der Lage sein muss, REST API-Aufrufe an ihren eigenen REST API-Endpoint zu senden, damit cell1.us.vcloud.example.com einen REST API-Aufruf an https://us.vcloud.example.com senden kann.

Das Senden von REST API-Anforderungen an die REST API-Endpoints aller Sites ist für ein REST API-Fanout erforderlich. Beispiel: Wenn die Benutzeroberfläche oder ein API-Client eine mehrere Sites umfassende Anforderung sendet, um eine Seite mit Organisationen aus allen Sites abzurufen, und cell1.us.vcloud.example.com die Anforderung verarbeitet. Die Zelle cell1 muss einen REST API-Aufruf senden, um eine Seite mit Organisationen aus jeder Site mithilfe des REST API-Endpoints abzurufen, der für diese Site konfiguriert ist. Wenn alle Sites ihre Seite mit Organisationen zurückgeben, sammelt cell1 die Ergebnisse und gibt eine einzelne Ergebnisseite mit den Daten aus allen anderen Sites zurück.

Sites und Zertifikate

Wenn eine Site mit anderen Sites verknüpft ist und das zugehörige Zertifikat aktualisiert wird, müssen Sie die anderen Sites gegebenenfalls über die Änderung informieren. Wenn Sie die anderen Sites nicht über die Zertifikatsänderung informieren, kann dies Auswirkungen auf das Fanout für mehrere Sites haben.

Wenn Sie ein Zertifikat auf einer Site durch ein gültiges, ordnungsgemäß signiertes Zertifikat ersetzen, müssen Sie die anderen Sites nicht darüber informieren. Da das Zertifikat gültig und ordnungsgemäß signiert ist, können die Zellen auf den anderen Sites ohne Unterbrechung weiterhin eine sichere Verbindung mit dem Zertifikat herstellen.

Wenn Sie ein Zertifikat an einer Site durch ein selbstsigniertes Zertifikat ersetzen oder ein anderes Problem mit dem Zertifikat auftritt, das die automatische Vertrauensstellung verhindert, müssen andere Sites darüber informiert werden. Wenn das Zertifikat beispielsweise abläuft, müssen Sie die anderen Sites darüber in Kenntnis setzen. Auf allen anderen Sites müssen Sie das Zertifikat in Vertrauenswürdige Zertifikate im Service Provider Admin Portal hochladen. Weitere Informationen finden Sie im Importieren vertrauenswürdiger Zertifikate mithilfe des VMware Cloud Director Service Provider Admin Portal. Beim Importieren des Zertifikats kann die Site, auf die das Zertifikat hochgeladen wird, der Site vertrauen, die das neue Zertifikat erhält.

Hinweis: Sie können diese Zertifikate in die vertrauenswürdigen Zertifikate der anderen Sites importieren, bevor Sie sie auf der Remote-Site installieren. Hiermit werden Kommunikationsunterbrechungen ausgeschlossen, da sich sowohl das alte als auch das neue Zertifikat im Pool der vertrauenswürdigen Zertifikate befinden. Sie müssen die Sites nicht erneut verknüpfen.

Status der Mitglieder der Verknüpfung

Nach dem Erstellen einer Verknüpfung von Sites oder Organisationen ruft das lokale System regelmäßig den Status aller Mitglieder der Remote-Verknüpfung ab und aktualisiert diesen Status in der VMware Cloud Director-Datenbank der lokalen Site. Der Mitgliedsstatus wird im Element Status eines SiteAssociationMember oder OrgAssociationMember angezeigt. Das Element Status kann einen von drei Werten aufweisen:

ACTIVE: Die Verknüpfung wurde von beiden Parteien hergestellt und die Kommunikation mit der Remoteseite war erfolgreich.
ASYMMETRIC: Die Verknüpfung wurde auf der lokalen Site hergestellt, aber die Remote-Site hat noch nicht reagiert.
UNREACHABLE: Eine Verknüpfung wurde von beiden Parteien erstellt, aber die Remote-Site ist derzeit nicht im Netzwerk erreichbar.

In Service Provider Admin Portal und Tenant Portal werden die Statusangaben als Connected, Partially Connected und Unreachable angezeigt.

Der Prozess mit dem Mitgliederstatus „Taktsignal“ wird mit der Identität des Site-übergreifenden Systembenutzers ausgeführt, einem lokalen VMware Cloud Director-Benutzerkonto, das in der Systemorganisation während der VMware Cloud Director-Installation erstellt wurde. Obwohl dieses Konto Mitglied der Systemorganisation ist, verfügt es nicht über Administratorrechte. Es verfügt lediglich über die Berechtigung Multisite: System Operations, mit der es eine VMware Cloud Director-API-Anforderung zum Abrufen des Status des Remotemitglieds einer Site-Verknüpfung durchführen kann.