Mit VMware VMware Cloud Director können Sie sichere Clouds mit mehreren Mandanten einrichten, indem Sie virtuelle Infrastrukturressourcen in virtuellen Datencentern (VDCs) poolen und sie Benutzern über webbasierte Portale und Programmschnittstellen als vollautomatischen, katalogbasierten Dienst bereitstellen.

Das VMware Cloud Director for Service Providers – Administratorhandbuch enthält Informationen zum Hinzufügen von Ressourcen zum System, zum Erstellen und Bereitstellen von Organisationen, zum Verwalten von Ressourcen und Organisationen und zum Überwachen des Systems.

Dienstanbieter, Unteranbieter und Mandanten

In VMware Cloud Director 10.6 wird zusätzlich zu „Dienstanbieter“ und „Mandanten“ der Begriff „Unteranbieter“ eingeführt. Ein Unteranbieter ist eine Mandanten-Persona, die Mandantenorganisationen erstellen und verwalten kann. Ein Anbieter kann eine Mandantenorganisation dazu befähigen, ein Unteranbieter zu werden, indem er ihr die erforderlichen administrativen Berechtigungen sowie das Recht gewährt, andere Organisationen zu durchlaufen. Administratoren des Unteranbieters können ihren Mandanten diese Rechte nicht gewähren.

Wenn Sie eine vorhandene Mandantenorganisation in eine Unteranbieterorganisation ändern möchten, müssen Sie sie im Default Sub-Provider Entitlement-Rechtepaket veröffentlichen und die Rolle Administrator des Unteranbieters in der Mandantenorganisation oder in einem Rechtepaket und einer Rolle veröffentlichen, die einen entsprechenden Satz von Rechten enthalten. Wenn Sie beim Erstellen einer Organisation die Unteranbieteroption auswählen, veröffentlicht VMware Cloud Director automatisch das Default Sub-Provider Entitlement-Rechtepaket und die Rolle Administrator des Unteranbieters in der neu erstellten Organisation.

Der Administrator des Unteranbieters arbeitet innerhalb der Unteranbieterorganisation und kann die folgenden Vorgänge durchführen:
  • Organisationen erstellen
  • Organisations-VDCs erstellen, anzeigen, verwalten und löschen
  • VDC-Organisationsnetzwerke erstellen, anzeigen, verwalten und löschen
  • Zu Organisationen wechseln
  • Organisations-Identitätsanbieter einrichten
  • Alle Standardmandantenvorgänge durchführen
  • Regeln erstellen und veröffentlichen
  • Rechtepakete erstellen und veröffentlichen
  • Externe Netzwerke anzeigen
  • Kataloge freigeben und veröffentlichen
  • Katalogabonnements verwalten
Abbildung 1. Beispiel für eine Greenfield-Bereitstellung
Der Anbieter verwaltet die Provider-VDCs und teilt Ressourcen zu. Die Unteranbieter verwalten ihre Organisationen und die zugeteilten Ressourcen. Mandanten verwalten ihre Organisationen und Organisations-VDCs.
Abbildung 2. Beispiel für eine Brownfield-Bereitstellung
Ein Anbieter gewährt den Mandanten zunächst Unteranbieterrechte. Anschließend teilt der Anbieter dem Unteranbieter Ressourcen zu, und der Unteranbieter kann mit der Erstellung seiner Mandanten beginnen.

Einschränkungen von Mandantenorganisationen, die von Unteranbietern verwaltet werden

Wenn eine Mandantenorganisation in VMware Cloud Director 10.6 nicht leer ist, gibt es Einschränkungen beim Ändern der Verwaltungsorganisation. Eine Organisation gilt als leer, wenn für sie keine VDCs oder Netzwerkressourcen konfiguriert sind.
  • Sie können einem Unteranbieter eine von der Organisation System verwaltete Mandantenorganisation nicht erneut zuweisen.
  • Sie können der Organisation System keine Mandantenorganisation neu zuweisen, die von einem Unteranbieter verwaltet wird.
  • Sie können einem anderen Unteranbieter keine Mandantenorganisation neu zuweisen, die bereits von einem Unteranbieter verwaltet wird.

vSphere- und NSX-Ressourcen

VMware Cloud Director stellt Prozessorleistung und Arbeitsspeicher für den Betrieb virtueller Maschinen auf der Grundlage von vSphere-Ressourcen bereit. Darüber hinaus stellen vSphere-Datenspeicher Speicherplatz für Dateien von virtuellen Maschinen und andere Dateien, die beim Betrieb der virtuellen Maschinen benötigt werden, zur Verfügung. VMware Cloud Director verwendet auch vSphere Distributed Switches, vSphere-Portgruppen und NSX Data Center for vSphere, um virtuelle Maschinennetzwerke zu unterstützen.

VMware Cloud Director kann auch Ressourcen von NSX verwenden. Informationen zum Registrieren einer NSX Manager-Instanz bei Ihrer Cloud finden Sie im Thema Registrieren einer NSX Manager-Instanz bei VMware Cloud Director oder im VMware Cloud Director-API-Programmierhandbuch für Dienstanbieter.

Sie können die zugrunde liegenden vSphere- und NSX-Ressourcen zur Erstellung von Cloud-Ressourcen verwenden.

VMware Cloud Director kann als HTTP-Proxyserver fungieren, mit dem Sie Organisationen den Zugriff auf die zugrunde liegende vSphere-Umgebung ermöglichen können.

Cloud-Ressourcen

Cloud-Ressourcen sind eine Abstraktion der zugrunde liegenden vSphere-Ressourcen. Sie stellen die Rechen- und Arbeitsspeicherressourcen für virtuelle Maschinen und vApps unter VMware Cloud Director bereit. Eine vApp ist ein virtuelles System, das eine oder mehrere virtuelle Maschinen sowie Parameter zur Festlegung von Betriebsdetails enthält. Cloud-Ressourcen bieten auch Zugriff auf Speicher und Netzwerkkonnektivität.

Cloud-Ressourcen beinhalten Provider- und Organisations-VDCs, externe Netzwerke, VDC-Organisationsnetzwerke und Netzwerkpools.

Bevor Sie Cloud-Ressourcen zu VMware Cloud Director hinzufügen können, müssen Sie vSphere-Ressourcen hinzufügen.

Computing-Überbereitstellung

Die von Anbietern zugeteilte Gesamtmenge reservierter CPU- und RAM-Kapazität darf die physische RAM-Kapazität nicht überschreiten. Anbieter können jedoch die Grenzwerte der CPU-Zuteilung und Arbeitsspeicherzuteilung nutzen, um eine Überbereitstellung von Computing-Ressourcen an Unteranbieter zu erreichen. Unteranbieter können ebenfalls CPU und Arbeitsspeicher für ihre Mandanten überbereitstellen, doch die garantierten Computing-Ressourcen dürfen ihre jeweiligen Zuteilungen nicht überschreiten. Wenn beispielsweise ein Anbieter über eine physische RAM-Kapazität von 100 GB in einem Provider-VDC verfügt, kann er das Provider-VDC einem Unteranbieter mit einem zugeteilten Arbeitsspeicher von 200 GB und einer reservierten RAM-Kapazität von 50 GB zuteilen. In diesem Beispiel erfolgt eine Überbereitstellung der Arbeitsspeicherzuteilung, doch der Anbieter beschränkt die reservierte RAM-Kapazität des Unteranbieters auf 50 GB. Der Unteranbieter kann ein Organisations-VDC mit einer Gesamtkapazität von 200 GB erstellen. Die gesamte reservierte RAM-Kapazität für alle Mandanten des Unteranbieters darf jedoch 50 GB nicht überschreiten.
Abbildung 3. Beispiel-Arbeitsspeicherzuteilung
Der Anbieter teilt den Unteranbietern physischen Arbeitsspeicher zu, die ihn wiederum ihren Mandanten zuteilen.

CPU- und Arbeitsspeicherzuteilung und Überbereitstellung sind identisch.

Speicherbereitstellung

Anbieter können ihren Mandanten Provider-VDC-Speicherrichtlinien zuteilen. Unteranbieter können zugeteilte Speicherrichtlinien verbrauchen, indem sie sie in ihren Mandantenorganisations-VDCs veröffentlichen. Im Gegensatz zu CPU und Arbeitsspeicher kann Speicher nicht überbereitgestellt werden. Unteranbieter können ihren Mandanten nicht mehr als ihre eigene Speicherzuteilung zuteilen. Wenn beispielsweise ein Anbieter über 100 GB Speicher verfügt und einem Unteranbieter eine Speicherrichtlinie mit nur 50 GB zuteilt, kann der Unteranbieter seinen Mandantenorganisations-VDCs insgesamt 50 GB zuteilen.

Ein Anbieter kann mehr Speicher zuteilen, als physisch verfügbar ist. Unteranbieter können jedoch nicht einsehen, wie hoch die Überbereitstellung für ihre Mandanten ist, da sie nicht wissen, wie viel physischer Speicher vorhanden ist.

Abbildung 4. Beispiel-Speicherzuteilung
Der Anbieter teilt den Unteranbietern physischen Speicher zu, die ihn wiederum ihren Mandanten zuteilen.

Dedizierte vCenter-Instanzen und -Proxys

Eine dedizierte vCenter-Instanz ist eine Cloud-Ressource, die eine vollständige vCenter-Installation kapselt. Eine dedizierte vCenter-Instanz enthält einen oder mehrere Proxys, die Zugriffspunkte auf verschiedene Komponenten der zugrunde liegenden vSphere-Umgebung sind. Der Anbieter kann dedizierte vCenter-Instanzen und -Proxys erstellen und aktivieren. Der Anbieter kann eine dedizierte vCenter-Instanz für Mandanten veröffentlichen.

Um dedizierte vCenter-Instanzen und -Proxys zu erstellen und zu verwalten, können Sie das Service Provider Admin Portal oder die vCloud-OpenAPI verwenden. Weitere Informationen finden Sie unter Verwalten dedizierter vCenter-Instanzen in VMware Cloud Director und Erste Schritte mit VMware Cloud Director OpenAPI.

Virtuelle Provider-Datencenter

Provider-VDCs kombinieren die Rechen- und Arbeitsspeicherressourcen eines einzelnen vCenter-Ressourcenpools mit den Speicherressourcen eines oder mehrerer Datenspeicher, die für diesen Ressourcenpool zur Verfügung stehen.

Ein Provider-VDC kann Netzwerkressourcen aus einer NSX-V Manager-Instanz verwenden, die mit der vCenter-Instanz verknüpft ist, oder aus einer NSX Manager-Instanz, die bei der Cloud registriert ist.

Sie können mehrere Provider-VDCs für Benutzer an unterschiedlichen geografischen Standorten oder aus verschiedenen Geschäftseinheiten oder auch für Benutzer mit eigenen Systemleistungsanforderungen erstellen.

Virtuelle Organisations-Datencenter

Ein Organisations-VDC stellt einer Organisation Ressourcen bereit und wird von einem Anbieter-VDC partitioniert. Organisations-VDCs stellen eine Umgebung bereit, in der virtuelle Systeme gespeichert, bereitgestellt und betrieben werden können. Darüber hinaus stellen sie auch Speicher für virtuelle Medien, beispielsweise Disketten und CD-ROMs, bereit.

Eine einzelne Organisation kann über mehrere Organisations-VDCs verfügen.

VMware Cloud Director-Netzwerk

VMware Cloud Director unterstützt drei Netzwerktypen.
  • Externe Netzwerke
  • VDC-Organisationsnetzwerke
  • vApp-Netzwerke

Einige VDC-Organisationsnetzwerke und alle vApp-Netzwerke werden von Netzwerkpools gestützt.

Externe Netzwerke

Bei einem externen Netzwerk handelt es sich um ein logisches, differenziertes Netzwerk auf der Basis einer vSphere-Portgruppe. VDC-Organisationsnetzwerke können eine Verbindung zu externen Netzwerken herstellen und auf diese Weise Internetkonnektivität für die virtuellen Maschinen in vApps bereitstellen.

VMware Cloud Director unterstützt externe IPv6-Netzwerke. Ein externes IPv6-Netzwerk unterstützt sowohl IPv4- als auch IPv6-Subnetze, und ein externes IPv4-Netzwerk unterstützt sowohl IPv4- als auch IPv6-Subnetze.

Standardmäßig ist die Berechtigung zum Erstellen und Verwalten von externen Netzwerken Systemadministratoren vorbehalten.

VDC-Organisationsnetzwerke

VDC-Organisationsnetzwerke gehören zu einem VMware Cloud Director-Organisations-VDC und stehen allen vApps in der Organisation zur Verfügung. VDC-Organisationsnetzwerke ermöglichen es vApps, Daten innerhalb einer Organisation miteinander auszutauschen. Um externe Konnektivität bereitzustellen, können Sie ein VDC-Organisationsnetzwerk mit einem externen Netzwerk verbinden. Sie können auch ein isoliertes VDC-Organisationsnetzwerk erstellen, das auf die interne Organisation beschränkt ist.

VMware Cloud Director unterstützt IPv6 für direkte und geroutete VDC-Organisationsnetzwerke.

Systemadministratoren können isolierte VDC-Netzwerke erstellen, die von einem logischen NSX-Switch gestützt werden. Organisationsadministratoren können isolierte VDC-Netzwerke erstellen, die von Netzwerkpools unterstützt werden.

VMware Cloud Director verwendet VDC-übergreifende Netzwerke, indem ausgeweitete Netzwerke in VDC-Gruppen konfiguriert werden.

Standardmäßig können nur Systemadministratoren direkte und VDC-übergreifende Netzwerke erstellen. Sowohl Systemadministratoren als auch Organisationsadministratoren verfügen über die erforderlichen Berechtigungen, um VDC-Organisationsnetzwerke zu verwalten; die Berechtigungen von Organisationsadministratoren sind jedoch stärker eingeschränkt.

vApp-Netzwerke

vApp-Netzwerke sind Bestandteile von vApps und ermöglichen es virtuellen Maschinen in der vApp, Daten miteinander auszutauschen. Damit eine vApp mit anderen vApps in der Organisation kommunizieren kann, können Sie das vApp-Netzwerk mit einem VDC-Organisationsnetzwerk verbinden. Wenn das VDC-Organisationsnetzwerk mit einem externen Netzwerk verbunden ist, kann die vApp mit vApps in anderen Organisationen kommunizieren. vApp-Netzwerke werden von Netzwerkpools gestützt.

Die meisten Benutzer mit Zugriff auf eine vApp können eigene vApp-Netzwerke erstellen und verwalten. Informationen zum Arbeiten mit Netzwerken in einer vApp finden Sie im VMware Cloud Director-Unteranbieter- und Mandantenhandbuch.

Netzwerkpools

Bei einem Netzwerkpool handelt es sich um eine Gruppe undifferenzierter Netzwerke, die in einem Organisations-VDC zur Verfügung gestellt werden. Ein Netzwerkpool wird von vSphere-Netzwerkressourcen wie VLAN-IDs oder Portgruppen unterstützt. In VMware Cloud Director werden anhand von Netzwerkpools NAT-geroutete und interne VDC-Organisationsnetzwerke sowie alle vApp-Netzwerke erstellt. Der Netzwerk-Datenverkehr in den einzelnen Netzwerken eines Pools wird auf Layer 2 von allen anderen Netzwerken isoliert.

Jedes Organisations-VDC in VMware Cloud Director kann über einen Netzwerkpool verfügen. Mehrere Organisations-VDCs können einen Netzwerkpool gemeinsam nutzen. Der Netzwerkpool für ein Organisations-VDC stellt die Netzwerke bereit, die erstellt wurden, um das Netzwerkkontingent für ein Organisations-VDC zu erfüllen.

Die Berechtigung zum Erstellen und Verwalten von Netzwerkpools ist Systemadministratoren vorbehalten.

Organisationen

VMware Cloud Director unterstützt mehrere Mandanten mithilfe von Organisationen. Eine Organisation ist eine Verwaltungseinheit für eine Sammlung von Benutzern, Gruppen und Rechenressourcen. Benutzer melden sich auf der Ebene von Organisationen mit den Anmeldeinformationen an, die vom Organisationsadministrator beim Erstellen oder Importieren des Benutzers angelegt wurden. Systemadministratoren erstellen Organisationen und stellen sie bereit, während Organisationsadministratoren Benutzer, Gruppen und Kataloge der Organisation verwalten. Die Aufgaben von Organisationsadministratoren sind in VMware Cloud Director-Unteranbieter- und Mandantenhandbuch beschrieben.

Benutzer und Gruppen

Organisationen können über eine beliebige Anzahl an Benutzern und Gruppen verfügen. Organisationsadministratoren können Benutzer erstellen und Benutzer und Gruppen aus einem Verzeichnisdienst wie LDAP importieren. Der Systemadministrator verwaltet den Satz von Rechten, die in jeder Organisation zur Verfügung stehen. Der Systemadministrator kann globale Mandantenrollen für eine oder mehrere Organisationen erstellen und veröffentlichen. Der Organisationsadministrator kann lokale Rollen in seinen Organisationen erstellen.

Kataloge

Organisationen verwenden Kataloge, um vApp-Vorlagen und Mediendateien zu speichern. Die Mitglieder einer Organisation mit Zugriff auf einen Katalog können die vApp-Vorlagen und Mediendateien des Katalogs zum Erstellen eigener vApps verwenden. Systemadministratoren können einer Organisation erlauben, Kataloge zu veröffentlichen, um sie anderen Organisationen zur Verfügung zu stellen. Organisationsadministratoren können auswählen, welche Objekte des Katalogs sie für die Benutzer bereitstellen möchten.