VMware Aria Automation consente ai provider IT di configurare più tenant oppure organizzazioni all'interno di ciascuna distribuzione. I provider possono configurare più organizzazioni tenant e allocare l'infrastruttura all'interno di ogni distribuzione e gestire gli utenti per i tenant.
In una configurazione multi-organizzazione di VMware Aria Automation, i provider possono creare più organizzazioni e ogni organizzazione tenant gestisce i propri progetti, risorse e distribuzioni. Sebbene i provider non possano gestire l'infrastruttura tenant da remoto, possono accedere ai tenant e gestire l'infrastruttura all'interno dei relativi tenant.
- Workspace ONE Access: questo prodotto fornisce il supporto dell'infrastruttura per la multi-tenancy e le connessioni al dominio di Active Directory che forniscono la gestione di utenti e gruppi all'interno delle organizzazioni tenant.
- VMware Aria Suite Lifecycle: questo prodotto supporta la creazione e la configurazione dei tenant per i prodotti supportati, ad esempio VMware Aria Automation. Inoltre, fornisce alcune funzionalità di gestione dei certificati.
- VMware Aria Automation: i provider e gli utenti accedono a VMware Aria Automation per accedere ai tenant in cui creano e gestiscono le distribuzioni.
Quando si configura la multi-tenancy, gli utenti devono avere familiarità con tutti i tre prodotti e la documentazione associata.
Gli amministratori con privilegi di VMware Aria Suite Lifecycle creano e gestiscono i tenant utilizzando la pagina dei tenant di VMware Aria Suite Lifecycle che si trova sotto il servizio Gestione identità e tenant. I tenant vengono creati utilizzando una connessione IWA o LDAP di Active Directory. Sono supportati dall'istanza di Workspace ONE Access associata necessaria per le distribuzioni di VMware Aria Automation.
Quando si configura la multi-tenancy, si inizia con un tenant di base o master. Questo tenant è il tenant predefinito creato quando viene distribuita l'applicazione Workspace ONE Access sottostante. Gli altri tenant, noti come tenant secondari, possono essere basati sul tenant master. VMware Aria Automation attualmente supporta fino a 20 organizzazioni tenant con la distribuzione standard di tre nodi.
Prima di abilitare VMware Aria Automation per la multi-tenancy, è innanzitutto necessario installare l'applicazione in una configurazione con organizzazione singola e quindi utilizzare VMware Aria Suite Lifecycle per impostare una configurazione con più organizzazioni. Una distribuzione di Workspace ONE Access supporta la gestione dei tenant e le connessioni del dominio di Active Directory associate.
Durante la configurazione iniziale della multi-tenancy, viene designato un amministratore del provider in VMware Aria Suite Lifecycle. Se necessario, è possibile modificare questa designazione o aggiungere gli amministratori in un secondo momento. Nelle configurazioni con più organizzazioni, gli utenti e i gruppi di VMware Aria Automation vengono gestiti principalmente tramite Workspace ONE Access.
Dopo avere creato le organizzazioni, gli utenti autorizzati possono accedere alle proprie applicazioni per creare o lavorare con progetti e risorse e creare distribuzioni. Gli amministratori possono gestire i ruoli degli utenti in VMware Aria Automation.
Impostazione di una configurazione multi-organizzazione
È possibile abilitare una distribuzione multi-organizzazione dopo aver completato un'installazione di VMware Aria Automation. Quando si configura una configurazione multi-organizzazione, è necessario configurare il Workspace ONE Access esterno per l'utilizzo della multi-tenancy e quindi utilizzare Lifecycle Manager per creare e configurare i tenant. Questo vale per le distribuzioni nuove ed esistenti. Come passaggio iniziale per la configurazione dei tenant, è necessario utilizzare VMware Aria Suite Lifecycle per impostare un alias per il tenant master creato per impostazione predefinita in Workspace ONE Access. I tenant secondari creati in base a questo tenant master ereditano le configurazioni del dominio di Active Directory da questo tenant master.
In Lifecycle Manager, assegnare i tenant a un prodotto, ad esempio VMware Aria Automation, e a un ambiente specifico. Quando si configura un tenant, è necessario designare anche un amministratore tenant. Per impostazione predefinita, la multi-tenancy è abilitata in base al nome host del tenant. Gli utenti possono scegliere di configurare manualmente il nome del tenant in base al nome DNS. Durante questa procedura, è necessario impostare diversi contrassegni per supportare la multi-tenancy ed è necessario configurare anche il bilanciamento del carico.
Se si utilizza un'istanza in cluster, i nomi host basati sui tenant di Workspace ONE Access e VMware Aria Automation faranno riferimento al bilanciamento del carico.
Se i bilanciamenti del carico di VMware Aria Automation e Workspace ONE Access in cluster non utilizzano certificati con caratteri jolly, gli utenti devono aggiungere i nomi host dei tenant come voci SAN nei certificati per ogni nuovo tenant creato.
Non è possibile eliminare i tenant in VMware Aria Automation o in VMware Aria Suite Lifecycle. Se è necessario aggiungere tenant a una distribuzione multi-tenancy esistente, è possibile eseguire questa operazione utilizzando VMware Aria Suite Lifecycle, ma richiederà un tempo di inattività di tre o quattro ore.
Per ulteriori informazioni sull'utilizzo di VMware Aria Suite Lifecycle Workspace ONE Access, fare riferimento ai collegamenti della documentazione all'inizio di questo argomento.
Nomi host e multi-tenancy
Nelle versioni precedenti di VMware Aria Automation, gli utenti effettuavano l'accesso ai tenant con URL basati sul percorso della directory. Nell'implementazione multi-tenancy corrente, gli utenti accedono ai tenant in base al nome host.
Inoltre, il formato del nome host che gli utenti di VMware Aria Automation utilizzeranno per accedere ai tenant differisce dal formato utilizzato per accedere ai tenant all'interno di Workspace ONE Access. Ad esempio, un nome host valido sarà simile al seguente: tenant1.example .eng.vmware.com
in contrapposizione a vidm-node1.eng.vmware.com
.
Multi-tenancy e certificati
È necessario creare certificati per tutti i componenti coinvolti in una configurazione multi-organizzazione. È necessario disporre di uno o più certificati per Workspace ONE Access, VMware Aria Suite Lifecycle e VMware Aria Automation, a seconda che si stia utilizzando una configurazione a nodo singolo o una configurazione in cluster.
Quando si configurano i certificati, è possibile utilizzare il carattere jolly con i nomi di SAN o i nomi dedicati. L'utilizzo dei caratteri jolly semplifica in qualche modo la gestione dei certificati, perché i certificati devono essere aggiornati ogni volta che si aggiungono nuovi tenant. Se i bilanciamenti del carico di VMware Aria Automation e Workspace ONE Access non utilizzano certificati con caratteri jolly, è necessario aggiungere nomi host tenant come voci SAN nei certificati per ogni nuovo tenant creato. Inoltre, se si utilizza SAN, i certificati devono essere aggiornati manualmente se si aggiungono o eliminano host oppure si modifica un nome host. È inoltre necessario aggiornare le voci DNS per i tenant.
Si tenga presente che VMware Aria Suite Lifecycle non crea certificati separati per ogni tenant. Crea invece un certificato singolo con il nome host di ogni tenant elencato. Per le configurazioni di base, il CNAME del tenant utilizza il formato seguente: tenantname.vrahostname.domain. Per le configurazioni ad alta disponibilità, il nome utilizza il formato seguente: tenantname.vraLBhostname.domain.
Se si utilizza una configurazione di Workspace ONE Access in cluster, tenere presente che Lifecycle Manager non è in grado di aggiornare il certificato di bilanciamento del carico, quindi è necessario aggiornarlo manualmente. Inoltre, se è necessario registrare nuovamente i prodotti o i servizi esterni a VMware Aria Suite Lifecycle, si tratta di un processo manuale.