vRealize Automation consente ai provider IT di configurare più tenant oppure organizzazioni all'interno di ciascuna distribuzione. I provider possono configurare più organizzazioni tenant e allocare l'infrastruttura all'interno di ogni distribuzione. I provider possono anche gestire gli utenti per i tenant. Ogni tenant gestisce i propri progetti, risorse e distribuzioni.
In una configurazione multi-organizzazione di vRealize Automation, i provider possono creare più organizzazioni e ogni organizzazione tenant utilizza i propri progetti, risorse e distribuzioni. Sebbene i provider non possano gestire l'infrastruttura tenant da remoto, possono accedere ai tenant e gestire l'infrastruttura all'interno dei relativi tenant.
- Workspace ONE Access: questo prodotto fornisce il supporto dell'infrastruttura per la multi-tenancy e le connessioni al dominio di Active Directory che forniscono la gestione di utenti e gruppi all'interno delle organizzazioni tenant.
- vRealize Suite Lifecycle Manager: questo prodotto supporta la creazione e la configurazione dei tenant per i prodotti supportati, ad esempio vRealize Automation. Inoltre, fornisce alcune funzionalità di gestione dei certificati.
- vRealize Automation: i provider e gli utenti accedono a vRealize Automation per accedere ai tenant in cui creano e gestiscono le distribuzioni.
Quando si configura la multi-tenancy, gli utenti devono avere familiarità con tutti i tre prodotti e la documentazione associata.
- vRealize Suite Lifecycle Manager: vedere la documentazione del prodotto Lifecycle Manager
- Workspace ONE Access: vedere Gestione utenti con VMware Identity Manager e Amministrazione di VMware Workspace ONE Access
Gli amministratori con privilegi di vRealize Suite Lifecycle Manager creano e gestiscono i tenant utilizzando la pagina Tenant di Lifecycle Manager situata sotto il servizio Gestione di identità e tenant. I tenant vengono creati utilizzando una connessione IWA o LDAP di Active Directory e sono supportati dall'istanza di VMware Workspace ONE Access associata necessaria per le distribuzioni di vRealize Automation. Per informazioni sull'utilizzo di Lifecycle Manager, vedere la documentazione associata.
Quando si configura la multi-tenancy, si inizia con un tenant di base o master. Questo tenant è il tenant predefinito creato quando viene distribuita l'applicazione Workspace ONE Access sottostante. Gli altri tenant, noti come tenant secondari, possono essere basati sul tenant master. vRealize Automation attualmente supporta fino a 20 organizzazioni tenant con la distribuzione standard di tre nodi.
Prima di abilitare vRealize Automation per la multi-tenancy, è innanzitutto necessario installare l'applicazione in una singola configurazione dell'organizzazione e quindi utilizzare Lifecycle Manager per configurare una configurazione multi-organizzazione. Una distribuzione di Workspace ONE Access supporta la gestione dei tenant e le connessioni al dominio di Active Directory associate.
Durante la configurazione iniziale della multi-tenancy, viene designato un amministratore del provider in Lifecycle Manager. Se necessario, è possibile modificare questa designazione o aggiungere gli amministratori in un secondo momento. Nelle configurazioni con più organizzazioni, gli utenti e i gruppi di vRealize Automation vengono gestiti principalmente tramite Workspace ONE Access.
Dopo avere creato le organizzazioni, gli utenti autorizzati possono accedere alle proprie applicazioni per creare o lavorare con progetti e risorse e creare distribuzioni. Gli amministratori possono gestire i ruoli degli utenti in vRealize Automation.
Impostazione di una configurazione multi-organizzazione
È possibile abilitare una distribuzione multi-organizzazione dopo aver completato un'installazione di vRealize Automation. Quando si configura una configurazione multi-organizzazione, è necessario configurare il Workspace ONE Access esterno per l'utilizzo della multi-tenancy e quindi utilizzare Lifecycle Manager per creare e configurare i tenant. Questo vale per le distribuzioni nuove ed esistenti. Come passaggio iniziale per l'impostazione dei tenant, è necessario utilizzare Lifecycle Manager per impostare un alias per il tenant master creato per impostazione predefinita in Workspace ONE Access. I tenant secondari creati in base a questo tenant master ereditano le configurazioni del dominio di Active Directory da questo tenant master.
In Lifecycle Manager, assegnare i tenant a un prodotto, ad esempio vRealize Automation, e a un ambiente specifico. Quando si configura un tenant, è necessario designare anche un amministratore tenant. Per impostazione predefinita, la multi-tenancy è abilitata in base al nome host del tenant. Gli utenti possono scegliere di configurare manualmente il nome del tenant in base al nome DNS. Durante questa procedura, è necessario impostare diversi contrassegni per supportare la multi-tenancy ed è necessario configurare anche il bilanciamento del carico.
Se si utilizza un'istanza in cluster, i nomi host basati sui tenant di Workspace ONE Access e vRealize Automation faranno riferimento al bilanciamento del carico.
Se i bilanciamenti del carico di vRealize Automation e Workspace ONE Access in cluster non utilizzano certificati con caratteri jolly, gli utenti devono aggiungere i nomi host dei tenant come voci SAN nei certificati per ogni nuovo tenant creato.
Non è possibile eliminare i tenant in vRealize Automation o in Lifecycle Manager. Se è necessario aggiungere tenant a una distribuzione multi-tenancy esistente, è possibile eseguire questa operazione utilizzando Lifecycle Manager, ma richiederà un tempo di inattività di tre o quattro ore.
Per ulteriori informazioni sull'utilizzo di vRealize Suite Lifecycle Manager Workspace ONE Access, fare riferimento ai collegamenti della documentazione all'inizio di questo argomento.
Nomi host e multi-tenancy
Nelle versioni precedenti di vRealize Automation, gli utenti effettuavano l'accesso ai tenant con URL basati sul percorso della directory. Nell'implementazione multi-tenancy corrente, gli utenti accedono ai tenant in base al nome host.
Inoltre, il formato del nome host che gli utenti di vRealize Automation utilizzeranno per accedere ai tenant differisce dal formato utilizzato per accedere ai tenant all'interno di Workspace ONE Access. Ad esempio, un nome host valido sarà simile al seguente: tenant1.example .eng.vmware.com
in contrapposizione a vidm-node1.eng.vmware.com
.
Multi-tenancy e certificati
È necessario creare certificati per tutti i componenti coinvolti in una configurazione multi-organizzazione. È necessario disporre di uno o più certificati per Workspace ONE Access, Lifecycle Manager e vRealize Automation, a seconda che si stia utilizzando una configurazione di un singolo nodo o una configurazione in cluster.
Quando si configurano i certificati, è possibile utilizzare i caratteri jolly con i nomi di SAN o i nomi dedicati. L'utilizzo dei caratteri jolly semplifica in qualche modo la gestione dei certificati, poiché i certificati devono essere aggiornati ogni volta che si aggiungono nuovi tenant. Se i bilanciamenti del carico di vRealize Automation e Workspace ONE Access non utilizzano certificati con caratteri jolly, è necessario aggiungere nomi host tenant come voci SAN nei certificati per ogni nuovo tenant creato. Inoltre, se si utilizza SAN, i certificati devono essere aggiornati manualmente se si aggiungono o eliminano host oppure si modifica un nome host. È inoltre necessario aggiornare le voci DNS per i tenant.
Si tenga presente che Lifecyle Manager non crea certificati separati per ogni tenant. Crea invece un certificato singolo con il nome host di ogni tenant elencato. Per le configurazioni di base, il CNAME del tenant utilizza il formato seguente: tenantname.vrahostname.domain. Per le configurazioni ad alta disponibilità, il nome utilizza il formato seguente: tenantname.vraLBhostname.domain.
Se si utilizza una configurazione di Workspace ONE Access in cluster, tenere presente che Lifecycle Manager non è in grado di aggiornare il certificato di bilanciamento del carico, quindi è necessario aggiornarlo manualmente. Inoltre, se è necessario registrare nuovamente i prodotti o i servizi esterni a Lifecycle Manager, si tratta di un processo manuale.