マルチサイトの効果的な実装

2 つの VMware Cloud Director サイトを関連付けると、これらのサイトを単一のエンティティとして管理できます。これらのサイトにある複数の組織を相互に関連付けることもできます。サイトの関連付けの作成を参照してください。組織が関連付けのメンバーである場合、組織ユーザーは VMware Cloud Director Tenant Portal を使用して、任意のメンバーのサイトにある組織の資産にアクセスできます。ただし、各メンバー組織とその資産は使用するサイトにローカルに配置されます。

サイトまたは組織がピアと作成できる関連付けの数には上限がありませんが、各関連付けには必ず 2 つのメンバーを含めます。各サイトまたは組織には、独自のプライベート キーを設定する必要があります。関連付けの各メンバーはパブリック キーを交換して信頼関係を確立します。パブリック キーはメンバー間の署名要求を確認するために使用されます。

関連付けられた各サイトは、VMware Cloud Director サーバ グループ（VMware Cloud Director データベースを共有するサーバのグループ）の範囲によって定義されます。関連付けられた各組織は、1 つのサイトを使用します。組織管理者は、各メンバー サイトにある資産への組織ユーザーおよびグループによるアクセスを制御します。

サイトのオブジェクトとサイトの関連付け

インストールまたはアップグレード プロセスでは、ローカルの VMware Cloud Director サーバ グループを表す Site オブジェクトが作成されます。複数の VMware Cloud Director サーバ グループで管理権限を持つシステム管理者は、VMware Cloud Director サイトの関連付けとして、これらのサーバ グループを構成できます。

組織の関連付け

ユーザーおよびグループの ID

サイトおよび組織の関連付けでは、同じ ID プロバイダ (IDP) を使用することに同意する必要があります。関連付けられたすべての組織のユーザーおよびグループの ID は、この IDP が管理する必要があります。

関連付けでは、最適な IDP を自由に選択できます。

組織のユーザーおよびグループのサイト アクセス コントロール

組織管理者は、各自の IDP を設定して、ユーザーまたはグループのアクセス トークンを生成できます。このアクセス トークンはすべてのメンバー サイトで有効にすることも、一部のメンバー サイトのみで有効にすることもできます。ユーザーおよびグループの ID は、すべてのメンバー組織で同じにする必要がありますが、ユーザーおよびグループの権限は、各メンバー組織内でユーザーおよびグループが割り当てられているロールによって制約されます。ユーザーまたはグループへのロールは、作成したカスタム ロールと同様に、メンバー組織にローカルで割り当てられます。

ロード バランサの要件

マルチサイト展開を効果的に実装するには、ロード バランサを設定して、組織のエンドポイント（https://vcloud.example.com など）に送信される要求を、サイト関連付けの各メンバーのエンドポイント（https://us.vcloud.example.com や https://uk.vcloud.example.com など）に分散する必要があります。サイトに複数のセルがある場合は、受信する要求をすべてのセルで分散するロード バランサも設定する必要があります。これにより、https://us.vcloud.example.com への要求を、https://cell1.us.vcloud.example.com、https://cell2.us.vcloud.example.com などで処理できます。

VMware Cloud Director 10.3 以降では、マルチサイト展開のロードバランシング エンドポイントに送信されたすべてのクライアント要求がリダイレクトされます。要求がロード バランシング エンドポイントに送信されると、要求が送信されたサイトが正しいサイトである場合もリダイレクトが実行され、ユーザーに表示される URL に反映されるため、要求が正しい場所に転送されたことがわかります。

たとえば、グローバル ロードバランシング エンドポイント https://us.vcloud.example.com の背後に、https://site1.vcloud.example.com と https://site2.vcloud.example.com の 2 つのサイトで構成された展開を配置できます。VMware Cloud Director 10.3 以降では、サイト 1 (https://us.vcloud.example.com/org1) にある組織のロード バランシング エンドポイントに要求が送信された場合、サイトは要求がサイト 1 に到着した時点で要求を https://site1.vcloud.example.com/org1 に転送して、自身へのリダイレクトを実行します。VMware Cloud Director 10.2.x 以前のバージョンでは、ロード バランサが同じ場所にある組織の要求を受信して、この要求がパブリック エンドポイントの URL (https://us.vcloud.example.com/org1) を介して処理される場合、リダイレクトは実行されません。

ネットワーク接続の要件

マルチサイト機能を使用する場合は、各サイトの各セルが、すべてのサイトの REST API エンドポイントに REST API 要求を実行できる必要があります。「ロード バランサの要件」セクションの例を使用する場合は、cell1.us.vcloud.example.com および cell2.us.vcloud.example.com から uk.example.com の REST API エンドポイントにアクセスできる必要があります。その逆は、uk.example.com のすべてのセルで成立します。つまり、セルは自身の REST API エンドポイントに REST API 呼び出しを実行できる必要があるため、cell1.us.vcloud.example.com から https://us.vcloud.example.com への REST API 呼び出しが可能である必要があります。

REST API のファンアウトを行うには、すべてのサイトの REST API エンドポイントに対して REST API 要求を行う必要があります。たとえば、ユーザー インターフェイスまたは API クライアントがマルチサイト要求を行い、すべてのサイトから組織のページを取得して、cell1.us.vcloud.example.com で要求を処理する場合を考えます。セル cell1 は REST API 呼び出しを行って、各サイトに構成された REST API エンドポイントを使用してサイトから組織のページを取得する必要があります。すべてのサイトから組織のページが返されたら、cell1 は結果を照合し、他のすべてのサイトのデータを含む結果を 1 ページにまとめて返します。

サイトと証明書

サイトが他のサイトに関連付けられている場合に、証明書を更新する場合、他のサイトへの変更の通知が必要になることがあります。他のサイトに証明書の変更を知らせない場合、マルチサイトのファンアウトが影響を受ける可能性があります。

サイトの証明書を適切に署名された有効な証明書に置き換える場合は、他のサイトに通知する必要はありません。証明書は有効で、適切に署名されているため、他のサイトのセルは中断することなく、安全な方法で接続し続けることができます。

関連付けメンバーのステータス

Service Provider Admin Portal および Tenant Portal では、ステータスは Connected、Partially Connected、Unreachable と表示されます。

メンバー ステータスの「ハートビート」は、マルチサイト システムのユーザー ID、つまり VMware Cloud Director のインストール中にシステム組織で作成したローカルの VMware Cloud Director ユーザー アカウントを使用して実行されます。このアカウントはシステム組織のメンバーですが、システム管理者の権限はありません。このアカウントには、Multisite: System Operations という権限のみが付与されています。これにより、サイト関連付けのリモート メンバーのステータスを取得する VMware Cloud Director API 要求を行うことができます。