이 섹션에서는 테넌트 FQDN을 통해 테넌트를 액세스할 수 있는 방법을 설명하는 다중 테넌시 모델, 인증서와 함께 다중 테넌시를 사용하도록 설정하는 것의 중요성 및 DNS 요구 사항에 대해 설명합니다.
다중 테넌시 사용
마스터 테넌트는 이제 기본 테넌트라고 합니다. 0일차에도 즉시 사용 가능한 VMware Identity Manager에는 이미 사용 가능한 기본 테넌트가 포함되어 있으며, 이는 최소 구성에서 유지되어 기본 테넌트 아래에 추가로 테넌트를 생성할 수 없습니다. 다중 테넌시를 사용하도록 설정하기 위해 일련의 구성 및 API 호출이 VMware Identity Manager에서 수행됩니다. 다중 테넌시를 사용하도록 설정할 때 기본 테넌트에 대해 생성된 별칭 이름이 있어야 합니다. 다중 테넌시 사용 설정에 대한 자세한 내용은 다중 테넌시 사용 항목을 참조하십시오.
예를 들어 FQDN 'idm1.vmwlab.local'이 포함된 VMware Identity Manager에는 이름이 'idm1'인 기본 테넌트가 이미 있을 수 있습니다. 다중 테넌시를 사용하도록 설정하기 전에 기본에 대한 별칭을 생성하는 것이 필수입니다. 예를 들어 'master-tenant'로 설정하고 기본 테넌트가 참조되는 모든 곳에서 동일한 별칭 이름을 사용합니다.
테넌트 FQDN
기본적으로 VMware Identity Manager에서 생성된 테넌트는 VMware Identity Manager 서버에 매핑된 FQDN인 테넌트 URL을 통해 액세스됩니다. 모든 테넌트에는 고유한 테넌트 FQDN이 있습니다. 예를 들어 호스트 이름(idm1.vmwlab.local), 기본 테넌트 이름(idm1) 및 기본 테넌트 별칭(master-tenant)이 있는 단일 노드 VMware Identity Manager에서 FQDN master-tenant.vmwlab.local을 통해 기본 테넌트를 액세스해야 합니다. 새 테넌트(tenant1)가 생성되면 tenant1.vmwlab.local을 통해서만 액세스해야 합니다.
모든 테넌트에는 전용 FQDN이 필요하기 때문에 VMware Identity Manager에서 테넌트를 생성하려면 테넌트 FQDN을 VMware Identity Manager 서버 IP 주소에 매핑하는 A 유형 DNS 레코드가 꼭 필요합니다. 클러스터링된 VMware Identity Manager 배포의 경우 모든 테넌트 FQDN에 VMware Identity Manager 로드 밸런서 IP 주소로의 A 유형 레코드 매핑이 있어야 합니다.
동일한 모델이 vRealize Automation에도 적용됩니다. vRealize Automation이 테넌트와 연결되면 vRealize Automation 테넌트 FQDN을 통해 vRealize Automation 테넌트를 액세스해야 합니다. 예를 들어, FQDN idm1.vmwlab.local이 포함된 VMware Identity Manager에는 tenant1.vmwlab.local을 통해 액세스할 수 있는 테넌트 'tenant1'이 있고, vRealize Automation 8.1 vra1.vmwlab.local이 이 VMware Identity Manager와 통합되어 'tenant1'과 연결되어 있습니다. 압서 언급한 바와 같이, vRealize Automation 테넌트와 VMware Identity Manager 테넌트가 1:1로 매핑되므로 기본 테넌트 vRealize Automation은 계속해서 vra1.vmwlab.local을 통해 액세스할 수 있고 'tenant 1' vRealize Automation은 tenant1.vra1.vmwlab.local을 통해 액세스해야 합니다.
VMware Identity Manager와 유사하게 vRealize Automation 테넌트 FQDN도 DNS 매핑이 필요합니다. 하지만 vRealize Automation의 경우 vRealize Automation 테넌트 FQDN을 vRealize Automation 서버 FQDN에 매핑하는 CNAME 유형 레코드여야 합니다. 클러스터링된 vRealize Automation 배포의 경우 모든 vRealize Automation 테넌트 FQDN은 vRealize Automation 로드 밸런서 FQDN을 가리키는 CNAME 유형 DNS 레코드가 있어야 합니다.
DNS 매핑을 포함해야 한다는 필수 사전 요구 사항 외에도, 테넌시가 작동하기 위해서는 인증서도 필요합니다. 배포 아키텍처에 따라 달라지는 VMware Identity Manager, vRealize Automation 서버와 로드 밸런서는 모든 필수 테넌트 FQDN을 유지하는 해당 인증서가 있어야 합니다.
- VMware Identity Manager 노드: idm1.vmwlab.local
vRealize Automation 노드: vra1.vmwlab.local
기본 테넌트 별칭 이름: master-tenant
테넌트: tenant-1, tenant-2
테넌트 이름 | VMware Identity Manager 테넌트 FQDN | vRealize Automation 테넌트 FQDN |
---|---|---|
master-tenant | "https://master-tenant.vmwlab.local" | "https://vra1.vmwlab.local" |
tenant-1 | "https://tenant-1.vmwlab.local" | "https://tenant-1.vra1.vmwlab.local" |
tenant-2 | "https://tenant-2.vmwlab.local" | "https://tenant-2.vra1.vmwlab.local" |
- VMware Identity Manager 로드 밸런서: idm-lb.vmwlab.local
VMware Identity Manager 노드: idm1.vmwlab.local, idm2.vmwlab.local, idm3.vmwlab.local
vRealize Automation 로드 밸런서: vra-lb.vmwlab.local
vRealize Automation 노드: vra1.vmwlab.local, vra2.vmwlab.local, vra3.vmwlab.local
기본 테넌트 별칭 이름: master-tenant
테넌트: tenant-1, tenant-2
테넌트 이름 | VMware Identity Manager 테넌트 FQDN | vRealize Automation 테넌트 FQDN |
---|---|---|
master-tenant | "https://master-tenant.vmwlab.local" | "https:// vra-lb.vmwlab.local" |
tenant-1 | "https://tenant-1.vmwlab.local" | "https://tenant-1.vra-lb.vmwlab.local" |
tenant-2 | "https://tenant-2.vmwlab.local" | "https://tenant-2.vra-lb.vmwlab.local" |
필수 인증서 요구 사항
- 다중 테넌시 또는 테넌트 생성을 사용하도록 설정하기 위해 VMware Identity Manager에서 인증서를 변경하는 경우 이는 서비스를 중단하고 다운타임을 초래합니다. VMware Identity Manager 인증서가 변경되면 서비스 다운타임이 발생합니다. 인증 용도로 VMware Identity Manager와 통합된 제품 또는 서비스는 다운타임 동안 VMware Identity Manager 인증 로그인을 사용할 수 없습니다. 또한 VMware Identity Manager 인증서를 변경하면 모든 제품 또는 서비스에 대해 다시 신뢰해야 하며 이 또한 제품에 대한 다운타임을 초래합니다.
- 생성되고 vRealize Automation과 연결된 모든 새 테넌트의 경우 vRealize Automation 인증서도 변경해야 하며 이로 인해 vRealize Automation에 대한 서비스 다운타임이 발생합니다.
- vRealize Automation, VMware Identity Manager 및 VMware Identity Manager와 통합된 기타 제품 또는 서비스에서 서비스 다운타임을 방지하려면 일반적으로 와일드카드 인증서를 포함하는 것이 좋습니다. 새 테넌트의 경우 VMware Identity Manager 인증서 또는 vRealize Automation 인증서의 변경 내용은 vRealize Automation에서 다운타임을 생성할 수 있습니다.
- 와일드카드 인증서가 사용되지 않는 경우 모든 필수 인증서에서 각 테넌트 FQDN에 대해 특정 SAN 항목이 생성됩니다.
- vRealize Suite Lifecycle Manager 잠금 관리자 서비스는 VMware Identity Manager 및 vRealize Automation 서버 노드에서 인증서를 관리하는 데 도움이 됩니다. vRealize Suite Lifecycle Manager를 사용하면 VMware Identity Manager 인증서를 교체할 때 모든 제품에 대한 VMware Identity Manager 인증서의 다시 신뢰가 자동으로 수행됩니다.
- vRealize Suite Lifecycle Manager 외부의 제품 또는 서비스는 수동으로 처리됩니다. 잠금 관리자 서비스는 로드 밸런서 인증서 업데이트를 처리하지 않습니다. 이는 사용자에 의해 수동으로 수행됩니다. 로드 밸런서 인증서가 변경될 때마다 동일한 변경 내용이 제품에서 다시 신뢰되어야 합니다.
- VMware Identity Manager의 경우 vRealize Suite Lifecycle Manager의 VMware Identity Manager 인증서 업데이트 또는 교체 작업은 내부적으로 VMware Identity Manager 서버 인증서를 업데이트하기 전에 VMware Identity Manager 로드 밸런서 인증서를 다시 신뢰하도록 합니다. 따라서 먼저 수동으로 VMware Identity Manager 로드 밸런서 인증서를 변경한 다음 vRealize Suite Lifecycle Manager 잠금 관리자 서비스를 통해 VMware Identity Manager 인증서를 업데이트하거나 교체하는 것이 좋습니다.
- vRealize Automation 8.x의 경우 SSL이 vRealize Automation 로드 밸런서에서 종료되고 로드 밸런서 인증서가 수동으로 변경되는 경우 vRealize Automation 8.x 제품 카드에서 [로드 밸런서 다시 신뢰]를 클릭하여 vRealize Automation의 로드 밸런서 인증서를 다시 신뢰하도록 합니다. 자세한 내용은 vRealize Suite Lifecycle Manager에서 다른 제품을 통한 2일차 작업 항목을 참조하십시오.
필수 DNS 요구 사항
단일 노드 VMware Identity Manager의 경우 VMware Identity Manager 서버 IP 주소로 테넌트 FQDN을 강조 표시하는 A 유형 DNS 레코드가 필요합니다. 또한 클러스터링된 VMware Identity Manager의 경우 VMware Identity Manager 로드 밸런서 IP 주소로 테넌트 FQDN을 가리키는 A 유형 DNS 레코드가 필요합니다
vRealize Automation의 단일 노드의 경우 vRealize Automation 서버 FQDN으로 vRealize Automation 테넌트 FQDN을 가리키는 CNAME 유형 DNS 레코드가 필요합니다. 또한 클러스터링된 vRealize Automation의 경우 vRealize Automation 로드 밸런서 FQDN으로 vRealize Automation 테넌트 FQDN을 가리키는 CNAME 유형 DNS 레코드가 필요합니다.