Met VMware Aria Automation kunnen IT-providers meerdere tenants of organisaties instellen binnen elke implementatie. Providers kunnen voor elke implementatie meerdere tenantorganisaties instellen en de infrastructuur toewijzen binnen elke implementatie. Ook kunnen ze gebruikers voor tenants beheren.
In een VMware Aria Automation-configuratie voor meerdere organisaties kunnen providers meerdere organisaties maken, waarbij elke tenantorganisatie zijn eigen projecten, resources en implementaties beheert. De providers kunnen de tenantinfrastructuur weliswaar niet extern beheren, maar kunnen zich wel aanmelden bij de tenants en de infrastructuur van daaruit beheren.
- Workspace ONE Access: dit product biedt de infrastructurele ondersteuning voor multitenancy en de Active Directory-domeinverbindingen waarmee het gebruikers- en groepsbeheer binnen tenantorganisaties wordt geregeld.
- VMware Aria Suite Lifecycle: met dit product kunt u tenants maken en configureren voor ondersteunde producten, zoals VMware Aria Automation. Daarnaast hebt u hiermee een beperkt aantal mogelijkheden voor certificaatbeheer.
- VMware Aria Automation: providers en gebruikers melden zich aan bij VMware Aria Automation om toegang te krijgen tot tenants waarin ze implementaties maken en beheren.
Wanneer u multitenancy configureert, moeten gebruikers bekend zijn met alle drie de producten en bijbehorende documentatie.
Beheerders met rechten voor VMware Aria Suite Lifecycle kunnen tenants maken en beheren via de pagina Tenants in VMware Aria Suite Lifecycle onder de service Identiteits- en tenantbeheer van tenant. Tenants worden gemaakt met behulp van een Active Directory IWA- of LDAP-verbinding. Ze worden ondersteund door de bijbehorende Workspace ONE Access-instantie die is vereist voor VMware Aria Automation-implementaties.
Wanneer u multitenancy configureert, begint u met een basis- of hoofdtenant. Deze tenant is de standaardtenant die wordt gemaakt wanneer de onderliggende Workspace ONE Access-applicatie wordt geïmplementeerd. Andere tenants, ook wel subtenants genoemd, kunnen worden gebaseerd op de hoofdtenant. VMware Aria Automation ondersteunt momenteel maximaal 20 tenantorganisaties met een standaardimplementatie van drie knooppunten.
Voordat u VMware Aria Automation inschakelt voor multitenancy, moet u de applicatie eerst in een configuratie met een afzonderlijke organisatie installeren en vervolgens VMware Aria Suite Lifecycle gebruiken om een configuratie met meerdere organisaties in te stellen. Een Workspace ONE Access-implementatie faciliteert het beheer van de tenants en bijbehorende Active Directory-domeinverbindingen.
Wanneer u multitenancy voor het eerst instelt, wordt een beheerder voor de provider aangewezen in VMware Aria Suite Lifecycle. U kunt deze aanstelling op een later tijdstip desgewenst wijzigen of nieuwe beheerders toevoegen. Onder configuraties voor meerdere organisaties worden VMware Aria Automation-gebruikers en -groepen voornamelijk via Workspace ONE Access beheerd.
Als de organisaties zijn gemaakt, kunnen bevoegde gebruikers zich aanmelden bij hun applicaties om projecten en resources te maken of gebruiken en implementaties te verrichten. Beheerders kunnen gebruikersrollen beheren in VMware Aria Automation.
Een configuratie voor meerdere organisaties instellen
Als u de installatie van VMware Aria Automation hebt voltooid, kunt u een implementatie met meerdere organisaties uitvoeren. Voor een configuratie met meerdere organisaties moet u eerst multitenancy instellen in uw externe Workspace ONE Access-applicatie en vervolgens Lifecycle Manager gebruiken om de tenants te maken en configureren. Dit geldt voor zowel nieuwe als bestaande implementaties. Voor de instelling van de tenants gaat u eerst naar VMware Aria Suite Lifecycle om een alias in te stellen voor de mastertenant, die standaard wordt gemaakt in Workspace ONE Access. Alle subtenants die u op basis van deze hoofdtenant maakt, nemen de Active Directory-domeinconfiguratie over van deze hoofdtenant.
In Lifecycle Manager wijst u tenants toe aan een product, zoals VMware Aria Automation, en aan een specifieke omgeving. Wanneer u een tenant instelt, moet u ook een tenantbeheerder aanwijzen. Multitenancy wordt standaard geregeld op basis van de hostnaam van de tenant. Gebruikers kunnen ervoor kiezen om de naam van de tenant handmatig te configureren op basis van DNS-naam. Tijdens deze procedure moet u verschillende vlaggen instellen om multitenancy mogelijk te maken en moet u tevens de load balancer configureren.
Als u een geclusterde instantie gebruikt, verwijzen de hostnamen van zowel de Workspace ONE Access- als VMware Aria Automation-tenant naar de load balancer.
Als de load balancers in deze geclusterde configuratie van VMware Aria Automation en Workspace ONE Access geen jokertekencertificaten gebruiken, moet de gebruiker de SAN-velden voor de hostnamen van de tenants toevoegen op de certificaten. Dit geldt voor elke nieuwe tenant die wordt gemaakt.
U kunt geen tenants verwijderen in VMware Aria Automation of in VMware Aria Suite Lifecycle. Als u tenants wilt toevoegen aan een bestaande implementatie met meerdere tenants, kunt u dit doen met behulp van VMware Aria Suite Lifecycle, maar moet u wel rekening houden met een uitvaltijd van drie tot vier uur.
Zie de documentatielinks aan het begin van dit onderwerp voor meer informatie over het gebruik van VMware Aria Suite Lifecycle en Workspace ONE Access.
Hostnamen en multitenancy
In eerdere versies van VMware Aria Automation hadden gebruikers toegang tot de tenants via een URL met een directorypad. In de huidige multitenancy implementatie krijgen gebruikers toegang tot tenants op basis van de hostnaam.
Daarnaast wordt voor de hostnamen waarmee VMware Aria Automation-gebruikers toegang krijgen tot de tenants, een andere indeling gebruikt dan die voor Workspace ONE Access-tenants. Een geldige hostnaam ziet er bijvoorbeeld als volgt uit: tenant1.example.eng.vmware.com
, in tegenstelling tot vidm-node1.eng.vmware.com
.
Multitenancy en certificaten
U moet certificaten maken voor alle onderdelen die zijn betrokken bij een configuratie met meerdere organisaties. U heeft een of meer certificaten nodig voor Workspace ONE Access, VMware Aria Suite Lifecycle en VMware Aria Automation, afhankelijk van of u een configuratie met één knooppunt of een geclusterde configuratie gebruikt.
Bij het configureren van certificaten kunt u jokertekens met de SAN-namen of unieke namen gebruiken. Aangezien de certificaten moeten worden bijgewerkt wanneer u nieuwe tenants toevoegt, wordt het certificaatbeheer enigszins vereenvoudigd als u gebruikmaakt van jokertekens. Als de load balancer van VMware Aria Automation en Workspace ONE Access geen jokertekencertificaten gebruikt, moet u voor alle nieuwe tenants SAN-velden voor de hostnamen van de tenants toevoegen op de certificaten. Als u SAN gebruikt, moet u de certificaten bovendien handmatig bijwerken wanneer u hosts toevoegt of verwijdert of een hostnaam wijzigt. Ook moet u de DNS-vermeldingen voor tenants bijwerken.
Houd er rekening mee dat VMware Aria Suite Lifecycle geen afzonderlijke certificaten maakt voor elke tenant. In plaats daarvan wordt een enkel certificaat gemaakt waarbij voor elke tenant de hostnaam wordt weergegeven. Voor basisconfiguraties gebruikt u de volgende notatie voor het CNAME-record van de tenant: tenantname.vrahostname.domain. Voor configuraties met hoge beschikbaarheid gebruikt u de volgende notatie voor de hostnaam: tenantname.vraLBhostname.domain.
Als u een geclusterde Workspace ONE Access-configuratie gebruikt, moet u er rekening mee houden dat Lifecycle Manager het load balancer-certificaat niet kan bijwerken, zodat u dit handmatig moet doen. Ook een eventuele hernieuwde registratie van externe producten of services van VMware Aria Suite Lifecycle moet u handmatig doen.