VMware Aria Automation позволяет ИТ-поставщикам настроить несколько арендаторов (или организаций) в каждом развертывании. Поставщики могут настроить несколько организаций-арендаторов и выделить инфраструктуру в рамках каждого развертывания, а также управлять пользователями для арендаторов.
В конфигурации VMware Aria Automation с несколькими арендаторами поставщики могут создать несколько организаций, причем каждая организация-арендатор будет использовать собственные проекты, ресурсы и развертывания. Хотя поставщики не могут управлять инфраструктурой арендаторов удаленно, они могут входить в систему арендаторов и управлять инфраструктурой из них.
- Workspace ONE Access обеспечивает поддержку инфраструктуры для множественной аренды и подключения к доменам Active Directory, которые позволяют управлять пользователями и группами в организациях-арендаторах.
- VMware Aria Suite Lifecycle поддерживает создание и настройку арендаторов для поддерживаемых продуктов, таких как VMware Aria Automation. Кроме того, он предоставляет ряд возможностей управления сертификатами.
- VMware Aria Automation. Поставщики и пользователи заходят в VMware Aria Automation, чтобы получить доступ к арендаторам, в которых они создают развертывания и управляют ими.
Для настройки множественной аренды пользователям необходимо ознакомиться со всеми тремя этими продуктами и соответствующей документацией.
Администраторы с разрешениями VMware Aria Suite Lifecycle создают арендаторов и управляют ими в VMware Aria Suite Lifecycle на странице «Арендаторы», расположенной в службе Управление удостоверениями и арендаторами. Арендаторы создаются с помощью подключения Active Directory к IWA или LDAP. Они поддерживаются связанным экземпляром Workspace ONE Access, необходимым для развертываний VMware Aria Automation.
Настройку множественной аренды необходимо начинать с основного, или главного, арендатора. Этот арендатор является арендатором по умолчанию, который создается при развертывании соответствующего приложения Workspace ONE Access. Другие арендаторы, или субарендаторы, могут быть созданы на основе главного арендатора. На данный момент VMware Aria Automation поддерживает до 20 организаций-арендаторов в рамках стандартного развертывания с тремя узлами.
Перед активацией VMware Aria Automation в режиме множественной аренды сначала необходимо установить приложение в конфигурации с одной организацией. Затем используйте VMware Aria Suite Lifecycle для создания конфигурации с несколькими организациями. Развертывание Workspace ONE Access поддерживает управление арендаторами и связанными подключениями к доменам Active Directory.
При первоначальной настройке множественной аренды администратор поставщика указывается в VMware Aria Suite Lifecycle. При необходимости это назначение можно изменить или добавить администраторов позже. В конфигурациях с несколькими организациями для управления пользователями и группами VMware Aria Automation в основном применяется Workspace ONE Access.
После создания организаций уполномоченные пользователи могут войти в свои приложения, чтобы создавать проекты и ресурсы или работать с ними, а также чтобы создавать развертывания. Администраторы могут управлять ролями пользователей в VMware Aria Automation.
Настройка для конфигурации с несколькими организациями
Включить развертывание с несколькими организациями можно после завершения установки VMware Aria Automation. При настройке конфигурации с несколькими организациями необходимо настроить внешний экземпляр Workspace ONE Access для использования множественной аренды, а затем использовать Lifecycle Manager для создания и настройки арендаторов. Это относится как к новым, так и к существующим развертываниям. На начальном этапе настройки арендаторов необходимо через VMware Aria Suite Lifecycle задать псевдоним для главного арендатора, который был создан по умолчанию в Workspace ONE Access. Субарендаторы, создаваемые на основе главного арендатора, наследуют конфигурации доменов Active Directory этого главного арендатора.
В Lifecycle Manager арендаторы присваиваются продукту, например VMware Aria Automation, и определенной среде. При настройке арендатора необходимо также назначить его администратора. По умолчанию функция множественной аренды включается на уровне имени узла арендатора. Пользователи могут выбрать ручную настройку имени арендатора по имени DNS. Во время этой процедуры необходимо установить несколько флажков для поддержки множественной аренды, а также настроить подсистему балансировки нагрузки.
При использовании кластерного экземпляра имена узлов Workspace ONE Access и VMware Aria Automation на основе арендаторов будут указывать на подсистему балансировки нагрузки.
Если кластерные подсистемы балансировки нагрузки VMware Aria Automation и Workspace ONE Access не используют сертификаты с подстановочными знаками, пользователям необходимо указать в сертификатах имена узлов арендаторов в виде записей SAN для каждого создаваемого арендатора.
В VMware Aria Automation и VMware Aria Suite Lifecycle нельзя удалить арендаторов. Если требуется добавить арендаторов в существующее развертывание с множественной арендой, это можно сделать с помощью VMware Aria Suite Lifecycle, при этом простой составит от трех до четырех часов.
Чтобы узнать больше о VMware Aria Suite Lifecycle Workspace ONE Access, используйте ссылки на документы в начале этого раздела.
Имена узлов и множественная аренда
В предыдущих версиях VMware Aria Automation пользователи получали доступ к арендаторам с помощью URL-адресов, составленных на основе пути к каталогу. В текущей реализации множественной аренды пользователи получают доступ к арендаторам по имени узла.
Кроме того, формат имени узла для доступа пользователей VMware Aria Automation к арендаторам отличается от формата, который используется для доступа к арендаторам в Workspace ONE Access. Например, допустимым именем узла является tenant1.example.eng.vmware.com, а не vidm-node1.eng.vmware.com.
Множественная аренда и сертификаты
Необходимо создать сертификаты для всех компонентов, задействованных в конфигурации с несколькими организациями. Для Workspace ONE Access, VMware Aria Suite Lifecycle и VMware Aria Automation потребуется один или несколько сертификатов в зависимости от того, какая конфигурация используется — с одним узлом или кластерная.
При настройке сертификатов можно использовать подстановочные знаки с именами SAN или выделенные имена. Использование подстановочных знаков упрощает управление сертификатами, так как сертификаты должны обновляться при добавлении новых арендаторов. Если в подсистеме балансировки нагрузки VMware Aria Automation и Workspace ONE Access не используются сертификаты с подстановочными знаками, имена узлов должны быть добавлены в сертификаты как записи SAN для каждого нового создаваемого арендатора. Кроме того, при использовании SAN сертификаты необходимо обновлять вручную при добавлении и удалении узлов или изменении имен узлов. Кроме того, необходимо обновить записи DNS для арендаторов.
Обратите внимание, что VMware Aria Suite Lifecycle не создает отдельные сертификаты для каждого арендатора. Вместо этого создается единый сертификат с указанием имен всех узлов арендаторов. В базовых конфигурациях для CNAME арендатора используется следующий формат: имя_арендатора.vrahostname.domain. В конфигурациях с высокой доступностью для имени используется следующий формат: имя_арендатора.vraLBhostname.domain.
Если используется кластерная конфигурация Workspace ONE Access, Lifecycle Manager не сможет обновить сертификат подсистемы балансировки нагрузки, поэтому его необходимо обновить вручную. Кроме того, если необходимо повторно зарегистрировать продукты или службы, которые являются внешними по отношению к VMware Aria Suite Lifecycle, этот процесс выполняется вручную.
