vRealize Suite Lifecycle Manager можно использовать для включения локальной мультитенантности в VMware Identity Manager 3.3.4 с помощью vReallize Automation 8.3.
В отличие от режима с указанием арендатора в пути, в режиме с указанием арендатора в имени узла для vReallize Automation 8.3 мультитенантность включена по умолчанию. .
При использовании режима с указанием арендатора в имени узла для доступа к арендаторам необходимо использовать URL-адрес их полного доменного имени (FQDN). URL-адрес подсистемы балансировки нагрузки или VMware Identity Manager не будет работать. Пример:
- URL-адрес до включения мультитенантности: https://load-balancer.vmwareidentity.com/SAAS/t/tenant1
- URL-адрес после включения мультитенантности: https://tenant1.vmwareidentity.com
Будьте готовы к повторной регистрации существующих продуктов vRealize после включения мультитенантности в развертывании VMware Identity Manager со сбалансированной нагрузкой.
На следующем рисунке показаны допустимые и недопустимые URL-адреса. На рисунке также представлены примеры конфигураций DNS и подсистемы балансировки нагрузки.
Необходимые условия
Создайте соответствующие DNS-записи.
Один узел или кластер | Действие |
---|---|
Для развертывания VMware Identity Manager с одним узлом | Создайте DNS-записи, чтобы разрешить использование полного доменного имени для каждого арендатора в IP-адресе VMware Identity Manager. |
Для кластерного развертывания VMware Identity Manager | Создайте DNS-записи, чтобы разрешить использование полного доменного имени для каждого арендатора в IP-адресе подсистемы балансировки нагрузки. |
Процедура
- ♦ Используйте vRealize Suite Lifecycle Manager, чтобы включить мультитенантность.
Дополнительные сведения по созданию арендаторов см. в руководстве Установка, обновление и управление vRealize Suite Lifecycle Manager 8.3.Важно!: При включении мультитенантности следуйте приведенным ниже рекомендациям.
- При настройке сертификатов SSL рекомендуется использовать сертификат с групповым альтернативным именем субъекта. Желательно, чтобы он был подписан общедоступным центром сертификации. Однако можно также использовать самозаверяющий сертификат с групповым альтернативным именем субъекта.
Убедитесь, что сертификат включает полные доменные имена, например альтернативные имена субъектов для подсистемы балансировки нагрузки, узлов и псевдонимов арендаторов по умолчанию.
Примечание: Если используется сертификат без группового альтернативного имени субъекта, выполните следующие применимые действия.- Добавьте все полные доменные имена арендаторов в сертификат в качестве альтернативных имен субъектов.
- При создании нового арендатора убедитесь, что его полное доменное имя добавлено в сертификат VMware Identity Manager в качестве альтернативного имени субъекта. Для обновления сертификата необходимо перезапустить службу Horizon.
- Применяются следующие сведения VMware Identity Manager Connector.
- Для дочернего арендатора соединитель не отображается по умолчанию на странице «Соединители». На странице «Соединители» в консоли VMware Identity Manager экземпляр соединителя отображается только после создания корпоративного каталога с помощью этого экземпляра соединителя.
- Всегда выполняйте операции присоединения к домену из главного арендатора.
- При создании каталога IWA для другого домена в дочернем арендаторе, используйте другие экземпляры внешнего соединителя Windows.
- Экземпляр внешнего соединителя, активированный для любого дочернего арендатора, используется только для этого арендатора.
- Экземпляр внешнего соединителя, активированный для главного арендатора, можно использовать во всех дочерних арендаторах.
- Во время обновления служба VMware Identity Manager создает файл cluster-hostname-conn-timestamp.enc для всех экземпляров соединителя. Файл cluster-hostname-conn-timestamp.enc содержит сведения о конфигурации встроенного соединителя.
- При настройке сертификатов SSL рекомендуется использовать сертификат с групповым альтернативным именем субъекта. Желательно, чтобы он был подписан общедоступным центром сертификации. Однако можно также использовать самозаверяющий сертификат с групповым альтернативным именем субъекта.
Дальнейшие действия
Необходимо повторно зарегистрировать существующие продукты vRealize, такие как VMware vRealize Operations, VMware vRealize Automation и VMware vRealize Log Insight, с полным доменным именем псевдонима главного арендатора. См. документацию по vRealize Suite Lifecycle Manager 8.3.