vRealize Automation позволяет ИТ-поставщикам настроить несколько арендаторов (или организаций) в каждом развертывании. Поставщики могут настроить несколько организаций-арендаторов и выделить инфраструктуру в рамках каждого развертывания, а также управлять пользователями для арендаторов.
В конфигурации vRealize Automation с несколькими арендаторами поставщики могут создать несколько организаций, причем каждая организация-арендатор будет использовать собственные проекты, ресурсы и развертывания. Хотя поставщики не могут управлять инфраструктурой арендаторов удаленно, они могут входить в систему арендаторов и управлять инфраструктурой из них.
- Workspace ONE Access обеспечивает поддержку инфраструктуры для множественной аренды и подключения к доменам Active Directory, которые позволяют управлять пользователями и группами в организациях-арендаторах.
- vRealize Suite Lifecycle Manager поддерживает создание и настройку арендаторов для поддерживаемых продуктов, таких как vRealize Automation. Кроме того, он предоставляет ряд возможностей управления сертификатами.
- vRealize Automation. Поставщики и пользователи заходят в vRealize Automation, чтобы получить доступ к арендаторам, в которых они создают развертывания и управляют ими.
Для настройки множественной аренды пользователям необходимо ознакомиться со всеми тремя этими продуктами и соответствующей документацией.
- vRealize Suite Lifecycle Manager — см. документацию по системе Lifecycle Manager
- Workspace ONE Access — см. Управление пользователями с помощью VMware Identity Manager и Администрирование VMware Workspace ONE Access
Администраторы с разрешениями vRealize Suite Lifecycle Manager создают арендаторов и управляют ими в Lifecycle Manager на странице «Арендаторы», расположенной в службе «Управление удостоверениями и арендаторами». Арендаторы создаются с помощью LDAP- или IWA-подключения к Active Directory и поддерживаются связанным экземпляром VMware Workspace ONE Access, необходимым для развертываний vRealize Automation. Дополнительные сведения об использовании Lifecycle Manager см. в сопутствующей документации.
Настройку множественной аренды необходимо начинать с основного, или главного, арендатора. Этот арендатор является арендатором по умолчанию, который создается при развертывании соответствующего приложения Workspace ONE Access. Другие арендаторы, или субарендаторы, могут быть созданы на основе главного арендатора. На данный момент vRealize Automation поддерживает до 20 организаций-арендаторов в рамках стандартного развертывания с тремя узлами.
Перед активацией vRealize Automation в режиме множественной аренды сначала необходимо установить приложение в конфигурации с одной организацией. Затем используйте Lifecycle Manager для создания конфигурации с несколькими организациями. Развертывание Workspace ONE Access поддерживает управление арендаторами и связанными подключениями к доменам Active Directory.
При первоначальной настройке множественной аренды администратор поставщика указывается в Lifecycle Manager. При необходимости это назначение можно изменить или добавить администраторов позже. В конфигурациях с несколькими организациями для управления пользователями и группами vRealize Automation в основном применяется Workspace ONE Access.
После создания организаций уполномоченные пользователи могут войти в свои приложения, чтобы создавать проекты и ресурсы или работать с ними, а также чтобы создавать развертывания. Администраторы могут управлять ролями пользователей в vRealize Automation.
Настройка для конфигурации с несколькими организациями
Включить развертывание с несколькими организациями можно после завершения установки vRealize Automation. При настройке конфигурации с несколькими организациями необходимо настроить внешний экземпляр Workspace ONE Access для использования множественной аренды, а затем использовать Lifecycle Manager для создания и настройки арендаторов. Это относится как к новым, так и к существующим развертываниям. На начальном этапе настройки арендаторов необходимо через Lifecycle Manager задать псевдоним для главного арендатора, который был создан по умолчанию в Workspace ONE Access. Субарендаторы, создаваемые на основе главного арендатора, наследуют конфигурации доменов Active Directory этого главного арендатора.
В Lifecycle Manager арендаторы присваиваются продукту, например vRealize Automation, и определенной среде. При настройке арендатора необходимо также назначить его администратора. По умолчанию функция множественной аренды включается на уровне имени узла арендатора. Пользователи могут выбрать ручную настройку имени арендатора по имени DNS. Во время этой процедуры необходимо установить несколько флажков для поддержки множественной аренды, а также настроить подсистему балансировки нагрузки.
При использовании кластерного экземпляра имена узлов Workspace ONE Access и vRealize Automation на основе арендаторов будут указывать на подсистему балансировки нагрузки.
Если кластерные подсистемы балансировки нагрузки vRealize Automation и Workspace ONE Access не используют сертификаты с подстановочными знаками, пользователям необходимо указать в сертификатах имена узлов арендаторов в виде записей SAN для каждого создаваемого арендатора.
В vRealize Automation и Lifecycle Manager нельзя удалить арендаторов. Если требуется добавить арендаторов в существующее развертывание с множественной арендой, это можно сделать с помощью Lifecycle Manager, при этом простой составит от трех до четырех часов.
Чтобы узнать больше о vRealize Suite Lifecycle Manager Workspace ONE Access, используйте ссылки на документы в начале этого раздела.
Имена узлов и множественная аренда
В предыдущих версиях vRealize Automation пользователи получали доступ к арендаторам с помощью URL-адресов, составленных на основе пути к каталогу. В текущей реализации множественной аренды пользователи получают доступ к арендаторам по имени узла.
Кроме того, формат имени узла для доступа пользователей vRealize Automation к арендаторам отличается от формата, который используется для доступа к арендаторам в Workspace ONE Access. Например, допустимым именем узла является tenant1.example.eng.vmware.com
, а не vidm-node1.eng.vmware.com
.
Множественная аренда и сертификаты
Необходимо создать сертификаты для всех компонентов, задействованных в конфигурации с несколькими организациями. Для Workspace ONE Access, Lifecycle Manager и vRealize Automation потребуется один сертификат или несколько, в зависимости от того, какая конфигурация используется — с одним узлом или кластерная.
При настройке сертификатов можно использовать подстановочные знаки с именами SAN или выделенные имена. Использование подстановочных знаков упрощает управление сертификатами, так как сертификаты должны обновляться при добавлении новых арендаторов. Если в подсистеме балансировки нагрузки vRealize Automation и Workspace ONE Access не используются сертификаты с подстановочными знаками, имена узлов должны быть добавлены в сертификаты как записи SAN для каждого нового создаваемого арендатора. Кроме того, при использовании SAN сертификаты необходимо обновлять вручную при добавлении и удалении узлов или изменении имен узлов. Кроме того, необходимо обновить записи DNS для арендаторов.
Обратите внимание, что Lifecycle Manager не создает отдельные сертификаты для каждого арендатора. Вместо этого создается единый сертификат с указанием имен всех узлов арендаторов. В базовых конфигурациях для CNAME арендатора используется следующий формат: имя_арендатора.vrahostname.domain. В конфигурациях с высокой доступностью для имени используется следующий формат: имя_арендатора.vraLBhostname.domain.
Если используется кластерная конфигурация Workspace ONE Access, Lifecycle Manager не сможет обновить сертификат подсистемы балансировки нагрузки, поэтому его необходимо обновить вручную. Кроме того, если необходимо повторно зарегистрировать продукты или службы, которые являются внешними по отношению к Lifecycle Manager, этот процесс выполняется вручную.