透過 VMware Aria Automation,IT 提供者可以在每個部署內設定多個承租人或組織。提供者可以設定多個承租人組織,並在每個部署中配置基礎結構,還可以管理承租人的使用者。
在 VMware Aria Automation 多組織組態中,提供者可以建立多個組織,而每個承租人組織管理其自己的專案、資源和部署。雖然提供者無法遠端管理承租人基礎結構,但他們可以登入承租人並管理其承租人中的基礎結構。
- Workspace ONE Access- 本產品為多租戶以及在承租人組織內提供使用者和群組管理的 Active Directory 網域連線提供基礎結構支援。
- VMware Aria Suite Lifecycle- 此產品支援為受支援的產品 (例如 VMware Aria Automation) 建立和設定承租人。此外,它還提供了一些憑證管理功能。
- VMware Aria Automation- 提供者和使用者登入 VMware Aria Automation 以存取其建立和管理部署所在的承租人。
設定多租戶時,使用者應熟悉所有這三個產品及其相關的說明文件。
具有 VMware Aria Suite Lifecycle 權限的管理員使用身分識別與承租人管理服務下的 VMware Aria Suite Lifecycle [承租人] 頁面來建立和管理承租人。承租人是使用 Active Directory IWA 或 LDAP 連線建構的。它們由 VMware Aria Automation 部署所需的關聯 Workspace ONE Access 執行個體提供支援。
設定多租戶時,您可以從基礎或主要承租人開始。此承租人是基礎 Workspace ONE Access 應用程式部署時所建立的預設承租人。其他承租人 (稱為子承租人) 可以基於主要承租人。VMware Aria Automation 目前最多可支援 20 個具有標準三個節點部署的承租人組織。
為多租戶設定 VMware Aria Automation 之前,您必須先在單一組織組態中安裝應用程式,然後使用 VMware Aria Suite Lifecycle 設定多組織組態。Workspace ONE Access 部署支援管理承租人和相關聯的 Active Directory 網域連線。
最初設定多租戶時,會在 VMware Aria Suite Lifecycle 中指定提供者管理員。如果需要,可以稍後變更此指定或新增管理員。在多組織組態下,VMware Aria Automation 使用者和群組主要透過 Workspace ONE Access 進行管理。
建立組織後,已獲得授權的使用者可以登入其應用程式,以建立或使用專案和資源並建立部署。管理員可以在 VMware Aria Automation 中管理使用者角色。
設定多組織組態
您可以在完成 VMware Aria Automation 安裝後啟用多組織部署。設定多組織組態時,您必須設定外部 Workspace ONE Access 以供多租戶使用,然後使用 Lifecycle Manager 來建立和設定承租人。這同時適用於新的和現有的部署。作為設定承租人的初始步驟,您必須使用 VMware Aria Suite Lifecycle 為 Workspace ONE Access 上預設建立的主要承租人設定別名。根據此主要承租人建立的子承租人會從此主要承租人繼承 Active Directory 網域組態。
在 Lifecycle Manager 中,將承租人指派給產品 (例如 VMware Aria Automation) 和特定環境。設定承租人時,還必須指定承租人管理員。依預設,會根據承租人主機名稱啟用多租戶。使用者可以選擇手動依 DNS 名稱設定承租人名稱。在此程序執行期間,您必須設定數個旗標以支援多租戶,並且必須同時設定負載平衡器。
如果您使用叢集化執行個體,則 Workspace ONE Access 和 VMware Aria Automation 以承租人為基礎的主機名稱將指向負載平衡器。
如果您的叢集化 VMware Aria Automation 和 Workspace ONE Access 負載平衡器不使用萬用字元憑證,則使用者必須將承租人主機名稱新增為憑證上的 SAN 項目。適用於所建立的每個新承租人。
您無法在 VMware Aria Automation 或 VMware Aria Suite Lifecycle 中刪除承租人。如果您需要將承租人新增至現有的多租戶部署,可以使用 VMware Aria Suite Lifecycle 來執行此操作,但這需要三到四小時的停機時間。
如需有關使用 VMware Aria Suite Lifecycle Workspace ONE Access 的詳細資訊,請參閱本主題開頭的說明文件連結。
主機名稱和多租戶
在舊版 VMware Aria Automation 中,使用者使用以目錄路徑為基礎的 URL 存取承租人。在目前的多租戶實作中,使用者會根據主機名稱存取承租人。
此外,VMware Aria Automation 使用者將用來存取承租人的主機名稱格式與在 Workspace ONE Access 內存取承租人時所用的格式不同。例如,有效的主機名稱如下所示: tenant1.example.eng.vmware.com
,而非 vidm-node1.eng.vmware.com
。
多租戶和憑證
必須為多組織組態中涉及的所有元件建立憑證。您將需要 Workspace ONE Access、VMware Aria Suite Lifecycle 和 VMware Aria Automation 的一或多個憑證,具體取決於您使用的是單一節點組態還是叢集化組態。
設定憑證時,您可以使用萬用字元搭配 SAN 名稱,也可以使用專用名稱。使用萬用字元將在某種程度上簡化憑證管理,因為每次新增承租人時都必須更新憑證。如果您的 VMware Aria Automation 和 Workspace ONE Access 負載平衡器不使用萬用字元憑證,則必須針對建立的每個新承租人將承租人主機名稱新增為憑證上的 SAN 項目。此外,如果您使用 SAN,則在新增或刪除主機或變更主機名稱時,必須手動更新憑證。您還必須更新承租人的 DNS 項目。
請注意,VMware Aria Suite Lifecycle 不會為每個承租人建立單獨的憑證。相反,它會使用列出的每個承租人主機名稱建立單一憑證。對於基本組態,承租人的 CNAME 使用下列格式:tenantname.vrahostname.domain。對於高可用性組態,名稱使用下列格式:tenantname.vraLBhostname.domain。
如果您使用的是叢集化 Workspace ONE Access 組態,請注意,Lifecycle Manager 無法更新負載平衡器憑證,因此您必須手動更新它。此外,如果您需要重新登錄 VMware Aria Suite Lifecycle 外部的產品或服務,則這是一種手動程序。