您可以使用 vRealize Suite Lifecycle Manager 在具有 vReallize Automation 8.4 的 VMware Identity Manager 3.3.5 上啟用多租戶內部部署。
對於 vReallize Automation 8.4,依預設會以承租人位於主機名稱內模式啟用多租戶,而非承租人位於路徑內模式。.
使用承租人位於主機名稱內模式時,您必須使用承租人完整網域名稱 (FQDN) 的 URL 來存取承租人。負載平衡器 URL 或 VMware Identity Manager URL 將無法運作。例如:
- 啟用多租戶之前的 URL:https://load-balancer.vmwareidentity.com/SAAS/t/tenant1
- 啟用多租戶後的 URL:https://tenant1.vmwareidentity.com
在負載平衡的 VMware Identity Manager 部署上啟用多租戶後,請準備好重新登錄現有 vRealize 產品。
下圖說明有效的 URL 和無效的 URL。此圖也提供負載平衡器和 DNS 組態的範例。
必要條件
建立適當的 DNS 項目:
單一節點或叢集化 | 動作 |
---|---|
對於單一節點 VMware Identity Manager 部署 | 建立 DNS 項目,以將每個承租人的完整網域名稱解析為 VMware Identity Manager IP 位址。 |
對於叢集化 VMware Identity Manager 部署 | 建立 DNS 項目,以將每個承租人的完整網域名稱解析為負載平衡器 IP 位址。 |
程序
- ♦ 使用 vRealize Suite Lifecycle Manager 啟用多租戶。
請見下表並參閱 《vRealize Suite Lifecycle Manager 8.4 安裝、升級和管理》指南中關於建立承租人的相關資訊。重要: 啟用多租戶時,請遵循下列準則。
- 設定 SSL 憑證時,最佳做法是使用萬用字元主體別名 (SAN) 憑證,最好是由公開憑證授權單位機構 (CA) 簽署。但是,您也可以使用含有萬用字元 SAN 的自我簽署憑證。
請確定憑證包含完整網域名稱,以作為負載平衡器、節點和預設承租人別名的 SAN。
備註: 如果您使用不含萬用字元 SAN 的憑證,請執行下列步驟 (如果適用)。- 將所有承租人完整網域名稱作為 SAN 新增至憑證。
- 每當您建立承租人時,請確保將新的承租人 FQDN 作為 SAN 新增至 VMware Identity Manager 憑證。憑證更新需要將 Horizon 服務重新開機。
- 適用下列 VMware Identity Manager Connector 資訊。
- 對於子承租人,依預設不會在 [連接器] 頁面上顯示連接器。只有在使用該連接器執行個體建立企業目錄後,VMware Identity Manager 主控台中的 [連接器] 頁面才會列出連接器執行個體。
- 一律從主要承租人執行網域加入作業。
- 如果您選擇為子承租人上的不同網域建立 IWA 目錄,請使用不同的外部 Windows 連接器執行個體。
- 針對任何子承租人啟動的外部連接器執行個體,僅適用於該承租人。
- 針對主要承租人啟動的外部連接器執行個體,可以在所有子承租人之間使用。
- 在升級期間,VMware Identity Manager 服務會為所有連接器執行個體產生 cluster-hostname-conn-timestamp.enc 檔案。cluster-hostname-conn-timestamp.enc 檔案包含內嵌式連接器組態資訊。
- 設定 SSL 憑證時,最佳做法是使用萬用字元主體別名 (SAN) 憑證,最好是由公開憑證授權單位機構 (CA) 簽署。但是,您也可以使用含有萬用字元 SAN 的自我簽署憑證。
後續步驟
您必須使用主要承租人別名完整網域名稱重新登錄現有 vRealize 產品,例如 VMware vRealize Operations、VMware vRealize Automation 和 VMware vRealize Log Insight。請參閱 vRealize Suite Lifecycle Manager 8.4 說明文件。