本節說明多租戶模型,將解說如何透過承租人 FQDN 存取承租人、啟用多租戶與憑證的重要性,以及 DNS 需求。

啟用多租戶

主承租人 (master tenant) 現在稱為主要承租人 (primary tenant)。即使在第 0 天,開箱即用的 VMware Identity Manager 也包含已可供使用的主要承租人,這會保持在最小組態,且無法在主要承租人之下進一步建立承租人。系統將會在 VMware Identity Manager 主機上執行一系列的組態和 API 呼叫以啟用多租戶。啟用多租戶時,必須為主要承租人建立別名名稱。如需有關啟用多租戶的詳細資訊,請參閱啟用多租戶

例如,FQDN 為「idm1.vmwlab.local」的 VMware Identity Manager 可能已有名稱為「idm1」的主要承租人。啟用多租戶之前,必須為主要承租人建立別名。例如,「master-tenant」會在參照主要承租人的任何位置設定並使用相同的別名名稱。

承租人 FQDN

依預設,在 VMware Identity Manager 上建立的承租人可透過承租人 URL 存取,這些 URL 僅是對應至 VMware Identity Manager 伺服器的 FQDN。每個承租人都有自己的承租人 FQDN。例如,在主機名稱為 idm1.vmwlab.local 且具有主要承租人名稱 (idm1) 和主要承租人別名 (master-tenant) 的單一節點 VMware Identity Manager 上,應透過其 FQDN master-tenant.vmwlab.local 存取主要承租人。如果已建立新承租人 (tenant1),則只能透過 tenant1.vmwlab.local 存取此承租人。

由於每個承租人都需要專用的 FQDN,因此在 VMware Identity Manager 上建立承租人時,會強制需要將承租人 FQDN 對應至 VMware Identity Manager IP 位址的 A 類型 DNS 記錄。對於叢集化 VMware Identity Manager 部署,每個承租人 FQDN 都必須具有對應至 VMware Identity Manager 負載平衡器 IP 位址的 A 類型記錄。

相同的模式也會套用於 vRealize Automation。當 vRealize Automation 與承租人相關聯時,vRealize Automation 承租人必須透過 vRealize Automation 承租人 FQDN 存取。例如,FQDN 為 idm1.vmwlab.localVMware Identity Manager 具有可透過 tenant1.vmwlab.localvRealize Automation 8.1 vra1.vmwlab.local (已與此 VMware Identity Manager 整合並與「tenant1」相關聯) 存取的承租人「tenant1」。如上所述,vRealize Automation 承租人和 VMware Identity Manager 承租人會 1:1 對應,因此主要承租人 vRealize Automation 還是可以透過 vra1.vmwlab.local 存取,而「承租人 1」vRealize Automation 則必須透過 tenant1.vra1.vmwlab.local 存取。

備註: VMware Identity ManagervRealize Automation 承租人 FQDN 之間有一點不同。對於 VMware Identity Manager 執行個體,承租人 FQDN 格式為承租人名稱 (tenant1) 後面加上 VMware Identity Manager 網域名稱 (vmwlab.local)。例如, tenant1.vmwlab.local。由於是承租人名稱後面加上網域,因此即使是叢集化的 VMware Identity Manager 也是如此。對於 vRealize AutomationvRealize Automation 承租人 FQDN 格式為承租人名稱 (tenant1) 後面加上 vRealize Automation 伺服器 FQDN (vra1.vmwlab.local)。例如, tenant1.vra1.vmwlab.local。對於負載平衡器 vra-lb.vmwlab.local 後方的叢集化 vRealize Automation,承租人 1 必須透過 tenant1.vra-lb.vmwlab.local 存取。

VMware Identity Manager 類似,vRealize Automation 承租人 FQDN 需要 DNS 對應。但是對於 vRealize Automation,其應為將 vRealize Automation 承租人 FQDN 對應至 vRealize Automation 伺服器 FQDN 的 CNAME 類型記錄。對於叢集化 vRealize Automation 部署,所有 vRealize Automation 承租人 FQDN 都必須具有指向 vRealize Automation 負載平衡器 FQDN 的 CNAME 類型記錄。

除了具備 DNS 對應為必要條件之外,憑證也是使承租人可以運作的必要項目。根據部署架構,VMware Identity ManagervRealize Automation 伺服器及其負載平衡器皆應具備對應的憑證,以持有所有必要的承租人 FQDN。

單一節點設定上的承租人 FQDN
  • VMware Identity Manager 節點:idm1.vmwlab.local

    vRealize Automation 節點:vra1.vmwlab.local

    主要承租人別名名稱:master-tenant

    承租人:tenant-1、tenant-2

承租人名稱 VMware Identity Manager 承租人 FQDN vRealize Automation 承租人 FQDN
master-tenant https://master-tenant.vmwlab.local https://vra1.vmwlab.local
tenant-1 https://tenant-1.vmwlab.local https://tenant-1.vra1.vmwlab.local
tenant-2 https://tenant-2.vmwlab.local https://tenant-2.vra1.vmwlab.local
在叢集化設定上的承租人 FQDN
  • VMware Identity Manager 負載平衡器:idm-lb.vmwlab.local

    VMware Identity Manager 節點:idm1.vmwlab.local, idm2.vmwlab.localidm3.vmwlab.local

    vRealize Automation 負載平衡器:vra-lb.vmwlab.local

    vRealize Automation 節點:vra1.vmwlab.local, vra2.vmwlab.localvra3.vmwlab.local

    主要承租人別名名稱:master-tenant

    承租人:tenant-1、tenant-2

承租人名稱 VMware Identity Manager 承租人 FQDN vRealize Automation 承租人 FQDN
master-tenant https://master-tenant.vmwlab.local https:// vra-lb.vmwlab.local
tenant-1 https://tenant-1.vmwlab.local https://tenant-1.vra-lb.vmwlab.local
tenant-2 https://tenant-2.vmwlab.local https://tenant-2.vra-lb.vmwlab.local
備註: 啟用多租戶後, VMware Identity Manager 僅應透過其承租人 FQDN 存取。舊的 FQDNM 和主機名稱 (idm1.vmwlab.local、idm2.vmwlab.local、idm3.vmwlab.local 和 idm-lb.vmwlab.local) 會變成無效。

強制憑證需求

根據 VMware Identity ManagervRealize Automation 的部署類型,其對應的伺服器憑證應具有存在於本身之中的所有承租人 FQDN。由於每個承租人會形成其自己的承租人 FQDN ( VMware Identity Manager 承租人 FQDN 和 vRealize Automation 承租人 FQDN),因此每個已建立的承租人都需要將其承租人 FQDN 新增為 VMware Identity ManagervRealize Automation 憑證的一部分。在 VMware Identity Manager 上啟用多租戶時,也需要更新 VMware Identity Manager 憑證,因為主要承租人會取得新的別名名稱,且主要承租人 FQDN 也會發生變更。
備註:
  • 當您變更 VMware Identity Manager 上的憑證以啟用多租戶或建立承租人時,會使服務關閉並導致停機。如果 VMware Identity Manager 憑證變更,就會進行服務停機。針對驗證目的與 VMware Identity Manager 整合的產品和服務,將無法在停機期間使用 VMware Identity Manager 驗證登入。此外,變更 VMware Identity Manager 憑證也需要全部產品或服務進行重新信任,否則會再次導致產品停機。
  • 針對每個已建立並與 vRealize Automation 相關聯的新承租人,即使 vRealize Automation 憑證也需要變更,並且會導致 vRealize Automation 服務停機。
  • 若要避免 vRealize AutomationVMware Identity Manager 及其他與 VMware Identity Manager 整合的產品或服務上發生服務停機情況,一般會建議使用萬用字元憑證。對於新承租人,VMware Identity Manager 憑證或 vRealize Automation 憑證的任何變更都可能造成 vRealize Automation 停機。
  • 如果未使用萬用字元憑證,則會針對每個承租人 FQDN 在所有必要的憑證上建立特定 SAN 項目。
  • vRealize Suite Lifecycle Manager保密庫服務有助於管理 VMware Identity ManagervRealize Automation 伺服器節點上的憑證。使用 vRealize Suite Lifecycle Manager 時,當您取代 VMware Identity Manager 憑證,會自動重新信任所有產品上的 VMware Identity Manager 憑證。
  • vRealize Suite Lifecycle Manager 外部的產品和服務會手動處理。Locker 服務不會處理負載平衡器憑證的更新,這會由使用者手動完成。每當負載平衡器憑證變更時,都必須重新信任產品上的負載平衡器憑證。
    • 對於 VMware Identity ManagervRealize Suite Lifecycle Manager 中的 VMware Identity Manager 憑證更新或取代作業會在內部先確保 VMware Identity Manager 負載平衡器憑證已得到重新信任,然後再更新 VMware Identity Manager 伺服器憑證。因此,建議您先手動變更 VMware Identity Manager 負載平衡器憑證,再執行 VMware Identity Manager 憑證以透過 vRealize Suite Lifecycle Manager保密庫服務更新或取代。
    • 對於 vRealize Automation 8.x,當 SSL 在 vRealize Automation 負載平衡器上終止且負載平衡器憑證已手動變更時,請務必按一下 vRealize Automation 8.x 產品卡下的 [重新信任負載平衡器],以重新信任 vRealize Automation 中的負載平衡器憑證。如需更多詳細資料,請參閱在 vRealize Suite Lifecycle Manager 中對其他產品執行第 2 天作業

強制 DNS 需求

對於單一節點 VMware Identity Manager,您需要 A 類型 DNS 記錄,其中反白顯示指向 VMware Identity Manager 伺服器 IP 位址的承租人 FQDN。此外,對於叢集化 VMware Identity Manager,則需要將承租人 FQDN 指向 VMware Identity Manager 負載平衡器 IP 位址的 A 類型 DNS 記錄。

vRealize Automation 中,對於單一節點,則需要將 vRealize Automation 承租人 FQDN 指向 vRealize Automation 伺服器 FQDN 的 CNAME 類型 DNS 記錄。此外,對於叢集化 vRealize Automation,則需要將 vRealize Automation 承租人 FQDN 指向 vRealize Automation 負載平衡器 FQDN 的 CNAME 類型 DNS 記錄。

多租戶的需求

圖 1. 單一節點 VMware Identity Manager 和 vRealize Automation
圖 2. VMware Identity Manager 和 vRealize Automation 叢集
圖 3. vIDM 單一節點和 vRA 叢集
圖 4. VMware Identity 叢集和 vRealize Automation 單一節點