本節說明多租戶模型,將解說如何透過承租人 FQDN 存取承租人、啟用多租戶與憑證的重要性,以及 DNS 需求。
啟用多租戶
主承租人 (master tenant) 現在稱為主要承租人 (primary tenant)。即使在第 0 天,開箱即用的 VMware Identity Manager 也包含已可供使用的主要承租人,這會保持在最小組態,且無法在主要承租人之下進一步建立承租人。系統將會在 VMware Identity Manager 主機上執行一系列的組態和 API 呼叫以啟用多租戶。啟用多租戶時,必須為主要承租人建立別名名稱。如需有關啟用多租戶的詳細資訊,請參閱啟用多租戶。
例如,FQDN 為「idm1.vmwlab.local」的 VMware Identity Manager 可能已有名稱為「idm1」的主要承租人。啟用多租戶之前,必須為主要承租人建立別名。例如,「master-tenant」會在參照主要承租人的任何位置設定並使用相同的別名名稱。
承租人 FQDN
依預設,在 VMware Identity Manager 上建立的承租人可透過承租人 URL 存取,這些 URL 僅是對應至 VMware Identity Manager 伺服器的 FQDN。每個承租人都有自己的承租人 FQDN。例如,在主機名稱為 idm1.vmwlab.local 且具有主要承租人名稱 (idm1) 和主要承租人別名 (master-tenant) 的單一節點 VMware Identity Manager 上,應透過其 FQDN master-tenant.vmwlab.local 存取主要承租人。如果已建立新承租人 (tenant1),則只能透過 tenant1.vmwlab.local 存取此承租人。
由於每個承租人都需要專用的 FQDN,因此在 VMware Identity Manager 上建立承租人時,會強制需要將承租人 FQDN 對應至 VMware Identity Manager IP 位址的 A 類型 DNS 記錄。對於叢集化 VMware Identity Manager 部署,每個承租人 FQDN 都必須具有對應至 VMware Identity Manager 負載平衡器 IP 位址的 A 類型記錄。
相同的模式也會套用於 vRealize Automation。當 vRealize Automation 與承租人相關聯時,vRealize Automation 承租人必須透過 vRealize Automation 承租人 FQDN 存取。例如,FQDN 為 idm1.vmwlab.local 的 VMware Identity Manager 具有可透過 tenant1.vmwlab.local 和 vRealize Automation 8.1 vra1.vmwlab.local (已與此 VMware Identity Manager 整合並與「tenant1」相關聯) 存取的承租人「tenant1」。如上所述,vRealize Automation 承租人和 VMware Identity Manager 承租人會 1:1 對應,因此主要承租人 vRealize Automation 還是可以透過 vra1.vmwlab.local 存取,而「承租人 1」vRealize Automation 則必須透過 tenant1.vra1.vmwlab.local 存取。
與 VMware Identity Manager 類似,vRealize Automation 承租人 FQDN 需要 DNS 對應。但是對於 vRealize Automation,其應為將 vRealize Automation 承租人 FQDN 對應至 vRealize Automation 伺服器 FQDN 的 CNAME 類型記錄。對於叢集化 vRealize Automation 部署,所有 vRealize Automation 承租人 FQDN 都必須具有指向 vRealize Automation 負載平衡器 FQDN 的 CNAME 類型記錄。
除了具備 DNS 對應為必要條件之外,憑證也是使承租人可以運作的必要項目。根據部署架構,VMware Identity Manager、vRealize Automation 伺服器及其負載平衡器皆應具備對應的憑證,以持有所有必要的承租人 FQDN。
- VMware Identity Manager 節點:idm1.vmwlab.local
vRealize Automation 節點:vra1.vmwlab.local
主要承租人別名名稱:master-tenant
承租人:tenant-1、tenant-2
承租人名稱 | VMware Identity Manager 承租人 FQDN | vRealize Automation 承租人 FQDN |
---|---|---|
master-tenant | https://master-tenant.vmwlab.local | https://vra1.vmwlab.local |
tenant-1 | https://tenant-1.vmwlab.local | https://tenant-1.vra1.vmwlab.local |
tenant-2 | https://tenant-2.vmwlab.local | https://tenant-2.vra1.vmwlab.local |
- VMware Identity Manager 負載平衡器:idm-lb.vmwlab.local
VMware Identity Manager 節點:idm1.vmwlab.local, idm2.vmwlab.local、idm3.vmwlab.local
vRealize Automation 負載平衡器:vra-lb.vmwlab.local
vRealize Automation 節點:vra1.vmwlab.local, vra2.vmwlab.local、vra3.vmwlab.local
主要承租人別名名稱:master-tenant
承租人:tenant-1、tenant-2
承租人名稱 | VMware Identity Manager 承租人 FQDN | vRealize Automation 承租人 FQDN |
---|---|---|
master-tenant | https://master-tenant.vmwlab.local | https:// vra-lb.vmwlab.local |
tenant-1 | https://tenant-1.vmwlab.local | https://tenant-1.vra-lb.vmwlab.local |
tenant-2 | https://tenant-2.vmwlab.local | https://tenant-2.vra-lb.vmwlab.local |
強制憑證需求
- 當您變更 VMware Identity Manager 上的憑證以啟用多租戶或建立承租人時,會使服務關閉並導致停機。如果 VMware Identity Manager 憑證變更,就會進行服務停機。針對驗證目的與 VMware Identity Manager 整合的產品和服務,將無法在停機期間使用 VMware Identity Manager 驗證登入。此外,變更 VMware Identity Manager 憑證也需要全部產品或服務進行重新信任,否則會再次導致產品停機。
- 針對每個已建立並與 vRealize Automation 相關聯的新承租人,即使 vRealize Automation 憑證也需要變更,並且會導致 vRealize Automation 服務停機。
- 若要避免 vRealize Automation、VMware Identity Manager 及其他與 VMware Identity Manager 整合的產品或服務上發生服務停機情況,一般會建議使用萬用字元憑證。對於新承租人,VMware Identity Manager 憑證或 vRealize Automation 憑證的任何變更都可能造成 vRealize Automation 停機。
- 如果未使用萬用字元憑證,則會針對每個承租人 FQDN 在所有必要的憑證上建立特定 SAN 項目。
- vRealize Suite Lifecycle Manager保密庫服務有助於管理 VMware Identity Manager 和 vRealize Automation 伺服器節點上的憑證。使用 vRealize Suite Lifecycle Manager 時,當您取代 VMware Identity Manager 憑證,會自動重新信任所有產品上的 VMware Identity Manager 憑證。
- vRealize Suite Lifecycle Manager 外部的產品和服務會手動處理。Locker 服務不會處理負載平衡器憑證的更新,這會由使用者手動完成。每當負載平衡器憑證變更時,都必須重新信任產品上的負載平衡器憑證。
- 對於 VMware Identity Manager,vRealize Suite Lifecycle Manager 中的 VMware Identity Manager 憑證更新或取代作業會在內部先確保 VMware Identity Manager 負載平衡器憑證已得到重新信任,然後再更新 VMware Identity Manager 伺服器憑證。因此,建議您先手動變更 VMware Identity Manager 負載平衡器憑證,再執行 VMware Identity Manager 憑證以透過 vRealize Suite Lifecycle Manager保密庫服務更新或取代。
- 對於 vRealize Automation 8.x,當 SSL 在 vRealize Automation 負載平衡器上終止且負載平衡器憑證已手動變更時,請務必按一下 vRealize Automation 8.x 產品卡下的 [重新信任負載平衡器],以重新信任 vRealize Automation 中的負載平衡器憑證。如需更多詳細資料,請參閱在 vRealize Suite Lifecycle Manager 中對其他產品執行第 2 天作業。
強制 DNS 需求
對於單一節點 VMware Identity Manager,您需要 A 類型 DNS 記錄,其中反白顯示指向 VMware Identity Manager 伺服器 IP 位址的承租人 FQDN。此外,對於叢集化 VMware Identity Manager,則需要將承租人 FQDN 指向 VMware Identity Manager 負載平衡器 IP 位址的 A 類型 DNS 記錄。
在 vRealize Automation 中,對於單一節點,則需要將 vRealize Automation 承租人 FQDN 指向 vRealize Automation 伺服器 FQDN 的 CNAME 類型 DNS 記錄。此外,對於叢集化 vRealize Automation,則需要將 vRealize Automation 承租人 FQDN 指向 vRealize Automation 負載平衡器 FQDN 的 CNAME 類型 DNS 記錄。