透過 vRealize Automation,IT 提供者可以在每個部署內設定多個承租人或組織。提供者可以設定多個承租人組織,並在每個部署中配置基礎結構。提供者還可以為承租人管理使用者。每個承租人都管理其自己的專案、資源和部署。
在 vRealize Automation 多組織組態中,提供者可以建立多個組織,而每個承租人組織使用其自己的專案、資源和部署。雖然提供者無法遠端管理承租人基礎結構,但他們可以登入承租人並管理其承租人中的基礎結構。
- Workspace ONE Access- 本產品為多租戶以及在承租人組織內提供使用者和群組管理的 Active Directory 網域連線提供基礎結構支援。
- vRealize Suite Lifecycle Manager- 此產品支援為受支援的產品 (例如 vRealize Automation) 建立和設定承租人。此外,它還提供了一些憑證管理功能。
- vRealize Automation- 提供者和使用者登入 vRealize Automation 以存取其建立和管理部署所在的承租人。
設定多租戶時,使用者應熟悉所有這三個產品及其相關的說明文件。
- vRealize Suite Lifecycle Manager - 請參閱《Lifecycle Manager 產品說明文件》
- Workspace ONE Access - 請參閱〈使用 VMware Identity Manager 管理使用者〉和《VMware Workspace ONE Access 管理》
具有 vRealize Suite Lifecycle Manager 權限的管理員使用身分識別與承租人管理服務下的 Lifecycle Manager [承租人] 頁面來建立和管理承租人。承租人是使用 Active Directory IWA 或 LDAP 連線來建構的,它們由 vRealize Automation 部署所需的相關聯 VMware Workspace ONE Access 執行個體所支援。如需使用 Lifecycle Manager 的相關資訊,請參閱相關的說明文件。
設定多租戶時,您可以從基礎或主要承租人開始。此承租人是基礎 Workspace ONE Access 應用程式部署時所建立的預設承租人。其他承租人 (稱為子承租人) 可以基於主要承租人。vRealize Automation 目前最多可支援 20 個具有標準三個節點部署的承租人組織。
為多租戶設定 vRealize Automation 之前,您必須先在單一組織組態中安裝應用程式,然後使用 Lifecycle Manager 設定多組織組態。Workspace ONE Access 部署支援管理承租人和相關聯的 Active Directory 網域連線。
最初設定多租戶時,會在 Lifecycle Manager 中指定提供者管理員。如果需要,可以稍後變更此指定或新增管理員。在多組織組態下,vRealize Automation 使用者和群組主要透過 Workspace ONE Access 進行管理。
建立組織後,已獲得授權的使用者可以登入其應用程式,以建立或使用專案和資源並建立部署。管理員可以在 vRealize Automation 中管理使用者角色。
設定多組織組態
您可以在完成 vRealize Automation 安裝後啟用多組織部署。設定多組織組態時,您必須設定外部 Workspace ONE Access 以供多租戶使用,然後使用 Lifecycle Manager 來建立和設定承租人。這同時適用於新的和現有的部署。作為設定承租人的初始步驟,您必須使用 Lifecycle Manager 為 Workspace ONE Access 上預設建立的主要承租人設定別名。根據此主要承租人建立的子承租人會從此主要承租人繼承 Active Directory 網域組態。
在 Lifecycle Manager 中,將承租人指派給產品 (例如 vRealize Automation) 和特定環境。設定承租人時,還必須指定承租人管理員。依預設,會根據承租人主機名稱啟用多租戶。使用者可以選擇手動依 DNS 名稱設定承租人名稱。在此程序執行期間,您必須設定數個旗標以支援多租戶,並且必須同時設定負載平衡器。
如果您使用叢集化執行個體,則 Workspace ONE Access 和 vRealize Automation 以承租人為基礎的主機名稱將指向負載平衡器。
如果您的叢集化 vRealize Automation 和 Workspace ONE Access 負載平衡器不使用萬用字元憑證,則使用者必須將承租人主機名稱新增為憑證上的 SAN 項目。適用於所建立的每個新承租人。
您無法刪除 vRealize Automation 或 Lifecycle Manager 中的承租人。如果您需要將承租人新增至現有的多租戶部署,可以使用 Lifecycle Manager 來執行此操作,但會導致三到四小時的停機時間。
如需有關使用 vRealize Suite Lifecycle Manager Workspace ONE Access 的詳細資訊,請參閱本主題開頭的說明文件連結。
主機名稱和多租戶
在舊版 vRealize Automation 中,使用者使用以目錄路徑為基礎的 URL 存取承租人。在目前的多租戶實作中,使用者會根據主機名稱存取承租人。
此外,vRealize Automation 使用者將用來存取承租人的主機名稱格式與在 Workspace ONE Access 內存取承租人時所用的格式不同。例如,有效的主機名稱如下所示: tenant1.example.eng.vmware.com
,而非 vidm-node1.eng.vmware.com
。
多租戶和憑證
必須為多組織組態中涉及的所有元件建立憑證。您將需要 Workspace ONE Access、Lifecycle Manager 和 vRealize Automation 的一或多個憑證,具體取決於您使用的是單一節點組態還是叢集化組態。
設定憑證時,您可以使用萬用字元搭配 SAN 名稱,也可以使用專用名稱。使用萬用字元將在某種程度上簡化憑證管理,因為每次新增承租人時都必須更新憑證。如果您的 vRealize Automation 和 Workspace ONE Access 負載平衡器不使用萬用字元憑證,則必須針對建立的每個新承租人將承租人主機名稱新增為憑證上的 SAN 項目。此外,如果您使用 SAN,則在新增或刪除主機或變更主機名稱時,必須手動更新憑證。您還必須更新承租人的 DNS 項目。
請注意,Lifecyle Manager 不會為每個承租人建立單獨的憑證。相反,它會使用列出的每個承租人主機名稱建立單一憑證。對於基本組態,承租人的 CNAME 使用下列格式:tenantname.vrahostname.domain。對於高可用性組態,名稱使用下列格式:tenantname.vraLBhostname.domain。
如果您使用的是叢集化 Workspace ONE Access 組態,請注意,Lifecycle Manager 無法更新負載平衡器憑證,因此您必須手動更新它。此外,如果您需要重新登錄 Lifecycle Manager 外部的產品或服務,則這是一種手動程序。