VMware Global Community
tcampio
Contributor
Contributor

Modalita' installazione SSO

Ciao a tutti,

sono alle prese con la migrazione alla 5.1 di VCenter e come tutti sto cercando di capire qual'e' il modo migliore di gestire l'installazione del SSO.

Avendo 2 datacenter dislocati in sedi differenti, ognuno con un suo vcenter, cosa mi consigliate? Installarlo in clustered mode o in multisite mode?

Inoltre conviene installarlo sullo stesso server del vcenter o creare una vm ad hoc?

Grazie

Tags (2)
Reply
0 Kudos
11 Replies
ldelloca
Virtuoso
Virtuoso

Ciao, Nell'ottica che serva da autenticatore anche per altri servizi, sicuramente in produzione la scelta migliore è farne un'installazione dedicata, è un componente fondamentale nella nuova 5.1 Per i due datacenter, sono gestiti con le stesse credenziali, tipo un Active Directory comune? Non mi sono ancora studiato la modalità multisite di SSO e quindi cosa comporti, sicuramente se ti serve uno SLA molto elevato, il multi nodo è da prevedere. Dovrai poi mettere un qualche bilanciatore davanti per usarli entrambi, William Lam ha fatto un'ottimo articolo su come realizzarlo (scusa non ho il link sottomano). Ciao, Luca.

Luca Dell'Oca | vExpert 2011-2012-2013-2014-2015-2016-2017, VCAP-DCD, CISSP #58353 | http://www.virtualtothecore.com | @dellock6 | http://www.linkedin.com/in/lucadelloca | If you find this post useful, please consider awarding points for "Correct" or "Helpful"
Reply
0 Kudos
tcampio
Contributor
Contributor

Ciao Luca,

si i due datacenter sfruttano AD per l'accesso. Noi tendenzialmente utilizzeremo solo vphere e vdp di Vmware. Mi chiedo se sia piu' semplice installare due sso, ognuno sul suo vcenter o installarne uno centralizzato in modalita' multisite

Reply
0 Kudos
Tinto1970
Commander
Commander

anche io sono nella tua situazione, e ho optato per mantenere la "vecchia concezione" di due ambienti a sé stanti. Questo in parte perché è più facile, in parte per ragioni che dipendono da fattori "politici" e umani.

questo link può essere utile per capire un po' meglio il nuovo componente

http://blogs.vmware.com/vsphere/2012/09/vcenter-single-sign-on-part-1-what-is-vcenter-single-sign-on...

--
Alessandro aka Tinto VCP-DCV 2023
please give me a "Kudo" if you find my answer useful
www.linkedin.com/in/tinivelli
my blog: https://www.linkedin.com/in/tinivelli/recent-activity/articles/
Reply
0 Kudos
fbonez
Expert
Expert

Ciao,

Sto cominciando a giocare anch'io col nuovo vCenter e SSO.

Se non ho letto male la guida, hai bisogno di un solo server per più vCenter.

Non credo che 2 SSO su 2 vCenter possano integrarsi tra loro.

Ciao

-- If you find this information useful, please award points for "correct" or "helpful". | @fbonez | www.thevirtualway.it
Reply
0 Kudos
ldelloca
Virtuoso
Virtuoso

Ah, a livello di semplicità sicuramente i due SSO singoli vincono a mani basse, però puoi sfruttare il sistema multinodo per entrambi i siti e condividere l'autenticazione. Dopo averti risposto mi sono incuriosito e ho letto un pò in giro, in particolare questo: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=203407... Il multisite ti permette di avere un'autenticazione comune, ma non ti fa failover tra i due siti. Interessante il fatto che ogni sito può avere in realtà una configurazione multinodo, quindi ipoteticamente potresti avere 4 sistemi SSO, due per sito, clusterizzati a due a due. Non ho capito bene però la questione linked mode di vCenter, se sia obbligatorio per SSO multisite o serva solo per avere lo stesso utente admin su entrambi i vcenter, avendo due site potrebbe essere una soluzione interessante da prevedere. Ciao, Luca.

Luca Dell'Oca | vExpert 2011-2012-2013-2014-2015-2016-2017, VCAP-DCD, CISSP #58353 | http://www.virtualtothecore.com | @dellock6 | http://www.linkedin.com/in/lucadelloca | If you find this post useful, please consider awarding points for "Correct" or "Helpful"
tcampio
Contributor
Contributor

Sto cominciando a fare l'installazione. Ho deciso di installare sso multisite e ho installato il primario su un server diverso dal vcenter.

Mi aspettavo che il secondario condividesse il db con il primo, invece a quanto pare e' come installare 2 sso distinti. L'unico motivo per installarlo in multisite, quindi e' la condivisione delle credenziali che mi permette di vedere su un'unica consolle i 2 vcenter a patto di linkarli (non ho ancora capito come fare pero' a linkarli).

A questo punto mi chiedo:

1) il webclient dove mi conviene installarlo? Sul server del vcenter o sul server dove ho installato sso?

2) Devo comunque installarne 2 di webclient o ne installo 1 solo?

Reply
0 Kudos
Tinto1970
Commander
Commander

Mi aspettavo che il secondario condividesse il db con il primo, invece a quanto pare e' come installare 2 sso distinti

in che senso "non condividono il db"? Per es. che necessitano di due DB server distinti? Questo mi parrebbe logico visto che lo scopo è la ridondanza...

--
Alessandro aka Tinto VCP-DCV 2023
please give me a "Kudo" if you find my answer useful
www.linkedin.com/in/tinivelli
my blog: https://www.linkedin.com/in/tinivelli/recent-activity/articles/
Reply
0 Kudos
tcampio
Contributor
Contributor

No, lo scopo non e' la ridondanza, perche' se perdi uno dei due l'altro non fa failover. Restano 2 distinti, come se tu facessi 2 basic per capirsi. 

Reply
0 Kudos
Tinto1970
Commander
Commander

guardando gli ultimi due grafici di questo link

http://blogs.vmware.com/vsphere/2012/09/vcenter-single-sign-on-part-1-what-is-vcenter-single-sign-on...

sembra ci siano due possibilità: più istanze SSO con un db condiviso ma anche più istanze SSO su db in replica fra loro.

--
Alessandro aka Tinto VCP-DCV 2023
please give me a "Kudo" if you find my answer useful
www.linkedin.com/in/tinivelli
my blog: https://www.linkedin.com/in/tinivelli/recent-activity/articles/
Reply
0 Kudos
tcampio
Contributor
Contributor

No, nel documento che hai linkato dice che nella clustered mode condividi il db, nel multisite ogni sito ha il suo db locale

Reply
0 Kudos
ldelloca
Virtuoso
Virtuoso

Se volessi fare failover geografico, allora un'alternativa credo potrebbe essere disegnare un sistema SSO sempre single-site, dove però i vari nodi  sono distribuiti su entrambi i siti fisici. Non so però se ci siano in gioco requisiti di latenza o di subnetting che limitino questo tipo di utilizzo.

PS: la mia è una speculazione, per ora ho fatto installazioni multinodo, ma non si siti fisici differenti.

Ciao,

Luca.

Luca Dell'Oca | vExpert 2011-2012-2013-2014-2015-2016-2017, VCAP-DCD, CISSP #58353 | http://www.virtualtothecore.com | @dellock6 | http://www.linkedin.com/in/lucadelloca | If you find this post useful, please consider awarding points for "Correct" or "Helpful"
Reply
0 Kudos