Заранее благодарю тех, кто прочитает эту стену текста.
Нужно два vCenter с single pane of view (не важно для каких целей), в недавней теме выяснили что раз они в одном физическом сайте. нет смысла делать linked mode и усложнять себе жизнь с настройкой multisite sso.
Итак вот что я сделал:
vm1 - sso primary node + Web client
vm2 - sso backup node (при установке роль была указана как добавление SSO в существующий сайт, авторепликация данных SSO в 5.5 идет из коробки)
vm3 - SQL сервер для баз vcenter`ов, VUM`ов и будущего Horizon view.
vm4 - vCenter1 с его Inventory Service + VUM
vm5 - vCenter2 с его Inventory Service + VUM (еще не развернул - планах на завтрашнее утро).
По сделанному появилось пара вопросов:
1. По SSO:
a. SSO password policy - это что и зачем, собственно кроме administrator@vsphere.local остальные пользователи взяты из сорса AD, к ним применяется политика паролей AD или PSO - не суть, каким образом политика паролей SSO влияет на доменных пользователей?
b. Встроенные группы SSO - описания не нашел, Administrators - все понятно, а дальше что? Группы можно добавлять, а какие у них права? Какие права у существующих групп кроме Administrators?
c. Пользователи vsphere.local - krbtgt - я так полагаю керберос тикет грантинг тикет? k/m - кто такой?
2. Организация DB - известно что для разных vCenter стоит использовать разные DB, но стоит ли использовать разные инстансы SQL или даже разные машины?
3. Вопрос очень меня интересующий - в моем случае есть SSO HA, т.е. при отказе сервиса SSO на vm1 и отработавшем load balancer`е переключимся на backup SSO с vm2, но предположим vm1 упала так, что ее не поднять/не восстановить. Возможно ли поставить Web client также на vm2 (где backup SSO) и зарегистрировать в lookup service SSO моего сайта? Т.е. зарегистрировать 2 Web client в одном lookup service и в случае отказа vm1 получить доступ к управлению vsphere через vm2 (т.е. подключаемся на web client с vm2 и он дальше редиректит посредством load balancer на backup SSO с vm2). Также сопутствующий вопрос - как проверить реплицируется ли backup SSO с primary SSO без load balancer, т.е. если нет возможности подключиться к нему через Web client (мб по каким-то конфиг файлам)?
Спасибо за потраченное время и ваши советы.