Você deve coordenar o certificado e a configuração de DNS entre todos os componentes aplicáveis para configurar uma implantação do vRealize Automation com cluster de várias organizações.

Em uma configuração típica com cluster, existem três dispositivos Workspace ONE Access e três dispositivos vRealize Automation, bem como um único dispositivo Lifecycle Manager.

Essa configuração pressupõe implantações com cluster para os seguintes componentes:
  • Dispositivos Workspace ONE Access Identity Manager:
    • idm1.example.local
    • idm2.example.local
    • idm3.example.local
    • idm-lb.example.local
  • Dispositivos vRealize Automation:
    • vra-1.example.local
    • vra-2.example.local
    • vra-3.example.local
    • vra-lb.example.local
  • Dispositivo Lifecycle Manager

Requisitos de DNS

Você deve criar os dois registros principais de tipo A para cada componente e para cada um dos tenants que você criará ao habilitar a multilocação. Além disso, você deve criar registros de tipo CNAME de multilocação para cada um dos tenants que criar, sem incluir o tenant mestre. Por fim, você também deve criar registros de tipo A principais para os balanceadores de carga do Workspace ONE Access e do vRealize Automation.

  • Crie registros de tipo A para os três dispositivos Workspace ONE Access e para os dispositivos vRealize Automation que apontam para seus respectivos FQDNs.
  • Além disso, crie registros de tipo A para o balanceador de carga do Workspace ONE Access e o balanceador de carga vRealize Automation que apontem para seus respectivos FQDNs.
  • Crie registros de Tipo A de multilocação para o tenant padrão e para tenant-1 e tenant-2 que apontem para o endereço IP do balanceador de carga do Workspace ONE Access.
  • Crie registros CNAME para tenant-1 e tenant-2 que apontem para o endereço IP do balanceador de carga do vRealize Automation.

Requisitos de certificado de Nome alternativo do requerente (SAN)

Você deve criar dois certificados do Workspace ONE Access, um aplicável aos dispositivos de cluster e outro aplicável ao balanceador de carga. Além disso, crie um certificado que se aplique aos dispositivos vRealize Automation, aos tenants que você está criando, excluindo o tenant padrão, e ao balanceador de carga.
  • Crie um certificado para os dispositivos Workspace ONE Access que liste os FQDNs dos dispositivos Workspace ONE Access, bem como o tenant padrão e outros tenants que você criar. Esse certificado deve incluir os endereços IP dos dispositivos Workspace ONE Access.
  • Como prática recomendada, crie uma terminação SSL no balanceador de carga. Para oferecer suporte a essa terminação, crie um certificado para o balanceador de carga do Workspace ONE Access que liste o FQDN do balanceador de carga do Workspace ONE Access, bem como o tenant padrão e todos os outros tenants que você criar. Esse certificado deve incluir o endereço IP do balanceador de carga.
  • Você deve criar um certificado para o vRealize Automation que liste os nomes de host dos três dispositivos vRealize Automation, bem como o balanceador de carga relacionado e os tenants que você está criando. Além disso, ele deve listar os endereços IP dos três dispositivos vRealize Automation.
  • Como uma opção para simplificar a configuração, você pode usar curingas para os certificados do Workspace ONE Access e do vRealize Automation. Por exemplo, *.example.com, *.vra.example.com e *.vra-lb.example.com.
    Observação: O vRealize Automation 8.x oferece suporte a certificados curinga apenas para nomes DNS que correspondem às especificações na lista de Sufixos Públicos em https://publicsuffix.org. Por exemplo, *.myorg.com é um nome válido enquanto *.myorg.local é inválido.

Se você estiver usando uma configuração em cluster do Workspace ONE Access, observe que o Lifecycle Manager não poderá atualizar os certificados do balanceador de carga e, portanto, você deverá atualizá-los manualmente. Além disso, se você precisar registrar novamente produtos ou serviços externos ao Lifecycle Manager, este será um processo manual.

Resumo das entradas de DNS e dos certificados para uma configuração de cluster de várias organizações

As tabelas a seguir descrevem Registros de Tipo A Principais de DNS e registros do Tipo de Nome C e os requisitos de certificado para uma implantação do Workspace ONE Access em cluster e uma implantação de várias organizações do vRealize Automation em cluster.

Requisitos de DNS Requisitos de certificado SAN
Main A Type Records
  • lcm.example.local
  • WorkspaceOne-1.example.local
  • WorkspaceOne-2.example.local
  • WorkspaceOne-3.example.local
  • Workspace.One-lb.example.local
  • vra-1.example.local
  • vra-2.example.local
  • vra-3.example.local
  • vra-lb.example.local
 Workspace One Certificate
Nome do host:
  • WorkspaceOne-1.example.local
  • WorkspaceOne-2.example.local
  • WorkspaceOne-3.example.local
  • default-tenant.example.local
  • tenant-1.example.local
  • tenant-2.example.local
Multi-Tenancy A Type Records
  • default-tenant.example.local
  • tenant-1.vra.example.local
  • tenant-2.vra.example.local
Observação: Todos os registros de Tipo A de multilocação devem apontar para o endereço IP do balanceador de carga vIDM/WS1A.
Workspace One LB Certificate (LB Terminated)
Nome do host:
  • WorkspaceOne-lb.example.local
  • default-tenant.example.local
  • tenant-1.example.local
  • tenant-2.example.local
Multi-Tenancy CNAME Type Records
  • tenant-1.vra-lb.example.local - vra-lb.example.local
  • tenant-2.vra-lb.example.local - vra-lb.example.local
 vRealize Automation Certificate
Nome do host:
  • vra-1.example.local
  • vra-2.example.local
  • vra-3.example.local
  • vra-lb.example.local
  • tenant-1.example.local
  • tenant-2.example.local

Nenhum certificado é exigido no balanceador de carga do vRealize Automation, pois ele usa a passagem SSL.
Observação: Cada tenant adicional que você adicionar deverá ser listado separadamente no Certificado do vRealize Automation, no CNAME de Multilocação, em registros de Tipo A de Multilocação, no Certificado do Workspace One e no Certificado do Workspace One LB.
Observação: Os nomes de arquivo *.local são apenas para uso como exemplo. Eles podem não ser aplicáveis à maioria dos ambientes de negócios.