多组织租户 vRealize Automation 配置依赖于多个产品之间的协调配置,您必须确保 DNS 设置和证书配置正确无误,多组织租户配置才能正常发挥作用。
- Lifecycle Manager
- Workspace ONE Access Identity Manager
- vRealize Automation
此外,还假设您从默认租户(即提供商组织)开始,并创建两个子租户,分别称为 tenant-1 和 tenant-2。
可以在 vRealize Suite Lifecycle Manager 中使用 Locker 服务创建并应用证书,也可以使用其他机制。通过 Lifecycle Manager,还可以在 vRealize Automation 或 Workspace ONE Access 上替换或重新信任证书。
DNS 要求
- 为每个系统组件和将在启用多租户时创建的每个租户同时创建两个主 A 类型记录。
- 为将要创建的每个租户以及主租户创建多租户 A 类型记录。
- 为将要创建的每个租户(不包括主租户)创建多租户 CNAME 类型记录。
单节点多租户部署的证书要求
必须创建两个主体备用名称 (SAN) 证书,一个用于 Workspace ONE Access,另一个用于 vRealize Automation。
- vRealize Automation 证书列出了 vRealize Automation 服务器的主机名和您将创建的租户的名称。
- Workspace ONE Access 证书列出了 Workspace ONE Access 服务器的主机名和您正在创建的租户名称。
- 如果使用专用 SAN 名称,则在添加或删除主机或者更改主机名时,必须手动更新证书。还必须为租户更新 DNS 条目。作为简化配置的选项,您可以对 Workspace ONE Access 和 vRealize Automation 证书使用通配符。例如,
*.example.com
和*.vra.example.com
。注: vRealize Automation 8.x 仅对符合公共后缀列表 ( https://publicsuffix.org) 中的规范的 DNS 名称支持通配符证书。例如,*.myorg.com
是有效名称,而*.myorg.local
无效。
请注意,Lifecyle Manager 不会为每个租户创建单独的证书。相反,它会对列出的每个租户主机名创建单个证书。对于基本配置,租户的 CNAME 使用以下格式:tenantname.vrahostname.domain。对于高可用性配置,名称使用以下格式:tenantname.vraLBhostname.domain。
汇总
下表汇总了单节点 Workspace ONE Access 和单节点 vRealize Automation 部署的 DNS 和证书要求。
DNS 要求 | SAN 证书要求 |
---|---|
Main A Type Records lcm.example.com WorkspaceOne.example.com vra.example.com |
Workspace One Certificate 主机名称: WorkspaceOne.example.com, default-tenant.example.com, tenant-1.vra.example.com, tenant-2.vra.example.com |
Multi-tenancy A Type Records default-tenant.example.com tenant-1.example.com tenant-2.example.com |
|
Multi-Tenancy CNAME Type Records tenant-1.vra.example.com tenant-2.vra.example.com |
vRealize Automation Certificate 主机名称: vra.example.com、tenant-1.vra.example.com、tenant-2.vra.example.com |